Delen via


Uw on-premises GPO's importeren en analyseren met behulp van groepsbeleidsanalyses in Microsoft Intune

Tip

Op zoek naar een on-premises GPO-analyse? Er zijn hulpprogramma's beschikbaar in de Microsoft Security Compliance Toolkit.

Microsoft Intune heeft veel van dezelfde instellingen als uw on-premises GPO's. Analyse van groepsbeleid is een hulpprogramma in Microsoft Intune dat:

Als uw organisatie gebruikmaakt van on-premises GPO's voor het beheren van Windows 10/11-apparaten, kan analyse van groepsbeleid u helpen. Met groepsbeleidsanalyse is het mogelijk dat Intune uw on-premises GPO's kan vervangen. Windows 10/11-apparaten zijn inherent cloudeigen. Afhankelijk van uw configuratie hebben deze apparaten mogelijk geen toegang nodig tot een on-premises Active Directory.

Als u klaar bent om de afhankelijkheid van on-premises AD te verwijderen, is het analyseren van uw GPO's met groepsbeleidsanalyse een goede eerste stap. Sommige oudere instellingen worden niet ondersteund of zijn niet van toepassing op cloudeigen Windows-apparaten. Nadat u uw GPO's hebt geanalyseerd, weet u welke instellingen nog steeds geldig zijn.

Deze functie is van toepassing op:

  • Windows 11
  • Windows 10

In dit artikel leest u hoe u uw on-premises GPO's exporteert, de GPO's importeert in Intune en de analyse en resultaten bekijkt. Als u uw geïmporteerde GPO's wilt migreren of overdragen naar een Intune-beleid, gaat u naar Een instellingencatalogusbeleid maken met behulp van uw geïmporteerde GPO's in Microsoft Intune.

Voordat u begint

Meld u in het Microsoft Intune-beheercentrum aan als de Intune-beheerder of met een rol met de beveiligingsbasislijnen en de machtiging Apparaatconfiguratie . Zie op rollen gebaseerd toegangsbeheer voor meer informatie over de ingebouwde rollen.

Een groepsbeleidsobject exporteren als een XML-bestand

De volgende stappen kunnen verschillen op uw server, afhankelijk van de gpmc-versie die u gebruikt. Wanneer u het groepsbeleidsobject exporteert, moet u ervoor zorgen dat u exporteert als een XML-bestand.

  1. Open op uw on-premises computer de Group Policy Management console (GPMC.msc).

  2. Vouw in de beheerconsole uw domeinnaam uit.

  3. Vouw Groepsbeleidsobjecten uit om alle beschikbare groepsbeleidsobjecten weer te geven.

  4. Klik met de rechtermuisknop op het groepsbeleidsobject dat u wilt migreren en kies Rapport opslaan:

    Schermopname die laat zien hoe u Groepsbeleidsbeheer opent en een groepsbeleidsobject opslaat als een XML-bestandrapport.

  5. Selecteer een gemakkelijk toegankelijke map voor uw export. Selecteer in Opslaan als typede optie XML-bestand. In een andere stap voegt u dit bestand toe aan groepsbeleidsanalyse in Intune.

Zorg ervoor dat het bestand kleiner is dan 4 MB en een juiste Unicode-codering heeft. Als het geëxporteerde bestand groter is dan 4 MB, vermindert u het aantal instellingen in het groepsbeleidsobject.

GPO's importeren en analyses uitvoeren

  1. Selecteer in het Microsoft Intune-beheercentrumApparaten>Apparaten apparaten beheren>Groepsbeleidsanalyse.

  2. Selecteer Importeren en selecteer het opgeslagen XML-bestand >Volgende.

    U kunt meerdere bestanden tegelijk selecteren.

    Controleer de grootte van uw afzonderlijke GPO XML-bestanden. Eén groepsbeleidsobject mag niet groter zijn dan 4 MB. Als één groepsbeleidsobject groter is dan 4 MB, mislukt het importeren. XML-bestanden zonder het juiste Unicode-einde mislukken ook.

  3. Selecteer in Bereiktags de bestaande bereiktag die u wilt toepassen op het geïmporteerde groepsbeleidsobject. Als u geen bestaande bereiktag selecteert, wordt de tag Standaardbereik automatisch gebruikt:

    Schermopname die laat zien hoe u een groepsbeleidsobject (GPO) importeert en een bereiktag selecteert in Microsoft Intune en het Intune-beheercentrum.

    Alleen beheerders die zijn opgenomen in de bereiktags die u selecteert, kunnen het geïmporteerde groepsbeleidsobject zien. Ga voor meer informatie over bereiktags op uw geïmporteerde groepsbeleidsobjecten naar Een bereiktag selecteren wanneer u importeert (in dit artikel).

  4. Selecteer Volgende>maken.

    Wanneer u Maken selecteert, analyseert Intune automatisch het groepsbeleidsobject in het XML-bestand.

  5. Nadat de analyse is uitgevoerd, wordt het groepsbeleidsobject dat u hebt geïmporteerd, weergegeven met de volgende informatie:

    • Naam van groepsbeleid: de naam wordt automatisch gegenereerd met behulp van gegevens in het groepsbeleidsobject.

    • Active Directory-doel: het doel wordt automatisch gegenereerd met behulp van de doelgegevens van de organisatie-eenheid (OE) in het groepsbeleidsobject.

    • MDM-ondersteuning: toont het percentage groepsbeleidsinstellingen in het groepsbeleidsobject met dezelfde instelling in Intune.

      Opmerking

      Wanneer het Microsoft Intune-productteam wijzigingen aanbrengt in de toewijzing in Intune, wordt het percentage onder MDM-ondersteuning automatisch bijgewerkt om deze wijzigingen weer te geven.

    • Onbekende instellingen: Er zijn enkele CSP's die niet kunnen worden geanalyseerd. Onbekende instellingen bevat de GPO's die niet kunnen worden geanalyseerd.

    • Gericht in AD: Ja betekent dat het groepsbeleidsobject is gekoppeld aan een organisatie-eenheid in on-premises groepsbeleid. Nee betekent dat het groepsbeleidsobject niet is gekoppeld aan een on-premises organisatie-eenheid.

    • Laatst geïmporteerd: toont de datum van de laatste import.

    U kunt meer GPO's importeren voor analyse, de pagina vernieuwen en de uitvoer filteren . U kunt deze weergave ook exporteren naar een .csv bestand:

    Schermopname van het importeren, vernieuwen, filteren of exporteren van een groepsbeleidsobject (GPO) naar een CSV-bestand in Microsoft Intune en het Intune-beheercentrum.

  6. Selecteer het MDM-ondersteuningspercentage voor een vermeld groepsbeleidsobject. Meer gedetailleerde informatie over het groepsbeleidsobject wordt weergegeven:

    • Naam van instelling: De naam wordt automatisch gegenereerd met behulp van gegevens in de instelling GPO.

    • Categorie groepsbeleidsinstelling: toont de instellingscategorie voor ADMX-instellingen, zoals Internet Explorer en Microsoft Edge. Niet alle instellingen hebben een instellingscategorie.

    • MDM-ondersteuning:

      • Ja betekent dat er een overeenkomende instelling beschikbaar is in Intune. U kunt deze instelling configureren in de instellingencatalogus.
      • Nee betekent dat er geen overeenkomende instelling beschikbaar is voor MDM-providers, waaronder Intune.
      • Andere waarden: als u oudere instellingen importeert die niet meer worden ondersteund, wordt in het hulpprogramma voorgesteld om te migreren naar een nieuwere ondersteunde versie. Ga naar Geïmporteerde groepsbeleidsobjecten in Intune - Wat u moet weten voor meer informatie over migratiescenario's.
    • Waarde: toont de waarde die is geïmporteerd uit het groepsbeleidsobject. Er worden verschillende waarden weergegeven, zoals true, 900, falseEnabled, , enzovoort.

    • Bereik: geeft aan of het geïmporteerde groepsbeleidsobject is gericht op gebruikers of apparaten.

    • Minimale versie van het besturingssysteem: toont de minimale buildnummers van windows-besturingssysteemversies die door de GPO-instelling worden toegepast. Het kan (1903), 17130 (1803) en andere Windows-clientversies weergeven 18362 .

      Als een beleidsinstelling bijvoorbeeld wordt weergegeven 18362, ondersteunt de instelling build 18362 en nieuwere builds.

    • CSP-naam: Een Configuration Service Provider (CSP) maakt apparaatconfiguratie-instellingen beschikbaar in de Windows-client. In deze kolom wordt de CSP weergegeven die de instelling bevat. U kunt bijvoorbeeld Beleid, BitLocker, PassportforWork, enzovoort zien.

      De CSP-verwijzing bevat de beschikbare CSP's, de ondersteunde edities van het besturingssysteem en meer.

    • CSP-toewijzing: toont het OMA-URI-pad voor het on-premises beleid. U kunt de OMA-URI gebruiken in een aangepast apparaatconfiguratieprofiel. U ziet ./Device/Vendor/MSFT/BitLocker/RequireDeviceEnryptionbijvoorbeeld .

  7. Voor de instellingen die MDM-ondersteuning hebben, kunt u met deze instellingen een instellingencatalogusbeleid maken. Voor de specifieke stappen gaat u naar Een instellingencatalogusbeleid maken met behulp van uw geïmporteerde GPO's in Microsoft Intune.

Selecteer een bereiktag wanneer u importeert

Wanneer u een groepsbeleidsobject importeert, kunt u bestaande bereiktags selecteren. Als u geen bereiktag selecteert, wordt de tag Standaardbereik automatisch gebruikt. Alleen beheerders die het bereik van de standaardbereiktag hebben, kunnen het geïmporteerde GPO zien. Beheerders die niet zijn ingesteld op de tag Standaardbereik , zien het geïmporteerde GPO niet.

Dit gedrag is van toepassing op elke bereiktag die u selecteert wanneer u een groepsbeleidsobject importeert. Beheerders zien de geïmporteerde GPO's alleen als ze een van dezelfde bereiktags hebben geselecteerd tijdens het importeren. Als een beheerder niet beschikt over de bereiktag, ziet deze het geïmporteerde groepsbeleidsobject niet in de rapportage of in de lijst met groepsbeleidsobjecten.

Beheerders hebben Charlottebijvoorbeeld bereiktags , Londonof Boston toegewezen aan hun rol:

  • Een beheerder met de bereiktag Charlotte importeert een groepsbeleidsobject.
  • Tijdens het importeren selecteren ze de bereiktag Charlotte. De bereiktag Charlotte wordt toegepast op het geïmporteerde groepsbeleidsobject.
  • Alle beheerders met de bereiktag Charlotte kunnen het geïmporteerde object zien.
  • Beheerders met alleen de bereiktags 'Londen' of alleen 'Boston' kunnen het geïmporteerde object van de charlotte-beheerder niet zien.

Beheerders kunnen de analyse bekijken of het geïmporteerde groepsbeleidsobject migreren naar een Intune-beleid als deze beheerders een van dezelfde bereiktags hebben geselecteerd tijdens het importeren.

Ga voor meer informatie over bereiktags naar RBAC en bereiktags voor gedistribueerde IT.

Ondersteunde CSP's en groepsbeleid

Met analyse van groepsbeleid kunnen de volgende CSP's worden geparseerd voor MDM-ondersteuning:

Als uw geïmporteerde groepsbeleidsobject instellingen bevat die niet in de ondersteunde CSP's en groepsbeleid staan, worden de instellingen mogelijk weergegeven in de kolom Onbekende instellingen . Dit gedrag betekent dat de instellingen zijn geïdentificeerd in uw groepsbeleidsobject.

Hoewel analyse van groepsbeleid de CSP's kan parseren, zijn er enkele dingen die u moet weten bij het migreren van uw geïmporteerde GPO's. Ga voor meer informatie naar Uw geïmporteerde groepsbeleidsobject migreren naar een instellingencatalogusbeleid - Wat u moet weten.

Rapport over migratiegereedheid van groepsbeleid

  1. Selecteer in het Microsoft Intune-beheercentrumRapporten>Apparaatbeheer>Groepsbeleidsanalyse:

    Schermopname van het controleren van het rapport en de uitvoer van geïmporteerde groepsbeleidsobjecten met behulp van groepsbeleidsanalyse in Microsoft Intune en het Intune-beheercentrum.

  2. Op het tabblad Samenvatting wordt een samenvatting van het groepsbeleidsobject en het bijbehorende beleid weergegeven. Gebruik deze informatie om de status van het beleid in uw groepsbeleidsobject te bepalen:

    • Gereed voor migratie: het beleid heeft een overeenkomende instelling in Intune en kan worden gemigreerd naar Intune.

    • Niet ondersteund: het beleid heeft geen overeenkomende instelling. Beleidsinstellingen die deze status weergeven, worden doorgaans niet weergegeven voor MDM-providers, waaronder Intune.

    • Afgeschaft: het beleid kan van toepassing zijn op oudere Windows-versies, oudere versies van Microsoft Edge en meer beleidsregels die niet meer worden gebruikt.

      Opmerking

      Wanneer het Microsoft Intune-productteam de toewijzingslogica bijwerken, worden uw geïmporteerde GPO's automatisch bijgewerkt. U hoeft uw GPO's niet opnieuw te importeren.

  3. Selecteer het tabblad >RapportenGereedheid voor migratie van groepsbeleid. In dit rapport kunt u het volgende doen:

    • Bekijk het aantal instellingen in uw groepsbeleidsobject dat kan worden geconfigureerd in een apparaatconfiguratieprofiel. Ook wordt weergegeven of de instellingen zich in een aangepast profiel kunnen bevinden, niet worden ondersteund of zijn afgeschaft.
    • Filter de rapportuitvoer met behulp van de filters Gereedheid voor migratie, Profieltype en CSP-naam .
    • Selecteer Rapport genereren of Opnieuw genereren om de huidige gegevens op te halen.
    • Bekijk de lijst met instellingen in uw groepsbeleidsobject.
    • Gebruik de zoekbalk om specifieke instellingen te zoeken.
    • Haal een tijdstempel op van wanneer het rapport voor het laatst is gegenereerd.

    Opmerking

    Nadat u uw geïmporteerde GPO's hebt toegevoegd of verwijderd, kan het ongeveer 20 minuten duren voordat de rapportagegegevens over migratiegereedheid zijn bijgewerkt.

Bekende problemen

Momenteel ondersteunt het analyseprogramma voor groepsbeleid alleen niet-ADMX-instellingen in de Engelse taal. Als u een groepsbeleidsobject importeert met instellingen in andere talen dan Engels, is uw MDM-ondersteuningspercentage onjuist.

Productfeedback verzenden

U kunt feedback geven over Group Policy Analytics. Selecteer in het Microsoft Intune-beheercentrumapparaten>Apparaten beheren>Groepsbeleidanalyse>Feedback gekregen.

Voorbeelden van feedbackgebieden:

  • U hebt fouten ontvangen tijdens het importeren of analyseren van groepsbeleidsobjecten en u hebt specifiekere informatie nodig.
  • Hoe eenvoudig is het om groepsbeleidsanalyse te gebruiken om het ondersteunde groepsbeleid in Microsoft Intune te vinden?
  • Helpt dit hulpprogramma u bij het verplaatsen van bepaalde workloads naar Intune? Zo ja, welke workloads overweegt u dan?

Voor informatie over de klantervaring wordt de feedback geaggregeerd en naar Microsoft verzonden. Het invoeren van een e-mail is optioneel en kan worden gebruikt voor meer informatie.

Privacy en beveiliging

Elk gebruik van klantgegevens, zoals de GPO's die uw organisatie gebruikt, wordt geaggregeerd. Het wordt niet verkocht aan derden. Deze gegevens kunnen worden gebruikt om zakelijke beslissingen te nemen binnen Microsoft. Uw klantgegevens worden veilig opgeslagen.

U kunt geïmporteerde GPO's op elk gewenst moment verwijderen:

  1. Ga naar Apparaten>Apparaten Apparaten beheren>Groepsbeleidsanalyse.

  2. Selecteer het contextmenu >Verwijderen:

    Schermopname van het verwijderen of verwijderen van het groepsbeleidsobject (GPO) dat u hebt geïmporteerd in de groepsbeleidanalyse in Microsoft Intune en het Intune-beheercentrum.

Volgende stappen

Zie ook

Meer informatie over Configuration Service Providers (CSP).