Compartilhar via


Passo a passo: use a nuvem para configurar a política de grupo em dispositivos Windows 10/11 com modelos do ADMX e Microsoft Intune

Observação

Esse passo a passo foi criado como um workshop técnico para o Microsoft Ignite. Ele tem mais pré-requisitos do que os passo a passo típicos, pois compara o uso e a configuração de políticas do ADMX em Intune e local.

Modelos administrativos de política de grupo, também conhecidos como modelos ADMX, incluem configurações que você pode configurar em dispositivos cliente Windows, incluindo PCs. As configurações de modelo do ADMX estão disponíveis por serviços diferentes. Essas configurações são usadas por provedores de MDM (mobile Gerenciamento de Dispositivos), incluindo Microsoft Intune. Por exemplo, você pode ativar Ideias de Design no PowerPoint, definir uma home page no Microsoft Edge e muito mais.

Dica

Para obter uma visão geral dos modelos do ADMX no Intune, incluindo os modelos do ADMX internos para Intune, acesse Usar modelos do ADMX Windows 10/11 no Microsoft Intune.

Para obter mais informações sobre políticas do ADMX, acesse Noções básicas sobre políticas apoiadas pelo ADMX.

Esses modelos são criados para Microsoft Intune e estão disponíveis como perfis de modelos administrativos. Neste perfil, você configura as configurações que deseja incluir e, em seguida, "atribui" esse perfil aos seus dispositivos.

Neste passo a passo, você fará:

  • Introdução ao centro de administração Microsoft Intune.
  • Crie grupos de usuários e crie grupos de dispositivos.
  • Compare as configurações em Intune com as configurações locais do ADMX.
  • Crie modelos administrativos diferentes e configure as configurações que visam os diferentes grupos.

Ao final deste laboratório, você pode usar Intune e Microsoft 365 para gerenciar seus usuários e implantar modelos administrativos.

Esse recurso aplica-se a:

  • Windows 11
  • Windows 10 versão 1709 e mais recente

Dica

Há duas maneiras de criar um modelo administrativo: usando um modelo ou usando o Catálogo de Configurações. Este artigo se concentra no uso do modelo Modelos Administrativos. O Catálogo de Configurações tem mais configurações de Modelo Administrativo disponíveis. Para que as etapas específicas usem o Catálogo de Configurações, acesse Usar o catálogo de configurações para configurar as configurações.

Pré-requisitos

  • Uma assinatura Microsoft 365 E3 ou E5, que inclui Intune e Microsoft Entra ID P1 ou P2. Se você não tiver uma assinatura E3 ou E5, experimente-a gratuitamente.

    Para obter mais informações sobre o que você obtém com as diferentes licenças do Microsoft 365, acesse Transformar sua Empresa com o Microsoft 365.

  • Microsoft Intune é configurado como a Autoridade de MDM Intune. Para obter mais informações, acesse Definir a autoridade de gerenciamento de dispositivo móvel.

    Captura de tela que mostra como definir a autoridade MDM como Microsoft Intune em seu status de locatário.

  • Em um DC (controlador de domínio Active Directory local):

    1. Copie os seguintes modelos do Office e do Microsoft Edge para a Central Store (pasta sysvol):

    2. Crie uma política de grupo para enviar esses modelos para um computador administrador enterprise Windows 10/11 no mesmo domínio que o DC. Neste passo a passo:

      • A política de grupo que criamos com esses modelos se chama OfficeandEdge. Você verá esse nome nas imagens.
      • O computador administrador do Windows 10/11 Enterprise que usamos é chamado de Administração computador.

      Em algumas organizações, um administrador de domínio tem duas contas:

      • Uma conta de trabalho de domínio típica
      • Uma conta de administrador de domínio diferente usada apenas para tarefas de administrador de domínio, como política de grupo

      A finalidade deste Administração computador é que os administradores entrem com sua conta de administrador de domínio e as ferramentas de acesso projetadas para gerenciar a política de grupo.

  • Neste computador Administração:

    • Entre com uma conta do Administrador de Domínio.

    • Adicione as Ferramentas de Gerenciamento do RSAT: Política de Grupo:

      1. Abra o aplicativo Configurações> Recursosopcionais>do sistema>Adicionar recurso.

        Se você usar uma versão mais antiga que Windows 10 22H2, acesse Configurações>Aplicativos>aplicativos & recursos>Recursos opcionais>Adicionar recurso.

      2. Selecione RSAT: Política de Grupo Ferramentas de> GerenciamentoAdicionar.

        Aguarde enquanto o Windows adiciona o recurso. Quando concluído, ele eventualmente é exibido no aplicativo Ferramentas Administrativas do Windows .

        Captura de tela que mostra os aplicativos das Ferramentas Administrativas do Windows, incluindo o aplicativo Política de Grupo Management.

    • Certifique-se de ter acesso à Internet e direitos de administrador para a assinatura do Microsoft 365, que inclui o centro de administração Intune.

Abra o centro de administração Intune

  1. Abra um navegador da Web chromium, como o Microsoft Edge versão 77 e posterior.

  2. Vá para o centro de administração Microsoft Intune. Entre com a seguinte conta:

    Usuário: insira a conta de administrador de sua assinatura de locatário do Microsoft 365.
    Senha: insira sua senha.

Esse centro de administração é focado no gerenciamento de dispositivos e inclui serviços do Azure, como Microsoft Entra ID e Intune. Você pode não ver a Microsoft Entra ID e Intune identidade visual, mas está usando-as.

Você também pode abrir o Intune centro de administração do Centro de administração do Microsoft 365:

  1. Saiba mais em https://admin.microsoft.com.

  2. Entre com a conta de administrador da sua assinatura de locatário do Microsoft 365.

  3. Selecione Mostrar todos os>centros> deadministração gerenciamento de ponto de extremidade. O centro de administração Intune é aberto.

    Captura de tela que mostra todos os centros de administração no Centro de administração do Microsoft 365.

Criar grupos e adicionar usuários

As políticas locais são aplicadas na ordem LSDOU – local, site, domínio e unidade organizacional (OU). Nessa hierarquia, as políticas de OU substituem políticas locais, políticas de domínio substituem políticas de site e assim por diante.

No Intune, as políticas são aplicadas aos usuários e grupos que você criar. Não há uma hierarquia. Por exemplo:

  • Se duas políticas atualizarem a mesma configuração, a configuração aparecerá como um conflito.
  • Se duas políticas de conformidade estiverem em conflito, a política mais restritiva se aplicará.
  • Se dois perfis de configuração estiverem em conflito, a configuração não será aplicada.

Para obter mais informações, acesse Perguntas comuns, problemas e resoluções com políticas e perfis de dispositivo.

Nestas próximas etapas, você cria grupos de segurança e adiciona usuários a esses grupos. Você pode adicionar um usuário a vários grupos. Por exemplo, é normal que um usuário tenha vários dispositivos, como um Surface Pro para o trabalho, e um dispositivo móvel Android para pessoal. E é normal que uma pessoa acesse recursos organizacionais desses vários dispositivos.

  1. No centro de administração Intune, selecione Grupos>Novo grupo.

  2. Insira as seguintes configurações:

    • Tipo de grupo: Selecione Segurança.
    • Nome do grupo: insira todos os dispositivos de estudante Windows 10.
    • Tipo de associação: selecione Atribuído.
  3. Selecione Membros e adicione alguns dispositivos.

    Adicionar dispositivos é opcional. O objetivo é praticar a criação de grupos e saber como adicionar dispositivos. Se você estiver usando esse passo a passo em um ambiente de produção, esteja ciente do que está fazendo.

  4. Selecione>Crie para salvar suas alterações.

    Não vê seu grupo? Selecione Atualizar.

  5. Selecione Novo grupo e insira as seguintes configurações:

    • Tipo de grupo: Selecione Segurança.

    • Nome do grupo: insira todos os dispositivos Windows.

    • Tipo de associação: selecione Dispositivo Dinâmico.

    • Membros dinâmicos do dispositivo: selecione Adicionar consulta dinâmica e configure sua consulta:

      • Propriedade: selecione deviceOSType.
      • Operador: selecione Iguais.
      • Valor: Insira Windows.
      1. Selecione Adicionar expressão. Sua expressão é mostrada na sintaxe Regra:

        Captura de tela que mostra como criar uma consulta dinâmica e adicionar expressões em um modelo administrativo Microsoft Intune.

        Quando usuários ou dispositivos atendem aos critérios inseridos, eles são adicionados automaticamente aos grupos dinâmicos. Neste exemplo, os dispositivos são adicionados automaticamente a esse grupo quando o sistema operacional é Windows. Se você estiver usando esse passo a passo em um ambiente de produção, tenha cuidado. O objetivo é praticar a criação de grupos dinâmicos.

      2. Salvar>Crie para salvar suas alterações.

  6. Crie o grupo Todos os Professores com as seguintes configurações:

    • Tipo de grupo: Selecione Segurança.

    • Nome do grupo: Insira Todos os Professores.

    • Tipo de associação: selecione Usuário Dinâmico.

    • Membros dinâmicos do usuário: selecione Adicionar consulta dinâmica e configure sua consulta:

      • Propriedade: selecione departamento.

      • Operador: selecione Iguais.

      • Valor: Insira Professores.

        1. Selecione Adicionar expressão. Sua expressão é mostrada na sintaxe Regra.

          Quando usuários ou dispositivos atendem aos critérios inseridos, eles são adicionados automaticamente aos grupos dinâmicos. Neste exemplo, os usuários são adicionados automaticamente a esse grupo quando seu departamento é Professores. Você pode inserir o departamento e outras propriedades quando os usuários são adicionados à sua organização. Se você estiver usando esse passo a passo em um ambiente de produção, tenha cuidado. O objetivo é praticar a criação de grupos dinâmicos.

        2. Salvar>Crie para salvar suas alterações.

Pontos de discussão

  • Grupos dinâmicos são um recurso em Microsoft Entra ID P1 ou P2. Se você não tiver Microsoft Entra ID P1 ou P2, você terá licença para criar apenas grupos atribuídos. Para obter mais informações sobre grupos dinâmicos, acesse:

  • Microsoft Entra ID P1 ou P2 inclui outros serviços que são comumente usados ao gerenciar aplicativos e dispositivos, incluindo MFA (autenticação multifator) e acesso condicional.

  • Muitos administradores perguntam quando usar grupos de usuários e quando usar grupos de dispositivos. Para obter algumas diretrizes, acesse Grupos de usuários versus grupos de dispositivos.

  • Lembre-se de que um usuário pode pertencer a vários grupos. Considere alguns dos outros grupos de usuários e dispositivos dinâmicos que você pode criar, como:

    • Todos os alunos
    • Todos os dispositivos Android
    • Todos os dispositivos iOS/iPadOS
    • Marketing
    • Recursos Humanos
    • Todos os funcionários da Alice
    • Todos os funcionários da Redmond
    • Administradores de TI da costa oeste
    • Administradores de TI da costa leste

Os usuários e grupos criados também são vistos no Centro de administração do Microsoft 365, Microsoft Entra ID no portal do Azure e Microsoft Intune no portal do Azure. Você pode criar e gerenciar grupos em todas essas áreas para sua assinatura de locatário. Se sua meta for o gerenciamento de dispositivos, use o centro de administração Microsoft Intune.

Revisar associação de grupo

  1. No centro de administração Intune, selecione Usuários>Todos os usuários> selecionam o nome de qualquer usuário existente.
  2. Examine algumas das informações que você pode adicionar ou alterar. Por exemplo, examine as propriedades que você pode configurar, como Título de Trabalho, Departamento, Cidade, Localização do Office e muito mais. Você pode usar essas propriedades em suas consultas dinâmicas ao criar grupos dinâmicos.
  3. Selecione Grupos para ver a associação desse usuário. Você também pode remover o usuário de um grupo.
  4. Selecione algumas das outras opções para ver mais informações e o que você pode fazer. Por exemplo, examine a licença atribuída, os dispositivos do usuário e muito mais.

O que eu acabei de fazer?

No centro de administração Intune, você criou novos grupos de segurança e adicionou usuários e dispositivos existentes a esses grupos. Usamos esses grupos em etapas posteriores neste tutorial.

Criar um modelo no Intune

Nesta seção, criamos um modelo administrativo no Intune, analisamos algumas configurações no Gerenciamento de Política de Grupo e comparamos a mesma configuração em Intune. O objetivo é mostrar uma configuração na política de grupo e mostrar a mesma configuração em Intune.

  1. No centro de administração Intune, selecione CriarConfiguração>de Dispositivos>.

  2. Insira as seguintes propriedades:

    • Plataforma: selecione Windows 10 e posteriores.
    • Tipo de perfil: selecione Modelos Administrativos.
  3. Selecionar Criar.

  4. Em Noções básicas, insira as seguintes propriedades:

    • Nome: insira um nome descritivo para o perfil. Nomeie seus perfis para que você possa identificá-los facilmente mais tarde. Por exemplo, insira Administração modelo – Windows 10 dispositivos de estudante.
    • Descrição: insira uma descrição para o perfil. Essa configuração é opcional, mas recomendada.
  5. Selecione Avançar.

  6. Nas configurações, Todas as configurações mostram uma lista alfabética de todas as configurações. Você também pode filtrar configurações que se aplicam a dispositivos (configuração de computador) e configurações que se aplicam aos usuários (configuração do usuário):

    Captura de tela que mostra como aplicar configurações de modelo do ADMX a usuários e dispositivos em Microsoft Intune.

  7. Expanda Configuração> docomputador Microsoft Edge> selecione Configurações do SmartScreen. Observe o caminho para a política e todas as configurações disponíveis:

    Captura de tela que mostra como ver as configurações da política smartscreen do Microsoft Edge em modelos do ADMX em Microsoft Intune.

  8. Na pesquisa, insira download. Observe que as configurações de política são filtradas:

    Captura de tela que mostra como filtrar as configurações da política do Microsoft Edge SmartScreen em um modelo do ADMX Microsoft Intune.

Abrir Política de Grupo Gerenciamento

Nesta seção, mostramos uma política no Intune e sua política correspondente no Editor de Gerenciamento de Política de Grupo.

Comparar uma política de dispositivo

  1. No computador Administração, abra o aplicativo gerenciamento de Política de Grupo.

    Este aplicativo é instalado com o RSAT: Política de Grupo Ferramentas de Gerenciamento, que é um recurso opcional que você adiciona no Windows. Os pré-requisitos (neste artigo) listam as etapas para instalá-lo.

  2. Expanda Domínios> selecione seu domínio. Por exemplo, selecione contoso.net.

  3. Clique com o botão direito do mouse na política >Do OfficeandEdgeEditar. O aplicativo Editor de Gerenciamento de Política de Grupo é aberto.

    Captura de tela que mostra como clicar com o botão direito do mouse na política de grupo local do Office e do Microsoft Edge ADMX e selecionar Editar.

    OfficeandEdge é uma política de grupo que inclui os modelos do Office e do Microsoft Edge ADMX. Essa política é descrita em pré-requisitos (neste artigo).

  4. ExpandaModelos administrativos de políticas>> de configuração> de computador Painel de Controle >Pessoalização. Observe as configurações disponíveis.

    Captura de tela que mostra como expandir a Configuração do Computador no Editor de Gerenciamento de Política de Grupo local e ir para Personalização.

    Clique duas vezes em Impedir a habilitação da câmera de tela de bloqueio e consulte as opções disponíveis:

    Captura de tela que mostra como ver as opções locais de configuração de computador na política de grupo.

  5. No centro de administração Intune, acesse seu modelo de Administração - Windows 10 modelo de dispositivos de estudante.

  6. Selecione Configuração>do computador Painel de Controle>Pessoalização. Observe as configurações disponíveis:

    Captura de tela que mostra o caminho de configuração da política de personalização no Microsoft Intune.

    O tipo de configuração é Dispositivo e o caminho é /Control Panel/Personalization. Esse caminho é semelhante ao que você acabou de ver no Política de Grupo Management Editor. Se você abrir a configuração Impedir a configuração da câmera de bloqueio de bloqueio, verá as mesmas opções Não configuradas, habilitadas e desabilitadas que você vê em Política de Grupo Editor de Gerenciamento.

Comparar uma política de usuário

  1. No modelo de administrador, selecione Configuração> do computadorTodas as configurações e pesquise inprivate browsingpor . Observe o caminho.

    Faça o mesmo para configuração de usuário. Selecione Todas as configurações e pesquise por inprivate browsing.

  2. No Editor de Gerenciamento de Política de Grupo, localize as configurações de usuário e dispositivo correspondentes:

    • Dispositivo: Expanda Políticas de configuração> do computadorModelos>administrativos Componentes>>do WindowsInternet Explorer>Privacy>Desativar a Navegação inPrivate.
    • Usuário: Expanda Políticas de configuração> do usuárioModelos>administrativos Componentes>>do WindowsInternet Explorer>Privacy>Desativar a Navegação inPrivate.

    Captura de tela que mostra como desativar a Navegação inPrivate na Internet Explorer usando o modelo ADMX.

Dica

Para ver as políticas internas do Windows, você também pode usar o GPEdit (editar aplicativo de política de grupo ).

Comparar uma política do Microsoft Edge

  1. No centro de administração Intune, acesse seu modelo de Administração - Windows 10 modelo de dispositivos de estudante.

  2. Expanda a configuração> docomputador Microsoft Edge>Startup, página inicial e nova página de guias. Observe as configurações disponíveis.

    Faça o mesmo para configuração de usuário.

  3. No Editor de Gerenciamento Política de Grupo, localize estas configurações:

    • Dispositivo: expandamodelos>administrativos de políticas> de configuração> docomputador Microsoft Edge>Startup, página inicial e nova guia.
    • Usuário: expandirmodelos administrativos de políticas> de configuração>do> usuárioMicrosoft Edge>Startup, página inicial e nova guia

O que eu acabei de fazer?

Você criou um modelo administrativo no Intune. Neste modelo, examinamos algumas configurações do ADMX e examinamos as mesmas configurações do ADMX no Gerenciamento de Política de Grupo.

Adicionar configurações ao modelo de administrador do Students

Neste modelo, configuramos algumas configurações de Explorer da Internet para bloquear dispositivos compartilhados por vários alunos.

  1. Em seu modelo Administração - Windows 10 dispositivos estudantis, expanda Configuração do computador, selecione Todas as configurações e pesquise Desativar a Navegação inPrivate:

    Captura de tela que mostra como desativar a política de dispositivo de navegação inPrivate em um modelo administrativo no Microsoft Intune.

  2. Selecione a configuração Desativar Navegação inPrivate . Nesta janela, observe a descrição e os valores que você pode definir. Essas opções são semelhantes ao que você vê na política de grupo.

  3. Selecione Habilitado>OK para salvar suas alterações.

  4. Configure também as seguintes configurações de Explorer da Internet. Selecione OK para salvar suas alterações.

    • Permitir arrastar e soltar ou copiar e colar arquivos

      • Tipo: Dispositivo
      • Caminho: \Componentes do Windows\Internet Explorer\Internet Painel de Controle\Página de Segurança\Zona da Internet
      • Valor: desabilitado
    • Evitar ignorar erros de certificado

      • Tipo: Dispositivo
      • Caminho: \Componentes do Windows\Internet Explorer\Internet Painel de Controle
      • Valor: Habilitado
    • Desabilitar configurações de página inicial de alteração

      • Tipo: Usuário
      • Caminho: \Componentes do Windows\Internet Explorer
      • Valor: Habilitado
      • Página inicial: insira uma URL, como contoso.com.
  5. Desmarque o filtro de pesquisa. Observe que as configurações configuradas estão listadas na parte superior:

    Captura de tela que mostra as configurações do ADMX configuradas estão listadas na parte superior do Microsoft Intune.

Atribuir seu modelo

  1. Em seu modelo, selecione Avançar até chegar a Atribuições. Escolha Selecionar grupos para incluir:

    Captura de tela que mostra como selecionar seu perfil de modelo administrativo na lista de perfis de configuração de dispositivo no Microsoft Intune.

  2. Uma lista de usuários e grupos existentes é mostrada. Selecione o grupo Todos Windows 10 dispositivos estudantis que você criou anteriormente >Selecionar.

    Se você estiver usando esse passo a passo em um ambiente de produção, considere adicionar grupos vazios. O objetivo é praticar a atribuição do modelo.

  3. Selecione Avançar. Em Examinar + criar, selecione Criar para salvar suas alterações.

Assim que o perfil é salvo, ele se aplica aos dispositivos quando eles marcar com Intune. Se os dispositivos estiverem conectados à Internet, isso poderá acontecer imediatamente. Para obter mais informações sobre os tempos de atualização da política, acesse Quanto tempo leva para os dispositivos obterem uma política, perfil ou aplicativo.

Ao atribuir políticas e perfis rígidos ou restritivos, não se bloqueie. Considere criar um grupo excluído de suas políticas e perfis. A ideia é ter acesso à solução de problemas. Monitore esse grupo para confirmar se ele está sendo usado como planejado.

O que eu acabei de fazer?

No centro de administração Intune, você criou um perfil de configuração de dispositivo de modelo administrativo e atribuiu esse perfil a um grupo criado.

Criar um modelo do OneDrive

Nesta seção, você cria um modelo de administrador do OneDrive em Intune para controlar algumas configurações. Essas configurações específicas são escolhidas porque são comumente usadas por organizações.

  1. Crie outro perfil (Criação deConfiguração>de Dispositivos>).

  2. Insira as seguintes propriedades:

    • Plataforma: selecione Windows 10 e posteriores.
    • Tipo de perfil: selecione Modelos administrativos.
  3. Selecionar Criar.

  4. Em Noções básicas, insira as seguintes propriedades:

    • Nome: insira Administração modelo – políticas do OneDrive que se aplicam a todos os usuários Windows 10.
    • Descrição: insira uma descrição para o perfil. Essa configuração é opcional, mas recomendada.
  5. Selecione Avançar.

  6. Nas configurações, configure as seguintes configurações. Selecione OK para salvar suas alterações:

    • Configuração do computador:

      • Conectar os usuários silenciosamente ao cliente de sincronização do OneDrive com as credenciais do Windows
        • Tipo: Dispositivo
        • Valor: Habilitado
      • Usar Arquivos do OneDrive Sob Demanda
        • Tipo: Dispositivo
        • Valor: Habilitado
    • Configuração do usuário:

      • Impedir os usuários de sincronizar contas pessoais do OneDrive
        • Tipo: Usuário
        • Valor: Habilitado

Suas configurações serão semelhantes às seguintes:

Captura de tela que mostra como criar um modelo administrativo do OneDrive em Microsoft Intune.

Para obter mais informações sobre as configurações do cliente do OneDrive, acesse Usar Política de Grupo para controlar Sincronização do OneDrive configurações do cliente.

Atribuir seu modelo

  1. Em seu modelo, selecione Avançar até chegar a Atribuições. Escolha Selecionar grupos para incluir:

  2. Uma lista de usuários e grupos existentes é mostrada. Selecione o grupo Todos os dispositivos Windows que você criou anteriormente >Selecione.

    Se você estiver usando esse passo a passo em um ambiente de produção, considere adicionar grupos vazios. O objetivo é praticar a atribuição do modelo.

  3. Selecione Avançar. Em Examinar + criar, selecione Criar para salvar suas alterações.

Neste ponto, você criou alguns modelos administrativos e atribuiu-os a grupos criados. A próxima etapa é criar um modelo administrativo usando Windows PowerShell e o Microsoft API do Graph para Intune.

Opcional: criar uma política usando o PowerShell e API do Graph

Esta seção usa os recursos a seguir. Instalamos esses recursos nesta seção.

  1. No computador Administração, abra Windows PowerShell como administrador:

    1. Na barra de pesquisa, insira powershell.
    2. Clique com o botão direito do mouse em Windows PowerShell>Run como administrador.

    Captura de tela que mostra como executar Windows PowerShell como administrador.

  2. Obter e definir a política de execução.

    1. Entrar: get-ExecutionPolicy

      Anote como a política está definida, que pode ser restrita. Quando terminar com o passo a passo, defina-o de volta ao valor original.

    2. Entrar: Set-ExecutionPolicy -ExecutionPolicy Unrestricted

    3. Insira Y para alterá-lo.

    A política de execução do PowerShell ajuda a impedir a execução de scripts mal-intencionados. Para obter mais informações, acesse Sobre políticas de execução.

  3. Entrar: Install-Module -Name Microsoft.Graph.Intune

    Insira Y se:

    • Solicitado a instalar o provedor NuGet
    • Solicitado a instalar os módulos de um repositório não confiável

    Pode levar vários minutos para ser concluído. Quando concluído, um prompt semelhante ao seguinte prompt é mostrado:

    Captura de tela que mostra o prompt Windows PowerShell após a instalação de um módulo.

  4. No navegador da Web, acesse https://github.com/Microsoft/Intune-PowerShell-SDK/releasese selecione o arquivo Intune-PowerShell-SDK_v6.1907.00921.0001.zip .

    1. Selecione Salvar como e selecione uma pasta que você lembrará. c:\psscripts é uma boa escolha.

    2. Abra sua pasta, clique com o botão direito do mouse no arquivo > .zip Extrair todos os>Extratos. Sua estrutura de pastas é semelhante à seguinte pasta:

      Captura de tela que mostra o Intune estrutura de pastas do SDK do PowerShell após a extração.

  5. Na guia Exibição, marcar Extensões de nome do arquivo:

    Captura de tela que mostra como selecionar extensões de nome de arquivo na guia de exibição no gerenciador de arquivos do Windows.

  6. Em sua pasta, e vá para c:\psscripts\Intune-PowerShell-SDK_v6.1907.00921.0001\drop\outputs\build\Release\net471. Clique com o botão direito do mouse em cada .dll >Propriedades>Desbloquear.

    Captura de tela que mostra como desbloquear as DLLs.

  7. No aplicativo Windows PowerShell, insira:

    Import-Module c:\psscripts\Intune-PowerShell-SDK_v6.1907.00921.0001\drop\outputs\build\Release\net471\Microsoft.Graph.Intune.psd1
    

    Insira R se solicitado a execução do editor não confiável.

  8. Intune modelos administrativos usam a versão beta do Graph:

    1. Entrar: Update-MSGraphEnvironment -SchemaVersion 'beta'

    2. Entrar: Connect-MSGraph -AdminConsent

    3. Quando solicitado, entre com a mesma conta de administrador do Microsoft 365. Esses cmdlets criam a política em sua organização de locatários.

      Usuário: insira a conta de administrador de sua assinatura de locatário do Microsoft 365.
      Senha: insira sua senha.

    4. Selecione Aceitar.

  9. Crie o perfil de configuração de configuração de teste . Entrar:

    $configuration = Invoke-MSGraphRequest -Url https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations -Content '{"displayName":"Test Configuration","description":"A test configuration created through PS"}' -HttpMethod POST
    

    Quando esses cmdlets são bem-sucedidos, o perfil é criado. Para confirmar, acesse o centro deadministração Intune >Configuração de Dispositivos>. Seu perfil de Configuração de Teste deve ser listado.

  10. Obtenha todas as ConfiguraçõesDefinições. Entrar:

    $settingDefinitions = Invoke-MSGraphRequest -Url https://graph.microsoft.com/beta/deviceManagement/groupPolicyDefinitions -HttpMethod GET
    
  11. Localize a ID de definição usando o nome de exibição de configuração. Entrar:

    $desiredSettingDefinition = $settingDefinitions.value | ? {$_.DisplayName -Match "Silently sign in users to the OneDrive sync app with their Windows credentials"}
    
  12. Configure uma configuração. Entrar:

    $configuredSetting = Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues" -Content ("{""enabled"":""true"",""configurationType"":""policy"",""definition@odata.bind"":""https://graph.microsoft.com/beta/deviceManagement/groupPolicyDefinitions('$($desiredSettingDefinition.id)')""}") -HttpMethod POST
    
    Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues('$($configuredSetting.id)')" -Content ("{""enabled"":""false""}") -HttpMethod PATCH
    
    $configuredSetting = Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues('$($configuredSetting.id)')" -HttpMethod GET
    

Consulte sua política

  1. No centro de administração > IntuneAtualização deConfiguração>de Dispositivos>.
  2. Selecione suas Configurações de Perfil > de Configuração de Teste.
  3. Na lista suspensa, selecione Todos os produtos.

Você vê que os usuários de logon silenciosamente no cliente Sincronização do OneDrive com a configuração de credenciais do Windows estão configurados.

Melhores práticas de política

Quando você cria políticas e perfis em Intune, há algumas recomendações e práticas recomendadas a serem consideradas. Para obter mais informações, acesse as melhores práticas de política e perfil.

Limpe os recursos

Quando não for mais necessário, você pode:

  • Exclua os grupos que você criou:

    • Todos os dispositivos de estudante Windows 10
    • Todos os dispositivos Windows
    • Todos os professores
  • Exclua os modelos de administrador que você criou:

    • Administração modelo – Windows 10 dispositivos estudantis
    • Administração modelo – políticas do OneDrive que se aplicam a todos os usuários Windows 10
    • Configuração de teste
  • Defina a política de execução Windows PowerShell de volta ao valor original. O exemplo a seguir define a política de execução como Restrita:

    Set-ExecutionPolicy -ExecutionPolicy Restricted
    

Próximas etapas

Neste tutorial, você se familiarize mais com o centro de administração Microsoft Intune, usou o construtor de consultas para criar grupos dinâmicos e criou modelos administrativos no Intune para configurar as configurações do ADMX. Você também comparou o uso de modelos do ADMX local e na nuvem com Intune. Como bônus, você usou cmdlets do PowerShell para criar um modelo administrativo.

Para obter mais informações sobre modelos administrativos no Intune, acesse: