Importar e analisar seus GPOs locais usando Política de Grupo análise em Microsoft Intune

  • Artigo

Dica

Procurando análise de GPO local? Há ferramentas disponíveis no Kit de Ferramentas de Conformidade de Segurança da Microsoft.

O Microsoft Intune tem muitas das mesmas configurações que seus GPOs locais. Política de Grupo análise é uma ferramenta no Microsoft Intune que:

Se sua organização usar GPOs locais para gerenciar dispositivos Windows 10/11, Política de Grupo análise poderá ajudar. Com a análise de Política de Grupo, é possível que o Intune possa substituir seus GPOs locais. Os dispositivos Windows 10/11 são inerentemente nativos da nuvem. Portanto, dependendo da configuração, esses dispositivos podem não exigir acesso a um Active Directory local.

Se você estiver pronto para remover a dependência do AD local, analisar seus GPOs com a análise de Política de Grupo é uma boa primeira etapa. Algumas configurações mais antigas não têm suporte ou não se aplicam a dispositivos Windows nativos da nuvem. Depois de analisar seus GPOs, você sabe as configurações que ainda são válidas.

Esse recurso aplica-se a:

  • Windows 11
  • Windows 10

Este artigo mostra como exportar seus GPOs locais, importar os GPOs para o Intune e examinar a análise e os resultados. Para migrar ou transferir seus GPOs importados para uma política do Intune, acesse Criar uma política de Catálogo de Configurações usando seus GPOs importados em Microsoft Intune.

Antes de começar

No centro de administração Microsoft Intune, entre como administrador do Intune ou com uma função que tenha as linhas de base de segurança e a permissão configuração do dispositivo. Confira mais informações sobre as funções internas em Controle de acesso baseado em função.

Exportar um GPO como um arquivo XML

As etapas a seguir podem ser diferentes no servidor, dependendo da versão GPMC que você está usando. Ao exportar o GPO, certifique-se de exportar como um arquivo XML.

  1. Em seu computador local, abra o console Group Policy Management (GPMC.msc).

  2. No console de gerenciamento, expanda seu nome de domínio.

  3. Expanda Objetos de política de grupo para ver todos os GPOs disponíveis.

  4. Clique com o botão direito do mouse no GPO que deseja migrar e escolha Salvar relatório:

    Captura de tela que mostra como abrir Política de Grupo gerenciamento e salvar um GPO como um relatório de arquivo XML.

  5. Selecione uma pasta de fácil acesso para sua exportação. Em Salvar como tipo, selecione Arquivo XML. Em outra etapa, você adiciona esse arquivo à análise de política de grupo no Intune.

Certifique-se de que o arquivo tenha menos de 4 MB e tenha uma codificação Unicode adequada. Se o arquivo exportado for maior que 4 MB, reduza o número de configurações no objeto de política de grupo.

Importe GPOs e execute análises

  1. No centro de administração Microsoft Intune, selecione Dispositivos>Política de Grupo análise.

  2. Selecione Importar, selecione o arquivo > XML salvo Próximo.

    Você pode selecionar vários arquivos ao mesmo tempo.

    Verifique os tamanhos de seus arquivos XML de GPO individuais. Um único GPO não pode ser maior que 4 MB. Se um único GPO for maior que 4 MB, a importação falhará. Arquivos XML sem o final unicódigo apropriado também falham.

  3. Em Marcas de escopo, selecione a marca de escopo existente que você deseja aplicar ao GPO importado. Se você não selecionar uma marca de escopo existente, a marca de escopo Padrão será usada automaticamente:

    Captura de tela que mostra como importar um GPO (objeto de política de grupo) e selecionar uma marca de escopo no Microsoft Intune e no centro de administração do Intune.

    Somente os administradores incluídos nas marcas de escopo selecionadas podem ver o GPO importado. Para obter mais informações sobre marcas de escopo em seus GPOs importados, acesse Selecionar uma marca de escopo ao importar (neste artigo).

  4. Selecione Avançar>Criar.

    Quando você seleciona Criar, o Intune analisa automaticamente o GPO no arquivo XML.

  5. Após a execução da análise, o GPO que você importou é listado com as seguintes informações:

    • Nome da Política de Grupo: o nome é gerado automaticamente usando as informações na configuração do GPO.

    • Destino do Active Directory: o destino é gerado automaticamente usando as informações de destino da UO (unidade organizacional) no GPO.

    • Suporte do MDM: mostra o percentual das configurações da política de grupo no GPO que tem a mesma configuração no Intune.

      Observação

      Sempre que a equipe do produto Microsoft Intune faz alterações no mapeamento no Intune, a porcentagem em Suporte MDM é atualizada automaticamente para refletir essas alterações.

    • Configurações Desconhecidas: Existem alguns CSPs que não podem ser analisados. Configurações Desconhecidas lista os GPOs que não podem ser analisados.

    • Direcionado ao AD: Sim significa que o GPO está vinculado a uma UO na política de grupo local. Não significa que o GPO não está vinculado a uma UO local.

    • Último importado: mostra a data da última importação.

    Você pode Importar mais GPOs para análise, Atualizar a página e Filtrar a saída. Você também pode Exportar essa exibição para um arquivo .csv:

    Captura de tela que mostra como importar, atualizar, filtrar ou exportar um objeto de política de grupo (GPO) para um arquivo CSV no Microsoft Intune e no centro de administração do Intune.

  6. Selecione o percentual de Suporte a MDM para um GPO listado. Informações mais detalhadas sobre o GPO são exibidas:

    • Nome da Configuração: o nome é gerado automaticamente usando as informações na configuração do GPO.

    • Categoria de Configuração de Política de Grupo: mostra a categoria de configuração para configurações ADMX, como Internet Explorer e Microsoft Edge. Nem todas as configurações têm uma categoria.

    • Suporte do MDM:

      • Sim significa que há uma configuração correspondente disponível no Intune. Você pode definir essa configuração no Catálogo de Configurações.
      • Não significa que não há nenhuma configuração correspondente disponível para provedores do MDM, incluindo o Intune.
      • Outros valores: se você importar configurações mais antigas que não têm mais suporte, a ferramenta sugere migrar para uma versão com suporte mais recente. Para obter mais informações sobre cenários de migração, acesse GPOs importados no Intune – O que você precisa saber.

    • Valor: mostra o valor importado do GPO. Diferentes valores são exibidos, como true, 900, Enabled, false e assim por diante.

    • Escopo: mostra se o GPO importado é destinado a usuários ou dispositivos.

    • Versão Mínima do SO: mostra os números mínimos de build da versão do Sistema Operacional do Windows que a configuração do GPO se aplica. Ele pode mostrar 18362 (1903), 17130 (1803) e outras versões de cliente do Windows.

      Por exemplo, se uma configuração de política mostrar 18362, a configuração oferecerá suporte ao build 18362 e a builds mais recentes.

    • Nome do CSP: Um Provedor de Serviços de Configuração (CSP) expõe as configurações do dispositivo Windows cliente. Essa coluna mostra o CSP que inclui a configuração. Por exemplo, você pode ver Política, BitLocker, PassportforWork e assim por diante.

      A referência do CSP lista os CSPs disponíveis, mostra as edições suportadas do SO e muito mais.

    • Mapeamento CSP: mostra o caminho OMA-URI para a política local. Você pode usar o OMA-URI em um perfil de configuração de dispositivo personalizado. Por exemplo, você pode ver ./Device/Vendor/MSFT/BitLocker/RequireDeviceEnryption.

  7. Você pode criar uma política de Catálogo de Configurações para as que têm suporte para MDM. Para as etapas específicas, acesse Criar uma política de Catálogo de Configurações usando seus GPOs importados em Microsoft Intune.

Selecione uma marca de escopo ao importar

Ao importar um GPO, você pode selecionar marcas de escopo existentes. Se você não selecionar uma marca de escopo, a marca de escopo padrão será usada automaticamente. Somente os administradores com escopo para a marca de escopo Padrão podem ver o GPO importado. Os administradores que não têm escopo para a marca de escopo Padrão não veem o GPO importado.

Esse comportamento se aplica a qualquer marca de escopo que você selecionar ao importar um GPO. Os administradores só verão os GPOs importados se tiverem uma das mesmas marcas de escopo selecionadas durante a importação. Se um administrador não tiver a marca de escopo, ele não verá o GPO importado no relatório ou na lista de GPOs.

Por exemplo, os administradores têm Charlottemarcas de escopo , Londonou Boston atribuídas à função:

  • Um administrador com a marca de escopo "Charlotte" importa um GPO.
  • Durante a importação, eles selecionam a marca de escopo "Charlotte". A marca de escopo "Charlotte" é aplicada ao GPO importado.
  • Todos os administradores com a marca de escopo "Charlotte" podem ver o objeto importado.
  • Administradores com apenas as marcas de escopo "London" ou apenas "Boston" não podem ver o objeto importado do administrador "Charlotte".

Para que os administradores vejam a análise ou migrem o GPO importado para uma política do Intune, esses administradores devem ter uma das mesmas marcas de escopo selecionadas durante a importação.

Para obter mais informações sobre marcas de escopo, acesse RBAC e marcas de escopo para TI distribuída.

CSPs e políticas de grupo com suporte

Política de Grupo análise pode analisar os seguintes CSPs para suporte a MDM:

Se o GPO importado tiver configurações que não estão nos CSPs e políticas de grupo com suporte, as configurações poderão ser listadas na coluna Configurações Desconhecidas . Esse comportamento significa que as configurações foram identificadas em seu GPO.

Embora Política de Grupo análise possa analisar os CSPs, há algumas coisas que você deve saber ao migrar seus GPOs importados. Para obter mais informações, acesse Migrar seu GPO importado para uma política de Catálogo de Configurações – o que você precisa saber.

Relatório de preparação para migração da Política de Grupo

  1. No centro de administração Microsoft Intune, selecione Análisede política do Grupode Relatórios>:

    Captura de tela que mostra como examinar o relatório e a saída de GPOs importados usando Política de Grupo análise no Microsoft Intune e no centro de administração do Intune.

  2. A guia Resumo exibe um resumo do GPO e das políticas dele. Use estas informações para determinar o status das políticas em seu GPO:

    • Pronto para migração: a política tem uma configuração de correspondência no Intune e está pronta para ser migrada para o Intune.

    • Sem suporte: a política não tem uma configuração correspondente. Normalmente, as configurações de política que mostram esse status não são expostas aos provedores de MDM, o que inclui o Intune.

    • Preterido: a política pode se aplicar a versões mais antigas do Windows, versões mais antigas do Microsoft Edge e mais políticas que não são mais usadas.

      Observação

      Quando a equipe de produto do Microsoft Intune atualiza a lógica de mapeamento, seus GPOs importados são atualizados automaticamente. Você não precisa reimportar seus GPOs.

  3. Selecione a guia >RelatóriosPreparação para migração de política de grupo. Nesse relatório, você pode:

    • Consulte o número de configurações em seu GPO que podem ser configuradas em um perfil de configuração do dispositivo. Também mostra se as configurações podem estar em um perfil personalizado, não são suportado ou estão obsoletas.
    • Filtre a saída do relatório usando os filtros Preparação para Migração, Tipo de perfil e Nome do CSP.
    • Selecione Gerar relatório ou Gerar novamente para obter os dados atuais.
    • Confira a lista de configurações em seu GPO.
    • Use a barra de pesquisa para encontrar configurações específicas.
    • Obtenha um carimbo de data/hora de quando o relatório foi gerado pela última vez.

    Observação

    Depois de adicionar ou remover os GPOs importados, os dados dos relatórios de Preparação para Migração podem levar cerca de 20 minutos para serem atualizados.

Problemas conhecidos

Atualmente, a ferramenta de análise Política de Grupo dá suporte apenas a configurações não ADMX no idioma inglês. Se você importar um GPO com configurações em idiomas diferentes do inglês, o percentual de suporte ao MDM será impreciso.

Enviar comentários sobre o produto

Você pode fornecer comentários sobre a Análise da Política de Grupo. No centro de administração Microsoft Intune, selecione Dispositivos>Política de Grupo análise>Obter comentários.

Exemplos de áreas de comentários:

  • Você recebeu erros durante a importação ou a análise do GPO e precisa de informações mais específicas.
  • É fácil usar a análise de Política de Grupo para encontrar as políticas de grupo compatíveis no Microsoft Intune?
  • Essa ferramenta ajudará você a mover algumas cargas de trabalho para o Intune? Em caso afirmativo, quais cargas de trabalho você está considerando?

Para saber mais sobre a experiência do cliente, os comentários são agregados e enviados à Microsoft. Inserir um email é opcional e pode ser usado para obter mais informações.

Privacidade e segurança

Qualquer uso de dados do cliente, como os GPOs que sua organização usa, é agregado. Eles não serão vendidos a terceiros. Esses dados podem ser usados para decisões de negócios na Microsoft. Os dados do cliente são armazenados com segurança.

Você pode excluir GPOs importados a qualquer momento:

  1. Acesse Análise Política de Grupo>Dispositivos.

  2. Selecione o menu >de contexto Excluir:

    Captura de tela que mostra como excluir ou remover o GPO (objeto de política de grupo) importado no analisador Política de Grupo no Microsoft Intune e no centro de administração do Intune.

Próximas etapas

Confira também

Saiba mais sobre CSP (Provedores de Serviços de Configuração).