Vytvoření profilu zařízení v Microsoft Intune

Profily zařízení umožňují přidávat a konfigurovat nastavení a pak tato nastavení odesílat do zařízení ve vaší organizaci. Při vytváření zásad máte několik možností:

• Šablony pro správu: Na zařízeních Windows 10/11 jsou tyto šablony nastavení ADMX, které nakonfigurujete. Pokud znáte zásady ADMX nebo objekty zásad skupiny (GPO), je použití šablon pro správu přirozeným krokem k Microsoft Intune.

  Další informace najdete v tématu Šablony pro správu.

• Standardní hodnoty: Na zařízeních Windows 10/11 zahrnují tyto standardní hodnoty předkonfigurovaná nastavení zabezpečení. Pokud chcete vytvořit zásady zabezpečení pomocí doporučení týmů zabezpečení Microsoftu, pak jsou standardní hodnoty zabezpečení určené pro vás.

  Další informace najdete v tématu Standardní hodnoty zabezpečení.

• Katalog nastavení: Na zařízeních Windows 10/11 můžete pomocí katalogu nastavení zobrazit všechna dostupná nastavení a na jednom místě. Můžete například zobrazit všechna nastavení, která platí pro BitLocker, a vytvořit zásadu, která se zaměřuje jenom na Nástroj BitLocker. Na zařízeních s macOS pomocí katalogu nastavení nakonfigurujte Microsoft Edge verze 77 a nastavení.

  Další informace najdete v tématu Katalog nastavení.

  V systému macOS pokračujte v používání souboru předvoleb k:

  • Konfigurace starších verzí Microsoft Edge
  • Konfigurace nastavení prohlížeče Edge, která nejsou v katalogu nastavení

• Šablony: Na zařízeních s Androidem, iOS/iPadOS, macOS a Windows obsahují šablony logické seskupení nastavení, které konfiguruje funkci nebo koncept, jako je vpn, e-mail, zařízení v beznabídkovém režimu a další. Pokud jste obeznámeni s vytvářením zásad konfigurace zařízení v Microsoft Intune, pak už tyto šablony používáte.

  Další informace, včetně dostupných šablon, najdete v tématu Použití funkcí a nastavení na zařízeních pomocí profilů zařízení.

Tento článek:

• Seznamy postup vytvoření profilu.
• Ukazuje, jak přidat značku oboru pro filtrování zásad.
• Popisuje pravidla použitelnosti na klientských zařízeních s Windows a ukazuje, jak pravidlo vytvořit.
• Obsahuje další informace o časech cyklu aktualizace se změnami, kdy zařízení obdrží profily a všechny aktualizace profilu.

Vytvoření profilu

Profily se vytvářejí v Centru pro správu Microsoft Intune. V tomto centru pro správu vyberte Zařízení. Máte následující možnosti:

• Přehled: Seznamy stav vašich profilů a poskytuje další podrobnosti o profilech, které jste přiřadili uživatelům a zařízením.
• Monitorování: Zkontrolujte stav vašich profilů z hlediska úspěchu nebo selhání a také zobrazte protokoly vašich profilů.
• Podle platformy: Umožňuje vytvářet a zobrazovat zásady a profily podle vaší platformy. Toto zobrazení může také zobrazovat funkce specifické pro danou platformu. Vyberte například Windows. Zobrazí se funkce specifické pro Windows, například služba Windows Update okruhy a skripty PowerShellu.
• Správa zařízení: Vytvářejte profily zařízení, nahrajte vlastní skripty PowerShellu , které se mají spouštět na zařízeních, a přidejte datové plány do zařízení pomocí eSIM karty.

Při vytváření profilu (vytvoření konfigurace>) zvolte svoji platformu:

• Správce zařízení s Androidem
• Android Enterprise
• iOS/iPadOS
• macOS
• Windows 10 a novější
• Windows 8.1 a novější

Pak zvolte profil. V závislosti na zvolené platformě se nastavení, která můžete nakonfigurovat, liší. Následující články popisují různé profily:

• Šablony pro správu (Windows)
• Konfigurace systému BIOS a další nastavení
• Vlastní
• Optimalizace doručení (Windows)
• Odvozené přihlašovací údaje (Android Enterprise, iOS, iPadOS)
• Funkce zařízení (macOS, iOS, iPadOS)
• Rozhraní pro konfiguraci firmwaru zařízení (DFCI) (Windows)
• Omezení zařízení
• Připojení k doméně (Windows)
• Upgrade edice a přepnutí režimu (Windows)
• Education (iOS, iPadOS)
• E-mail
• Endpoint protection (macOS, Windows)
• Rozšíření (macOS)
• Ochrana identit (Windows)
• Kiosku
• Microsoft Defender for Endpoint (Windows)
• Profil MX (Mobility Extensions) (správce zařízení s Androidem)
• Hranice sítě (Windows)
• OEMConfig (Android Enterprise)
• Certifikát PKCS
• Importovaný certifikát PKCS
• Soubor předvoleb (macOS)
• Certifikát SCEP
• Zabezpečené hodnocení (Education) (Windows)
• Sdílené zařízení s více uživateli (Windows)
• Důvěryhodný certifikát
• VPN
• Wi-Fi
• Monitorování stavu Windows
• Kabelové sítě (macOS)

Pokud například jako platformu vyberete iOS/iPadOS , budou vaše možnosti vypadat podobně jako v následujícím profilu:

Pokud pro platformu vyberete Windows 10 a novější, budou vaše možnosti vypadat podobně jako v následujícím profilu:

Značky oboru

Po přidání nastavení můžete do profilu také přidat značku oboru. Značky oboru filtruje profily pro konkrétní skupiny IT, například US-NC IT Team nebo JohnGlenn_ITDepartment. A používají se v distribuovaném IT.

Další informace o značkách oboru a o tom, co můžete dělat, najdete v tématu Použití Značek RBAC a oborů pro distribuované IT.

Pravidla použitelnosti

Platí pro:

• Windows 11
• Windows 10

Pravidla použitelnosti umožňují správcům cílit na zařízení ve skupině, která splňují konkrétní kritéria. Vytvoříte například profil omezení zařízení, který se vztahuje na skupinu Všechna zařízení Windows 10/11. A chcete, aby se profil přiřadil jenom k zařízením s Windows Enterprise.

Chcete-li provést tuto úlohu, vytvořte pravidlo použitelnosti. Tato pravidla jsou skvělá pro následující scénáře:

• Používáte Windows 10 Education (EDU). Na Bellows College chcete cílit na všechna zařízení Windows 10 EDU mezi RS3 a RS4.
• Chcete cílit na všechny uživatele v oddělení lidských zdrojů ve společnosti Contoso, ale chcete jenom Windows 10 zařízení Professional nebo Enterprise.

Pokud se chcete k těmto scénářům přiblížit, postupujte následovně:

• Vytvořte skupinu zařízení, která zahrnuje všechna zařízení na Bellows College. V profilu přidejte pravidlo použitelnosti, které bude platit, pokud je 16299 minimální verze operačního systému a maximální verze je 17134. Přiřaďte tento profil skupině zařízení Bellows College.

  Když je profil přiřazený, použije se pro zařízení mezi minimální a maximální verzí, kterou zadáte. U zařízení, která nejsou mezi minimální a maximální verzí, kterou zadáte, se jejich stav zobrazuje jako Nepoužitelné.

• Vytvořte skupinu uživatelů, která zahrnuje všechny uživatele v oddělení Lidských zdrojů (HR) ve společnosti Contoso. V profilu přidejte pravidlo použitelnosti, které bude platit pro zařízení se systémem Windows 10 Professional nebo Enterprise. Přiřaďte tento profil skupině PERSONAL users.

  Když je profil přiřazený, použije se pro zařízení se systémem Windows 10 Professional nebo Enterprise. U zařízení, na kterých nejsou spuštěné tyto edice, se jejich stav zobrazuje jako Nepoužitelné.

• Pokud existují dva profily se stejným nastavením, použije se profil bez pravidla použitelnosti.

  Například ProfileA cílí na skupinu zařízení Windows 10, povolí Nástroj BitLocker a nemá pravidlo použitelnosti. ProfileB cílí na stejnou Windows 10 skupinu zařízení, povolí nástroj BitLocker a má pravidlo použitelnosti, které profil použije jenom na Windows 10 Enterprise.

  Když jsou přiřazené oba profily, použije se ProfileA, protože nemá pravidlo použitelnosti.

Když přiřadíte profil skupinám, pravidla použitelnosti fungují jako filtr a cílí pouze na zařízení, která splňují vaše kritéria.

Přidání pravidla

1. V zásadách vyberte Pravidla použitelnosti. Můžete zvolit pravidlo a vlastnost:

   

2. V části Pravidlo zvolte, jestli chcete zahrnout nebo vyloučit uživatele nebo skupiny. Možnosti:

   • Přiřaďte profil, pokud: Zahrnuje uživatele nebo skupiny, které splňují zadaná kritéria.
   • Nepřiřazovat profil, pokud: Vyloučí uživatele nebo skupiny, které splňují zadaná kritéria.

3. V části Vlastnost zvolte filtr. Možnosti:

   • Edice operačního systému: V seznamu zkontrolujte klientské edice Windows, které chcete do pravidla zahrnout (nebo vyloučit).

   • Verze operačního systému: Zadejte minimální a maximální číslo verze klienta Windows, které chcete do pravidla zahrnout (nebo vyloučit). Obě hodnoty jsou povinné.

     Můžete například zadat 10.0.16299.0 (RS3 nebo 1709) jako minimální verzi a 10.0.17134.0 (RS4 nebo 1803) jako maximální verzi. Nebo můžete být podrobnější a zadat 10.0.16299.001 minimální verzi a 10.0.17134.319 maximální verzi.

     Další čísla verzí najdete v tématu Informace o vydaných verzích klienta Windows.

4. Vyberte Přidat a uložte změny.

Časy cyklu aktualizace zásad

Intune k vyhledání aktualizací konfiguračních profilů používá různé cykly aktualizace. Pokud se zařízení nedávno zaregistrovalo, probíhá vracení se změnami častěji. Cykly aktualizace zásad a profilu uvádí odhadovanou dobu aktualizace.

Uživatelé můžou kdykoli otevřít aplikaci Portál společnosti a synchronizovat zařízení, aby okamžitě zkontrolovali aktualizace profilu.

Doporučení

Při vytváření profilů zvažte následující doporučení:

• Pojmenujte zásady, abyste věděli, co jsou a co dělají. Všechny zásady dodržování předpisů a profily konfigurace mají volitelnou vlastnost Description . V části Popis zadejte konkrétní informace a uveďte informace, aby ostatní věděli, co zásada dělá.

  Mezi příklady konfiguračních profilů patří:

  Název profilu: šablona Správa – konfigurační profil OneDrivu pro všechny uživatele Windows 10
  Popis profilu: Profil šablony správce OneDrivu, který obsahuje minimální a základní nastavení pro všechny uživatele Windows 10. Vytvořil, aby uživatelé nemohli sdílet data organizace s osobními user@contoso.com účty OneDrivu.

  Název profilu: Profil VPN pro všechny uživatele iOS/iPadOS
  Popis profilu: Profil VPN, který zahrnuje minimální a základní nastavení pro všechny uživatele iOS/iPadOS pro připojení k síti VPN společnosti Contoso. Vytvořil, user@contoso.com aby se uživatelé automaticky ověřovali ve službě VPN místo toho, aby se uživatelům zobrazovali výzvy k zadání uživatelského jména a hesla.

• Vytvořte svůj profil podle jeho úkolů, jako je konfigurace nastavení Aplikace Microsoft Edge, povolení nastavení Microsoft Defender antivirového softwaru, blokování zařízení s jailbreakem s iOS/iPadOS atd.

• Vytvořte profily, které platí pro konkrétní skupiny, jako je marketing, prodej, správci IT, nebo podle umístění nebo školního systému.

• Oddělte zásady uživatelů od zásad zařízení.

  Například šablony pro správu v Intune mít tisíce nastavení ADMX. Tyto šablony ukazují, jestli se nastavení vztahuje na uživatele nebo zařízení. Při vytváření šablon pro správu přiřaďte nastavení uživatelů skupině uživatelů a přiřaďte nastavení zařízení ke skupině zařízení.

  Následující obrázek ukazuje příklad nastavení, které se může vztahovat na uživatele, použít na zařízení nebo použít pro obojí:

  

• Pokaždé, když vytvoříte omezující zásadu, o této změně informujte uživatele. Pokud například měníte požadavek na heslo ze čtyř (4) znaků na šest (6) znaků, informujte uživatele před přiřazením zásady.

Další kroky

Přiřaďte profil a sledujte jeho stav.