Zarządzanie profilami punktów odniesienia zabezpieczeń w usłudze Microsoft Intune
Aby chronić użytkowników i urządzenia z systemem Windows, można skonfigurować i wdrożyć różne wystąpienia profilów punktów odniesienia zabezpieczeń usługi Microsoft Intune dla różnych grup urządzeń z systemem Windows i użytkowników. Istnieją różne punkty odniesienia dla różnych produktów, a każdy z nich to grupa wstępnie skonfigurowanych ustawień, które reprezentują zalecaną postawę zabezpieczeń ze strony tego zespołu ds. zabezpieczeń produktów. Możesz wdrożyć domyślny (niezmodyfikowany) plan bazowy lub dostosować profile w celu skonfigurowania urządzeń z ustawieniami wymaganymi przez organizację.
Aby uzyskać listę dostępnych punktów odniesienia zabezpieczeń, zobacz Omówienie punktów odniesienia zabezpieczeń.
Ta funkcja ma zastosowanie do:
- Windows 10 w wersji 1809 lub nowszej
- System Windows 11
Omówienie punktów odniesienia zabezpieczeń
Podczas tworzenia profilu punktu odniesienia zabezpieczeń w usłudze Intune tworzysz szablon, który składa się z wielu ustawień konfiguracji urządzenia .
Jeśli istnieje wiele wersji punktu odniesienia zabezpieczeń, do utworzenia nowego wystąpienia punktu odniesienia można użyć tylko najnowszej wersji. Możesz nadal używać wcześniej utworzonych wystąpień starszych punktów odniesienia i edytować grupy, do których zostały przypisane. Jednak nieaktualne wersje nie obsługują zmian w konfiguracjach ustawień. Zamiast tego utwórz nowe punkty odniesienia korzystające z najnowszej wersji punktu odniesienia lub zaktualizuj starsze punkty odniesienia do tej najnowszej wersji, jeśli musisz wprowadzić nowe konfiguracje ustawień.
Zalecamy zaktualizowanie starszych wersji punktu odniesienia do najnowszej wersji, gdy tylko będzie to praktyczne. Nowsza wersja może:
- Uwzględnij nowe ustawienia, które nie były dostępne w starszych wersjach.
- Wycofaj i usuń stare ustawienia, które nie są już obsługiwane.
- Zmień domyślną konfigurację ustawień, aby dopasować je do bieżących zaleceń dotyczących zabezpieczeń dla odpowiedniego produktu.
Typowe zadania podczas pracy z punktami odniesienia zabezpieczeń obejmują:
- Utwórz nowe wystąpienie profilu — skonfiguruj ustawienia, których chcesz użyć, i przypisz punkt odniesienia do grup.
- Zaktualizuj starszą wersję odniesienia do najnowszej wersji punktu odniesienia — zmień wersję punktu odniesienia używaną przez profil.
- Usuwanie przypisania punktu odniesienia — dowiedz się, co się stanie po zatrzymaniu zarządzania ustawieniami przy użyciu punktu odniesienia zabezpieczeń.
Wymagania wstępne
Użycie usługi Intune do wdrażania punktów odniesienia zabezpieczeń wymaga subskrypcji planu 1 usługi Microsoft Intune.
Porada
Usługa Intune zapewnia łatwy w użyciu interfejs użytkownika do konfigurowania i wdrażania punktów odniesienia zabezpieczeń, ale nie tworzy ani nie definiuje punktów odniesienia zabezpieczeń. Poza usługą Intune dostępne są inne opcje wdrażania punktów odniesienia zabezpieczeń, takie jak te dostępne w zestawie narzędzi do zgodności zabezpieczeń.
Użycie punktów odniesienia za pośrednictwem usługi Intune wymaga posiadania aktywnej subskrypcji dla zarządzanego produktu, jeśli ma to zastosowanie. Na przykład użycie punktu odniesienia usługi Microsoft Defender dla punktu końcowego nie przyznaje praw do korzystania z usługi Microsoft Defender. Zamiast tego punkt odniesienia udostępnia metodę konfigurowania ustawień znajdujących się na urządzeniach licencjonowanych i zarządzanych przez usługę Microsoft Defender for Endpoint oraz zarządzania nimi.
Aby zarządzać punktami odniesienia w usłudze Intune, twoje konto musi mieć wbudowaną rolę Policy and Profile Manager .
Tworzenie profilu dla punktu odniesienia zabezpieczeń
Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.
Wybierz pozycjęPunkty odniesienia zabezpieczeń>punktu końcowego, aby wyświetlić listę dostępnych punktów odniesienia.
Wybierz punkt odniesienia, którego chcesz użyć, a następnie wybierz pozycję Utwórz profil.
Na karcie Podstawy określ następujące właściwości:
Nazwa: wprowadź nazwę profilu punktów odniesienia zabezpieczeń. Na przykład wprowadź profil Standardowy dla usługi Defender dla punktu końcowego.
Opis: Wprowadź tekst opisujący sposób działania tego punktu odniesienia. Opis służy do wprowadzania dowolnego tekstu. Jest to opcjonalne, ale zalecane.
Wybierz pozycję Dalej , aby przejść do następnej karty. Po przejściu do nowej karty możesz wybrać nazwę karty, aby powrócić do poprzednio wyświetlonej karty.
Na karcie Ustawienia konfiguracji wyświetl grupy ustawień , które są dostępne w wybranym punkcie odniesienia. Możesz rozwinąć grupę, aby wyświetlić ustawienia w tej grupie oraz wartości domyślne dla tych ustawień w punkcie odniesienia. Aby znaleźć określone ustawienia:
- Wybierz grupę do rozwinięcia i przejrzyj dostępne ustawienia.
- Szczegółowe informacje dotyczące ustawienia są dostępne obok ikony żarówki. Szczegółowe informacje o ustawieniach zapewniają zaufanie do konfiguracji przez dodanie szczegółowych informacji, które podobne organizacje zostały pomyślnie przyjęte. Szczegółowe informacje są dostępne dla niektórych ustawień, a nie dla wszystkich ustawień. Aby uzyskać więcej informacji, zobacz Szczegółowe informacje o ustawieniach.
- Użyj paska wyszukiwania i określ słowa kluczowe, które filtrują widok, aby wyświetlić tylko te grupy, które zawierają kryteria wyszukiwania.
Każde ustawienie w punkcie odniesienia ma domyślne ustawienie wstępne konfiguracji dla tej wersji punktu odniesienia. Niektóre z nich nie zostaną skonfigurowane, podczas gdy inne są skonfigurowane do konfigurowania określonych wartości lub warunków na urządzeniu. Domyślne ustawienia wstępne znalezione w punkcie odniesienia reprezentują zalecaną postawę zabezpieczeń od tego zespołu ds. zabezpieczeń produktów. Podczas konfigurowania punktu odniesienia:
- Pamiętaj, aby przejrzeć każde ustawienie i w razie potrzeby ponownie skonfigurować domyślne ustawienie wstępne, gdy firma wymaga innej konfiguracji.
- Należy pamiętać, że różne typy i wersje punktów odniesienia mogą zawierać ustawienia, które znajdują się w innych punktach odniesienia, a każda z nich może zalecić inną wartość domyślną dla ustawienia.
Na karcie Tagi zakresu wybierz pozycję Wybierz tagi zakresu , aby otworzyć okienko Wybierz tagi , aby przypisać tagi zakresu do profilu.
Na karcie Przypisania wybierz pozycję Wybierz grupy do uwzględnienia , a następnie przypisz punkt odniesienia do co najmniej jednej grupy. Użyj opcji Wybierz grupy do wykluczenia , aby dostosować przypisanie.
Uwaga
Punkty odniesienia zabezpieczeń muszą być przypisane do grup użytkowników lub grup urządzeń na podstawie zakresu używanych ustawień. W związku z tym podczas przypisywania ustawień użytkownika i urządzenia może być potrzebnych wiele punktów odniesienia.
Gdy wszystko będzie gotowe do wdrożenia punktu odniesienia, przejdź do karty Przeglądanie i tworzenie i przejrzyj szczegóły punktu odniesienia. Wybierz pozycję Utwórz , aby zapisać i wdrożyć profil.
Po utworzeniu profilu usługa Intune wypycha go do przypisanej grupy, która stosuje go natychmiast.
Porada
Jeśli zapiszesz profil bez uprzedniego przypisania go do grup, możesz później edytować profil, aby to zrobić.
Po utworzeniu profilu edytuj go, przechodząc dopozycji Punkty odniesienia zabezpieczeń>punktu końcowego, wybierz skonfigurowany typ punktu odniesienia, a następnie wybierz pozycję Profile. Wybierz profil z listy dostępnych profilów, a następnie wybierz pozycję Właściwości. Możesz edytować ustawienia na wszystkich dostępnych kartach konfiguracji, a następnie wybrać pozycję Przejrzyj i zapisz, aby zatwierdzić zmiany.
Aktualizowanie profilu do najnowszej wersji
Informacje przedstawione w tej sekcji dotyczą aktualizowania wystąpienia punktu odniesienia utworzonego przed majem 2023 r. do wersji tego samego punktu odniesienia, która została wydana po maju 2023 r.
Uwaga
W maju 2023 r. usługa Intune rozpoczęła wdrażanie nowego formatu punktu odniesienia zabezpieczeń dla każdej nowej wersji lub aktualizacji punktu odniesienia. Usługa Intune wprowadziła również nowy proces aktualizacji migracji istniejącego profilu punktu odniesienia zabezpieczeń do nowo wydanego punktu odniesienia zabezpieczeń. To nowe zachowanie zastępuje istniejące zachowanie podczas przechodzenia do wersji bazowej wydanej w maju 2023 r. lub nowszej.
Poprzednie zachowanie pozostaje dostępne do użycia podczas aktualizowania punktów odniesienia, które nie otrzymały jeszcze nowej wersji używającej nowego formatu. Aby uzyskać wskazówki, zobacz Aktualizowanie punktów odniesienia korzystających z poprzedniego formatu.
Po maju 2023 r., gdy zostanie wydana nowa wersja punktu odniesienia, zaplanuj aktualizację istniejących profilów do nowej wersji. W przypadku przejścia ze starszego formatu do nowego formatu punktu odniesienia (z wersji wydanej przed majem 2023 r. do wersji wydanej w maju 2023 r. lub nowszej):
Wszystkie nowe profile dla typu punktu odniesienia, takie jak Microsoft Edge, używają nowego formatu. Tworzenie nowego punktu odniesienia używającego starszej wersji punktu odniesienia nie jest obsługiwane.
Wersje planu bazowego wydane przed majem 2023 r. nie są uaktualnione do nowego formatu. Zamiast tego utwórz nowy profil, który używa nowego formatu i konfiguruje ustawienia ze starej linii bazowej w tym nowym formacie punktu odniesienia. Odtworzenie profilu jest jednorazowym procesem, który jest wymagany do przeniesienia punktu odniesienia ze starego formatu do nowego formatu punktu odniesienia.
Aby pomóc Ci w tym procesie, usługa Intune może wyeksportować stary profil do formatu CSV, który identyfikuje każde ustawienie na podstawie nazwy ustawienia wyświetlanego w nowej wersji profilu wraz z jego konfiguracją.
Po utworzeniu nowego punktu odniesienia, który może zastąpić starszą wersję punktu odniesienia, starszy profil pozostaje niezmieniony i można go nadal używać. Możesz kontynuować wdrażanie, ponowne przypisywanie i edytowanie ustawień w starszym formacie punktu odniesienia.
Porada
Obsługa edytowania ustawień w starszej wersji punktu odniesienia po zaktualizowaniu do nowej wersji jest zmianą w stosunku do poprzedniego zachowania. To zachowanie jest możliwe tylko w przypadku przechodzenia z wersji linii bazowych utworzonych przed majem 2023 r. do wersji utworzonych w maju 2023 r. lub nowszych, ponieważ nowy format punktu odniesienia istnieje obok starszego formatu punktu odniesienia zamiast zastępowania go. Później podczas aktualizowania wystąpienia punktu odniesienia, które zostało utworzone w maju 2023 r. lub nowszej wersji, zwracane jest oryginalne zachowanie, w którym nie można edytować ustawień w starszej wersji.
Zalecamy jak najszybsze zaprzestanie używania starszego formatu i wdrażanie profilu na podstawie najnowszej wersji. Starsze profile nie otrzymują aktualizacji, podczas gdy nowsze wersje wydane w maju 2023 r.:
- Użyj nowego formatu ustawień w interfejsie użytkownika usługi Intune, który jest bezpośrednio zgodny ze źródłem dostawcy usług konfiguracji (CSP) dla każdego ustawienia.
- Są wstępnie skonfigurowane z domyślnymi konfiguracjami zalecanymi przez odpowiednie zespoły ds. zabezpieczeń.
Aktualizowanie punktu odniesienia do nowego formatu
Aby zaktualizować punkt odniesienia utworzony przed majem 2023 r. do nowego formatu, należy utworzyć nowe wystąpienie punktu odniesienia. Aby ułatwić odtworzenie oryginalnej konfiguracji punktów odniesienia, możesz wyeksportować bieżącą konfigurację punktów odniesienia w usłudze Intune jako plik .CSV. Eksport obejmuje:
- Każde ustawienie ze starszej linii bazowej jest identyfikowane przy użyciu nazwy ustawienia wyświetlanego w nowej linii bazowej. Chociaż nazwa ustawienia nie jest wyświetlana dosłownie w .csv, możesz znaleźć ścieżkę ustawienia, która zawiera część nazwy ustawienia.
- Jak skonfigurowano każde ustawienie w starszej linii bazowej.
- Jeśli konfiguracja ustawienia ze starego punktu odniesienia jest zgodna z konfiguracją domyślną z nowego punktu odniesienia.
Dzięki informacjom z eksportu można szybko ponownie skonfigurować nowy punkt odniesienia, aby używał tych samych wartości co starsze wystąpienie punktu odniesienia.
Zaloguj się do centrum administracyjnego usługi Microsoft Intune i przejdź do pozycjiPunkty odniesienia>zabezpieczeń> punktu końcowegowybierz typ punktu odniesienia, a następnie zaznacz pole wyboru profilu punktu odniesienia (wystąpienia), które chcesz zreplikować w nowym formacie punktu odniesienia, a następnie wybierz pozycję Zmień wersję. W usłudze Intune zostanie wyświetlone okienko Zmień wersję .
Na poniższym zrzucie ekranu przejdziemy do szczegółów punktu odniesienia zabezpieczeń dla przeglądarki Microsoft Edge. Obecnie mamy dwa profile. Jeden z nich to nowy profil przeglądarki Microsoft Edge w wersji 112, a drugi to starszy profil od września 2020 r. W starszym profilu jest również wyświetlana ikona strzałki wskazująca, że istnieje nowsza wersja do zastąpienia.
W okienku Zmień wersję znajdują się instrukcje dotyczące przenoszenia szczegółów konfiguracji ze starszej linii bazowej do profilu używającego nowego formatu. W okienku zidentyfikowano również nazwę i wersję wybranych punktów odniesienia oraz najnowszą wersję punktu odniesienia.
Wybierz pozycję Eksportuj ustawienia profilu , aby utworzyć plik .csv, który wyświetla listę ustawień w wybranej linii bazowej wraz z ich bieżącymi konfiguracjami, jeśli nie są ustawione na domyślne punkty odniesienia. Po wybraniu opcji eksportowania szczegółów punktu odniesienia usługa Intune przygotowuje eksport, a następnie wymaga wyrażenia zgody na kontynuowanie. Wybierz pozycję Tak , aby pobrać eksport pliku .CSV.
Po pobraniu pliku możesz go otworzyć, aby wyświetlić bieżącą konfigurację starszych punktów odniesienia.
Okienko Zmień wersję zawiera również przycisk Utwórz nowy profil dla wybranego punktu odniesienia, który ma taką samą funkcję jak opcja Utwórz profil , która jest częściej używana do tworzenia nowych wystąpień punktu odniesienia.
Poniższe przechwytywanie ekranu przedstawia eksport profilu przeglądarki Microsoft Edge w wersji 85, jak pokazano w programie Microsoft Excel. Z nowych ustawień 17 punktów odniesienia przeglądarki Microsoft Edge, które zostały znalezione w starszym profilu, zmieniono tylko jedno ustawienie: Włącz izolację lokacji dla każdej lokacji została ustawiona na Wyłączone w starszej linii bazowej. W nowszym punkcie odniesienia ustawienie jest teraz domyślnie włączone:
Na powyższym obrazie znajdują się trzy kolumny informacji. Informacje identyfikują ustawienia w nowym profilu i konfigurację dla każdego z nich, które zostały utworzone w starym profilu.
DefinitionId — w tej kolumnie jest wyświetlana nazwa rejestru ustawień. Informacje po podkreśleniu ( _ ) identyfikują nazwę ustawień, jaka jest wyświetlana w nowym profilu i formacie punktu odniesienia, ale bez spacji w nazwie. Ta wartość jest również nazwą ustawienia CSP zarządzanego przez to ustawienie punktu odniesienia.
Na przykład zmodyfikowane ustawienie Włącz izolację lokacji dla każdej witryny jest wyświetlane w tym eksporcie jako admx — microsoftedge_SitePerProcess. Ostatnia część, SitePerProcess, pomaga zidentyfikować ustawienie.
defaultJson — ta kolumna identyfikuje domyślną konfigurację tego ustawienia, jak pokazano w nowym formacie punktu odniesienia. Nasze przykładowe ustawienie dostawcy CSP SitePerProcess jest domyślnie włączone .
customizedJson — ostatnia kolumna wyświetla konfigurację każdego ustawienia ze starszej wersji profilu. Te informacje ułatwiają zrozumienie, które ustawienia w nowym profilu wymagają modyfikacji w celu dopasowania ich do konfiguracji starszych profilów. Nasze ustawienie przykładowe zostało ustawione na wyłączone. Wszystkie inne ustawienia są wyświetlane jako "NotApplicable", ponieważ nie zostały zmodyfikowane z konfiguracji domyślnej w starszej wersji punktu odniesienia, z których korzystaliśmy.
Można zauważyć, że zaktualizowany profil punktu odniesienia przeglądarki Microsoft Edge zawiera więcej niż 17 ustawień znalezionych w starszym profilu. Eksport punktu odniesienia nie identyfikuje tych nowych ustawień, ponieważ nie były one dostępne w starszej wersji punktu odniesienia, którą przeglądasz.
Później podczas tworzenia i konfigurowania nowego profilu można użyć listy z eksportu CSV, aby upewnić się, że każde ustawienie z poprzedniego profilu jest ustawione w nowym profilu z tą samą konfiguracją.
Aktualizowanie punktów odniesienia korzystających z poprzedniego formatu
Informacje przedstawione w tej sekcji dotyczą aktualizowania istniejącego punktu odniesienia utworzonego przed majem 2023 r. do wersji tego samego punktu odniesienia, która została również wydana przed majem 2023 r.
Uwaga
W maju 2023 r. usługa Intune rozpoczęła wdrażanie nowego formatu punktu odniesienia zabezpieczeń dla każdej nowej wersji lub aktualizacji punktu odniesienia. Usługa Intune wprowadziła również nowy proces aktualizacji migracji istniejącego profilu punktu odniesienia zabezpieczeń do nowo wydanego punktu odniesienia zabezpieczeń. To nowe zachowanie zastępuje istniejące zachowanie podczas przechodzenia do wersji bazowej wydanej w maju 2023 r. lub nowszej.
Poniższe wskazówki są używane podczas aktualizowania punktu odniesienia do nowszej wersji, która została wydana przed majem 2023 r. Jeśli aktualizujesz punkt odniesienia do wersji wydanej w maju 2023 r. lub nowszej, zobacz Aktualizowanie profilu do najnowszej wersji.
Gdy nowa wersja punktu odniesienia stanie się dostępna, zaplanuj aktualizację istniejących profilów do nowej wersji:
- Istniejące profile nie są automatycznie uaktualniane do nowych wersji.
- Ustawienia w profilach punktu odniesienia, które nie korzystają z najnowszej wersji, stają się tylko do odczytu. Możesz nadal używać tych starszych profilów, w tym edytować ich nazwy, opisy i przypisania, ale nie możesz edytować ustawień dla nich ani tworzyć nowych profilów na podstawie tych starszych wersji.
Zalecamy przetestowanie aktualizacji wersji na kopii istniejących profilów przed zaktualizowaniem profilów na żywo.
Po zmianie wersji profilu:
Wybierasz najnowsze wystąpienie tego samego punktu odniesienia. Nie można zmienić między dwoma różnymi typami punktów odniesienia, takimi jak zmiana profilu z korzystania z punktu odniesienia dla usługi Defender dla punktu końcowego na korzystanie z punktu odniesienia zabezpieczeń mdm.
Możesz wyeksportować i pobrać plik CSV zawierający listę zmian między dwiema zaangażowanymi wersjami punktu odniesienia.
Wybierasz sposób aktualizowania profilu:
- Wszystkie dostosowania można zachować z oryginalnej wersji punktu odniesienia.
- Możesz użyć wartości domyślnych dla wszystkich ustawień w nowej wersji punktu odniesienia.
Nie masz możliwości zmiany tylko niektórych ustawień w profilu podczas aktualizacji.
Podczas konwersji:
Dodawane są nowe ustawienia, które nie znajdowały się w starszej używanej wersji. Wszystkie nowe ustawienia nowej wersji używają wartości domyślnych.
Ustawienia, które nie znajdują się w wybranej nowej wersji punktu odniesienia, są usuwane i nie są już wymuszane przez ten profil punktu odniesienia zabezpieczeń.
Jeśli ustawienie nie jest już zarządzane przez profil punktu odniesienia, to ustawienie nie jest resetowane na urządzeniu. Zamiast tego ustawienie na urządzeniu pozostaje ustawione na jego ostatnią konfigurację, dopóki inny proces nie będzie zarządzał ustawieniem, aby je zmienić. Przykłady procesów, które mogą zmienić ustawienie po zaprzestaniu zarządzania nim, obejmują inny profil punktu odniesienia, ustawienie zasad grupy lub konfigurację ręczną utworzoną na urządzeniu.
Po zakończeniu konwersji na nową wersję punktu odniesienia:
- Punkt odniesienia zostanie natychmiast ponownie wdrożony w przypisanych grupach.
- Możesz edytować punkt odniesienia, aby zmienić poszczególne ustawienia.
Testowanie konwersji i zaktualizowanego punktu odniesienia
Przed zaktualizowaniem profilu punktu odniesienia do nowej wersji utwórz jego kopię, aby można było przetestować nową wersję profilu na grupie urządzeń. Zobacz Duplikowanie punktu odniesienia zabezpieczeń w dalszej części tego artykułu.
- Podczas tworzenia kopii przypisania grup nie są uwzględniane, co oznacza, że kopia punktu odniesienia nie zostanie wdrożona na żadnym urządzeniu podczas tworzenia kopii lub podczas aktualizowania jej do nowej wersji.
- Po zaktualizowaniu profilu do najnowszej wersji możesz edytować jego ustawienia. Zaktualizowaną kopię można przypisać do grupy urządzeń i edytować ją, aby wprowadzić zmiany w poszczególnych ustawieniach w profilu.
Aby zmienić wersję punktu odniesienia dla profilu
Przed zaktualizowaniem wersji profilu przypisanego do grup przetestuj aktualizację wersji na kopii profilu, aby następnie zweryfikować nowe ustawienia punktów odniesienia w grupie testowej urządzeń.
Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.
Wybierz pozycjęPunkty odniesienia zabezpieczeń>punktu końcowego, a następnie wybierz kafelek dla typu punktu odniesienia, który ma profil, który chcesz zmienić.
Następnie wybierz pozycję Profile, a następnie zaznacz pole wyboru profilu, który chcesz edytować, a następnie wybierz pozycję Zmień wersję.
W okienku Zmień wersję użyj listy rozwijanej Wybierz punkt odniesienia zabezpieczeń, aby zaktualizować go do listy rozwijanej, i wybierz wystąpienie wersji, którego chcesz użyć.
Wybierz pozycję Przejrzyj aktualizację , aby pobrać plik CSV, który wyświetla różnicę między bieżącą wersją wystąpienia profilów a wybraną nową wersją. Przejrzyj ten plik, aby zrozumieć, które ustawienia są nowe lub usunięte, oraz jakie wartości domyślne dla tych ustawień znajdują się w zaktualizowanym profilu.
Gdy wszystko będzie gotowe, przejdź do następnego kroku.
Wybierz jedną z dwóch opcji Wybierz metodę, aby zaktualizować profil:
- Zaakceptuj zmiany planu bazowego, ale zachowaj istniejące dostosowania ustawień — ta opcja zachowuje dostosowania wprowadzone w profilu punktu odniesienia i stosuje je do nowej wersji wybranej do użycia.
- Zaakceptuj zmiany planu bazowego i odrzuć istniejące dostosowania ustawień — ta opcja całkowicie zastępuje oryginalny profil. Zaktualizowany profil używa wartości domyślnych dla wszystkich ustawień.
Wybierz pozycję Prześlij. Profil zostanie zaktualizowany do wybranej wersji punktu odniesienia, a po zakończeniu konwersji punkt odniesienia zostanie natychmiast ponownie wdrożony w przypisanych grupach.
Usuwanie przypisania punktu odniesienia zabezpieczeń
Jeśli ustawienie punktu odniesienia zabezpieczeń nie ma już zastosowania do urządzenia lub ustawienia w punkcie odniesienia są ustawione na Wartość Nieskonfigurowane, te ustawienia na urządzeniu mogą nie wrócić do konfiguracji wstępnie zarządzanej w zależności od ustawień w punkcie odniesienia zabezpieczeń. Ustawienia są oparte na dostawców CSP, a każdy dostawca CSP może obsługiwać usuwanie zmian inaczej.
Inne procesy, które mogą później zmienić ustawienia na urządzeniu, obejmują inny lub nowy punkt odniesienia zabezpieczeń, profil konfiguracji urządzenia, konfigurację zasad grupy lub ręczną edycję ustawienia na urządzeniu.
Duplikowanie punktu odniesienia zabezpieczeń
Można tworzyć duplikaty punktów odniesienia zabezpieczeń. Duplikowanie punktu odniesienia może być przydatne, gdy chcesz przypisać podobny, ale odrębny punkt odniesienia do podzestawu urządzeń. Utworzenie duplikatu nie wymaga ręcznego ponownego utworzenia całego punktu odniesienia. Zamiast tego można zduplikować dowolny z bieżących punktów odniesienia, a następnie wprowadzić tylko zmiany wymagane przez nowe wystąpienie. Możesz zmienić tylko określone ustawienie i grupę, do którą przypisano punkt odniesienia.
Podczas tworzenia duplikatu nadaj kopii nową nazwę. Kopia jest wykonywana z tymi samymi konfiguracjami ustawień i tagami zakresu co oryginalna, ale nie ma żadnych przypisań. Aby dodać przypisania, musisz edytować nowy punkt odniesienia.
Wszystkie punkty odniesienia zabezpieczeń obsługują tworzenie duplikatów.
Po zduplikowaniu punktu odniesienia przejrzyj i edytuj nowe wystąpienie, aby wprowadzić zmiany w jego konfiguracji.
Aby zduplikować punkt odniesienia
- Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.
- Przejdź do pozycjiPunkty odniesienia zabezpieczeń>punktu końcowego, wybierz typ punktu odniesienia, który chcesz zduplikować, a następnie wybierz pozycję Profile.
- Kliknij prawym przyciskiem myszy profil, który chcesz zduplikować, a następnie wybierz pozycję Duplikuj lub wybierz wielokropek (...) po prawej stronie punktu odniesienia i wybierz pozycję Duplikuj.
- Podaj nową nazwę punktu odniesienia, a następnie wybierz pozycję Zapisz.
Po odświeżeniu nowy profil punktu odniesienia zostanie wyświetlony w centrum administracyjnym.
Aby edytować punkt odniesienia
Wybierz punkt odniesienia, a następnie wybierz pozycję Właściwości.
W tym widoku możesz wybrać pozycję Edytuj dla następujących kategorii, aby zmodyfikować profil:
- Podstawy
- Przypisania
- Tagi zakresu
- Ustawienia konfiguracji
Ustawienia konfiguracji profilów można edytować tylko wtedy, gdy ten profil używa najnowszej wersji tego punktu odniesienia zabezpieczeń. W przypadku profilów, które używają starszych wersji, możesz rozwinąć pozycję Ustawienia , aby wyświetlić konfigurację ustawień w profilu, ale nie można ich modyfikować. Po zaktualizowaniu profilu do najnowszej wersji punktu odniesienia będzie można edytować ustawienia profilów.
Po wprowadzeniu zmian wybierz pozycję Zapisz , aby zapisać zmiany. Przed wprowadzeniem zmian do dodatkowych kategorii można zapisać zmiany w jednej kategorii.
Starsze wersje punktu odniesienia
Usługa Microsoft Intune aktualizuje wersje wbudowanych punktów odniesienia zabezpieczeń w zależności od zmieniających się potrzeb typowej organizacji. Każda nowa wersja powoduje aktualizację wersji do określonego punktu odniesienia. Oczekuje się, że klienci będą używać najnowszej wersji punktu odniesienia jako punktu wyjścia do swoich profilów konfiguracji urządzeń.
Jeśli w dzierżawie nie ma już żadnych profilów korzystających ze starszej linii bazowej, usługa Microsoft Intune wyświetla listę najnowszej dostępnej wersji punktu odniesienia.
Jeśli masz profil skojarzony ze starszym punktem odniesienia, ten starszy punkt odniesienia będzie nadal wyświetlany na liście.
Urządzenia współzarządzane
Punkty odniesienia zabezpieczeń na urządzeniach zarządzanych przez usługę Intune są podobne do urządzeń współzarządzanych za pomocą programu Configuration Manager. Współzarządzane urządzenia używają programu Configuration Manager i usługi Microsoft Intune do jednoczesnego zarządzania urządzeniami z systemem Windows 10/11. Umożliwia dołączanie istniejącej inwestycji w program Configuration Manager w chmurze do korzyści płynących z usługi Intune. Omówienie współzarządzania to doskonały zasób, jeśli używasz programu Configuration Manager, a także chcesz korzystać z zalet chmury.
W przypadku korzystania ze współzarządzanych urządzeń należy przełączyć obciążenie konfiguracji urządzenia (jego ustawienia) na usługę Intune. Obciążenia konfiguracji urządzeń zawierają więcej informacji.
Następne kroki
Sprawdzanie stanu i monitorowanie punktu odniesienia i profilu
Wyświetl ustawienia w najnowszych wersjach dostępnych punktów odniesienia: