Tutorial: Use a nuvem para configurar a política de grupo em dispositivos Windows 10 com modelos ADMX e Microsoft Intune

Nota

Este tutorial foi criado como um workshop técnico para a Microsoft Ignite. Tem mais pré-requisitos do que os tutoriais típicos, pois compara o uso e configuração das políticas ADMX em Intune e no local.

Os modelos administrativos de política de grupo, também conhecidos como modelos ADMX, incluem configurações que pode configurar em dispositivos Windows 10, incluindo computadores. As definições do modelo ADMX estão disponíveis por diferentes serviços. Estas definições são utilizadas por fornecedores de Gestão de Dispositivos Móveis (MDM), incluindo Microsoft Intune. Por exemplo, pode ligar Ideias de Design em PowerPoint, definir uma página inicial em Microsoft Edge, bloquear ActiveX controlos no Internet Explorer, e muito mais.

Os modelos ADMX estão disponíveis para os seguintes serviços:

• Microsoft Edge: Descarregue Microsoft Edge ficheiro de política.
• Office: Descarregue em Microsoft 365 Apps, Office 2019 e Office 2016.
• Windows: Incorporado ao Windows 10 OS.

Para obter mais informações sobre as políticas da ADMX, consulte as políticas apoiadas pelo ADMX.

Estes modelos são incorporados para Microsoft Intune, e estão disponíveis como perfis de modelos administrativos. Neste perfil, configura as definições que pretende incluir e, em seguida, "atribua" este perfil aos seus dispositivos.

Neste tutorial, vai:

• Apresente-se ao centro de administração Microsoft Endpoint Manager.
• Crie grupos de utilizadores e crie grupos de dispositivos.
• Compare as definições em Intune com as definições ADMX no local.
• Crie diferentes modelos administrativos e configufique as configurações que visam os diferentes grupos.

No final deste laboratório, terás as habilidades de começar a usar o Intune e Microsoft 365 para gerir os teus utilizadores e implementar modelos administrativos.

Esta funcionalidade aplica-se a:

• Windows 10 versão 1709 e mais recente

Dica

Existem duas formas de criar um modelo administrativo: usando um modelo, ou usando o catálogo Definições. Este artigo centra-se na utilização do modelo administrativo. O Catálogo Definições tem mais configurações de modelos administrativos disponíveis. Para utilizar o Catálogo Definições, consulte utilize o catálogo de definições para configurar as definições.

Pré-requisitos

• Uma subscrição Microsoft 365 E3 ou E5, que inclui prémio Intune e Azure Ative Directory (AD). Se não tiver uma subscrição E3 ou E5, experimente-a gratuitamente.

  Para obter mais informações sobre o que obtém com as diferentes licenças de Microsoft 365, consulte Transform your Enterprise com Microsoft 365.

• Microsoft Intune é configurado como a Autoridade Intune MDM. Para obter mais informações, consulte Definir a autoridade de gestão de dispositivos móveis.

  

• Num controlador de domínio ative diretório no local (DC):

  1. Copie os seguintes modelos de Office e Microsoft Edge para a Loja Central (pasta sysvol):

     • modelos administrativos Office
     • Microsoft Edge modelos administrativos > arquivo de política

  2. Crie uma política de grupo para empurrar estes modelos para um Windows 10 Enterprise computador administrador no mesmo domínio que o DC. Neste tutorial:

     • A política de grupo que criamos com estes modelos chama-se OfficeandEdge. Verá este nome nas imagens.
     • O Windows 10 Enterprise computador administrador que usamos chama-se computador Admin.

     Em algumas organizações, um administrador de domínio tem duas contas:

     • Uma conta de trabalho de domínio típica
     • Uma conta de administrador de domínio diferente usada apenas para tarefas de administrador de domínio, como a política de grupo

     O objetivo deste computador Admin é que os administradores assinem com a sua conta de administrador de domínio e ferramentas de acesso concebidas para gerir a política do grupo.

• Neste computador administrador:

  • Inscreva-se com uma conta de Administrador de Domínio.

  • Instalar o RSAT: Ferramentas de gestão de políticas de grupo:

    1. Abra a aplicação Definições > > funcionalidades opcionais > Adicionar funcionalidade.

    2. Selecione RSAT: Instalação de ferramentas de gestão de políticas de > grupo.

       Aguarde enquanto Windows instala a funcionalidade. Quando concluído, acaba por aparecer na aplicação Windows Ferramentas Administrativas.

       

  • Certifique-se de que tem acesso à Internet e direitos de administrador para a subscrição Microsoft 365, que inclui o centro de administração Endpoint Manager.

Abra o centro de administração Endpoint Manager

1. Abra um navegador web de crómio, como Microsoft Edge versão 77 e mais tarde.

2. Vá ao centro de administração Microsoft Endpoint Manager. Inscreva-se com a seguinte conta:

   Utilizador: Introduza a conta de administrador da sua subscrição de inquilino Microsoft 365.
   Senha: Introduza a sua senha.

Este centro de administração está focado na gestão de dispositivos, e inclui serviços Azure, como Azure AD e Intune. Podes não ver a marca Azure Ative Directory e Intune, mas estás a usá-las.

Também pode abrir o centro de administração Endpoint Manager a partir do centro de administração do Microsoft 365:

1. Vai https://admin.microsoft.com para.

2. Inscreva-se na conta do administrador da sua subscrição de inquilino Microsoft 365.

3. Selecione Mostrar todos os centros de > > administração Gestão endpoint. O centro de administração Endpoint Manager abre.

   

Criar grupos e adicionar utilizadores

As políticas no local são aplicadas na ordem LSDOU - local, site, domínio e unidade organizacional (OU). Nesta hierarquia, as políticas da OU substituem as políticas locais, as políticas de domínio substituem as políticas do site, e assim por diante.

No Intune, as políticas são aplicadas aos utilizadores e grupos que cria. Não há uma hierarquia. Por exemplo:

• Se duas políticas atualizarem a mesma definição, então a definição mostra como um conflito.
• Se duas políticas de conformidade estiverem em conflito, então a política mais restritiva aplica-se.
• Se dois perfis de configuração estiverem em conflito, então a definição não é aplicada.

Para mais informações, consulte questões, questões e resoluções comuns com políticas e perfis de dispositivos.

Nestes próximos passos, cria-se grupos de segurança e adiciona-se utilizadores a estes grupos. Pode adicionar um utilizador a vários grupos. Por exemplo, é normal que um utilizador tenha vários dispositivos, como um Surface Pro para o trabalho, e um dispositivo móvel Android para pessoas. E é normal que uma pessoa aceda a recursos organizacionais a partir destes múltiplos dispositivos.

1. No centro de administração Endpoint Manager, selecione Grupos > Novos grupos.

2. Introduza as seguintes definições:

   • Tipo de grupo: Selecione Security.
   • Nome do grupo: Insira todos os Windows 10 dispositivos estudantis.
   • Tipo de adesão: Selecione Atribuído.

3. Selecione Membros e adicione alguns dispositivos.

   Adicionar dispositivos é opcional. O objetivo é praticar a criação de grupos e saber adicionar dispositivos. Se estás a usar este tutorial num ambiente de produção, então fica atento ao que estás a fazer.

4. Selecione > Crie para salvar as suas alterações.

   Não vê o seu grupo? Selecione Refresh.

5. Selecione Novo grupo e introduza as seguintes definições:

   • Tipo de grupo: Selecione Security.

   • Nome do grupo: Introduza todos os dispositivos Windows.

   • Tipo de adesão: Selecione Dynamic Device.

   • Membros dinâmicos do dispositivo: Selecione Adicionar consulta dinâmica e configurar a sua consulta:

     • Propriedade: Selecione dispositivoOSType.
     • Operador: Selecione Iguais.
     • Valor: Introduza Windows.

     1. Selecione Adicionar a expressão. A sua expressão é mostrada na sintaxe regra:

        

        Quando os utilizadores ou dispositivos cumprem os critérios introduzidos, são automaticamente adicionados aos grupos dinâmicos. Neste exemplo, os dispositivos são automaticamente adicionados a este grupo quando o sistema operativo está Windows. Se está a usar este tutorial num ambiente de produção, então tenha cuidado. O objetivo é praticar a criação de grupos dinâmicos.

     2. Salvar > Crie para salvar as suas alterações.

6. Criar o grupo Todos os Professores com as seguintes definições:

   • Tipo de grupo: Selecione Security.

   • Nome do grupo: Insira todos os professores.

   • Tipo de adesão: Selecione Dynamic User.

   • Membros dinâmicos do utilizador: Selecione Adicionar consulta dinâmica e configurar a sua consulta:

     • Propriedade: Selecione departamento.

     • Operador: Selecione Iguais.

     • Valor: Insira os Professores.

       1. Selecione Adicionar a expressão. A sua expressão é mostrada na sintaxe regra.

          Quando os utilizadores ou dispositivos cumprem os critérios introduzidos, são automaticamente adicionados aos grupos dinâmicos. Neste exemplo, os utilizadores são automaticamente adicionados a este grupo quando o seu departamento é Professores. Pode entrar no departamento e outras propriedades quando os utilizadores são adicionados à sua organização. Se está a usar este tutorial num ambiente de produção, então tenha cuidado. O objetivo é praticar a criação de grupos dinâmicos.

       2. Salvar > Crie para salvar as suas alterações.

Pontos de conversação

• Os grupos dinâmicos são uma característica em Azure AD Premium. Se não tem Azure AD Premium, então só tem licença para criar grupos designados. Para obter mais informações sobre grupos dinâmicos, consulte:

  • Adesão dinâmica do grupo em Azure Ative Directory (Parte 1)
  • Adesão dinâmica do grupo em Azure Ative Directory (Parte 2)

• Azure AD Premium inclui outros serviços que são comumente utilizados na gestão de apps e dispositivos, incluindo a autenticação de vários fatores (MFA) e o acesso condicional.

• Muitos administradores perguntam quando usar grupos de utilizadores e quando usar grupos de dispositivos. Para obter algumas orientações, consulte grupos de utilizadores vs grupos de dispositivos.

• Lembre-se, um utilizador pode pertencer a vários grupos. Considere alguns dos outros grupos dinâmicos de utilizador e dispositivos que pode criar, tais como:

  • Todos os Alunos
  • Todos os dispositivos Android
  • Todos os dispositivos iOS/iPadOS
  • Marketing
  • Human Resources
  • Todos os empregados da Charlotte
  • Todos os empregados da Redmond
  • Administradores de TI da costa oeste
  • Administradores de TI da costa leste

Os utilizadores e grupos criados também são vistos no centro de administração do Microsoft 365, AZure AD no portal Azure, e Microsoft Intune no portal Azure. Você pode criar e gerir grupos em todas estas áreas para a subscrição do seu inquilino. Se o seu objetivo é a gestão do dispositivo, utilize o centro de administração Microsoft Endpoint Manager.

Rever associação ao grupo

1. No centro de administração Endpoint Manager, selecione Utilizadores > selecione o nome de qualquer utilizador existente.

   

2. Reveja algumas das informações que pode adicionar ou alterar. Por exemplo, veja as propriedades que pode configurar, tais como Job Title, Department, City, Office localização, e muito mais. Pode utilizar estas propriedades nas suas consultas dinâmicas ao criar grupos dinâmicos.

3. Selecione Grupos para ver a adesão a este utilizador. Também pode remover o utilizador de um grupo.

4. Selecione algumas das outras opções para ver mais informações e o que pode fazer. Por exemplo, veja a licença atribuída, os dispositivos do utilizador, e muito mais.

O que acabei de fazer?

No centro de administração Endpoint Manager, criou novos grupos de segurança e adicionou utilizadores e dispositivos existentes a estes grupos. Usaremos estes grupos em passos posteriores neste tutorial.

Criar um modelo em Intune

Nesta secção, criamos um modelo administrativo no Intune, olhamos para algumas configurações na Gestão de Políticas de Grupo, e comparamos a mesma configuração no Intune. O objetivo é mostrar um cenário na política de grupo, e mostrar o mesmo cenário em Intune.

1. No centro de administração Endpoint Manager, selecione perfis de configuração de > dispositivos > Crie o perfil.

2. Introduza as seguintes propriedades:

   • Plataforma: Selecione Windows 10 e mais tarde.
   • Perfil: Selecione Modelos Administrativos.

3. Selecione Criar.

4. No Básico, insira as seguintes propriedades:

   • Nome: Introduza um nome descritivo para o perfil. Atribua nomes aos perfis de forma que possa identificá-los facilmente mais tarde. Por exemplo, insira o modelo de administração - Windows 10 dispositivos estudantis.
   • Descrição: Introduza uma descrição para o perfil. Esta definição é opcional, mas recomendada.

5. Selecione Seguinte.

6. Nas definições de configuração, todas as definições mostram uma lista alfabética de todas as definições. Também pode filtrar as definições aplicáveis aos dispositivos (configuração do computador) e as definições aplicáveis aos utilizadores (configuração do utilizador):

   

7. Expandir configuração do Computador > Microsoft Edge > selecionar definições de SmartScreen. Observe o caminho para a política e todas as definições disponíveis:

   

8. Em pesquisa, insira o download. Note que as definições de política são filtradas:

   

Gestão de Políticas de Grupo Aberto

Nesta secção, mostramos uma política no Intune e a sua política de correspondência no Editor de Gestão de Políticas de Grupo.

Compare uma política de dispositivo

1. No computador Admin, abra a aplicação De Gestão de Políticas de Grupo.

   Esta aplicação é instalada com RSAT: Group Policy Management Tools, que é uma funcionalidade opcional que instala no Windows. Os pré-requisitos (neste artigo) listam os passos para a sua instalação.

2. Expandir domínios > selecionar o seu domínio. Por exemplo, selecione contoso.net.

3. Clique com a direita na política do OfficeandEdge > Edit. A aplicação Do Editor de Gestão de Políticas de Grupo abre.

   

   OfficeandEdge é uma política de grupo que inclui os modelos ADMX Office e Microsoft Edge. Esta política é descrita em pré-requisitos (neste artigo).

4. Expandir políticas de configuração do computador > > Personalização do Painel de Controlo de > > Modelos Administrativos. Observe as definições disponíveis.

   

   Clique em duas cliqueS Evite ativar a câmara do ecrã de bloqueio e consulte as opções disponíveis:

   

5. No centro de administração Endpoint Manager, vá ao seu modelo de administração - Windows 10 modelo de dispositivos estudantis.

6. Selecione Personalização do Painel de Controlo de Configuração > > do Computador . Note as definições disponíveis:

   

   O tipo de definição é Dispositivo, e o caminho é /Painel de Controlo/Personalização. Este caminho é semelhante ao que acabou de ver no Editor de Gestão de Políticas de Grupo. Se abrir a definição de câmara de bloqueio de bloqueio, vê as mesmas opções não configuradas, Ativadas e desativadas que vê no Editor de Gestão de Políticas de Grupo.

Comparar uma política de utilizador

1. No seu modelo de administração, selecione configuração de computador > Todas as definições e procure navegação inprivada. Reparem no caminho.

   Faça o mesmo para a configuração do Utilizador. Selecione Todas as definições e procure navegação inprivada.

2. No Editor de Gestão de Políticas de Grupo, encontre as definições de utilizador e dispositivo correspondentes:

   • Dispositivo: Expandir > modelos administrativos de configuração de computador > > Windows componentes Internet > Explorer > Privacy Desligar > InPrivate Navegação.
   • Utilizador: Expandir modelos administrativos de configuração do utilizador > > > Windows componentes > Internet Explorer > Privacy > Desligue InPrivate Navegação.

   

Dica

Para ver as políticas de Windows incorporadas, também pode utilizar a app de política de grupo GPEdit (Editar).

Compare uma política de Microsoft Edge

1. No centro de administração Endpoint Manager, vá ao seu modelo de administração - Windows 10 modelo de dispositivos estudantis.

2. Expandir a configuração do Computador > Microsoft Edge > Startup, página inicial e nova página do separador. Observe as definições disponíveis.

   Faça o mesmo para a configuração do Utilizador.

3. No Editor de Gestão de Políticas de Grupo, encontre estas definições:

   • Dispositivo: Expandir modelos administrativos de configuração de computador > > > Microsoft Edge > arranque, página inicial e nova página do separador.
   • Utilizador: Expandir modelos administrativos de configuração de configuração do utilizador > > > Microsoft Edge > Startup, página inicial e nova página de separador

O que acabei de fazer?

Criou um modelo administrativo em Intune. Neste modelo, analisámos algumas definições de ADMX e analisámos as mesmas definições de ADMX na Gestão de Políticas de Grupo.

Adicione definições ao modelo de administração de estudantes

Neste modelo, configuramos algumas definições do Internet Explorer para bloquear dispositivos partilhados por vários alunos.

1. No seu modelo de administração - Windows 10 dispositivos estudantis, expanda a configuração do Computador, selecione Todas as definições e procure por Desligar Navegação InPrivate:

   

2. Selecione a definição de navegação InPrivate. Nesta janela, note a descrição e os valores que pode definir. Estas opções são semelhantes às que se vê na política de grupo.

3. Selecione OK ativado > para guardar as suas alterações.

4. Configurar também as seguintes definições do Internet Explorer. Certifique-se de selecionar OK para guardar as suas alterações.

   • Permitir arrastar e largar ou copiar e colar ficheiros

     • Tipo: Dispositivo
     • Caminho: \Windows Componentes\Internet Explorer\Internet Control Panel\Security Page\Internet Zone
     • Valor: Desativado

   • Evitar ignorar erros de certificado

     • Tipo: Dispositivo
     • Caminho: \Windows Componentes\Internet Explorer\Internet Control Panel
     • Valor: Habilitado

   • Desativar as definições da página inicial

     • Tipo: Utilizador
     • Caminho: \Windows Componentes\Internet Explorer
     • Valor: Habilitado
     • Página inicial: Introduza um URL, tal como contoso.com .

5. Limpe o filtro de pesquisa. Note que as definições configuradas estão listadas no topo:

   

Atribua o seu modelo

1. No seu modelo, selecione Next até chegar às Atribuições. Escolha selecionar grupos para incluir:

   

2. É apresentada uma lista de utilizadores e grupos existentes. Selecione o grupo de dispositivos de estudante All Windows 10 que criou anteriormente > Select.

   Se você está usando este tutorial em um ambiente de produção, então considere adicionar grupos que estão vazios. O objetivo é praticar a atribuição do seu modelo.

3. Selecione Seguinte. Em Rever + criar, selecione Criar para guardar as suas alterações.

Assim que o perfil é guardado, aplica-se aos dispositivos quando fazem o check-in com o Intune. Se os dispositivos estiverem ligados à internet, pode acontecer imediatamente. Para obter mais informações sobre os tempos de atualização de políticas, veja quanto tempo os dispositivos demoram a obter uma política, perfil ou app.

Ao atribuir políticas e perfis rigorosos ou restritivos, não se tranque. Considere criar um grupo que esteja excluído das suas políticas e perfis. A ideia é ter acesso à resolução de problemas. Monitorize este grupo para confirmar que está a ser usado como pretendido.

O que acabei de fazer?

No centro de administração Endpoint Manager, criou um perfil de configuração de modelo administrativo e atribuiu este perfil a um grupo que criou.

Crie um modelo de OneDrive

Nesta secção, cria-se um modelo de administração OneDrive em Intune para controlar algumas definições. Estas configurações específicas são escolhidas porque são comumente usadas por organizações.

1. Criar outroperfil > (Perfis de configuração de dispositivos > Criar perfil).

2. Introduza as seguintes propriedades:

   • Plataforma: Selecione Windows 10 e mais tarde.
   • Perfil: Selecione modelos administrativos.

3. Selecione Criar.

4. No Básico, insira as seguintes propriedades:

   • Nome: Introduza o modelo de administração - OneDrive políticas aplicáveis a todos os utilizadores Windows 10.
   • Descrição: Introduza uma descrição para o perfil. Esta definição é opcional, mas recomendada.

5. Selecione Seguinte.

6. Nas definições de configuração, configufique as seguintes definições. Certifique-se de selecionar OK para guardar as suas alterações:

   • Configuração do computador:

     • Assine silenciosamente os utilizadores ao cliente Sincronização do OneDrive com as suas credenciais de Windows
       • Tipo: Dispositivo
       • Valor: Habilitado
     • Use ficheiros OneDrive on-demand
       • Tipo: Dispositivo
       • Valor: Habilitado

   • Configuração do utilizador:

     • Impedir que os utilizadores sincronizem contas de OneDrive pessoais
       • Tipo: Utilizador
       • Valor: Habilitado

As suas definições são semelhantes às seguintes definições:

Para obter mais informações sobre OneDrive configurações do cliente, consulte a Política do Grupo de Utilização para controlar Sincronização do OneDrive configurações do cliente.

Atribua o seu modelo

1. No seu modelo, selecione Next até chegar às Atribuições. Escolha selecionar grupos para incluir:

2. É apresentada uma lista de utilizadores e grupos existentes. Selecione o grupo de dispositivos All Windows que criou anteriormente > Select.

   Se você está usando este tutorial em um ambiente de produção, então considere adicionar grupos que estão vazios. O objetivo é praticar a atribuição do seu modelo.

3. Selecione Seguinte. Em Rever + criar, selecione Criar para guardar as suas alterações.

Neste ponto, você criou alguns modelos administrativos, e atribuiu-os a grupos que você criou. O próximo passo é criar um modelo administrativo usando Windows PowerShell e a Microsoft Graph API para Intune.

Opcional: Criar uma política utilizando a PowerShell e a API Graph

Esta secção utiliza os seguintes recursos. Vamos instalar estes recursos nesta secção.

• Intune PowerShell SDK
• Microsoft Graph API para Intune

1. No computador Admin, abra Windows PowerShell como administrador:

   1. Na sua barra de pesquisa, insira powershell.
   2. Clique Windows PowerShell executar > como administrador.

   

2. Obter e definir a política de execução.

   1. Insira: get-ExecutionPolicy

      Escreva o que está programado para, que pode restringir. Quando terminar com o tutorial, volte ao seu valor original.

   2. Insira: Set-ExecutionPolicy -ExecutionPolicy Unrestricted

   3. Entra Y para o mudar.

   A política de execução da PowerShell ajuda a prevenir a execução de scripts maliciosos. Para mais informações, consulte Sobre as Políticas de Execução.

3. Insira: Install-Module -Name Microsoft.Graph.Intune

   Insira Y se:

   • Solicitado para instalar o fornecedor NuGet
   • Solicitado para instalar os módulos a partir de um repo não fidedvo

   Pode levar vários minutos para ser completado. Quando terminado, é mostrado um pedido semelhante ao seguinte:

   

4. No seu navegador web, vá a https://github.com/Microsoft/Intune-PowerShell-SDK/releases , e selecione o ficheiroIntune-PowerShell-SDK_v6.1907.00921.0001.zip.

   1. Selecione Guardar como, e selecione uma pasta de que se lembrará. c:\psscripts é uma boa escolha.

   2. Abra a pasta, clique com o botão direito no ficheiro .zip > Extrair todo o > extrato. A sua estrutura de pasta parece semelhante à seguinte pasta:

      

5. No separador Ver, verifique as extensões de nome de ficheiro:

   

6. Na sua pasta, e vá a c:\psscripts\Intune-PowerShell-SDK_v6.1907.00921.0001\drop\outputs\build\Release\net471 . Clique com o botão direito em cada .dll > Propriedades > Desbloqueie.

   

7. Na sua aplicação Windows PowerShell, insira:

   Import-Module c:\psscripts\Intune-PowerShell-SDK_v6.1907.00921.0001\drop\outputs\build\Release\net471\Microsoft.Graph.Intune.psd1
   

   Insira R se for solicitado a fugir da editora não fidedquitro.

8. Os modelos administrativos intune utilizam a versão beta de Graph:

   1. Insira: Update-MSGraphEnvironment -SchemaVersion 'beta'

   2. Insira: Connect-MSGraph -AdminConsent

   3. Quando solicitado, inscreva-se com a mesma conta de administrador Microsoft 365. Estes cmdlets criam a política na sua organização de inquilinos.

      Utilizador: Introduza a conta de administrador da sua subscrição de inquilino Microsoft 365.
      Senha: Introduza a sua senha.

   4. Selecione Aceitar.

9. Crie o perfil de configuração de configuração de teste. Introduza:

   $configuration = Invoke-MSGraphRequest -Url https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations -Content '{"displayName":"Test Configuration","description":"A test configuration created through PS"}' -HttpMethod POST
   

   Quando estes cmdlets são bem sucedidos, o perfil é criado. Para confirmar, vá ao centro de Endpoint Manager > Perfis de Configuração. O seu perfil de configuração de teste deve ser listado.

10. Obtenha todas as Definições de Definições. Introduza:

    $settingDefinitions = Invoke-MSGraphRequest -Url https://graph.microsoft.com/beta/deviceManagement/groupPolicyDefinitions -HttpMethod GET
    

11. Encontre o ID de definição utilizando o nome de visualização de definição. Introduza:

    $desiredSettingDefinition = $settingDefinitions.value | ? {$_.DisplayName -Match "Silently sign in users to the OneDrive sync client with their Windows credentials"}
    

12. Configure uma definição. Introduza:

    $configuredSetting = Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues" -Content ("{""enabled"":""true"",""configurationType"":""policy"",""definition@odata.bind"":""https://graph.microsoft.com/beta/deviceManagement/groupPolicyDefinitions('$($desiredSettingDefinition.id)')""}") -HttpMethod POST
    

    Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues('$($configuredSetting.id)')" -Content ("{""enabled"":""false""}") -HttpMethod PATCH
    

    $configuredSetting = Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues('$($configuredSetting.id)')" -HttpMethod GET
    

Veja a sua política

1. No centro de administração Endpoint Manager, > Configuração Perfis > Refresh.
2. Selecione o perfil de configuração de teste > Definições.
3. Na lista de drop-down, selecione Todos os produtos.

Você vê o sinal silenciosa nos utilizadores para o cliente Sincronização do OneDrive com a sua definição de credenciais Windows está configurado.

Melhores práticas políticas

Ao criar políticas e perfis no Intune, existem algumas recomendações e boas práticas a ter em conta. Para mais informações, consulte as melhores práticas de política e perfil.

Limpar os recursos

Quando já não é necessário, pode:

• Eliminar os grupos que criou:

  • Todos os Windows 10 dispositivos estudantis
  • Todos os dispositivos Windows
  • Todos os Professores

• Elimine os modelos de administração que criou:

  • Modelo de administrador - Windows 10 dispositivos estudantis
  • Modelo de administração - políticas de OneDrive que se aplicam a todos os utilizadores Windows 10
  • Configuração de teste

• De redoem a política de execução Windows PowerShell ao seu valor original. O exemplo a seguir define a política de execução para restrito:

  Set-ExecutionPolicy -ExecutionPolicy Restricted
  

Passos seguintes

Neste tutorial, ficou mais familiarizado com o centro de administração Microsoft Endpoint Manager,usou o construtor de consultas para criar grupos dinâmicos, e criou modelos administrativos em Intune para configurar as definições de ADMX. Também comparou usando modelos ADMX no local e na nuvem com Intune. Como bónus, usou cmdlets PowerShell para criar um modelo administrativo.

Para obter mais informações sobre modelos administrativos em Intune, consulte:

Utilize modelos de Windows 10 para configurar definições de política de grupo no Intune