Przewodnik: konfigurowanie zasad grupy na urządzeniach Windows 10/11 przy użyciu szablonów ADMX i Microsoft Intune przy użyciu chmury

  • Artykuł

Uwaga

Ten przewodnik został utworzony jako warsztat techniczny dla konferencji Microsoft Ignite. Ma ona więcej wymagań wstępnych niż typowe przewodniki, ponieważ porównuje używanie i konfigurowanie zasad ADMX w Intune i lokalnie.

Szablony administracyjne zasad grupy, znane również jako szablony ADMX, obejmują ustawienia, które można skonfigurować na urządzeniach klienckich z systemem Windows, w tym na komputerach. Ustawienia szablonu ADMX są dostępne dla różnych usług. Te ustawienia są używane przez dostawców usługi Mobile Zarządzanie urządzeniami (MDM), w tym Microsoft Intune. Możesz na przykład włączyć opcję Pomysły dotyczące projektowania w programie PowerPoint, ustawić stronę główną w przeglądarce Microsoft Edge i nie tylko.

Porada

Aby zapoznać się z omówieniem szablonów ADMX w Intune, w tym szablonów ADMX wbudowanych w Intune, przejdź do tematu Korzystanie z szablonów ADMX Windows 10/11 w Microsoft Intune.

Aby uzyskać więcej informacji na temat zasad ADMX, przejdź do tematu Understanding ADMX-backed policies (Omówienie zasad wspieranych przez usługę ADMX).

Te szablony są wbudowane w Microsoft Intune i są dostępne jako profile szablonów administracyjnych. W tym profilu skonfigurujesz ustawienia, które chcesz uwzględnić, a następnie "przypisz" ten profil do urządzeń.

W tym przewodniku wykonasz następujące czynności:

  • Wprowadzenie do centrum administracyjnego Microsoft Intune.
  • Tworzenie grup użytkowników i tworzenie grup urządzeń.
  • Porównaj ustawienia w Intune z lokalnymi ustawieniami ADMX.
  • Utwórz różne szablony administracyjne i skonfiguruj ustawienia przeznaczone dla różnych grup.

Po zakończeniu tego laboratorium możesz zarządzać użytkownikami za pomocą Intune i platformy Microsoft 365 oraz wdrażać szablony administracyjne.

Ta funkcja ma zastosowanie do:

  • Windows 11
  • Windows 10 wersji 1709 i nowszej

Porada

Istnieją dwa sposoby tworzenia szablonu administracyjnego: użycie szablonu lub użycie katalogu ustawień. W tym artykule skupiono się na użyciu szablonu szablonów administracyjnych . Katalog ustawień ma więcej dostępnych ustawień szablonu administracyjnego. Aby uzyskać szczegółowe instrukcje dotyczące korzystania z wykazu ustawień, przejdź do tematu Konfigurowanie ustawień za pomocą wykazu ustawień.

Wymagania wstępne

  • Subskrypcja Microsoft 365 E3 lub E5 obejmująca Intune i Tożsamość Microsoft Entra P1 lub P2. Jeśli nie masz subskrypcji E3 lub E5, wypróbuj ją bezpłatnie.

    Aby uzyskać więcej informacji na temat różnych licencji platformy Microsoft 365, przejdź do tematu Transform your Enterprise with Microsoft 365 (Przekształcanie przedsiębiorstwa przy użyciu platformy Microsoft 365).

  • Microsoft Intune jest skonfigurowany jako urząd Intune MDM. Aby uzyskać więcej informacji, przejdź do tematu Ustawianie urzędu zarządzania urządzeniami przenośnymi.

    Zrzut ekranu przedstawiający sposób ustawiania urzędu MDM na Microsoft Intune w stanie dzierżawy.

  • Na kontrolerze domeny lokalna usługa Active Directory (DC):

    1. Skopiuj następujące szablony pakietu Office i przeglądarki Microsoft Edge do sklepu Centralnego (folder sysvol):

    2. Utwórz zasady grupy, aby wypchnąć te szablony na komputer administratora Windows 10/11 Enterprise w tej samej domenie co kontroler domeny. W tym przewodniku:

      • Zasady grupy utworzone przy użyciu tych szablonów mają nazwę OfficeandEdge. Ta nazwa zostanie wyświetlona na obrazach.
      • Używany przez nas komputer administratora Windows 10/11 Enterprise jest nazywany komputerem Administracja.

      W niektórych organizacjach administrator domeny ma dwa konta:

      • Typowe konto służbowe domeny
      • Inne konto administratora domeny używane tylko do zadań administratora domeny, takich jak zasady grupy

      Ten komputer Administracja jest przeznaczony dla administratorów, aby zalogować się przy użyciu konta administratora domeny i narzędzia dostępu przeznaczone do zarządzania zasadami grupy.

  • Na tym komputerze Administracja:

    • Zaloguj się przy użyciu konta administratora domeny.

    • Dodaj narzędzia RSAT: zasady grupy Management Tools:

      1. Otwórz aplikację >UstawieniaSystem>Opcjonalne funkcje>Dodaj funkcję.

        Jeśli używasz wersji starszej niż Windows 10 22H2, przejdź do pozycji Ustawienia>Aplikacje aplikacje>& funkcje>Opcjonalne funkcje>Dodaj funkcję.

      2. Wybierz pozycję RSAT: dodaj narzędzia> do zarządzania zasady grupy.

        Poczekaj, aż system Windows doda tę funkcję. Po zakończeniu zostanie on ostatecznie wyświetlony w aplikacji Narzędzia administracyjne systemu Windows .

        Zrzut ekranu przedstawiający aplikacje narzędzi administracyjnych systemu Windows, w tym aplikację zasady grupy Management.

    • Upewnij się, że masz dostęp do Internetu i uprawnienia administratora do subskrypcji platformy Microsoft 365, która obejmuje centrum administracyjne Intune.

Otwórz centrum administracyjne Intune

  1. Otwórz przeglądarkę internetową chromium, taką jak Microsoft Edge w wersji 77 lub nowszej.

  2. Przejdź do centrum administracyjnego Microsoft Intune. Zaloguj się przy użyciu następującego konta:

    Użytkownik: wprowadź konto administratora subskrypcji dzierżawy platformy Microsoft 365.
    Hasło: wprowadź jego hasło.

To centrum administracyjne koncentruje się na zarządzaniu urządzeniami i obejmuje usługi platformy Azure, takie jak Tożsamość Microsoft Entra i Intune. Być może nie widzisz znakowania Tożsamość Microsoft Entra i Intune, ale używasz ich.

Centrum administracyjne Intune można również otworzyć z poziomu Centrum administracyjne platformy Microsoft 365:

  1. Przejdź do https://admin.microsoft.com.

  2. Zaloguj się przy użyciu konta administratora subskrypcji dzierżawy platformy Microsoft 365.

  3. Wybierz pozycję Pokaż wszystkie>centra> administracyjneZarządzanie punktami końcowymi. Zostanie otwarte centrum administracyjne Intune.

    Zrzut ekranu przedstawiający wszystkie centra administracyjne w Centrum administracyjne platformy Microsoft 365.

Tworzenie grup i dodawanie użytkowników

Zasady lokalne są stosowane w kolejności LSDOU — lokalnej, lokacji, domeny i jednostki organizacyjnej (OU). W tej hierarchii zasady jednostki organizacyjnej zastępuj zasady lokalne, zasady domeny zastępuj zasady lokacji itd.

W Intune zasady są stosowane do utworzonych użytkowników i grup. Nie ma hierarchii. Przykład:

  • Jeśli dwie zasady zaktualizuje to samo ustawienie, to ustawienie jest wyświetlane jako konflikt.
  • Jeśli dwie zasady zgodności są w konflikcie, stosowane są najbardziej restrykcyjne zasady.
  • Jeśli dwa profile konfiguracji są w konflikcie, to ustawienie nie jest stosowane.

Aby uzyskać więcej informacji, przejdź do sekcji Typowe pytania, problemy i rozwiązania dotyczące zasad i profilów urządzeń.

W następnych krokach utworzysz grupy zabezpieczeń i dodasz użytkowników do tych grup. Możesz dodać użytkownika do wielu grup. Na przykład normalne jest, że użytkownik ma wiele urządzeń, takich jak Surface Pro do pracy, i urządzenie przenośne z systemem Android dla użytkowników osobistych. I jest to normalne, że osoba uzyskuje dostęp do zasobów organizacyjnych z tych wielu urządzeń.

  1. W centrum administracyjnym Intune wybierz pozycję Grupy>Nowa grupa.

  2. Wprowadź następujące ustawienia:

    • Typ grupy: wybierz pozycję Zabezpieczenia.
    • Nazwa grupy: wprowadź wszystkie Windows 10 urządzeń uczniów.
    • Typ członkostwa: wybierz pozycję Przypisano.

  3. Wybierz pozycję Członkowie i dodaj niektóre urządzenia.

    Dodawanie urządzeń jest opcjonalne. Celem jest przećwiczenie tworzenia grup i poznanie sposobu dodawania urządzeń. Jeśli używasz tego przewodnika w środowisku produkcyjnym, pamiętaj o tym, co robisz.

  4. Wybierz>Utwórz, aby zapisać zmiany.

    Nie widzisz swojej grupy? Wybierz pozycję Odśwież.

  5. Wybierz pozycję Nowa grupa i wprowadź następujące ustawienia:

    • Typ grupy: wybierz pozycję Zabezpieczenia.

    • Nazwa grupy: wprowadź wszystkie urządzenia z systemem Windows.

    • Typ członkostwa: wybierz pozycję Urządzenie dynamiczne.

    • Dynamiczne elementy członkowskie urządzenia: wybierz pozycję Dodaj zapytanie dynamiczne i skonfiguruj zapytanie:

      • Właściwość: wybierz pozycję deviceOSType.
      • Operator: wybierz pozycję Równa się.
      • Wartość: wprowadź windows.

      1. Wybierz pozycję Dodaj wyrażenie. Wyrażenie jest wyświetlane w składni Reguła:

        Zrzut ekranu przedstawiający sposób tworzenia zapytania dynamicznego i dodawania wyrażeń w szablonie administracyjnym Microsoft Intune.

        Gdy użytkownicy lub urządzenia spełniają wprowadzone kryteria, są one automatycznie dodawane do grup dynamicznych. W tym przykładzie urządzenia są automatycznie dodawane do tej grupy, gdy system operacyjny to Windows. Jeśli używasz tego przewodnika w środowisku produkcyjnym, zachowaj ostrożność. Celem jest praktyka tworzenia grup dynamicznych.

      2. Zapisz>Utwórz, aby zapisać zmiany.

  6. Utwórz grupę Wszyscy nauczyciele z następującymi ustawieniami:

    • Typ grupy: wybierz pozycję Zabezpieczenia.

    • Nazwa grupy: wprowadź wszystkich nauczycieli.

    • Typ członkostwa: wybierz pozycję Użytkownik dynamiczny.

    • Dynamiczni członkowie użytkownika: wybierz pozycję Dodaj zapytanie dynamiczne i skonfiguruj zapytanie:

      • Właściwość: wybierz dział.

      • Operator: wybierz pozycję Równa się.

      • Wartość: wprowadź nauczycieli.

        1. Wybierz pozycję Dodaj wyrażenie. Wyrażenie jest wyświetlane w składni Reguła.

          Gdy użytkownicy lub urządzenia spełniają wprowadzone kryteria, są one automatycznie dodawane do grup dynamicznych. W tym przykładzie użytkownicy są automatycznie dodawani do tej grupy, gdy ich dział to Nauczyciele. Po dodaniu użytkowników do organizacji można wprowadzić dział i inne właściwości. Jeśli używasz tego przewodnika w środowisku produkcyjnym, zachowaj ostrożność. Celem jest praktyka tworzenia grup dynamicznych.

        2. Zapisz>Utwórz, aby zapisać zmiany.

Punkty rozmowy

  • Grupy dynamiczne to funkcja w Tożsamość Microsoft Entra P1 lub P2. Jeśli nie masz Tożsamość Microsoft Entra P1 lub P2, masz licencję na tworzenie tylko przypisanych grup. Aby uzyskać więcej informacji na temat grup dynamicznych, przejdź do:

  • Tożsamość Microsoft Entra P1 lub P2 obejmuje inne usługi, które są często używane podczas zarządzania aplikacjami i urządzeniami, w tym uwierzytelnianie wieloskładnikowe (MFA) i dostęp warunkowy.

  • Wielu administratorów pyta, kiedy używać grup użytkowników i kiedy używać grup urządzeń. Aby uzyskać wskazówki, przejdź do pozycji Grupy użytkowników a grupy urządzeń.

  • Pamiętaj, że użytkownik może należeć do wielu grup. Rozważmy niektóre z innych dynamicznych grup użytkowników i urządzeń, które można utworzyć, na przykład:

    • Wszyscy uczniowie
    • Wszystkie urządzenia z systemem Android
    • Wszystkie urządzenia z systemem iOS/iPadOS
    • Marketing
    • Zasoby ludzkie
    • Wszyscy pracownicy Charlotte
    • Wszyscy pracownicy z Redmond
    • Administratorzy IT zachodniego wybrzeża
    • Administratorzy IT wschodniego wybrzeża

Utworzoni użytkownicy i grupy są również widoczni w Centrum administracyjne platformy Microsoft 365, Tożsamość Microsoft Entra w Azure Portal i Microsoft Intune w Azure Portal. Grupy można tworzyć i zarządzać nimi we wszystkich tych obszarach dla subskrypcji dzierżawy. Jeśli twoim celem jest zarządzanie urządzeniami, użyj centrum administracyjnego Microsoft Intune.

Przeglądanie członkostwa w grupie

  1. W centrum administracyjnym Intune wybierz pozycję Użytkownicy>Wszyscy użytkownicy> wybierz nazwę dowolnego istniejącego użytkownika.
  2. Przejrzyj niektóre informacje, które można dodać lub zmienić. Na przykład przyjrzyj się właściwościom, które można skonfigurować, takim jak stanowisko, dział, miasto, lokalizacja pakietu Office i inne. Te właściwości można używać w zapytaniach dynamicznych podczas tworzenia grup dynamicznych.
  3. Wybierz pozycję Grupy , aby wyświetlić członkostwo tego użytkownika. Możesz również usunąć użytkownika z grupy.
  4. Wybierz niektóre inne opcje, aby wyświetlić więcej informacji i co możesz zrobić. Na przykład przyjrzyj się przypisanej licencji, urządzeniom użytkownika i nie tylko.

Co właśnie zrobiłem?

W centrum administracyjnym Intune utworzono nowe grupy zabezpieczeń i dodano istniejących użytkowników i urządzenia do tych grup. Te grupy są używane w kolejnych krokach tego samouczka.

Tworzenie szablonu w Intune

W tej sekcji utworzymy szablon administracyjny w Intune, przyjrzymy się niektórym ustawieniu w usłudze zasady grupy Management i porównamy to samo ustawienie w Intune. Celem jest pokazanie ustawienia w zasadach grupy i pokazanie tego samego ustawienia w Intune.

  1. W centrum administracyjnym Intune wybierz pozycję Utwórzkonfigurację>urządzeń>.

  2. Wprowadź następujące właściwości:

    • Platforma: wybierz pozycję Windows 10 i nowsze.
    • Typ profilu: wybierz pozycję Szablony administracyjne.

  3. Wybierz pozycję Utwórz.

  4. W obszarze Podstawy wprowadź następujące właściwości:

    • Nazwa: wprowadź opisową nazwę profilu. Nadaj nazwę profilom, aby można było je później łatwo rozpoznać. Na przykład wprowadź szablon Administracja — Windows 10 urządzeniach uczniów.
    • Opis: wprowadź opis profilu. To ustawienie jest opcjonalne, ale zalecane.

  5. Wybierz pozycję Dalej.

  6. W obszarze Ustawienia konfiguracjiwszystkie ustawienia zawierają alfabetyczną listę wszystkich ustawień. Można również filtrować ustawienia dotyczące urządzeń (konfiguracja komputera) i ustawień, które mają zastosowanie do użytkowników (konfiguracja użytkownika):

    Zrzut ekranu przedstawiający sposób stosowania ustawień szablonu ADMX do użytkowników i urządzeń w Microsoft Intune.

  7. Rozwiń węzeł Konfiguracja> komputeraMicrosoft Edge> wybierz pozycję Ustawienia filtru SmartScreen. Zwróć uwagę na ścieżkę do zasad i wszystkie dostępne ustawienia:

    Zrzut ekranu przedstawiający sposób wyświetlania ustawień zasad filtru SmartScreen przeglądarki Microsoft Edge w szablonach ADMX w Microsoft Intune.

  8. W polu wyszukiwania wprowadź ciąg download. Zwróć uwagę, że ustawienia zasad są filtrowane:

    Zrzut ekranu przedstawiający sposób filtrowania ustawień zasad filtru SmartScreen przeglądarki Microsoft Edge w szablonie Microsoft Intune ADMX.

Otwórz zarządzanie zasady grupy

W tej sekcji przedstawiono zasady w Intune i ich zgodne zasady w Redaktor zarządzania zasady grupy.

Porównanie zasad urządzenia

  1. Na komputerze Administracja otwórz aplikację zasady grupy Management.

    Ta aplikacja jest instalowana za pomocą narzędzia RSAT: zasady grupy Management Tools, który jest opcjonalną funkcją dodaną w systemie Windows. Wymagania wstępne (w tym artykule) zawierają listę kroków instalacji.

  2. Rozwiń pozycję Domeny wybierz> domenę. Na przykład wybierz pozycję contoso.net.

  3. Kliknij prawym przyciskiem myszy zasady >OfficeandEdgeEdytuj. Zostanie otwarta aplikacja Redaktor zarządzania zasady grupy.

    Zrzut ekranu przedstawiający sposób kliknięcia prawym przyciskiem myszy lokalnych zasad grupy ADMX pakietu Office i przeglądarki Microsoft Edge, a następnie wybierz pozycję Edytuj.

    OfficeandEdge to zasady grupy zawierające szablony ADMX pakietu Office i przeglądarki Microsoft Edge. Te zasady zostały opisane w wymaganiach wstępnych (w tym artykule).

  4. Rozwiń węzełZasady>konfiguracji> komputeraSzablony> administracyjne Panel sterowania>Personalizacja. Zwróć uwagę na dostępne ustawienia.

    Zrzut ekranu przedstawiający sposób rozwijania konfiguracji komputera w lokalnym Redaktor zarządzania zasady grupy, a następnie przejdź do obszaru Personalizacja.

    Kliknij dwukrotnie pozycję Zapobiegaj włączaniu aparatu ekranu blokady i zobacz dostępne opcje:

    Zrzut ekranu przedstawiający sposób wyświetlania opcji ustawienia konfiguracji komputera lokalnego w zasadach grupy.

  5. W centrum administracyjnym Intune przejdź do szablonu Administracja — Windows 10 szablonu urządzeń uczniów.

  6. Wybierz pozycję Konfiguracja> komputera Panel sterowania>Personalizacja. Zwróć uwagę na dostępne ustawienia:

    Zrzut ekranu przedstawiający ścieżkę ustawienia zasad personalizacji w Microsoft Intune.

    Typ ustawienia to Urządzenie, a ścieżka to /Control Panel/Personalization. Ta ścieżka jest podobna do tej, którą właśnie przedstawiono w Redaktor zarządzania zasady grupy. Jeśli otworzysz ustawienie Uniemożliwiaj włączanie aparatu ekranu blokady, zobaczysz te same opcje Nie skonfigurowano, Włączone i Wyłączone widoczne w zasady grupy Management Redaktor.

Porównanie zasad użytkownika

  1. W szablonie administratora wybierz pozycję Konfiguracja> komputeraWszystkie ustawienia i wyszukaj pozycję inprivate browsing. Zwróć uwagę na ścieżkę.

    Zrób to samo w przypadku konfiguracji użytkownika. Wybierz pozycję Wszystkie ustawienia i wyszukaj pozycję inprivate browsing.

  2. W zasady grupy Management Redaktor znajdź pasujące ustawienia użytkownika i urządzenia:

    • Urządzenie: rozwiń węzełZasady>konfiguracji> komputeraSzablony> administracyjneSkładniki> systemu WindowsInternet Explorer>Prywatność>Wyłącz przeglądanie InPrivate.
    • Użytkownik: rozwiń węzełZasady>konfiguracji> użytkownikaSzablony> administracyjneSkładniki> systemu Windows InternetExplorer>Prywatność>Wyłącz przeglądanie InPrivate.

    Zrzut ekranu przedstawiający sposób wyłączania przeglądania InPrivate w programie Internet Explorer przy użyciu szablonu ADMX.

Porada

Aby wyświetlić wbudowane zasady systemu Windows, możesz również użyć narzędzia GPEdit (Edytuj aplikację zasad grupy ).

Porównanie zasad przeglądarki Microsoft Edge

  1. W centrum administracyjnym Intune przejdź do szablonu Administracja — Windows 10 szablonu urządzeń uczniów.

  2. Rozwiń pozycję Konfiguracja> komputera Uruchamianie przeglądarkiMicrosoft Edge>, strona główna i nowa karta. Zwróć uwagę na dostępne ustawienia.

    Zrób to samo w przypadku konfiguracji użytkownika.

  3. W Redaktor zarządzania zasady grupy znajdź następujące ustawienia:

    • Urządzenie: rozwiń pozycjęZasady>konfiguracji> komputeraSzablony administracyjne Uruchamianie> przeglądarkiMicrosoft Edge>, strona główna i nowa strona karty.
    • Użytkownik: rozwiń pozycjęZasady>konfiguracji> użytkownikaSzablony administracyjne Uruchamianie> przeglądarkiMicrosoft Edge>, strona główna i nowa strona karty

Co właśnie zrobiłem?

Szablon administracyjny został utworzony w Intune. W tym szablonie przyjrzeliśmy się niektórym ustawieniam ADMX i przyjrzeliśmy się tym samym ustawień ADMX w usłudze zasady grupy Management.

Dodawanie ustawień do szablonu administratora students

W tym szablonie skonfigurujemy niektóre ustawienia programu Internet Explorer, aby zablokować urządzenia współużytkowane przez wielu uczniów.

  1. W szablonie Administracja — Windows 10 urządzeniach uczniów rozwiń węzeł Konfiguracja komputera, wybierz pozycję Wszystkie ustawienia i wyszukaj pozycję Wyłącz przeglądanie InPrivate:

    Zrzut ekranu przedstawiający sposób wyłączania zasad urządzeń przeglądania inPrivate w szablonie administracyjnym w Microsoft Intune.

  2. Wybierz ustawienie Wyłącz przeglądanie InPrivate . W tym oknie zwróć uwagę na opis i wartości, które można ustawić. Te opcje są podobne do tych, które są widoczne w zasadach grupy.

  3. Wybierz pozycję Włączone>OK , aby zapisać zmiany.

  4. Skonfiguruj również następujące ustawienia programu Internet Explorer. Pamiętaj, aby wybrać przycisk OK , aby zapisać zmiany.

    • Zezwalaj na przeciąganie i upuszczanie lub kopiowanie i wklejanie plików

      • Typ: Urządzenie
      • Ścieżka: \Windows Components\Internet Explorer\Internet Panel sterowania\Security Page\Internet Zone
      • Wartość: wyłączona

    • Zapobieganie ignorowaniu błędów certyfikatu

      • Typ: Urządzenie
      • Ścieżka: \Składniki systemu Windows\Internet Explorer\Internet Panel sterowania
      • Wartość: włączone

    • Wyłącz zmianę ustawień strony głównej

      • Typ: Użytkownik
      • Ścieżka: \Składniki systemu Windows\Internet Explorer
      • Wartość: włączone
      • Strona główna: wprowadź adres URL, taki jak contoso.com.

  5. Wyczyść filtr wyszukiwania. Zwróć uwagę, że skonfigurowane ustawienia są wyświetlane u góry:

    Zrzut ekranu przedstawiający skonfigurowane ustawienia ADMX są wyświetlane u góry w Microsoft Intune.

Przypisywanie szablonu

  1. W szablonie wybierz pozycję Dalej , dopóki nie uzyskasz pozycji Przypisania. Wybierz pozycję Wybierz grupy do uwzględnienia:

    Zrzut ekranu przedstawiający sposób wybierania profilu szablonu administracyjnego z listy Profile konfiguracji urządzeń w Microsoft Intune.

  2. Zostanie wyświetlona lista istniejących użytkowników i grup. Wybierz utworzoną wcześniej > grupę Wszystkie Windows 10 urządzenia uczniówWybierz.

    Jeśli używasz tego przewodnika w środowisku produkcyjnym, rozważ dodanie pustych grup. Celem jest przećwiczanie przypisywania szablonu.

  3. Wybierz pozycję Dalej. W obszarze Przeglądanie i tworzenie wybierz pozycję Utwórz , aby zapisać zmiany.

Po zapisaniu profilu dotyczy on urządzeń podczas ewidencjonowania przy użyciu Intune. Jeśli urządzenia są połączone z Internetem, może się to zdarzyć natychmiast. Aby uzyskać więcej informacji na temat czasu odświeżania zasad, przejdź do tematu Jak długo trwa pobieranie zasad, profilu lub aplikacji przez urządzenia.

Podczas przypisywania rygorystycznych lub restrykcyjnych zasad i profilów nie blokuj się. Rozważ utworzenie grupy wykluczonej z zasad i profilów. Chodzi o to, aby mieć dostęp do rozwiązywania problemów. Monitoruj tę grupę, aby potwierdzić, że jest ona używana zgodnie z oczekiwaniami.

Co właśnie zrobiłem?

W centrum administracyjnym Intune utworzono profil konfiguracji urządzenia szablonu administracyjnego i przypisano ten profil do utworzonej grupy.

Tworzenie szablonu usługi OneDrive

W tej sekcji utworzysz szablon administratora usługi OneDrive w Intune, aby kontrolować niektóre ustawienia. Te konkretne ustawienia są wybierane, ponieważ są często używane przez organizacje.

  1. Utwórz inny profil (Utwórzkonfigurację>urządzeń>).

  2. Wprowadź następujące właściwości:

    • Platforma: wybierz pozycję Windows 10 i nowsze.
    • Typ profilu: wybierz pozycję Szablony administracyjne.

  3. Wybierz pozycję Utwórz.

  4. W obszarze Podstawowe informacje wprowadź następujące właściwości:

    • Nazwa: wprowadź szablon Administracja — zasady usługi OneDrive, które mają zastosowanie do wszystkich użytkowników Windows 10.
    • Opis: wprowadź opis profilu. To ustawienie jest opcjonalne, ale zalecane.

  5. Wybierz pozycję Dalej.

  6. W obszarze Ustawienia konfiguracji skonfiguruj następujące ustawienia. Pamiętaj, aby wybrać przycisk OK , aby zapisać zmiany:

    • Konfiguracja komputera:

      • Dyskretne logowanie użytkowników do klienta synchronizacja usługi OneDrive przy użyciu poświadczeń systemu Windows
        • Typ: Urządzenie
        • Wartość: włączone
      • Używanie plików usługi OneDrive na żądanie
        • Typ: Urządzenie
        • Wartość: włączone

    • Konfiguracja użytkownika:

      • Uniemożliwianie użytkownikom synchronizowania osobistych kont usługi OneDrive
        • Typ: Użytkownik
        • Wartość: włączone

Ustawienia będą wyglądać podobnie do następujących:

Zrzut ekranu przedstawiający sposób tworzenia szablonu administracyjnego usługi OneDrive w Microsoft Intune.

Aby uzyskać więcej informacji na temat ustawień klienta usługi OneDrive, przejdź do tematu Używanie zasady grupy do kontrolowania synchronizacja usługi OneDrive ustawień klienta.

Przypisywanie szablonu

  1. W szablonie wybierz pozycję Dalej , dopóki nie uzyskasz pozycji Przypisania. Wybierz pozycję Wybierz grupy do uwzględnienia:

  2. Zostanie wyświetlona lista istniejących użytkowników i grup. Wybierz utworzoną wcześniej > grupę Wszystkie urządzenia z systemem WindowsWybierz.

    Jeśli używasz tego przewodnika w środowisku produkcyjnym, rozważ dodanie pustych grup. Celem jest przećwiczanie przypisywania szablonu.

  3. Wybierz pozycję Dalej. W obszarze Przeglądanie i tworzenie wybierz pozycję Utwórz , aby zapisać zmiany.

W tym momencie utworzono kilka szablonów administracyjnych i przypisano je do utworzonych grup. Następnym krokiem jest utworzenie szablonu administracyjnego przy użyciu Windows PowerShell i interfejs Graph API Firmy Microsoft dla Intune.

Opcjonalnie: tworzenie zasad przy użyciu programu PowerShell i interfejs Graph API

W tej sekcji są używane następujące zasoby. Te zasoby zostaną zainstalowane w tej sekcji.

  1. Na komputerze Administracja otwórz Windows PowerShell jako administrator:

    1. Na pasku wyszukiwania wprowadź polecenie powershell.
    2. Kliknij prawym przyciskiem myszy Windows PowerShell>Uruchom jako administrator.

    Zrzut ekranu przedstawiający sposób uruchamiania Windows PowerShell jako administrator.

  2. Pobierz i ustaw zasady wykonywania.

    1. Wprowadź: get-ExecutionPolicy

      Zanotuj ustawienia zasad, które mogą być ograniczone. Po zakończeniu pracy z przewodnikiem ustaw ją z powrotem na oryginalną wartość.

    2. Wprowadź: Set-ExecutionPolicy -ExecutionPolicy Unrestricted

    3. Wprowadź polecenie Y , aby go zmienić.

    Zasady wykonywania programu PowerShell pomagają zapobiegać wykonywaniu złośliwych skryptów. Aby uzyskać więcej informacji, przejdź do tematu Informacje o zasadach wykonywania.

  3. Wprowadź: Install-Module -Name Microsoft.Graph.Intune

    Wprowadź Y wartość if:

    • Prośba o zainstalowanie dostawcy NuGet
    • Prośba o zainstalowanie modułów z niezaufanego repozytorium

    Ukończenie może potrwać kilka minut. Po zakończeniu zostanie wyświetlony monit podobny do następującego:

    Zrzut ekranu przedstawiający monit Windows PowerShell po zainstalowaniu modułu.

  4. W przeglądarce internetowej przejdź do https://github.com/Microsoft/Intune-PowerShell-SDK/releasespozycji i wybierz plik Intune-PowerShell-SDK_v6.1907.00921.0001.zip .

    1. Wybierz pozycję Zapisz jako i wybierz folder, który zapamiętasz. c:\psscripts jest dobrym wyborem.

    2. Otwórz folder, kliknij prawym przyciskiem myszy plik > .zip Wyodrębnij wszystkie>wyodrębnianie. Struktura folderów wygląda podobnie do następującego folderu:

      Zrzut ekranu przedstawiający strukturę folderów Intune zestawu PowerShell SDK po wyodrębnieniu.

  5. Na karcie Widok sprawdź rozszerzenia nazw plików:

    Zrzut ekranu przedstawiający sposób wybierania rozszerzeń nazw plików na karcie widok w Eksploratorze plików systemu Windows.

  6. W folderze przejdź do c:\psscripts\Intune-PowerShell-SDK_v6.1907.00921.0001\drop\outputs\build\Release\net471pozycji . Kliknij prawym przyciskiem myszy każdą .dll >Właściwości>odblokuj.

    Zrzut ekranu przedstawiający sposób odblokowania bibliotek DLL.

  7. W aplikacji Windows PowerShell wprowadź:

    Import-Module c:\psscripts\Intune-PowerShell-SDK_v6.1907.00921.0001\drop\outputs\build\Release\net471\Microsoft.Graph.Intune.psd1

    Wprowadź R polecenie , jeśli zostanie wyświetlony monit o uruchomienie od niezaufanego wydawcy.

  8. Intune szablony administracyjne używają wersji beta programu Graph:

    1. Wprowadź: Update-MSGraphEnvironment -SchemaVersion 'beta'

    2. Wprowadź: Connect-MSGraph -AdminConsent

    3. Po wyświetleniu monitu zaloguj się przy użyciu tego samego konta administratora platformy Microsoft 365. Te polecenia cmdlet tworzą zasady w organizacji dzierżawy.

      Użytkownik: wprowadź konto administratora subskrypcji dzierżawy platformy Microsoft 365.
      Hasło: wprowadź jego hasło.

    4. Wybierz pozycję Zaakceptuj.

  9. Utwórz profil konfiguracji konfiguracji konfiguracji testu . Wprowadź:

    $configuration = Invoke-MSGraphRequest -Url https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations -Content '{"displayName":"Test Configuration","description":"A test configuration created through PS"}' -HttpMethod POST

    Gdy te polecenia cmdlet zakończą się pomyślnie, zostanie utworzony profil. Aby to potwierdzić, przejdź do obszarukonfiguracjiurządzeń> centrum > administracyjnego Intune. Powinien zostać wyświetlony profil konfiguracji testowej .

  10. Pobierz wszystkie elementy SettingDefinitions. Wprowadź:

    $settingDefinitions = Invoke-MSGraphRequest -Url https://graph.microsoft.com/beta/deviceManagement/groupPolicyDefinitions -HttpMethod GET

  11. Znajdź identyfikator definicji przy użyciu nazwy wyświetlanej ustawienia. Wprowadź:

    $desiredSettingDefinition = $settingDefinitions.value | ? {$_.DisplayName -Match "Silently sign in users to the OneDrive sync app with their Windows credentials"}

  12. Skonfiguruj ustawienie. Wprowadź:

    $configuredSetting = Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues" -Content ("{""enabled"":""true"",""configurationType"":""policy"",""definition@odata.bind"":""https://graph.microsoft.com/beta/deviceManagement/groupPolicyDefinitions('$($desiredSettingDefinition.id)')""}") -HttpMethod POST

    Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues('$($configuredSetting.id)')" -Content ("{""enabled"":""false""}") -HttpMethod PATCH

    $configuredSetting = Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues('$($configuredSetting.id)')" -HttpMethod GET

Wyświetlanie zasad

  1. W Intune centrum >administracyjnym Odświeżkonfigurację> urządzeń.>
  2. Wybierz ustawienia profilu >Konfiguracja testu.
  3. Z listy rozwijanej wybierz pozycję Wszystkie produkty.

Zobaczysz, że użytkownicy logowania w trybie dyskretnym do klienta synchronizacja usługi OneDrive z ustawieniem poświadczeń systemu Windows są skonfigurowani.

Najlepsze rozwiązania dotyczące zasad

Podczas tworzenia zasad i profilów w Intune należy wziąć pod uwagę pewne zalecenia i najlepsze rozwiązania. Aby uzyskać więcej informacji, przejdź do najlepszych rozwiązań dotyczących zasad i profilów.

Czyszczenie zasobów

Gdy nie jest już potrzebna, możesz:

  • Usuń utworzone grupy:

    • Wszystkie urządzenia Windows 10 uczniów
    • Wszystkie urządzenia z systemem Windows
    • Wszyscy nauczyciele

  • Usuń utworzone szablony administratora:

    • szablon Administracja — Windows 10 urządzenia uczniów
    • szablon Administracja — zasady usługi OneDrive, które mają zastosowanie do wszystkich użytkowników Windows 10
    • Konfiguracja testu

  • Ustaw zasady wykonywania Windows PowerShell z powrotem na oryginalną wartość. W poniższym przykładzie zasady wykonywania są ustawiane na ograniczone:

    Set-ExecutionPolicy -ExecutionPolicy Restricted

Następne kroki

W tym samouczku bardziej zapoznaliśmy się z centrum administracyjnym Microsoft Intune, użyto konstruktora zapytań do tworzenia grup dynamicznych i utworzono szablony administracyjne w Intune w celu skonfigurowania ustawień usługi ADMX. Porównano również użycie szablonów ADMX w środowisku lokalnym i w chmurze z Intune. Dodatkowo do utworzenia szablonu administracyjnego użyto poleceń cmdlet programu PowerShell.

Aby uzyskać więcej informacji na temat szablonów administracyjnych w Intune, przejdź do:

Użyj szablonów Windows 10/11, aby skonfigurować ustawienia zasad grupy w Intune