Delen via


Overzicht: De cloud gebruiken om groepsbeleid te configureren op Windows-clientapparaten met ADMX-sjablonen en Microsoft Intune

Opmerking

Deze procedure is gemaakt als een technische workshop voor Microsoft Ignite. Het heeft meer vereisten dan normale scenario's, omdat het gebruik en configureren van ADMX-beleid in Intune en on-premises wordt vergeleken.

Beheersjablonen voor groepsbeleid, ook wel ADMX-sjablonen genoemd, bevatten instellingen die u kunt configureren op Windows-clientapparaten, waaronder pc's. De ADMX-sjablooninstellingen zijn beschikbaar voor verschillende services. Deze instellingen worden gebruikt door MDM-providers (Mobile Device Management), waaronder Microsoft Intune. U kunt bijvoorbeeld Ontwerpideeën inSchakelen in PowerPoint, een startpagina instellen in Microsoft Edge en meer.

Tip

Voor een overzicht van ADMX-sjablonen in Intune, inclusief de ADMX-sjablonen die zijn ingebouwd in Intune, gaat u naar Windows ADMX-sjablonen gebruiken in Microsoft Intune.

Ga voor meer informatie over ADMX-beleid naar ADMX-beleid begrijpen.

Deze sjablonen zijn ingebouwd in Microsoft Intune en zijn beschikbaar als profielen voor beheersjablonen . In dit profiel configureert u de instellingen die u wilt opnemen en wijst u dit profiel vervolgens toe aan uw apparaten.

In deze procedure gaat u het volgende doen:

  • Maak kennis met het Microsoft Intune-beheercentrum.
  • Gebruikersgroepen maken en apparaatgroepen maken.
  • Vergelijk de instellingen in Intune met on-premises ADMX-instellingen.
  • Maak verschillende beheersjablonen en configureer de instellingen die zijn gericht op de verschillende groepen.

Aan het einde van dit lab kunt u Intune en Microsoft 365 gebruiken om uw gebruikers te beheren en beheersjablonen te implementeren.

Deze functie is van toepassing op:

  • Windows 11
  • Windows 10 versie 1709 en hoger

Tip

Er zijn twee manieren om een beheersjabloon te maken: met behulp van een sjabloon of met behulp van de catalogus instellingen. Dit artikel is gericht op het gebruik van de sjabloon Beheersjablonen. In de instellingencatalogus zijn meer instellingen voor beheersjablonen beschikbaar. Voor de specifieke stappen voor het gebruik van de instellingencatalogus gaat u naar De instellingencatalogus gebruiken om instellingen te configureren.

Vereisten

  • Een Microsoft 365 E3- of E5-abonnement, inclusief Intune en Microsoft Entra ID P1 of P2. Als u geen E3- of E5-abonnement hebt, kunt u het gratis proberen.

    Ga naar Uw onderneming transformeren met Microsoft 365 voor meer informatie over wat u krijgt met de verschillende Microsoft 365-licenties.

  • Microsoft Intune is geconfigureerd als intune MDM-instantie. Ga voor meer informatie naar De instantie voor het beheer van mobiele apparaten instellen.

    Schermopname die laat zien hoe u de MDM-instantie instelt op Microsoft Intune in uw tenantstatus.

  • Op een on-premises Active Directory-domeincontroller (DC):

    1. Kopieer de volgende Office- en Microsoft Edge-sjablonen naar de centrale opslag (map sysvol):

    2. Maak een groepsbeleid om deze sjablonen te pushen naar een Windows 10/11 Enterprise-beheerderscomputer in hetzelfde domein als de DC. In deze walkthrough:

      • Het groepsbeleid dat we met deze sjablonen hebben gemaakt, heet OfficeandEdge. U ziet deze naam in de afbeeldingen.
      • De Windows 10/11 Enterprise-beheerderscomputer die we gebruiken, wordt de beheerderscomputer genoemd.

      In sommige organisaties heeft een domeinbeheerder twee accounts:

      • Een typisch werkaccount van een domein
      • Een ander domeinbeheerdersaccount dat alleen wordt gebruikt voor domeinbeheerderstaken, zoals groepsbeleid

      Het doel van deze beheerderscomputer is dat beheerders zich kunnen aanmelden met hun domeinbeheerdersaccount en toegang kunnen krijgen tot hulpprogramma's die zijn ontworpen voor het beheren van groepsbeleid.

  • Op deze beheerderscomputer:

    • Meld u aan met een domeinbeheerdersaccount.

    • Voeg de RSAT: Hulpprogramma's voor groepsbeleidsbeheer toe:

      1. Open de app> Instellingen Systeem>Optionele functies>Functie toevoegen.

        Als u een versie gebruikt die ouder is dan Windows 10 22H2, gaat u naar Instellingen>Apps>Apps & functies>Optionele functies>Functie toevoegen.

      2. Selecteer RSAT: Hulpprogramma's> voor groepsbeleidsbeheertoevoegen.

        Wacht tot windows de functie toevoegt. Wanneer dit is voltooid, wordt deze uiteindelijk weergegeven in de app Windows-systeembeheer .

        Schermopname van de Apps voor Windows-beheerbeheer, inclusief de app Groepsbeleidsbeheer.

    • Zorg ervoor dat u toegang tot internet en beheerdersrechten hebt voor het Microsoft 365-abonnement, waaronder het Intune-beheercentrum.

Het Intune-beheercentrum openen

  1. Open een Chromium-webbrowser, zoals Microsoft Edge versie 77 en hoger.

  2. Ga naar het Microsoft Intune-beheercentrum. Meld u aan met het volgende account:

    Gebruiker: voer het beheerdersaccount van uw Microsoft 365-tenantabonnement in.
    Wachtwoord: voer het wachtwoord in.

Dit beheercentrum is gericht op apparaatbeheer en bevat Azure-services, zoals Microsoft Entra ID en Intune. Mogelijk ziet u de Microsoft Entra ID en de Huisstijl van Intune niet, maar u gebruikt ze wel.

U kunt het Intune-beheercentrum ook openen vanuit het Microsoft 365-beheercentrum:

  1. Ga naar https://admin.microsoft.com.

  2. Meld u aan met het beheerdersaccount van uw Microsoft 365-tenantabonnement.

  3. Selecteer Alle>beheercentrums>weergeven Eindpuntbeheer. Het Intune-beheercentrum wordt geopend.

    Schermopname van alle beheercentra in het Microsoft 365-beheercentrum.

Groepen maken en gebruikers toevoegen

On-premises beleidsregels worden toegepast in de LSDOU-volgorde - lokaal, site, domein en organisatie-eenheid (OE). In deze hiërarchie overschrijft OE-beleid lokaal beleid, domeinbeleid overschrijft sitebeleid, enzovoort.

In Intune wordt beleid toegepast op gebruikers en groepen die u maakt. Er is geen hiërarchie. Bijvoorbeeld:

  • Als twee beleidsregels dezelfde instelling bijwerken, wordt de instelling weergegeven als een conflict.
  • Als twee nalevingsbeleidsregels met elkaar in conflict zijn, is het meest beperkende beleid van toepassing.
  • Als twee configuratieprofielen een conflict veroorzaken, wordt de instelling niet toegepast.

Ga voor meer informatie naar Veelgestelde vragen, problemen en oplossingen met apparaatbeleid en -profielen.

In deze volgende stappen maakt u beveiligingsgroepen en voegt u gebruikers toe aan deze groepen. U kunt een gebruiker toevoegen aan meerdere groepen. Het is bijvoorbeeld normaal dat een gebruiker meerdere apparaten heeft, zoals een Surface Pro voor werk en een mobiel Android-apparaat voor persoonlijk gebruik. En het is normaal dat een persoon toegang heeft tot organisatieresources vanaf deze meerdere apparaten.

  1. Selecteer nieuwegroepin> het Intune-beheercentrum.

  2. Voer de volgende instellingen in:

    • Groepstype: selecteer Beveiliging.
    • Groepsnaam: Voer Alle Apparaten van Windows 10-leerlingen/studenten in.
    • Lidmaatschapstype: Selecteer Toegewezen.
  3. Selecteer Leden en voeg enkele apparaten toe.

    Het toevoegen van apparaten is optioneel. Het doel is om te oefenen met het maken van groepen en te weten hoe u apparaten toevoegt. Als u dit scenario in een productieomgeving gebruikt, moet u rekening houden met wat u doet.

  4. Selecteren>Maken om uw wijzigingen op te slaan.

    Ziet u uw groep niet? Selecteer Vernieuwen.

  5. Selecteer Nieuwe groep en voer de volgende instellingen in:

    • Groepstype: selecteer Beveiliging.

    • Groepsnaam: Voer Alle Windows-apparaten in.

    • Lidmaatschapstype: Selecteer Dynamisch apparaat.

    • Leden van dynamische apparaten: selecteer Dynamische query toevoegen en configureer uw query:

      • Eigenschap: selecteer deviceOSType.
      • Operator: Selecteer Gelijk aan.
      • Waarde: Voer Windows in.
      1. Selecteer Expressie toevoegen. Uw expressie wordt weergegeven in de regelsyntaxis:

        Schermopname van het maken van een dynamische query en het toevoegen van expressies in een Microsoft Intune-beheersjabloon.

        Wanneer gebruikers of apparaten voldoen aan de criteria die u invoert, worden ze automatisch toegevoegd aan de dynamische groepen. In dit voorbeeld worden apparaten automatisch toegevoegd aan deze groep wanneer het besturingssysteem Windows is. Als u dit scenario in een productieomgeving gebruikt, moet u voorzichtig zijn. Het doel is om te oefenen met het maken van dynamische groepen.

      2. Redden>Maken om uw wijzigingen op te slaan.

  6. Maak de groep Alle docenten met de volgende instellingen:

    • Groepstype: selecteer Beveiliging.

    • Groepsnaam: Voer Alle docenten in.

    • Lidmaatschapstype: selecteer Dynamische gebruiker.

    • Leden van dynamische gebruikers: selecteer Dynamische query toevoegen en configureer uw query:

      • Eigenschap: Selecteer afdeling.

      • Operator: Selecteer Gelijk aan.

      • Waarde: Voer Docenten in.

        1. Selecteer Expressie toevoegen. Uw expressie wordt weergegeven in de regelsyntaxis.

          Wanneer gebruikers of apparaten voldoen aan de criteria die u invoert, worden ze automatisch toegevoegd aan de dynamische groepen. In dit voorbeeld worden gebruikers automatisch toegevoegd aan deze groep wanneer hun afdeling Docenten is. U kunt de afdeling en andere eigenschappen invoeren wanneer gebruikers worden toegevoegd aan uw organisatie. Als u dit scenario in een productieomgeving gebruikt, moet u voorzichtig zijn. Het doel is om te oefenen met het maken van dynamische groepen.

        2. Redden>Maken om uw wijzigingen op te slaan.

Gesprekspunten

  • Dynamische groepen zijn een functie in Microsoft Entra ID P1 of P2. Als u geen Microsoft Entra ID P1 of P2 hebt, hebt u een licentie om alleen toegewezen groepen te maken. Ga voor meer informatie over dynamische groepen naar:

  • Microsoft Entra ID P1 of P2 bevat andere services die vaak worden gebruikt bij het beheren van apps en apparaten, waaronder meervoudige verificatie (MFA) en voorwaardelijke toegang.

  • Veel beheerders vragen wanneer ze gebruikersgroepen moeten gebruiken en wanneer ze apparaatgroepen moeten gebruiken. Ga naar Gebruikersgroepen versus apparaatgroepen voor meer informatie.

  • Een gebruiker kan deel uitmaken van meerdere groepen. Houd rekening met enkele van de andere dynamische gebruikers- en apparaatgroepen die u kunt maken, zoals:

    • Alle leerlingen/studenten
    • Alle Android-apparaten
    • Alle iOS-/iPadOS-apparaten
    • Marketing
    • Personeel
    • Alle charlotte-medewerkers
    • Alle Redmond-medewerkers
    • IT-beheerders aan de westkust
    • IT-beheerders aan de oostkust

De gemaakte gebruikers en groepen worden ook weergegeven in het Microsoft 365-beheercentrum, Microsoft Entra ID in Azure Portal en Microsoft Intune in Azure Portal. U kunt groepen maken en beheren in al deze gebieden voor uw tenantabonnement. Als uw doel apparaatbeheer is, gebruikt u het Microsoft Intune-beheercentrum.

Groepslidmaatschap controleren

  1. Selecteer in het Intune-beheercentrum Gebruikers>Alle gebruikers> selecteren de naam van een bestaande gebruiker.
  2. Bekijk enkele informatie die u kunt toevoegen of wijzigen. Bekijk bijvoorbeeld de eigenschappen die u kunt configureren, zoals Functie, Afdeling, Plaats, Kantoorlocatie en meer. U kunt deze eigenschappen gebruiken in uw dynamische query's bij het maken van dynamische groepen.
  3. Selecteer Groepen om het lidmaatschap van deze gebruiker te bekijken. U kunt de gebruiker ook uit een groep verwijderen.
  4. Selecteer enkele van de andere opties voor meer informatie en wat u kunt doen. Kijk bijvoorbeeld naar de toegewezen licentie, de apparaten van de gebruiker en meer.

Wat heb ik net gedaan?

In het Intune-beheercentrum hebt u nieuwe beveiligingsgroepen gemaakt en bestaande gebruikers en apparaten aan deze groepen toegevoegd. We gebruiken deze groepen in latere stappen in deze zelfstudie.

Een sjabloon maken in Intune

In deze sectie maken we een beheersjabloon in Intune, bekijken we enkele instellingen in Groepsbeleidsbeheer en vergelijken we dezelfde instelling in Intune. Het doel is om een instelling in groepsbeleid weer te geven en dezelfde instelling weer te geven in Intune.

  1. Selecteer in het Intune-beheercentrum apparaten>Apparaten beheren>Configuratie>Nieuw beleid maken>.

  2. Geef de volgende eigenschappen op:

    • Platform: selecteer Windows 10 en hoger.
    • Profieltype: Selecteer Sjablonen>Beheersjablonen.
  3. Selecteer Maken.

  4. Voer in Basisinformatie de volgende eigenschappen in:

    • Naam: een unieke beschrijvende naam voor het beleid. Geef uw profielen een naam zodat u ze later gemakkelijk kunt identificeren. Voer bijvoorbeeld Admin template - Windows 10 student devices in.
    • Beschrijving: voer een beschrijving in voor het profiel. Deze instelling is optioneel, maar wordt aanbevolen.
  5. Selecteer Volgende.

  6. In Configuratie-instellingen geeft Alle instellingen een alfabetische lijst met alle instellingen weer. U kunt ook instellingen filteren die van toepassing zijn op apparaten (Computerconfiguratie) en instellingen die van toepassing zijn op gebruikers (gebruikersconfiguratie):

    Schermopname van het toepassen van ADMX-sjablooninstellingen op gebruikers en apparaten in Microsoft Intune.

  7. Vouw Computerconfiguratie>Uit Microsoft Edge>selecteer SmartScreen-instellingen. Let op het pad naar het beleid en alle beschikbare instellingen:

    Schermopname die laat zien hoe u de Microsoft Edge SmartScreen-beleidsinstellingen ziet in ADMX-sjablonen in Microsoft Intune.

  8. Voer downloaden in de zoekfunctie in. U ziet dat de beleidsinstellingen zijn gefilterd:

    Schermopname van het filteren van de Microsoft Edge SmartScreen-beleidsinstellingen in een Microsoft Intune ADMX-sjabloon.

Groepsbeleidsbeheer openen

In deze sectie tonen we een beleid in Intune en het bijbehorende beleid in de Editor voor Groepsbeleidsbeheer.

Een apparaatbeleid vergelijken

  1. Open op de beheercomputer de app Groepsbeleidsbeheer .

    Deze app wordt geïnstalleerd met RSAT: Hulpprogramma's voor groepsbeleidsbeheer. Dit is een optionele functie die u toevoegt in Windows. Vereisten (in dit artikel) bevat de stappen voor het installeren ervan.

  2. Vouw Domeinen> selecteer uw domein uit. Selecteer contoso.netbijvoorbeeld .

  3. Klik met de rechtermuisknop op het OfficeenEdge-beleid>bewerken. De app Editor voor Groepsbeleidsbeheer wordt geopend.

    Schermopname die laat zien hoe u met de rechtermuisknop op het on-premises ADMX-groepsbeleid van Office en Microsoft Edge klikt en bewerken selecteert.

    OfficeandEdge is een groepsbeleid dat de ADMX-sjablonen van Office en Microsoft Edge bevat. Dit beleid wordt beschreven in vereisten (in dit artikel).

  4. Vouw Computerconfiguratiebeleid>Beheersjablonen>>Configuratiescherm>Persoonlijke instellingen uit. Let op de beschikbare instellingen.

    Schermopname die laat zien hoe u Computerconfiguratie uitvouwt in de on-premises Editor voor groepsbeleidsbeheer en naar Persoonlijke instellingen gaat.

    Dubbelklik op Voorkomen dat camera voor het vergrendelingsscherm wordt ingeschakeld en bekijk de beschikbare opties:

    Schermopname die laat zien hoe u de configuratie-instellingen voor de on-premises computer in groepsbeleid kunt bekijken.

  5. Ga in het Intune-beheercentrum naar de sjabloon Beheersjabloon - Windows 10-leerlingenapparaten .

  6. Selecteer Computerconfiguratie>Configuratiescherm>Persoonlijke instellingen. Let op de beschikbare instellingen:

    Schermopname van het pad voor het instellen van het persoonlijke instellingenbeleid in Microsoft Intune.

    Het instellingstype is Apparaat en het pad is /Control Panel/Personalization. Dit pad is vergelijkbaar met wat u zojuist hebt gezien in de Editor voor Groepsbeleidsbeheer. Als u de instelling Camera voor het vergrendelingsscherm niet inschakelen opent, ziet u dezelfde opties Niet geconfigureerd, Ingeschakeld en Uitgeschakeld die u ziet in de Editor voor Groepsbeleidsbeheer.

Een gebruikersbeleid vergelijken

  1. Selecteer in uw beheerderssjabloon Computerconfiguratie>Alle instellingen en zoek inprivate browsingnaar . Let op het pad.

    Doe hetzelfde voor gebruikersconfiguratie. Selecteer Alle instellingen en zoek inprivate browsingnaar .

  2. Zoek in de Editor voor Groepsbeleidsbeheer de overeenkomende gebruikers- en apparaatinstellingen:

    • Apparaat: Vouw Computerconfiguratiebeleid>Beheersjablonen>>Windows-onderdelen>Internet Explorer>Privacy>Schakel InPrivate-browsen uit.
    • Gebruiker: Vouw Gebruikersconfiguratiebeleid>Beheersjablonen>>Windows-onderdelen>Internet Explorer>Privacy>Schakel InPrivate-browsing uit.

    Schermopname van het uitschakelen van InPrivate-browsing in Internet Explorer met behulp van een ADMX-sjabloon.

Tip

Als u het ingebouwde Windows-beleid wilt zien, kunt u ook GPEdit (app groepsbeleid bewerken) gebruiken.

Een Microsoft Edge-beleid vergelijken

  1. Ga in het Intune-beheercentrum naar de sjabloon Beheersjabloon - Windows 10-leerlingenapparaten .

  2. Vouw Computerconfiguratie>Microsoft Edge>Opstarten, startpagina en nieuw tabblad uit. Let op de beschikbare instellingen.

    Doe hetzelfde voor gebruikersconfiguratie.

  3. Zoek de volgende instellingen in de Editor voor Groepsbeleidsbeheer:

    • Apparaat: Vouw Computerconfiguratiebeleid>>Beheersjablonen>Microsoft Edge>Opstartpagina, startpagina en nieuw tabblad uit.
    • Gebruiker: Vouw Gebruikersconfiguratiebeleid>Beheersjablonen>>Microsoft Edge>Startup, startpagina en nieuw tabblad uit

Wat heb ik net gedaan?

U hebt een beheersjabloon gemaakt in Intune. In deze sjabloon hebben we enkele ADMX-instellingen bekeken en dezelfde ADMX-instellingen bekeken in Groepsbeleidsbeheer.

Instellingen toevoegen aan de beheersjabloon Studenten

In deze sjabloon configureren we enkele Internet Explorer-instellingen om apparaten te vergrendelen die door meerdere leerlingen/studenten worden gedeeld.

  1. Vouw computerconfiguratie uit in uw beheerderssjabloon - Windows 10-leerlingenapparaten, selecteer Alle instellingen en zoek naar InPrivate-navigatie uitschakelen:

    Schermopname die laat zien hoe u het apparaatbeleid voor InPrivate-browsing uitschakelt in een beheersjabloon in Microsoft Intune.

  2. Selecteer de instelling InPrivate-browsen uitschakelen . In dit venster ziet u de beschrijving en waarden die u kunt instellen. Deze opties zijn vergelijkbaar met wat u ziet in groepsbeleid.

  3. Selecteer Ingeschakeld>OK om uw wijzigingen op te slaan.

  4. Configureer ook de volgende Internet Explorer-instellingen. Zorg ervoor dat u OK selecteert om uw wijzigingen op te slaan.

    • Bestanden slepen en neerzetten of kopiëren en plakken toestaan

      • Type: Apparaat
      • Pad: \Windows Components\Internet Explorer\Internet Configuratiescherm\Security Page\Internet Zone
      • Waarde: Uitgeschakeld
    • Voorkomen dat certificaatfouten worden genegeerd

      • Type: Apparaat
      • Pad: \Windows Components\Internet Explorer\Internet Configuratiescherm
      • Waarde: Ingeschakeld
    • Het wijzigen van startpagina-instellingen uitschakelen

      • Type: Gebruiker
      • Pad: \Windows Components\Internet Explorer
      • Waarde: Ingeschakeld
      • Startpagina: voer een URL in, zoals contoso.com.
  5. Wis uw zoekfilter. De instellingen die u hebt geconfigureerd, worden bovenaan weergegeven:

    Schermopname van de geconfigureerde ADMX-instellingen worden bovenaan in Microsoft Intune weergegeven.

Uw sjabloon toewijzen

  1. Selecteer volgende in de sjabloon totdat u bij Toewijzingen bent. Kies Groepen selecteren om op te nemen:

    Schermopname die laat zien hoe u uw profiel voor beheersjablonen selecteert in de lijst Apparaatconfiguratieprofielen in Microsoft Intune.

  2. Er wordt een lijst met bestaande gebruikers en groepen weergegeven. Selecteer de groep Alle Windows 10-studentenapparaten die u eerder > hebt gemaakt Selecteren.

    Als u dit scenario gebruikt in een productieomgeving, kunt u groepen toevoegen die leeg zijn. Het doel is om te oefenen met het toewijzen van uw sjabloon.

  3. Selecteer Volgende. Selecteer in Controleren en makende optie Maken om uw wijzigingen op te slaan.

Zodra het profiel is opgeslagen, is dit van toepassing op de apparaten wanneer ze inchecken bij Intune. Als de apparaten zijn verbonden met internet, kan dit onmiddellijk gebeuren. Ga voor meer informatie over vernieuwingstijden van beleid naar Hoe lang duurt het voordat apparaten een beleid, profiel of app ophalen.

Wanneer u strikte of beperkende beleidsregels en profielen toewijst, sluit u uzelf niet af. U kunt een groep maken die is uitgesloten van uw beleid en profielen. Het idee is om toegang te hebben tot het oplossen van problemen. Controleer deze groep om te bevestigen dat deze wordt gebruikt zoals bedoeld.

Wat heb ik net gedaan?

In het Intune-beheercentrum hebt u een apparaatconfiguratieprofiel voor beheersjablonen gemaakt en dit profiel toegewezen aan een groep die u hebt gemaakt.

Een OneDrive-sjabloon maken

In deze sectie maakt u een OneDrive-beheerderssjabloon in Intune om bepaalde instellingen te beheren. Deze specifieke instellingen worden gekozen omdat ze vaak worden gebruikt door organisaties.

  1. Maak een ander profiel (Apparaten>Apparaten beheren>Configuratie>Nieuw beleid maken>).

  2. Geef de volgende eigenschappen op:

    • Platform: selecteer Windows 10 en hoger.
    • Profieltype: Selecteer Sjablonen>Beheersjablonen.
  3. Selecteer Maken.

  4. Voer in Basisinformatie de volgende eigenschappen in:

    • Naam: Voer Beheerderssjabloon in - OneDrive-beleid dat van toepassing is op alle Windows 10-gebruikers.
    • Beschrijving: voer een beschrijving in voor het profiel. Deze instelling is optioneel, maar wordt aanbevolen.
  5. Selecteer Volgende.

  6. Configureer in Configuratie-instellingen de volgende instellingen. Selecteer OK om uw wijzigingen op te slaan:

    • Computerconfiguratie:

      • Gebruikers op de achtergrond aanmelden bij de OneDrive-synchronisatieclient met hun Windows-referenties
        • Type: Apparaat
        • Waarde: Ingeschakeld
      • OneDrive-bestanden op aanvraag gebruiken
        • Type: Apparaat
        • Waarde: Ingeschakeld
    • Gebruikersconfiguratie:

      • Voorkomen dat gebruikers persoonlijke OneDrive-accounts synchroniseren
        • Type: Gebruiker
        • Waarde: Ingeschakeld

Uw instellingen zien er ongeveer uit als de volgende instellingen:

Schermopname van het maken van een OneDrive-beheersjabloon in Microsoft Intune.

Ga voor meer informatie over OneDrive-clientinstellingen naar Groepsbeleid gebruiken om de instellingen van de OneDrive-synchronisatieclient te beheren.

Uw sjabloon toewijzen

  1. Selecteer volgende in de sjabloon totdat u bij Toewijzingen bent. Kies Groepen selecteren om op te nemen:

  2. Er wordt een lijst met bestaande gebruikers en groepen weergegeven. Selecteer de groep Alle Windows-apparaten die u eerder > hebt gemaakt Selecteren.

    Als u dit scenario gebruikt in een productieomgeving, kunt u groepen toevoegen die leeg zijn. Het doel is om te oefenen met het toewijzen van uw sjabloon.

  3. Selecteer Volgende. Selecteer in Controleren en makende optie Maken om uw wijzigingen op te slaan.

Op dit moment hebt u enkele beheersjablonen gemaakt en deze toegewezen aan groepen die u hebt gemaakt. De volgende stap is het maken van een beheersjabloon met behulp van Windows PowerShell en de Microsoft Graph API voor Intune.

Optioneel: Een beleid maken met Behulp van PowerShell en Graph API

In deze sectie worden de volgende resources gebruikt. We installeren deze resources in deze sectie.

  1. Open Windows PowerShell op de beheerderscomputer als beheerder:

    1. Voer powershell in de zoekbalk in.
    2. Klik met de rechtermuisknop op Windows PowerShell>Uitvoeren als beheerder.

    Schermopname van het uitvoeren van Windows PowerShell als beheerder.

  2. Haal het uitvoeringsbeleid op en stel het in.

    1. Binnenkomen: get-ExecutionPolicy

      Noteer waarop het beleid is ingesteld. Dit kan Beperkt zijn. Wanneer u klaar bent met het overzicht, stelt u deze terug op de oorspronkelijke waarde.

    2. Binnenkomen: Set-ExecutionPolicy -ExecutionPolicy Unrestricted

    3. Voer in Y om deze te wijzigen.

    Het uitvoeringsbeleid van PowerShell helpt het uitvoeren van schadelijke scripts te voorkomen. Ga naar Over uitvoeringsbeleid voor meer informatie.

  3. Binnenkomen: Install-Module -Name Microsoft.Graph.Intune

    Voer in Y als:

    • Gevraagd om de NuGet-provider te installeren
    • Gevraagd om de modules te installeren vanuit een niet-vertrouwde opslagplaats

    Dit kan enkele minuten duren. Wanneer u klaar bent, wordt een prompt weergegeven die lijkt op de volgende prompt:

    Schermopname van de Windows PowerShell-prompt na de installatie van een module.

  4. Ga in uw webbrowser naar https://github.com/Microsoft/Intune-PowerShell-SDK/releasesen selecteer het Intune-PowerShell-SDK_v6.1907.00921.0001.zip-bestand .

    1. Selecteer Opslaan als en selecteer een map die u wilt onthouden. c:\psscripts is een goede keuze.

    2. Open de map en klik met de rechtermuisknop op het .zip bestand >Alles>uitpakken. Uw mapstructuur ziet er ongeveer als volgt uit:

      Schermopname van de mapstructuur van de Intune PowerShell SDK nadat deze is geëxtraheerd.

  5. Schakel op het tabblad Weergavede optie Bestandsnaamextensies in:

    Schermopname die laat zien hoe u bestandsextensies selecteert op het tabblad Weergave in Windows Verkenner.

  6. Ga in uw map naar c:\psscripts\Intune-PowerShell-SDK_v6.1907.00921.0001\drop\outputs\build\Release\net471. Klik met de rechtermuisknop op elke .dll >Eigenschappen>deblokkeren.

    Schermopname van het deblokkeren van de DLL's.

  7. Voer in uw Windows PowerShell-app het volgende in:

    Import-Module c:\psscripts\Intune-PowerShell-SDK_v6.1907.00921.0001\drop\outputs\build\Release\net471\Microsoft.Graph.Intune.psd1
    

    Voer in R als u wordt gevraagd om uit te voeren vanuit de niet-vertrouwde uitgever.

  8. Intune-beheersjablonen gebruiken de bètaversie van Graph:

    1. Binnenkomen: Update-MSGraphEnvironment -SchemaVersion 'beta'

    2. Binnenkomen: Connect-MSGraph -AdminConsent

    3. Meld u desgevraagd aan met hetzelfde Microsoft 365-beheerdersaccount. Deze cmdlets maken het beleid in uw tenantorganisatie.

      Gebruiker: voer het beheerdersaccount van uw Microsoft 365-tenantabonnement in.
      Wachtwoord: voer het wachtwoord in.

    4. Selecteer Accepteren.

  9. Maak het configuratieprofiel Testconfiguratie . Binnenkomen:

    $configuration = Invoke-MSGraphRequest -Url https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations -Content '{"displayName":"Test Configuration","description":"A test configuration created through PS"}' -HttpMethod POST
    

    Wanneer deze cmdlets slagen, wordt het profiel gemaakt. Als u dit wilt bevestigen, gaat u naar het Intune-beheercentrum >Apparaten>Configuratie van apparaten>beheren. Uw testconfiguratieprofiel moet worden weergegeven.

  10. Haal alle SettingDefinitions op. Binnenkomen:

    $settingDefinitions = Invoke-MSGraphRequest -Url https://graph.microsoft.com/beta/deviceManagement/groupPolicyDefinitions -HttpMethod GET
    
  11. Zoek de definitie-id met behulp van de weergavenaam van de instelling. Binnenkomen:

    $desiredSettingDefinition = $settingDefinitions.value | ? {$_.DisplayName -Match "Silently sign in users to the OneDrive sync app with their Windows credentials"}
    
  12. Een instelling configureren. Binnenkomen:

    $configuredSetting = Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues" -Content ("{""enabled"":""true"",""configurationType"":""policy"",""definition@odata.bind"":""https://graph.microsoft.com/beta/deviceManagement/groupPolicyDefinitions('$($desiredSettingDefinition.id)')""}") -HttpMethod POST
    
    Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues('$($configuredSetting.id)')" -Content ("{""enabled"":""false""}") -HttpMethod PATCH
    
    $configuredSetting = Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues('$($configuredSetting.id)')" -HttpMethod GET
    

Uw beleid bekijken

  1. In het Intune-beheercentrum >Apparaten>apparaten beheren>Configuratie>vernieuwen.
  2. Selecteer instellingenvoor testconfiguratieprofiel>.
  3. Selecteer Alle producten in de vervolgkeuzelijst.

U ziet dat de instelling Gebruikers op de achtergrond aanmelden bij de OneDrive-synchronisatieclient met hun Windows-referenties is geconfigureerd.

Aanbevolen procedures voor beleid

Wanneer u beleidsregels en profielen maakt in Intune, zijn er enkele aanbevelingen en best practices die u moet overwegen. Ga naar aanbevolen procedures voor beleid en profiel voor meer informatie.

Bronnen opschonen

Wanneer u het volgende niet meer nodig hebt, kunt u het volgende doen:

  • Verwijder de groepen die u hebt gemaakt:

    • Alle Windows 10-studentenapparaten
    • Alle Windows-apparaten
    • Alle docenten
  • Verwijder de beheersjablonen die u hebt gemaakt:

    • Beheerderssjabloon - Windows 10-studentenapparaten
    • Beheersjabloon - OneDrive-beleid dat van toepassing is op alle Windows 10-gebruikers
    • Configuratie testen
  • Stel het Windows PowerShell-uitvoeringsbeleid weer in op de oorspronkelijke waarde. In het volgende voorbeeld wordt het uitvoeringsbeleid ingesteld op Beperkt:

    Set-ExecutionPolicy -ExecutionPolicy Restricted
    

Volgende stappen

In deze zelfstudie hebt u meer kennisgemaakt met het Microsoft Intune-beheercentrum, de opbouwfunctie voor query's gebruikt om dynamische groepen te maken en beheersjablonen in Intune gemaakt om ADMX-instellingen te configureren. U hebt ook het gebruik van ADMX-sjablonen on-premises en in de cloud vergeleken met Intune. Als bonus hebt u PowerShell-cmdlets gebruikt om een beheersjabloon te maken.

Ga voor meer informatie over beheersjablonen in Intune naar: