Overzicht: De cloud gebruiken om groepsbeleid te configureren op Windows 10/11-apparaten met ADMX-sjablonen en Microsoft Intune

  • Artikel

Opmerking

Deze procedure is gemaakt als een technische workshop voor Microsoft Ignite. Het heeft meer vereisten dan typische scenario's, omdat het gebruik van ADMX-beleid in Intune en on-premises wordt vergeleken.

Beheersjablonen voor groepsbeleid, ook wel ADMX-sjablonen genoemd, bevatten instellingen die u kunt configureren op Windows-clientapparaten, waaronder pc's. De ADMX-sjablooninstellingen zijn beschikbaar voor verschillende services. Deze instellingen worden gebruikt door MDM-providers (Mobile Apparaatbeheer), inclusief Microsoft Intune. U kunt bijvoorbeeld Ontwerpideeën inSchakelen in PowerPoint, een startpagina instellen in Microsoft Edge en meer.

Tip

Ga naar Windows 10 ADMX-sjablonen gebruiken in Microsoft Intune voor een overzicht van ADMX-sjablonen in Intune, inclusief de ADMX-sjablonen die zijn ingebouwd in Intune.

Ga voor meer informatie over ADMX-beleid naar ADMX-beleid begrijpen.

Deze sjablonen zijn ingebouwd in Microsoft Intune en zijn beschikbaar als beheersjablonenprofielen. In dit profiel configureert u de instellingen die u wilt opnemen en wijst u dit profiel vervolgens toe aan uw apparaten.

In deze procedure gaat u het volgende doen:

  • Maak kennis met het Microsoft Intune-beheercentrum.
  • Gebruikersgroepen maken en apparaatgroepen maken.
  • Vergelijk de instellingen in Intune met on-premises ADMX-instellingen.
  • Maak verschillende beheersjablonen en configureer de instellingen die zijn gericht op de verschillende groepen.

Aan het einde van dit lab kunt u Intune en Microsoft 365 gebruiken om uw gebruikers te beheren en beheersjablonen te implementeren.

Deze functie is van toepassing op:

  • Windows 11
  • Windows 10 versie 1709 en hoger

Tip

Er zijn twee manieren om een beheersjabloon te maken: met behulp van een sjabloon of met behulp van de catalogus instellingen. Dit artikel is gericht op het gebruik van de sjabloon Beheersjablonen . In de instellingencatalogus zijn meer instellingen voor beheersjablonen beschikbaar. Voor de specifieke stappen voor het gebruik van de instellingencatalogus gaat u naar De instellingencatalogus gebruiken om instellingen te configureren.

Vereisten

  • Een Microsoft 365 E3- of E5-abonnement, inclusief Intune en Microsoft Entra ID P1 of P2. Als u geen E3- of E5-abonnement hebt, kunt u het gratis proberen.

    Ga naar Uw onderneming transformeren met Microsoft 365 voor meer informatie over wat u krijgt met de verschillende Microsoft 365-licenties.

  • Microsoft Intune is geconfigureerd als de Intune MDM-instantie. Ga voor meer informatie naar De instantie voor het beheer van mobiele apparaten instellen.

    Schermopname die laat zien hoe u de MDM-instantie instelt op Microsoft Intune in uw tenantstatus.

  • Op een on-premises Active Directory domeincontroller (DC):

    1. Kopieer de volgende Office- en Microsoft Edge-sjablonen naar de centrale opslag (map sysvol):

    2. Maak een groepsbeleid om deze sjablonen te pushen naar een Windows 10/11 Enterprise-beheerderscomputer in hetzelfde domein als de domeincontroller. In deze walkthrough:

      • Het groepsbeleid dat we met deze sjablonen hebben gemaakt, heet OfficeandEdge. U ziet deze naam in de afbeeldingen.
      • De Windows 10/11 Enterprise-beheerderscomputer die we gebruiken, wordt de Beheer computer genoemd.

      In sommige organisaties heeft een domeinbeheerder twee accounts:

      • Een typisch werkaccount van een domein
      • Een ander domeinbeheerdersaccount dat alleen wordt gebruikt voor domeinbeheerderstaken, zoals groepsbeleid

      Het doel van deze Beheer computer is dat beheerders zich kunnen aanmelden met hun domeinbeheerdersaccount en toegang kunnen krijgen tot hulpprogramma's die zijn ontworpen voor het beheren van groepsbeleid.

  • Op deze Beheer computer:

    • Meld u aan met een domeinbeheerdersaccount.

    • Voeg de RSAT: groepsbeleid Management Tools toe:

      1. Open de app> Instellingen Systeem>Optionele functies>Functie toevoegen.

        Als u een versie gebruikt die ouder is dan Windows 10 22H2, gaat u naar Instellingen>Apps>Apps & functies>Optionele functies>Functie toevoegen.

      2. Selecteer RSAT: groepsbeleid Management Tools>Toevoegen.

        Wacht tot windows de functie toevoegt. Wanneer dit is voltooid, wordt deze uiteindelijk weergegeven in de app Windows-systeembeheer .

        Schermopname van de windows-beheerprogramma's-apps, inclusief de app groepsbeleid Management.

    • Zorg ervoor dat u toegang tot internet en beheerdersrechten hebt voor het Microsoft 365-abonnement, waaronder het Intune-beheercentrum.

Het Intune-beheercentrum openen

  1. Open een Chromium-webbrowser, zoals Microsoft Edge versie 77 en hoger.

  2. Ga naar het Microsoft Intune-beheercentrum. Meld u aan met het volgende account:

    Gebruiker: voer het beheerdersaccount van uw Microsoft 365-tenantabonnement in.
    Wachtwoord: voer het wachtwoord in.

Dit beheercentrum is gericht op apparaatbeheer en bevat Azure-services, zoals Microsoft Entra ID en Intune. Mogelijk ziet u de Microsoft Entra ID en Intune huisstijl niet, maar u gebruikt ze wel.

U kunt het Intune-beheercentrum ook openen vanuit de Microsoft 365-beheercentrum:

  1. Ga naar https://admin.microsoft.com.

  2. Meld u aan met het beheerdersaccount van uw Microsoft 365-tenantabonnement.

  3. Selecteer Alle>beheercentrums>weergeven Eindpuntbeheer. Het Intune-beheercentrum wordt geopend.

    Schermopname van alle beheercentra in de Microsoft 365-beheercentrum.

Groepen maken en gebruikers toevoegen

On-premises beleidsregels worden toegepast in de LSDOU-volgorde - lokaal, site, domein en organisatie-eenheid (OE). In deze hiërarchie overschrijft OE-beleid lokaal beleid, domeinbeleid overschrijft sitebeleid, enzovoort.

In Intune wordt beleid toegepast op gebruikers en groepen die u maakt. Er is geen hiërarchie. Bijvoorbeeld:

  • Als twee beleidsregels dezelfde instelling bijwerken, wordt de instelling weergegeven als een conflict.
  • Als twee nalevingsbeleidsregels met elkaar in conflict zijn, is het meest beperkende beleid van toepassing.
  • Als twee configuratieprofielen een conflict veroorzaken, wordt de instelling niet toegepast.

Ga voor meer informatie naar Veelgestelde vragen, problemen en oplossingen met apparaatbeleid en -profielen.

In deze volgende stappen maakt u beveiligingsgroepen en voegt u gebruikers toe aan deze groepen. U kunt een gebruiker toevoegen aan meerdere groepen. Het is bijvoorbeeld normaal dat een gebruiker meerdere apparaten heeft, zoals een Surface Pro voor werk en een mobiel Android-apparaat voor persoonlijk gebruik. En het is normaal dat een persoon toegang heeft tot organisatieresources vanaf deze meerdere apparaten.

  1. Selecteer nieuwegroepin> het Intune-beheercentrum.

  2. Voer de volgende instellingen in:

    • Groepstype: selecteer Beveiliging.
    • Groepsnaam: Voer Alle Windows 10 leerlingen/studentenapparaten in.
    • Lidmaatschapstype: Selecteer Toegewezen.

  3. Selecteer Leden en voeg enkele apparaten toe.

    Het toevoegen van apparaten is optioneel. Het doel is om te oefenen met het maken van groepen en te weten hoe u apparaten toevoegt. Als u dit scenario in een productieomgeving gebruikt, moet u rekening houden met wat u doet.

  4. Selecteer>Maken om uw wijzigingen op te slaan.

    Ziet u uw groep niet? Selecteer Vernieuwen.

  5. Selecteer Nieuwe groep en voer de volgende instellingen in:

    • Groepstype: selecteer Beveiliging.

    • Groepsnaam: Voer Alle Windows-apparaten in.

    • Lidmaatschapstype: Selecteer Dynamisch apparaat.

    • Leden van dynamische apparaten: selecteer Dynamische query toevoegen en configureer uw query:

      • Eigenschap: selecteer deviceOSType.
      • Operator: Selecteer Gelijk aan.
      • Waarde: Voer Windows in.

      1. Selecteer Expressie toevoegen. Uw expressie wordt weergegeven in de regelsyntaxis:

        Schermopname van het maken van een dynamische query en het toevoegen van expressies in een Microsoft Intune beheersjabloon.

        Wanneer gebruikers of apparaten voldoen aan de criteria die u invoert, worden ze automatisch toegevoegd aan de dynamische groepen. In dit voorbeeld worden apparaten automatisch toegevoegd aan deze groep wanneer het besturingssysteem Windows is. Als u dit scenario in een productieomgeving gebruikt, moet u voorzichtig zijn. Het doel is om te oefenen met het maken van dynamische groepen.

      2. Opslaan>Maken om uw wijzigingen op te slaan.

  6. Maak de groep Alle docenten met de volgende instellingen:

    • Groepstype: selecteer Beveiliging.

    • Groepsnaam: Voer Alle docenten in.

    • Lidmaatschapstype: selecteer Dynamische gebruiker.

    • Leden van dynamische gebruikers: selecteer Dynamische query toevoegen en configureer uw query:

      • Eigenschap: Selecteer afdeling.

      • Operator: Selecteer Gelijk aan.

      • Waarde: Voer Docenten in.

        1. Selecteer Expressie toevoegen. Uw expressie wordt weergegeven in de regelsyntaxis.

          Wanneer gebruikers of apparaten voldoen aan de criteria die u invoert, worden ze automatisch toegevoegd aan de dynamische groepen. In dit voorbeeld worden gebruikers automatisch toegevoegd aan deze groep wanneer hun afdeling Docenten is. U kunt de afdeling en andere eigenschappen invoeren wanneer gebruikers worden toegevoegd aan uw organisatie. Als u dit scenario in een productieomgeving gebruikt, moet u voorzichtig zijn. Het doel is om te oefenen met het maken van dynamische groepen.

        2. Opslaan>Maken om uw wijzigingen op te slaan.

Gesprekspunten

  • Dynamische groepen zijn een functie in Microsoft Entra ID P1 of P2. Als u geen Microsoft Entra ID P1 of P2 hebt, hebt u een licentie om alleen toegewezen groepen te maken. Ga voor meer informatie over dynamische groepen naar:

  • Microsoft Entra ID P1 of P2 bevat andere services die vaak worden gebruikt bij het beheren van apps en apparaten, waaronder meervoudige verificatie (MFA) en voorwaardelijke toegang.

  • Veel beheerders vragen wanneer ze gebruikersgroepen moeten gebruiken en wanneer ze apparaatgroepen moeten gebruiken. Ga naar Gebruikersgroepen versus apparaatgroepen voor meer informatie.

  • Een gebruiker kan deel uitmaken van meerdere groepen. Houd rekening met enkele van de andere dynamische gebruikers- en apparaatgroepen die u kunt maken, zoals:

    • Alle leerlingen/studenten
    • Alle Android-apparaten
    • Alle iOS-/iPadOS-apparaten
    • Marketing
    • Human Resources
    • Alle charlotte-medewerkers
    • Alle Redmond-medewerkers
    • IT-beheerders aan de westkust
    • IT-beheerders aan de oostkust

De gemaakte gebruikers en groepen worden ook weergegeven in de Microsoft 365-beheercentrum, Microsoft Entra ID in de Azure Portal en Microsoft Intune in de Azure Portal. U kunt groepen maken en beheren in al deze gebieden voor uw tenantabonnement. Als uw doel apparaatbeheer is, gebruikt u het Microsoft Intune-beheercentrum.

Groepslidmaatschap controleren

  1. Selecteer in het Intune-beheercentrum Gebruikers>Alle gebruikers> selecteren de naam van een bestaande gebruiker.
  2. Bekijk enkele informatie die u kunt toevoegen of wijzigen. Bekijk bijvoorbeeld de eigenschappen die u kunt configureren, zoals Functie, Afdeling, Plaats, Kantoorlocatie en meer. U kunt deze eigenschappen gebruiken in uw dynamische query's bij het maken van dynamische groepen.
  3. Selecteer Groepen om het lidmaatschap van deze gebruiker te bekijken. U kunt de gebruiker ook uit een groep verwijderen.
  4. Selecteer enkele van de andere opties voor meer informatie en wat u kunt doen. Kijk bijvoorbeeld naar de toegewezen licentie, de apparaten van de gebruiker en meer.

Wat heb ik net gedaan?

In het Intune-beheercentrum hebt u nieuwe beveiligingsgroepen gemaakt en bestaande gebruikers en apparaten aan deze groepen toegevoegd. We gebruiken deze groepen in latere stappen in deze zelfstudie.

Een sjabloon maken in Intune

In deze sectie maken we een beheersjabloon in Intune, bekijken we enkele instellingen in groepsbeleid Management en vergelijken we dezelfde instelling in Intune. Het doel is om een instelling in groepsbeleid weer te geven en dezelfde instelling weer te geven in Intune.

  1. Selecteer in het Intune-beheercentrum de optie Apparaten>configuratie>maken.

  2. Geef de volgende eigenschappen op:

    • Platform: selecteer Windows 10 en hoger.
    • Profieltype: selecteer Beheersjablonen.

  3. Selecteer Maken.

  4. Voer in Basis de volgende eigenschappen in:

    • Naam: voer een beschrijvende naam in voor het profiel. Geef uw profielen een naam zodat u ze later eenvoudig kunt herkennen. Voer bijvoorbeeld Beheer sjabloon in: Windows 10 apparaten van leerlingen/studenten.
    • Beschrijving: voer een beschrijving in voor het profiel. Deze instelling is optioneel, maar wordt aanbevolen.

  5. Selecteer Volgende.

  6. In Configuratie-instellingen geeft Alle instellingen een alfabetische lijst met alle instellingen weer. U kunt ook instellingen filteren die van toepassing zijn op apparaten (Computerconfiguratie) en instellingen die van toepassing zijn op gebruikers (gebruikersconfiguratie):

    Schermopname van het toepassen van ADMX-sjablooninstellingen op gebruikers en apparaten in Microsoft Intune.

  7. Vouw Computerconfiguratie>Uit Microsoft Edge>selecteer SmartScreen-instellingen. Let op het pad naar het beleid en alle beschikbare instellingen:

    Schermopname die laat zien hoe u de Microsoft Edge SmartScreen-beleidsinstellingen kunt zien in ADMX-sjablonen in Microsoft Intune.

  8. Voer downloaden in de zoekfunctie in. U ziet dat de beleidsinstellingen zijn gefilterd:

    Schermopname die laat zien hoe u de Microsoft Edge SmartScreen-beleidsinstellingen filtert in een Microsoft Intune ADMX-sjabloon.

Open groepsbeleid Management

In deze sectie wordt een beleid weergegeven in Intune en het bijbehorende beleid in groepsbeleid Management Editor.

Een apparaatbeleid vergelijken

  1. Open de app groepsbeleid Management op de Beheer computer.

    Deze app wordt geïnstalleerd met RSAT: groepsbeleid Management Tools. Dit is een optionele functie die u aan Windows toevoegt. Vereisten (in dit artikel) bevat de stappen voor het installeren ervan.

  2. Vouw Domeinen> selecteer uw domein uit. Selecteer contoso.netbijvoorbeeld .

  3. Klik met de rechtermuisknop op het OfficeenEdge-beleid>bewerken. De app groepsbeleid Management Editor wordt geopend.

    Schermopname die laat zien hoe u met de rechtermuisknop op het on-premises ADMX-groepsbeleid van Office en Microsoft Edge klikt en bewerken selecteert.

    OfficeandEdge is een groepsbeleid dat de ADMX-sjablonen van Office en Microsoft Edge bevat. Dit beleid wordt beschreven in vereisten (in dit artikel).

  4. Vouw Computerconfiguratiebeleid>Beheersjablonen>>Configuratiescherm>Persoonlijke instellingen uit. Let op de beschikbare instellingen.

    Schermopname die laat zien hoe u Computerconfiguratie in on-premises groepsbeleid Management Editor uitvouwt en naar Persoonlijke instellingen gaat.

    Dubbelklik op Voorkomen dat camera voor het vergrendelingsscherm wordt ingeschakeld en bekijk de beschikbare opties:

    Schermopname die laat zien hoe u de configuratie-instellingen voor de on-premises computer in groepsbeleid kunt bekijken.

  5. Ga in het Intune-beheercentrum naar de sjabloon Beheer- Windows 10 apparaatsjabloon voor leerlingen/studenten.

  6. Selecteer Computerconfiguratie>Configuratiescherm>Personalisatie. Let op de beschikbare instellingen:

    Schermopname van het pad voor het instellen van het persoonlijke instellingenbeleid in Microsoft Intune.

    Het instellingstype is Apparaat en het pad is /Control Panel/Personalization. Dit pad is vergelijkbaar met wat u zojuist hebt gezien in groepsbeleid Management Editor. Als u de instelling Camera voor het vergrendelingsscherm niet inschakelen opent, ziet u dezelfde opties Niet geconfigureerd, Ingeschakeld en Uitgeschakeld in groepsbeleid Beheer Editor.

Een gebruikersbeleid vergelijken

  1. Selecteer in uw beheerderssjabloon Computerconfiguratie>Alle instellingen en zoek inprivate browsingnaar . Let op het pad.

    Doe hetzelfde voor gebruikersconfiguratie. Selecteer Alle instellingen en zoek inprivate browsingnaar .

  2. Zoek in groepsbeleid Beheer Editor de overeenkomende gebruikers- en apparaatinstellingen:

    • Apparaat: Vouw Computerconfiguratiebeleid>Beheersjablonen>>Windows-onderdelen>Internet Explorer>Privacy>Schakel InPrivate-browsen uit.
    • Gebruiker: Vouw Gebruikersconfiguratiebeleid>Beheersjablonen>>Windows-onderdelen>Internet Explorer>Privacy>Schakel InPrivate-browsing uit.

    Schermopname van het uitschakelen van InPrivate-browsing in Internet Explorer met behulp van een ADMX-sjabloon.

Tip

Als u het ingebouwde Windows-beleid wilt zien, kunt u ook GPEdit (app groepsbeleid bewerken) gebruiken.

Een Microsoft Edge-beleid vergelijken

  1. Ga in het Intune-beheercentrum naar de sjabloon Beheer- Windows 10 apparaatsjabloon voor leerlingen/studenten.

  2. Vouw Computerconfiguratie>Microsoft Edge>Opstarten, startpagina en nieuw tabblad uit. Let op de beschikbare instellingen.

    Doe hetzelfde voor gebruikersconfiguratie.

  3. Zoek in groepsbeleid Beheer Editor de volgende instellingen:

    • Apparaat: Vouw Computerconfiguratiebeleid>>Beheersjablonen>Microsoft Edge>Opstartpagina, startpagina en nieuw tabblad uit.
    • Gebruiker: Vouw Gebruikersconfiguratiebeleid>Beheersjablonen>>Microsoft Edge>Startup, startpagina en nieuw tabblad uit

Wat heb ik net gedaan?

U hebt een beheersjabloon gemaakt in Intune. In deze sjabloon hebben we enkele ADMX-instellingen bekeken en dezelfde ADMX-instellingen bekeken in groepsbeleid Management.

Instellingen toevoegen aan de beheersjabloon Studenten

In deze sjabloon configureren we enkele Internet Explorer-instellingen om apparaten te vergrendelen die door meerdere leerlingen/studenten worden gedeeld.

  1. Vouw computerconfiguratie uit in uw Beheer sjabloon - Windows 10 apparaten van leerlingen/studenten, selecteer Alle instellingen en zoek naar InPrivate-navigatie uitschakelen:

    Schermopname die laat zien hoe u het apparaatbeleid voor InPrivate-browsing uitschakelt in een beheersjabloon in Microsoft Intune.

  2. Selecteer de instelling InPrivate-browsen uitschakelen . In dit venster ziet u de beschrijving en waarden die u kunt instellen. Deze opties zijn vergelijkbaar met wat u ziet in groepsbeleid.

  3. Selecteer Ingeschakeld>OK om uw wijzigingen op te slaan.

  4. Configureer ook de volgende Internet Explorer-instellingen. Zorg ervoor dat u OK selecteert om uw wijzigingen op te slaan.

    • Bestanden slepen en neerzetten of kopiëren en plakken toestaan

      • Type: Apparaat
      • Pad: \Windows Components\Internet Explorer\Internet Configuratiescherm\Security Page\Internet Zone
      • Waarde: Uitgeschakeld

    • Voorkomen dat certificaatfouten worden genegeerd

      • Type: Apparaat
      • Pad: \Windows Components\Internet Explorer\Internet Configuratiescherm
      • Waarde: Ingeschakeld

    • Het wijzigen van startpagina-instellingen uitschakelen

      • Type: Gebruiker
      • Pad: \Windows Components\Internet Explorer
      • Waarde: Ingeschakeld
      • Startpagina: voer een URL in, zoals contoso.com.

  5. Wis uw zoekfilter. De instellingen die u hebt geconfigureerd, worden bovenaan weergegeven:

    Schermopname van de geconfigureerde ADMX-instellingen worden bovenaan in Microsoft Intune weergegeven.

Uw sjabloon toewijzen

  1. Selecteer volgende in de sjabloon totdat u bij Toewijzingen bent. Kies Groepen selecteren om op te nemen:

    Schermopname die laat zien hoe u uw profiel voor beheersjablonen selecteert in de lijst Apparaatconfiguratieprofielen in Microsoft Intune.

  2. Er wordt een lijst met bestaande gebruikers en groepen weergegeven. Selecteer de groep Alle Windows 10 studentapparaten die u eerder > hebt gemaakt Selecteren.

    Als u dit scenario gebruikt in een productieomgeving, kunt u groepen toevoegen die leeg zijn. Het doel is om te oefenen met het toewijzen van uw sjabloon.

  3. Selecteer Volgende. Selecteer in Controleren en makende optie Maken om uw wijzigingen op te slaan.

Zodra het profiel is opgeslagen, is het van toepassing op de apparaten wanneer ze inchecken met Intune. Als de apparaten zijn verbonden met internet, kan dit onmiddellijk gebeuren. Ga voor meer informatie over vernieuwingstijden van beleid naar Hoe lang duurt het voordat apparaten een beleid, profiel of app ophalen.

Wanneer u strikte of beperkende beleidsregels en profielen toewijst, sluit u uzelf niet af. U kunt een groep maken die is uitgesloten van uw beleid en profielen. Het idee is om toegang te hebben tot het oplossen van problemen. Controleer deze groep om te bevestigen dat deze wordt gebruikt zoals bedoeld.

Wat heb ik net gedaan?

In het Intune beheercentrum hebt u een apparaatconfiguratieprofiel voor beheersjablonen gemaakt en dit profiel toegewezen aan een groep die u hebt gemaakt.

Een OneDrive-sjabloon maken

In deze sectie maakt u een OneDrive-beheerderssjabloon in Intune om bepaalde instellingen te beheren. Deze specifieke instellingen worden gekozen omdat ze vaak worden gebruikt door organisaties.

  1. Maak een ander profiel (Apparaatconfiguratie>>maken).

  2. Geef de volgende eigenschappen op:

    • Platform: selecteer Windows 10 en hoger.
    • Profieltype: Selecteer Beheersjablonen.

  3. Selecteer Maken.

  4. Voer in Basis de volgende eigenschappen in:

    • Naam: Voer Beheer sjabloon in: OneDrive-beleid dat van toepassing is op alle Windows 10 gebruikers.
    • Beschrijving: voer een beschrijving in voor het profiel. Deze instelling is optioneel, maar wordt aanbevolen.

  5. Selecteer Volgende.

  6. Configureer in Configuratie-instellingen de volgende instellingen. Selecteer OK om uw wijzigingen op te slaan:

    • Computerconfiguratie:

      • Gebruikers op de achtergrond aanmelden bij de OneDrive-synchronisatie-client met hun Windows-referenties
        • Type: Apparaat
        • Waarde: Ingeschakeld
      • OneDrive-bestanden op aanvraag gebruiken
        • Type: Apparaat
        • Waarde: Ingeschakeld

    • Gebruikersconfiguratie:

      • Voorkomen dat gebruikers persoonlijke OneDrive-accounts synchroniseren
        • Type: Gebruiker
        • Waarde: Ingeschakeld

Uw instellingen zien er ongeveer uit als de volgende instellingen:

Schermopname van het maken van een OneDrive-beheersjabloon in Microsoft Intune.

Ga voor meer informatie over OneDrive-clientinstellingen naar Groepsbeleid gebruiken om OneDrive-synchronisatie clientinstellingen te beheren.

Uw sjabloon toewijzen

  1. Selecteer volgende in de sjabloon totdat u bij Toewijzingen bent. Kies Groepen selecteren om op te nemen:

  2. Er wordt een lijst met bestaande gebruikers en groepen weergegeven. Selecteer de groep Alle Windows-apparaten die u eerder > hebt gemaakt Selecteren.

    Als u dit scenario gebruikt in een productieomgeving, kunt u groepen toevoegen die leeg zijn. Het doel is om te oefenen met het toewijzen van uw sjabloon.

  3. Selecteer Volgende. Selecteer in Controleren en makende optie Maken om uw wijzigingen op te slaan.

Op dit moment hebt u enkele beheersjablonen gemaakt en deze toegewezen aan groepen die u hebt gemaakt. De volgende stap is het maken van een beheersjabloon met behulp van Windows PowerShell en de Microsoft Graph API voor Intune.

Optioneel: Een beleid maken met PowerShell en Graph API

In deze sectie worden de volgende resources gebruikt. We installeren deze resources in deze sectie.

  1. Open Windows PowerShell op de Beheer computer als beheerder:

    1. Voer powershell in de zoekbalk in.
    2. Klik met de rechtermuisknop op Windows PowerShell>Uitvoeren als beheerder.

    Schermopname van het uitvoeren van Windows PowerShell als beheerder.

  2. Haal het uitvoeringsbeleid op en stel het in.

    1. Voer: get-ExecutionPolicy

      Noteer waarop het beleid is ingesteld. Dit kan Beperkt zijn. Wanneer u klaar bent met het overzicht, stelt u deze terug op de oorspronkelijke waarde.

    2. Voer: Set-ExecutionPolicy -ExecutionPolicy Unrestricted

    3. Voer in Y om deze te wijzigen.

    Het uitvoeringsbeleid van PowerShell helpt het uitvoeren van schadelijke scripts te voorkomen. Ga naar Over uitvoeringsbeleid voor meer informatie.

  3. Voer: Install-Module -Name Microsoft.Graph.Intune

    Voer in Y als:

    • Gevraagd om de NuGet-provider te installeren
    • Gevraagd om de modules te installeren vanuit een niet-vertrouwde opslagplaats

    Dit kan enkele minuten duren. Wanneer u klaar bent, wordt een prompt weergegeven die lijkt op de volgende prompt:

    Schermopname van de Windows PowerShell prompt na de installatie van een module.

  4. Ga in uw webbrowser naar https://github.com/Microsoft/Intune-PowerShell-SDK/releasesen selecteer het Intune-PowerShell-SDK_v6.1907.00921.0001.zip-bestand .

    1. Selecteer Opslaan als en selecteer een map die u wilt onthouden. c:\psscripts is een goede keuze.

    2. Open de map en klik met de rechtermuisknop op het .zip bestand >Alles>uitpakken. Uw mapstructuur ziet er ongeveer als volgt uit:

      Schermopname van de Intune PowerShell SDK-mapstructuur nadat deze is geëxtraheerd.

  5. Schakel op het tabblad Weergavede optie Bestandsnaamextensies in:

    Schermopname die laat zien hoe u bestandsextensies selecteert op het tabblad Weergave in Windows Verkenner.

  6. Ga in uw map naar c:\psscripts\Intune-PowerShell-SDK_v6.1907.00921.0001\drop\outputs\build\Release\net471. Klik met de rechtermuisknop op elke .dll >Eigenschappen>deblokkeren.

    Schermopname van het deblokkeren van de DLL's.

  7. Voer in uw Windows PowerShell-app het volgende in:

    Import-Module c:\psscripts\Intune-PowerShell-SDK_v6.1907.00921.0001\drop\outputs\build\Release\net471\Microsoft.Graph.Intune.psd1

    Voer in R als u wordt gevraagd om uit te voeren vanuit de niet-vertrouwde uitgever.

  8. Intune beheersjablonen gebruiken de bètaversie van Graph:

    1. Voer: Update-MSGraphEnvironment -SchemaVersion 'beta'

    2. Voer: Connect-MSGraph -AdminConsent

    3. Meld u desgevraagd aan met hetzelfde Microsoft 365-beheerdersaccount. Deze cmdlets maken het beleid in uw tenantorganisatie.

      Gebruiker: voer het beheerdersaccount van uw Microsoft 365-tenantabonnement in.
      Wachtwoord: voer het wachtwoord in.

    4. Selecteer Accepteren.

  9. Maak het configuratieprofiel Testconfiguratie . Voer:

    $configuration = Invoke-MSGraphRequest -Url https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations -Content '{"displayName":"Test Configuration","description":"A test configuration created through PS"}' -HttpMethod POST

    Wanneer deze cmdlets slagen, wordt het profiel gemaakt. Als u dit wilt bevestigen, gaat u naar deconfiguratie van het Intune-beheercentrum>.> Uw testconfiguratieprofiel moet worden weergegeven.

  10. Haal alle SettingDefinitions op. Voer:

    $settingDefinitions = Invoke-MSGraphRequest -Url https://graph.microsoft.com/beta/deviceManagement/groupPolicyDefinitions -HttpMethod GET

  11. Zoek de definitie-id met behulp van de weergavenaam van de instelling. Voer:

    $desiredSettingDefinition = $settingDefinitions.value | ? {$_.DisplayName -Match "Silently sign in users to the OneDrive sync app with their Windows credentials"}

  12. Een instelling configureren. Voer:

    $configuredSetting = Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues" -Content ("{""enabled"":""true"",""configurationType"":""policy"",""definition@odata.bind"":""https://graph.microsoft.com/beta/deviceManagement/groupPolicyDefinitions('$($desiredSettingDefinition.id)')""}") -HttpMethod POST

    Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues('$($configuredSetting.id)')" -Content ("{""enabled"":""false""}") -HttpMethod PATCH

    $configuredSetting = Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues('$($configuredSetting.id)')" -HttpMethod GET

Uw beleid bekijken

  1. In het Intune beheercentrum >Apparaten>configuratie>vernieuwen.
  2. Selecteer instellingenvoor testconfiguratieprofiel>.
  3. Selecteer Alle producten in de vervolgkeuzelijst.

U ziet de instelling Gebruikers op de achtergrond aanmelden bij de OneDrive-synchronisatie-client met hun Windows-referenties is geconfigureerd.

Aanbevolen procedures voor beleid

Wanneer u beleidsregels en profielen maakt in Intune, zijn er enkele aanbevelingen en best practices die u moet overwegen. Ga naar aanbevolen procedures voor beleid en profiel voor meer informatie.

Resources opschonen

Wanneer u het volgende niet meer nodig hebt, kunt u het volgende doen:

  • Verwijder de groepen die u hebt gemaakt:

    • Alle apparaten van Windows 10 leerlingen/studenten
    • Alle Windows-apparaten
    • Alle docenten

  • Verwijder de beheersjablonen die u hebt gemaakt:

    • Beheer sjabloon - apparaten van leerlingen/studenten Windows 10
    • Beheer sjabloon : OneDrive-beleid dat van toepassing is op alle Windows 10 gebruikers
    • Configuratie testen

  • Stel het Windows PowerShell-uitvoeringsbeleid weer in op de oorspronkelijke waarde. In het volgende voorbeeld wordt het uitvoeringsbeleid ingesteld op Beperkt:

    Set-ExecutionPolicy -ExecutionPolicy Restricted

Volgende stappen

In deze zelfstudie hebt u meer vertrouwd geraakt met het Microsoft Intune-beheercentrum, de opbouwfunctie voor query's gebruikt om dynamische groepen te maken en beheersjablonen gemaakt in Intune om ADMX-instellingen te configureren. U hebt ook het gebruik van ADMX-sjablonen on-premises en in de cloud vergeleken met Intune. Als bonus hebt u PowerShell-cmdlets gebruikt om een beheersjabloon te maken.

Ga voor meer informatie over beheersjablonen in Intune naar:

Gebruik Windows 10/11-sjablonen om groepsbeleidsinstellingen in Intune te configureren