Udostępnij za pośrednictwem

Wdrażanie OMA-URIs do celu dostawcy CSP za pośrednictwem Intune i porównanie z lokalnym

  • Artykuł

W tym artykule opisano znaczenie dostawców usług konfiguracji systemu Windows (CSP), open mobile alliance — uniform resources (OMA-URIs) oraz sposób dostarczania zasad niestandardowych do urządzenia opartego na Windows 10 z Microsoft Intune.

Intune zapewnia wygodny i łatwy w użyciu interfejs do konfigurowania tych zasad. Jednak nie wszystkie ustawienia są koniecznie dostępne w centrum administracyjnym Microsoft Intune. Mimo że wiele ustawień można potencjalnie skonfigurować na urządzeniu z systemem Windows, nie jest możliwe posiadanie ich wszystkich w centrum administracyjnym. Ponadto, w miarę postępów, nie jest niczym niezwykłym, aby mieć pewien stopień opóźnienia przed dodaniem nowego ustawienia. W tych scenariuszach odpowiedzią jest wdrożenie niestandardowego profilu OMA-URI używającego dostawcy usług konfiguracji systemu Windows.

Zakres CSP

Dostawcy CSP to interfejs używany przez dostawców zarządzania urządzeniami przenośnymi (MDM) do odczytywania, ustawiania, modyfikowania i usuwania ustawień konfiguracji na urządzeniu. Zazwyczaj odbywa się to za pośrednictwem kluczy i wartości w rejestrze systemu Windows. Zasady CSP mają zakres definiujący poziom, na którym można skonfigurować zasady. Jest ona podobna do zasad dostępnych w centrum administracyjnym Microsoft Intune. Niektóre zasady można skonfigurować tylko na poziomie urządzenia. Te zasady mają zastosowanie niezależnie od tego, kto jest zalogowany na urządzeniu. Inne zasady można skonfigurować na poziomie użytkownika. Te zasady dotyczą tylko tego użytkownika. Poziom konfiguracji jest dyktowany przez platformę, a nie przez dostawcę mdm. Podczas wdrażania zasad niestandardowych możesz wyszukać zakres dostawcy CSP, którego chcesz użyć.

Zakres dostawcy CSP jest ważny, ponieważ będzie dyktować składnię ciągu OMA-URI, którego należy użyć. Przykład:

Zakres użytkownika

./User/Vendor/MSFT/Policy/Config/AreaName/PolicyName w celu skonfigurowania zasad. ./User/Vendor/MSFT/Policy/Result/AreaName/PolicyName, aby uzyskać wynik.

Zakres urządzenia

./Device/Vendor/MSFT/Policy/Config/AreaName/PolicyName w celu skonfigurowania zasad. ./Device/Vendor/MSFT/Policy/Result/AreaName/PolicyName, aby uzyskać wynik.

OMA-URIs

Identyfikator OMA-URI jest ścieżką do określonego ustawienia konfiguracji obsługiwanego przez dostawca CSP.

Identyfikator OMA-URI: jest to ciąg reprezentujący niestandardową konfigurację urządzenia opartego na Windows 10. Składnia jest określana przez dostawców CSP na kliencie. Szczegółowe informacje o poszczególnych dostawcach usług kryptograficznych można znaleźć tutaj.

Zasady niestandardowe: zawierają OMA-URIs do wdrożenia. Jest on skonfigurowany w Intune.

Intune: Po utworzeniu i przypisaniu zasad niestandardowych do urządzeń klienckich Intune stanie się mechanizmem dostarczania, który wysyła OMA-URIs do tych klientów systemu Windows. Intune używa protokołu Open Mobile Alliance Zarządzanie urządzeniami (OMA-DM). Jest to wstępnie zdefiniowany standard, który używa kodu SyncML opartego na języku XML do wypychania informacji do klienta.

Dostawcy usług kryptograficznych: po dotarciu OMA-URIs do klienta dostawca CSP odczytuje je i odpowiednio konfiguruje platformę systemu Windows. Zazwyczaj jest to wykonywane przez dodawanie, odczytywanie lub zmienianie wartości rejestru.

Podsumowując: identyfikator OMA-URI to ładunek, zasady niestandardowe to kontener, Intune jest mechanizmem dostarczania dla tego kontenera, OMA-DM jest protokołem używanym do dostarczania, a dostawca CSP systemu Windows odczytuje i stosuje ustawienia skonfigurowane w ładunku OMA-URI.

Na diagramie przedstawiono, że dostawca CSP systemu Windows stosuje ustawienia identyfikatora OMA-URI.

Jest to ten sam proces, który jest używany przez Intune do dostarczania standardowych zasad konfiguracji urządzeń, które są już wbudowane w interfejs użytkownika. Gdy OMA-URIs korzystać z interfejsu użytkownika Intune, są one ukryte za przyjaznymi dla użytkownika interfejsami konfiguracji. Dzięki temu proces jest łatwiejszy i bardziej intuicyjny dla administratora. Jeśli to możliwe, użyj wbudowanych ustawień zasad i użyj niestandardowych zasad OMA-URI tylko w przypadku opcji, które w przeciwnym razie są niedostępne.

Aby zademonstrować ten proces, możesz użyć wbudowanych zasad, aby ustawić obraz ekranu blokady na urządzeniu. Możesz również wdrożyć identyfikator OMA-URI i zastosować odpowiedni dostawca CSP. Obie metody osiągają ten sam wynik.

OMA-URIs z centrum administracyjnego Microsoft Intune

Zrzut ekranu przedstawiający ograniczenia urządzenia.

Używanie zasad niestandardowych

To samo ustawienie można ustawić bezpośrednio przy użyciu następującego identyfikatora OMA-URI:

./Vendor/MSFT/Policy/Config/DeviceLock/EnforceLockScreenAndLogonImage

Jest on udokumentowany w dokumentacji dostawcy CSP systemu Windows. Po określeniu identyfikatora OMA-URI utwórz dla niego zasady niestandardowe.

Zrzut ekranu przedstawiający ustawienia OMA-URI na ekranie Edytowanie wiersza.

Niezależnie od używanej metody wynik końcowy jest identyczny.

Zrzut ekranu przedstawiający ekran logowania.

Oto kolejny przykład, który używa funkcji BitLocker.

Używanie zasad niestandardowych z centrum administracyjnego Microsoft Intune

Zrzut ekranu przedstawiający ekran Ochrony punktu końcowego.

Korzystanie z zasad niestandardowych

Zrzut ekranu przedstawiający ścieżkę OMA-URI do dostawcy CSP.

Powiązanie OMA-URIs niestandardowych ze światem lokalnym

Istniejące ustawienia zasady grupy można używać jako odwołania podczas tworzenia konfiguracji zasad zarządzania urządzeniami przenośnymi. Jeśli Organizacja chce przejść do zarządzania urządzeniami przenośnymi w celu zarządzania urządzeniami, zalecamy przygotowanie się przez przeanalizowanie bieżących ustawień zasady grupy, aby zobaczyć, co jest wymagane do przejścia na zarządzanie urządzeniami przenośnymi.

Narzędzie MDM Migration Analysis Tool (MMAT) określa, które zasady grupy zostały ustawione dla docelowego użytkownika lub komputera. Następnie generuje raport, który zawiera listę poziomów obsługi dla każdego ustawienia zasad w odpowiednikach mdm.

Aspekty zasady grupy przed migracją do chmury i po jej zakończeniu

W poniższej tabeli przedstawiono różne aspekty zasady grupy zarówno przed migracją do chmury, jak i po jej przeprowadzeniu przy użyciu narzędzia MMAT.

Lokalnie Chmura
Zasady grupy MDM
Kontrolery domeny Serwer MDM (usługa Intune)
Folder Sysvol Intune bazy danych/msus
Rozszerzenie po stronie klienta do przetwarzania obiektu zasad grupy Dostawcy CSP do przetwarzania zasad zarządzania urządzeniami przenośnymi
Protokół SMB używany do komunikacji Protokół HTTPS używany do komunikacji
.pol | .ini plik (zazwyczaj jest to dane wejściowe) SyncML to dane wejściowe dla urządzeń

Ważne uwagi dotyczące zachowania zasad

Jeśli zasady zmienią się na serwerze MDM, zaktualizowane zasady zostaną wypchnięte do urządzenia, a ustawienie zostanie skonfigurowane na nową wartość. Jednak usunięcie przypisania zasad z użytkownika lub urządzenia może nie przywrócić ustawienia do wartości domyślnej. Istnieje kilka profilów, które są usuwane po usunięciu przypisania lub usunięciu profilu, takich jak profile Wi-Fi, profile sieci VPN, profile certyfikatów i profile poczty e-mail. Ponieważ to zachowanie jest kontrolowane przez każdego dostawcy CSP, należy spróbować zrozumieć zachowanie dostawcy CSP w celu poprawnego zarządzania ustawieniami. Aby uzyskać więcej informacji, zobacz Dokumentacja dostawcy CSP systemu Windows.

Umieść to wszystko razem

Aby wdrożyć niestandardowy identyfikator OMA-URI przeznaczony dla dostawcy CSP na urządzeniu z systemem Windows, utwórz zasady niestandardowe. Zasady muszą zawierać ścieżkę do ścieżki OMA-URI wraz z wartością, którą chcesz zmienić w programie CSP (włączanie, wyłączanie, modyfikowanie lub usuwanie).

Zrzut ekranu przedstawiający stronę Tworzenie profilu. Element niestandardowy jest wyróżniony.

Zrzut ekranu przedstawiający pola opisu nazw, aby utworzyć zasady niestandardowe.

Zrzut ekranu przedstawiający strony Ustawienia konfiguracji i Dodaj wiersz.

Po utworzeniu zasad przypisz je do grupy zabezpieczeń, aby obowiązywały.

Rozwiązywanie problemów

Podczas rozwiązywania problemów z zasadami niestandardowymi większość problemów mieści się w następujących kategoriach:

  • Zasady niestandardowe nie dotarły do urządzenia klienckiego.
  • Zasady niestandardowe dotarły do urządzenia klienckiego, ale oczekiwane zachowanie nie zostało zaobserwowane.

Jeśli masz zasady, które nie działają zgodnie z oczekiwaniami, sprawdź, czy zasady dotarły nawet do klienta. Istnieją dwa dzienniki do sprawdzenia w celu zweryfikowania jego dostarczenia.

Dzienniki diagnostyczne mdm

Zrzut ekranu przedstawiający dzienniki diagnostyczne mdm.

Dziennik zdarzeń systemu Windows

Zrzut ekranu przedstawiający dziennik zdarzeń systemu Windows.

Oba dzienniki powinny zawierać odwołanie do zasad niestandardowych lub ustawienia OMA-URI, które próbujesz wdrożyć. Jeśli nie widzisz tego odwołania, prawdopodobnie zasady nie zostały dostarczone do urządzenia. Sprawdź, czy zasady są poprawnie skonfigurowane i są przeznaczone dla odpowiedniej grupy.

Jeśli sprawdzisz, czy zasady docierają do klienta, sprawdź na kliencie, czy DeviceManagement-Enterprise-Diagnostics-Provider > Admin Event log występują błędy. Może zostać wyświetlony wpis błędu zawierający dodatkowe informacje o tym, dlaczego zasady nie zostały zastosowane. Przyczyny będą się różnić, ale często występuje problem ze składnią ciągu OMA-URI skonfigurowanego w zasadach niestandardowych. Sprawdź dokładnie odwołanie do dostawcy CSP i upewnij się, że składnia jest poprawna.