Konfigurace nastavení na zařízeních s Windows, iOS/iPadOS a macOS pomocí katalogu nastavení

Katalog nastavení obsahuje všechna nastavení, která můžete nakonfigurovat, a všechna na jednom místě. Tato funkce zjednodušuje způsob vytváření zásad a zobrazení všech dostupných nastavení. Průběžně se přidávají další nastavení. Seznam nastavení v katalogu nastavení najdete v úložišti IntunePMFiles / DeviceConfig na GitHubu.

Pokud dáváte přednost konfiguraci nastavení na podrobné úrovni, podobně jako u místního objektu zásad skupiny, pak je katalog nastavení přirozeným přechodem na cloudové zásady.

Když vytvoříte zásadu, začnete úplně od začátku. Přidáte jenom nastavení, která chcete řídit a spravovat. Katalog nastavení můžete například použít k vytvoření zásady nástroje BitLocker se všemi nastaveními nástroje BitLocker a všechna na jednom místě v Intune.

Katalog nastavení použijte jako součást řešení správy mobilních zařízení (MDM) ke správě a zabezpečení zařízení ve vaší organizaci.

Tato funkce platí pro:

  • iOS/iPadOS

    Zahrnuje nastavení zařízení, která jsou přímo generována z Apple Profile-Specific Klíče datové části. Neustále se přidávají další nastavení a klíče. Další informace o klíčích datové části specifických pro profil najdete v tématu Klíče datové části specifické pro profil (otevře web společnosti Apple).

    Správa deklarativních zařízení (DDM) společnosti Apple je integrovaná do katalogu nastavení. Když nakonfigurujete nastavení z katalogu nastavení na zařízeních s iOS/iPadOS 15+ zaregistrovaných pomocí registrace uživatelů, automaticky používáte DDM. Pokud DDM z nějakého důvodu nefunguje, pak tato zařízení používají standardní protokol MDM společnosti Apple. Všechna ostatní zařízení s iOS/iPadOS nadále používají standardní protokol MDM společnosti Apple.

  • macOS

    Zahrnuje nastavení zařízení, která jsou přímo generována z Apple Profile-Specific Klíče datové části. Neustále se přidávají další nastavení a klíče. Další informace o klíčích datové části specifických pro profil najdete v tématu Klíče datové části specifické pro profil (otevře web společnosti Apple).

    Deklarativní správa zařízení (DDM) společnosti Apple je k dispozici v katalogu nastavení. DDM můžete použít ke správě aktualizací softwaru, omezení hesla a dalších možností.

  • Windows 10/11

    Existují tisíce nastavení, včetně nastavení, která ještě nebyla k dispozici. Tato nastavení se generují přímo z poskytovatelů konfiguračních služeb (CSP) systému Windows. Můžete také nakonfigurovat šablony pro správu a mít k dispozici další nastavení šablon pro správu. S tím, jak Systém Windows přidává nebo zveřejňuje další nastavení pro poskytovatele MDM, se tato nastavení přidávají rychleji a Microsoft Intune je můžete nakonfigurovat.

Tip

Tento článek uvádí postup vytvoření zásady a ukazuje, jak hledat a filtrovat nastavení v Intune. Když vytvoříte zásadu, vytvoří se profil konfigurace zařízení. Pak můžete tento profil přiřadit nebo nasadit do zařízení ve vaší organizaci.

Informace o některých funkcích, které můžete nakonfigurovat pomocí katalogu nastavení, najdete v tématu Úlohy, které můžete dokončit pomocí katalogu nastavení v Intune.

Vytvoření zásady

  1. Přihlaste se do Centra pro správu Microsoft Intune.

  2. Vyberte Vytvořitkonfiguraci>zařízení>.

  3. Zadejte tyto vlastnosti:

    • Platforma: Vyberte macOS nebo vyberte Windows 10 a novější.
    • Typ profilu: Vyberte Katalog Nastavení.
  4. Vyberte Vytvořit.

  5. V Základy zadejte následující vlastnosti:

    • Název: Zadejte popisný název profilu. Pojmenujte své profily, abyste je později mohli snadno identifikovat. Dobrý název profilu je například macOS: nastavení MSFT Edge nebo Win10: Nastavení nástroje BitLocker pro všechna zařízení s Win10.
    • Popis: Zadejte popis profilu. Toto nastavení není povinné, ale doporučujeme ho zadat.
  6. Vyberte Další.

  7. V nastavení konfigurace vyberte Přidat nastavení. Ve výběru nastavení vyberte kategorii a zobrazte všechna dostupná nastavení.

    Vyberte například Windows 10 a novější a pak vyberte Ověřování, aby se zobrazila všechna nastavení v této kategorii:

    Snímek obrazovky znázorňující katalog nastavení při výběru možnosti Windows a ověřování v Microsoft Intune a Centru pro správu Intune

    Vyberte například macOS. Kategorie Microsoft Edge – Vše obsahuje všechna nastavení, která můžete nakonfigurovat, včetně všech nových nastavení. Mezi další kategorie patří nastavení, která jsou zastaralá, nebo nastavení, která platí pro starší verze:

    Snímek obrazovky, který ukazuje Katalog nastavení, když vyberete macOS a vyberete funkci nebo kategorii v Microsoft Intune a Centru pro správu Intune

    Tip

    • V systému macOS se kategorie dočasně odeberou. Pokud chcete najít konkrétní nastavení, použijte kategorii Microsoft Edge – Vše nebo vyhledejte název nastavení. Seznam názvů nastavení najdete v části Microsoft Edge – Zásady.

    • Pomocí odkazu Další informace v popisu můžete zjistit, jestli je nastavení zastaralé, a zobrazit podporované verze.

  8. Vyberte libovolné nastavení, které chcete nakonfigurovat. Nebo zvolte Vybrat všechna tato nastavení:

    Snímek obrazovky znázorňující nastavení, když vyberete všechna tato nastavení v Microsoft Intune a Centru pro správu Intune

    Po přidání nastavení zavřete výběr nastavení. Všechna nastavení se zobrazí a nakonfigurují s výchozí hodnotou, například Blokovat nebo Povolit. Tyto výchozí hodnoty jsou stejné výchozí hodnoty v operačním systému. Pokud nechcete konfigurovat nastavení, vyberte mínus:

    Snímek obrazovky znázorňující katalog nastavení a to, že výchozí hodnoty v Microsoft Intune a Centru pro správu Intune jsou stejné jako výchozí hodnoty operačního systému

    Když vyberete mínus (-):

    • Intune toto nastavení nezmění ani neaktualizuje. Mínus je stejný jako Nenakonfigurováno. Pokud je nastaveno na Nenakonfigurováno, nastavení už se nespravuje.
    • Nastavení se ze zásad odebere. Při příštím otevření zásady se nastavení nezobrazí. Můžete ho znovu přidat.
    • Když se zařízení příště přihlásí se změnami, nastavení se už nezamkne. Zásadu může změnit jiný uživatel nebo uživatel zařízení.

    Tip

    • V popisech nastavení Windows najdete další odkazy na poskytovatele CSP.

    • Pokud nastavení umožňuje více hodnot, doporučujeme přidat každou hodnotu zvlášť.

      Donastavení Seznam povolených služebBluetooth> můžete například zadat více hodnot. Zadejte každou hodnotu na samostatný řádek: Snímek obrazovky znázorňující nastavení s více hodnotami na samostatném řádku v katalogu nastavení v Microsoft Intune a v Centru pro správu Intune

      Do jednoho pole můžete přidat více hodnot, ale může docházet k omezení znaků.

  9. Vyberte Další.

  10. V části Značky oboru (volitelné) přiřaďte značku pro filtrování profilu pro konkrétní skupiny IT, například US-NC IT Team nebo JohnGlenn_ITDepartment. Další informace o značkách oboru najdete v tématu Použití rolí RBAC a značek oboru pro distribuované IT.

    Vyberte Další.

  11. V části Přiřazení vyberte uživatele nebo skupiny, které obdrží váš profil. Další informace o přiřazování profilů najdete v tématu Přiřazení profilů uživatelů a zařízení.

    Vyberte Další.

  12. V Zkontrolovat a vytvořit zkontrolujte nastavení. Když vyberete Vytvořit, změny se uloží a profil se přiřadí. Zásada se taky zobrazuje v seznamu profilů.

Když zařízení příště vyhledá aktualizace konfigurace, použijí se nastavení, která jste nakonfigurovali.

Vyhledání některých nastavení

V katalogu nastavení jsou k dispozici tisíce nastavení. Pokud si chcete usnadnit hledání konkrétních nastavení, použijte integrované funkce:

  • V zásadách můžete pomocí možnosti Přidat nastavení>Hledat najít konkrétní nastavení. Můžete hledat podle kategorií, například browser, vyhledat klíčové slovo, například office nebo google, a vyhledat konkrétní nastavení.

    Vyhledejte internet explorernapříklad . Zobrazí se všechna nastavení s internet explorer . Výběrem kategorie zobrazíte dostupná nastavení:

    Snímek obrazovky, který zobrazuje Katalog nastavení při hledání Internet Exploreru, aby se zobrazila všechna nastavení IE v Microsoft Intune a Centru pro správu Intune

  • V zásadách použijte Přidat nastavení>Přidat filtr. Vyberte klíč, operátor a hodnotu.

    Při filtrování podle edice OS můžete filtrovat nastavení, která platí pro konkrétní edice Windows:

    Snímek obrazovky znázorňující Katalog nastavení při filtrování seznamu nastavení podle edice Windows v Microsoft Intune a Centru pro správu Intune

    Poznámka

    U nastavení Edge, Office a OneDrive verze nebo edice operačního systému neurčí, jestli se nastavení použije. Pokud tedy vyfiltrujete konkrétní edici, jako je Windows Professional, nastavení Edge, Office a OneDrive se nezobrazí.

    Nastavení můžete také filtrovat podle oboru zařízení nebo uživatele. Další informace o oboru uživatele a oboru zařízení najdete v tématu Nastavení oboru zařízení a oboru uživatele (v tomto článku):

    Snímek obrazovky znázorňující filtr oboru uživatele a zařízení v katalogu nastavení v Microsoft Intune a Centru pro správu Intune

Kopírování profilu

Výběrem možnosti Duplikovat vytvořte kopii existujícího profilu. Duplikování je užitečné, když potřebujete podobný profil, ale liší se od původního profilu. Kopie obsahuje stejné konfigurace nastavení a značky oboru jako původní profil, ale nemá k ní připojená přiřazení. Jakmile nový profil pojmenujete, můžete ho upravit a upravit jeho nastavení a přidat přiřazení.

  1. Přejděte na Konfigurace zařízení>.
  2. Najděte profil, který chcete zkopírovat. Klikněte pravým tlačítkem na profil nebo vyberte místní nabídku se třemi tečkami ().
  3. Vyberte Duplikovat.
  4. Zadejte nový název a popis zásady.
  5. Uložte provedené změny.

Import a export profilu

Tato funkce platí pro:

  • Windows 10 a novější

Při vytváření zásad katalogu nastavení můžete zásady exportovat do .json souboru. Potom můžete tento soubor importovat a vytvořit tak novou zásadu. Tato funkce je užitečná, pokud chcete vytvořit zásadu, která se podobá existující zásadě. Například vyexportujete zásadu, naimportujete ji, abyste vytvořili novou zásadu, a pak v ní uděláte změny.

  1. Přejděte na Konfigurace zařízení>.

  2. Pokud chcete exportovat existující zásadu, vyberte profil > a vyberte místní nabídku se třemi tečky () >Export JSON:

    Snímek obrazovky, který ukazuje, jak exportovat zásady katalogu nastavení jako JSON v Microsoft Intune a Centru pro správu Intune

  3. Pokud chcete importovat dříve exportované zásady katalogu nastavení, vyberte Vytvořit>zásadu importu:

    Snímek obrazovky, který ukazuje, jak importovat existující zásady katalogu nastavení v Microsoft Intune a Centru pro správu Intune

    Vyberte soubor JSON, který jste exportovali, a pojmenujte novou zásadu. Uložte provedené změny.

Generování sestav a konflikty

Vytvoříte zásadu a přiřadíte ji ke svým skupinám. V Centru pro správu Intune můžete zkontrolovat stav zásad. Data se aktualizují automaticky a fungují téměř v reálném čase.

  1. V Centru pro správu Intune vyberte Zařízení>Profily konfigurace zařízení. V seznamu vyberte zásadu, kterou jste vytvořili pomocí Katalogu nastavení. Ve sloupci Typ profilu se zobrazuje Katalog nastavení:

    Snímek obrazovky, který ukazuje, jak otevřít katalog nastavení v Microsoft Intune a Centru pro správu Intune

  2. Když zásadu vyberete, zobrazí se stav zařízení. Zobrazuje souhrn stavu zásad a vlastností zásad. Zásady můžete také změnit nebo aktualizovat v části Nastavení konfigurace :

    Snímek obrazovky, který ukazuje, jak vybrat zásadu katalogu nastavení a zobrazit stav zařízení, stav zásad a vlastnosti v Microsoft Intune a Centru pro správu Intune

  3. Vyberte Zobrazit sestavu. Sestava zobrazuje podrobné informace, včetně názvu zařízení, stavu zásad a dalších informací. Můžete také filtrovat stav nasazení a exportovat sestavu .csv do souboru:

    Snímek obrazovky znázorňující, jak zobrazit podrobné informace o sestavě v Microsoft Intune a Centru pro správu Intune, včetně názvu zařízení, stavu zásad a dalších

  4. Můžete se také podívat na stavy jednotlivých nastavení pomocí stavu jednotlivých nastavení. Tento stav zobrazuje celkový počet zařízení ovlivněných jednotlivými nastaveními v zásadách.

    Můžeš:

    • Podívejte se na počet zařízení s úspěšně použitým nastavením, která jsou v konfliktu nebo jsou chybná.
    • Vyberte počet zařízení, která vyhovují předpisům, konfliktu nebo chybě. A podívejte se na seznam uživatelů nebo zařízení v tomto stavu.
    • Můžete vyhledávat, řadit, filtrovat, exportovat a přejít na další a předchozí stránku.
  5. V Centru pro správu vyberte Zařízení>Monitorovat>selhání přiřazení. Pokud se vaše zásady katalogu nastavení nepodařilo nasadit kvůli chybě nebo konfliktu, zobrazí se v tomto seznamu. Můžete také exportovat do .csv souboru.

  6. Výběrem zásady zobrazíte zařízení. Pak vyberte konkrétní zařízení, abyste viděli nastavení, které selhalo, a kód možné chyby.

Tip

Sestavy Intune jsou skvělým prostředkem a popisují všechny funkce vytváření sestav, které můžete použít. Informace o všech datech sestav, která můžete zobrazit, najdete v tématu Sestavy Intune.

Konflikty

Ke konfliktům dochází, když se stejné nastavení aktualizuje na jiné hodnoty. Ke konfliktům může dojít také u zásad nakonfigurovaných pomocí katalogu nastavení. Další informace o řešení konfliktů najdete tady:

Katalog nastavení vs. šablony

Při vytváření zásad máte dva typy zásad: Katalog nastavení a Šablony:

Snímek obrazovky, který ukazuje, jak při vytváření zásad pro Windows nebo macOS vyberete katalog nastavení nebo šablony v Microsoft Intune a Centru pro správu Intune.

Šablony zahrnují logickou skupinu nastavení, jako je veřejný terminál, SÍŤ VPN, Wi-Fi a další. Tuto možnost použijte, pokud chcete tato seskupení použít ke konfiguraci nastavení.

Katalog Nastavení obsahuje seznam všech dostupných nastavení. Pokud chcete zobrazit všechna dostupná nastavení brány firewall nebo všechna dostupná nastavení nástroje BitLocker, použijte tuto možnost. Tuto možnost použijte také v případě, že hledáte konkrétní nastavení.

Obor zařízení vs. nastavení oboru uživatele

Když vyberete nastavení, některá nastavení mají (User) v názvu nastavení značku nebo (Device) značku, například Allow EAP Cert SSO (User) nebo Grouping (Device). Když se tyto značky zobrazí, zásady ovlivní jenom obor uživatele nebo obor zařízení.

Další informace o oboru uživatele a oboru zařízení najdete v tématu Policy CSP.

Skupiny zařízení a uživatelů se používají při přiřazování zásad. Obory zařízení a uživatelů popisují, jak se zásady vynucují.

Chování přiřazení oboru

Při nasazování zásad z Intune můžete přiřadit obor uživatele nebo obor zařízení k libovolnému typu cílové skupiny. Chování zásad na uživatele závisí na rozsahu nastavení:

  • Zásady s oborem uživatele zapisují do HKEY_CURRENT_USER (HKCU).
  • Zásady s oborem zařízení zapisují do HKEY_LOCAL_MACHINE (HKLM).

Když se zařízení přihlásí do Intune, vždy zobrazí deviceID. Zařízení může nebo nemusí prezentovat userID, v závislosti na načasování ohlášení a na tom, jestli je uživatel přihlášený.

Následující seznam obsahuje některé možné kombinace rozsahu, přiřazení a očekávaného chování:

  • Pokud je k zařízení přiřazená zásada oboru zařízení, použije se toto nastavení u všech uživatelů na daném zařízení.
  • Pokud je uživateli přiřazená zásada s oborem zařízení, po přihlášení a synchronizaci Intune se nastavení oboru zařízení použije pro všechny uživatele na zařízení.
  • Pokud je k zařízení přiřazená zásada oboru uživatele, použije se toto nastavení u všech uživatelů na daném zařízení. Toto chování se podobá zpětné smyčce nastavené na sloučení.
  • Pokud je uživateli přiřazena zásada vymezená uživatelem, použije se toto nastavení jenom u tohoto uživatele.
  • V oboru uživatele a v oboru zařízení jsou k dispozici některá nastavení. Pokud je jedno z těchto nastavení přiřazeno k oboru uživatele i zařízení, má obor uživatele přednost před oborem zařízení.

Pokud během počátečních kontrol není uživatelský podregistr , může se stát, že některá nastavení oboru uživatele jsou označená jako nepoužitelná. K tomuto chování dochází v raných okamžicích zařízení před přítomností uživatele.

Další kroky