Konfigurowanie ustawień na urządzeniach z systemem Windows, iOS/iPadOS i macOS przy użyciu wykazu ustawień

Wykaz ustawień zawiera listę wszystkich ustawień, które można skonfigurować w jednym miejscu. Ta funkcja upraszcza sposób tworzenia zasad i wyświetlanie wszystkich dostępnych ustawień. Na przykład można użyć katalogu ustawień, aby utworzyć zasady funkcji BitLocker ze wszystkimi ustawieniami funkcji BitLocker.

Możesz również użyć rozwiązania Microsoft Copilot w usłudze Intune. W przypadku korzystania z funkcji rozwiązania Copilot z wykazem ustawień możesz użyć rozwiązania Copilot, aby:

• Dowiedz się więcej o każdym ustawieniu, uzyskaj wpływ analizy warunków i znajdź potencjalne konflikty.
• Podsumuj istniejące zasady i uzyskaj analizę wpływu na użytkowników i zabezpieczenia.

Jeśli wolisz skonfigurować ustawienia na poziomie szczegółowym, podobnie jak w przypadku korzystania z lokalnych obiektów zasad grupy (GPO), katalog ustawień jest naturalnym przejściem do zasad opartych na chmurze.

Podczas tworzenia zasad zaczynasz od podstaw. Dodajesz tylko ustawienia, które chcesz kontrolować i zarządzać nimi.

Aby zarządzać urządzeniami w organizacji i zabezpieczać je, użyj katalogu ustawień w ramach rozwiązania do zarządzania urządzeniami przenośnymi (MDM). Coraz więcej ustawień jest stale dodawanych do katalogu ustawień. Aby uzyskać bieżącą listę ustawień, zobacz repozytorium GitHub IntunePMFiles/DeviceConfig.

Ta funkcja ma zastosowanie do:

• iOS/iPadOS

  Zawiera ustawienia urządzenia, które są generowane bezpośrednio z kluczy ładunku firmy Apple Profile-Specific. Coraz więcej ustawień i kluczy jest stale dodawanych. Aby dowiedzieć się więcej, zobacz Klucze ładunku specyficzne dla profilu w witrynie internetowej firmy Apple.

  DDM (DDM) firmy Apple jest wbudowane w katalog ustawień. Podczas konfigurowania ustawień z katalogu ustawień na urządzeniach z systemem iOS/iPadOS 15 lub nowszym zarejestrowanych przy użyciu rejestracji użytkowników automatycznie używasz usługi DDM. Jeśli DDM nie działa, te urządzenia będą używać standardowego protokołu MDM firmy Apple. Wszystkie inne urządzenia z systemem iOS/iPadOS nadal korzystają ze standardowego protokołu MDM firmy Apple.

• macOS

  Zawiera ustawienia urządzenia, które są generowane bezpośrednio z kluczy ładunku firmy Apple Profile-Specific. Coraz więcej ustawień i kluczy jest stale dodawanych. Aby dowiedzieć się więcej na temat kluczy ładunku specyficznych dla profilu, zobacz Klucze ładunku specyficzne dla profilu w witrynie internetowej firmy Apple.

  DDM (DDM) firmy Apple jest dostępne w katalogu ustawień. Za pomocą usługi DDM można zarządzać aktualizacjami oprogramowania, ograniczeniami kodu dostępu i nie tylko.

  Wykaz ustawień umożliwia również konfigurowanie nowszych wersji przeglądarki Microsoft Edge i innych funkcji zamiast plików listy właściwości (plist). Więcej informacji można znaleźć w następujących artykułach:

  • Wbudowane funkcje systemu macOS zastępujące pliki plist
  • Dodaj plik listy właściwości do urządzeń z systemem macOS przy użyciu usługi Microsoft Intune.

  Możesz nadal używać pliku preferencji , aby:

  • Skonfiguruj wcześniejsze wersje przeglądarki Microsoft Edge.
  • Skonfiguruj ustawienia przeglądarki Microsoft Edge, które nie znajdują się w katalogu ustawień.

• Windows 10/11

  Istnieją tysiące ustawień, w tym ustawienia, które nie były wcześniej dostępne. Te ustawienia są generowane bezpośrednio przez dostawców usług konfiguracji systemu Windows. Możesz również skonfigurować szablony administracyjne i mieć więcej dostępnych ustawień szablonu administracyjnego. Gdy system Windows dodaje lub uwidacznia więcej ustawień dla dostawców oprogramowania MDM, te ustawienia są dodawane do usługi Microsoft Intune, aby można było je skonfigurować.

Porada

• Aby uzyskać listę ustawień w katalogu ustawień, zobacz repozytorium GitHub IntunePMFiles/DeviceConfig.
• Aby wyświetlić skonfigurowane zasady przeglądarki Microsoft Edge, otwórz przeglądarkę Microsoft Edge i przejdź do pozycji edge://policy.

W tym artykule opisano kroki tworzenia zasad, pokazano, jak wyszukiwać i filtrować ustawienia w usłudze Intune oraz jak używać rozwiązania Copilot.

Podczas tworzenia zasad tworzy on profil konfiguracji urządzenia. Następnie można przypisać lub wdrożyć ten profil na urządzeniach w organizacji.

Aby uzyskać informacje o funkcjach, które można skonfigurować przy użyciu katalogu ustawień, zobacz Zadania, które można wykonać przy użyciu katalogu ustawień w usłudze Intune.

Tworzenie zasad

Zasady można utworzyć przy użyciu typu profilu wykazu ustawień.

1. Zaloguj się do centrum administracyjnego usługi Microsoft Intune.

2. Wybierz kolejno pozycje Urządzenia>Zarządzanie urządzeniami>Konfiguracja>Utwórz>Nowe zasady.

3. Wprowadź następujące właściwości:

   • Platforma: wybierz pozycję iOS/iPadOS, macOS lub Windows 10 lub nowsze.
   • Typ profilu: wybierz pozycję Katalog ustawień.

4. Wybierz pozycję Utwórz.

5. W obszarze Podstawy wprowadź następujące właściwości:

   • Nazwa: nazwij profile, aby można było je później łatwo zidentyfikować. Na przykład dobra nazwa profilu to macOS: Ustawienia przeglądarki Microsoft Edge lub Win10: Ustawienia funkcji BitLocker dla wszystkich urządzeń Win10.
   • Opis: wprowadź opis profilu. To ustawienie jest opcjonalne, ale zalecane.

6. Wybierz pozycję Dalej.

7. W obszarze Ustawienia konfiguracji wybierz pozycję Dodaj ustawienia. W selektorze ustawień wybierz kategorię, aby wyświetlić wszystkie dostępne ustawienia.

   Na przykład wybierz pozycję Windows 10 i nowsze, a następnie wybierz pozycję Uwierzytelnianie , aby wyświetlić wszystkie ustawienia w tej kategorii:

   

   Na przykład wybierz pozycję macOS. Kategoria Microsoft Edge — wszystkie zawiera listę wszystkich ustawień, które można skonfigurować. Inne kategorie obejmują ustawienia, które są przestarzałe lub mają zastosowanie do starszych wersji:

   

   Porada

   • W systemie macOS kategorie są tymczasowo usuwane. Aby znaleźć określone ustawienie, użyj kategorii Microsoft Edge — Wszystkie lub wyszukaj nazwę ustawienia. Aby uzyskać listę nazw ustawień, zobacz Microsoft Edge — Zasady.

   • Użyj linku Dowiedz się więcej w etykietce narzędzia, aby sprawdzić, czy ustawienie jest przestarzałe, i wyświetlić obsługiwane wersje.

8. Wybierz dowolne ustawienie, które chcesz skonfigurować. Możesz też wybrać pozycję Wybierz wszystkie te ustawienia:

   

   Po dodaniu ustawień zamknij selektor ustawień. Wszystkie ustawienia są wyświetlane i konfigurowane z wartością domyślną, taką jak Blokuj lub Zezwalaj. Te wartości domyślne są tymi samymi wartościami domyślnymi w systemie operacyjnym. Jeśli nie chcesz konfigurować ustawienia, wybierz znak minus (-):

   

   Po wybraniu minusu:

   • Usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Minus jest taki sam jak Nie skonfigurowano. Po ustawieniu opcji Nieskonfigurowane ustawienie nie jest już zarządzane.
   • Ustawienie zostanie usunięte z zasad. Przy następnym otwarciu zasad ustawienie nie jest wyświetlane. Ale możesz go ponownie dodać.
   • Przy następnym zaewidencjonowaniu urządzeń ustawienie nie jest już zablokowane. Inne zasady lub użytkownik urządzenia może zmienić zasady.

   Porada

   • W etykietkach narzędzi ustawienia systemu Windows dowiedz się więcej na temat linków do dostawcy CSP.

   • Jeśli ustawienie zezwala na wiele wartości, zalecamy dodanie każdej wartości oddzielnie. Na przykład można wprowadzić wiele wartości w ustawieniuLista dozwolonych usługBluetooth>. Wprowadź każdą wartość w osobnym wierszu:

     Możesz dodać wiele wartości w jednym polu, ale może wystąpić limit znaków.

9. Wybierz pozycję Dalej.

10. W obszarze Tagi zakresu (opcjonalnie) przypisz tag, aby filtrować profil do określonych grup IT, takich jak US-NC IT Team lub JohnGlenn_ITDepartment. Aby uzyskać więcej informacji na temat tagów zakresu, zobacz Używanie ról RBAC i tagów zakresu dla rozproszonej infrastruktury IT.

    Wybierz pozycję Dalej.

11. W obszarze Przypisania wybierz użytkowników lub grupy, które otrzymają Twój profil. Aby uzyskać więcej informacji, zobacz Przypisywanie profilów użytkowników i urządzeń.

    Wybierz pozycję Dalej.

12. W obszarze Przeglądanie + tworzenie przejrzyj ustawienia. Po wybraniu pozycji Utwórz zmiany zostaną zapisane, a profil przypisany. Zasady są również wyświetlane na liście profilów.

Następnym razem, gdy urządzenie sprawdzi dostępność aktualizacji konfiguracji, skonfigurowane ustawienia zostaną zastosowane.

Znajdź ustawienia i dowiedz się więcej o każdym ustawieniu

W katalogu ustawień są dostępne tysiące ustawień. Aby znaleźć żądane ustawienia, użyj funkcji wyszukiwania i filtrowania.

Jeśli używasz rozwiązania Copilot, możesz uzyskać informacje generowane przez sztuczną inteligencję dotyczące każdego ustawienia.

Wyszukiwanie i filtrowanie

Podczas tworzenia nowych zasad lub aktualizowania istniejących zasad dostępne są wbudowane funkcje wyszukiwania i filtrowania ułatwiające znajdowanie ustawień.

• Aby znaleźć określone ustawienia w zasadach, możesz użyć opcji Dodaj ustawienia>Wyszukaj. Możesz wyszukiwać według kategorii, takich jak browser; wyszukać słowo kluczowe, takie jak office lub google; i wyszukać określone ustawienia.

  Na przykład wyszukaj ciąg internet explorer. Wyświetlane są wszystkie ustawienia z elementem internet explorer . Wybierz kategorię, aby wyświetlić dostępne ustawienia:

  

• W zasadach użyj opcji Dodaj ustawienia>Dodaj filtr. Wybierz klucz, operator i wartość.

  Podczas filtrowania w wersji systemu operacyjnego można filtrować ustawienia, które mają zastosowanie do określonych wersji systemu Windows:

  

  Uwaga

  W przypadku ustawień przeglądarki Edge, pakietu Office i usługi OneDrive wersja lub wersja systemu operacyjnego nie określa, czy ustawienia mają zastosowanie. Dlatego jeśli filtrujesz do określonej wersji, takiej jak Windows Professional, ustawienia Edge, Office i OneDrive nie są wyświetlane.

  Ustawienia można również filtrować według zakresu urządzenia lub użytkownika. Aby uzyskać więcej informacji, zobacz Zakres urządzenia a ustawienia zakresu użytkownika (w tym artykule):

  

Copilot

Jeśli używasz zasad wykazu ustawień, możesz użyć rozwiązania Copilot, aby uzyskać więcej informacji na temat określonego ustawienia.

1. W zasadach wybierz pozycję Dodaj ustawienia. W ustawieniach Ppicker wybierz niektóre ustawienia. Na przykład w zasadach systemu macOS rozwiń węzeł Deklaratywnaaktualizacja> oprogramowania zarządzania urządzeniami >Wybierz wszystkie te ustawienia. Zamknij selektor ustawień.

2. W przypadku ustawień zwróć uwagę na etykietkę narzędzia Copilot:

   

3. Po wybraniu etykietki narzędzia Copilot zostanie automatycznie wyświetlonych więcej informacji o ustawieniu:

   

4. Możesz również wybrać przewodnik wiersza polecenia i wybrać z istniejącej listy opcji:

   

Kopiowanie profilu

Wybierz pozycję Duplikuj , aby utworzyć kopię istniejącego profilu. Duplikowanie jest przydatne, gdy potrzebujesz profilu podobnego do oryginalnego. Kopia zawiera te same konfiguracje ustawień i tagi zakresu co oryginalny profil, ale nie ma dołączonych do niego przypisań.

Po nadaniu nowemu profilowi nazwy możesz edytować profil, aby dostosować ustawienia i dodać przypisania.

1. Wybierz kolejno pozycje Urządzenia>Zarządzanie urządzeniami>Konfiguracja.
2. Znajdź profil, który chcesz skopiować. Kliknij prawym przyciskiem myszy profil lub wybierz menu kontekstowe wielokropka (…).
3. Wybierz pozycję Duplikuj.
4. Wprowadź nową nazwę i opis zasad.
5. Zapisz zmiany.

Importowanie i eksportowanie profilu

Ta funkcja ma zastosowanie do:

• Windows 10 lub nowszy

Podczas tworzenia zasad wykazu ustawień można wyeksportować zasady do .json pliku. Następnie można zaimportować ten plik, aby utworzyć nowe zasady. Ta funkcja jest przydatna, jeśli chcesz utworzyć zasady podobne do istniejących zasad. Można na przykład wyeksportować zasady, zaimportować je w celu utworzenia nowych zasad, a następnie wprowadzić zmiany w nowych zasadach.

1. Wybierz kolejno pozycje Urządzenia>Zarządzanie urządzeniami>Konfiguracja.

2. Aby wyeksportować istniejące zasady, wybierz zasady katalogu ustawień systemu Windows, a następnie wybierz wielokropek/menu kontekstowe (…) >Eksportuj plik JSON:

   

3. Aby zaimportować wcześniej wyeksportowane zasady katalogu ustawień, wybierz pozycję Utwórz>zasady importu:

   

   Wybierz wyeksportowany plik JSON i nadaj nazwę nowym zasadom. Zapisz zmiany.

Konflikty i raportowanie

Konflikty występują, gdy to samo ustawienie jest aktualizowane do różnych wartości, w tym zasad skonfigurowanych przy użyciu wykazu ustawień. W centrum administracyjnym usługi Intune możesz sprawdzić stan istniejących zasad. Dane są odświeżane automatycznie niemal w czasie rzeczywistym.

Istnieją wbudowane funkcje, które mogą pomóc w rozwiązywaniu konfliktów, w tym raportowanie stanu dla każdego ustawienia.

Jeśli używasz rozwiązania Copilot, możesz użyć wbudowanych monitów, aby uzyskać więcej informacji na temat istniejących zasad, w tym ich wpływu.

Raportowanie i rozwiązywanie problemów

W centrum administracyjnym usługi Intune możesz użyć wbudowanych funkcji raportowania, aby ułatwić znajdowanie i rozwiązywanie konfliktów.

1. W centrum administracyjnym usługi Intune wybierz pozycję Urządzenia>Zarządzaj konfiguracją urządzeń>. Na liście wybierz zasady utworzone przy użyciu wykazu ustawień. Kolumna Typ profilu zawiera pozycję Katalog ustawień:

   

2. Po wybraniu zasad zostanie wyświetlony stan urządzenia. Przedstawia podsumowanie stanu zasad i właściwości zasad. Możesz również zmienić lub zaktualizować zasady w sekcji Ustawienia konfiguracji :

   

3. Wybierz pozycję Wyświetl raport. Raport zawiera szczegółowe informacje, w tym nazwę urządzenia, stan zasad i nie tylko. Możesz również filtrować stan wdrożenia i eksportować raport do .csv pliku:

   

4. Możesz również przyjrzeć się stanowi każdego ustawienia przy użyciu stanu poszczególnych ustawień, czyli liczby urządzeń, których dotyczy każde ustawienie w zasadach.

   Możesz:

   • Zobacz liczbę urządzeń z pomyślnie zastosowanym ustawieniem, w konflikcie lub w błędzie.
   • Wybierz liczbę urządzeń ze zgodnością, konfliktem lub błędem. Zobacz listę użytkowników lub urządzeń w tym stanie.
   • Wyszukaj, sortuj, filtruj, eksportuj i przejdź do następnych i poprzednich stron.

5. W centrum administracyjnym wybierz pozycję Urządzenia>Monitoruj>błędy przypisania. Jeśli nie można wdrożyć zasad wykazu ustawień z powodu błędu lub konfliktu, zostanie on wyświetlony na tej liście. Możesz również wyeksportować do .csv pliku.

6. Wybierz zasady, aby wyświetlić urządzenia. Następnie wybierz określone urządzenie, aby wyświetlić ustawienie, które nie powiodło się i prawdopodobnie kod błędu.

Porada

Raporty usługi Intune to doskonały zasób. Aby uzyskać informacje o wszystkich danych raportowania, które można wyświetlić, przejdź do raportów usługi Intune.

Aby uzyskać więcej informacji na temat rozwiązywania konfliktów, zobacz:

• Monitorowanie profilów urządzeń
• Typowe pytania i odpowiedzi dotyczące zasad urządzeń

Copilot

Usługa Copilot może pomóc w znalezieniu stanu istniejących zasad, znalezieniu stanu określonego ustawienia w zasadach i wyświetleniu potencjalnych konfliktów.

1. W centrum administracyjnym usługi Intune wybierz pozycję Urządzenia>Zarządzaj konfiguracją urządzeń>. Na liście zasad wybierz zasady, które chcesz ocenić przy użyciu rozwiązania Copilot.

2. Po wybraniu zasad zostanie wyświetlony stan urządzenia. Wybierz pozycję Podsumuj za pomocą funkcji Copilot:

   

   Zostanie automatycznie wyświetlone podsumowanie zawierające ustawienia w zasadach & ich wartości.

3. Możesz również wybrać przewodnik wiersza polecenia i wybrać z istniejącej listy opcji:

   

Katalog ustawień a szablony

Podczas tworzenia zasad masz do wyboru dwa typy zasad: Katalog ustawień i Szablony:

Szablony obejmują logiczną grupę ustawień, takich jak kiosk, sieć VPN, sieć Wi-Fi i inne. Użyj tej opcji, jeśli chcesz użyć tych grup do skonfigurowania ustawień.

Wykaz ustawień zawiera listę wszystkich dostępnych ustawień. Jeśli chcesz wyświetlić wszystkie dostępne ustawienia zapory lub wszystkie dostępne ustawienia funkcji BitLocker, użyj tej opcji. Ponadto użyj tej opcji, jeśli szukasz określonych ustawień.

Zakres urządzenia a ustawienia zakresu użytkownika

Po wybraniu ustawienia niektóre ustawienia mają (User) nazwę ustawienia lub (Device) tag, na przykład Allow EAP Cert SSO (User) lub Grouping (Device). Po wyświetleniu tych tagów zasady mają wpływ tylko na zakres użytkownika lub zakres urządzenia.

Aby uzyskać więcej informacji na temat zakresu użytkownika i zakresu urządzenia, zobacz Dostawca CSP zasad.

Grupy urządzeń i użytkowników są używane podczas przypisywania zasad. Zakresy urządzeń i użytkowników opisują sposób wymuszania zasad.

Zachowanie przypisywania zakresu

Podczas wdrażania zasad z usługi Intune można przypisać zakres użytkownika lub zakres urządzenia do dowolnego typu grupy docelowej. Zachowanie zasad na użytkownika zależy od zakresu ustawienia:

• Zasady o zakresie użytkownika są zapisywane w pliku HKEY_CURRENT_USER (HKCU).
• Zasady o zakresie urządzenia są zapisywane w pliku HKEY_LOCAL_MACHINE (HKLM).

Gdy urządzenie zaewidencjonuje w usłudze Intune, urządzenie zawsze wyświetla deviceIDwartość . Urządzenie może lub nie może przedstawić userIDelementu , w zależności od czasu zaewidencjonowania i tego, czy użytkownik jest zalogowany.

Poniższa lista zawiera kilka możliwych kombinacji zakresu, przypisania i oczekiwanego zachowania:

• Jeśli zasady zakresu urządzenia są przypisane do urządzenia, wszyscy użytkownicy na tym urządzeniu mają zastosowane to ustawienie.
• Jeśli zasady o zakresie urządzenia są przypisane do użytkownika, po zalogowaniu się i synchronizacji z usługą Intune ustawienia zakresu urządzenia mają zastosowanie do wszystkich użytkowników na urządzeniu.
• Jeśli zasady zakresu użytkownika są przypisane do urządzenia, wszyscy użytkownicy na tym urządzeniu mają zastosowane to ustawienie. To zachowanie jest jak zestaw sprzężenia zwrotnego do scalenia.
• Jeśli zasady o zakresie użytkownika są przypisane do użytkownika, tylko ten użytkownik ma zastosowane to ustawienie.
• Istnieją pewne ustawienia, które są dostępne w zakresie użytkownika i w zakresie urządzenia. Jeśli jedno z tych ustawień jest przypisane zarówno do zakresu użytkownika, jak i urządzenia, zakres użytkownika ma pierwszeństwo przed zakresem urządzenia.

Jeśli podczas początkowych ewidencjonowania nie istnieje gałąź użytkownika , niektóre ustawienia zakresu użytkownika są oznaczone jako nie dotyczy. To zachowanie ma miejsce we wczesnych momentach działania urządzenia przed obecnością użytkownika.

Następne kroki

• Zadania, które można wykonać przy użyciu wykazu ustawień w usłudze Intune
• Tworzenie zasad drukowania uniwersalnego w usłudze Microsoft Intune
• Przypisz profil i monitoruj jego stan.
• Omówienie rozwiązania Microsoft Copilot dla usługi Intune