Importowanie i analizowanie lokalnych obiektów zasad grupy przy użyciu analizy zasady grupy w Microsoft Intune

  • Artykuł

Porada

Szukasz lokalnej analizy obiektu zasad grupy? W zestawie narzędzi Microsoft Security Compliance Toolkit są dostępne narzędzia.

Microsoft Intune ma wiele tych samych ustawień co lokalne obiekty zasad grupy. zasady grupy analytics to narzędzie w Microsoft Intune, które:

  • Importuje i analizuje lokalne obiekty zasad grupy.
  • Przedstawia ustawienia, które obsługują dostawcy rozwiązań MDM opartych na chmurze, w tym Microsoft Intune.
  • Pokazuje wszystkie przestarzałe ustawienia lub ustawienia, które nie są dostępne.
  • Można migrować zaimportowane obiekty zasad grupy do zasad wykazu ustawień , które można wdrożyć na urządzeniach.

Jeśli twoja organizacja używa lokalnych obiektów zasad grupy do zarządzania urządzeniami Windows 10/11, analiza zasady grupy może pomóc. Dzięki analizie zasady grupy usługa Intune może zastąpić lokalne obiekty zasad grupy. urządzenia Windows 10/11 są z natury natywne dla chmury. W zależności od konfiguracji te urządzenia mogą nie wymagać dostępu do lokalna usługa Active Directory.

Jeśli wszystko jest gotowe do usunięcia zależności z lokalną usługą AD, dobrym pierwszym krokiem jest analizowanie obiektów zasad grupy za pomocą analizy zasady grupy. Niektóre starsze ustawienia nie są obsługiwane lub nie mają zastosowania do natywnych urządzeń z systemem Windows w chmurze. Po przeanalizowaniu obiektów zasad grupy znasz nadal prawidłowe ustawienia.

Ta funkcja ma zastosowanie do:

  • System Windows 11
  • Windows 10

W tym artykule przedstawiono sposób eksportowania lokalnych obiektów zasad grupy, importowania obiektów zasad grupy do usługi Intune oraz przeglądania analizy i wyników. Aby przeprowadzić migrację lub przenieść zaimportowane obiekty zasad grupy do zasad usługi Intune, przejdź do obszaru Tworzenie zasad wykazu ustawień przy użyciu zaimportowanych obiektów zasad grupy w Microsoft Intune.

Przed rozpoczęciem

W centrum administracyjnym Microsoft Intune zaloguj się jako administrator usługi Intune lub z rolą z punktami odniesienia zabezpieczeń i uprawnieniem Konfiguracja urządzenia. Aby uzyskać więcej informacji na temat wbudowanych ról, zobacz kontrola dostępu oparta na rolach.

Eksportowanie obiektu zasad grupy jako pliku XML

Poniższe kroki mogą się różnić na serwerze w zależności od używanej wersji kontrolera GPMC. Podczas eksportowania obiektu zasad grupy upewnij się, że eksportujesz go jako plik XML.

  1. Na komputerze lokalnym otwórz konsolę Group Policy Management (GPMC.msc).

  2. W konsoli zarządzania rozwiń nazwę domeny.

  3. Rozwiń węzeł zasady grupy Obiekty, aby wyświetlić wszystkie dostępne obiekty zasad grupy.

  4. Kliknij prawym przyciskiem myszy obiekt zasad grupy, który chcesz przeprowadzić migrację, i wybierz pozycję Zapisz raport:

    Zrzut ekranu przedstawiający sposób otwierania zarządzania zasady grupy i zapisywania obiektu zasad grupy jako raportu pliku XML.

  5. Wybierz łatwo dostępny folder do eksportowania. W obszarze Zapisz jako typ wybierz pozycję Plik XML. W innym kroku dodasz ten plik do analizy zasad grupy w usłudze Intune.

Upewnij się, że plik jest mniejszy niż 4 MB i ma prawidłowe kodowanie Unicode. Jeśli wyeksportowany plik jest większy niż 4 MB, zmniejsz liczbę ustawień w obiekcie zasad grupy.

Importowanie obiektów zasad grupy i uruchamianie analizy

  1. W centrum administracyjnym Microsoft Intune wybierz pozycję Urządzenia>zasady grupy analiza.

  2. Wybierz pozycję Importuj, wybierz zapisany plik > XML Dalej.

    Jednocześnie można wybrać wiele plików.

    Sprawdź rozmiary poszczególnych plików XML obiektu zasad grupy. Pojedynczy obiekt zasad grupy nie może być większy niż 4 MB. Jeśli pojedynczy obiekt zasad grupy jest większy niż 4 MB, importowanie kończy się niepowodzeniem. Pliki XML bez odpowiedniego zakończenia unicode również kończą się niepowodzeniem.

  3. W obszarze Tagi zakresu wybierz istniejący tag zakresu, który chcesz zastosować do zaimportowanego obiektu zasad grupy. Jeśli nie wybierzesz istniejącego tagu zakresu, zostanie automatycznie użyty domyślny tag zakresu:

    Zrzut ekranu przedstawiający sposób importowania obiektu zasad grupy (GPO) i wybierania tagu zakresu w Microsoft Intune i centrum administracyjnym usługi Intune.

    Zaimportowany obiekt zasad grupy jest widoczny tylko dla administratorów uwzględnionych w wybranych tagach zakresu. Aby uzyskać więcej informacji na temat tagów zakresu w zaimportowanych obiektach zasad grupy, przejdź do pozycji Wybierz tag zakresu podczas importowania (w tym artykule).

  4. Wybierz pozycję Dalej>utwórz.

    Po wybraniu pozycji Utwórz usługa Intune automatycznie analizuje obiekt zasad grupy w pliku XML.

  5. Po uruchomieniu analizy zaimportowany obiekt zasad grupy zostanie wyświetlony z następującymi informacjami:

    • zasady grupy nazwa: nazwa jest generowana automatycznie przy użyciu informacji w obiekcie zasad grupy.

    • Obiekt docelowy usługi Active Directory: element docelowy jest generowany automatycznie przy użyciu informacji docelowych jednostki organizacyjnej (OU) w obiekcie zasad grupy.

    • Obsługa zarządzania urządzeniami przenośnymi: pokazuje procent ustawień zasad grupy w obiekcie zasad grupy, które mają to samo ustawienie w usłudze Intune.

      Uwaga

      Za każdym razem, gdy zespół produktu Microsoft Intune wprowadza zmiany w mapowaniu w usłudze Intune, wartość procentowa w obszarze Obsługa zarządzania urządzeniami przenośnymi jest automatycznie aktualizowana w celu odzwierciedlenia tych zmian.

    • Nieznane ustawienia: istnieje kilka dostawców CSP, których nie można przeanalizować. Lista nieznanych ustawień zawiera obiekty zasad grupy, których nie można przeanalizować.

    • Docelowe w usłudze AD: Tak oznacza, że obiekt zasad grupy jest połączony z jednostką organizacyjną w lokalnych zasadach grupy. Nie oznacza, że obiekt zasad grupy nie jest połączony z lokalną jednostką organizacyjną.

    • Ostatnio zaimportowane: pokazuje datę ostatniego importu.

    Możesz zaimportować więcej obiektów zasad grupy do analizy, odświeżyć stronę i filtrować dane wyjściowe . Możesz również wyeksportować ten widok do .csv pliku:

    Zrzut ekranu przedstawiający sposób importowania, odświeżania, filtrowania lub eksportowania obiektu zasad grupy (GPO) do pliku CSV w Microsoft Intune i centrum administracyjnym usługi Intune.

  6. Wybierz procent pomocy technicznej mdm dla wymienionego obiektu zasad grupy. Przedstawiono bardziej szczegółowe informacje o obiekcie zasad grupy:

    • Nazwa ustawienia: nazwa jest generowana automatycznie przy użyciu informacji w ustawieniu obiektu zasad grupy.

    • zasady grupy Ustawienie kategorii: pokazuje kategorię ustawień ustawień ADMX, takich jak Internet Explorer i Microsoft Edge. Nie wszystkie ustawienia mają kategorię ustawień.

    • Obsługa rozwiązania MDM:

      • Tak oznacza, że w usłudze Intune jest dostępne pasujące ustawienie. To ustawienie można skonfigurować w katalogu ustawień.
      • Nie oznacza to, że dostawcy oprogramowania MDM, w tym usługa Intune, nie mają dostępnego pasującego ustawienia.
      • Inne wartości: jeśli zaimportujesz starsze ustawienia, które nie są już obsługiwane, narzędzie sugeruje migrację do nowszej obsługiwanej wersji. Aby uzyskać więcej informacji na temat scenariuszy migracji, przejdź do tematu Importowane obiekty zasad grupy w usłudze Intune — co musisz wiedzieć.

    • Wartość: pokazuje wartość zaimportowana z obiektu zasad grupy. Wyświetlane są różne wartości, takie truejak , 900, Enabled, falsei tak dalej.

    • Zakres: pokazuje, czy zaimportowany obiekt zasad grupy jest przeznaczony dla użytkowników lub urządzeń docelowych.

    • Minimalna wersja systemu operacyjnego: pokazuje minimalne numery kompilacji wersji systemu operacyjnego Windows stosowane przez ustawienie obiektu zasad grupy. Może być wyświetlany 18362 (1903), 17130 (1803) i inne wersje klienta systemu Windows.

      Jeśli na przykład ustawienie zasad pokazuje 18362wartość , to ustawienie obsługuje kompilacje 18362 i nowsze kompilacje.

    • Nazwa dostawcy usług konfiguracji: dostawca usług konfiguracji (CSP) uwidacznia ustawienia konfiguracji urządzenia w kliencie systemu Windows. Ta kolumna przedstawia dostawca CSP, który zawiera ustawienie. Na przykład możesz zobaczyć pozycje Zasady, Funkcja BitLocker, PassportforWork itd.

      Dokumentacja dostawcy CSP zawiera listę dostępnych dostawców CSP, zawiera obsługiwane wersje systemu operacyjnego i nie tylko.

    • Mapowanie dostawcy CSP: pokazuje ścieżkę OMA-URI dla zasad lokalnych. Identyfikator OMA-URI można użyć w niestandardowym profilu konfiguracji urządzenia. Na przykład może zostać wyświetlona wartość ./Device/Vendor/MSFT/BitLocker/RequireDeviceEnryption.

  7. W przypadku ustawień, które mają obsługę zarządzania urządzeniami przenośnymi, można utworzyć zasady katalogu ustawień z tymi ustawieniami. Aby zapoznać się z konkretnymi krokami, przejdź do obszaru Tworzenie zasad wykazu ustawień przy użyciu zaimportowanych obiektów zasad grupy w Microsoft Intune.

Wybieranie tagu zakresu podczas importowania

Podczas importowania obiektu zasad grupy można wybrać istniejące tagi zakresu. Jeśli nie wybierzesz tagu zakresu, domyślny tag zakresu zostanie użyty automatycznie. Zaimportowany obiekt zasad grupy może być widoczny tylko dla administratorów o zakresie domyślnym . Administratorzy, którzy nie mają zakresu do domyślnego tagu zakresu, nie widzą zaimportowanego obiektu zasad grupy.

To zachowanie ma zastosowanie do dowolnego tagu zakresu wybranego podczas importowania obiektu zasad grupy. Administratorzy widzą zaimportowane obiekty zasad grupy tylko wtedy, gdy podczas importowania wybrano jeden z tych samych tagów zakresu. Jeśli administrator nie ma tagu zakresu, nie widzi zaimportowanego obiektu zasad grupy w raportowaniu ani na liście obiektów zasad grupy.

Na przykład administratorzy mają Charlotteprzypisane tagi , Londonlub Boston zakresu do swojej roli:

  • Administrator z tagiem zakresu "Charlotte" importuje obiekt zasad grupy.
  • Podczas importowania wybierają tag zakresu "Charlotte". Tag zakresu "Charlotte" jest stosowany do zaimportowanego obiektu zasad grupy.
  • Wszyscy administratorzy z tagiem zakresu "Charlotte" mogą zobaczyć zaimportowany obiekt.
  • Administratorzy z tagami zakresu "Londyn" lub tylko "Boston" nie widzą zaimportowanego obiektu od administratora "Charlotte".

Aby administratorzy mogli przeglądać analizę lub migrować zaimportowany obiekt zasad grupy do zasad usługi Intune, administratorzy muszą mieć jeden z tych samych tagów zakresu wybrany podczas importowania.

Aby uzyskać więcej informacji na temat tagów zakresu, przejdź do pozycji KONTROLA RBAC i tagi zakresu dla rozproszonego it.

Obsługiwane dostawcy usług i zasady grupy

zasady grupy analizy mogą przeanalizować następujące dostawców CSP do obsługi zarządzania urządzeniami przenośnymi:

Jeśli zaimportowany obiekt zasad grupy ma ustawienia, które nie znajdują się w obsługiwanych dostawców usług i zasad grupy, ustawienia mogą być wymienione w nieznane ustawienia kolumny. To zachowanie oznacza, że ustawienia zostały zidentyfikowane w obiekcie zasad grupy.

Mimo że analiza zasady grupy może przeanalizować dostawców CSP, podczas migracji zaimportowanych obiektów zasad grupy należy wiedzieć o pewnych rzeczach. Aby uzyskać więcej informacji, przejdź do pozycji Migrowanie zaimportowanego obiektu zasad grupy do zasad wykazu ustawień — co musisz wiedzieć.

raport gotowości do migracji zasady grupy

  1. W centrum administracyjnym Microsoft Intune wybierz pozycję Analizazasad grupy raportów>:

    Zrzut ekranu przedstawiający sposób przeglądania raportu i danych wyjściowych zaimportowanych obiektów zasad grupy przy użyciu analizy zasady grupy w Microsoft Intune i centrum administracyjnym usługi Intune.

  2. Na karcie Podsumowanie zostanie wyświetlone podsumowanie obiektu zasad grupy i jego zasad. Użyj tych informacji, aby określić stan zasad w obiekcie zasad grupy:

    • Gotowe do migracji: zasady mają pasujące ustawienie w usłudze Intune i są gotowe do migracji do usługi Intune.

    • Nieobsługiwane: zasady nie mają pasującego ustawienia. Zazwyczaj ustawienia zasad, które pokazują ten stan, nie są widoczne dla dostawców zarządzania urządzeniami przenośnymi, w tym usługi Intune.

    • Przestarzałe: zasady mogą mieć zastosowanie do starszych wersji systemu Windows, starszych wersji przeglądarki Microsoft Edge i innych zasad, które nie są już używane.

      Uwaga

      Gdy zespół produktu Microsoft Intune aktualizuje logikę mapowania, zaimportowane obiekty zasad grupy są automatycznie aktualizowane. Nie musisz ponownie zaimportować obiektów zasad grupy.

  3. Wybierz kartę Raporty Gotowość >do migracji zasad grupy. W tym raporcie można:

    • Zobacz liczbę ustawień w obiekcie zasad grupy, które można skonfigurować w profilu konfiguracji urządzenia. Pokazuje również, czy ustawienia mogą znajdować się w profilu niestandardowym, nie są obsługiwane lub są przestarzałe.
    • Filtruj dane wyjściowe raportu przy użyciu filtrów Gotowość do migracji, Typ profilu i Nazwa dostawcy CSP .
    • Wybierz pozycję Generuj raport lub Generuj ponownie , aby uzyskać bieżące dane.
    • Zobacz listę ustawień w obiekcie zasad grupy.
    • Użyj paska wyszukiwania, aby znaleźć określone ustawienia.
    • Pobierz sygnaturę czasową ostatniego wygenerowania raportu.

    Uwaga

    Po dodaniu lub usunięciu zaimportowanych obiektów zasad grupy aktualizacja danych raportowania gotowości do migracji może potrwać około 20 minut.

Znane problemy

Obecnie narzędzie do analizy zasady grupy obsługuje tylko ustawienia inne niż ADMX w języku angielskim. Jeśli importujesz obiekt zasad grupy z ustawieniami w językach innych niż angielski, wartość procentowa pomocy technicznej rozwiązania MDM jest niedokładna.

Wysyłanie opinii o produkcie

Możesz przekazać opinię na temat zasady grupy Analytics. W centrum administracyjnym Microsoft Intune wybierz pozycję Urządzenia>zasady grupy analiza>Otrzymaliśmy opinię.

Przykłady obszarów opinii:

  • Wystąpiły błędy podczas importowania lub analizy obiektu zasad grupy i potrzebne są bardziej szczegółowe informacje.
  • Jak łatwo można użyć analizy zasady grupy w celu znalezienia obsługiwanych zasad grupy w Microsoft Intune?
  • Czy to narzędzie pomoże Ci przenieść niektóre obciążenia do usługi Intune? Jeśli tak, jakie obciążenia rozważasz?

Aby uzyskać informacje o środowisku klienta, opinie są agregowane i wysyłane do firmy Microsoft. Wprowadzanie wiadomości e-mail jest opcjonalne i może służyć do uzyskiwania dodatkowych informacji.

Prywatność i zabezpieczenia

Każde użycie danych klienta, takich jak obiekty zasad grupy używane przez organizację, jest agregowane. Nie jest sprzedawany żadnym osobom trzecim. Te dane mogą służyć do podejmowania decyzji biznesowych w firmie Microsoft. Dane klienta są przechowywane w bezpieczny sposób.

W dowolnym momencie można usunąć zaimportowane obiekty zasad grupy:

  1. Przejdź do obszaru Urządzenia>zasady grupy analizy.

  2. Wybierz menu > kontekstowe Usuń:

    Zrzut ekranu przedstawiający sposób usuwania lub usuwania obiektu zasad grupy zaimportowanego w analizatorze zasady grupy w Microsoft Intune i centrum administracyjnym usługi Intune.

Następne kroki

Zobacz też

Dowiedz się więcej o dostawcach usług konfiguracji (CSP).