Konfigurace nastavení na zařízeních s Windows, iOS/iPadOS a macOS pomocí katalogu nastavení

Katalog nastavení obsahuje všechna nastavení, která můžete nakonfigurovat, a všechna na jednom místě. Tato funkce zjednodušuje způsob vytváření zásad a zobrazení všech dostupných nastavení. Katalog nastavení můžete například použít k vytvoření zásady nástroje BitLocker se všemi nastaveními nástroje BitLocker.

V Intune můžete také použít Microsoft Copilot. Pokud používáte funkce Copilotu s katalogem nastavení, můžete pomocí funkce Copilot:

• Přečtěte si další informace o jednotlivých nastaveních, získejte dopad na analýzu Citlivostní analýza a zjistěte potenciální konflikty.
• Shrňte existující zásady a získejte analýzu dopadu na uživatele a zabezpečení.

Pokud dáváte přednost konfiguraci nastavení na podrobné úrovni, podobně jako u místních objektů Zásady skupiny (GPO), pak je katalog nastavení přirozeným přechodem na cloudové zásady.

Když vytvoříte zásadu, začnete úplně od začátku. Přidáte jenom nastavení, která chcete řídit a spravovat.

Pokud chcete spravovat a zabezpečit zařízení ve vaší organizaci, použijte katalog nastavení jako součást řešení správy mobilních zařízení (MDM). Do katalogu nastavení se průběžně přidávají další nastavení. Seznam nastavení najdete v úložišti IntunePMFiles / DeviceConfig Na GitHubu.

Tato funkce platí pro:

• iOS/iPadOS

  Zahrnuje nastavení zařízení, která jsou přímo generována z Apple Profile-Specific Klíče datové části. Neustále se přidávají další nastavení a klíče. Další informace o klíčích datové části specifických pro profil najdete v tématu Klíče datové části specifické pro profil (otevře web společnosti Apple).

  Správa deklarativních zařízení (DDM) společnosti Apple je integrovaná do katalogu nastavení. Když nakonfigurujete nastavení z katalogu nastavení na zařízeních s iOS/iPadOS 15+ zaregistrovaných pomocí registrace uživatelů, automaticky používáte DDM. Pokud DDM z nějakého důvodu nefunguje, pak tato zařízení používají standardní protokol MDM společnosti Apple. Všechna ostatní zařízení s iOS/iPadOS nadále používají standardní protokol MDM společnosti Apple.

• macOS

  Zahrnuje nastavení zařízení, která jsou přímo generována z Apple Profile-Specific Klíče datové části. Neustále se přidávají další nastavení a klíče. Další informace o klíčích datové části specifických pro profil najdete v tématu Klíče datové části specifické pro profil (otevře web společnosti Apple).

  Deklarativní správa zařízení (DDM) společnosti Apple je k dispozici v katalogu nastavení. DDM můžete použít ke správě aktualizací softwaru, omezení hesla a dalších možností.

• Windows 10/11

  Existují tisíce nastavení, včetně nastavení, která nebyla dříve dostupná. Tato nastavení se generují přímo z poskytovatelů konfiguračních služeb (CSP) systému Windows. Můžete také nakonfigurovat šablony pro správu a mít k dispozici další nastavení šablon pro správu. S tím, jak Systém Windows přidává nebo zveřejňuje další nastavení pro poskytovatele MDM, se tato nastavení přidávají rychleji a Microsoft Intune je můžete nakonfigurovat.

Tip

• Seznam nastavení v katalogu nastavení najdete v úložišti IntunePMFiles / DeviceConfig na GitHubu.
• Pokud chcete zobrazit zásady aplikace Microsoft Edge, které jste nakonfigurovali, otevřete Microsoft Edge a přejděte na edge://policy.

Tento článek uvádí postup vytvoření zásady, ukazuje, jak hledat a filtrovat nastavení v Intune, a ukazuje, jak používat Copilot.

Když vytvoříte zásadu, vytvoří se profil konfigurace zařízení. Pak můžete tento profil přiřadit nebo nasadit do zařízení ve vaší organizaci.

Informace o některých funkcích, které můžete nakonfigurovat pomocí katalogu nastavení, najdete v tématu Úlohy, které můžete dokončit pomocí katalogu nastavení v Intune.

Create zásady

Zásady můžete vytvořit pomocí typu profilu katalogu nastavení.

1. Přihlaste se do Centra pro správu Microsoft Intune.

2. VyberteKonfigurace>zařízení>Create.

3. Zadejte tyto vlastnosti:

   • Platforma: Vyberte iOS/iPadOS, macOS nebo Windows 10 a novější.
   • Typ profilu: Vyberte Katalog Nastavení.

4. Vyberte Vytvořit.

5. V Základy zadejte následující vlastnosti:

   • Název: Zadejte popisný název profilu. Pojmenujte své profily, abyste je později mohli snadno identifikovat. Dobrý název profilu je například macOS: nastavení MSFT Edge nebo Win10: Nastavení nástroje BitLocker pro všechna zařízení s Win10.
   • Popis: Zadejte popis profilu. Toto nastavení není povinné, ale doporučujeme ho zadat.

6. Vyberte Další.

7. V nastavení konfigurace vyberte Přidat nastavení. Ve výběru nastavení vyberte kategorii a zobrazte všechna dostupná nastavení.

   Vyberte například Windows 10 a novější a pak vyberte Ověřování, aby se zobrazila všechna nastavení v této kategorii:

   

   Vyberte například macOS. Kategorie Microsoft Edge – Vše obsahuje všechna nastavení, která můžete nakonfigurovat, včetně všech nových nastavení. Mezi další kategorie patří nastavení, která jsou zastaralá, nebo nastavení, která platí pro starší verze:

   

   Tip

   • V systému macOS se kategorie dočasně odeberou. Pokud chcete najít konkrétní nastavení, použijte kategorii Microsoft Edge – Vše nebo vyhledejte název nastavení. Seznam názvů nastavení najdete v části Microsoft Edge – Zásady.

   • Pomocí odkazu Další informace v popisu můžete zjistit, jestli je nastavení zastaralé, a zobrazit podporované verze.

8. Vyberte libovolné nastavení, které chcete nakonfigurovat. Nebo zvolte Vybrat všechna tato nastavení:

   

   Po přidání nastavení zavřete výběr nastavení. Všechna nastavení se zobrazí a nakonfigurují s výchozí hodnotou, například Blokovat nebo Povolit. Tyto výchozí hodnoty jsou stejné výchozí hodnoty v operačním systému. Pokud nechcete konfigurovat nastavení, vyberte mínus:

   

   Když vyberete mínus (-):

   • Intune toto nastavení nezmění ani neaktualizuje. Mínus je stejný jako Nenakonfigurováno. Pokud je nastaveno na Nenakonfigurováno, nastavení už se nespravuje.
   • Nastavení se ze zásad odebere. Při příštím otevření zásady se nastavení nezobrazí. Můžete ho znovu přidat.
   • Když se zařízení příště přihlásí se změnami, nastavení se už nezamkne. Zásadu může změnit jiný uživatel nebo uživatel zařízení.

   Tip

   • V popisech nastavení Windows najdete další odkazy na poskytovatele CSP.

   • Pokud nastavení umožňuje více hodnot, doporučujeme přidat každou hodnotu zvlášť.

     Donastavení Seznam povolených služebBluetooth> můžete například zadat více hodnot. Zadejte každou hodnotu na samostatný řádek:

     Do jednoho pole můžete přidat více hodnot, ale může docházet k omezení znaků.

9. Vyberte Další.

10. V části Značky oboru (volitelné) přiřaďte značku pro filtrování profilu pro konkrétní skupiny IT, například US-NC IT Team nebo JohnGlenn_ITDepartment. Další informace o značkách oboru najdete v tématu Použití rolí RBAC a značek oboru pro distribuované IT.

    Vyberte Další.

11. V části Přiřazení vyberte uživatele nebo skupiny, které obdrží váš profil. Další informace o přiřazování profilů najdete v tématu Přiřazení profilů uživatelů a zařízení.

    Vyberte Další.

12. V Zkontrolovat a vytvořit zkontrolujte nastavení. Když vyberete Vytvořit, změny se uloží a profil se přiřadí. Zásada se taky zobrazuje v seznamu profilů.

Když zařízení příště vyhledá aktualizace konfigurace, použijí se nastavení, která jste nakonfigurovali.

Vyhledání některých nastavení a další informace o jednotlivých nastaveních

V katalogu nastavení jsou k dispozici tisíce nastavení. Pokud chcete najít požadovaná nastavení, můžete použít funkce vyhledávání a filtrování v katalogu nastavení.

Pokud používáte Copilot, můžete získat informace o jednotlivých nastaveních vygenerované pomocí umělé inteligence.

Search a filtrování

Když vytvoříte novou zásadu nebo aktualizujete existující zásadu, jsou k dispozici integrované funkce vyhledávání a filtrování, které vám pomůžou najít nastavení.

• Pokud chcete v zásadách najít konkrétní nastavení, můžete použít možnost Přidat nastavení>Search. Můžete hledat podle kategorií, například browser, vyhledat klíčové slovo, například office nebo google, a vyhledat konkrétní nastavení.

  Vyhledejte internet explorernapříklad . Zobrazí se všechna nastavení s internet explorer . Výběrem kategorie zobrazíte dostupná nastavení:

  

• V zásadách použijte Přidat nastavení>Přidat filtr. Vyberte klíč, operátor a hodnotu.

  Při filtrování podle edice OS můžete filtrovat nastavení, která platí pro konkrétní edice Windows:

  

  Poznámka

  U nastavení Edge, Office a OneDrive verze nebo edice operačního systému neurčí, jestli se nastavení použije. Pokud tedy vyfiltrujete konkrétní edici, jako je Windows Professional, nastavení Edge, Office a OneDrive se nezobrazí.

  Nastavení můžete také filtrovat podle oboru zařízení nebo uživatele. Další informace o oboru uživatele a oboru zařízení najdete v tématu Nastavení oboru zařízení a oboru uživatele (v tomto článku):

  

Copilot

Při použití zásad katalogu nastavení můžete pomocí funkce Copilot získat další informace o konkrétním nastavení a jeho dopadu.

1. V zásadách vyberte Přidat nastavení. V okně Výběr nastavení vyberte některá nastavení. Například v zásadách pro macOS rozbalte deklarativní Správa zařízení>Aktualizace> softwaruVyberte všechna tato nastavení. Zavřete výběr nastavení.

2. Pro nastavení si všimněte popisu Copilotu:

   

3. Když vyberete popis tlačítka Copilot, zobrazí se automaticky další informace o nastavení:

   

4. Ve výzvě jsou další výzvy, které můžete použít. Můžete také vybrat průvodce výzvou a vybrat z existujícího seznamu výzev:

   

Kopírování profilu

Výběrem možnosti Duplikovat vytvořte kopii existujícího profilu. Duplikování je užitečné, když potřebujete podobný profil, ale liší se od původního profilu.

Kopie obsahuje stejné konfigurace nastavení a značky oboru jako původní profil, ale nemá k ní připojená přiřazení. Jakmile nový profil pojmenujete, můžete ho upravit a upravit jeho nastavení a přidat přiřazení.

1. Přejděte na Konfigurace zařízení>.
2. Najděte profil, který chcete zkopírovat. Klikněte pravým tlačítkem na profil nebo vyberte místní nabídku se třemi tečkami (…).
3. Vyberte Duplikovat.
4. Zadejte nový název a popis zásady.
5. Uložte provedené změny.

Import a export profilu

Tato funkce platí pro:

• Windows 10 a novější

Při vytváření zásad katalogu nastavení můžete zásady exportovat do .json souboru. Potom můžete tento soubor importovat a vytvořit tak novou zásadu. Tato funkce je užitečná, pokud chcete vytvořit zásadu, která se podobá existující zásadě. Například vyexportujete zásadu, naimportujete ji, abyste vytvořili novou zásadu, a pak v ní uděláte změny.

1. Přejděte na Konfigurace zařízení>.

2. Pokud chcete exportovat existující zásadu, vyberte profil > a vyberte místní nabídku se třemi tečky (…) >Export JSON:

   

3. Pokud chcete importovat dříve exportované zásady katalogu nastavení, vyberte Create>Import zásad:

   

   Vyberte soubor JSON, který jste exportovali, a pojmenujte novou zásadu. Uložte provedené změny.

Konflikty a generování sestav

Ke konfliktům dochází, když se stejné nastavení aktualizuje na jiné hodnoty, včetně zásad nakonfigurovaných pomocí katalogu nastavení. V Centru pro správu Intune můžete zkontrolovat stav stávajících zásad. Data se aktualizují automaticky a fungují téměř v reálném čase.

Existují integrované funkce, které vám můžou pomoct při řešení konfliktů, včetně hlášení stavu podle nastavení.

Pokud používáte Copilot, můžete pomocí předdefinovaných výzev získat další informace o existujících zásadách, včetně jejich dopadu.

Vytváření sestav a řešení potíží

V Centru pro správu Intune můžete použít integrované funkce generování sestav, které vám pomůžou najít a vyřešit konflikty.

1. V Centru pro správu Intune vyberte Konfigurace zařízení>. V seznamu vyberte zásadu, kterou jste vytvořili pomocí Katalogu nastavení. Ve sloupci Typ profilu se zobrazuje Katalog nastavení:

   

2. Když zásadu vyberete, zobrazí se stav zařízení. Zobrazuje souhrn stavu zásad a vlastností zásad. Zásady můžete také změnit nebo aktualizovat v části Nastavení konfigurace :

   

3. Vyberte Zobrazit sestavu. Sestava zobrazuje podrobné informace, včetně názvu zařízení, stavu zásad a dalších informací. Můžete také filtrovat stav nasazení a exportovat sestavu .csv do souboru:

   

4. Můžete se také podívat na stavy jednotlivých nastavení pomocí stavu jednotlivých nastavení. Tento stav zobrazuje celkový počet zařízení ovlivněných jednotlivými nastaveními v zásadách.

   Můžeš:

   • Podívejte se na počet zařízení s úspěšně použitým nastavením, která jsou v konfliktu nebo jsou chybná.
   • Vyberte počet zařízení, která vyhovují předpisům, konfliktu nebo chybě. A podívejte se na seznam uživatelů nebo zařízení v tomto stavu.
   • Search, řazení, filtrování, export a přechod na další a předchozí stránku.

5. V Centru pro správu vyberte Zařízení>Monitorovat>selhání přiřazení. Pokud se vaše zásady katalogu nastavení nepodařilo nasadit kvůli chybě nebo konfliktu, zobrazí se v tomto seznamu. Můžete také exportovat do .csv souboru.

6. Výběrem zásady zobrazíte zařízení. Pak vyberte konkrétní zařízení, abyste viděli nastavení, které selhalo, a kód možné chyby.

Tip

Intune sestavy jsou skvělým zdrojem informací a popisují všechny funkce vytváření sestav, které můžete použít. Informace o všech datech sestav, která můžete zobrazit, najdete v části Intune sestav.

Další informace o řešení konfliktů najdete tady:

• Monitorování profilů zařízení
• Běžné dotazy a odpovědi týkající se zásad zařízení

Copilot

Funkce Copilot vám pomůže zjistit stav stávajících zásad, zjistit stav konkrétního nastavení v zásadách a zobrazit případné konflikty.

1. V Centru pro správu Intune vyberte Konfigurace zařízení>. V seznamu zásad vyberte zásadu, kterou chcete vyhodnotit pomocí Copilotu.

2. Když zásadu vyberete, zobrazí se stav zařízení. Vyberte Sumarizovat pomocí Copilotu:

   

   Automaticky se zobrazí souhrn, který obsahuje nastavení v zásadách & jejich hodnoty.

3. Ve výzvě jsou další výzvy, které můžete vybrat. Můžete také vybrat průvodce výzvou a vybrat z existujícího seznamu výzev:

   

Katalog nastavení vs. šablony

Při vytváření zásad máte dva typy zásad: Katalog nastavení a Šablony:

Šablony zahrnují logickou skupinu nastavení, jako je veřejný terminál, SÍŤ VPN, Wi-Fi a další. Tuto možnost použijte, pokud chcete tato seskupení použít ke konfiguraci nastavení.

Katalog Nastavení obsahuje seznam všech dostupných nastavení. Pokud chcete zobrazit všechna dostupná nastavení brány firewall nebo všechna dostupná nastavení nástroje BitLocker, použijte tuto možnost. Tuto možnost použijte také v případě, že hledáte konkrétní nastavení.

Obor zařízení vs. nastavení oboru uživatele

Když vyberete nastavení, některá nastavení mají (User) v názvu nastavení značku nebo (Device) značku, například Allow EAP Cert SSO (User) nebo Grouping (Device). Když se tyto značky zobrazí, zásady ovlivní jenom obor uživatele nebo obor zařízení.

Další informace o oboru uživatele a oboru zařízení najdete v tématu Policy CSP.

Skupiny zařízení a uživatelů se používají při přiřazování zásad. Obory zařízení a uživatelů popisují, jak se zásady vynucují.

Chování přiřazení oboru

Při nasazování zásad z Intune můžete přiřadit obor uživatele nebo obor zařízení libovolnému typu cílové skupiny. Chování zásad na uživatele závisí na rozsahu nastavení:

• Zásady s oborem uživatele zapisují do HKEY_CURRENT_USER (HKCU).
• Zásady s oborem zařízení zapisují do HKEY_LOCAL_MACHINE (HKLM).

Když se zařízení přihlásí k Intune, vždy zobrazí deviceID. Zařízení může nebo nemusí v závislosti na načasování vracení se změnami a na tom, jestli je uživatel přihlášený, prezentovat userID.

Následující seznam obsahuje některé možné kombinace rozsahu, přiřazení a očekávaného chování:

• Pokud je k zařízení přiřazená zásada oboru zařízení, použije se toto nastavení u všech uživatelů na daném zařízení.
• Pokud jsou uživateli přiřazené zásady s oborem zařízení, jakmile se uživatel přihlásí a dojde k Intune synchronizaci, použijí se nastavení oboru zařízení na všechny uživatele na zařízení.
• Pokud je k zařízení přiřazená zásada oboru uživatele, použije se toto nastavení u všech uživatelů na daném zařízení. Toto chování se podobá zpětné smyčce nastavené na sloučení.
• Pokud je uživateli přiřazena zásada vymezená uživatelem, použije se toto nastavení jenom u tohoto uživatele.
• V oboru uživatele a v oboru zařízení jsou k dispozici některá nastavení. Pokud je jedno z těchto nastavení přiřazeno k oboru uživatele i zařízení, má obor uživatele přednost před oborem zařízení.

Pokud během počátečních kontrol není uživatelský podregistr , uvidíte některá nastavení oboru uživatele označená jako nepoužitelná. K tomuto chování dochází v raných okamžicích zařízení před přítomností uživatele.

Další kroky

• Úkoly, které můžete dokončit pomocí katalogu Nastavení v Intune
• Create zásad univerzálního tisku v Microsoft Intune
• Přiřaďte profil a sledujte jeho stav.
• Přehled Microsoft Copilotu pro Intune