Tworzenie profilu urządzenia w usłudze Microsoft Intune

Profile urządzeń umożliwiają dodawanie i konfigurowanie ustawień, a następnie wypychanie tych ustawień do urządzeń w organizacji. Podczas tworzenia zasad masz kilka opcji:

• Szablony administracyjne: na urządzeniach Windows 10/11 te szablony są skonfigurowanymi ustawieniami ADMX. Jeśli znasz zasady ADMX lub obiekty zasad grupy (GPO), użycie szablonów administracyjnych jest naturalnym krokiem do Microsoft Intune.

  Aby uzyskać więcej informacji, zobacz Szablony administracyjne

• Punkty odniesienia: na urządzeniach Windows 10/11 te punkty odniesienia obejmują wstępnie skonfigurowane ustawienia zabezpieczeń. Jeśli chcesz utworzyć zasady zabezpieczeń przy użyciu zaleceń zespołów zabezpieczeń firmy Microsoft, punkty odniesienia zabezpieczeń są dla Ciebie.

  Aby uzyskać więcej informacji, zobacz Punkty odniesienia zabezpieczeń.

• Wykaz ustawień: na urządzeniach Windows 10/11 użyj katalogu ustawień, aby wyświetlić wszystkie dostępne ustawienia i w jednej lokalizacji. Na przykład można wyświetlić wszystkie ustawienia, które mają zastosowanie do funkcji BitLocker, i utworzyć zasady, które koncentrują się tylko na funkcji BitLocker. Na urządzeniach z systemem macOS użyj katalogu ustawień, aby skonfigurować przeglądarkę Microsoft Edge w wersji 77 i ustawienia.

  Aby uzyskać więcej informacji, zobacz Katalog ustawień.

  W systemie macOS kontynuuj korzystanie z pliku preferencji , aby:

  • Konfigurowanie wcześniejszych wersji przeglądarki Microsoft Edge
  • Konfigurowanie ustawień przeglądarki Edge, które nie znajdują się w katalogu ustawień

• Szablony: na urządzeniach z systemami Android, iOS/iPadOS, macOS i Windows szablony obejmują logiczne grupowanie ustawień, które konfigurują funkcję lub koncepcję, taką jak sieć VPN, poczta e-mail, urządzenia kiosku i inne. Jeśli wiesz już, jak tworzyć zasady konfiguracji urządzeń w Microsoft Intune, korzystasz już z tych szablonów.

  Aby uzyskać więcej informacji, w tym dostępne szablony, zobacz Stosowanie funkcji i ustawień na urządzeniach przy użyciu profilów urządzeń.

Ten artykuł:

• Listy kroki tworzenia profilu.
• Pokazuje, jak dodać tag zakresu do "filtrowania" zasad.
• Opisuje reguły stosowania na urządzeniach klienckich z systemem Windows i pokazuje, jak utworzyć regułę.
• Zawiera więcej informacji na temat czasów cyklu odświeżania ewidencjonowania, kiedy urządzenia otrzymują profile i wszelkie aktualizacje profilu.

Tworzenie profilu

Profile są tworzone w centrum administracyjnym Microsoft Intune. W tym centrum administracyjnym wybierz pozycję Urządzenia. Dostępne są następujące opcje:

• Omówienie: Listy stan profilów i zawiera więcej szczegółów na temat profilów przypisanych do użytkowników i urządzeń.
• Monitorowanie: sprawdź stan profilów pod kątem powodzenia lub niepowodzenia, a także wyświetl dzienniki w profilach.
• Według platformy: tworzenie i wyświetlanie zasad i profilów według platformy. Ten widok może również pokazywać funkcje specyficzne dla platformy. Na przykład wybierz pozycję Windows. Zobaczysz funkcje specyficzne dla systemu Windows, takie jak pierścienie Windows Update i skrypty programu PowerShell.
• Zarządzanie urządzeniami: tworzenie profilów urządzeń, przekazywanie niestandardowych skryptów programu PowerShell do uruchamiania na urządzeniach i dodawanie planów danych do urządzeń przy użyciu karty eSIM.

Podczas tworzenia profilu (Tworzenie konfiguracji>) wybierz platformę:

• Administrator urządzenia z systemem Android
• Android Enterprise
• iOS/iPadOS
• macOS
• Windows 10 lub nowszy
• Windows 8.1 i nowsze

Następnie wybierz profil. W zależności od wybranej platformy ustawienia, które można skonfigurować, są różne. W poniższych artykułach opisano różne profile:

• Szablony administracyjne (Windows)
• Konfiguracja systemu BIOS i inne ustawienia
• Niestandardowe
• Optymalizacja dostarczania (Windows)
• Pochodne poświadczenia (Android Enterprise, iOS, iPadOS)
• Funkcje urządzenia (macOS, iOS, iPadOS)
• Interfejs konfiguracji oprogramowania układowego urządzenia (DFCI) (Windows)
• Ograniczenia urządzenia
• Przyłączanie do domeny (Windows)
• Uaktualnianie wersji i przełącznik trybu (Windows)
• Edukacja (iOS, iPadOS)
• Poczta e-mail
• Ochrona punktu końcowego (macOS, Windows)
• Rozszerzenia (macOS)
• Ochrona tożsamości (Windows)
• Kiosk
• Ochrona punktu końcowego w usłudze Microsoft Defender (Windows)
• Profil rozszerzeń mobilności (MX) (administrator urządzeń z systemem Android)
• Granica sieci (Windows)
• OEMConfig (Android Enterprise)
• Certyfikat PKCS
• Zaimportowany certyfikat PKCS
• Plik preferencji (macOS)
• Certyfikat SCEP
• Bezpieczna ocena (edukacja) (Windows)
• Udostępnione urządzenie z wieloma użytkownikami (Windows)
• Zaufany certyfikat
• Sieć VPN
• Wi-Fi
• Monitorowanie kondycji systemu Windows
• Sieci przewodowe (macOS)

Jeśli na przykład wybierzesz dla platformy system iOS/iPadOS , opcje będą wyglądać podobnie do następującego profilu:

Jeśli wybierzesz Windows 10 i nowsze dla platformy, opcje będą wyglądać podobnie do następującego profilu:

Tagi zakresu

Po dodaniu ustawień możesz również dodać tag zakresu do profilu. Tagi zakresu filtrują profile do określonych grup IT, takich jak US-NC IT Team lub JohnGlenn_ITDepartment. I są używane w rozproszonym it.

Aby uzyskać więcej informacji na temat tagów zakresu i tego, co można zrobić, zobacz Używanie kontroli RBAC i tagów zakresu dla rozproszonej infrastruktury IT.

Reguły stosowania

Dotyczy:

• System Windows 11
• Windows 10

Reguły stosowania umożliwiają administratorom kierowanie urządzeń w grupie spełniającej określone kryteria. Można na przykład utworzyć profil ograniczeń urządzenia, który ma zastosowanie do grupy Wszystkie urządzenia Windows 10/11. Ponadto profil ma być przypisany tylko do urządzeń z systemem Windows Enterprise.

Aby wykonać to zadanie, utwórz regułę stosowania. Te reguły doskonale nadają się do następujących scenariuszy:

• Używasz Windows 10 Education (EDU). W bellows College chcesz kierować wszystkie urządzenia Windows 10 EDU między RS3 i RS4.
• Chcesz kierować do wszystkich użytkowników zasobów ludzkich w firmie Contoso, ale chcesz mieć tylko urządzenia Windows 10 Professional lub Enterprise.

Aby podejść do tych scenariuszy, wykonaj następujące czynności:

• Utwórz grupę urządzeń obejmującą wszystkie urządzenia w bellows College. W profilu dodaj regułę stosowania, aby była stosowana, jeśli minimalna wersja systemu operacyjnego to 16299 , a maksymalna wersja to 17134. Przypisz ten profil do grupy urządzeń Bellows College.

  Po przypisaniu profil ma zastosowanie do urządzeń między wprowadzonymi wersjami minimalnymi i maksymalnymi. W przypadku urządzeń, które nie mają wprowadzona minimalnej i maksymalnej wersji, ich stan jest wyświetlany jako Nie dotyczy.

• Utwórz grupę użytkowników obejmującą wszystkich użytkowników w usłudze Human Resources (HR) w firmie Contoso. W profilu dodaj regułę stosowania, która ma zastosowanie do urządzeń z systemem Windows 10 Professional lub Enterprise. Przypisz ten profil do grupy użytkowników działu kadr.

  Po przypisaniu profil ma zastosowanie do urządzeń z systemem Windows 10 Professional lub Enterprise. W przypadku urządzeń, na których nie są uruchomione te wersje, ich stan jest wyświetlany jako Nie dotyczy.

• Jeśli istnieją dwa profile z dokładnie tymi samymi ustawieniami, zostanie zastosowany profil bez reguły stosowania.

  Na przykład funkcja ProfileA jest przeznaczona dla grupy urządzeń Windows 10, włącza funkcję BitLocker i nie ma reguły stosowania. ProfileB jest przeznaczony dla tej samej grupy urządzeń Windows 10, włącza funkcję BitLocker i ma regułę stosowania tylko do Windows 10 Enterprise.

  Po przypisaniu obu profilów funkcja ProfileA jest stosowana, ponieważ nie ma reguły stosowania.

Po przypisaniu profilu do grup reguły stosowania działają jako filtr i są przeznaczone tylko dla urządzeń spełniających kryteria.

Dodawanie reguły

1. W zasadach wybierz pozycję Reguły stosowania. Możesz wybrać regułę i właściwość:

   

2. W obszarze Reguła wybierz, czy chcesz dołączyć lub wykluczyć użytkowników lub grupy. Dostępne opcje:

   • Przypisz profil, jeśli: obejmuje użytkowników lub grupy spełniające wprowadzone kryteria.
   • Nie przypisuj profilu, jeśli: wyklucza użytkowników lub grupy spełniające wprowadzone kryteria.

3. W obszarze Właściwość wybierz filtr. Dostępne opcje:

   • Wersja systemu operacyjnego: na liście sprawdź wersje klienta systemu Windows, które chcesz uwzględnić (lub wykluczyć) w regule.

   • Wersja systemu operacyjnego: wprowadź minimalną i maksymalną liczbę wersji klienta systemu Windows, które chcesz uwzględnić (lub wykluczyć) w regule. Obie wartości są wymagane.

     Na przykład można wprowadzić 10.0.16299.0 (RS3 lub 1709) dla wersji minimalnej i 10.0.17134.0 (RS4 lub 1803) dla wersji maksymalnej. Możesz też być bardziej szczegółowy i wprowadzić 10.0.16299.001 dla wersji minimalnej i 10.0.17134.319 maksymalnej.

     Aby uzyskać więcej numerów wersji, zobacz Informacje o wersji klienta systemu Windows.

4. Wybierz opcję Dodaj, aby zapisać zmiany.

Czasy cyklu odświeżania zasad

Intune używa różnych cykli odświeżania do sprawdzania dostępności aktualizacji profilów konfiguracji. Jeśli urządzenie zostało niedawno zarejestrowane, ewidencjonowanie jest uruchamiane częściej. Cykle odświeżania zasad i profilu wyświetlają szacowany czas odświeżania.

W dowolnym momencie użytkownicy mogą otworzyć aplikację Portal firmy i zsynchronizować urządzenie, aby natychmiast sprawdzić aktualizacje profilu.

Zalecenia

Podczas tworzenia profilów należy wziąć pod uwagę następujące zalecenia:

• Nazwij zasady, aby wiedzieć, czym są i co robią. Wszystkie zasady zgodności i profile konfiguracji mają opcjonalną właściwość Description . W obszarze Opis podaj szczegółowe informacje, aby inni wiedzieli, co robią zasady.

  Niektóre przykłady profilów konfiguracji obejmują:

  Nazwa profilu: szablon Administracja — profil konfiguracji usługi OneDrive dla wszystkich użytkowników Windows 10
  Opis profilu: profil szablonu administratora usługi OneDrive, który zawiera ustawienia minimalne i podstawowe dla wszystkich użytkowników Windows 10. Utworzony przez program, user@contoso.com aby uniemożliwić użytkownikom udostępnianie danych organizacji na osobistych kontach usługi OneDrive.

  Nazwa profilu: profil sieci VPN dla wszystkich użytkowników systemu iOS/iPadOS
  Opis profilu: profil sieci VPN, który zawiera minimalne i podstawowe ustawienia dla wszystkich użytkowników systemu iOS/iPadOS w celu nawiązania połączenia z siecią VPN firmy Contoso. Utworzone przez user@contoso.com użytkownika automatycznie uwierzytelniają się w sieci VPN, zamiast monitować użytkowników o podanie nazwy użytkownika i hasła.

• Utwórz profil według swojego zadania, takiego jak konfigurowanie ustawień przeglądarki Microsoft Edge, włączanie Microsoft Defender ustawień antywirusowych, blokowanie urządzeń ze zdjętymi zabezpieczeniami systemu iOS/iPadOS itd.

• Utwórz profile, które mają zastosowanie do określonych grup, takich jak marketing, sprzedaż, administratorzy IT lub według lokalizacji lub systemu szkolnego.

• Oddziel zasady użytkownika od zasad urządzeń.

  Na przykład szablony administracyjne w Intune mają tysiące ustawień ADMX. Te szablony pokazują, czy ustawienie ma zastosowanie do użytkowników lub urządzeń. Podczas tworzenia szablonów administracyjnych przypisz ustawienia użytkowników do grupy użytkowników i przypisz ustawienia urządzenia do grupy urządzeń.

  Na poniższej ilustracji przedstawiono przykład ustawienia, które można zastosować do użytkowników, zastosować do urządzeń lub zastosować do obu tych ustawień:

  

• Za każdym razem, gdy tworzysz restrykcyjne zasady, przekaż tę zmianę użytkownikom. Jeśli na przykład zmieniasz wymaganie dotyczące kodu dostępu z czterech (4) znaków na sześć (6) znaków, poinformuj użytkowników przed przypisaniem zasad.

Następne kroki

Przypisz profil i monitoruj jego stan.