Создание профиля устройства в Microsoft Intune

Профили устройств позволяют добавлять и настраивать параметры, а затем отправлять эти параметры на устройства в вашей организации. При создании политик можно воспользоваться одним из следующих вариантов.

• Административные шаблоны. На устройствах с Windows 10/11 эти шаблоны являются параметрами ADMX, которые вы настраиваете. Если вы знакомы с политиками ADMX или объектами групповой политики (GPO), то использование административных шаблонов — естественный шаг к Microsoft Intune.

  Для получения дополнительной информации перейдите в раздел Административные шаблоны.

• Базовые показатели. На устройствах с Windows 10/11 эти базовые показатели включают предварительно настроенные параметры безопасности. Если вы хотите создать политику безопасности с использованием рекомендаций, предоставляемых группами безопасности Майкрософт, вам потребуются базовые показатели безопасности.

  Дополнительные сведения см. в разделе Базовые показатели безопасности.

• Каталог параметров: на устройствах с Apple и Windows вы можете использовать каталог настроек для настройки функций и настроек устройства. Каталог параметров объединяет все доступные настройки в едином месте. Например, вы можете просмотреть все параметры, которые применяются к BitLocker, и создать политику, ориентированную исключительно на BitLocker. На устройствах macOS каталог параметров используется для настройки параметров браузера Microsoft Edge версии 77.

  Для получения дополнительных сведений перейдите в Каталог параметров.

• Шаблоны: на устройствах с Android, iOS/iPadOS, macOS и Windows в шаблонах предусмотрено логическое группирование параметров, которые используются для настройки какой-либо функции или концепции, например VPN, электронной почты, устройств киоска и многого другого. Если вы знакомы с созданием политик конфигурации устройств в Microsoft Intune, вы уже используете эти шаблоны.

  Для получения дополнительных сведений, включая доступные шаблоны, перейдите в раздел Применение функций и настроек на ваших устройствах с помощью профилей устройств.

В этой статье:

• Перечислены шаги по созданию профиля.
• Показано, как добавить тег области для "фильтрации" политик.
• Описывает правила применимости на клиентских устройствах с Windows и показывает, как создать правило.
• Содержит дополнительные сведения о времени цикла обновления регистрации, когда устройства получают профили и любые обновления профилей.

Данная функция применяется к:

• Android
• iOS/iPadOS
• macOS
• Windows

Создание профиля

Профили создаются в Центре администрирования Microsoft Intune. В центре администрирования выберите Устройства. Возможны следующие варианты:

• Обзор: отображение дополнительных сведений о профилях, назначенных пользователям и устройствам, а также их состояния.
• Монитор: проверка состояния профилей (успех или ошибка) и просмотр журналов для профилей.
• По платформе: создание и просмотр политик и профилей по платформе. В этом представлении также могут отображаться функции, специфичные для платформы. Например, выберите Windows 10 и более поздних версий. Вы увидите специфичные для Windows функции, такие как круги обновления Windows и сценарии PowerShell.
• Управление устройствами: создавайте профили устройств, отправляйте пользовательские сценарии PowerShell для запуска на устройствах и добавляйте планы передачи данных на устройства с помощью eSIM.

При создании профиля (Создание>конфигурации>управления устройствами>) выберите свою платформу:

• Администратор устройств Android
• Android Enterprise
• iOS/iPadOS
• macOS
• Windows 10 и более поздние версии
• Windows 8.1 и более поздние версии

Затем выберите профиль. Доступные для настройки параметры различаются в зависимости от выбранной платформы. Различные профили описаны в следующих статьях:

• Административные шаблоны (Windows)
• Конфигурация BIOS и другие параметры
• Custom
• Оптимизация доставки (Windows)
• Производные учетные данные (Android Enterprise, iOS, iPadOS)
• Функции устройства (macOS, iOS, iPadOS)
• Интерфейс настройки встроенного ПО устройства (DFCI) (Windows)
• Ограничения для устройств
• Присоединение к домену (Windows)
• Обновление выпуска и переключение режима (Windows)
• Образование (iOS, iPadOS)
• Электронная почта
• Защита конечных точек (macOS, Windows)
• Расширения (macOS)
• Киоск
• Microsoft Defender для конечной точки (Windows)
• Профиль расширений для мобильности (MX) (администратор устройств Android)
• Граница сети (Windows)
• OEMConfig (Android Enterprise)
• Сертификат стандартов шифрования с открытым ключом
• Импортированный сертификат стандартов шифрования с открытым ключом
• Файл настроек (macOS)
• Сертификат SCEP
• Оценка безопасности (образование) (Windows)
• Общее устройство с несколькими пользователями (Windows)
• Надежный сертификат
• VPN
• Wi-Fi
• Наблюдение за работоспособностью Windows
• Проводные сети (macOS)

Например, если вы выберете в качестве платформы Android Enterprise, ваши параметры будут выглядеть примерно так:

Если вы выберете Windows 10 и более новых версий в качестве платформы, параметры будут выглядеть следующим образом.

Теги области

После добавления параметров можно также добавить тег области к профилю. Теги области отфильтровывают профили для отдельных ИТ-групп, таких как US-NC IT Team или JohnGlenn_ITDepartment. И используются в распределенных ИТ-системах.

Дополнительные сведения о тегах области и о том, что вы можете сделать, см. в разделе Использование RBAC и тегов области для распределенных ИТ.

Правила применимости

Применимо к:

• Windows 11
• Windows 10

Правила применимости позволяют администраторам назначать целевыми устройствами те, которые находятся в группе, соответствующей определенным критериям. Например, вы создаете профиль ограничений устройств, который применяется к группе Все устройства Windows 10/11. Кроме того, следует назначать профиль только устройствам, работающим под управлением Windows Enterprise.

Чтобы выполнить эту задачу, создайте правило применимости. Эти правила полезны в следующих случаях:

• Вы используете Windows 10 для образовательных учреждений (EDU). В Bellows College вы хотите выбрать все устройства с Windows 10 EDU между RS3 и RS4.
• Вы хотите выбрать всех пользователей в отделе кадров компании Contoso, но вам нужны только пользователи устройств с Windows 10 Профессиональная или Windows 10 Корпоративная.

Для реализации этих сценариев:

• Создайте группу устройств, которая включает все устройства в Bellows College. В профиле добавьте правило применимости, которое применяется, если минимальная версия ОС — 16299, а максимальная версия — 17134. Назначьте этот профиль для группы устройств Bellows College.

  При назначении профиль применяется к устройствам между введенной вами минимальной и максимальной версией. Состояние устройств, которые не находятся между минимальной и максимальной версиями, отображается как Неприменимо.

• Создайте группу пользователей, включающую всех пользователей в отделе кадров Contoso. В профиле добавьте правило применимости, которое применяется к устройствам с Windows 10 Профессиональная или Windows 10 Корпоративная. Назначьте этот профиль группе пользователей отдела кадров.

  При назначении профиль применяется к устройствам с Windows 10 Профессиональная или Корпоративная. Состояние устройств с другими выпусками отображается как Неприменимо.

• При наличии двух профилей с одинаковыми параметрами применяется профиль без правила применимости.

  Например, ProfileA предназначен для группы устройств с Windows 10, включает в себя BitLocker и не имеет правила применимости. ProfileB предназначен для той же группы устройств с Windows 10, включает в себя BitLocker и имеет правило применимости с профилем только для Windows 10 Корпоративная.

  При назначении обоих профилей применяется ProfileA, так как у него нет правила применимости.

При назначении профиля группам правила применимости действуют как фильтры и предназначены только для устройств, соответствующих установленным критериям.

Добавление правила

1. В политике выберите Правила применимости. Можно выбрать Правило и Свойство.

   

2. В поле Правило выберите, следует ли включать или исключать пользователей или группы. Доступны следующие параметры:

   • Назначить профиль, если: включает пользователей или группы, соответствующие введенным условиям.
   • Не назначать профиль, если: исключает пользователей или группы, соответствующие введенным условиям.

3. В поле Свойство выберите фильтр. Доступны следующие параметры:

   • Выпуск ОС. В списке отметьте выпуски клиента Windows, которые вы хотите включить в правило или исключить из него.

   • Версия ОС. Введите минимальное и максимальное значение номера версии клиента Windows, которые вы хотите включить в правило или исключить из него. Оба значения являются обязательными.

     Например, можно ввести 10.0.16299.0 (RS3 или 1709) для минимальной версии и 10.0.17134.0 (RS4 или 1803) для максимальной версии. Можно также указать конкретные значения: 10.0.16299.001 для минимальной версии и 10.0.17134.319 для максимальной версии.

     Дополнительные номера версий см. в разделе Сведения о выпуске клиента Windows.

4. Нажмите кнопку Добавить, чтобы сохранить изменения.

Время цикла обновления политики

Intune использует разные циклы обновления для проверки наличия обновлений в профилях конфигурации. Если устройство зарегистрировано недавно, проверка выполняется чаще. Циклы обновления политики и профиля содержат оценочное время обновления.

Пользователи могут в любое время открыть приложение Корпоративного портала и синхронизировать устройство, чтобы моментально проверить обновления профиля.

Рекомендации

При создании профилей учитывайте следующие рекомендации:

• Назовите свои политики, чтобы знать, что они собой представляют и что они делают. Все политики соответствия и профили конфигурации имеют необязательное свойство — Описание. В свойстве Описание необходимо добавить нужные сведения, чтобы другие пользователи знали, что выполняет эта политика.

  Ниже приведены некоторые примеры профилей конфигурации.

  Имя профиля: административный шаблон — профиль конфигурации OneDrive для всех пользователей Windows 10
  Описание профиля: профиль административного шаблона OneDrive, который содержит минимальные и базовые параметры для всех пользователей Windows 10. Создано user@contoso.com, чтобы запретить пользователям делиться организационными данными с личными учетными записями OneDrive.

  Имя профиля: профиль VPN для всех пользователей iOS/iPadOS
  Описание профиля: профиль VPN, который содержит минимальные и базовые параметры для подключения к VPN Contoso для всех пользователей iOS/iPadOS. Создано user@contoso.com, чтобы пользователи автоматически проходили проверку подлинности в VPN, вместо того, чтобы запрашивать у них имя пользователя и пароль.

• Создайте профиль для конкретной задачи, например настройка параметров Microsoft Edge, включение параметров антивирусной защиты Microsoft Defender, блокировка взломанных устройств iOS/iPadOS и т. д.

• Создайте профили, которые применяются к определенным группам, таким как "Маркетинг", "Продажи", "ИТ-администраторы", либо профили по расположению или учебной системе. Используйте встроенные функции, в том числе:

  • Используйте управление доступом на основе ролей (RBAC) и теги области для распределенных ИТ-инфраструктур в Intune
  • Распределенная ИТ-инфраструктура со многими администраторами в одном клиенте Intune
  • Используйте фильтры при назначении приложений, политик и профилей в Intune

• Разделяйте политики пользователей и политики устройств.

  Например, административные шаблоны в Intune имеют тысячи параметров ADMX. В этом шаблоне показано, применяются ли параметры к пользователям или устройствам. При создании административных шаблонов назначьте параметры пользователей группе пользователей, а параметры устройств — группе устройств.

  На следующем рисунке показан пример параметра, который может применяться к пользователям, устройствам или и к тем, и к другим.

  

• Используйте Microsoft Copilot в Intune, чтобы оценить свои политики, узнать больше о параметре политики и его влиянии на ваших пользователей и безопасность, а также сравнить политики между двумя устройствами.

  Дополнительные сведения см. в статье Microsoft Copilot в Intune.

• Каждый раз при создании ограничительной политики вам потребуется донести ее смысл до пользователей. Например, если вы изменяете требование к секретному коду с четырех (4) на шесть (6) символов, сообщите пользователям об этом до назначения политики.

Дальнейшие действия

Назначьте профиль и отслеживайте его состояние.