Применение параметров и функций на устройствах с помощью профилей устройств в Microsoft Intune
Microsoft Intune включает параметры и функции, которые можно включить или отключить на разных устройствах в пределах организации. Эти параметры и функции добавляются в профили конфигурации.
При настройке функций устройств с помощью профиля конфигурации вы можете помочь конечным пользователям быстрее работать на своих устройствах.
Вы можете создавать профили для различных устройств и разных платформ, включая Android, iOS/iPadOS, macOS и Windows. Существуют некоторые параметры конфигурации, уникальные для каждой платформы. Кроме того, для каждой платформы часто используется множество профилей устройств, от параметров антивирусной программы до пользовательских параметров.
Когда профили будут готовы, вы используете Intune, чтобы применить или "назначить" профиль группам пользователей или устройств.
Важно!
Microsoft Intune прекращает поддержку управления администраторами устройств Android на устройствах с доступом к Google Mobile Services (GMS) 31 декабря 2024 г. После этой даты регистрация устройств, техническая поддержка, исправления ошибок и исправления безопасности будут недоступны. Если в настоящее время вы используете управление администраторами устройств, мы рекомендуем перейти на другой вариант управления Android в Intune до окончания поддержки. Дополнительные сведения см. в разделе Прекращение поддержки администратора устройств Android на устройствах GMS.
Используйте эти профили конфигурации для выполнения различных задач в составе решения по управлению мобильными устройствами (MDM). Вот некоторые примеры профилей:
- Разрешение или запрет на использование Bluetooth на устройстве.
- Создание профиля Wi-Fi или VPN, предоставляющего различным устройствам доступ к корпоративной сети.
- Управление обновлениями программного обеспечения, включая их установку.
- Запуск устройства Android как выделенного киоска, где можно запускать одно приложение или несколько.
- На устройствах с iOS/iPadOS и macOS разрешите пользователям работу с принтерами AirPrint в вашей организации.
Совет
Если вы управляете локальными устройствами с помощью Microsoft Configuration Manager, вы можете использовать совместное управление для подключения локальных устройств к облаку. Совместное управление позволяет управлять клиентскими устройствами Windows с помощью Configuration Manager и Microsoft Intune.
Профили устройств и политики, необходимые в Intune, можно создавать на основе политик, имеющихся в Configuration Manager. Дополнительные сведения о совместном управлении см. в статье Общие сведения о совместном управлении с помощью Microsoft Configuration Manager. Связанные сведения см. в разделе Подготовка Intune к совместному управлению.
Использование шаблонов или каталога параметров
В Intune для большинства платформ при создании профиля конфигурации устройства у вас есть два типа политик: Шаблоны или Каталог параметров.
В каталоге параметров перечислены все параметры, которые можно настроить, и все в одном месте. Шаблоны включают логическую группировку параметров, которые настраивают функцию или концепцию, например электронную почту, устройства киоска и встроенное ПО устройств.
Intune содержит множество шаблонов, включающих группы параметров, ориентированных на различные части управления устройствами, включая доступ к ресурсам (VPN, Wi-Fi), безопасность (антивирусная программа, брандмауэр, сертификаты) и объекты групповая политика (административные шаблоны ADMX).
Вы можете создать базовый план профилей, которые должны быть у всех устройств, или настроить определенные функции в соответствии с потребностями организации и уровнями безопасности. Дополнительные сведения см. в разделе Уровни защиты и конфигурации в Microsoft Intune.
В этой статье описываются различные типы профилей, которые вы можете создать. С помощью этих профилей можно включать или отключать некоторые функции на устройствах.
Административные шаблоны и групповая политика
Административные шаблоны включают сотни параметров, которые можно настроить для интернет-Обозреватель, Microsoft Edge, OneDrive, удаленного рабочего стола, Word, Excel и других приложений Office. Эти шаблоны предоставляют администраторам упрощенное представление параметров, аналогичное групповой политике, и являются полностью облачными.
групповая политика аналитика анализирует локальные объекты групповой политики. Это средство, которое помогает определить, как объекты групповой политики переводятся в облако. В выходных данных отображаются все устаревшие параметры и параметры, доступные (или недоступные) поставщикам MDM, включая Microsoft Intune.
Эта функция поддерживает:
- Windows 11
- Windows 10
Сертификаты
Сертификаты в Intune используются для проверки подлинности пользователей, чтобы они могли получать доступ к приложениям и корпоративным ресурсам через VPN, Wi-Fi или профили электронной почты. При использовании сертификатов для проверки подлинности этих подключений пользователям не нужно вводить имена пользователей и пароли.
Сертификаты также используются для подписывания и шифрования электронной почты с помощью S/MIME. К распространенным типам сертификатов, используемым в Intune, относятся доверенные корневые сертификаты, сертификаты SCEP и сертификаты стандартов шифрования с открытым ключом (PKCS).
Эта функция поддерживает:
- Администратор устройств Android
- Android (AOSP)
- Android Enterprise
- iOS/iPadOS
- macOS
- Windows 11
- Windows 10
- Windows 8.1
Настраиваемый профиль
Настраиваемые параметры позволяют администраторам использовать параметры устройства, не встроенные в Intune. На устройствах Android можно ввести значения OMA-URI. Для устройств iOS/iPadOS можно импортировать файл конфигурации, созданный в Apple Configurator.
Эта функция поддерживает:
- Администратор устройств Android
- Android Enterprise
- iOS/iPadOS
- macOS
- Windows 11
- Windows 10
Оптимизация доставки
Оптимизация доставки повышает удобство работы при доставке обновлений программного обеспечения. Эти параметры заменяют параметры Обновления программного обеспечения>Круг обновления Windows 10 .
Используйте эти параметры для управления тем, как обновления программного обеспечения скачиваются на устройства в вашей организации. Например, вы можете разрешить пользователям получать необходимые им обновления или получать обновления с помощью облачных служб оптимизации доставки в профиле устройства.
Эта функция поддерживает:
- Windows 11
- Windows 10
Производные учетные данные
Если ваша организация использует смарт-карты для проверки подлинности, подписывания или шифрования, вы можете использовать производные учетные данные. В Intune можно настроить и развернуть сертификат, производный от интеллектуальной карта пользователя. Производные учетные данные обычно используются для Wi-Fi & VPN-подключений, проверки подлинности & электронной почты приложения или подписывания S/MIME & шифрования.
Intune поддерживает несколько издателей производных учетных данных. Каждая платформа также имеет собственный набор параметров.
Эта функция поддерживает:
- Android Enterprise
- iOS/iPadOS
Функции устройства
Возможности устройств позволяют управлять возможностями устройств с iOS/iPadOS и macOS, например AirPrint, уведомлениями и сообщениями на экране блокировки.
Эта функция поддерживает:
- iOS/iPadOS
- macOS
Конфигурация BIOS и DFCI
С помощью конфигурации BIOS администраторы могут защитить доступ к BIOS паролем и создать файл конфигурации с помощью средства OEM с нужными параметрами BIOS. Затем они добавляют этот файл конфигурации в политику Intune.
Интерфейс конфигурации встроенного ПО устройства (DFCI) позволяет администраторам включать и отключать параметры UEFI (BIOS) с помощью Intune. Используйте эти параметры для повышения безопасности на уровне встроенного ПО, которое обычно более устойчиво к атакам злоумышленников.
Эта функция поддерживает:
- Windows 11
- Windows 10
Ограничения для устройств
Ограничения устройств позволяют управлять безопасностью, оборудованием, общим доступом к данным и другими параметрами на устройствах. Например, можно создать профиль ограничения устройства, который запрещает доступ к камере пользователям устройств с iOS/iPadOS.
Существуют также параметры, которые управляют доступом к магазинам приложений, запрещают пользователям просматривать корпоративные документы в неуправляемых приложениях, требуют пароля для разблокировки устройства или требуют, чтобы устройства использовали только определенные Wi-Fi сети.
Эта функция поддерживает:
- Администратор устройств Android
- Android (AOSP)
- Android Enterprise
- iOS/iPadOS
- macOS
- Windows 11
- Windows 10
- Windows 10 для совместной работы
Присоединение к домену
Во время присоединения к домену настраиваются локальные сведения о домене Active Directory. Эти сведения развертываются на Microsoft Entra устройствах с гибридным присоединением при подготовке с помощью Windows Autopilot и Intune. Этот профиль указывает домен и подразделение, к которым должны быть присоединены устройства.
Эта функция поддерживает:
- Windows 11
- Windows 10
Обновление выпуска и переключение режима
Обновления выпусков Windows 10/11 обеспечивают автоматическое обновление устройств под управлением некоторых версий Windows до более нового выпуска.
Эта функция поддерживает:
- Windows 11
- Windows 10
Образование
Параметры образования — Windows 10 — настройка параметров для приложения Windows "Тестирование". Если настроить эти параметры, на устройстве не могут запускаться другие приложения, пока не будет завершено тестирование.
Параметры образования — iOS/iPadOS — приложение iOS/iPadOS Класс помогает преподавателям руководить обучением и управлять устройствами учащихся в классе. Устройства iPad можно настроить так, чтобы несколько учащихся могли пользоваться одним устройством.
Электронная почта
Профиль параметров электронной почты позволяет создавать, назначать и отслеживать параметры электронной почты Exchange ActiveSync на устройствах. Этот профиль обеспечивают согласованность, сокращение числа обращений в службу поддержки, а также предоставляет пользователям доступ к электронной почте компании с личных устройств без дополнительных настроек.
Эта функция поддерживает:
- Администратор устройств Android
- Android Enterprise
- iOS/iPadOS
- Windows 11
- Windows 10
Защита конечной точки
Важно!
Этот шаблон не рекомендуется использовать в выпуске службы за август 2024 г. (2408). Существующие политики продолжают работать. Но вы не можете создать новые политики с помощью этого шаблона.
Вместо этого используйте каталог параметров для создания новых политик, которые настраивают полезные данные FileVault, Брандмауэр и Управление системными политиками (Привратник). Дополнительные сведения см. в каталоге параметров macOS.
Защита конечной точки настраивает параметры BitLocker и Microsoft Defender для клиентских устройств с Windows. На устройствах macOS также можно настроить брандмауэр, шлюз и другие ресурсы.
Сведения о подключении Microsoft Defender для конечной точки к Microsoft Intune см. в статье Настройка конечных точек с помощью средств управления мобильными устройствами (MDM).
Эта функция поддерживает:
- macOS
- Windows 11
- Windows 10
Сотовая связь eSIM
Профили сотовой связи eSIM позволяют администраторам настраивать тарифные планы сотовой сети на управляемых устройствах для доступа к Интернету и данным. После получения кодов активации от оператора мобильной связи можно использовать Intune для импорта этих кодов, а затем назначить их для устройств, поддерживающих eSIM.
Эта функция поддерживает:
- Windows 11
- Windows 10 Fall Creators Update и более новые версии
Расширения
Важно!
Этот шаблон не рекомендуется использовать в выпуске службы за август 2024 г. (2408). Существующие политики продолжают работать. Но вы не можете создать новые политики с помощью этого шаблона.
Вместо этого используйте каталог параметров для создания новых политик, которые настраивают полезные данные системных расширений. Дополнительные сведения см. в каталоге параметров macOS.
Расширения системы macOS и расширения ядра позволяют администраторам добавлять функции или программы, расширяющие собственные возможности операционной системы. Настройте эти параметры, чтобы доверять всем расширениям конкретного разработчика или партнера, или разрешить конкретные расширения.
Эта функция поддерживает:
- macOS
Базовая подписка
Профиль параметров киоска настраивает выполнение одного или нескольких приложений на устройстве. Вы также можете настроить другие функции киоска, в том числе меню "Пуск" и веб-браузер.
Эта функция поддерживает:
- Windows 11 (только киоски с одним приложением)
- Windows 10
Этот профиль также можно использовать в качестве ограничений для устройств Android, Android для бизнеса и iOS/iPadOS.
Профиль MX (Zebra)
Mobility extensions (MX) расширяет встроенные параметры Intune, позволяя настроить или добавить дополнительные параметры для устройств Zebra. Устройства Zebra обычно используются в производственных цехах и средах розничной торговли. При наличии сотен или тысяч устройств Zebra для их настройки и управления ими можно использовать Intune.
Эта функция поддерживает:
- Администратор устройств Android
Microsoft Defender для конечной точки
Microsoft Defender для конечной точки интегрируется с Intune для мониторинга и защиты устройств. Вы устанавливаете уровни риска и определяете, что произойдет, если устройства превышают этот уровень. В сочетании с условным доступом можно предотвратить вредоносные действия в организации.
Эта функция поддерживает:
- Windows 11
- Windows 10
Граница сети
Граница сети создает список сайтов, которым доверяет ваша организация. Эта функция используется в сочетании с Application Guard в защитнике Майкрософт и Microsoft Edge для защиты устройств.
Эта функция поддерживает:
- Windows 11
- Windows 10
OEMConfig
OEMConfig — это стандартная конфигурация на устройствах с Android Enterprise. Она позволяет поставщикам вычислительной техники (ПВТ) и корпоративным службам управления мобильными устройствами создавать функции, зависящие от изготовителя, и обеспечивать их поддержку стандартизированным способом.
С помощью OEMConfig OEM создает схему, которая определяет специфичные для OEM функции управления, и встраивает ее в приложение, загруженное в Google Play. Intune считывает схему из приложения и позволяет администраторам Intune настраивать параметры в ней.
Эта функция поддерживает:
- Android для бизнеса (OEMConfig)
Файл предпочтений
Файлы предпочтений на устройствах macOS включают сведения о приложениях. Например, файлы настроек можно использовать для управления параметрами веб-браузера, настройки приложений и многого другого.
Эта функция поддерживает:
- macOS
Совет
Параметры macOS постоянно добавляются в каталог параметров. Некоторые из этих параметров могут заменять файлы предпочтений. Дополнительные сведения см. в разделе Задачи, которые можно выполнить с помощью каталога параметров Intune.
Каталог параметров
В каталоге параметров перечислены все доступные параметры, которые можно настроить, и все в одном месте. Это не шаблон или логическая группа параметров. Каталог параметров аналогичен настройке локальных объектов групповая политика объектов (GPO), но является собственным облаком.
В Windows доступны тысячи параметров, в том числе отсутствующие в шаблонах. Если требуется полный список всех параметров, используйте для создания политики каталог параметров. Если вы хотите использовать логическое группирование параметров, продолжайте использовать шаблоны.
Задачи, которые можно выполнить с помощью Intune каталог параметров является хорошим ресурсом.
Эта функция поддерживает:
- iOS/iPadOS
- macOS
- Windows 11
- Windows 10
Общее устройство с несколькими пользователями
Windows 10/11 и Windows Holographic for Business включают параметры управления устройствами с несколькими пользователями. Они называются общими устройствами или общими компьютерами. При входе пользователя на устройстве можно выбрать, может ли пользователь изменять параметры спящего режима или сохранять файлы на устройстве. В другом примере можно создать профиль, который удаляет неактивные учетные данные с устройств Windows HoloLens для экономии места.
Эти параметры общего устройства для нескольких пользователей позволяют администраторам управлять рядом функций устройств и контролировать эти общие устройства с помощью Intune.
Эта функция поддерживает:
- Windows 11
- Windows 10
- Windows Holographic for Business
Скрипты оболочки
На устройствах Linux можно добавить существующие скрипты Bash для настройки параметров и функций на этих устройствах. Эта концепция аналогична созданию пользовательского профиля конфигурации устройства и развертыванию политики на устройствах. В Linux вы используете существующие скрипты Bash для настройки функций и параметров, которые не встроены в Intune.
На устройствах macOS можно добавить существующие скрипты оболочки, а затем развернуть их на устройствах macOS.
На устройствах Windows можно использовать расширение управления Intune, чтобы отправить скрипты PowerShell в Intune, а затем запустить эти скрипты на своих устройствах. Также ознакомьтесь с требованиями к использованию расширения, добавлением их в Intune и другими важными сведениями.
Эта функция поддерживает:
- Linux
- macOS
- Windows 11
- Windows 10
Политики обновления
В статье Политики обновления iOS/iPadOS показано, как создавать и назначать политики iOS/iPadOS для установки обновлений программного обеспечения на устройствах iOS/iPadOS. Вы также можете проверить состояние установки.
Политики обновления на устройствах Windows см. в разделе Оптимизация доставки.
Эта функция поддерживает:
- iOS/iPadOS
VPN
Параметры VPN — назначение профилей VPN для пользователей и устройств в организации и обеспечение простого и безопасного подключения к сети.
Виртуальные частные сети (VPN) обеспечивают безопасный удаленный доступ пользователей к вашей корпоративной сети. Устройства используют профиль VPN для подключения к VPN-серверу.
Эта функция поддерживает:
- Администратор устройств Android
- Android Enterprise
- iOS/iPadOS
- macOS
- Windows 11
- Windows 10
- Windows 8.1
Wi-Fi
Параметры Wi-Fi — установка параметров беспроводной сети для пользователей и устройств. При назначении профиля Wi-Fi пользователи получают доступ к корпоративной сети Wi-Fi, не настраивая ее самостоятельно.
Эта функция поддерживает:
- Администратор устройств Android
- Android (AOSP)
- Android Enterprise
- iOS/iPadOS
- macOS
- Windows 11
- Windows 10
- Windows 8.1 (только импорт)
Наблюдение за работоспособностью Windows
Мониторинг работоспособности Windows позволяет Endpoint Analytics собирать и анализировать данные о событиях. Эти данные можно использовать для получения аналитических сведений об устройствах Windows, включая обновления программного обеспечения и производительность при запуске.
Эта функция поддерживает:
- Windows 11
- Windows 10
Проводные сети
Проводные сети позволяют создавать проводные подключения 802.1x и управлять ими для настольных компьютеров и устройств с macOS и Windows. В профиле выберите сетевой интерфейс, выберите приемлемые типы EAP и введите параметры доверия сервера, включая сертификаты PKCS и SCEP.
При назначении профиля пользователи получают доступ к корпоративной проводной сети, не настраивая ее самостоятельно.
Эта функция поддерживает:
- macOS
- Windows 11
- Windows 10
Расширения Zebra Mobility Extensions (MX)
Zebra Mobility Extensions (MX) позволяет администраторам использовать устройства Zebra и управлять ими в Intune. Создайте профили StageNow со своими настройками, а затем с помощью Intune назначьте и разверните эти профили на устройствах Zebra. Журналы StageNow и распространенные проблемы — это отличный ресурс для устранения неполадок в профилях и просмотра потенциальных проблем при использовании StageNow.
Эта функция поддерживает:
- Администратор устройства Android с расширениями Mobility
Управление и устранение неполадок
Управление профилями используется для проверки состояния устройств и назначенных профилей. Оно также помогает разрешать конфликты путем просмотра параметров, которые вызывают конфликт, и профилей, содержащих эти параметры.
Распространенные вопросы и действия с политиками и профилями помогают администраторам работать с профилями. В ней описано, что происходит при удалении профиля, что вызывает отправку уведомлений на устройства и многое другое.
Дальнейшие действия
Выберите профиль и приступайте к работе.