Újrahasználható beállításcsoportok használata Intune házirendekkel
Ez a funkció nyilvános előzetes verzióban érhető el.
Intune támogatja a konfigurációs szabályzatokhoz és profilokhoz hozzáadható újrafelhasználható beállításcsoportokat a gyakori beállítások kezelésének egyszerűsítése érdekében. Az újrafelhasználható csoportok használatának jó ideje, ha a beállításokat több profilban is ugyanazzal a konfigurációval kell használnia.
Amikor egy újrafelhasználható csoportban szerkessze a beállításokat, a végrehajtott módosítások automatikusan érvényesek lesznek minden olyan profilra, amely tartalmazza a csoportot. Amikor menti a módosításokat az újrafelhasználható beállítások csoportjába, Intune frissíti a profilokat az új konfigurációkkal, és a profil hozzárendelései alapján telepíti a frissített profilt az eszközökre.
Az alábbi profilok támogatják az újrafelhasználható csoportokat:
- Eszközvezérlés, amely a végpontbiztonság támadásifelület-csökkentési szabályzatán keresztül érhető el.
- A végpontbiztonsági tűzfalszabályzaton keresztül elérhető Windows tűzfalszabályok .
Az újrafelhasználható beállításcsoportok áttekintése
Minden újrafelhasználható beállításcsoport egyetlen objektum, amely több beállítást is tartalmazhat. Miután konfigurált egy vagy több újrafelhasználható csoportot egy adott profiltípushoz, létrehozhat vagy szerkeszthet egy profilt a csoportok hozzáadásához. A profilok több csoportot is támogatnak.
Az újrahasználható beállítások csoportjainak kezeléséhez a Microsoft Intune Felügyeleti központban az újrahasználható beállítások lapot kell használnia, amely ahhoz a szabályzathoz és profilhoz van társítva, amellyel a csoportot használni szeretné. A lapon létrehozhat egy csoportot, szerkesztheti egy csoport beállításait, és megtekintheti az egyes csoportok beállításait öröklő házirendek számát. A rendszer minden újrafelhasználható beállításcsoportot csak a kapcsolódó profiltípussal használ.
Az alábbi képen például az Újrahasználható beállítások lap látható, amelyet a Windows tűzfal tűzfalszabályainak profil újrafelhasználható csoportjainak kezelésére használhat:
Az újrafelhasználható csoportok létrehozása után a profilok Konfigurációs beállítások lapján található beállításokkal adhat hozzá csoportokat a profilhoz. Az egy vagy több újrafelhasználható csoportot tartalmazó profilok az egyes belefoglalt csoportok minden beállítását úgy használják, mintha a beállítások közvetlenül a profilban lennének konfigurálva.
Előfeltételek
Az alábbi profilok támogatják az újrafelhasználható beállításcsoportok használatát:
Végpontbiztonsági szabályzat
Tűzfal>Windows tűzfalszabályok:
- Platformok: Windows
- Windows-verziók: Az eszközöknek 20H2-Windows 10 vagy újabb verziót kell futtatniuk, vagy Windows 11
Támadási felület csökkentése>Eszközvezérlés:
- Platformok: Windows
Végponti jogosultságkezelés
- Windows jogosultságszint-emelési szabályok szabályzata
Megjegyzés:
Az újrahasználható beállításcsoportok jelenleg nem támogatottak az Végponthoz készült Microsoft Defender biztonsági felügyeletével való használathoz.
Újrafelhasználható csoport létrehozása
Minden újrafelhasználható beállításcsoport tartalmazza a beállítások egy részét abból a teljes profilból, amely számára a csoportot létrehozza. Az alábbi hivatkozások segítségével megtekintheti az egyes profilok beállításcsoportjában konfigurálható beállításokat:
Újrafelhasználható beállításcsoport létrehozása:
Nyissa meg a Microsoft Intune Felügyeleti központot, keresse meg azt a házirendet, amelyhez újrahasználható csoportot szeretne létrehozni, majd válassza az Újrahasználható beállítások (előzetes verzió) lapot.
Válassza a Hozzáadás lehetőséget az Újrafelhasználható beállítások konfigurálása (előzetes verzió) munkafolyamat megnyitásához.
Az Alapvető beállítások lapon konfiguráljon egy nevet. A leírás megadása nem kötelező.
A Konfigurációs beállítások lapon válassza a Hozzáadás lehetőséget, majd konfigurálja a csoport beállításait úgy, mintha közvetlenül a támogatott profilban konfigurálja a beállításokat.
Az Eszközvezérlés beállításnál a Hozzáadás lehetőség kiválasztásakor ki kell választania a konfigurálni kívánt csoportbeállítások típusát, majd a folytatáshoz válassza a Példány szerkesztése lehetőséget. Ha egynél több példányt ad hozzá, tekintse át a csoport típuskonfigurációját.
Csoportonként legfeljebb 100 példány lehet. Útmutatásként használja a felügyeleti központ információs szövegét az újrahasználható beállítások csoport minden beállításához. Kövesse a További információ hivatkozást egy beállításhoz a beállítás részleteinek megtekintéséhez a beállítás tartalomforrásából.
Tipp
Gondosan nevezze el az összes létrehozott újrafelhasználható csoportot, hogy később biztosan azonosítani tudja. Ez azért fontos, mert minden létrehozott, bármilyen házirendtípushoz létrehozott újrafelhasználható csoport látható, amikor újrahasználható csoportokat ad hozzá egy szabályzathoz, még akkor is, ha a csoport olyan beállításokat tartalmaz, amelyek általában nem vonatkoznak a konfigurálni kívánt szabályzatra. Ha például windowsos tűzfalszabályokhoz létrehozott újrafelhasználható csoport van létrehozva, az a csoport látható lesz, és kiválasztható, amikor újrahasználható csoportokat ad hozzá az eszközvezérlési házirendekhez.
A Véleményezés + Hozzáadás lapon válassza a Hozzáadás lehetőséget az újrafelhasználható beállítások csoportjának mentéséhez.
Újrafelhasználható csoport módosítása
Egy újrafelhasználható csoport konfigurációjának szerkesztésekor a csoportot használó profilok automatikusan frissülnek, hogy az új konfigurációt alkalmazzák az eszközökre.
Nyissa meg a Microsoft Intune Felügyeleti központot, keresse meg azt a házirendet, amelyhez újrahasználható csoportot szeretne létrehozni, majd válassza az Újrahasználható beállítások (előzetes verzió) lapot.
Válassza ki a szerkeszteni kívánt újrafelhasználható beállítások csoportját. Ezzel megnyitja az új újrafelhasználható csoport létrehozására szolgáló munkafolyamathoz hasonló konfigurációs munkafolyamatot.
Az Alapvető beállítások lapon átnevezheti a csoportot, a Konfigurációs beállítások lapon pedig újrakonfigurálhatja a beállításokat. Az utolsó lapon válassza a Mentés lehetőséget a konfiguráció mentéséhez és a beállításcsoportot használó profilok frissítéséhez.
Újrafelhasználható csoportok hozzáadása Windows tűzfalszabály-profilhoz
A profil szerkesztésekor vagy létrehozásakor újrahasználható beállításcsoportokat adhat hozzá a profilokhoz. A profilok Konfigurációs beállítások lapján olyan beállítást használjon, amely támogatja egy vagy több korábban létrehozott csoport hozzáadását.
Megjegyzés:
A bejövő FQDN-szabályok natív módon nem támogatottak. A hidratálási szkriptek használatával azonban létrehozhat bejövő IP-bejegyzéseket a szabályhoz. További információ: A Windows tűzfal dinamikus kulcsszavai a Windows tűzfal dokumentációjában.
A Microsoft Intune Felügyeleti központban hozzon létre egy új profilt, vagy válasszon ki és szerkesszen egy meglévő profilt.
A Konfigurációs beállítások lapon válassza a Hozzáadás lehetőséget egy új szabály hozzáadásához, vagy a Szabály szerkesztése lehetőséget egy korábban létrehozott szabály kezeléséhez.
A szabály Példány konfigurálása paneljén konfigurálja a Műveletet annak meghatározásához, hogy ez a szabály hogyan kezeli a beállításokat, például az IP-címeket vagy a teljes tartományneveket. Beállíthatja például a Művelet beállítást engedélyezésre vagy letiltásra. Ez a konfiguráció a szabályhoz közvetlenül hozzáadott beállításokra és a szabályhoz hozzáadott összes újrafelhasználható csoportban található beállításokra is vonatkozik.
Mentse a szabálykonfigurációt.
A mentett szabály esetében válassza az Újrafelhasználható beállítások megadása lehetőséget az Újrafelhasználható beállítások kiválasztása panel megnyitásához.
Jelöljön ki egy vagy több rendelkezésre álló csoportot, hogy hozzáadja őket ehhez a szabályhoz, majd mentse a kijelöléseket.
Miután újrahasználható csoportokat adott hozzá egy profilhoz, mentse a konfigurációt. Mentéskor Intune tartalmazza az újrafelhasználható csoportok beállításait, és a profil hozzárendelései alapján telepíti a profilt az eszközökre.
Újrafelhasználható csoportok hozzáadása eszközvezérlési profilhoz
A profil szerkesztésekor vagy létrehozásakor újrahasználható beállításcsoportokat adhat hozzá a profilokhoz. Az eszközvezérlési profilok újrafelhasználható csoportjai a következő típusú beállításokat támogatják:
- Nyomtatóeszköz
- Cserélhető tároló
A profilok Konfigurációs beállítások lapján olyan beállítást használjon, amely támogatja egy vagy több korábban létrehozott csoport hozzáadását.
A Microsoft Intune Felügyeleti központban hozzon létre egy új profilt, vagy válasszon ki és szerkesszen egy meglévő profilt.
A Konfigurációs beállítások lapon bontsa ki az Eszközvezérlés kategóriát, és válassza a Hozzáadás lehetőséget egy új szabály hozzáadásához, vagy a Bejegyzés szerkesztése lehetőséget egy korábban létrehozott szabály kezeléséhez.
- További szabályok hozzáadásához válassza a Hozzáadás lehetőséget.
- Válassza a Bejegyzés szerkesztése lehetőséget a Bejegyzés konfigurálása panel megnyitásához a csoport további használatának konfigurálásához.
A Bejegyzés konfigurálása panelen adjon nevet a bejegyzésnek, majd konfigurálja a következőket, majd kattintson az OK gombra a szabály mentéséhez:
- Típus: Meghatározza a cserélhető tárolócsoportok műveletét. Ha ugyanazon adathordozó típusának ütközései vannak, a rendszer a szabályzatban definiált első típust alkalmazza.
- Beállítások: Meghatározza, hogy megjelenjen-e értesítés az eszköz felhasználójának. Az elérhető lehetőségek a kiválasztott típustól függenek.
- Hozzáférési maszk: Válasszon egy vagy több elemet az Olvasás, az Írás, a Végrehajtás lehetőség közül.
- Sid: A helyi felhasználói biztonsági azonosító, a felhasználói biztonsági azonosító csoport vagy az AD-objektum biztonsági azonosítója határozza meg, hogy a szabályzatot egy adott felhasználóra vagy felhasználói csoportra alkalmazza-e; Egy bejegyzés legfeljebb egy biztonsági azonosítóval rendelkezhet, és egy sid nélküli bejegyzés azt jelenti, hogy a szabályzatot a gépre alkalmazza.
- Számítógép biztonsági azonosítója: A helyi számítógép biztonsági azonosítója, számítógép biztonsági azonosítója csoport vagy az AD-objektum biztonsági azonosítója határozza meg, hogy a házirendet egy adott gépre vagy gépcsoportra alkalmazza-e; Egy bejegyzés legfeljebb egy ComputerSid azonosítóval rendelkezhet, és egy ComputerSid nélküli bejegyzés azt jelenti, hogy a házirendet alkalmazza a gépen. Ha egy bejegyzést egy adott felhasználóra és adott gépre szeretne alkalmazni, adja hozzá a Sid és a ComputerSid azonosítót is ugyanabba a bejegyzésbe.
További információt ezekről a lehetőségekről a Végponthoz készült Microsoft Defender dokumentációjában talál az alábbi cikkekben:
- Végponthoz készült Microsoft Defender Device Control Cserélhető tároló Access Control a Végponthoz készült Microsoft Defender dokumentációjában.
- Nyomtatóvédelem áttekintése
A mentett szabály esetében válassza az Újrahasználható beállítások megadásaa Belefoglalt azonosítóhoz és a Kizárt azonosítóhoz lehetőséget az igényeinek megfelelően. Mindkét kijelölés megnyit egy Újrahasználható beállítások kiválasztása panelt.
Jelöljön ki egy vagy több rendelkezésre álló csoportot, hogy hozzáadja őket ehhez a szabályhoz, majd mentse a kijelöléseket. Az alábbiakban egy konfiguráció látható, amelynél csak egy csoport van kiválasztva a kizárt azonosítóhoz:
Miután újrahasználható csoportokat adott hozzá egy profilhoz, végezze el a szabályzatkonfigurációt. Mentéskor Intune tartalmazza az újrafelhasználható csoportok beállításait, és a profil hozzárendelései alapján telepíti a profilt az eszközökre. Profilonként legfeljebb 100 újrafelhasználható csoport adható hozzá.
Ha rendelkezik E5-licenccel, a Végponthoz készült Microsoft Defender használatával megtekintheti az eszközvezérlési eseményeket az Eszközvezérlés jelentés és a Speciális veszélyforrás-keresés területen. Lásd: A szervezet adatainak védelme eszközvezérléssel | Microsoft Docs a Végponthoz készült Defender dokumentációjában.
Újrafelhasználható csoportok használata a Végponti jogosultságkezelőhöz
Az Endpoint Privilege Manager újrahasználható csoportjainak támogatásával kapcsolatos információkért lásd: Endpoint Privilege Manager szabályzatai
Tudnivalók a szabályzatütközésekről
Az újrafelhasználható beállításcsoportokon keresztül kezelhető eszközbeállításokat a Intune ugyanúgy alkalmazza, mint a profilban közvetlenül konfigurált beállításokat. Ha az újrahasználható csoportok beállításai ütközéseket vagy átfedéseket vezetnek be, ugyanezzel a hibaelhárítási eljárással azonosíthatja és feloldhatja ezeket az ütközéseket.
További információért tekintse át a használt profiltípusokra vonatkozó útmutatást. Általános útmutatásért lásd: Szabályzatok és profilok hibaelhárítása a Microsoft Intune-ben, valamint Gyakori kérdések és válaszok az eszközszabályzatokkal és -profilokkal a Microsoft Intune-ben.