Stosowanie funkcji i ustawień na urządzeniach przy użyciu profilów urządzeń w Microsoft Intune

  • Artykuł

Microsoft Intune zawiera ustawienia i funkcje, które można włączyć lub wyłączyć na różnych urządzeniach w organizacji. Te ustawienia i funkcje są dodawane do profilów konfiguracji.

Podczas konfigurowania funkcji urządzeń przy użyciu profilu konfiguracji możesz pomóc użytkownikom końcowym szybciej pracować wydajnie na swoich urządzeniach.

Profile można tworzyć dla różnych urządzeń i różnych platform, w tym systemów Android, iOS/iPadOS, macOS i Windows. Istnieją pewne ustawienia konfiguracji, które są unikatowe dla każdej platformy. Często istnieje również wiele profilów urządzeń dla każdej platformy, od ustawień antywirusowych po ustawienia niestandardowe.

Gdy profile są gotowe, użyj Intune, aby zastosować lub "przypisać" profil do grup użytkowników lub grup urządzeń.

Ważna

Microsoft Intune kończy obsługę zarządzania przez administratora urządzeń z systemem Android na urządzeniach z dostępem do usług Google Mobile Services (GMS) 30 sierpnia 2024 r. Po tej dacie rejestracja urządzeń, pomoc techniczna, poprawki błędów i poprawki zabezpieczeń będą niedostępne. Jeśli obecnie używasz zarządzania administratorem urządzeń, zalecamy przejście na inną opcję zarządzania systemem Android w Intune przed zakończeniem pomocy technicznej. Aby uzyskać więcej informacji, przeczytaj Zakończ obsługę administratora urządzeń z systemem Android na urządzeniach GMS.

W ramach rozwiązania do zarządzania urządzeniami przenośnymi (MDM) użyj tych profilów konfiguracji do wykonywania różnych zadań. Niektóre przykłady profilów obejmują:

  • Zezwalaj lub uniemożliwiaj dostęp do połączenia Bluetooth na urządzeniu.
  • Utwórz profil sieci Wi-Fi lub VPN, który zapewnia różnym urządzeniom dostęp do sieci firmowej.
  • Zarządzanie aktualizacjami oprogramowania, w tym po ich zainstalowaniu.
  • Uruchom urządzenie z systemem Android jako dedykowane urządzenie kiosku, które może uruchamiać jedną aplikację lub uruchamiać wiele aplikacji.
  • Na urządzeniach z systemami iOS/iPadOS i macOS zezwalaj użytkownikom na korzystanie z drukarek AirPrint w organizacji.

Porada

Jeśli zarządzasz urządzeniami lokalnymi przy użyciu Microsoft Configuration Manager, możesz użyć współzarządzania, aby dołączyć urządzenia lokalne do chmury. Współzarządzanie umożliwia zarządzanie urządzeniami klienckimi z systemem Windows przy użyciu Configuration Manager i Microsoft Intune.

Możesz utworzyć profile i zasady urządzeń potrzebne w Intune na podstawie zasad aktualnie posiadanych w Configuration Manager. Aby uzyskać więcej informacji na temat współzarządzania, zobacz Omówienie współzarządzania przy użyciu Microsoft Configuration Manager. Aby uzyskać powiązane informacje, zobacz Przygotowywanie Intune do współzarządzania.

Używanie szablonów lub wykazu ustawień

W Intune w przypadku większości platform podczas tworzenia profilu konfiguracji urządzenia istnieją dwa typy zasad: Szablony lub Wykaz ustawień.

Wykaz ustawień zawiera listę wszystkich ustawień, które można skonfigurować, i wszystkie w jednym miejscu. Szablony obejmują logiczne grupowanie ustawień, które konfigurują funkcję lub koncepcję, taką jak poczta e-mail, urządzenia kiosku i oprogramowanie układowe urządzenia.

Intune ma wiele szablonów, które obejmują grupy ustawień, które koncentrują się na różnych częściach zarządzania urządzeniami, w tym dostęp do zasobów (sieć VPN, Wi-Fi), zabezpieczenia (oprogramowanie antywirusowe, zapora, certyfikaty) i zasady grupy Objects (szablony administracyjne ADMX).

Możesz utworzyć punkt odniesienia profilów, które muszą mieć wszystkie urządzenia, lub skonfigurować określone funkcje na podstawie potrzeb organizacji i poziomów zabezpieczeń. Aby uzyskać więcej informacji, przejdź do obszaru Poziomy ochrony i konfiguracji w Microsoft Intune.

Ten artykuł zawiera omówienie różnych typów profilów, które można utworzyć. Te profile umożliwiają lub uniemożliwiają korzystanie z niektórych funkcji na urządzeniach.

Szablony administracyjne i zasady grupy

Szablony administracyjne obejmują setki ustawień, które można skonfigurować dla programów Internet Explorer, Microsoft Edge, OneDrive, pulpitu zdalnego, Word, Excel i innych aplikacji pakietu Office. Te szablony zapewniają administratorom uproszczony widok ustawień podobnych do zasad grupy i są w 100% oparte na chmurze.

zasady grupy analiza analizuje lokalne obiekty zasad grupy. Jest to narzędzie, które pomaga określić, jak obiekty zasad grupy przekładają się w chmurze. Dane wyjściowe zawierają wszystkie przestarzałe ustawienia i ustawienia, które są dostępne (lub niedostępne) dla dostawców oprogramowania MDM, w tym Microsoft Intune.

Ta funkcja obsługuje:

  • System Windows 11
  • Windows 10

Certyfikaty

Certyfikaty w Intune służą do uwierzytelniania użytkowników, aby mogli oni uzyskiwać dostęp do aplikacji i zasobów firmowych za pośrednictwem sieci VPN, sieci Wi-Fi lub profilów poczty e-mail. Jeśli używasz certyfikatów do uwierzytelniania tych połączeń, użytkownicy końcowi nie muszą wprowadzać nazw użytkowników i haseł.

Certyfikaty są również używane do podpisywania i szyfrowania poczty e-mail przy użyciu protokołu S/MIME. Typowe typy certyfikatów używanych w Intune obejmują zaufane certyfikaty główne, certyfikaty protokołu SCEP (Simple Certificate Enrollment Protocol) i certyfikaty PKCS (Public Key Cryptography Standards).

Ta funkcja obsługuje:

  • Administratora urządzenia z systemem Android
  • Android (AOSP)
  • Android Enterprise
  • iOS/iPadOS
  • macOS
  • System Windows 11
  • Windows 10
  • Windows 8.1

Profil niestandardowy

Ustawienia niestandardowe umożliwiają administratorom przypisywanie ustawień urządzenia, które nie są wbudowane w Intune. Na urządzeniach z systemem Android można wprowadzić wartości OMA-URI. W przypadku urządzeń z systemem iOS/iPadOS można zaimportować plik konfiguracji utworzony w programie Apple Configurator.

Ta funkcja obsługuje:

  • Administratora urządzenia z systemem Android
  • Android Enterprise
  • iOS/iPadOS
  • macOS
  • System Windows 11
  • Windows 10

Optymalizacja dostarczania

Optymalizacja dostarczania zapewnia lepsze środowisko dostarczania aktualizacji oprogramowania. Te ustawienia zastępują ustawienia Aktualizacje> oprogramowania Windows 10 pierścienia aktualizacji.

Te ustawienia umożliwiają kontrolowanie sposobu pobierania aktualizacji oprogramowania na urządzenia w organizacji. Możesz na przykład zezwolić użytkownikom na pobieranie własnych aktualizacji lub uzyskiwanie aktualizacji przy użyciu usług optymalizacji dostarczania w profilu urządzenia.

Ta funkcja obsługuje:

  • System Windows 11
  • Windows 10

Pochodne poświadczenia

Jeśli organizacja używa kart inteligentnych do uwierzytelniania, podpisywania lub szyfrowania, możesz użyć pochodnych poświadczeń. W Intune można skonfigurować i wdrożyć certyfikat pochodzący z karty inteligentnej użytkownika. Pochodne poświadczenia są często używane do Wi-Fi & połączeń sieci VPN, uwierzytelniania & poczty e-mail & aplikacji lub szyfrowania & podpisywania S/MIME.

Intune obsługuje kilku wystawców pochodnych poświadczeń. Każda platforma ma również własny zestaw ustawień.

Ta funkcja obsługuje:

  • Android Enterprise
  • iOS/iPadOS

Funkcje urządzenia

Funkcje urządzenia steruje funkcjami na urządzeniach z systemami iOS/iPadOS i macOS, takimi jak AirPrint, powiadomienia i komunikaty ekranu blokady.

Ta funkcja obsługuje:

  • iOS/iPadOS
  • macOS

Konfiguracja systemu BIOS i interfejs DFCI

Dzięki konfiguracji systemu BIOS administratorzy mogą chronić hasłem dostęp do systemu BIOS i utworzyć plik konfiguracji przy użyciu narzędzia OEM z żądanymi ustawieniami systemu BIOS. Następnie dodają ten plik konfiguracji do zasad Intune.

Interfejs konfiguracji oprogramowania układowego urządzenia (DFCI) umożliwia administratorom włączanie lub wyłączanie ustawień interfejsu UEFI (BIOS) przy użyciu Intune. Użyj tych ustawień, aby zwiększyć bezpieczeństwo na poziomie oprogramowania układowego, które jest zwykle bardziej odporne na złośliwe ataki.

Ta funkcja obsługuje:

  • System Windows 11
  • Windows 10

Ograniczenia urządzenia

Ograniczenia dotyczące urządzeń sterują zabezpieczeniami , sprzętem, udostępnianiem danych i innymi ustawieniami na urządzeniach. Na przykład utwórz profil ograniczeń urządzenia, który uniemożliwia użytkownikom urządzeń z systemem iOS/iPadOS korzystanie z aparatu urządzenia.

Istnieją również ustawienia, które zarządzają dostępem do sklepów z aplikacjami, ograniczają użytkownikom możliwość wyświetlania dokumentów firmowych w aplikacjach niezarządzanych, wymagają hasła do odblokowania urządzenia lub wymagają od urządzeń używania tylko określonych sieci Wi-Fi.

Ta funkcja obsługuje:

  • Administratora urządzenia z systemem Android
  • Android (AOSP)
  • Android Enterprise
  • iOS/iPadOS
  • macOS
  • System Windows 11
  • Windows 10
  • Windows 10 Team

Przyłączanie do domeny

Przyłączanie do domeny konfiguruje informacje o domenie lokalna usługa Active Directory. Te informacje są wdrażane na Microsoft Entra urządzeń przyłączonych hybrydowo podczas aprowizacji przy użyciu rozwiązania Windows Autopilot i Intune. Ten profil informuje urządzenia, do której domeny i jednostki organizacyjnej mają zostać przyłączone.

Ta funkcja obsługuje:

  • System Windows 11
  • Windows 10

Uaktualnianie wersji i przełącznik trybu

uaktualnienia wersji Windows 10/11 automatycznie uaktualnia urządzenia z niektórymi wersjami klienta systemu Windows do nowszej wersji.

Ta funkcja obsługuje:

  • System Windows 11
  • Windows 10

Education

Ustawienia edukacji — Windows 10 skonfigurować opcje aplikacji Windows Take a Test. Po skonfigurowaniu tych opcji żadne inne aplikacje nie mogą być uruchamiane na urządzeniu do momentu ukończenia testu.

Ustawienia edukacji — system iOS/iPadOS używa aplikacji Classroom dla systemu iOS/iPadOS do prowadzenia nauki i kontrolowania urządzeń uczniów w klasie. Urządzenia iPad można skonfigurować tak, aby wielu uczniów było w użyciu pojedyncze urządzenie.

Poczta e-mail

Email ustawienia tworzą, przypisują i monitorują Exchange ActiveSync ustawienia poczty e-mail na urządzeniach. Email profilów ułatwiają spójność, zmniejszają liczbę wywołań pomocy technicznej i umożliwiają użytkownikom końcowym dostęp do firmowej poczty e-mail na swoich urządzeniach osobistych bez konieczności konfigurowania ich z ich strony.

Ta funkcja obsługuje:

  • Administratora urządzenia z systemem Android
  • Android Enterprise
  • iOS/iPadOS
  • System Windows 11
  • Windows 10

Ochrona punktu końcowego

Program Endpoint Protection konfiguruje funkcję BitLocker i ustawienia Microsoft Defender dla urządzeń klienckich z systemem Windows. Na urządzeniach z systemem macOS można również skonfigurować zaporę, bramę i inne zasoby.

Aby dołączyć Ochrona punktu końcowego w usłudze Microsoft Defender z Microsoft Intune, zobacz Konfigurowanie punktów końcowych przy użyciu narzędzi Zarządzanie urządzeniami mobilnych (MDM).

Ta funkcja obsługuje:

  • macOS
  • System Windows 11
  • Windows 10

Sieć komórkowa eSIM

Profile sieci komórkowej karty eSIM umożliwiają administratorom konfigurowanie planów danych komórkowych na urządzeniach zarządzanych na potrzeby dostępu do Internetu i danych. Po otrzymaniu kodów aktywacji od operatora sieci komórkowej użyj Intune, aby zaimportować te kody aktywacji, a następnie przypisz je do urządzeń z obsługą karty eSIM.

Ta funkcja obsługuje:

  • Windows 11
  • Windows 10 Fall Creators Update i nowsze

Rozszerzenia

Rozszerzenia systemu macOS i rozszerzenia jądra umożliwiają administratorom dodawanie funkcji lub programów, które rozszerzają natywne możliwości systemu operacyjnego. Skonfiguruj te ustawienia, aby ufać wszystkim rozszerzeniom od określonego dewelopera lub partnera lub zezwalać na określone rozszerzenia.

Ta funkcja obsługuje:

  • macOS

Ochrona tożsamości

Ochrona tożsamości kontroluje środowisko Windows Hello dla firm na urządzeniach klienckich z systemem Windows. Skonfiguruj te ustawienia, aby udostępnić Windows Hello dla firm użytkownikom i urządzeniom oraz określić wymagania dotyczące numerów PIN i gestów urządzeń.

Ta funkcja obsługuje:

  • System Windows 11
  • Windows 10
  • Windows Holographic for Business

Kiosk

Profil ustawień kiosku konfiguruje urządzenie do uruchamiania jednej aplikacji lub uruchamiania wielu aplikacji. W kiosku można również dostosować inne funkcje, w tym menu Start i przeglądarkę internetową.

Ta funkcja obsługuje:

  • Windows 11 (tylko kiosk z jedną aplikacją)
  • Windows 10

Ustawienia kiosku są również dostępne jako ograniczenia dotyczące urządzeń z systemami Android, Android Enterprise i iOS/iPadOS.

Profil MX (Zebra)

Rozszerzenia mobilności (MX) rozszerzają wbudowane ustawienia Intune, aby dostosować lub dodać więcej ustawień specyficznych dla urządzeń Zebra. Urządzenia Zebra są często używane na piętrach fabrycznych i w środowiskach handlu detalicznego. Jeśli masz setki lub tysiące urządzeń Zebra, możesz użyć Intune, aby skonfigurować te urządzenia i zarządzać nimi.

Ta funkcja obsługuje:

  • Administratora urządzenia z systemem Android

Ochrona punktu końcowego w usłudze Microsoft Defender

Ochrona punktu końcowego w usłudze Microsoft Defender integruje się z Intune w celu monitorowania i ochrony urządzeń. Ustawiasz poziomy ryzyka i określasz, co się stanie, jeśli urządzenia przekroczą ten poziom. W połączeniu z dostępem warunkowym możesz zapobiec złośliwym działaniom w organizacji.

Ta funkcja obsługuje:

  • System Windows 11
  • Windows 10

Granica sieci

Granica sieci tworzy listę witryn, którym organizacja ufa. Ta funkcja jest używana z Microsoft Defender Application Guard i przeglądarką Microsoft Edge w celu ochrony urządzeń.

Ta funkcja obsługuje:

  • System Windows 11
  • Windows 10

OEMConfig

Na urządzeniach z systemem Android Enterprise OEMConfig jest standardem. Umożliwia producentom OEM (producentom oryginalnego sprzętu) i EMM (zarządzanie mobilnością w przedsiębiorstwie) tworzenie i obsługę funkcji specyficznych dla producenta OEM w standardowy sposób.

Za pomocą protokołu OEMConfig OEM tworzy schemat definiujący funkcje zarządzania specyficzne dla producenta OEM i osadzający je w aplikacji przekazanej do sklepu Google Play. Intune odczytuje schemat z aplikacji i umożliwia administratorom Intune konfigurowanie ustawień w schemacie.

Ta funkcja obsługuje:

  • Android Enterprise (OEMConfig)

Plik preferencji

Pliki preferencji na urządzeniach z systemem macOS zawierają informacje o aplikacjach. Na przykład możesz użyć plików preferencji, aby kontrolować ustawienia przeglądarki internetowej, dostosowywać aplikacje i nie tylko.

Ta funkcja obsługuje:

  • macOS

Porada

Ustawienia systemu macOS są stale dodawane do katalogu ustawień. Niektóre z tych ustawień mogą zastąpić pliki preferencji. Aby uzyskać więcej informacji, przejdź do obszaru Zadania, które można wykonać przy użyciu wykazu ustawień w Intune.

Wykaz ustawień

Wykaz ustawień zawiera listę wszystkich dostępnych ustawień, które można skonfigurować, i wszystkie w jednym miejscu. Nie jest to szablon ani logiczne grupowanie ustawień. Katalog ustawień jest podobny do konfigurowania lokalnych obiektów zasady grupy (GPO), ale jest natywny dla chmury.

W systemie Windows dostępne są tysiące ustawień, w tym wiele ustawień, których nie można odnaleźć w szablonach. Jeśli chcesz uzyskać pełną listę wszystkich ustawień, użyj wykazu ustawień, aby utworzyć zasady. Jeśli chcesz użyć logicznego grupowania ustawień, kontynuuj korzystanie z szablonów.

Zadania, które można wykonać przy użyciu wykazu ustawień Intune jest dobrym zasobem.

Ta funkcja obsługuje:

  • iOS/iPadOS
  • macOS
  • System Windows 11
  • Windows 10

Udostępnione urządzenie z wieloma użytkownikami

Windows 10/11 i Windows Holographic for Business zawiera ustawienia do zarządzania urządzeniami z wieloma użytkownikami. Te urządzenia są nazywane urządzeniami udostępnionymi lub udostępnionymi komputerami. Gdy użytkownik loguje się do urządzenia, możesz wybrać, czy użytkownik może zmienić opcje uśpienia, czy zapisać pliki na urządzeniu. W innym przykładzie, aby zaoszczędzić miejsce, można utworzyć profil, który usuwa nieaktywne poświadczenia z urządzeń z systemem Windows HoloLens.

Te udostępnione ustawienia urządzeń z wieloma użytkownikami umożliwiają administratorom kontrolowanie niektórych funkcji urządzeń i zarządzanie tymi urządzeniami udostępnionymi przy użyciu Intune.

Ta funkcja obsługuje:

  • System Windows 11
  • Windows 10
  • Windows Holographic for Business

Skrypty powłoki

Na urządzeniach z systemem Linux możesz dodać istniejące skrypty powłoki Bash , aby dostosować ustawienia i funkcje na tych urządzeniach. Ta koncepcja jest podobna do tworzenia niestandardowego profilu konfiguracji urządzenia i wdrażania zasad na urządzeniach. W systemie Linux używasz istniejących skryptów powłoki Bash do konfigurowania funkcji i ustawień, które nie są wbudowane w Intune.

Na urządzeniach z systemem macOS możesz dodać istniejące skrypty powłoki, a następnie wdrożyć te skrypty na urządzeniach z systemem macOS.

Na urządzeniach z systemem Windows możesz użyć rozszerzenia zarządzania Intune, aby przekazać skrypty programu PowerShell w Intune, a następnie uruchomić te skrypty na urządzeniach. Zobacz również, co jest wymagane do korzystania z rozszerzenia, jak dodać je do Intune i innych ważnych informacji.

Ta funkcja obsługuje:

  • Linux
  • macOS
  • System Windows 11
  • Windows 10

Aktualizowanie zasad

Zasady aktualizacji systemu iOS/iPadOS pokazują, jak tworzyć i przypisywać zasady systemu iOS/iPadOS w celu instalowania aktualizacji oprogramowania na urządzeniach z systemem iOS/iPadOS. Możesz również przejrzeć stan instalacji.

Aby uzyskać informacje o zasadach aktualizacji na urządzeniach z systemem Windows, zobacz Optymalizacja dostarczania.

Ta funkcja obsługuje:

  • iOS/iPadOS

Sieć VPN

Ustawienia sieci VPN przypisują profile sieci VPN do użytkowników i urządzeń w organizacji, dzięki czemu mogą łatwo i bezpiecznie łączyć się z siecią.

Wirtualne sieci prywatne (VPN) zapewniają użytkownikom bezpieczny dostęp zdalny do sieci firmowej. Urządzenia używają profilu połączenia sieci VPN, aby rozpocząć połączenie z serwerem sieci VPN.

Ta funkcja obsługuje:

  • Administratora urządzenia z systemem Android
  • Android Enterprise
  • iOS/iPadOS
  • macOS
  • System Windows 11
  • Windows 10
  • Windows 8.1

Wi-Fi

Ustawienia sieci Wi-Fi przypisują ustawienia sieci bezprzewodowej użytkownikom i urządzeniom. Po przypisaniu profilu sieci Wi-Fi użytkownicy uzyskują dostęp do firmowej sieci Wi-Fi bez konieczności samodzielnej konfiguracji.

Ta funkcja obsługuje:

  • Administratora urządzenia z systemem Android
  • Android (AOSP)
  • Android Enterprise
  • iOS/iPadOS
  • macOS
  • System Windows 11
  • Windows 10
  • Windows 8.1 (tylko import)

Monitorowanie kondycji systemu Windows

Monitorowanie kondycji systemu Windows umożliwia usłudze Endpoint Analytics zbieranie i analizowanie danych zdarzeń. Te dane umożliwiają uzyskanie szczegółowych informacji na urządzeniach z systemem Windows, w tym aktualizacji oprogramowania i wydajności uruchamiania.

Ta funkcja obsługuje:

  • System Windows 11
  • Windows 10

Sieci przewodowe

Sieci przewodowe umożliwiają tworzenie połączeń przewodowych 802.1x i zarządzanie nimi dla komputerów i urządzeń z systemem macOS i Windows Desktop. W profilu wybierz interfejs sieciowy, wybierz akceptowane typy protokołu EAP i wprowadź ustawienia zaufania serwera, w tym certyfikaty PKCS i SCEP.

Po przypisaniu profilu użytkownicy uzyskują dostęp do firmowej sieci przewodowej bez konieczności samodzielnej konfiguracji.

Ta funkcja obsługuje:

  • macOS
  • System Windows 11
  • Windows 10

Zebra Mobility Extensions (MX)

Rozszerzenie Zebra Mobility Extensions (MX) umożliwia administratorom korzystanie z urządzeń Zebra i zarządzanie nimi w Intune. Profile StageNow są tworzone przy użyciu ustawień, a następnie używasz Intune do przypisywania i wdrażania tych profilów na urządzeniach Zebra. Dzienniki stagenow i typowe problemy to doskonały zasób umożliwiający rozwiązywanie problemów z profilami i wyświetlanie niektórych potencjalnych problemów podczas korzystania z aplikacji StageNow.

Ta funkcja obsługuje:

  • Administrator urządzeń z systemem Android (rozszerzenia mobilności)

Zarządzanie i rozwiązywanie problemów

Zarządzaj profilami , aby sprawdzić stan urządzeń i przypisane profile. Możesz również rozwiązać konflikty, wyświetlając ustawienia powodujące konflikt oraz profile, które zawierają te ustawienia.

Typowe pytania i zachowania dotyczące zasad i profilów ułatwiają administratorom pracę z profilami. Opisano w nim, co się stanie podczas usuwania profilu, co powoduje wysyłanie powiadomień do urządzeń i nie tylko.

Następne kroki

Wybierz profil i rozpocznij pracę.