Udostępnij za pośrednictwem

Przewodnik: konfigurowanie zasad grupy na urządzeniach z systemem Windows 10/11 przy użyciu szablonów ADMX i usługi Microsoft Intune przy użyciu chmury

  • Artykuł

Uwaga

Ten przewodnik został utworzony jako warsztat techniczny dla konferencji Microsoft Ignite. Ma więcej wymagań wstępnych niż typowe przewodniki, ponieważ porównuje użycie i skonfigurowanie zasad ADMX w usłudze Intune i lokalnie.

Szablony administracyjne zasad grupy, znane również jako szablony ADMX, obejmują ustawienia, które można skonfigurować na urządzeniach klienckich z systemem Windows, w tym na komputerach. Ustawienia szablonu ADMX są dostępne dla różnych usług. Te ustawienia są używane przez dostawców zarządzania urządzeniami przenośnymi (MDM), w tym usługę Microsoft Intune. Możesz na przykład włączyć opcję Pomysły dotyczące projektowania w programie PowerPoint, ustawić stronę główną w przeglądarce Microsoft Edge i nie tylko.

Porada

Aby zapoznać się z omówieniem szablonów ADMX w usłudze Intune, w tym szablonów ADMX wbudowanych w usługę Intune, przejdź do tematu Korzystanie z szablonów ADMX systemu Windows 10/11 w usłudze Microsoft Intune.

Aby uzyskać więcej informacji na temat zasad ADMX, przejdź do tematu Understanding ADMX-backed policies (Omówienie zasad wspieranych przez usługę ADMX).

Te szablony są wbudowane w usługę Microsoft Intune i są dostępne jako profile szablonów administracyjnych . W tym profilu skonfigurujesz ustawienia, które chcesz uwzględnić, a następnie "przypisz" ten profil do urządzeń.

W tym przewodniku wykonasz następujące czynności:

  • Wprowadzenie do centrum administracyjnego usługi Microsoft Intune.
  • Tworzenie grup użytkowników i tworzenie grup urządzeń.
  • Porównaj ustawienia w usłudze Intune z lokalnymi ustawieniami ADMX.
  • Utwórz różne szablony administracyjne i skonfiguruj ustawienia przeznaczone dla różnych grup.

Po zakończeniu tego laboratorium możesz zarządzać użytkownikami za pomocą usługi Intune i platformy Microsoft 365 oraz wdrażać szablony administracyjne.

Ta funkcja ma zastosowanie do:

  • Windows 11
  • Windows 10 w wersji 1709 i nowszej

Porada

Istnieją dwa sposoby tworzenia szablonu administracyjnego: użycie szablonu lub użycie katalogu ustawień. W tym artykule skupiono się na użyciu szablonu szablonów administracyjnych . Katalog ustawień ma więcej dostępnych ustawień szablonu administracyjnego. Aby uzyskać szczegółowe instrukcje dotyczące korzystania z wykazu ustawień, przejdź do tematu Konfigurowanie ustawień za pomocą wykazu ustawień.

Wymagania wstępne

  • Subskrypcja platformy Microsoft 365 E3 lub E5 obejmująca usługi Intune i Microsoft Entra ID P1 lub P2. Jeśli nie masz subskrypcji E3 lub E5, wypróbuj ją bezpłatnie.

    Aby uzyskać więcej informacji na temat różnych licencji platformy Microsoft 365, przejdź do tematu Transform your Enterprise with Microsoft 365 (Przekształcanie przedsiębiorstwa przy użyciu platformy Microsoft 365).

  • Usługa Microsoft Intune jest skonfigurowana jako urząd mdm usługi Intune. Aby uzyskać więcej informacji, przejdź do tematu Ustawianie urzędu zarządzania urządzeniami przenośnymi.

    Zrzut ekranu przedstawiający sposób ustawiania urzędu MDM na usługę Microsoft Intune w stanie dzierżawy.

  • Na lokalnym kontrolerze domeny usługi Active Directory (DC):

    1. Skopiuj następujące szablony pakietu Office i przeglądarki Microsoft Edge do sklepu Centralnego (folder sysvol):

    2. Utwórz zasady grupy, aby wypchnąć te szablony do komputera administratora systemu Windows 10/11 Enterprise w tej samej domenie co kontroler domeny. W tym przewodniku:

      • Zasady grupy utworzone przy użyciu tych szablonów mają nazwę OfficeandEdge. Ta nazwa zostanie wyświetlona na obrazach.
      • Używany przez nas komputer administratora systemu Windows 10/11 Enterprise jest nazywany komputerem administracyjnym.

      W niektórych organizacjach administrator domeny ma dwa konta:

      • Typowe konto służbowe domeny
      • Inne konto administratora domeny używane tylko do zadań administratora domeny, takich jak zasady grupy

      Na tym komputerze administracyjnym administratorzy mogą logować się przy użyciu konta administratora domeny i uzyskiwać dostęp do narzędzi przeznaczonych do zarządzania zasadami grupy.

  • Na tym komputerze administracyjnym:

    • Zaloguj się przy użyciu konta administratora domeny.

    • Dodaj narzędzia RSAT: Group Policy Management Tools:

      1. Otwórz aplikację >UstawieniaSystem>Opcjonalne funkcje>Dodaj funkcję.

        Jeśli używasz wersji starszej niż Windows 10 22H2, przejdź do pozycji Ustawienia>Aplikacje aplikacje>& funkcje>Opcjonalne funkcje>Dodaj funkcję.

      2. Wybierz pozycję RSAT: Dodaj narzędzia> do zarządzania zasadami grupy.

        Poczekaj, aż system Windows doda tę funkcję. Po zakończeniu zostanie on ostatecznie wyświetlony w aplikacji Narzędzia administracyjne systemu Windows .

        Zrzut ekranu przedstawiający aplikacje narzędzi administracyjnych systemu Windows, w tym aplikację do zarządzania zasadami grupy.

    • Upewnij się, że masz dostęp do Internetu i uprawnienia administratora do subskrypcji platformy Microsoft 365, która obejmuje centrum administracyjne usługi Intune.

Otwieranie centrum administracyjnego usługi Intune

  1. Otwórz przeglądarkę internetową chromium, taką jak Microsoft Edge w wersji 77 lub nowszej.

  2. Przejdź do centrum administracyjnego usługi Microsoft Intune. Zaloguj się przy użyciu następującego konta:

    Użytkownik: wprowadź konto administratora subskrypcji dzierżawy platformy Microsoft 365.
    Hasło: wprowadź jego hasło.

To centrum administracyjne koncentruje się na zarządzaniu urządzeniami i obejmuje usługi platformy Azure, takie jak Microsoft Entra ID i Intune. Być może nie widzisz identyfikatora Entra firmy Microsoft i znakowania usługi Intune , ale używasz ich.

Centrum administracyjne usługi Intune można również otworzyć z poziomu centrum administracyjnego platformy Microsoft 365:

  1. Przejdź do https://admin.microsoft.com.

  2. Zaloguj się przy użyciu konta administratora subskrypcji dzierżawy platformy Microsoft 365.

  3. Wybierz pozycję Pokaż wszystkie>centra> administracyjneZarządzanie punktami końcowymi. Zostanie otwarte centrum administracyjne usługi Intune.

    Zrzut ekranu przedstawiający wszystkie centra administracyjne w centrum administracyjnym platformy Microsoft 365.

Tworzenie grup i dodawanie użytkowników

Zasady lokalne są stosowane w kolejności LSDOU — lokalnej, lokacji, domeny i jednostki organizacyjnej (OU). W tej hierarchii zasady jednostki organizacyjnej zastępuj zasady lokalne, zasady domeny zastępuj zasady lokacji itd.

W usłudze Intune zasady są stosowane do utworzonych użytkowników i grup. Nie ma hierarchii. Przykład:

  • Jeśli dwie zasady zaktualizuje to samo ustawienie, to ustawienie jest wyświetlane jako konflikt.
  • Jeśli dwie zasady zgodności są w konflikcie, stosowane są najbardziej restrykcyjne zasady.
  • Jeśli dwa profile konfiguracji są w konflikcie, to ustawienie nie jest stosowane.

Aby uzyskać więcej informacji, przejdź do sekcji Typowe pytania, problemy i rozwiązania dotyczące zasad i profilów urządzeń.

W następnych krokach utworzysz grupy zabezpieczeń i dodasz użytkowników do tych grup. Możesz dodać użytkownika do wielu grup. Na przykład normalne jest, że użytkownik ma wiele urządzeń, takich jak Surface Pro do pracy, i urządzenie przenośne z systemem Android do użytku osobistego. I jest to normalne, że osoba uzyskuje dostęp do zasobów organizacyjnych z tych wielu urządzeń.

  1. W centrum administracyjnym usługi Intune wybierz pozycję Grupy>Nowa grupa.

  2. Wprowadź następujące ustawienia:

    • Typ grupy: wybierz pozycję Zabezpieczenia.
    • Nazwa grupy: wprowadź wszystkie urządzenia uczniów z systemem Windows 10.
    • Typ członkostwa: wybierz pozycję Przypisano.

  3. Wybierz pozycję Członkowie i dodaj niektóre urządzenia.

    Dodawanie urządzeń jest opcjonalne. Celem jest przećwiczenie tworzenia grup i poznanie sposobu dodawania urządzeń. Jeśli używasz tego przewodnika w środowisku produkcyjnym, pamiętaj o tym, co robisz.

  4. Wybrać>Utwórz, aby zapisać zmiany.

    Nie widzisz swojej grupy? Wybierz pozycję Odśwież.

  5. Wybierz pozycję Nowa grupa i wprowadź następujące ustawienia:

    • Typ grupy: wybierz pozycję Zabezpieczenia.

    • Nazwa grupy: wprowadź wszystkie urządzenia z systemem Windows.

    • Typ członkostwa: wybierz pozycję Urządzenie dynamiczne.

    • Dynamiczne elementy członkowskie urządzenia: wybierz pozycję Dodaj zapytanie dynamiczne i skonfiguruj zapytanie:

      • Właściwość: wybierz pozycję deviceOSType.
      • Operator: wybierz pozycję Równa się.
      • Wartość: wprowadź windows.

      1. Wybierz pozycję Dodaj wyrażenie. Wyrażenie jest wyświetlane w składni Reguła:

        Zrzut ekranu przedstawiający sposób tworzenia zapytania dynamicznego i dodawania wyrażeń w szablonie administracyjnym usługi Microsoft Intune.

        Gdy użytkownicy lub urządzenia spełniają wprowadzone kryteria, są one automatycznie dodawane do grup dynamicznych. W tym przykładzie urządzenia są automatycznie dodawane do tej grupy, gdy system operacyjny to Windows. Jeśli używasz tego przewodnika w środowisku produkcyjnym, zachowaj ostrożność. Celem jest praktyka tworzenia grup dynamicznych.

      2. Zapisać>Utwórz, aby zapisać zmiany.

  6. Utwórz grupę Wszyscy nauczyciele z następującymi ustawieniami:

    • Typ grupy: wybierz pozycję Zabezpieczenia.

    • Nazwa grupy: wprowadź wszystkich nauczycieli.

    • Typ członkostwa: wybierz pozycję Użytkownik dynamiczny.

    • Dynamiczni członkowie użytkownika: wybierz pozycję Dodaj zapytanie dynamiczne i skonfiguruj zapytanie:

      • Właściwość: wybierz dział.

      • Operator: wybierz pozycję Równa się.

      • Wartość: wprowadź nauczycieli.

        1. Wybierz pozycję Dodaj wyrażenie. Wyrażenie jest wyświetlane w składni Reguła.

          Gdy użytkownicy lub urządzenia spełniają wprowadzone kryteria, są one automatycznie dodawane do grup dynamicznych. W tym przykładzie użytkownicy są automatycznie dodawani do tej grupy, gdy ich dział to Nauczyciele. Po dodaniu użytkowników do organizacji można wprowadzić dział i inne właściwości. Jeśli używasz tego przewodnika w środowisku produkcyjnym, zachowaj ostrożność. Celem jest praktyka tworzenia grup dynamicznych.

        2. Zapisać>Utwórz, aby zapisać zmiany.

Punkty rozmowy

Utworzoni użytkownicy i grupy są również widoczni w centrum administracyjnym platformy Microsoft 365, identyfikatorze usługi Microsoft Entra w witrynie Azure Portal i usłudze Microsoft Intune w witrynie Azure Portal. Grupy można tworzyć i zarządzać nimi we wszystkich tych obszarach dla subskrypcji dzierżawy. Jeśli twoim celem jest zarządzanie urządzeniami, użyj centrum administracyjnego usługi Microsoft Intune.

Przeglądanie członkostwa w grupie

  1. W centrum administracyjnym usługi Intune wybierz pozycję Użytkownicy>Wszyscy użytkownicy> wybierają nazwę dowolnego istniejącego użytkownika.
  2. Przejrzyj niektóre informacje, które można dodać lub zmienić. Na przykład przyjrzyj się właściwościom, które można skonfigurować, takim jak stanowisko, dział, miasto, lokalizacja pakietu Office i inne. Te właściwości można używać w zapytaniach dynamicznych podczas tworzenia grup dynamicznych.
  3. Wybierz pozycję Grupy , aby wyświetlić członkostwo tego użytkownika. Możesz również usunąć użytkownika z grupy.
  4. Wybierz niektóre inne opcje, aby wyświetlić więcej informacji i co możesz zrobić. Na przykład przyjrzyj się przypisanej licencji, urządzeniom użytkownika i nie tylko.

Co właśnie zrobiłem?

W centrum administracyjnym usługi Intune utworzono nowe grupy zabezpieczeń i dodano istniejących użytkowników i urządzenia do tych grup. Te grupy są używane w kolejnych krokach tego samouczka.

Tworzenie szablonu w usłudze Intune

W tej sekcji utworzymy szablon administracyjny w usłudze Intune, przyjrzymy się niektórym ustawieniu w usłudze Group Policy Management i porównamy to samo ustawienie w usłudze Intune. Celem jest pokazanie ustawienia w zasadach grupy i wyświetlenie tego samego ustawienia w usłudze Intune.

  1. W centrum administracyjnym usługi Intune wybierz pozycję Urządzenia>Zarządzaj urządzeniami>Konfiguracja>Utwórz>nowe zasady.

  2. Wprowadź następujące właściwości:

    • Platforma: wybierz pozycję Windows 10 i nowsze.
    • Typ profilu: wybierz pozycję Szablony Szablony Szablony>administracyjne.

  3. Wybierz pozycję Utwórz.

  4. W obszarze Podstawy wprowadź następujące właściwości:

    • Nazwa: wprowadź opisową nazwę profilu. Nadaj nazwę profilom, aby można było je później łatwo rozpoznać. Na przykład wprowadź szablon administratora — urządzenia uczniów z systemem Windows 10.
    • Opis: wprowadź opis profilu. To ustawienie jest opcjonalne, ale zalecane.

  5. Wybierz pozycję Dalej.

  6. W obszarze Ustawienia konfiguracjiwszystkie ustawienia zawierają alfabetyczną listę wszystkich ustawień. Można również filtrować ustawienia dotyczące urządzeń (konfiguracja komputera) i ustawień, które mają zastosowanie do użytkowników (konfiguracja użytkownika):

    Zrzut ekranu przedstawiający sposób stosowania ustawień szablonu ADMX do użytkowników i urządzeń w usłudze Microsoft Intune.

  7. Rozwiń węzeł Konfiguracja> komputeraMicrosoft Edge> wybierz pozycję Ustawienia filtru SmartScreen. Zwróć uwagę na ścieżkę do zasad i wszystkie dostępne ustawienia:

    Zrzut ekranu przedstawiający sposób wyświetlania ustawień zasad filtru SmartScreen przeglądarki Microsoft Edge w szablonach ADMX w usłudze Microsoft Intune.

  8. W polu wyszukiwania wprowadź ciąg download. Zwróć uwagę, że ustawienia zasad są filtrowane:

    Zrzut ekranu przedstawiający sposób filtrowania ustawień zasad filtru SmartScreen przeglądarki Microsoft Edge w szablonie ADMX usługi Microsoft Intune.

Otwórz zarządzanie zasadami grupy

W tej sekcji przedstawiono zasady w usłudze Intune i ich pasujące zasady w Edytorze zarządzania zasadami grupy.

Porównanie zasad urządzenia

  1. Na komputerze administracyjnym otwórz aplikację Zarządzanie zasadami grupy .

    Ta aplikacja jest instalowana za pomocą narzędzia RSAT: Group Policy Management Tools, który jest opcjonalną funkcją dodawaną w systemie Windows. Wymagania wstępne (w tym artykule) zawierają listę kroków instalacji.

  2. Rozwiń pozycję Domeny wybierz> domenę. Na przykład wybierz pozycję contoso.net.

  3. Kliknij prawym przyciskiem myszy zasady >OfficeandEdgeEdytuj. Zostanie otwarta aplikacja Edytor zarządzania zasadami grupy.

    Zrzut ekranu przedstawiający sposób kliknięcia prawym przyciskiem myszy lokalnych zasad grupy ADMX pakietu Office i przeglądarki Microsoft Edge, a następnie wybierz pozycję Edytuj.

    OfficeandEdge to zasady grupy zawierające szablony ADMX pakietu Office i przeglądarki Microsoft Edge. Te zasady zostały opisane w wymaganiach wstępnych (w tym artykule).

  4. Rozwiń węzeł Zasady konfiguracji> komputeraPersonalizacja>panelu> sterowaniaszablonów administracyjnych>. Zwróć uwagę na dostępne ustawienia.

    Zrzut ekranu przedstawiający sposób rozwijania konfiguracji komputera w lokalnym Edytorze zarządzania zasadami grupy, a następnie przejdź do obszaru Personalizacja.

    Kliknij dwukrotnie pozycję Zapobiegaj włączaniu aparatu ekranu blokady i zobacz dostępne opcje:

    Zrzut ekranu przedstawiający sposób wyświetlania opcji ustawienia konfiguracji komputera lokalnego w zasadach grupy.

  5. W centrum administracyjnym usługi Intune przejdź do szablonu Administrator — Szablon urządzeń uczniów z systemem Windows 10 .

  6. Wybierz pozycjęPersonalizacjapanelu> sterowania konfiguracji> komputera. Zwróć uwagę na dostępne ustawienia:

    Zrzut ekranu przedstawiający ścieżkę ustawienia zasad personalizacji w usłudze Microsoft Intune.

    Typ ustawienia to Urządzenie, a ścieżka to /Control Panel/Personalization. Ta ścieżka jest podobna do tej, która została właśnie wyświetlona w Edytorze zarządzania zasadami grupy. Jeśli otworzysz ustawienie Uniemożliwiaj włączanie aparatu ekranu blokady , zobaczysz te same opcje Nie skonfigurowano, Włączone i Wyłączone widoczne w Edytorze zarządzania zasadami grupy.

Porównanie zasad użytkownika

  1. W szablonie administratora wybierz pozycję Konfiguracja> komputeraWszystkie ustawienia i wyszukaj pozycję inprivate browsing. Zwróć uwagę na ścieżkę.

    Zrób to samo w przypadku konfiguracji użytkownika. Wybierz pozycję Wszystkie ustawienia i wyszukaj pozycję inprivate browsing.

  2. W Edytorze zarządzania zasadami grupy znajdź pasujące ustawienia użytkownika i urządzenia:

    • Urządzenie: rozwiń węzełZasady>konfiguracji> komputeraSzablony> administracyjneSkładniki> systemu WindowsInternet Explorer>Prywatność>Wyłącz przeglądanie InPrivate.
    • Użytkownik: rozwiń węzełZasady>konfiguracji> użytkownikaSzablony> administracyjneSkładniki> systemu Windows InternetExplorer>Prywatność>Wyłącz przeglądanie InPrivate.

    Zrzut ekranu przedstawiający sposób wyłączania przeglądania InPrivate w programie Internet Explorer przy użyciu szablonu ADMX.

Porada

Aby wyświetlić wbudowane zasady systemu Windows, możesz również użyć narzędzia GPEdit (Edytuj aplikację zasad grupy ).

Porównanie zasad przeglądarki Microsoft Edge

  1. W centrum administracyjnym usługi Intune przejdź do szablonu Administrator — Szablon urządzeń uczniów z systemem Windows 10 .

  2. Rozwiń pozycję Konfiguracja> komputera Uruchamianie przeglądarkiMicrosoft Edge>, strona główna i nowa karta. Zwróć uwagę na dostępne ustawienia.

    Zrób to samo w przypadku konfiguracji użytkownika.

  3. W Edytorze zarządzania zasadami grupy znajdź następujące ustawienia:

    • Urządzenie: rozwiń pozycjęZasady>konfiguracji> komputeraSzablony administracyjne Uruchamianie> przeglądarkiMicrosoft Edge>, strona główna i nowa strona karty.
    • Użytkownik: rozwiń pozycjęZasady>konfiguracji> użytkownikaSzablony administracyjne Uruchamianie> przeglądarkiMicrosoft Edge>, strona główna i nowa strona karty

Co właśnie zrobiłem?

Utworzono szablon administracyjny w usłudze Intune. W tym szablonie przyjrzeliśmy się niektórym ustawieniam ADMX i przyjrzeliśmy się tym samym ustawień ADMX w usłudze Zarządzanie zasadami grupy.

Dodawanie ustawień do szablonu administratora students

W tym szablonie skonfigurujemy niektóre ustawienia programu Internet Explorer, aby zablokować urządzenia współużytkowane przez wielu uczniów.

  1. W szablonie administratora — urządzenia uczniów z systemem Windows 10 rozwiń węzeł Konfiguracja komputera, wybierz pozycję Wszystkie ustawienia i wyszukaj pozycję Wyłącz przeglądanie InPrivate:

    Zrzut ekranu przedstawiający sposób wyłączania zasad urządzeń przeglądania inPrivate w szablonie administracyjnym w usłudze Microsoft Intune.

  2. Wybierz ustawienie Wyłącz przeglądanie InPrivate . W tym oknie zwróć uwagę na opis i wartości, które można ustawić. Te opcje są podobne do tych, które są widoczne w zasadach grupy.

  3. Wybierz pozycję Włączone>OK , aby zapisać zmiany.

  4. Skonfiguruj również następujące ustawienia programu Internet Explorer. Pamiętaj, aby wybrać przycisk OK , aby zapisać zmiany.

    • Zezwalaj na przeciąganie i upuszczanie lub kopiowanie i wklejanie plików

      • Typ: Urządzenie
      • Ścieżka: \Windows Components\Internet Explorer\Internet Control Panel\Security Page\Internet Zone
      • Wartość: wyłączona

    • Zapobieganie ignorowaniu błędów certyfikatu

      • Typ: Urządzenie
      • Ścieżka: \Windows Components\Internet Explorer\Internet Control Panel
      • Wartość: włączone

    • Wyłącz zmianę ustawień strony głównej

      • Typ: Użytkownik
      • Ścieżka: \Składniki systemu Windows\Internet Explorer
      • Wartość: włączone
      • Strona główna: wprowadź adres URL, taki jak contoso.com.

  5. Wyczyść filtr wyszukiwania. Zwróć uwagę, że skonfigurowane ustawienia są wyświetlane u góry:

    Zrzut ekranu przedstawiający skonfigurowane ustawienia ADMX są wyświetlane u góry w usłudze Microsoft Intune.

Przypisywanie szablonu

  1. W szablonie wybierz pozycję Dalej , dopóki nie uzyskasz pozycji Przypisania. Wybierz pozycję Wybierz grupy do uwzględnienia:

    Zrzut ekranu przedstawiający sposób wybierania profilu szablonu administracyjnego z listy Profile konfiguracji urządzeń w usłudze Microsoft Intune.

  2. Zostanie wyświetlona lista istniejących użytkowników i grup. Wybierz utworzoną wcześniej > grupę Wszystkie urządzenia uczniów z systemem Windows 10Wybierz.

    Jeśli używasz tego przewodnika w środowisku produkcyjnym, rozważ dodanie pustych grup. Celem jest przećwiczanie przypisywania szablonu.

  3. Wybierz pozycję Dalej. W obszarze Przeglądanie i tworzenie wybierz pozycję Utwórz , aby zapisać zmiany.

Po zapisaniu profilu dotyczy on urządzeń podczas ewidencjonowania w usłudze Intune. Jeśli urządzenia są połączone z Internetem, może się to zdarzyć natychmiast. Aby uzyskać więcej informacji na temat czasu odświeżania zasad, przejdź do tematu Jak długo trwa pobieranie zasad, profilu lub aplikacji przez urządzenia.

Podczas przypisywania rygorystycznych lub restrykcyjnych zasad i profilów nie blokuj się. Rozważ utworzenie grupy wykluczonej z zasad i profilów. Chodzi o to, aby mieć dostęp do rozwiązywania problemów. Monitoruj tę grupę, aby potwierdzić, że jest ona używana zgodnie z oczekiwaniami.

Co właśnie zrobiłem?

W centrum administracyjnym usługi Intune utworzono profil konfiguracji urządzenia szablonu administracyjnego i przypisano ten profil do utworzonej grupy.

Tworzenie szablonu usługi OneDrive

W tej sekcji utworzysz szablon administratora usługi OneDrive w usłudze Intune, aby kontrolować niektóre ustawienia. Te konkretne ustawienia są wybierane, ponieważ są często używane przez organizacje.

  1. Utwórz inny profil (Urządzenia>Zarządzaj urządzeniami>Konfiguracja>Utwórz>nowe zasady).

  2. Wprowadź następujące właściwości:

    • Platforma: wybierz pozycję Windows 10 i nowsze.
    • Typ profilu: wybierz pozycję Szablony Szablony Szablony>administracyjne.

  3. Wybierz pozycję Utwórz.

  4. W obszarze Podstawowe informacje wprowadź następujące właściwości:

    • Nazwa: wprowadź szablon administratora — zasady usługi OneDrive, które mają zastosowanie do wszystkich użytkowników systemu Windows 10.
    • Opis: wprowadź opis profilu. To ustawienie jest opcjonalne, ale zalecane.

  5. Wybierz pozycję Dalej.

  6. W obszarze Ustawienia konfiguracji skonfiguruj następujące ustawienia. Pamiętaj, aby wybrać przycisk OK , aby zapisać zmiany:

    • Konfiguracja komputera:

      • Dyskretne logowanie użytkowników do klienta synchronizacji usługi OneDrive przy użyciu poświadczeń systemu Windows
        • Typ: Urządzenie
        • Wartość: włączone
      • Używanie plików usługi OneDrive na żądanie
        • Typ: Urządzenie
        • Wartość: włączone

    • Konfiguracja użytkownika:

      • Uniemożliwianie użytkownikom synchronizowania osobistych kont usługi OneDrive
        • Typ: Użytkownik
        • Wartość: włączone

Ustawienia będą wyglądać podobnie do następujących:

Zrzut ekranu przedstawiający sposób tworzenia szablonu administracyjnego usługi OneDrive w usłudze Microsoft Intune.

Aby uzyskać więcej informacji na temat ustawień klienta usługi OneDrive, przejdź do tematu Używanie zasad grupy do kontrolowania ustawień klienta synchronizacji usługi OneDrive.

Przypisywanie szablonu

  1. W szablonie wybierz pozycję Dalej , dopóki nie uzyskasz pozycji Przypisania. Wybierz pozycję Wybierz grupy do uwzględnienia:

  2. Zostanie wyświetlona lista istniejących użytkowników i grup. Wybierz utworzoną wcześniej > grupę Wszystkie urządzenia z systemem WindowsWybierz.

    Jeśli używasz tego przewodnika w środowisku produkcyjnym, rozważ dodanie pustych grup. Celem jest przećwiczanie przypisywania szablonu.

  3. Wybierz pozycję Dalej. W obszarze Przeglądanie i tworzenie wybierz pozycję Utwórz , aby zapisać zmiany.

W tym momencie utworzono kilka szablonów administracyjnych i przypisano je do utworzonych grup. Następnym krokiem jest utworzenie szablonu administracyjnego przy użyciu programu Windows PowerShell i interfejsu API programu Microsoft Graph dla usługi Intune.

Opcjonalnie: tworzenie zasad przy użyciu programu PowerShell i interfejsu API programu Graph

W tej sekcji są używane następujące zasoby. Te zasoby zostaną zainstalowane w tej sekcji.

  1. Na komputerze administracyjnym otwórz program Windows PowerShell jako administrator:

    1. Na pasku wyszukiwania wprowadź polecenie powershell.
    2. Kliknij prawym przyciskiem myszy program Windows PowerShell>Uruchom jako administrator.

    Zrzut ekranu przedstawiający sposób uruchamiania programu Windows PowerShell jako administrator.

  2. Pobierz i ustaw zasady wykonywania.

    1. Wejść: get-ExecutionPolicy

      Zanotuj ustawienia zasad, które mogą być ograniczone. Po zakończeniu pracy z przewodnikiem ustaw ją z powrotem na oryginalną wartość.

    2. Wejść: Set-ExecutionPolicy -ExecutionPolicy Unrestricted

    3. Wprowadź polecenie Y , aby go zmienić.

    Zasady wykonywania programu PowerShell pomagają zapobiegać wykonywaniu złośliwych skryptów. Aby uzyskać więcej informacji, przejdź do tematu Informacje o zasadach wykonywania.

  3. Wejść: Install-Module -Name Microsoft.Graph.Intune

    Wprowadź Y wartość if:

    • Prośba o zainstalowanie dostawcy NuGet
    • Prośba o zainstalowanie modułów z niezaufanego repozytorium

    Ukończenie może potrwać kilka minut. Po zakończeniu zostanie wyświetlony monit podobny do następującego:

    Zrzut ekranu przedstawiający monit programu Windows PowerShell po zainstalowaniu modułu.

  4. W przeglądarce internetowej przejdź do https://github.com/Microsoft/Intune-PowerShell-SDK/releasespozycji i wybierz plik Intune-PowerShell-SDK_v6.1907.00921.0001.zip .

    1. Wybierz pozycję Zapisz jako i wybierz folder, który zapamiętasz. c:\psscripts jest dobrym wyborem.

    2. Otwórz folder, kliknij prawym przyciskiem myszy plik > .zip Wyodrębnij wszystkie>wyodrębnianie. Struktura folderów wygląda podobnie do następującego folderu:

      Zrzut ekranu przedstawiający strukturę folderów zestawu SDK programu PowerShell usługi Intune po wyodrębnieniu.

  5. Na karcie Widok sprawdź rozszerzenia nazw plików:

    Zrzut ekranu przedstawiający sposób wybierania rozszerzeń nazw plików na karcie widok w Eksploratorze plików systemu Windows.

  6. W folderze przejdź do c:\psscripts\Intune-PowerShell-SDK_v6.1907.00921.0001\drop\outputs\build\Release\net471pozycji . Kliknij prawym przyciskiem myszy każdą .dll >Właściwości>odblokuj.

    Zrzut ekranu przedstawiający sposób odblokowania bibliotek DLL.

  7. W aplikacji programu Windows PowerShell wprowadź:

    Import-Module c:\psscripts\Intune-PowerShell-SDK_v6.1907.00921.0001\drop\outputs\build\Release\net471\Microsoft.Graph.Intune.psd1

    Wprowadź R polecenie , jeśli zostanie wyświetlony monit o uruchomienie od niezaufanego wydawcy.

  8. Szablony administracyjne usługi Intune używają wersji beta programu Graph:

    1. Wejść: Update-MSGraphEnvironment -SchemaVersion 'beta'

    2. Wejść: Connect-MSGraph -AdminConsent

    3. Po wyświetleniu monitu zaloguj się przy użyciu tego samego konta administratora platformy Microsoft 365. Te polecenia cmdlet tworzą zasady w organizacji dzierżawy.

      Użytkownik: wprowadź konto administratora subskrypcji dzierżawy platformy Microsoft 365.
      Hasło: wprowadź jego hasło.

    4. Wybierz pozycję Zaakceptuj.

  9. Utwórz profil konfiguracji konfiguracji konfiguracji testu . Wejść:

    $configuration = Invoke-MSGraphRequest -Url https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations -Content '{"displayName":"Test Configuration","description":"A test configuration created through PS"}' -HttpMethod POST

    Gdy te polecenia cmdlet zakończą się pomyślnie, zostanie utworzony profil. Aby to potwierdzić, przejdź do centrum > administracyjnego usługi Intune Urządzenia>Zarządzanie konfiguracją urządzeń>. Powinien zostać wyświetlony profil konfiguracji testowej .

  10. Pobierz wszystkie elementy SettingDefinitions. Wejść:

    $settingDefinitions = Invoke-MSGraphRequest -Url https://graph.microsoft.com/beta/deviceManagement/groupPolicyDefinitions -HttpMethod GET

  11. Znajdź identyfikator definicji przy użyciu nazwy wyświetlanej ustawienia. Wejść:

    $desiredSettingDefinition = $settingDefinitions.value | ? {$_.DisplayName -Match "Silently sign in users to the OneDrive sync app with their Windows credentials"}

  12. Skonfiguruj ustawienie. Wejść:

    $configuredSetting = Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues" -Content ("{""enabled"":""true"",""configurationType"":""policy"",""definition@odata.bind"":""https://graph.microsoft.com/beta/deviceManagement/groupPolicyDefinitions('$($desiredSettingDefinition.id)')""}") -HttpMethod POST

    Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues('$($configuredSetting.id)')" -Content ("{""enabled"":""false""}") -HttpMethod PATCH

    $configuredSetting = Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues('$($configuredSetting.id)')" -HttpMethod GET

Wyświetlanie zasad

  1. W centrum > administracyjnym usługi Intune Urządzenia> Zarządzanieodświeżaniemkonfiguracji>urządzeń>.
  2. Wybierz ustawienia profilu >Konfiguracja testu.
  3. Z listy rozwijanej wybierz pozycję Wszystkie produkty.

Zobaczysz, że użytkownicy logowania w trybie dyskretnym do klienta synchronizacji usługi OneDrive z skonfigurowanym ustawieniem poświadczeń systemu Windows .

Najlepsze rozwiązania dotyczące zasad

Podczas tworzenia zasad i profilów w usłudze Intune należy wziąć pod uwagę pewne zalecenia i najlepsze rozwiązania. Aby uzyskać więcej informacji, przejdź do najlepszych rozwiązań dotyczących zasad i profilów.

Czyszczenie zasobów

Gdy nie jest już potrzebna, możesz:

  • Usuń utworzone grupy:

    • Wszystkie urządzenia uczniów z systemem Windows 10
    • Wszystkie urządzenia z systemem Windows
    • Wszyscy nauczyciele

  • Usuń utworzone szablony administratora:

    • Szablon administratora — urządzenia uczniów z systemem Windows 10
    • Szablon administratora — zasady usługi OneDrive, które mają zastosowanie do wszystkich użytkowników systemu Windows 10
    • Konfiguracja testu

  • Ustaw zasady wykonywania programu Windows PowerShell z powrotem na oryginalną wartość. W poniższym przykładzie zasady wykonywania są ustawiane na ograniczone:

    Set-ExecutionPolicy -ExecutionPolicy Restricted

Następne kroki

W tym samouczku bardziej zapoznaliśmy się z centrum administracyjnym usługi Microsoft Intune, użyto konstruktora zapytań do tworzenia grup dynamicznych i utworzono szablony administracyjne w usłudze Intune w celu skonfigurowania ustawień usługi ADMX. Porównano również korzystanie z szablonów ADMX w środowisku lokalnym i w chmurze z usługą Intune. Dodatkowo do utworzenia szablonu administracyjnego użyto poleceń cmdlet programu PowerShell.

Aby uzyskać więcej informacji na temat szablonów administracyjnych w usłudze Intune, przejdź do:

Konfigurowanie ustawień zasad grupy w usłudze Intune przy użyciu szablonów systemu Windows 10/11