Vytvoření konfiguračního profilu zařízení v Microsoft Intune

Profily konfigurace zařízení umožňují přidávat a konfigurovat nastavení zařízení a pak tato nastavení odesílat do zařízení ve vaší organizaci. Při vytváření zásad máte několik možností:

• Standardní hodnoty: Na zařízeních s Windows zahrnují tyto směrné plány předkonfigurovaná nastavení zabezpečení. Pokud chcete vytvořit zásady zabezpečení pomocí doporučení týmů zabezpečení Microsoftu, použijte standardní hodnoty zabezpečení.

  Další informace najdete v tématu Správa modulů plug-in v Microsoft Security Copilot.

• Katalog nastavení: Na zařízeních Apple, Android a Windows můžete pomocí katalogu nastavení nakonfigurovat funkce a nastavení zařízení. Katalog nastavení má všechna dostupná nastavení a na jednom místě. Můžete například zobrazit všechna nastavení, která platí pro BitLocker, a vytvořit zásadu, která se zaměřuje jenom na Nástroj BitLocker. Na zařízeních s macOS pomocí katalogu nastavení nakonfigurujte Microsoft Edge verze 77 a nastavení.

  Do katalogu nastavení se průběžně přidávají další nastavení. Další informace najdete v katalogu Nastavení.

• Šablony: Na svých zařízeních můžete použít předdefinované šablony. Každá šablona obsahuje logické seskupení nastavení, která konfigurují funkci nebo koncept, například VPN, e-mail, zařízení v beznabídkovém režimu a další. Pokud jste obeznámeni s vytvářením zásad konfigurace zařízení v Microsoft Intune, pak už tyto šablony používáte.

  Další informace, včetně dostupných šablon, najdete v článku Použití funkcí a nastavení na zařízeních pomocí profilů zařízení.

Tento článek:

• Zobrazí seznam kroků pro vytvoření profilu.
• Ukazuje, jak přidat značku oboru pro filtrování zásad.
• Popisuje pravidla použitelnosti na klientských zařízeních s Windows a ukazuje, jak pravidlo vytvořit.
• Obsahuje další informace o časech cyklu aktualizace se změnami, kdy zařízení obdrží profily a všechny aktualizace profilu.

Tato funkce platí pro:

• Android
• iOS/iPadOS
• macOS
• Windows

Požadavky

• Přihlaste se minimálně do Centra pro správu Microsoft Intune s rolí Správce zásad a profilů . Informace o předdefinovaných rolích v Intune a o tom, co můžou dělat, najdete v tématu Řízení přístupu na základě role (RBAC) v Microsoft Intune.

• Zaregistrujte svá zařízení v Intune. Další informace o možnostech registrace najdete v průvodci registrací v Microsoft Intune.

Vytvoření profilu

V Centru pro správu Intune vyberte Zařízení. Budete mít také následující možnosti:

• Přehled: Seznamy stav některých vašich profilů a poskytuje další podrobnosti o profilech, které jste přiřadili uživatelům a zařízením.

• Monitorování: Seznamy všechny sestavy monitorování zařízení. Pomocí těchto sestav můžete zkontrolovat selhání přiřazení zásad konfigurace, neúplné registrace uživatelů, nevyhovující zařízení, selhání instalace aktualizací atd.

• Podle platformy: Rozbalením této možnosti získáte seznam podporovaných platforem, jako je Android a Linux. Když vyberete platformu, můžete vytvořit a zobrazit zásady a profily pro vámi zvolenou platformu.

  Toto zobrazení může také zobrazit funkce specifické pro danou platformu. Vyberte například Windows. Zobrazí se funkce specifické pro Windows, jako jsou skripty a nápravy a analýza zásad skupiny.

• Správa zařízení: Rozbalením této možnosti zobrazíte zásady, které můžete vytvořit, jako jsou zásady dodržování předpisů a konfigurace.

Při vytváření profilu (Správa> zařízení– Konfigurace>zařízení>Vytvořit>novou zásadu) zvolte svoji platformu:

• Registrace správce zařízení s Androidem
• Android (AOSP)
• Android Enterprise
• iOS/iPadOS
• macOS
• Platforma: Windows 10 a novější
• Windows 8.1 a novější

Pak zvolte typ profilu. V závislosti na zvolené platformě se typy profilů liší. Následující články popisují různé profily:

Katalog nastavení

• Katalog nastavení – obsahuje seznam všech dostupných nastavení pro Android Enterprise, iOS/iPadOS, macOS a Windows. Můžete vyhledávat a filtrovat konkrétní nastavení a oblasti, jako je OneDrive nebo Microsoft Edge.

Katalog vlastností

• Katalog vlastností – obsahuje seznam dostupných vlastností zařízení pro zařízení s Windows, jako je výrobce procesoru, identifikátor síťového adaptéru a další.

Šablony

Každá šablona je logická skupina nastavení seskupených dohromady, například Email, VPN a Wi-Fi.

• Konfigurace systému BIOS a další nastavení
• Vlastní
• Optimalizace doručení (Windows)
• Odvozené přihlašovací údaje (Android Enterprise, iOS, iPadOS)
• Funkce zařízení (macOS, iOS, iPadOS)
• Rozhraní pro konfiguraci firmwaru zařízení (DFCI) (Windows)
• Omezení zařízení
• Připojení k doméně (Windows)
• Upgrade edice a přepnutí režimu (Windows)
• Education (iOS, iPadOS)
• E-mail
• Endpoint protection (macOS, Windows)
• Rozšíření (macOS)
• Exchange Kiosk
• Microsoft Defender for Endpoint
• Profil MX (Mobility Extensions) (správce zařízení s Androidem)
• Hranice sítě (Windows)
• OEMConfig (Android Enterprise)
• Certifikát PKCS
• Importovaný certifikát PKCS
• Soubor předvoleb (macOS)
• Certifikát SCEP
• Zabezpečené hodnocení (Education) (Windows)
• Sdílené zařízení s více uživateli (Windows)
• Důvěryhodný certifikát
• Integrace VPN
• Wi-Fi
• Monitorování stavu Windows
• Kabelové sítě (macOS)

Pokud například jako platformu vyberete Windows, budou vaše možnosti vypadat podobně jako v následujícím profilu:

Značky oboru

Po přidání nastavení můžete do profilu také přidat značku oboru. V části Značky oboru (volitelné) přiřaďte značku pro filtrování profilu pro konkrétní skupiny IT, například US-NC IT Team nebo JohnGlenn_ITDepartment. A používají se v distribuovaném IT.

Další informace o značkách oboru a o tom, co můžete dělat, najdete v tématu Použití RBAC a značek oboru pro distribuované IT.

Pravidla použitelnosti

Platí pro:

• Windows

Pravidla použitelnosti umožňují správcům cílit na zařízení ve skupině, která splňují konkrétní kritéria. Můžete například vytvořit profil omezení zařízení, který se vztahuje na skupinu Všechna zařízení s Windows . A chcete, aby se profil přiřadil jenom k zařízením s Windows Enterprise.

Chcete-li provést tuto úlohu, vytvořte pravidlo použitelnosti. Tato pravidla jsou skvělá pro následující scénáře:

• Na Bellows College chcete cílit na všechna zařízení s Windows se systémem Windows 11 verze 24H2.
• Chcete cílit na všechny uživatele v oddělení lidských zdrojů ve společnosti Contoso, ale chcete jenom zařízení s Windows Professional nebo Enterprise.

Pokud se chcete k těmto scénářům přiblížit, postupujte následovně:

• Vytvořte skupinu zařízení, která zahrnuje všechna zařízení na Bellows College. V profilu přidejte pravidlo použitelnosti, které bude platit, pokud je minimální verze operačního systému 10.0.26100 a maximální verze je 10.0.26200. Přiřaďte tento profil skupině zařízení Bellows College.

  Když je profil přiřazený, platí pro zařízení mezi minimální a maximální verzí, kterou zadáte. U zařízení, která nejsou mezi minimální a maximální verzí, kterou zadáte, se jejich stav zobrazuje jako Nejde použít.

• Vytvořte skupinu uživatelů, která zahrnuje všechny uživatele v oddělení lidských zdrojů ve společnosti Contoso. Do profilu přidejte pravidlo použitelnosti, které bude platit pro zařízení s Windows Professional nebo Enterprise. Přiřaďte tento profil skupině uživatelů personálního oddělení.

  Když je profil přiřazený, platí pro zařízení se systémem Windows Professional nebo Enterprise. U zařízení, na kterých tyto edice neběží, se jejich stav zobrazuje jako Nejde použít.

• Pokud existují dva profily se stejným nastavením, použije se profil bez pravidla použitelnosti.

  ProfileA například cílí na skupinu zařízení s Windows, povolí nástroj BitLocker a nemá pravidlo použitelnosti. ProfileB cílí na stejnou skupinu zařízení s Windows, povolí nástroj BitLocker a má pravidlo použitelnosti, které profil použije pouze na edici Windows Enterprise.

  Když jsou přiřazené oba profily, použije se ProfileA, protože nemá pravidlo použitelnosti.

Když přiřadíte profil skupinám, pravidla použitelnosti fungují jako filtr a cílí pouze na zařízení, která splňují vaše kritéria.

Přidání pravidla

Pomocí následujícího postupu vytvořte pravidlo použitelnosti.

1. V zásadách vyberte Pravidla použitelnosti. Můžete zvolit pravidlo a vlastnost:

   

2. V Pravidlo zvolte, jestli chcete zahrnout nebo vyloučit uživatele nebo skupiny. Možnosti:

   • Přiřaďte profil, pokud: Zahrnuje uživatele nebo skupiny, které splňují zadaná kritéria.
   • Nepřiřazovat profil, pokud: Vyloučí uživatele nebo skupiny, které splňují zadaná kritéria.

3. V Vlastnost zvolte filtr. Možnosti:

   • Edice operačního systému: V seznamu zkontrolujte klientské edice Windows, které chcete do pravidla zahrnout (nebo vyloučit).

   • Verze operačního systému: Zadejte minimální a maximální číslo verze klienta Windows, které chcete do pravidla zahrnout (nebo vyloučit). Obě hodnoty jsou povinné.

     Můžete například zadat 10.0.16299.0 (RS3 nebo 1709) jako minimální verzi a 10.0.17134.0 (RS4 nebo 1803) jako maximální verzi. Nebo můžete být podrobnější a zadat 10.0.16299.001 minimální verzi a 10.0.17134.319 maximální verzi.

     Další čísla verzí najdete v článku Informace o vydání klienta Windows.

4. Výběrem OK uložte změny.

Časy cyklu aktualizace zásad

Intune používá k vyhledání aktualizací konfiguračních profilů různé cykly aktualizace. Pokud se zařízení nedávno zaregistrovalo, probíhá vracení se změnami častěji. Cykly aktualizace zásad a profilu uvádí odhadovanou dobu aktualizace.

Uživatelé můžou kdykoli otevřít aplikaci Portál společnosti a zařízení synchronizovat, aby okamžitě zkontrolovali aktualizace profilu.

Doporučení

Při vytváření profilů zvažte následující doporučení:

• Pojmenujte zásady, abyste věděli, co jsou a co dělají. Všechny zásady dodržování předpisů a profily konfigurace mají volitelnou vlastnost Popis. V Popis zadejte konkrétní informace a uveďte informace, aby ostatní věděli, co zásada dělá.

  Mezi příklady konfiguračních profilů patří:

  Název profilu: Konfigurační profil OneDrivu pro všechny uživatele Windows
  Popis profilu: Profil OneDrivu, který obsahuje minimální a základní nastavení pro všechny uživatele Windows. Vytvořil user@contoso.com, aby uživatelé nemohli sdílet data organizace s osobními účty OneDrivu.

  Název profilu: Profil VPN pro všechny uživatele iOS/iPadOS
  Popis profilu: Profil VPN, který zahrnuje minimální a základní nastavení pro všechny uživatele iOS/iPadOS pro připojení k síti VPN společnosti Contoso. Vytvořil user@contoso.com, aby se uživatelé automaticky ověřovali ve službě VPN místo toho, aby se uživatelům zobrazovali výzvy k zadání uživatelského jména a hesla.

• Vytvořte si profil podle svých úkolů, jako je konfigurace nastavení Aplikace Microsoft Edge, povolení nastavení antivirové ochrany v programu Microsoft Defender, blokování zařízení s jailbreakem s iOS/iPadOS atd.

• Vytvořte profily, které platí pro konkrétní skupiny, jako je marketing, prodej, správci IT, nebo podle umístění nebo školního systému. Použijte předdefinované funkce, mezi které patří:

  • Další informace najdete v: Použití řízení přístupu na základě role (RBAC) a značek oboru pro distribuované IT.
  • Distribuované IT s mnoha správci ve stejném tenantovi Intune
  • Použití filtrů při přiřazování aplikací, zásad a profilů v Intune

• Oddělte zásady uživatelů od zásad zařízení.

  Například katalog nastavení Intune obsahuje tisíce nastavení. Tato nastavení ukazují, jestli se nastavení vztahuje na uživatele nebo zařízení. Při vytváření zásad přiřaďte uživatelská nastavení ke skupině uživatelů a nastavení zařízení přiřaďte ke skupině zařízení.

  Následující obrázek ukazuje příklad některých nastavení, která se můžou vztahovat na uživatele, použít na zařízení nebo použít pro obojí:

  

• Pomocí Microsoft Copilot v Intune můžete vyhodnotit zásady, získat další informace o nastavení zásad & jeho vliv na uživatele & zabezpečení a porovnat zásady mezi dvěma zařízeními.

  Další informace najdete v tématu Microsoft Copilot v Intune.

• Pokaždé, když vytvoříte omezující zásadu, o této změně informujte uživatele. Pokud například měníte požadavek na heslo ze čtyř (4) znaků na šest (6) znaků, informujte uživatele před přiřazením zásady.

Související obsah

• Přiřaďte profil.
• Monitorujte jeho stav.