Konfigurace nastavení pomocí katalogu nastavení Intune

Katalog nastavení uvádí všechna nastavení, která můžete konfigurovat, a umístí je na jedno místo. Tato funkce zjednodušuje vytváření zásad a zobrazení všech dostupných nastavení. Katalog nastavení můžete například použít k vytvoření zásady nástroje BitLocker se všemi nastaveními nástroje BitLocker.

V Intune můžete také použít Microsoft Copilot. Pokud používáte funkce Copilotu s katalogem nastavení, můžete pomocí funkce Copilot:

• Přečtěte si další informace o jednotlivých nastaveních a zjistěte potenciální konflikty.
• Shrňte existující zásady a získejte analýzu dopadu na uživatele a zabezpečení.

Pokud dáváte přednost konfiguraci nastavení na podrobné úrovni, podobně jako u místních objektů Zásady skupiny (GPO), katalog nastavení představuje přirozený přechod na cloudové zásady.

Když vytvoříte zásadu, začnete úplně od začátku. Přidáte jenom nastavení, která chcete řídit a spravovat.

Pokud chcete spravovat a zabezpečit zařízení ve vaší organizaci, použijte katalog nastavení jako součást řešení správy mobilních zařízení (MDM). Do katalogu nastavení se průběžně přidávají další nastavení. Aktuální seznam nastavení najdete v úložišti IntunePMFiles/DeviceConfig Na GitHubu.

Tato funkce platí pro:

• Android

  Katalog nastavení pro Android obsahuje seznam nastavení dostupných pro zařízení s Androidem (AOSP) a zařízení s Androidem Enterprise vlastněná společností. Do katalogu nastavení se průběžně přidávají další nastavení pro zařízení s Androidem.

  Seznam nastavení Androidu, která můžete konfigurovat, najdete v tématu Seznam nastavení v katalogu nastavení androidu Intune.

• Apple

  Zahrnuje nastavení zařízení, která jsou přímo generována z Apple Profile-Specific Klíče datové části. Průběžně se přidávají další nastavení a klíče. Do katalogu nastavení je také integrovaná deklarativní správa zařízení (DDM) společnosti Apple. Další informace o klíčích datových částí specifických pro profil najdete v tématu Klíče datové části specifické pro profil na webu společnosti Apple.

  Katalog nastavení můžete použít ke konfiguraci nastavení pro zařízení Apple s následujícími platformami:

  iOS/iPadOS

  V katalogu nastavení můžete pomocí správy deklarativních zařízení (DDM) instalovat aktualizace (deklarativní Správa zařízení>Aktualizace softwaru), konfigurovat nastavení hesla (bezpečnostní>heslo), blokovat cloudové funkce, jako je zálohování a synchronizace dokumentů (omezení), a spravovat funkce v Safari (deklarativní Správa zařízení>Safari) a další.

  Když nakonfigurujete nastavení na zařízeních s iOS/iPadOS 15+ zaregistrovaných pomocí registrace uživatelů, automaticky používáte DDM. Pokud DDM nefunguje, používají tato zařízení standardní protokol MDM společnosti Apple. Všechna ostatní zařízení s iOS/iPadOS nadále používají standardní protokol MDM společnosti Apple.

  macOS

  Mezi běžné scénáře patří:

  • Nakonfigurujte Zámek obnovení , který pomáhá chránit vaše zařízení před neoprávněnou přeinstalací a vymazáním dat.

  • Deklarativní Správa zařízení slouží ke správě aktualizací softwaru, omezení hesel a dalších možností.

  • Nakonfigurujte novější verze Microsoft Edge a další funkce místo souborů seznamu vlastností (plist). Další informace najdete tady:

    • Integrované funkce macOS nahrazující soubory plist
    • Přidání souboru seznamu vlastností do zařízení s macOS pomocí Microsoft Intune

  tvOS

  Můžete importovat soubor, který jste vytvořili pomocí Apple Configuratoru nebo Apple Profile Manageru. Proměnné nejsou podporované, takže žádné zástupné symboly nebo proměnné v profilu nebudou platit.

  visionOS

  Můžete importovat soubor, který jste vytvořili pomocí Apple Configuratoru nebo Apple Profile Manageru. Proměnné nejsou podporované, takže žádné zástupné symboly nebo proměnné v profilu nebudou platit.

---

• Windows

  Existují tisíce nastavení, včetně šablon pro správu (ADMX), a další nastavení se průběžně přidávají. Tato nastavení se generují přímo z poskytovatelů konfiguračních služeb (CSP) systému Windows. Vzhledem k tomu, že Systém Windows přidává nebo zveřejňuje další nastavení pro poskytovatele MDM, přidají se tato nastavení do Microsoft Intune, které můžete nakonfigurovat.

Tento článek popisuje postup vytvoření zásady, ukazuje, jak hledat a filtrovat nastavení v Intune, a ukazuje, jak používat Copilot.

Když vytvoříte zásadu, vytvoří se profil konfigurace zařízení. Pak můžete tento profil přiřadit nebo nasadit do zařízení ve vaší organizaci.

Informace o oblíbených funkcích, které můžete nakonfigurovat pomocí katalogu nastavení, najdete v tématu Úkoly, které můžete dokončit pomocí katalogu nastavení v Intune.

Než začnete

• Seznam nastavení v katalogu nastavení najdete v úložišti IntunePMFiles/DeviceConfig na GitHubu.
• Pokud chcete zobrazit zásady Microsoft Edge, které jste nakonfigurovali, otevřete Microsoft Edge a přejděte na edge://policy. Seznam aktuálních a zastaralých nastavení Microsoft Edge najdete v tématu Microsoft Edge – Zásady.
• Popisy tlačítek a odkazy Další informace v popisech poskytují další informace o nastavení.

Vytvoření zásady

Zásadu vytvoříte pomocí typu profilu katalogu nastavení.

1. Přihlaste se k Centru pro správu Microsoft Intune pomocí účtu, který má alespoň integrovanou roli Správce zásad a profilů.

   Další informace o předdefinovaných rolích najdete v tématu Řízení přístupu na základě role pro Microsoft Intune.

2. Vyberte Zařízení>Spravovat zařízení>Konfigurace>Vytvořit>Nová zásada.

3. Zadejte tyto vlastnosti:

   • Platforma: Vyberte svoji platformu:
     • Android Enterprise
     • Android (AOSP)
     • iOS/iPadOS
     • macOS
     • tvOS
     • visionOS
     • Platforma: Windows 10 a novější
   • Typ profilu: Vyberte Katalog Nastavení.

4. Vyberte Vytvořit.

5. V Základy zadejte následující vlastnosti:

   • Název: Pojmenujte si profily, abyste je později mohli snadno identifikovat. Dobrý název profilu je například macOS: Nastavení Microsoft Edge nebo Win10: Nastavení nástroje BitLocker pro všechna zařízení s Win10.
   • Popis: Zadejte popis profilu. Toto nastavení je volitelné, ale doporučuje se.

6. Vyberte Další.

7. V nastavení konfigurace vyberte Přidat nastavení. Ve výběru nastavení vyberte kategorii a zobrazte všechna dostupná nastavení.

   Například v zásadách windows vyberte Ověřování , aby se zobrazila všechna nastavení v této kategorii:

   

8. Vyberte libovolné nastavení, které chcete nakonfigurovat. Nebo zvolte Vybrat všechna tato nastavení:

   

   Po přidání nastavení zavřete výběr nastavení. Všechna nastavení se zobrazí a nakonfigurují s výchozí hodnotou, například Blokovat nebo Povolit. Tyto výchozí hodnoty jsou stejné výchozí hodnoty v operačním systému. Pokud nechcete konfigurovat nastavení, vyberte znaménko minus (-):

   

   Když vyberete mínus:

   • Intune toto nastavení nezmění ani neaktualizuje. Mínus je stejný jako Nenakonfigurováno. Pokud je nastaveno na Nenakonfigurováno, nastavení už se nespravuje.
   • Nastavení se ze zásad odebere. Při příštím otevření zásady se nastavení nezobrazí. Ale můžete ho znovu přidat.
   • Když se zařízení příště přihlásí se změnami, nastavení se už na zařízení nezamkne. Zásadu může změnit jiný uživatel nebo uživatel zařízení.

   Tip

   • V popisech nastavení Windows najdete další odkazy na poskytovatele CSP.

   • Pokud nastavení umožňuje více hodnot, přidejte každou hodnotu zvlášť. Donastavení Seznam povolených služebBluetooth> můžete například zadat více hodnot. Zadejte každou hodnotu na samostatný řádek:

     Do jednoho pole můžete přidat více hodnot, ale může dojít k omezení počtu znaků.

9. Vyberte Další.

10. V části Značky oboru (volitelné) přiřaďte značku pro filtrování profilu pro konkrétní skupiny IT, například US-NC IT Team nebo JohnGlenn_ITDepartment. Další informace o značkách oboru najdete v tématu Použití rolí RBAC a značek oboru pro distribuované IT.

    Vyberte Další.

11. V části Přiřazení vyberte uživatele nebo skupiny, které obdrží váš profil. Další informace najdete v tématu Přiřazení profilů uživatelů a zařízení.

    Vyberte Další.

12. V Zkontrolovat a vytvořit zkontrolujte nastavení. Když vyberete Vytvořit, změny se uloží a profil se přiřadí. Zásada se taky zobrazuje v seznamu profilů.

Když zařízení příště vyhledá aktualizace konfigurace, použije nastavení, která jste nakonfigurovali.

Vyhledání některých nastavení a další informace o jednotlivých nastaveních

Katalog nastavení nabízí tisíce nastavení. Pokud chcete najít požadovaná nastavení, použijte funkce vyhledávání a filtrování.

Pokud používáte Copilot, můžete získat informace o jednotlivých nastaveních vygenerované pomocí umělé inteligence.

Hledání a filtrování

Když vytváříte nové zásady nebo aktualizujete existující zásady, použijte k vyhledání nastavení integrované funkce vyhledávání a filtrování.

• Pokud chcete v zásadách najít konkrétní nastavení, použijte možnost Přidat nastavení>Hledání. Můžete hledat podle kategorií, například browser; vyhledat klíčové slovo, například office nebo google; a vyhledat konkrétní nastavení.

  Vyhledejte internet explorernapříklad . Zobrazí se všechna nastavení s internet explorer . Výběrem kategorie zobrazíte dostupná nastavení:

  

• V zásadách použijte Přidat nastavení>Přidat filtr. Výběrem klíče, operátoru a hodnoty vyfiltrujte seznam nastavení.

  V závislosti na vaší platformě můžete filtrovat různé vlastnosti, jako je edice operačního systému Windows, rozsah uživatele nebo zařízení a režim registrace zařízení s Androidem (plně spravovaný pracovní profil vlastněný společností, vyhrazený).

  • Když například vyfiltrujete edici OS, můžete filtrovat nastavení, která platí pro konkrétní edice Windows:

    

    Poznámka

    U nastavení Microsoft Edge, Office a OneDrivu verze nebo edice operačního systému neurčí, jestli se nastavení použije. Takže pokud filtrujete na konkrétní edici, jako je Windows Professional, nastavení Microsoft Edge, Office a OneDrive se nezobrazí.

  • Pomocí filtrů režimu správy Androidu můžete použít nastavení, která jsou relevantní pro scénáře vašeho zařízení, jako jsou nastavení, která platí jenom pro plně spravovaná zařízení. Pokud použijete filtr s alespoň dvěma režimy správy, zobrazí se všechna nastavení, která platí alespoň pro jeden režim správy.

    Můžete například zvolit filtr, který zahrnuje plně spravované a vyhrazené režimy správy. Zobrazí se všechna nastavení, která platí alespoň pro jeden z těchto režimů. Zobrazení se neomezuje na nastavení, která platí pro oba režimy. Jinými slovy:

    • Pokud nastavení funguje jenom pro plně spravované, zobrazí se.
    • Pokud jiné nastavení funguje jenom pro vyhrazené, zobrazí se nastavení.
    • Pokud nastavení funguje u obou, zobrazí se nastavení.

Copilot

Pokud používáte zásady katalogu nastavení, získejte pomocí funkce Copilot další informace o konkrétním nastavení.

1. V zásadách vyberte Přidat nastavení. Ve výběru nastavení vyberte některá nastavení. Například v zásadách pro macOS rozbalte deklarativní Správa zařízení>Aktualizace> softwaruVyberte všechna tato nastavení. Zavřete výběr nastavení.

2. Pro nastavení si všimněte popisu Copilotu:

   

3. Když vyberete popis tlačítka Copilot, zobrazí se automaticky další informace o nastavení:

   

4. V Copilot Chat můžete také začít psát výzvu a Copilot navrhuje relevantní výzvy:

   

Kopírování profilu

Výběrem možnosti Duplikovat vytvořte kopii existujícího profilu. Duplikování je užitečné, když potřebujete profil podobný původnímu. Kopie obsahuje stejné konfigurace nastavení a značky oboru jako původní profil, ale nemá připojené přiřazení.

Jakmile nový profil pojmenujete, můžete ho upravit a upravit jeho nastavení a přidat přiřazení.

1. Přejděte na Zařízení>Spravovat zařízení>Konfigurace.
2. Najděte profil, který chcete zkopírovat. Klikněte pravým tlačítkem na profil nebo vyberte místní nabídku se třemi tečkami (…).
3. Vyberte Duplikovat.
4. Zadejte nový název a popis zásady.
5. Uložte provedené změny.

Import a export profilu

Při vytváření zásad katalogu nastavení můžete zásady exportovat do .json souboru. Potom můžete tento soubor importovat a vytvořit tak novou zásadu. Tato funkce je užitečná, pokud chcete vytvořit zásadu, která se podobá existující zásadě. Například vyexportujete zásadu, naimportujete ji, abyste vytvořili novou zásadu, a pak v ní uděláte změny.

1. Přejděte na Zařízení>Spravovat zařízení>Konfigurace.

2. Pokud chcete exportovat existující zásadu, vyberte zásadu katalogu nastavení Windows a pak vyberte tři tečky nebo místní nabídku (…) >Exportovat JSON:

   

3. Pokud chcete importovat dříve exportované zásady katalogu nastavení, vyberte Vytvořit>zásadu importu:

   

   Vyberte soubor JSON, který jste exportovali, a pojmenujte novou zásadu. Uložte provedené změny.

Konflikty a generování sestav

Ke konfliktům dochází, když aktualizujete stejné nastavení na jiné hodnoty. Tento konflikt zahrnuje zásady, které konfigurujete pomocí katalogu nastavení. V Centru pro správu Intune můžete zkontrolovat stav stávajících zásad. Data se aktualizují automaticky téměř v reálném čase.

Existují integrované funkce, které vám můžou pomoct při řešení konfliktů, včetně hlášení stavu podle nastavení.

Pokud používáte Copilot, můžete pomocí předdefinovaných výzev získat další informace o existujících zásadách, včetně jejich dopadu.

Vytváření sestav a řešení potíží

V Centru pro správu Intune využijte integrované funkce generování sestav, které vám pomůžou najít a vyřešit konflikty.

1. V Centru pro správu Intune vyberte Zařízení>Spravovat konfiguraci zařízení>. V seznamu vyberte zásadu, kterou jste vytvořili pomocí katalogu nastavení. Ve sloupci Typ profilu se zobrazuje Katalog nastavení:

   

2. Když zásadu vyberete, zobrazí se stav zařízení. Zobrazuje souhrn stavu zásad a vlastností zásad. Zásady můžete také změnit nebo aktualizovat v části Nastavení konfigurace :

   

3. Vyberte Zobrazit sestavu. Sestava zobrazuje podrobné informace, včetně názvu zařízení, stavu zásad a dalších informací. Můžete také filtrovat stav nasazení a exportovat sestavu .csv do souboru:

   

4. Na stav jednotlivých nastavení se můžete podívat také pomocí stavu jednotlivých nastavení, což je počet zařízení ovlivněných jednotlivými nastaveními v zásadách.

   Máte tyto možnosti:

   • Podívejte se na počet zařízení s úspěšně použitým nastavením, která jsou v konfliktu nebo jsou chybná.
   • Vyberte počet zařízení, která vyhovují předpisům, konfliktu nebo chybě. Podívejte se na seznam uživatelů nebo zařízení v tomto stavu.
   • Můžete vyhledávat, řadit, filtrovat, exportovat a přejít na další a předchozí stránku.

5. V Centru pro správu vyberte Zařízení>Monitorovat>selhání přiřazení. Pokud se zásady katalogu nastavení nepodařilo nasadit kvůli chybě nebo konfliktu, zobrazí se v tomto seznamu. Můžete také exportovat do .csv souboru.

6. Výběrem zásady zobrazíte zařízení. Pak vyberte konkrétní zařízení, abyste viděli nastavení, které selhalo, a případně kód chyby.

Tip

Intune sestavy jsou skvělým zdrojem informací. Informace o všech datech sestav, která můžete zobrazit, najdete v části Intune sestav.

Další informace o řešení konfliktů najdete tady:

• Monitorování profilů zařízení
• Běžné otázky a odpovědi týkající se zásad zařízení

Copilot

Funkce Copilot vám pomůže zjistit stav stávajících zásad, zjistit stav konkrétního nastavení v zásadách a zobrazit případné konflikty.

1. V Centru pro správu Intune vyberte Zařízení>Spravovat konfiguraci zařízení>. V seznamu zásad vyberte zásadu, kterou chcete vyhodnotit pomocí copilotu.

2. Když zásadu vyberete, zobrazí se stav zařízení. Vyberte Sumarizovat pomocí Copilotu:

   

   Automaticky se zobrazí souhrn, který obsahuje nastavení v zásadách a jejich hodnoty.

3. V Copilot Chat můžete zadat conflicts a vybrat výzvu.

Katalog nastavení vs. šablony

Při vytváření zásad máte na výběr ze dvou typů zásad: Katalog nastavení a Šablony:

Šablony zahrnují logickou skupinu nastavení, jako je veřejný terminál, SÍŤ VPN, Wi-Fi a další. Tuto možnost použijte, pokud chcete tato seskupení použít ke konfiguraci nastavení.

Katalog Nastavení obsahuje seznam všech dostupných nastavení. Pokud chcete zobrazit všechna dostupná nastavení brány firewall nebo všechna dostupná nastavení nástroje BitLocker, použijte tuto možnost. Tuto možnost použijte také v případě, že hledáte konkrétní nastavení.

Obor zařízení vs. nastavení oboru uživatele

Když vyberete nastavení, některá nastavení obsahují (User) v názvu nastavení značku nebo (Device) , například Allow EAP Cert SSO (User) nebo Grouping (Device). Tyto značky označují, že zásady mají vliv jenom na obor uživatele nebo na obor zařízení.

Další informace o oboru uživatele a oboru zařízení najdete v tématu o zprostředkovateli CSP zásad.

Skupiny zařízení a uživatelů se používají při přiřazování zásad. Obory zařízení a uživatelů popisují, jak se zásady vynucují.

Chování přiřazení oboru

Když nasadíte zásady z Intune, můžete přiřadit obor uživatele nebo obor zařízení libovolnému typu cílové skupiny. Chování zásad na uživatele závisí na rozsahu nastavení:

• Zásady s oborem uživatele zapisují do HKEY_CURRENT_USER (HKCU).
• Zásady s oborem zařízení zapisují do HKEY_LOCAL_MACHINE (HKLM).

Když se zařízení přihlásí k Intune, vždy zobrazí deviceID. Zařízení může nebo nemusí prezentovat userID, v závislosti na načasování vracení se změnami a na tom, jestli je uživatel přihlášený.

Následující seznam obsahuje některé možné kombinace rozsahu, přiřazení a očekávaného chování:

• Pokud k zařízení přiřadíte zásadu oboru zařízení, použije se toto nastavení u všech uživatelů na daném zařízení.
• Pokud přiřadíte uživateli zásadu oboru zařízení, po přihlášení a Intune synchronizaci se nastavení oboru zařízení použije pro všechny uživatele na zařízení.
• Pokud přiřadíte k zařízení zásadu oboru uživatele, použije se toto nastavení u všech uživatelů na daném zařízení. Toto chování se podobá zpětné smyčce nastavené na sloučení.
• Pokud přiřadíte zásadu oboru uživatele uživateli, použije se toto nastavení jenom u tohoto uživatele.
• Některá nastavení jsou k dispozici v oboru uživatele i v oboru zařízení. Pokud jedno z těchto nastavení přiřadíte oboru uživatele i zařízení, bude mít obor uživatele přednost před oborem zařízení.

Pokud během počátečních kontrol není uživatelský podregistr , můžete vidět některá nastavení oboru uživatele označená jako nepoužitelná. K tomuto chování dochází v raných okamžicích aktivity zařízení před přítomností uživatele.

Související články

• Úlohy, které můžete dokončit pomocí katalogu nastavení v Intune
• Vytvoření zásady univerzálního tisku v Microsoft Intune
• Přiřaďte profil a sledujte jeho stav.
• Přehled Microsoft Copilot pro Intune