Przewodnik: konfigurowanie zasad grupy na urządzeniach z systemem Windows 10/11 przy użyciu szablonów ADMX i usługi Microsoft Intune przy użyciu chmury
Uwaga
Ten przewodnik został utworzony jako warsztat techniczny dla konferencji Microsoft Ignite. Ma więcej wymagań wstępnych niż typowe przewodniki, ponieważ porównuje użycie i skonfigurowanie zasad ADMX w usłudze Intune i lokalnie.
Szablony administracyjne zasad grupy, znane również jako szablony ADMX, obejmują ustawienia, które można skonfigurować na urządzeniach klienckich z systemem Windows, w tym na komputerach. Ustawienia szablonu ADMX są dostępne dla różnych usług. Te ustawienia są używane przez dostawców zarządzania urządzeniami przenośnymi (MDM), w tym usługę Microsoft Intune. Możesz na przykład włączyć opcję Pomysły dotyczące projektowania w programie PowerPoint, ustawić stronę główną w przeglądarce Microsoft Edge i nie tylko.
Porada
Aby zapoznać się z omówieniem szablonów ADMX w usłudze Intune, w tym szablonów ADMX wbudowanych w usługę Intune, przejdź do tematu Korzystanie z szablonów ADMX systemu Windows 10/11 w usłudze Microsoft Intune.
Aby uzyskać więcej informacji na temat zasad ADMX, przejdź do tematu Understanding ADMX-backed policies (Omówienie zasad wspieranych przez usługę ADMX).
Te szablony są wbudowane w usługę Microsoft Intune i są dostępne jako profile szablonów administracyjnych . W tym profilu skonfigurujesz ustawienia, które chcesz uwzględnić, a następnie "przypisz" ten profil do urządzeń.
W tym przewodniku wykonasz następujące czynności:
- Wprowadzenie do centrum administracyjnego usługi Microsoft Intune.
- Tworzenie grup użytkowników i tworzenie grup urządzeń.
- Porównaj ustawienia w usłudze Intune z lokalnymi ustawieniami ADMX.
- Utwórz różne szablony administracyjne i skonfiguruj ustawienia przeznaczone dla różnych grup.
Po zakończeniu tego laboratorium możesz zarządzać użytkownikami za pomocą usługi Intune i platformy Microsoft 365 oraz wdrażać szablony administracyjne.
Ta funkcja ma zastosowanie do:
- Windows 11
- Windows 10 w wersji 1709 i nowszej
Porada
Istnieją dwa sposoby tworzenia szablonu administracyjnego: użycie szablonu lub użycie katalogu ustawień. W tym artykule skupiono się na użyciu szablonu szablonów administracyjnych . Katalog ustawień ma więcej dostępnych ustawień szablonu administracyjnego. Aby uzyskać szczegółowe instrukcje dotyczące korzystania z wykazu ustawień, przejdź do tematu Konfigurowanie ustawień za pomocą wykazu ustawień.
Wymagania wstępne
Subskrypcja platformy Microsoft 365 E3 lub E5 obejmująca usługi Intune i Microsoft Entra ID P1 lub P2. Jeśli nie masz subskrypcji E3 lub E5, wypróbuj ją bezpłatnie.
Aby uzyskać więcej informacji na temat różnych licencji platformy Microsoft 365, przejdź do tematu Transform your Enterprise with Microsoft 365 (Przekształcanie przedsiębiorstwa przy użyciu platformy Microsoft 365).
Usługa Microsoft Intune jest skonfigurowana jako urząd mdm usługi Intune. Aby uzyskać więcej informacji, przejdź do tematu Ustawianie urzędu zarządzania urządzeniami przenośnymi.
Na lokalnym kontrolerze domeny usługi Active Directory (DC):
Skopiuj następujące szablony pakietu Office i przeglądarki Microsoft Edge do sklepu Centralnego (folder sysvol):
Utwórz zasady grupy, aby wypchnąć te szablony do komputera administratora systemu Windows 10/11 Enterprise w tej samej domenie co kontroler domeny. W tym przewodniku:
- Zasady grupy utworzone przy użyciu tych szablonów mają nazwę OfficeandEdge. Ta nazwa zostanie wyświetlona na obrazach.
- Używany przez nas komputer administratora systemu Windows 10/11 Enterprise jest nazywany komputerem administracyjnym.
W niektórych organizacjach administrator domeny ma dwa konta:
- Typowe konto służbowe domeny
- Inne konto administratora domeny używane tylko do zadań administratora domeny, takich jak zasady grupy
Na tym komputerze administracyjnym administratorzy mogą logować się przy użyciu konta administratora domeny i uzyskiwać dostęp do narzędzi przeznaczonych do zarządzania zasadami grupy.
Na tym komputerze administracyjnym:
Zaloguj się przy użyciu konta administratora domeny.
Dodaj narzędzia RSAT: Group Policy Management Tools:
Otwórz aplikację >UstawieniaSystem>Opcjonalne funkcje>Dodaj funkcję.
Jeśli używasz wersji starszej niż Windows 10 22H2, przejdź do pozycji Ustawienia>Aplikacje aplikacje>& funkcje>Opcjonalne funkcje>Dodaj funkcję.
Wybierz pozycję RSAT: Dodaj narzędzia> do zarządzania zasadami grupy.
Poczekaj, aż system Windows doda tę funkcję. Po zakończeniu zostanie on ostatecznie wyświetlony w aplikacji Narzędzia administracyjne systemu Windows .
Upewnij się, że masz dostęp do Internetu i uprawnienia administratora do subskrypcji platformy Microsoft 365, która obejmuje centrum administracyjne usługi Intune.
Otwieranie centrum administracyjnego usługi Intune
Otwórz przeglądarkę internetową chromium, taką jak Microsoft Edge w wersji 77 lub nowszej.
Przejdź do centrum administracyjnego usługi Microsoft Intune. Zaloguj się przy użyciu następującego konta:
Użytkownik: wprowadź konto administratora subskrypcji dzierżawy platformy Microsoft 365.
Hasło: wprowadź jego hasło.
To centrum administracyjne koncentruje się na zarządzaniu urządzeniami i obejmuje usługi platformy Azure, takie jak Microsoft Entra ID i Intune. Być może nie widzisz identyfikatora Entra firmy Microsoft i znakowania usługi Intune , ale używasz ich.
Centrum administracyjne usługi Intune można również otworzyć z poziomu centrum administracyjnego platformy Microsoft 365:
Przejdź do https://admin.microsoft.com.
Zaloguj się przy użyciu konta administratora subskrypcji dzierżawy platformy Microsoft 365.
Wybierz pozycję Pokaż wszystkie>centra> administracyjneZarządzanie punktami końcowymi. Zostanie otwarte centrum administracyjne usługi Intune.
Tworzenie grup i dodawanie użytkowników
Zasady lokalne są stosowane w kolejności LSDOU — lokalnej, lokacji, domeny i jednostki organizacyjnej (OU). W tej hierarchii zasady jednostki organizacyjnej zastępuj zasady lokalne, zasady domeny zastępuj zasady lokacji itd.
W usłudze Intune zasady są stosowane do utworzonych użytkowników i grup. Nie ma hierarchii. Przykład:
- Jeśli dwie zasady zaktualizuje to samo ustawienie, to ustawienie jest wyświetlane jako konflikt.
- Jeśli dwie zasady zgodności są w konflikcie, stosowane są najbardziej restrykcyjne zasady.
- Jeśli dwa profile konfiguracji są w konflikcie, to ustawienie nie jest stosowane.
Aby uzyskać więcej informacji, przejdź do sekcji Typowe pytania, problemy i rozwiązania dotyczące zasad i profilów urządzeń.
W następnych krokach utworzysz grupy zabezpieczeń i dodasz użytkowników do tych grup. Możesz dodać użytkownika do wielu grup. Na przykład normalne jest, że użytkownik ma wiele urządzeń, takich jak Surface Pro do pracy, i urządzenie przenośne z systemem Android do użytku osobistego. I jest to normalne, że osoba uzyskuje dostęp do zasobów organizacyjnych z tych wielu urządzeń.
W centrum administracyjnym usługi Intune wybierz pozycję Grupy>Nowa grupa.
Wprowadź następujące ustawienia:
- Typ grupy: wybierz pozycję Zabezpieczenia.
- Nazwa grupy: wprowadź wszystkie urządzenia uczniów z systemem Windows 10.
- Typ członkostwa: wybierz pozycję Przypisano.
Wybierz pozycję Członkowie i dodaj niektóre urządzenia.
Dodawanie urządzeń jest opcjonalne. Celem jest przećwiczenie tworzenia grup i poznanie sposobu dodawania urządzeń. Jeśli używasz tego przewodnika w środowisku produkcyjnym, pamiętaj o tym, co robisz.
Wybrać>Utwórz, aby zapisać zmiany.
Nie widzisz swojej grupy? Wybierz pozycję Odśwież.
Wybierz pozycję Nowa grupa i wprowadź następujące ustawienia:
Typ grupy: wybierz pozycję Zabezpieczenia.
Nazwa grupy: wprowadź wszystkie urządzenia z systemem Windows.
Typ członkostwa: wybierz pozycję Urządzenie dynamiczne.
Dynamiczne elementy członkowskie urządzenia: wybierz pozycję Dodaj zapytanie dynamiczne i skonfiguruj zapytanie:
- Właściwość: wybierz pozycję deviceOSType.
- Operator: wybierz pozycję Równa się.
- Wartość: wprowadź windows.
Wybierz pozycję Dodaj wyrażenie. Wyrażenie jest wyświetlane w składni Reguła:
Gdy użytkownicy lub urządzenia spełniają wprowadzone kryteria, są one automatycznie dodawane do grup dynamicznych. W tym przykładzie urządzenia są automatycznie dodawane do tej grupy, gdy system operacyjny to Windows. Jeśli używasz tego przewodnika w środowisku produkcyjnym, zachowaj ostrożność. Celem jest praktyka tworzenia grup dynamicznych.
Zapisać>Utwórz, aby zapisać zmiany.
Utwórz grupę Wszyscy nauczyciele z następującymi ustawieniami:
Typ grupy: wybierz pozycję Zabezpieczenia.
Nazwa grupy: wprowadź wszystkich nauczycieli.
Typ członkostwa: wybierz pozycję Użytkownik dynamiczny.
Dynamiczni członkowie użytkownika: wybierz pozycję Dodaj zapytanie dynamiczne i skonfiguruj zapytanie:
Właściwość: wybierz dział.
Operator: wybierz pozycję Równa się.
Wartość: wprowadź nauczycieli.
Wybierz pozycję Dodaj wyrażenie. Wyrażenie jest wyświetlane w składni Reguła.
Gdy użytkownicy lub urządzenia spełniają wprowadzone kryteria, są one automatycznie dodawane do grup dynamicznych. W tym przykładzie użytkownicy są automatycznie dodawani do tej grupy, gdy ich dział to Nauczyciele. Po dodaniu użytkowników do organizacji można wprowadzić dział i inne właściwości. Jeśli używasz tego przewodnika w środowisku produkcyjnym, zachowaj ostrożność. Celem jest praktyka tworzenia grup dynamicznych.
Zapisać>Utwórz, aby zapisać zmiany.
Punkty rozmowy
Grupy dynamiczne są funkcją w identyfikatorze Microsoft Entra P1 lub P2. Jeśli nie masz identyfikatora Microsoft Entra P1 lub P2, masz licencję na tworzenie tylko przypisanych grup. Aby uzyskać więcej informacji na temat grup dynamicznych, przejdź do:
Identyfikator Usługi Microsoft Entra P1 lub P2 obejmuje inne usługi, które są często używane podczas zarządzania aplikacjami i urządzeniami, w tym uwierzytelnianie wieloskładnikowe (MFA) i dostęp warunkowy.
Wielu administratorów, kiedy używać grup użytkowników i kiedy używać grup urządzeń. Aby uzyskać wskazówki, przejdź do pozycji Grupy użytkowników a grupy urządzeń.
Pamiętaj, że użytkownik może należeć do wielu grup. Rozważmy niektóre z innych dynamicznych grup użytkowników i urządzeń, które można utworzyć, na przykład:
- Wszyscy uczniowie
- Wszystkie urządzenia z systemem Android
- Wszystkie urządzenia z systemem iOS/iPadOS
- Marketing
- Zasoby ludzkie
- Wszyscy pracownicy Charlotte
- Wszyscy pracownicy z Redmond
- Administratorzy IT zachodniego wybrzeża
- Administratorzy IT wschodniego wybrzeża
Utworzoni użytkownicy i grupy są również widoczni w centrum administracyjnym platformy Microsoft 365, identyfikatorze usługi Microsoft Entra w witrynie Azure Portal i usłudze Microsoft Intune w witrynie Azure Portal. Grupy można tworzyć i zarządzać nimi we wszystkich tych obszarach dla subskrypcji dzierżawy. Jeśli twoim celem jest zarządzanie urządzeniami, użyj centrum administracyjnego usługi Microsoft Intune.
Przeglądanie członkostwa w grupie
- W centrum administracyjnym usługi Intune wybierz pozycję Użytkownicy>Wszyscy użytkownicy> wybierają nazwę dowolnego istniejącego użytkownika.
- Przejrzyj niektóre informacje, które można dodać lub zmienić. Na przykład przyjrzyj się właściwościom, które można skonfigurować, takim jak stanowisko, dział, miasto, lokalizacja pakietu Office i inne. Te właściwości można używać w zapytaniach dynamicznych podczas tworzenia grup dynamicznych.
- Wybierz pozycję Grupy , aby wyświetlić członkostwo tego użytkownika. Możesz również usunąć użytkownika z grupy.
- Wybierz niektóre inne opcje, aby wyświetlić więcej informacji i co możesz zrobić. Na przykład przyjrzyj się przypisanej licencji, urządzeniom użytkownika i nie tylko.
Co właśnie zrobiłem?
W centrum administracyjnym usługi Intune utworzono nowe grupy zabezpieczeń i dodano istniejących użytkowników i urządzenia do tych grup. Te grupy są używane w kolejnych krokach tego samouczka.
Tworzenie szablonu w usłudze Intune
W tej sekcji utworzymy szablon administracyjny w usłudze Intune, przyjrzymy się niektórym ustawieniu w usłudze Group Policy Management i porównamy to samo ustawienie w usłudze Intune. Celem jest pokazanie ustawienia w zasadach grupy i wyświetlenie tego samego ustawienia w usłudze Intune.
W centrum administracyjnym usługi Intune wybierz pozycję Urządzenia>Zarządzaj urządzeniami>Konfiguracja>Utwórz>nowe zasady.
Wprowadź następujące właściwości:
- Platforma: wybierz pozycję Windows 10 i nowsze.
- Typ profilu: wybierz pozycję Szablony Szablony Szablony>administracyjne.
Wybierz pozycję Utwórz.
W obszarze Podstawy wprowadź następujące właściwości:
- Nazwa: wprowadź opisową nazwę profilu. Nadaj nazwę profilom, aby można było je później łatwo rozpoznać. Na przykład wprowadź szablon administratora — urządzenia uczniów z systemem Windows 10.
- Opis: wprowadź opis profilu. To ustawienie jest opcjonalne, ale zalecane.
Wybierz pozycję Dalej.
W obszarze Ustawienia konfiguracjiwszystkie ustawienia zawierają alfabetyczną listę wszystkich ustawień. Można również filtrować ustawienia dotyczące urządzeń (konfiguracja komputera) i ustawień, które mają zastosowanie do użytkowników (konfiguracja użytkownika):
Rozwiń węzeł Konfiguracja> komputeraMicrosoft Edge> wybierz pozycję Ustawienia filtru SmartScreen. Zwróć uwagę na ścieżkę do zasad i wszystkie dostępne ustawienia:
W polu wyszukiwania wprowadź ciąg download. Zwróć uwagę, że ustawienia zasad są filtrowane:
Otwórz zarządzanie zasadami grupy
W tej sekcji przedstawiono zasady w usłudze Intune i ich pasujące zasady w Edytorze zarządzania zasadami grupy.
Porównanie zasad urządzenia
Na komputerze administracyjnym otwórz aplikację Zarządzanie zasadami grupy .
Ta aplikacja jest instalowana za pomocą narzędzia RSAT: Group Policy Management Tools, który jest opcjonalną funkcją dodawaną w systemie Windows. Wymagania wstępne (w tym artykule) zawierają listę kroków instalacji.
Rozwiń pozycję Domeny wybierz> domenę. Na przykład wybierz pozycję
contoso.net
.Kliknij prawym przyciskiem myszy zasady >OfficeandEdgeEdytuj. Zostanie otwarta aplikacja Edytor zarządzania zasadami grupy.
OfficeandEdge to zasady grupy zawierające szablony ADMX pakietu Office i przeglądarki Microsoft Edge. Te zasady zostały opisane w wymaganiach wstępnych (w tym artykule).
Rozwiń węzeł Zasady konfiguracji> komputeraPersonalizacja>panelu> sterowaniaszablonów administracyjnych>. Zwróć uwagę na dostępne ustawienia.
Kliknij dwukrotnie pozycję Zapobiegaj włączaniu aparatu ekranu blokady i zobacz dostępne opcje:
W centrum administracyjnym usługi Intune przejdź do szablonu Administrator — Szablon urządzeń uczniów z systemem Windows 10 .
Wybierz pozycjęPersonalizacjapanelu> sterowania konfiguracji> komputera. Zwróć uwagę na dostępne ustawienia:
Typ ustawienia to Urządzenie, a ścieżka to
/Control Panel/Personalization
. Ta ścieżka jest podobna do tej, która została właśnie wyświetlona w Edytorze zarządzania zasadami grupy. Jeśli otworzysz ustawienie Uniemożliwiaj włączanie aparatu ekranu blokady , zobaczysz te same opcje Nie skonfigurowano, Włączone i Wyłączone widoczne w Edytorze zarządzania zasadami grupy.
Porównanie zasad użytkownika
W szablonie administratora wybierz pozycję Konfiguracja> komputeraWszystkie ustawienia i wyszukaj pozycję
inprivate browsing
. Zwróć uwagę na ścieżkę.Zrób to samo w przypadku konfiguracji użytkownika. Wybierz pozycję Wszystkie ustawienia i wyszukaj pozycję
inprivate browsing
.W Edytorze zarządzania zasadami grupy znajdź pasujące ustawienia użytkownika i urządzenia:
- Urządzenie: rozwiń węzełZasady>konfiguracji> komputeraSzablony> administracyjneSkładniki> systemu WindowsInternet Explorer>Prywatność>Wyłącz przeglądanie InPrivate.
- Użytkownik: rozwiń węzełZasady>konfiguracji> użytkownikaSzablony> administracyjneSkładniki> systemu Windows InternetExplorer>Prywatność>Wyłącz przeglądanie InPrivate.
Porada
Aby wyświetlić wbudowane zasady systemu Windows, możesz również użyć narzędzia GPEdit (Edytuj aplikację zasad grupy ).
Porównanie zasad przeglądarki Microsoft Edge
W centrum administracyjnym usługi Intune przejdź do szablonu Administrator — Szablon urządzeń uczniów z systemem Windows 10 .
Rozwiń pozycję Konfiguracja> komputera Uruchamianie przeglądarkiMicrosoft Edge>, strona główna i nowa karta. Zwróć uwagę na dostępne ustawienia.
Zrób to samo w przypadku konfiguracji użytkownika.
W Edytorze zarządzania zasadami grupy znajdź następujące ustawienia:
- Urządzenie: rozwiń pozycjęZasady>konfiguracji> komputeraSzablony administracyjne Uruchamianie> przeglądarkiMicrosoft Edge>, strona główna i nowa strona karty.
- Użytkownik: rozwiń pozycjęZasady>konfiguracji> użytkownikaSzablony administracyjne Uruchamianie> przeglądarkiMicrosoft Edge>, strona główna i nowa strona karty
Co właśnie zrobiłem?
Utworzono szablon administracyjny w usłudze Intune. W tym szablonie przyjrzeliśmy się niektórym ustawieniam ADMX i przyjrzeliśmy się tym samym ustawień ADMX w usłudze Zarządzanie zasadami grupy.
Dodawanie ustawień do szablonu administratora students
W tym szablonie skonfigurujemy niektóre ustawienia programu Internet Explorer, aby zablokować urządzenia współużytkowane przez wielu uczniów.
W szablonie administratora — urządzenia uczniów z systemem Windows 10 rozwiń węzeł Konfiguracja komputera, wybierz pozycję Wszystkie ustawienia i wyszukaj pozycję Wyłącz przeglądanie InPrivate:
Wybierz ustawienie Wyłącz przeglądanie InPrivate . W tym oknie zwróć uwagę na opis i wartości, które można ustawić. Te opcje są podobne do tych, które są widoczne w zasadach grupy.
Wybierz pozycję Włączone>OK , aby zapisać zmiany.
Skonfiguruj również następujące ustawienia programu Internet Explorer. Pamiętaj, aby wybrać przycisk OK , aby zapisać zmiany.
Zezwalaj na przeciąganie i upuszczanie lub kopiowanie i wklejanie plików
- Typ: Urządzenie
- Ścieżka: \Windows Components\Internet Explorer\Internet Control Panel\Security Page\Internet Zone
- Wartość: wyłączona
Zapobieganie ignorowaniu błędów certyfikatu
- Typ: Urządzenie
- Ścieżka: \Windows Components\Internet Explorer\Internet Control Panel
- Wartość: włączone
Wyłącz zmianę ustawień strony głównej
- Typ: Użytkownik
- Ścieżka: \Składniki systemu Windows\Internet Explorer
- Wartość: włączone
- Strona główna: wprowadź adres URL, taki jak
contoso.com
.
Wyczyść filtr wyszukiwania. Zwróć uwagę, że skonfigurowane ustawienia są wyświetlane u góry:
Przypisywanie szablonu
W szablonie wybierz pozycję Dalej , dopóki nie uzyskasz pozycji Przypisania. Wybierz pozycję Wybierz grupy do uwzględnienia:
Zostanie wyświetlona lista istniejących użytkowników i grup. Wybierz utworzoną wcześniej > grupę Wszystkie urządzenia uczniów z systemem Windows 10Wybierz.
Jeśli używasz tego przewodnika w środowisku produkcyjnym, rozważ dodanie pustych grup. Celem jest przećwiczanie przypisywania szablonu.
Wybierz pozycję Dalej. W obszarze Przeglądanie i tworzenie wybierz pozycję Utwórz , aby zapisać zmiany.
Po zapisaniu profilu dotyczy on urządzeń podczas ewidencjonowania w usłudze Intune. Jeśli urządzenia są połączone z Internetem, może się to zdarzyć natychmiast. Aby uzyskać więcej informacji na temat czasu odświeżania zasad, przejdź do tematu Jak długo trwa pobieranie zasad, profilu lub aplikacji przez urządzenia.
Podczas przypisywania rygorystycznych lub restrykcyjnych zasad i profilów nie blokuj się. Rozważ utworzenie grupy wykluczonej z zasad i profilów. Chodzi o to, aby mieć dostęp do rozwiązywania problemów. Monitoruj tę grupę, aby potwierdzić, że jest ona używana zgodnie z oczekiwaniami.
Co właśnie zrobiłem?
W centrum administracyjnym usługi Intune utworzono profil konfiguracji urządzenia szablonu administracyjnego i przypisano ten profil do utworzonej grupy.
Tworzenie szablonu usługi OneDrive
W tej sekcji utworzysz szablon administratora usługi OneDrive w usłudze Intune, aby kontrolować niektóre ustawienia. Te konkretne ustawienia są wybierane, ponieważ są często używane przez organizacje.
Utwórz inny profil (Urządzenia>Zarządzaj urządzeniami>Konfiguracja>Utwórz>nowe zasady).
Wprowadź następujące właściwości:
- Platforma: wybierz pozycję Windows 10 i nowsze.
- Typ profilu: wybierz pozycję Szablony Szablony Szablony>administracyjne.
Wybierz pozycję Utwórz.
W obszarze Podstawowe informacje wprowadź następujące właściwości:
- Nazwa: wprowadź szablon administratora — zasady usługi OneDrive, które mają zastosowanie do wszystkich użytkowników systemu Windows 10.
- Opis: wprowadź opis profilu. To ustawienie jest opcjonalne, ale zalecane.
Wybierz pozycję Dalej.
W obszarze Ustawienia konfiguracji skonfiguruj następujące ustawienia. Pamiętaj, aby wybrać przycisk OK , aby zapisać zmiany:
Konfiguracja komputera:
- Dyskretne logowanie użytkowników do klienta synchronizacji usługi OneDrive przy użyciu poświadczeń systemu Windows
- Typ: Urządzenie
- Wartość: włączone
- Używanie plików usługi OneDrive na żądanie
- Typ: Urządzenie
- Wartość: włączone
- Dyskretne logowanie użytkowników do klienta synchronizacji usługi OneDrive przy użyciu poświadczeń systemu Windows
Konfiguracja użytkownika:
- Uniemożliwianie użytkownikom synchronizowania osobistych kont usługi OneDrive
- Typ: Użytkownik
- Wartość: włączone
- Uniemożliwianie użytkownikom synchronizowania osobistych kont usługi OneDrive
Ustawienia będą wyglądać podobnie do następujących:
Aby uzyskać więcej informacji na temat ustawień klienta usługi OneDrive, przejdź do tematu Używanie zasad grupy do kontrolowania ustawień klienta synchronizacji usługi OneDrive.
Przypisywanie szablonu
W szablonie wybierz pozycję Dalej , dopóki nie uzyskasz pozycji Przypisania. Wybierz pozycję Wybierz grupy do uwzględnienia:
Zostanie wyświetlona lista istniejących użytkowników i grup. Wybierz utworzoną wcześniej > grupę Wszystkie urządzenia z systemem WindowsWybierz.
Jeśli używasz tego przewodnika w środowisku produkcyjnym, rozważ dodanie pustych grup. Celem jest przećwiczanie przypisywania szablonu.
Wybierz pozycję Dalej. W obszarze Przeglądanie i tworzenie wybierz pozycję Utwórz , aby zapisać zmiany.
W tym momencie utworzono kilka szablonów administracyjnych i przypisano je do utworzonych grup. Następnym krokiem jest utworzenie szablonu administracyjnego przy użyciu programu Windows PowerShell i interfejsu API programu Microsoft Graph dla usługi Intune.
Opcjonalnie: tworzenie zasad przy użyciu programu PowerShell i interfejsu API programu Graph
W tej sekcji są używane następujące zasoby. Te zasoby zostaną zainstalowane w tej sekcji.
Na komputerze administracyjnym otwórz program Windows PowerShell jako administrator:
- Na pasku wyszukiwania wprowadź polecenie powershell.
- Kliknij prawym przyciskiem myszy program Windows PowerShell>Uruchom jako administrator.
Pobierz i ustaw zasady wykonywania.
Wejść:
get-ExecutionPolicy
Zanotuj ustawienia zasad, które mogą być ograniczone. Po zakończeniu pracy z przewodnikiem ustaw ją z powrotem na oryginalną wartość.
Wejść:
Set-ExecutionPolicy -ExecutionPolicy Unrestricted
Wprowadź polecenie
Y
, aby go zmienić.
Zasady wykonywania programu PowerShell pomagają zapobiegać wykonywaniu złośliwych skryptów. Aby uzyskać więcej informacji, przejdź do tematu Informacje o zasadach wykonywania.
Wejść:
Install-Module -Name Microsoft.Graph.Intune
Wprowadź
Y
wartość if:- Prośba o zainstalowanie dostawcy NuGet
- Prośba o zainstalowanie modułów z niezaufanego repozytorium
Ukończenie może potrwać kilka minut. Po zakończeniu zostanie wyświetlony monit podobny do następującego:
W przeglądarce internetowej przejdź do https://github.com/Microsoft/Intune-PowerShell-SDK/releasespozycji i wybierz plik Intune-PowerShell-SDK_v6.1907.00921.0001.zip .
Wybierz pozycję Zapisz jako i wybierz folder, który zapamiętasz.
c:\psscripts
jest dobrym wyborem.Otwórz folder, kliknij prawym przyciskiem myszy plik > .zip Wyodrębnij wszystkie>wyodrębnianie. Struktura folderów wygląda podobnie do następującego folderu:
Na karcie Widok sprawdź rozszerzenia nazw plików:
W folderze przejdź do
c:\psscripts\Intune-PowerShell-SDK_v6.1907.00921.0001\drop\outputs\build\Release\net471
pozycji . Kliknij prawym przyciskiem myszy każdą .dll >Właściwości>odblokuj.W aplikacji programu Windows PowerShell wprowadź:
Import-Module c:\psscripts\Intune-PowerShell-SDK_v6.1907.00921.0001\drop\outputs\build\Release\net471\Microsoft.Graph.Intune.psd1
Wprowadź
R
polecenie , jeśli zostanie wyświetlony monit o uruchomienie od niezaufanego wydawcy.Szablony administracyjne usługi Intune używają wersji beta programu Graph:
Wejść:
Update-MSGraphEnvironment -SchemaVersion 'beta'
Wejść:
Connect-MSGraph -AdminConsent
Po wyświetleniu monitu zaloguj się przy użyciu tego samego konta administratora platformy Microsoft 365. Te polecenia cmdlet tworzą zasady w organizacji dzierżawy.
Użytkownik: wprowadź konto administratora subskrypcji dzierżawy platformy Microsoft 365.
Hasło: wprowadź jego hasło.Wybierz pozycję Zaakceptuj.
Utwórz profil konfiguracji konfiguracji konfiguracji testu . Wejść:
$configuration = Invoke-MSGraphRequest -Url https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations -Content '{"displayName":"Test Configuration","description":"A test configuration created through PS"}' -HttpMethod POST
Gdy te polecenia cmdlet zakończą się pomyślnie, zostanie utworzony profil. Aby to potwierdzić, przejdź do centrum > administracyjnego usługi Intune Urządzenia>Zarządzanie konfiguracją urządzeń>. Powinien zostać wyświetlony profil konfiguracji testowej .
Pobierz wszystkie elementy SettingDefinitions. Wejść:
$settingDefinitions = Invoke-MSGraphRequest -Url https://graph.microsoft.com/beta/deviceManagement/groupPolicyDefinitions -HttpMethod GET
Znajdź identyfikator definicji przy użyciu nazwy wyświetlanej ustawienia. Wejść:
$desiredSettingDefinition = $settingDefinitions.value | ? {$_.DisplayName -Match "Silently sign in users to the OneDrive sync app with their Windows credentials"}
Skonfiguruj ustawienie. Wejść:
$configuredSetting = Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues" -Content ("{""enabled"":""true"",""configurationType"":""policy"",""definition@odata.bind"":""https://graph.microsoft.com/beta/deviceManagement/groupPolicyDefinitions('$($desiredSettingDefinition.id)')""}") -HttpMethod POST
Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues('$($configuredSetting.id)')" -Content ("{""enabled"":""false""}") -HttpMethod PATCH
$configuredSetting = Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues('$($configuredSetting.id)')" -HttpMethod GET
Wyświetlanie zasad
- W centrum > administracyjnym usługi Intune Urządzenia> Zarządzanieodświeżaniemkonfiguracji>urządzeń>.
- Wybierz ustawienia profilu >Konfiguracja testu.
- Z listy rozwijanej wybierz pozycję Wszystkie produkty.
Zobaczysz, że użytkownicy logowania w trybie dyskretnym do klienta synchronizacji usługi OneDrive z skonfigurowanym ustawieniem poświadczeń systemu Windows .
Najlepsze rozwiązania dotyczące zasad
Podczas tworzenia zasad i profilów w usłudze Intune należy wziąć pod uwagę pewne zalecenia i najlepsze rozwiązania. Aby uzyskać więcej informacji, przejdź do najlepszych rozwiązań dotyczących zasad i profilów.
Czyszczenie zasobów
Gdy nie jest już potrzebna, możesz:
Usuń utworzone grupy:
- Wszystkie urządzenia uczniów z systemem Windows 10
- Wszystkie urządzenia z systemem Windows
- Wszyscy nauczyciele
Usuń utworzone szablony administratora:
- Szablon administratora — urządzenia uczniów z systemem Windows 10
- Szablon administratora — zasady usługi OneDrive, które mają zastosowanie do wszystkich użytkowników systemu Windows 10
- Konfiguracja testu
Ustaw zasady wykonywania programu Windows PowerShell z powrotem na oryginalną wartość. W poniższym przykładzie zasady wykonywania są ustawiane na ograniczone:
Set-ExecutionPolicy -ExecutionPolicy Restricted
Następne kroki
W tym samouczku bardziej zapoznaliśmy się z centrum administracyjnym usługi Microsoft Intune, użyto konstruktora zapytań do tworzenia grup dynamicznych i utworzono szablony administracyjne w usłudze Intune w celu skonfigurowania ustawień usługi ADMX. Porównano również korzystanie z szablonów ADMX w środowisku lokalnym i w chmurze z usługą Intune. Dodatkowo do utworzenia szablonu administracyjnego użyto poleceń cmdlet programu PowerShell.
Aby uzyskać więcej informacji na temat szablonów administracyjnych w usłudze Intune, przejdź do:
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla