Tworzenie profilu urządzenia w usłudze Microsoft Intune

Profile urządzeń umożliwiają dodawanie i konfigurowanie ustawień, a następnie wypychanie tych ustawień do urządzeń w organizacji. Podczas tworzenia zasad dostępne są następujące opcje:

• Szablony administracyjne: na urządzeniach z systemem Windows 10/11 te szablony to konfigurowane ustawienia ADMX. Jeśli znasz zasady ADMX lub obiekty zasad grupy (GPO), korzystanie z szablonów administracyjnych jest naturalnym krokiem w usłudze Microsoft Intune.

  Aby uzyskać więcej informacji, przejdź do szablonów administracyjnych

• Plany bazowe: na urządzeniach z systemem Windows 10/11 te plany bazowe obejmują wstępnie skonfigurowane ustawienia zabezpieczeń. Jeśli chcesz utworzyć zasady zabezpieczeń korzystając z rekomendacji zespołów ds. rozwiązań zabezpieczających firmy Microsoft, plany bazowe zabezpieczeń są dla Ciebie.

  Aby uzyskać więcej informacji, przejdź do planów bazowych zabezpieczeń.

• Katalog ustawień: Na urządzeniach z systemem Apple i Windows można skonfigurować funkcje i ustawienia urządzenia za pomocą katalogu ustawień. Katalog ustawień ma wszystkie dostępne ustawienia i wszystkie w jednej lokalizacji. Na przykład można wyświetlić wszystkie ustawienia, które mają zastosowanie do funkcji BitLocker, i utworzyć zasady, które koncentrują się tylko na funkcji BitLocker. Na urządzeniach z systemem macOS użyj katalogu ustawień, aby skonfigurować przeglądarkę Microsoft Edge w wersji 77 i ustawienia.

  Aby uzyskać więcej informacji, przejdź do katalogu ustawień.

• Szablony: na urządzeniach z systemami Android, iOS/iPadOS, macOS i Windows szablony obejmują logiczne grupowanie ustawień, które konfigurują funkcję lub koncepcję, taką jak sieć VPN, poczta e-mail, urządzenia kiosku i nie tylko. Jeśli znasz już tworzenie zasad konfiguracji urządzeń w usłudze Microsoft Intune, używasz już tych szablonów.

  Aby uzyskać więcej informacji, w tym dostępne szablony, zobacz Stosuj funkcje i ustawienia na swoich urządzeniach przy użyciu profilów urządzeń.

Ten artykuł:

• Wyświetla listę kroków tworzenia profilu.
• Pokazuje, jak dodać tag zakresu na potrzeby „filtrowania” Twoich zasad.
• W tym artykule opisano reguły stosowania na urządzeniach klienckich z systemem Windows i pokazano, jak utworzyć regułę.
• Ma więcej informacji o czasach cyklu odświeżania ewidencjonowania, kiedy urządzenia odbierają profile i wszelkie aktualizacje profilu.

Ta funkcja ma zastosowanie do:

• Android
• iOS/iPadOS
• macOS
• System Windows

Tworzenie profilu

Profile są tworzone w centrum administracyjnym usługi Microsoft Intune. W tym centrum administracyjnym wybierz pozycję Urządzenia. Masz następujące możliwości:

• Omówienie: Wyświetla listę stanu profilów i zawiera więcej szczegółów dotyczących profilów przypisanych do użytkowników i urządzeń.
• Monitor: sprawdź stan profilów pod kątem powodzenia lub niepowodzenia, a także wyświetl dzienniki w swoich profilach.
• Według platformy: twórz i wyświetlaj zasady oraz profile według platformy. W tym widoku można również wyświetlić funkcje specyficzne dla platformy. Na przykład wybierz system Windows 10 lub nowszy. Zobaczysz funkcje specyficzne dla systemu Windows, takie jak pierścienie usługi Windows Update i skrypty programu PowerShell.
• Zarządzanie urządzeniami: twórz profile urządzeń, przekazuj niestandardowe skrypty programu PowerShell do uruchamiania na urządzeniach i dodawaj plany danych do urządzeń przy użyciu karty eSIM.

Podczas tworzenia profilu (Urządzenia>Zarządzanie urządzeniami>Konfiguracja>Utwórz), wybierz platformę:

• Administrator urządzenia z systemem Android
• Android Enterprise
• iOS/iPadOS
• macOS
• Windows 10 lub nowszy
• System Windows 8.1 lub nowszy

Następnie wybierz profil. W zależności od wybranej platformy ustawienia, które można skonfigurować, różnią się. W następujących artykułach opisano różne profile:

• Szablony administracyjne (Windows)
• Konfiguracja systemu BIOS i inne ustawienia
• Niestandardowe
• Optymalizacja dostarczania (Windows)
• Pochodne poświadczenia (Android Enterprise, iOS, iPadOS)
• Funkcje urządzenia (macOS, iOS, iPadOS)
• Interfejs konfiguracji oprogramowania układowego urządzenia (DFCI) (Windows)
• Ograniczenia urządzenia
• Przyłączanie do domeny (Windows)
• Uaktualnianie wersji i przełącznik trybu (Windows)
• Edukacja (iOS, iPadOS)
• Poczta e-mail
• Ochrona punktu końcowego (macOS, Windows)
• Rozszerzenia (macOS)
• Kiosk
• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
• Profil rozszerzeń mobilności (MX) (administrator urządzeń z systemem Android)
• Granica sieci (Windows)
• OEMConfig (Android Enterprise)
• Certyfikat PKCS
• Zaimportowany certyfikat PKCS
• Plik preferencji (macOS)
• Certyfikat SCEP
• Bezpieczna ocena (edukacja) (Windows)
• Udostępnione urządzenie dla wielu użytkowników (Windows)
• Zaufany certyfikat
• Sieć VPN
• Wi-Fi
• Monitorowanie kondycji systemu Windows
• Sieci przewodowe (macOS)

Jeśli na przykład wybierzesz Android Enterprise jako swoją platformę, opcje będą wyglądać podobnie do następującego profilu:

Jeśli wybierzesz system Windows 10 lub nowszy jako swoją platformę, opcje będą wyglądać podobnie do następującego profilu:

Tagi zakresu

Po dodaniu ustawień można również dodać tag zakresu do profilu. Tagi zakresu filtrują profile do określonych grup IT, takich jak US-NC IT Team lub JohnGlenn_ITDepartment. Są one również używane w rozproszonym środowisku IT.

Aby uzyskać więcej informacji o tagach zakresu i czynności, które można zrobić, przejdź do Użyj kontroli dostępu opartej na rolach i tagów zakresu dla rozproszonej infrastruktury IT.

Reguły stosowania

Dotyczy:

• System Windows 11
• Windows 10

Reguły stosowania umożliwiają administratorom określanie urządzeń docelowych w grupie spełniających określone kryteria. Możesz na przykład utworzyć profil ograniczeń urządzenia, który ma zastosowanie do grupyWszystkie urządzenia z systemem Windows 10/11. Ponadto profil ma być przypisany tylko do urządzeń z systemem Windows Enterprise.

Aby wykonać to zadanie, utwórz regułę stosowania. Te reguły doskonale sprawdzają się w następujących scenariuszach:

• Używasz systemu Windows 10 Education (EDU). W szkole Bellows College chcesz uwzględnić wszystkie urządzenia z systemem Windows 10 EDU między RS3 i RS4.
• Chcesz uwzględnić wszystkich użytkowników z działu kadr w firmie Contoso, ale tylko interesują Cię urządzenia z systemem Windows 10 Professional lub Enterprise.

Aby zrealizować te scenariusze, wykonaj następujące czynności:

• Utwórz grupę urządzeń obejmującą wszystkie urządzenia w szkole Bellows College. W profilu dodaj regułę stosowania, która będzie stosowana, jeśli minimalna wersja systemu operacyjnego to 16299. Maksymalna wersja to 17134. Przypisz ten profil do grupy urządzeń szkoły Bellows College.

  Po przypisaniu profilu ma on zastosowanie do urządzeń między wprowadzaną minimalną i maksymalną wersją. W przypadku urządzeń, które nie są w minimalnej i maksymalnej wprowadzonej wersji, ich stan jest wyświetlany jako Nie dotyczy.

• Utwórz grupę użytkowników obejmującą wszystkich użytkowników działu kadr w firmie Contoso. W profilu dodaj regułę stosowania, która będzie stosowana do urządzeń z systemem Windows 10 Professional lub Enterprise. Przypisz ten profil do grupy użytkowników kadr.

  Po przypisaniu profilu ma on zastosowanie do urządzeń z systemem Windows 10 Professional lub Enterprise. W przypadku urządzeń, na których nie są uruchomione te wersje, ich stan jest wyświetlany jako Nie dotyczy.

• Jeśli istnieją dwa profile z dokładnie takimi samymi ustawieniami, zostanie zastosowany profil bez reguły stosowania.

  Na przykład profil A jest przeznaczony dla grupy urządzeń z systemem Windows 10, włącza funkcję BitLocker i nie ma reguły stosowania. Profil B jest przeznaczony dla tej samej grupy urządzeń z systemem Windows 10, włącza funkcję BitLocker i ma regułę stosowania umożliwiającą stosowanie profilu tylko do systemu Windows 10 Enterprise.

  Po przypisaniu obu profilów profil A jest stosowany, ponieważ nie ma reguły stosowania.

Po przypisaniu profilu do grup reguły stosowania działają jako filtr i są przeznaczone tylko dla urządzeń spełniających kryteria.

Dodaj regułę

1. W zasadach wybierz pozycję Reguły stosowania. Możesz wybrać obszar Reguła i Właściwość:

   

2. W obszarze Reguła wybierz, czy chcesz dołączyć lub wykluczyć użytkowników lub grupy. Dostępne opcje:

   • Przypisz profil, jeśli: obejmuje użytkowników lub grupy spełniające wprowadzone kryteria.
   • Nie przypisuj profilu, jeśli: wyklucza użytkowników lub grupy spełniające wprowadzone kryteria.

3. W obszarze Właściwość wybierz filtr. Dostępne opcje:

   • Wersja systemu operacyjnego: na liście sprawdź wersje klienckie systemu Windows, które chcesz uwzględnić (lub wykluczyć) w regule.

   • Wersja systemu operacyjnego: wprowadź minimalne i maksymalne numery wersji klienta systemu Windows, które chcesz uwzględnić (lub wykluczyć) w regule. Obie wartości są wymagane.

     Na przykład można wprowadzić 10.0.16299.0 (RS3 lub 1709) dla wersji minimalnej i 10.0.17134.0 (RS4 lub 1803) dla wersji maksymalnej. Możesz też uzyskać bardziej szczegółowe informacje i wprowadzić 10.0.16299.001 wersję minimalną oraz 10.0.17134.319 wersję maksymalną.

     Aby uzyskać więcej numerów wersji, przejdź do informacji owersji klienta systemu Windows.

4. Wybierz opcję Dodaj, aby zapisać zmiany.

Czasy cyklu odświeżania zasad

Usługa Intune używa różnych cykli odświeżania do sprawdzania dostępności aktualizacji profilów konfiguracji. Jeśli urządzenie zostało niedawno zarejestrowane, ewidencjonowanie jest uruchamiane częściej. Cykle odświeżania zasad i profilów zawierają listę szacowanych czasów odświeżania.

W dowolnym momencie użytkownicy mogą otworzyć aplikację Portal firmy i zsynchronizować urządzenie, aby natychmiast sprawdzić dostępność aktualizacji profilu.

Zalecenia

Podczas tworzenia profilów należy wziąć pod uwagę następujące zalecenia:

• Nadaj nazwę zasadom, aby wiedzieć, czym są i co robią. Wszystkie zasady zgodności i profile konfiguracji mają opcjonalną właściwość Opis. W obszarze Opis podaj konkretne informacje i dołącz informacje, aby inne osoby wiedziały, co robią zasady.

  Niektóre przykłady profilów konfiguracji obejmują:

  Nazwaprofilu: szablon administratora — profil konfiguracji usługi OneDrive dla wszystkich użytkowników systemu Windows 10
  Opisprofilu: profil szablonu administratora usługi OneDrive, który zawiera ustawienia minimalne i podstawowe dla wszystkich użytkowników systemu Windows 10. Utworzone przez user@contoso.com, aby uniemożliwić użytkownikom udostępnianie danych organizacji na osobistych kontach usługi OneDrive.

  Nazwa profilu: profil sieci VPN dla wszystkich użytkowników systemu iOS/iPadOS
  Opis profilu: profil sieci VPN, który zawiera ustawienia minimalne i podstawowe dla wszystkich użytkowników systemu iOS/iPadOS w celu nawiązania połączenia z siecią VPN firmy Contoso. Utworzone przez user@contoso.com użytkownika, aby użytkownicy automatycznie uwierzytelniali się w sieci VPN, zamiast monitować użytkowników o nazwę użytkownika i hasło.

• Utwórz swój profil, wykonując jego zadania, takie jak konfigurowanie ustawień przeglądarki Microsoft Edge, włączanie ustawień ochrony przed wirusami w usłudze Microsoft Defender, blokowanie urządzeń ze zdjętymi zabezpieczeniami systemu iOS/iPadOS itd.

• Twórz profile, które mają zastosowanie do określonych grup, takich jak Marketing, Sprzedaż, Administratorzy IT lub według lokalizacji lub systemu szkolnego. Korzystaj z wbudowanych funkcji, w tym:

  • Skorzystaj z kontroli dostępu opartej na rolach (RBAC) i tagów zakresu na potrzeby rozproszonej infrastruktury IT w usłudze Intune
  • Rozproszony infrastruktura IT z wieloma administratorami w tej samej dzierżawie usługi Intune
  • Używaj filtrów podczas przypisywania aplikacji, zasad i profilów w usłudze Intune

• Oddziel zasady użytkownika od zasad urządzeń.

  Na przykład szablony administracyjne w usłudze Intune mają tysiące ustawień ADMX. Te szablony pokazują, czy ustawienie dotyczy użytkowników lub urządzeń. Podczas tworzenia szablonów administratora przypisz ustawienia użytkowników do grupy użytkowników i przypisz ustawienia urządzenia do grupy urządzeń.

  Na poniższej ilustracji przedstawiono przykład ustawienia, które można zastosować do użytkowników, zastosować do urządzeń lub zastosować do obu tych ustawień:

  

• Funkcja Microsoft Copilot w usłudze Intune umożliwia ocenę zasad. Dowiedz się więcej o ustawieniu zasad i jego wpływie na użytkowników i zabezpieczenia oraz porównaj zasady między dwoma urządzeniami.

  Aby uzyskać więcej informacji, zobacz Funkcja Microsoft Copilot w usłudze Intune.

• Za każdym razem, gdy tworzysz restrykcyjne zasady, przekaż tę zmianę użytkownikom. Jeśli na przykład zmieniasz wymaganie dotyczące kodu dostępu z czterech (4) znaków na sześć (6) znaków, powiadom użytkowników przed przypisaniem zasad.

Następne kroki

Przypisz profil i monitoruj jego stan.