Udostępnij za pośrednictwem


Konfigurowanie ustawień na urządzeniach z systemem Windows, iOS/iPadOS i macOS przy użyciu wykazu ustawień

Wykaz ustawień zawiera listę wszystkich ustawień, które można skonfigurować, i wszystkie w jednym miejscu. Ta funkcja upraszcza sposób tworzenia zasad i wyświetlanie wszystkich dostępnych ustawień. Na przykład można użyć katalogu ustawień, aby utworzyć zasady funkcji BitLocker ze wszystkimi ustawieniami funkcji BitLocker.

Możesz również użyć rozwiązania Microsoft Copilot w usłudze Intune. W przypadku korzystania z funkcji rozwiązania Copilot z wykazem ustawień możesz użyć rozwiązania Copilot, aby:

  • Dowiedz się więcej o każdym ustawieniu, uzyskaj wpływ analizy What If i znajdź potencjalne konflikty.
  • Podsumuj istniejące zasady i uzyskaj analizę wpływu na użytkowników i zabezpieczenia.

Jeśli wolisz skonfigurować ustawienia na poziomie szczegółowym, podobnie jak lokalne obiekty zasad grupy (GPO), katalog ustawień jest naturalnym przejściem do zasad opartych na chmurze.

Podczas tworzenia zasad zaczynasz od podstaw. Dodajesz tylko ustawienia, które chcesz kontrolować i zarządzać nimi.

Aby zarządzać urządzeniami w organizacji i zabezpieczać je, użyj katalogu ustawień w ramach rozwiązania do zarządzania urządzeniami przenośnymi (MDM). Coraz więcej ustawień jest stale dodawanych do katalogu ustawień. Aby uzyskać listę ustawień, przejdź do repozytorium GitHub IntunePMFiles/DeviceConfig.

Ta funkcja ma zastosowanie do:

  • iOS/iPadOS

    Zawiera ustawienia urządzenia, które są generowane bezpośrednio z kluczy ładunku firmy Apple Profile-Specific. Coraz więcej ustawień i kluczy jest stale dodawanych. Aby dowiedzieć się więcej na temat kluczy ładunku specyficznych dla profilu, przejdź do pozycji Klucze ładunku specyficzne dla profilu (otwiera witrynę internetową firmy Apple).

    DDM (DDM) firmy Apple jest wbudowane w katalog ustawień. Podczas konfigurowania ustawień z katalogu ustawień na urządzeniach z systemem iOS/iPadOS 15 lub nowszym zarejestrowanych przy użyciu rejestracji użytkowników automatycznie używasz usługi DDM. Jeśli DDM nie działa z jakiegokolwiek powodu, urządzenia te korzystają ze standardowego protokołu MDM firmy Apple. Wszystkie inne urządzenia z systemem iOS/iPadOS nadal korzystają ze standardowego protokołu MDM firmy Apple.

  • macOS

    Zawiera ustawienia urządzenia, które są generowane bezpośrednio z kluczy ładunku firmy Apple Profile-Specific. Coraz więcej ustawień i kluczy jest stale dodawanych. Aby dowiedzieć się więcej na temat kluczy ładunku specyficznych dla profilu, przejdź do pozycji Klucze ładunku specyficzne dla profilu (otwiera witrynę internetową firmy Apple).

    DDM (DDM) firmy Apple jest dostępne w katalogu ustawień. Za pomocą usługi DDM można zarządzać aktualizacjami oprogramowania, ograniczeniami kodu dostępu i nie tylko.

    Wykaz ustawień umożliwia również konfigurowanie nowszych wersji przeglądarki Microsoft Edge i innych funkcji zamiast plików listy właściwości (plist). Aby uzyskać więcej informacji, zobacz:

    Możesz nadal używać pliku preferencji , aby:

    • Skonfiguruj wcześniejsze wersje przeglądarki Microsoft Edge.
    • Skonfiguruj ustawienia przeglądarki Microsoft Edge, które nie znajdują się w katalogu ustawień.
  • Windows 10/11

    Istnieją tysiące ustawień, w tym ustawienia, które nie były wcześniej dostępne. Te ustawienia są generowane bezpośrednio przez dostawców usług konfiguracji systemu Windows. Możesz również skonfigurować szablony administracyjne i mieć więcej dostępnych ustawień szablonu administracyjnego. Gdy system Windows dodaje lub uwidacznia więcej ustawień dla dostawców oprogramowania MDM, te ustawienia są szybciej dodawane do usługi Microsoft Intune, aby można było je skonfigurować.

Porada

  • Aby uzyskać listę ustawień w katalogu ustawień, przejdź do repozytorium GitHub IntunePMFiles/DeviceConfig.
  • Aby wyświetlić skonfigurowane zasady przeglądarki Microsoft Edge, otwórz przeglądarkę Microsoft Edge i przejdź do obszaru edge://policy.

W tym artykule przedstawiono kroki tworzenia zasad, wyszukiwanie i filtrowanie ustawień w usłudze Intune oraz sposób korzystania z rozwiązania Copilot.

Podczas tworzenia zasad tworzy on profil konfiguracji urządzenia. Następnie można przypisać lub wdrożyć ten profil na urządzeniach w organizacji.

Aby uzyskać informacje na temat niektórych funkcji, które można skonfigurować przy użyciu wykazu ustawień, przejdź do obszaru Zadania, które można wykonać przy użyciu katalogu ustawień w usłudze Intune.

Tworzenie zasad

Zasady można utworzyć przy użyciu typu profilu wykazu ustawień.

  1. Zaloguj się do centrum administracyjnego usługi Microsoft Intune.

  2. Wybierz pozycję Urządzenia>Zarządzaj urządzeniami>Konfiguracja>Utwórz>nowe zasady.

  3. Wprowadź następujące właściwości:

    • Platforma: wybierz pozycję iOS/iPadOS, macOS lub Windows 10 lub nowsze.
    • Typ profilu: wybierz pozycję Katalog ustawień.
  4. Wybierz pozycję Utwórz.

  5. W obszarze Podstawy wprowadź następujące właściwości:

    • Nazwa: wprowadź opisową nazwę profilu. Nadaj nazwę profilom, aby można było je później łatwo rozpoznać. Na przykład dobrą nazwą profilu jest system macOS: ustawienia przeglądarki MSFT Edge lub Win10: Ustawienia funkcji BitLocker dla wszystkich urządzeń Win10.
    • Opis: wprowadź opis profilu. To ustawienie jest opcjonalne, ale zalecane.
  6. Wybierz pozycję Dalej.

  7. W obszarze Ustawienia konfiguracji wybierz pozycję Dodaj ustawienia. W selektorze ustawień wybierz kategorię, aby wyświetlić wszystkie dostępne ustawienia.

    Na przykład wybierz pozycję Windows 10 i nowsze, a następnie wybierz pozycję Uwierzytelnianie , aby wyświetlić wszystkie ustawienia w tej kategorii:

    Zrzut ekranu przedstawiający katalog ustawień po wybraniu pozycji Windows i Uwierzytelnianie w usłudze Microsoft Intune i centrum administracyjnym usługi Intune.

    Na przykład wybierz pozycję macOS. Kategoria Microsoft Edge — wszystkie zawiera listę wszystkich ustawień, które można skonfigurować, w tym wszystkie nowe ustawienia. Inne kategorie obejmują ustawienia, które są przestarzałe, lub ustawienia, które mają zastosowanie do starszych wersji:

    Zrzut ekranu przedstawiający katalog ustawień po wybraniu systemu macOS i wybraniu funkcji lub kategorii w usłudze Microsoft Intune i centrum administracyjnym usługi Intune.

    Porada

    • W systemie macOS kategorie są tymczasowo usuwane. Aby znaleźć określone ustawienie, użyj kategorii Microsoft Edge — Wszystkie lub wyszukaj nazwę ustawienia. Aby uzyskać listę nazw ustawień, przejdź do strony Microsoft Edge — zasady.

    • Użyj linku Dowiedz się więcej w etykietce narzędzia, aby sprawdzić, czy ustawienie jest przestarzałe, i wyświetlić obsługiwane wersje.

  8. Wybierz dowolne ustawienie, które chcesz skonfigurować. Możesz też wybrać pozycję Wybierz wszystkie te ustawienia:

    Zrzut ekranu przedstawiający ustawienia po wybraniu wszystkich tych ustawień w usłudze Microsoft Intune i centrum administracyjnym usługi Intune.

    Po dodaniu ustawień zamknij selektor ustawień. Wszystkie ustawienia są wyświetlane i skonfigurowane przy użyciu wartości domyślnej, takiej jak Blokuj lub Zezwalaj. Te wartości domyślne są tymi samymi wartościami domyślnymi w systemie operacyjnym. Jeśli nie chcesz konfigurować ustawienia, wybierz minus:

    Zrzut ekranu przedstawiający wykaz ustawień i że wartości domyślne w usłudze Microsoft Intune i centrum administracyjnym usługi Intune są takie same jak wartości domyślne systemu operacyjnego.

    Po wybraniu wartości minus (-):

    • Usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Minus jest taki sam jak Nie skonfigurowano. Po ustawieniu opcji Nieskonfigurowane ustawienie nie jest już zarządzane.
    • Ustawienie zostanie usunięte z zasad. Przy następnym otwarciu zasad ustawienie nie jest wyświetlane. Możesz dodać go ponownie.
    • Przy następnym zaewidencjonowaniu urządzeń ustawienie nie jest już zablokowane. Inne zasady lub użytkownik urządzenia może zmienić zasady.

    Porada

    • W etykietkach narzędzi ustawienia systemu Windows dowiedz się więcej na temat linków do dostawcy CSP.

    • Jeśli ustawienie zezwala na wiele wartości, zaleca się dodawanie każdej wartości oddzielnie.

      Na przykład można wprowadzić wiele wartości w ustawieniuLista dozwolonych usługBluetooth>. Wprowadź każdą wartość w osobnym wierszu: Zrzut ekranu przedstawiający ustawienie z wieloma wartościami w osobnym wierszu w katalogu ustawień w usłudze Microsoft Intune i centrum administracyjnym usługi Intune.

      Możesz dodać wiele wartości w jednym polu, ale może wystąpić limit znaków.

  9. Wybierz pozycję Dalej.

  10. W obszarze Tagi zakresu (opcjonalnie) przypisz tag, aby filtrować profil do określonych grup IT, takich jak US-NC IT Team lub JohnGlenn_ITDepartment. Aby uzyskać więcej informacji na temat tagów zakresu, zobacz Używanie ról RBAC i tagów zakresu dla rozproszonej infrastruktury IT.

    Wybierz pozycję Dalej.

  11. W obszarze Przypisania wybierz użytkowników lub grupy, które otrzymają Twój profil. Aby uzyskać więcej informacji na temat przypisywania profilów, zobacz temat Przypisywanie profilów użytkowników i urządzeń.

    Wybierz pozycję Dalej.

  12. W obszarze Przeglądanie + tworzenie przejrzyj ustawienia. Po wybraniu pozycji Utwórz zmiany zostaną zapisane, a profil przypisany. Zasady są również wyświetlane na liście profilów.

Przy następnym sprawdzaniu aktualizacji konfiguracji przez urządzenie zostaną zastosowane skonfigurowane ustawienia.

Znajdź ustawienia i dowiedz się więcej o każdym ustawieniu

W katalogu ustawień są dostępne tysiące ustawień. Aby ułatwić znalezienie odpowiednich ustawień, możesz użyć funkcji wyszukiwania i filtrowania w katalogu ustawień.

Jeśli używasz rozwiązania Copilot, możesz uzyskać informacje o poszczególnych ustawieniach wygenerowane przez sztuczną inteligencję.

Podczas tworzenia nowych zasad lub aktualizowania istniejących zasad dostępne są wbudowane funkcje wyszukiwania i filtrowania ułatwiające znajdowanie ustawień.

  • W zasadach, aby znaleźć określone ustawienia, możesz użyć funkcji Dodaj ustawienia>Wyszukaj. Możesz wyszukiwać według kategorii, takich jak browser, wyszukać słowo kluczowe, takie jak office lub google, i wyszukać określone ustawienia.

    Na przykład wyszukaj ciąg internet explorer. Wyświetlane są wszystkie ustawienia z elementem internet explorer . Wybierz kategorię, aby wyświetlić dostępne ustawienia:

    Zrzut ekranu przedstawiający katalog ustawień podczas wyszukiwania programu Internet Explorer, aby wyświetlić wszystkie ustawienia środowiska IE w usłudze Microsoft Intune i centrum administracyjnym usługi Intune.

  • W zasadach użyj opcji Dodaj ustawienia>Dodaj filtr. Wybierz klucz, operator i wartość.

    Podczas filtrowania w wersji systemu operacyjnego można filtrować ustawienia, które mają zastosowanie do określonych wersji systemu Windows:

    Zrzut ekranu przedstawiający katalog ustawień podczas filtrowania listy ustawień według wersji systemu Windows w usłudze Microsoft Intune i centrum administracyjnym usługi Intune.

    Uwaga

    W przypadku ustawień przeglądarki Edge, pakietu Office i usługi OneDrive wersja lub wersja systemu operacyjnego nie określa, czy ustawienia mają zastosowanie. Dlatego jeśli filtrujesz do określonej wersji, takiej jak Windows Professional, ustawienia Edge, Office i OneDrive nie są wyświetlane.

    Ustawienia można również filtrować według zakresu urządzenia lub użytkownika. Aby uzyskać więcej informacji na temat zakresu użytkownika i zakresu urządzenia, przejdź do pozycji Zakres urządzenia a ustawienia zakresu użytkownika (w tym artykule):

    Zrzut ekranu przedstawiający filtr zakresu użytkownika i urządzenia w katalogu ustawień w usłudze Microsoft Intune i centrum administracyjnym usługi Intune.

Kopiowanie profilu

Wybierz pozycję Duplikuj , aby utworzyć kopię istniejącego profilu. Duplikowanie jest przydatne, gdy potrzebujesz profilu podobnego, ale odrębnego od oryginalnego.

Kopia zawiera te same konfiguracje ustawień i tagi zakresu co oryginalny profil, ale nie ma dołączonych do niego przypisań. Po nadaniu nowemu profilowi nazwy możesz edytować profil, aby dostosować ustawienia i dodać przypisania.

  1. Przejdź do pozycji Urządzenia>Zarządzaj konfiguracją urządzeń>.
  2. Znajdź profil, który chcesz skopiować. Kliknij prawym przyciskiem myszy profil lub wybierz menu kontekstowe wielokropka ().
  3. Wybierz pozycję Duplikuj.
  4. Wprowadź nową nazwę i opis zasad.
  5. Zapisz zmiany.

Importowanie i eksportowanie profilu

Ta funkcja ma zastosowanie do:

  • Windows 10 lub nowszy

Podczas tworzenia zasad wykazu ustawień można wyeksportować zasady do .json pliku. Następnie można zaimportować ten plik, aby utworzyć nowe zasady. Ta funkcja jest przydatna, jeśli chcesz utworzyć zasady podobne do istniejących zasad. Można na przykład wyeksportować zasady, zaimportować je w celu utworzenia nowych zasad, a następnie wprowadzić zmiany w nowych zasadach.

  1. Przejdź do pozycji Urządzenia>Zarządzaj konfiguracją urządzeń>.

  2. Aby wyeksportować istniejące zasady, wybierz zasady > katalogu ustawień systemu Windows, wybierając menu kontekstowe wielokropka () >Eksportuj kod JSON:

    Zrzut ekranu przedstawiający sposób eksportowania zasad wykazu ustawień w formacie JSON w usłudze Microsoft Intune i centrum administracyjnym usługi Intune.

  3. Aby zaimportować wcześniej wyeksportowane zasady katalogu ustawień, wybierz pozycję Utwórz>zasady importu:

    Zrzut ekranu przedstawiający sposób importowania istniejących zasad wykazu ustawień w usłudze Microsoft Intune i centrum administracyjnym usługi Intune.

    Wybierz wyeksportowany plik JSON i nadaj nazwę nowym zasadom. Zapisz zmiany.

Konflikty i raportowanie

Konflikty występują, gdy to samo ustawienie jest aktualizowane do różnych wartości, w tym zasad skonfigurowanych przy użyciu wykazu ustawień. W centrum administracyjnym usługi Intune możesz sprawdzić stan istniejących zasad. Dane są odświeżane automatycznie i działają niemal w czasie rzeczywistym.

Istnieją wbudowane funkcje, które mogą pomóc w rozwiązywaniu konfliktów, w tym raportowanie stanu dla każdego ustawienia.

Jeśli używasz rozwiązania Copilot, możesz użyć wbudowanych monitów, aby uzyskać więcej informacji na temat istniejących zasad, w tym ich wpływu.

W centrum administracyjnym usługi Intune możesz użyć wbudowanych funkcji raportowania, aby ułatwić znajdowanie i rozwiązywanie konfliktów.

  1. W centrum administracyjnym usługi Intune wybierz pozycję Urządzenia>Zarządzaj konfiguracją urządzeń>. Na liście wybierz zasady utworzone przy użyciu wykazu ustawień. Kolumna Typ profilu zawiera pozycję Katalog ustawień:

    Zrzut ekranu przedstawiający sposób otwierania wykazu ustawień w usłudze Microsoft Intune i centrum administracyjnym usługi Intune.

  2. Po wybraniu zasad zostanie wyświetlony stan urządzenia. Przedstawia podsumowanie stanu zasad i właściwości zasad. Możesz również zmienić lub zaktualizować zasady w sekcji Ustawienia konfiguracji :

    Zrzut ekranu przedstawiający sposób wybierania zasad wykazu ustawień w celu wyświetlenia stanu urządzenia, stanu zasad i właściwości w usłudze Microsoft Intune i centrum administracyjnym usługi Intune.

  3. Wybierz pozycję Wyświetl raport. Raport zawiera szczegółowe informacje, w tym nazwę urządzenia, stan zasad i nie tylko. Możesz również filtrować stan wdrożenia i eksportować raport do .csv pliku:

    Zrzut ekranu przedstawiający sposób wyświetlania szczegółowych informacji o raporcie w usłudze Microsoft Intune i centrum administracyjnym usługi Intune, w tym nazwy urządzenia, stanu zasad i innych.

  4. Możesz również przyjrzeć się stanom każdego ustawienia przy użyciu stanu poszczególnych ustawień. Ten stan pokazuje całkowitą liczbę urządzeń, których dotyczy każde ustawienie w zasadach.

    Możesz:

    • Zobacz liczbę urządzeń z pomyślnie zastosowanym ustawieniem, w konflikcie lub w błędzie.
    • Wybierz liczbę urządzeń ze zgodnością, konfliktem lub błędem. Zobacz też listę użytkowników lub urządzeń w tym stanie.
    • Wyszukaj, sortuj, filtruj, eksportuj i przejdź do następnych i poprzednich stron.
  5. W centrum administracyjnym wybierz pozycję Urządzenia>Monitoruj>błędy przypisania. Jeśli nie można wdrożyć zasad wykazu ustawień z powodu błędu lub konfliktu, zostanie on wyświetlony na tej liście. Możesz również wyeksportować do .csv pliku.

  6. Wybierz zasady, aby wyświetlić urządzenia. Następnie wybierz określone urządzenie, aby wyświetlić ustawienie, które nie powiodło się, i możliwy kod błędu.

Porada

Raporty usługi Intune są doskonałym zasobem i opisują wszystkie funkcje raportowania, których można użyć. Aby uzyskać informacje na temat wszystkich danych raportowania, które można wyświetlić, przejdź do raportów usługi Intune.

Aby uzyskać więcej informacji na temat rozwiązywania konfliktów, przejdź do:

Katalog ustawień a szablony

Podczas tworzenia zasad istnieją dwa typy zasad: Katalog ustawień i Szablony:

Zrzut ekranu przedstawiający tworzenie zasad systemu Windows lub macOS, wybieranie katalogu ustawień lub szablonów w usłudze Microsoft Intune i centrum administracyjnym usługi Intune.

Szablony obejmują logiczną grupę ustawień, takich jak kiosk, sieć VPN, sieć Wi-Fi i inne. Użyj tej opcji, jeśli chcesz użyć tych grup do skonfigurowania ustawień.

Wykaz ustawień zawiera listę wszystkich dostępnych ustawień. Jeśli chcesz wyświetlić wszystkie dostępne ustawienia zapory lub wszystkie dostępne ustawienia funkcji BitLocker, użyj tej opcji. Ponadto użyj tej opcji, jeśli szukasz określonych ustawień.

Zakres urządzenia a ustawienia zakresu użytkownika

Po wybraniu ustawienia niektóre ustawienia mają (User) tag lub (Device) tag w nazwie ustawienia, na przykład Allow EAP Cert SSO (User) lub Grouping (Device). Po wyświetleniu tych tagów zasady mają wpływ tylko na zakres użytkownika lub zakres urządzenia.

Aby uzyskać więcej informacji na temat zakresu użytkownika i zakresu urządzenia, zobacz Dostawca CSP zasad.

Grupy urządzeń i użytkowników są używane podczas przypisywania zasad. Zakresy urządzeń i użytkowników opisują sposób wymuszania zasad.

Zachowanie przypisywania zakresu

Podczas wdrażania zasad z usługi Intune można przypisać zakres użytkownika lub zakres urządzenia do dowolnego typu grupy docelowej. Zachowanie zasad na użytkownika zależy od zakresu ustawienia:

  • Zasady o zakresie użytkownika są zapisywane w pliku HKEY_CURRENT_USER (HKCU).
  • Zasady o zakresie urządzenia są zapisywane w pliku HKEY_LOCAL_MACHINE (HKLM).

Gdy urządzenie zaewidencjonuje w usłudze Intune, urządzenie zawsze wyświetla deviceIDwartość . Urządzenie może lub nie może przedstawić userIDelementu , w zależności od czasu zaewidencjonowania i tego, czy użytkownik jest zalogowany.

Poniższa lista zawiera kilka możliwych kombinacji zakresu, przypisania i oczekiwanego zachowania:

  • Jeśli zasady zakresu urządzenia są przypisane do urządzenia, wszyscy użytkownicy na tym urządzeniu mają zastosowane to ustawienie.
  • Jeśli zasady o zakresie urządzenia są przypisane do użytkownika, po zalogowaniu się tego użytkownika i zakończeniu synchronizacji usługi Intune ustawienia zakresu urządzenia mają zastosowanie do wszystkich użytkowników na urządzeniu.
  • Jeśli zasady zakresu użytkownika są przypisane do urządzenia, wszyscy użytkownicy na tym urządzeniu mają zastosowane to ustawienie. To zachowanie jest jak zestaw sprzężenia zwrotnego do scalenia.
  • Jeśli zasady o zakresie użytkownika są przypisane do użytkownika, tylko ten użytkownik ma zastosowane to ustawienie.
  • Istnieją pewne ustawienia, które są dostępne w zakresie użytkownika i w zakresie urządzenia. Jeśli jedno z tych ustawień jest przypisane zarówno do zakresu użytkownika, jak i urządzenia, zakres użytkownika ma pierwszeństwo przed zakresem urządzenia.

Jeśli podczas początkowych ewidencjonowania nie istnieje gałąź użytkownika , niektóre ustawienia zakresu użytkownika są oznaczone jako nie dotyczy. To zachowanie ma miejsce we wczesnych momentach urządzenia, zanim użytkownik będzie obecny.

Następne kroki