Konfigurace nastavení na zařízeních s Windows, iOS/iPadOS a macOS pomocí katalogu nastavení

Katalog nastavení obsahuje seznam všech nastavení, která můžete nakonfigurovat na jednom místě. Tato funkce zjednodušuje vytváření zásad a zobrazení všech dostupných nastavení. Katalog nastavení můžete například použít k vytvoření zásady nástroje BitLocker se všemi nastaveními nástroje BitLocker.

V Intune můžete také použít Microsoft Copilot. Pokud používáte funkce Copilotu s katalogem nastavení, můžete pomocí funkce Copilot:

• Přečtěte si další informace o jednotlivých nastaveních, získejte dopad na analýzu citlivostní analýzy a zjistěte potenciální konflikty.
• Shrňte existující zásady a získejte analýzu dopadu na uživatele a zabezpečení.

Pokud dáváte přednost konfiguraci nastavení na podrobné úrovni, podobně jako při použití místních objektů zásad skupiny (GPO), katalog nastavení představuje přirozený přechod na cloudové zásady.

Když vytvoříte zásadu, začnete úplně od začátku. Přidáte jenom nastavení, která chcete řídit a spravovat.

Pokud chcete spravovat a zabezpečit zařízení ve vaší organizaci, použijte katalog nastavení jako součást řešení správy mobilních zařízení (MDM). Do katalogu nastavení se průběžně přidávají další nastavení. Aktuální seznam nastavení najdete v úložišti IntunePMFiles/DeviceConfig Na GitHubu.

Tato funkce platí pro:

• iOS/iPadOS

  Zahrnuje nastavení zařízení, která jsou přímo generována z Apple Profile-Specific Klíče datové části. Neustále se přidávají další nastavení a klíče. Další informace najdete v tématu Klíče datové části specifické pro profil na webu společnosti Apple.

  Správa deklarativních zařízení (DDM) společnosti Apple je integrovaná do katalogu nastavení. Když nakonfigurujete nastavení z katalogu nastavení na zařízeních s iOS/iPadOS 15+ zaregistrovaných pomocí registrace uživatelů, automaticky používáte DDM. Pokud DDM nefunguje, budou tato zařízení používat standardní protokol MDM společnosti Apple. Všechna ostatní zařízení s iOS/iPadOS nadále používají standardní protokol MDM společnosti Apple.

• macOS

  Zahrnuje nastavení zařízení, která jsou přímo generována z Apple Profile-Specific Klíče datové části. Neustále se přidávají další nastavení a klíče. Další informace o klíčích datových částí specifických pro profil najdete v tématu Klíče datové části specifické pro profil na webu společnosti Apple.

  Deklarativní správa zařízení (DDM) společnosti Apple je k dispozici v katalogu nastavení. DDM můžete použít ke správě aktualizací softwaru, omezení hesla a dalších možností.

  Katalog nastavení můžete také použít ke konfiguraci novějších verzí aplikace Microsoft Edge a dalších funkcí místo souborů seznamu vlastností (plist). Další informace najdete tady:

  • Integrované funkce macOS nahrazující soubory plist
  • Přidejte do zařízení s macOS soubor seznamu vlastností pomocí Microsoft Intune.

  Soubor předvoleb můžete dál používat k:

  • Nakonfigurujte starší verze Microsoft Edge.
  • Nakonfigurujte nastavení prohlížeče Microsoft Edge, která nejsou v katalogu nastavení.

• Windows 10/11

  Existují tisíce nastavení, včetně nastavení, která nebyla dříve dostupná. Tato nastavení se generují přímo z poskytovatelů konfiguračních služeb (CSP) systému Windows. Můžete také nakonfigurovat šablony pro správu a mít k dispozici další nastavení šablon pro správu. S tím, jak Systém Windows přidává nebo zveřejňuje další nastavení pro poskytovatele MDM, se tato nastavení přidávají do Microsoft Intune, abyste je mohli nakonfigurovat.

Tip

• Seznam nastavení v katalogu nastavení najdete v úložišti IntunePMFiles/DeviceConfig na GitHubu.
• Pokud chcete zobrazit zásady Microsoft Edge, které jste nakonfigurovali, otevřete Microsoft Edge a přejděte na edge://policy.

Tento článek popisuje postup vytvoření zásady, ukazuje, jak hledat a filtrovat nastavení v Intune, a ukazuje, jak používat Copilot.

Když vytvoříte zásadu, vytvoří se profil konfigurace zařízení. Pak můžete tento profil přiřadit nebo nasadit do zařízení ve vaší organizaci.

Informace o funkcích, které můžete konfigurovat pomocí katalogu nastavení, najdete v tématu Úlohy, které můžete dokončit pomocí katalogu nastavení v Intune.

Vytvoření zásady

Zásadu vytvoříte pomocí typu profilu katalogu nastavení.

1. Přihlaste se k Centru pro správu Microsoft 365.

2. Vyberte Zařízení>Spravovat zařízení>Konfigurace>Vytvořit>Nová zásada.

3. Zadejte tyto vlastnosti:

   • Platforma: Vyberte iOS/iPadOS, macOS nebo Windows 10 a novější.
   • Typ profilu: Vyberte Katalog Nastavení.

4. Vyberte Vytvořit.

5. V Základy zadejte následující vlastnosti:

   • Název: Pojmenujte si profily, abyste je později mohli snadno identifikovat. Dobrý název profilu je například macOS: Nastavení Microsoft Edge nebo Win10: Nastavení nástroje BitLocker pro všechna zařízení s Win10.
   • Popis: Zadejte popis profilu. Toto nastavení je volitelné, ale doporučuje se.

6. Vyberte Další.

7. V nastavení konfigurace vyberte Přidat nastavení. Ve výběru nastavení vyberte kategorii a zobrazte všechna dostupná nastavení.

   Vyberte například Windows 10 a novější a pak vyberte Ověřování , abyste viděli všechna nastavení v této kategorii:

   

   Vyberte například macOS. V kategorii Microsoft Edge – Vše se zobrazí všechna nastavení, která můžete nakonfigurovat. Mezi další kategorie patří nastavení, která jsou zastaralá nebo se vztahují na starší verze:

   

   Tip

   • V systému macOS se kategorie dočasně odeberou. Pokud chcete najít konkrétní nastavení, použijte kategorii Microsoft Edge – Vše nebo vyhledejte název nastavení. Seznam názvů nastavení najdete v tématu Microsoft Edge – Zásady.

   • Pomocí odkazu Další informace v popisu můžete zjistit, jestli je nastavení zastaralé, a zobrazit podporované verze.

8. Vyberte libovolné nastavení, které chcete nakonfigurovat. Nebo zvolte Vybrat všechna tato nastavení:

   

   Po přidání nastavení zavřete výběr nastavení. Všechna nastavení se zobrazí a nakonfigurují s výchozí hodnotou, například Blokovat nebo Povolit. Tyto výchozí hodnoty jsou stejné výchozí hodnoty v operačním systému. Pokud nechcete konfigurovat nastavení, vyberte znaménko minus (-):

   

   Když vyberete mínus:

   • Intune toto nastavení nezmění ani neaktualizuje. Mínus je stejný jako Nenakonfigurováno. Pokud je nastaveno na Nenakonfigurováno, nastavení už se nespravuje.
   • Nastavení se ze zásad odebere. Při příštím otevření zásady se nastavení nezobrazí. Ale můžete ho znovu přidat.
   • Když se zařízení příště přihlásí se změnami, nastavení se už nezamkne. Zásadu může změnit jiný uživatel nebo uživatel zařízení.

   Tip

   • V popisech nastavení Windows najdete další odkazy na poskytovatele CSP.

   • Pokud nastavení umožňuje více hodnot, doporučujeme přidat každou hodnotu zvlášť. Donastavení Seznam povolených služebBluetooth> můžete například zadat více hodnot. Zadejte každou hodnotu na samostatný řádek:

     Do jednoho pole můžete přidat více hodnot, ale může docházet k omezení znaků.

9. Vyberte Další.

10. V části Značky oboru (volitelné) přiřaďte značku pro filtrování profilu pro konkrétní skupiny IT, například US-NC IT Team nebo JohnGlenn_ITDepartment. Další informace o značkách oboru najdete v tématu Použití rolí RBAC a značek oboru pro distribuované IT.

    Vyberte Další.

11. V části Přiřazení vyberte uživatele nebo skupiny, které obdrží váš profil. Další informace najdete v tématu Přiřazení profilů uživatelů a zařízení.

    Vyberte Další.

12. V Zkontrolovat a vytvořit zkontrolujte nastavení. Když vyberete Vytvořit, změny se uloží a profil se přiřadí. Zásada se taky zobrazuje v seznamu profilů.

Když zařízení příště vyhledá aktualizace konfigurace, použijí se nastavení, která jste nakonfigurovali.

Vyhledání některých nastavení a další informace o jednotlivých nastaveních

V katalogu nastavení jsou k dispozici tisíce nastavení. Pokud chcete najít požadovaná nastavení, použijte funkce vyhledávání a filtrování.

Pokud používáte Copilot, můžete získat informace o jednotlivých nastaveních vygenerované pomocí umělé inteligence.

Hledání a filtrování

Když vytvoříte novou zásadu nebo aktualizujete existující zásadu, jsou k dispozici integrované funkce vyhledávání a filtrování, které vám pomůžou najít nastavení.

• Pokud chcete v zásadách najít konkrétní nastavení, můžete použít možnost Přidat nastavení>Hledání. Můžete hledat podle kategorií, například browser; vyhledat klíčové slovo, například office nebo google; a vyhledat konkrétní nastavení.

  Vyhledejte internet explorernapříklad . Zobrazí se všechna nastavení s internet explorer . Výběrem kategorie zobrazíte dostupná nastavení:

  

• V zásadách použijte Přidat nastavení>Přidat filtr. Vyberte klíč, operátor a hodnotu.

  Při filtrování podle edice OS můžete filtrovat nastavení, která platí pro konkrétní edice Windows:

  

  Poznámka

  U nastavení Edge, Office a OneDrive verze nebo edice operačního systému neurčí, jestli se nastavení použije. Pokud tedy vyfiltrujete konkrétní edici, jako je Windows Professional, nastavení Edge, Office a OneDrive se nezobrazí.

  Nastavení můžete také filtrovat podle oboru zařízení nebo uživatele. Další informace najdete v tématu Nastavení oboru zařízení a uživatele (v tomto článku):

  

Copilot

Pokud používáte zásady katalogu nastavení, můžete pomocí funkce Copilot získat další informace o konkrétním nastavení.

1. V zásadách vyberte Přidat nastavení. V nastavení Ppicker vyberte některá nastavení. Například v zásadách pro macOS rozbalte možnost Deklarativní správa zařízení>– Aktualizace> softwaruVyberte všechna tato nastavení. Zavřete výběr nastavení.

2. Pro nastavení si všimněte popisu Copilotu:

   

3. Když vyberete popis tlačítka Copilot, zobrazí se automaticky další informace o nastavení:

   

4. Můžete také vybrat průvodce výzvou a vybrat z existujícího seznamu možností:

   

Kopírování profilu

Výběrem možnosti Duplikovat vytvořte kopii existujícího profilu. Duplikování je užitečné, když potřebujete profil podobný původnímu. Kopie obsahuje stejné konfigurace nastavení a značky oboru jako původní profil, ale nemá připojené přiřazení.

Jakmile nový profil pojmenujete, můžete ho upravit a upravit jeho nastavení a přidat přiřazení.

1. Přejděte na Zařízení>Spravovat zařízení>Konfigurace.
2. Najděte profil, který chcete zkopírovat. Klikněte pravým tlačítkem na profil nebo vyberte místní nabídku se třemi tečkami (…).
3. Vyberte Duplikovat.
4. Zadejte nový název a popis zásady.
5. Uložte provedené změny.

Import a export profilu

Tato funkce platí pro:

• Windows 11
• Windows 10

Při vytváření zásad katalogu nastavení můžete zásady exportovat do .json souboru. Potom můžete tento soubor importovat a vytvořit tak novou zásadu. Tato funkce je užitečná, pokud chcete vytvořit zásadu, která se podobá existující zásadě. Například vyexportujete zásadu, naimportujete ji, abyste vytvořili novou zásadu, a pak v ní uděláte změny.

1. Přejděte na Zařízení>Spravovat zařízení>Konfigurace.

2. Pokud chcete exportovat existující zásadu, vyberte zásadu katalogu nastavení Windows a pak vyberte tři tečky nebo místní nabídku (…) >Exportovat JSON:

   

3. Pokud chcete importovat dříve exportované zásady katalogu nastavení, vyberte Vytvořit>zásadu importu:

   

   Vyberte soubor JSON, který jste exportovali, a pojmenujte novou zásadu. Uložte provedené změny.

Konflikty a generování sestav

Ke konfliktům dochází, když se stejné nastavení aktualizuje na jiné hodnoty, včetně zásad nakonfigurovaných pomocí katalogu nastavení. V Centru pro správu Intune můžete zkontrolovat stav stávajících zásad. Data se aktualizují automaticky téměř v reálném čase.

Existují integrované funkce, které vám můžou pomoct při řešení konfliktů, včetně hlášení stavu podle nastavení.

Pokud používáte Copilot, můžete pomocí předdefinovaných výzev získat další informace o existujících zásadách, včetně jejich dopadu.

Vytváření sestav a řešení potíží

V Centru pro správu Intune můžete pomocí integrovaných funkcí generování sestav najít a vyřešit konflikty.

1. V Centru pro správu Intune vyberte Zařízení>Spravovat konfiguraci zařízení>. V seznamu vyberte zásadu, kterou jste vytvořili pomocí katalogu nastavení. Ve sloupci Typ profilu se zobrazuje Katalog nastavení:

   

2. Když zásadu vyberete, zobrazí se stav zařízení. Zobrazuje souhrn stavu zásad a vlastností zásad. Zásady můžete také změnit nebo aktualizovat v části Nastavení konfigurace :

   

3. Vyberte Zobrazit sestavu. Sestava zobrazuje podrobné informace, včetně názvu zařízení, stavu zásad a dalších informací. Můžete také filtrovat stav nasazení a exportovat sestavu .csv do souboru:

   

4. Na stav jednotlivých nastavení se můžete podívat také pomocí stavu jednotlivých nastavení, což je počet zařízení ovlivněných jednotlivými nastaveními v zásadách.

   Máte tyto možnosti:

   • Podívejte se na počet zařízení s úspěšně použitým nastavením, která jsou v konfliktu nebo jsou chybná.
   • Vyberte počet zařízení, která vyhovují předpisům, konfliktu nebo chybě. Podívejte se na seznam uživatelů nebo zařízení v tomto stavu.
   • Můžete vyhledávat, řadit, filtrovat, exportovat a přejít na další a předchozí stránku.

5. V Centru pro správu vyberte Zařízení>Monitorovat>selhání přiřazení. Pokud se zásady katalogu nastavení nepodařilo nasadit kvůli chybě nebo konfliktu, zobrazí se v tomto seznamu. Můžete také exportovat do .csv souboru.

6. Výběrem zásady zobrazíte zařízení. Pak vyberte konkrétní zařízení, abyste viděli nastavení, které selhalo, a případně kód chyby.

Tip

Sestavy Intune jsou skvělým prostředkem. Informace o všech datech sestav, která můžete zobrazit, najdete v tématu Sestavy Intune.

Další informace o řešení konfliktů najdete tady:

• Monitorování profilů zařízení
• Běžné dotazy a odpovědi týkající se zásad zařízení

Copilot

Funkce Copilot vám pomůže zjistit stav stávajících zásad, zjistit stav konkrétního nastavení v zásadách a zobrazit případné konflikty.

1. V Centru pro správu Intune vyberte Zařízení>Spravovat konfiguraci zařízení>. V seznamu zásad vyberte zásadu, kterou chcete vyhodnotit pomocí copilotu.

2. Když zásadu vyberete, zobrazí se stav zařízení. Vyberte Sumarizovat pomocí Copilotu:

   

   Automaticky se zobrazí souhrn, který obsahuje nastavení v zásadách & jejich hodnoty.

3. Můžete také vybrat průvodce výzvou a vybrat z existujícího seznamu možností:

   

Katalog nastavení vs. šablony

Při vytváření zásad máte na výběr ze dvou typů zásad: Katalog nastavení a Šablony:

Šablony zahrnují logickou skupinu nastavení, jako je veřejný terminál, SÍŤ VPN, Wi-Fi a další. Tuto možnost použijte, pokud chcete tato seskupení použít ke konfiguraci nastavení.

Katalog Nastavení obsahuje seznam všech dostupných nastavení. Pokud chcete zobrazit všechna dostupná nastavení brány firewall nebo všechna dostupná nastavení nástroje BitLocker, použijte tuto možnost. Tuto možnost použijte také v případě, že hledáte konkrétní nastavení.

Obor zařízení vs. nastavení oboru uživatele

Když vyberete nastavení, některá nastavení mají (User) v názvu nastavení značku nebo (Device) , například Allow EAP Cert SSO (User) nebo Grouping (Device). Když se tyto značky zobrazí, zásady ovlivní jenom obor uživatele nebo obor zařízení.

Další informace o oboru uživatele a oboru zařízení najdete v tématu o zprostředkovateli CSP zásad.

Skupiny zařízení a uživatelů se používají při přiřazování zásad. Obory zařízení a uživatelů popisují, jak se zásady vynucují.

Chování přiřazení oboru

Když nasazujete zásady z Intune, můžete přiřadit obor uživatele nebo obor zařízení libovolnému typu cílové skupiny. Chování zásad na uživatele závisí na rozsahu nastavení:

• Zásady s oborem uživatele zapisují do HKEY_CURRENT_USER (HKCU).
• Zásady s oborem zařízení zapisují do HKEY_LOCAL_MACHINE (HKLM).

Když se zařízení přihlásí do Intune, vždy zobrazí deviceID. Zařízení může nebo nemusí prezentovat userID, v závislosti na načasování vracení se změnami a na tom, jestli je uživatel přihlášený.

Následující seznam obsahuje některé možné kombinace rozsahu, přiřazení a očekávaného chování:

• Pokud je k zařízení přiřazená zásada oboru zařízení, mají toto nastavení všichni uživatelé na daném zařízení.
• Pokud je uživateli přiřazená zásada s oborem zařízení, po přihlášení a synchronizaci Intune se nastavení oboru zařízení použije na všechny uživatele na zařízení.
• Pokud je k zařízení přiřazená zásada oboru uživatele, použije se toto nastavení u všech uživatelů na daném zařízení. Toto chování se podobá zpětné smyčce nastavené na sloučení.
• Pokud je k uživateli přiřazena zásada s oborem uživatele, použije se toto nastavení jenom u tohoto uživatele.
• V oboru uživatele a v oboru zařízení jsou k dispozici některá nastavení. Pokud je jedno z těchto nastavení přiřazeno oboru uživatele i zařízení, má obor uživatele přednost před oborem zařízení.

Pokud během počátečních kontrol není uživatelský podregistr , můžete vidět některá nastavení oboru uživatele označená jako nepoužitelná. K tomuto chování dochází v raných okamžicích aktivity zařízení před přítomností uživatele.

Další kroky

• Úkoly, které můžete dokončit pomocí katalogu nastavení v Intune
• Vytvoření zásady univerzálního tisku v Microsoft Intune
• Přiřaďte profil a sledujte jeho stav.
• Přehled Microsoft Copilotu pro Intune