Konfigurowanie ustawień na urządzeniach z systemem Windows, iOS/iPadOS i macOS przy użyciu wykazu ustawień

Wykaz ustawień zawiera listę wszystkich ustawień, które można skonfigurować, i wszystkie w jednym miejscu. Ta funkcja upraszcza sposób tworzenia zasad i wyświetlanie wszystkich dostępnych ustawień. Na przykład można użyć katalogu ustawień, aby utworzyć zasady funkcji BitLocker ze wszystkimi ustawieniami funkcji BitLocker.

Możesz również użyć rozwiązania Microsoft Copilot w Intune. W przypadku korzystania z funkcji rozwiązania Copilot z wykazem ustawień możesz użyć rozwiązania Copilot, aby:

• Dowiedz się więcej o każdym ustawieniu, uzyskaj wpływ analizy What If i znajdź potencjalne konflikty.
• Podsumuj istniejące zasady i uzyskaj analizę wpływu na użytkowników i zabezpieczenia.

Jeśli wolisz konfigurować ustawienia na poziomie szczegółowym, podobnie jak lokalne obiekty zasady grupy (GPO), katalog ustawień jest naturalnym przejściem do zasad opartych na chmurze.

Podczas tworzenia zasad zaczynasz od podstaw. Dodajesz tylko ustawienia, które chcesz kontrolować i zarządzać nimi.

Aby zarządzać urządzeniami w organizacji i zabezpieczać je, użyj katalogu ustawień w ramach rozwiązania do zarządzania urządzeniami przenośnymi (MDM). Coraz więcej ustawień jest stale dodawanych do katalogu ustawień. Aby uzyskać listę ustawień, przejdź do repozytorium GitHub IntunePMFiles/DeviceConfig.

Ta funkcja ma zastosowanie do:

• iOS/iPadOS

  Zawiera ustawienia urządzenia, które są generowane bezpośrednio z kluczy ładunku firmy Apple Profile-Specific. Coraz więcej ustawień i kluczy jest stale dodawanych. Aby dowiedzieć się więcej na temat kluczy ładunku specyficznych dla profilu, przejdź do pozycji Klucze ładunku specyficzne dla profilu (otwiera witrynę internetową firmy Apple).

  DDM (DDM) firmy Apple jest wbudowane w katalog ustawień. Podczas konfigurowania ustawień z katalogu ustawień na urządzeniach z systemem iOS/iPadOS 15 lub nowszym zarejestrowanych przy użyciu rejestracji użytkowników automatycznie używasz usługi DDM. Jeśli DDM nie działa z jakiegokolwiek powodu, urządzenia te korzystają ze standardowego protokołu MDM firmy Apple. Wszystkie inne urządzenia z systemem iOS/iPadOS nadal korzystają ze standardowego protokołu MDM firmy Apple.

• macOS

  Zawiera ustawienia urządzenia, które są generowane bezpośrednio z kluczy ładunku firmy Apple Profile-Specific. Coraz więcej ustawień i kluczy jest stale dodawanych. Aby dowiedzieć się więcej na temat kluczy ładunku specyficznych dla profilu, przejdź do pozycji Klucze ładunku specyficzne dla profilu (otwiera witrynę internetową firmy Apple).

  DDM (DDM) firmy Apple jest dostępne w katalogu ustawień. Za pomocą usługi DDM można zarządzać aktualizacjami oprogramowania, ograniczeniami kodu dostępu i nie tylko.

• Windows 10/11

  Istnieją tysiące ustawień, w tym ustawienia, które nie były wcześniej dostępne. Te ustawienia są generowane bezpośrednio przez dostawców usług konfiguracji systemu Windows. Możesz również skonfigurować szablony administracyjne i mieć więcej dostępnych ustawień szablonu administracyjnego. Gdy system Windows dodaje lub uwidacznia więcej ustawień dla dostawców oprogramowania MDM, te ustawienia są dodawane szybciej, aby Microsoft Intune do skonfigurowania.

Porada

• Aby uzyskać listę ustawień w katalogu ustawień, przejdź do repozytorium GitHub IntunePMFiles/DeviceConfig.
• Aby wyświetlić skonfigurowane zasady przeglądarki Microsoft Edge, otwórz przeglądarkę Microsoft Edge i przejdź do obszaru edge://policy.

W tym artykule wymieniono kroki tworzenia zasad, pokazano, jak wyszukiwać i filtrować ustawienia w Intune oraz jak używać rozwiązania Copilot.

Podczas tworzenia zasad tworzy on profil konfiguracji urządzenia. Następnie można przypisać lub wdrożyć ten profil na urządzeniach w organizacji.

Aby uzyskać informacje na temat niektórych funkcji, które można skonfigurować przy użyciu katalogu ustawień, przejdź do obszaru Zadania, które można wykonać przy użyciu katalogu ustawień w Intune.

Twórca zasad

Zasady można utworzyć przy użyciu typu profilu wykazu ustawień.

1. Zaloguj się do centrum administracyjnego Microsoft Intune.

2. Wybierz pozycjęKonfiguracja>urządzeń> Twórca.

3. Wprowadź następujące właściwości:

   • Platforma: wybierz pozycję iOS/iPadOS, macOS lub Windows 10 i nowsze.
   • Typ profilu: wybierz pozycję Katalog ustawień.

4. Wybierz pozycję Utwórz.

5. W obszarze Podstawy wprowadź następujące właściwości:

   • Nazwa: wprowadź opisową nazwę profilu. Nadaj nazwę profilom, aby można było je później łatwo rozpoznać. Na przykład dobrą nazwą profilu jest system macOS: ustawienia przeglądarki MSFT Edge lub Win10: Ustawienia funkcji BitLocker dla wszystkich urządzeń Win10.
   • Opis: wprowadź opis profilu. To ustawienie jest opcjonalne, ale zalecane.

6. Wybierz pozycję Dalej.

7. W obszarze Ustawienia konfiguracji wybierz pozycję Dodaj ustawienia. W selektorze ustawień wybierz kategorię, aby wyświetlić wszystkie dostępne ustawienia.

   Na przykład wybierz pozycję Windows 10 i nowsze, a następnie wybierz pozycję Uwierzytelnianie, aby wyświetlić wszystkie ustawienia w tej kategorii:

   

   Na przykład wybierz pozycję macOS. Kategoria Microsoft Edge — wszystkie zawiera listę wszystkich ustawień, które można skonfigurować, w tym wszystkie nowe ustawienia. Inne kategorie obejmują ustawienia, które są przestarzałe, lub ustawienia, które mają zastosowanie do starszych wersji:

   

   Porada

   • W systemie macOS kategorie są tymczasowo usuwane. Aby znaleźć określone ustawienie, użyj kategorii Microsoft Edge — Wszystkie lub wyszukaj nazwę ustawienia. Aby uzyskać listę nazw ustawień, przejdź do strony Microsoft Edge — zasady.

   • Użyj linku Dowiedz się więcej w etykietce narzędzia, aby sprawdzić, czy ustawienie jest przestarzałe, i wyświetlić obsługiwane wersje.

8. Wybierz dowolne ustawienie, które chcesz skonfigurować. Możesz też wybrać pozycję Wybierz wszystkie te ustawienia:

   

   Po dodaniu ustawień zamknij selektor ustawień. Wszystkie ustawienia są wyświetlane i skonfigurowane przy użyciu wartości domyślnej, takiej jak Blokuj lub Zezwalaj. Te wartości domyślne są tymi samymi wartościami domyślnymi w systemie operacyjnym. Jeśli nie chcesz konfigurować ustawienia, wybierz minus:

   

   Po wybraniu wartości minus (-):

   • Intune nie zmienia ani nie aktualizuje tego ustawienia. Minus jest taki sam jak Nie skonfigurowano. Po ustawieniu opcji Nieskonfigurowane ustawienie nie jest już zarządzane.
   • Ustawienie zostanie usunięte z zasad. Przy następnym otwarciu zasad ustawienie nie jest wyświetlane. Możesz dodać go ponownie.
   • Przy następnym zaewidencjonowaniu urządzeń ustawienie nie jest już zablokowane. Inne zasady lub użytkownik urządzenia może zmienić zasady.

   Porada

   • W etykietkach narzędzi ustawienia systemu Windows dowiedz się więcej na temat linków do dostawcy CSP.

   • Jeśli ustawienie zezwala na wiele wartości, zaleca się dodawanie każdej wartości oddzielnie.

     Na przykład można wprowadzić wiele wartości w ustawieniuLista dozwolonych usługBluetooth>. Wprowadź każdą wartość w osobnym wierszu:

     Możesz dodać wiele wartości w jednym polu, ale może wystąpić limit znaków.

9. Wybierz pozycję Dalej.

10. W obszarze Tagi zakresu (opcjonalnie) przypisz tag, aby filtrować profil do określonych grup IT, takich jak US-NC IT Team lub JohnGlenn_ITDepartment. Aby uzyskać więcej informacji na temat tagów zakresu, zobacz Używanie ról RBAC i tagów zakresu dla rozproszonej infrastruktury IT.

    Wybierz pozycję Dalej.

11. W obszarze Przypisania wybierz użytkowników lub grupy, które otrzymają Twój profil. Aby uzyskać więcej informacji na temat przypisywania profilów, zobacz temat Przypisywanie profilów użytkowników i urządzeń.

    Wybierz pozycję Dalej.

12. W obszarze Przeglądanie + tworzenie przejrzyj ustawienia. Po wybraniu pozycji Utwórz zmiany zostaną zapisane, a profil przypisany. Zasady są również wyświetlane na liście profilów.

Przy następnym sprawdzaniu aktualizacji konfiguracji przez urządzenie zostaną zastosowane skonfigurowane ustawienia.

Znajdź ustawienia i dowiedz się więcej o każdym ustawieniu

W katalogu ustawień są dostępne tysiące ustawień. Aby ułatwić znalezienie odpowiednich ustawień, możesz użyć funkcji wyszukiwania i filtrowania w katalogu ustawień.

Jeśli używasz rozwiązania Copilot, możesz uzyskać informacje o poszczególnych ustawieniach wygenerowane przez sztuczną inteligencję.

Search i filtr

Podczas tworzenia nowych zasad lub aktualizowania istniejących zasad dostępne są wbudowane funkcje wyszukiwania i filtrowania ułatwiające znajdowanie ustawień.

• W zasadach, aby znaleźć określone ustawienia, możesz użyć opcji Dodaj ustawienia>Search. Możesz wyszukiwać według kategorii, takich jak browser, wyszukać słowo kluczowe, takie jak office lub google, i wyszukać określone ustawienia.

  Na przykład wyszukaj ciąg internet explorer. Wyświetlane są wszystkie ustawienia z elementem internet explorer . Wybierz kategorię, aby wyświetlić dostępne ustawienia:

  

• W zasadach użyj opcji Dodaj ustawienia>Dodaj filtr. Wybierz klucz, operator i wartość.

  Podczas filtrowania w wersji systemu operacyjnego można filtrować ustawienia, które mają zastosowanie do określonych wersji systemu Windows:

  

  Uwaga

  W przypadku ustawień przeglądarki Edge, pakietu Office i usługi OneDrive wersja lub wersja systemu operacyjnego nie określa, czy ustawienia mają zastosowanie. Dlatego jeśli filtrujesz do określonej wersji, takiej jak Windows Professional, ustawienia Edge, Office i OneDrive nie są wyświetlane.

  Ustawienia można również filtrować według zakresu urządzenia lub użytkownika. Aby uzyskać więcej informacji na temat zakresu użytkownika i zakresu urządzenia, przejdź do pozycji Zakres urządzenia a ustawienia zakresu użytkownika (w tym artykule):

  

Copilot

Jeśli używasz zasad wykazu ustawień, możesz użyć rozwiązania Copilot, aby uzyskać więcej informacji na temat określonego ustawienia i jego wpływu.

1. W zasadach wybierz pozycję Dodaj ustawienia. W selektorze ustawień wybierz niektóre ustawienia. Na przykład w zasadach systemu macOS rozwiń węzeł Deklaratywne Zarządzanie urządzeniami>Aktualizuj>oprogramowanieWybierz wszystkie te ustawienia. Zamknij selektor ustawień.

2. W przypadku ustawień zwróć uwagę na etykietkę narzędzia Copilot:

   

3. Po wybraniu etykietki narzędzia Copilot zostanie automatycznie wyświetlonych więcej informacji o ustawieniu:

   

4. W wierszu polecenia jest więcej monitów, których można użyć. Możesz również wybrać przewodnik wiersza polecenia i wybrać z istniejącej listy monitów:

   

Kopiowanie profilu

Wybierz pozycję Duplikuj , aby utworzyć kopię istniejącego profilu. Duplikowanie jest przydatne, gdy potrzebujesz profilu podobnego, ale odrębnego od oryginalnego.

Kopia zawiera te same konfiguracje ustawień i tagi zakresu co oryginalny profil, ale nie ma dołączonych do niego przypisań. Po nadaniu nowemu profilowi nazwy możesz edytować profil, aby dostosować ustawienia i dodać przypisania.

1. Przejdź dopozycji Konfiguracjaurządzeń>.
2. Znajdź profil, który chcesz skopiować. Kliknij prawym przyciskiem myszy profil lub wybierz menu kontekstowe wielokropka (…).
3. Wybierz pozycję Duplikuj.
4. Wprowadź nową nazwę i opis zasad.
5. Zapisz zmiany.

Importowanie i eksportowanie profilu

Ta funkcja ma zastosowanie do:

• Windows 10 lub nowszy

Podczas tworzenia zasad wykazu ustawień można wyeksportować zasady do .json pliku. Następnie można zaimportować ten plik, aby utworzyć nowe zasady. Ta funkcja jest przydatna, jeśli chcesz utworzyć zasady podobne do istniejących zasad. Można na przykład wyeksportować zasady, zaimportować je w celu utworzenia nowych zasad, a następnie wprowadzić zmiany w nowych zasadach.

1. Przejdź dopozycji Konfiguracjaurządzeń>.

2. Aby wyeksportować istniejące zasady, wybierz profil > , wybierając menu kontekstowe wielokropka (…) >Eksportuj kod JSON:

   

3. Aby zaimportować wcześniej wyeksportowane zasady wykazu ustawień, wybierz pozycję Twórca>Importuj zasady:

   

   Wybierz wyeksportowany plik JSON i nadaj nazwę nowym zasadom. Zapisz zmiany.

Konflikty i raportowanie

Konflikty występują, gdy to samo ustawienie jest aktualizowane do różnych wartości, w tym zasad skonfigurowanych przy użyciu wykazu ustawień. W centrum administracyjnym Intune możesz sprawdzić stan istniejących zasad. Dane są odświeżane automatycznie i działają niemal w czasie rzeczywistym.

Istnieją wbudowane funkcje, które mogą pomóc w rozwiązywaniu konfliktów, w tym raportowanie stanu dla każdego ustawienia.

Jeśli używasz rozwiązania Copilot, możesz użyć wbudowanych monitów, aby uzyskać więcej informacji na temat istniejących zasad, w tym ich wpływu.

Raportowanie i rozwiązywanie problemów

W centrum administracyjnym Intune możesz użyć wbudowanych funkcji raportowania, aby ułatwić znajdowanie i rozwiązywanie konfliktów.

1. W centrum administracyjnym Intune wybierz pozycję Konfiguracja urządzeń>. Na liście wybierz zasady utworzone przy użyciu wykazu ustawień. Kolumna Typ profilu zawiera pozycję Katalog ustawień:

   

2. Po wybraniu zasad zostanie wyświetlony stan urządzenia. Przedstawia podsumowanie stanu zasad i właściwości zasad. Możesz również zmienić lub zaktualizować zasady w sekcji Ustawienia konfiguracji :

   

3. Wybierz pozycję Wyświetl raport. Raport zawiera szczegółowe informacje, w tym nazwę urządzenia, stan zasad i nie tylko. Możesz również filtrować stan wdrożenia i eksportować raport do .csv pliku:

   

4. Możesz również przyjrzeć się stanom każdego ustawienia przy użyciu stanu poszczególnych ustawień. Ten stan pokazuje całkowitą liczbę urządzeń, których dotyczy każde ustawienie w zasadach.

   Można:

   • Zobacz liczbę urządzeń z pomyślnie zastosowanym ustawieniem, w konflikcie lub w błędzie.
   • Wybierz liczbę urządzeń ze zgodnością, konfliktem lub błędem. Zobacz też listę użytkowników lub urządzeń w tym stanie.
   • Search, sortować, filtrować, eksportować i przechodzić do następnych i poprzednich stron.

5. W centrum administracyjnym wybierz pozycję Urządzenia>Monitoruj>błędy przypisania. Jeśli nie można wdrożyć zasad wykazu ustawień z powodu błędu lub konfliktu, zostanie on wyświetlony na tej liście. Możesz również wyeksportować do .csv pliku.

6. Wybierz zasady, aby wyświetlić urządzenia. Następnie wybierz określone urządzenie, aby wyświetlić ustawienie, które nie powiodło się, i możliwy kod błędu.

Porada

Intune raporty są doskonałym zasobem i opisują wszystkie funkcje raportowania, których można użyć. Aby uzyskać informacje na temat wszystkich danych raportowania, które można wyświetlić, przejdź do Intune raportów.

Aby uzyskać więcej informacji na temat rozwiązywania konfliktów, przejdź do:

• Monitorowanie profilów urządzeń
• Typowe pytania i odpowiedzi dotyczące zasad urządzeń

Copilot

Usługa Copilot może pomóc w znalezieniu stanu istniejących zasad, znalezieniu stanu określonego ustawienia w zasadach i wyświetleniu potencjalnych konfliktów.

1. W centrum administracyjnym Intune wybierz pozycję Konfiguracja urządzeń>. Na liście zasad wybierz zasady, które chcesz ocenić przy użyciu rozwiązania Copilot.

2. Po wybraniu zasad zostanie wyświetlony stan urządzenia. Wybierz pozycję Summarize with Copilot (Podsumuj za pomocą rozwiązania Copilot):

   

   Podsumowanie jest wyświetlane automatycznie i zawiera ustawienia w zasadach & ich wartości.

3. W wierszu polecenia możesz wybrać więcej monitów. Możesz również wybrać przewodnik wiersza polecenia i wybrać z istniejącej listy monitów:

   

Katalog ustawień a szablony

Podczas tworzenia zasad istnieją dwa typy zasad: Katalog ustawień i Szablony:

Szablony obejmują logiczną grupę ustawień, takich jak kiosk, sieć VPN, sieć Wi-Fi i inne. Użyj tej opcji, jeśli chcesz użyć tych grup do skonfigurowania ustawień.

Wykaz ustawień zawiera listę wszystkich dostępnych ustawień. Jeśli chcesz wyświetlić wszystkie dostępne ustawienia zapory lub wszystkie dostępne ustawienia funkcji BitLocker, użyj tej opcji. Ponadto użyj tej opcji, jeśli szukasz określonych ustawień.

Zakres urządzenia a ustawienia zakresu użytkownika

Po wybraniu ustawienia niektóre ustawienia mają (User) tag lub (Device) tag w nazwie ustawienia, na przykład Allow EAP Cert SSO (User) lub Grouping (Device). Po wyświetleniu tych tagów zasady mają wpływ tylko na zakres użytkownika lub zakres urządzenia.

Aby uzyskać więcej informacji na temat zakresu użytkownika i zakresu urządzenia, zobacz Dostawca CSP zasad.

Grupy urządzeń i użytkowników są używane podczas przypisywania zasad. Zakresy urządzeń i użytkowników opisują sposób wymuszania zasad.

Zachowanie przypisywania zakresu

Podczas wdrażania zasad z Intune można przypisać zakres użytkownika lub zakres urządzenia do dowolnego typu grupy docelowej. Zachowanie zasad na użytkownika zależy od zakresu ustawienia:

• Zasady o zakresie użytkownika są zapisywane w pliku HKEY_CURRENT_USER (HKCU).
• Zasady o zakresie urządzenia są zapisywane w pliku HKEY_LOCAL_MACHINE (HKLM).

Gdy urządzenie zaewidencjonuje Intune, urządzenie zawsze wyświetla deviceIDwartość . Urządzenie może lub nie może przedstawić userIDelementu , w zależności od czasu zaewidencjonowania i tego, czy użytkownik jest zalogowany.

Poniższa lista zawiera kilka możliwych kombinacji zakresu, przypisania i oczekiwanego zachowania:

• Jeśli zasady zakresu urządzenia są przypisane do urządzenia, wszyscy użytkownicy na tym urządzeniu mają zastosowane to ustawienie.
• Jeśli zasady o zakresie urządzenia są przypisane do użytkownika, gdy użytkownik zaloguje się i nastąpi synchronizacja Intune, ustawienia zakresu urządzenia będą stosowane do wszystkich użytkowników na urządzeniu.
• Jeśli zasady zakresu użytkownika są przypisane do urządzenia, wszyscy użytkownicy na tym urządzeniu mają zastosowane to ustawienie. To zachowanie jest jak zestaw sprzężenia zwrotnego do scalenia.
• Jeśli zasady o zakresie użytkownika są przypisane do użytkownika, tylko ten użytkownik ma zastosowane to ustawienie.
• Istnieją pewne ustawienia, które są dostępne w zakresie użytkownika i w zakresie urządzenia. Jeśli jedno z tych ustawień jest przypisane zarówno do zakresu użytkownika, jak i urządzenia, zakres użytkownika ma pierwszeństwo przed zakresem urządzenia.

Jeśli podczas początkowych ewidencjonowania nie istnieje gałąź użytkownika , niektóre ustawienia zakresu użytkownika są oznaczone jako nie dotyczy. To zachowanie ma miejsce we wczesnych momentach urządzenia, zanim użytkownik będzie obecny.

Następne kroki

• Zadania, które można wykonać przy użyciu wykazu ustawień w Intune
• Twórca zasad drukowania uniwersalnego w Microsoft Intune
• Przypisz profil i monitoruj jego stan.
• Omówienie rozwiązania Microsoft Copilot dla Intune