Vytvoření profilu Monitorování stavu Windows v Microsoft Intune

Profily zařízení umožňují přidávat a konfigurovat nastavení a pak tato nastavení odesílat do zařízení ve vaší organizaci. Při vytváření zásad máte několik možností:

• Šablony pro správu: Na zařízeních s Windows 10/11 jsou tyto šablony nastavení ADMX, které nakonfigurujete. Pokud znáte zásady ADMX nebo objekty zásad skupiny(GPO), je použití šablon pro správu přirozeným krokem k Microsoft Intune.

  Další informace najdete v tématu Šablony pro správu.

• Standardní hodnoty: Na zařízeních s Windows 10/11 zahrnují tyto standardní hodnoty předkonfigurovaná nastavení zabezpečení. Pokud chcete vytvořit zásady zabezpečení pomocí doporučení týmů zabezpečení Microsoftu, pak jsou standardní hodnoty zabezpečení určené pro vás.

  Další informace najdete v tématu Správa modulů plug-in v Microsoft Security Copilot.

• Katalog nastavení: Na zařízeních Apple a Windows můžete pomocí katalogu nastavení konfigurovat funkce a nastavení zařízení. Katalog nastavení má všechna dostupná nastavení a na jednom místě. Můžete například zobrazit všechna nastavení, která platí pro BitLocker, a vytvořit zásadu, která se zaměřuje jenom na Nástroj BitLocker. Na zařízeních s macOS pomocí katalogu nastavení nakonfigurujte Microsoft Edge verze 77 a nastavení.

  Další informace najdete v katalogu Nastavení.

• Šablony: Na zařízeních s Androidem, iOS/iPadOS, macOS a Windows obsahují šablony logické seskupení nastavení, které konfiguruje funkci nebo koncept, jako je vpn, e-mail, zařízení v beznabídkovém režimu a další. Pokud jste obeznámeni s vytvářením zásad konfigurace zařízení v Microsoft Intune, pak už tyto šablony používáte.

  Další informace, včetně dostupných šablon, najdete v článku Použití funkcí a nastavení na zařízeních pomocí profilů zařízení.

Tento článek:

• Zobrazí seznam kroků pro vytvoření profilu.
• Ukazuje, jak přidat značku oboru pro filtrování zásad.
• Popisuje pravidla použitelnosti na klientských zařízeních s Windows a ukazuje, jak pravidlo vytvořit.
• Obsahuje další informace o časech cyklu aktualizace se změnami, kdy zařízení obdrží profily a všechny aktualizace profilu.

Vytvoření profilu

Profily se vytvářejí v Centru pro správu Microsoft Intune. V tomto centru pro správu vyberte Zařízení. Budete mít také následující možnosti:

• Přehled: Uvádí stav vašich profilů a poskytuje další podrobnosti o profilech, které jste přiřadili uživatelům a zařízením.
• Monitorování: Zkontrolujte stav vašich profilů z hlediska úspěchu nebo selhání a také zobrazte protokoly vašich profilů.
• Podle platformy: Umožňuje vytvářet a zobrazovat zásady a profily podle vaší platformy. Toto zobrazení může také zobrazit funkce specifické pro danou platformu. Vyberte například Windows. Zobrazí se funkce specifické pro Windows, jako jsou Windows aktualizační kanály a skripty PowerShellu.
• Správa zařízení: Vytvářejte profily zařízení, nahrajte vlastní skripty PowerShellu, které se mají spouštět na zařízeních, a přidejte datové plány do zařízení pomocí eSIM karty.

Při vytváření profilu (Konfigurace>Vytvořit) zvolte svoji platformu:

• Registrace správce zařízení s Androidem
• Android Enterprise
• iOS/iPadOS
• macOS
• Platforma: Windows 10 a novější
• Windows 8.1 a novější

Pak zvolte profil. V závislosti na zvolené platformě se nastavení, která můžete nakonfigurovat, liší. Následující články popisují různé profily:

• Šablony pro správu (Windows)
• Konfigurace systému BIOS a další nastavení
• Vlastní
• Optimalizace doručení (Windows)
• Odvozené přihlašovací údaje (Android Enterprise, iOS, iPadOS)
• Funkce zařízení (macOS, iOS, iPadOS)
• Rozhraní pro konfiguraci firmwaru zařízení (DFCI) (Windows)
• Omezení zařízení
• Připojení k doméně (Windows)
• Upgrade edice a přepnutí režimu (Windows)
• Education (iOS, iPadOS)
• E-mail
• Endpoint protection (macOS, Windows)
• Rozšíření (macOS)
• Exchange Kiosk
• Microsoft Defender for Endpoint
• Profil MX (Mobility Extensions) (správce zařízení s Androidem)
• Hranice sítě (Windows)
• OEMConfig (Android Enterprise)
• Certifikát PKCS
• Importovaný certifikát PKCS
• Soubor předvoleb (macOS)
• Certifikát SCEP
• Zabezpečené hodnocení (Education) (Windows)
• Sdílené zařízení s více uživateli (Windows)
• Důvěryhodný certifikát
• Integrace VPN
• Wi-Fi
• Monitorování stavu Windows
• Kabelové sítě (macOS)

Pokud například jako platformu vyberete Android Enterprise, budou vaše možnosti vypadat podobně jako v následujícím profilu:

Pokud jako platformu vyberete Windows 10 a novější, budou vaše možnosti vypadat podobně jako v následujícím profilu:

Značky oboru

Po přidání nastavení můžete do profilu také přidat značku oboru. V části Značky oboru (volitelné) přiřaďte značku pro filtrování profilu pro konkrétní skupiny IT, například US-NC IT Team nebo JohnGlenn_ITDepartment. A používají se v distribuovaném IT.

Další informace o značkách oboru a o tom, co můžete dělat, najdete v tématu Použití RBAC a značek oboru pro distribuované IT.

Pravidla použitelnosti

Platí pro:

• Windows 11
• Windows 10

Pravidla použitelnosti umožňují správcům cílit na zařízení ve skupině, která splňují konkrétní kritéria. Vytvoříte například profil omezení zařízení, který se vztahuje na skupinu Všechna zařízení s Windows 10/11. A chcete, aby se profil přiřadil jenom k zařízením s Windows Enterprise.

Chcete-li provést tuto úlohu, vytvořte pravidlo použitelnosti. Tato pravidla jsou skvělá pro následující scénáře:

• Používáte Windows 10 Education (EDU). Na Bellows College chcete cílit na všechna zařízení s Windows 10 EDU mezi RS3 a RS4.
• Chcete cílit na všechny uživatele v oddělení lidských zdrojů ve společnosti Contoso, ale chcete jenom zařízení s Windows 10 Professional nebo Enterprise.

Pokud se chcete k těmto scénářům přiblížit, postupujte následovně:

• Vytvořte skupinu zařízení, která zahrnuje všechna zařízení na Bellows College. V profilu přidejte pravidlo použitelnosti, které bude platit, pokud je minimální verze operačního systému 16299 a maximální verze je 17134. Přiřaďte tento profil skupině zařízení Bellows College.

  Když je profil přiřazený, platí pro zařízení mezi minimální a maximální verzí, kterou zadáte. U zařízení, která nejsou mezi minimální a maximální verzí, kterou zadáte, se jejich stav zobrazuje jako Nejde použít.

• Vytvořte skupinu uživatelů, která zahrnuje všechny uživatele v oddělení lidských zdrojů ve společnosti Contoso. Do profilu přidejte pravidlo použitelnosti, které bude platit pro zařízení s Windows 10 Professional nebo Enterprise. Přiřaďte tento profil skupině uživatelů personálního oddělení.

  Když je profil přiřazený, vztahuje se na zařízení se systémem Windows 10 Professional nebo Enterprise. U zařízení, na kterých tyto edice neběží, se jejich stav zobrazuje jako Nejde použít.

• Pokud existují dva profily se stejným nastavením, použije se profil bez pravidla použitelnosti.

  ProfileA například cílí na skupinu zařízení s Windows 10, povolí Nástroj BitLocker a nemá pravidlo použitelnosti. ProfileB cílí na stejnou skupinu zařízení s Windows 10, povolí nástroj BitLocker a má pravidlo použitelnosti, které profil použije jenom na Windows 10 Enterprise.

  Když jsou přiřazené oba profily, použije se ProfileA, protože nemá pravidlo použitelnosti.

Když přiřadíte profil skupinám, pravidla použitelnosti fungují jako filtr a cílí pouze na zařízení, která splňují vaše kritéria.

Přidání pravidla

1. V zásadách vyberte Pravidla použitelnosti. Můžete zvolit pravidlo a vlastnost:

   

2. V Pravidlo zvolte, jestli chcete zahrnout nebo vyloučit uživatele nebo skupiny. Možnosti:

   • Přiřaďte profil, pokud: Zahrnuje uživatele nebo skupiny, které splňují zadaná kritéria.
   • Nepřiřazovat profil, pokud: Vyloučí uživatele nebo skupiny, které splňují zadaná kritéria.

3. V Vlastnost zvolte filtr. Možnosti:

   • Edice operačního systému: V seznamu zkontrolujte klientské edice Windows, které chcete do pravidla zahrnout (nebo vyloučit).

   • Verze operačního systému: Zadejte minimální a maximální číslo verze klienta Windows, které chcete do pravidla zahrnout (nebo vyloučit). Obě hodnoty jsou povinné.

     Můžete například zadat 10.0.16299.0 (RS3 nebo 1709) jako minimální verzi a 10.0.17134.0 (RS4 nebo 1803) jako maximální verzi. Nebo můžete být podrobnější a zadat 10.0.16299.001 minimální verzi a 10.0.17134.319 maximální verzi.

     Další čísla verzí najdete v článku Informace o vydání klienta Windows.

4. Výběrem OK uložte změny.

Časy cyklu aktualizace zásad

Intune používá k vyhledání aktualizací konfiguračních profilů různé cykly aktualizace. Pokud se zařízení nedávno zaregistrovalo, probíhá vracení se změnami častěji. Cykly aktualizace zásad a profilu uvádí odhadovanou dobu aktualizace.

Uživatelé můžou kdykoli otevřít aplikaci Portál společnosti a zařízení synchronizovat, aby okamžitě zkontrolovali aktualizace profilu.

Doporučení

Při vytváření profilů zvažte následující doporučení:

• Pojmenujte zásady, abyste věděli, co jsou a co dělají. Všechny zásady dodržování předpisů a profily konfigurace mají volitelnou vlastnost Popis. V Popis zadejte konkrétní informace a uveďte informace, aby ostatní věděli, co zásada dělá.

  Mezi příklady konfiguračních profilů patří:

  Název profilu: Šablona pro správu – Konfigurační profil OneDrivu pro všechny uživatele Windows 10
  Popis profilu: Profil šablony pro správu OneDrivu, který obsahuje minimální a základní nastavení pro všechny uživatele Windows 10. Vytvořil user@contoso.com, aby uživatelé nemohli sdílet data organizace s osobními účty OneDrivu.

  Název profilu: Profil VPN pro všechny uživatele iOS/iPadOS
  Popis profilu: Profil VPN, který zahrnuje minimální a základní nastavení pro všechny uživatele iOS/iPadOS pro připojení k síti VPN společnosti Contoso. Vytvořil user@contoso.com, aby se uživatelé automaticky ověřovali ve službě VPN místo toho, aby se uživatelům zobrazovali výzvy k zadání uživatelského jména a hesla.

• Vytvořte si profil podle svých úkolů, jako je konfigurace nastavení Aplikace Microsoft Edge, povolení nastavení antivirové ochrany v programu Microsoft Defender, blokování zařízení s jailbreakem s iOS/iPadOS atd.

• Vytvořte profily, které platí pro konkrétní skupiny, jako je marketing, prodej, správci IT, nebo podle umístění nebo školního systému. Použijte předdefinované funkce, mezi které patří:

  • Další informace najdete v: Použití řízení přístupu na základě role (RBAC) a značek oboru pro distribuované IT.
  • Distribuované IT s mnoha správci ve stejném tenantovi Intune
  • Použití filtrů při přiřazování aplikací, zásad a profilů v Intune

• Oddělte zásady uživatelů od zásad zařízení.

  Například šablony pro správu v Intune mají tisíce nastavení ADMX. Tyto šablony ukazují, jestli se nastavení vztahuje na uživatele nebo zařízení. Při vytváření šablon pro správu přiřaďte nastavení uživatelů skupině uživatelů a přiřaďte nastavení zařízení ke skupině zařízení.

  Následující obrázek ukazuje příklad nastavení, které se může vztahovat na uživatele, použít na zařízení nebo použít pro obojí:

  

• Pomocí Microsoft Copilotu v Intune můžete vyhodnotit zásady, získat další informace o nastavení zásad a jejich dopadu na uživatele & zabezpečení a porovnat zásady mezi dvěma zařízeními.

  Další informace najdete v tématu Microsoft Copilot v Intune.

• Pokaždé, když vytvoříte omezující zásadu, o této změně informujte uživatele. Pokud například měníte požadavek na heslo ze čtyř (4) znaků na šest (6) znaků, informujte uživatele před přiřazením zásady.

Další kroky

Přiřaďte profil a sledujte jeho stav.