Импорт и анализ локальных объектов групповой политики с помощью аналитики групповой политики в Microsoft Intune
Совет
Ищете анализ объектов групповой политики в локальной среде? В наборе средств для обеспечения соответствия требованиям безопасности (Майкрософт) доступны средства.
Microsoft Intune имеет многие из тех же параметров, что и ваши локальные объекты групповой политики. Аналитика групповой политики — это средство в Microsoft Intune, которое:
- Импортирует и анализирует локальные объекты групповой политики.
- Показывает параметры, которые поддерживают облачные поставщики MDM, включая Microsoft Intune.
- Отображает все нерекомендуемые или недоступные параметры.
- Можно перенести импортированные объекты групповой политики в политику каталога параметров, которую можно развернуть на ваших устройствах.
Если ваша организация использует локальные объекты групповой политики для управления устройствами Windows 10/11, то аналитика групповой политики может помочь. Благодаря аналитике групповой политики Intune может заменить ваши локальные объекты групповой политики. Устройства с Windows 10 или 11 изначально являются облачными. Таким образом, в зависимости от вашей конфигурации этим устройствам может не требоваться доступ к локальной Active Directory.
Если вы готовы удалить зависимость от локальной службы AD, хорошим первым шагом будет сканирование Объектов групповой политики с помощью аналитики групповой политики. Некоторые старые настройки не поддерживаются или не применимы к облачным устройствам Windows. После анализа объектов групповой политики вы узнаете, какие параметры по-прежнему действительны.
Данная функция применяется к:
- Windows 11
- Windows 10
В этой статье показано, как экспортировать локальные объекты групповой политики, импортировать объекты групповой политики в Intune, а также просмотреть анализ и результаты. Чтобы перенести импортированные объекты групповой политики в политику Intune или перенести их в политику Intune, перейдите в раздел Создание политики каталога параметров с помощью импортированных объектов групповой политики в Microsoft Intune.
Подготовка к работе
В Центре администрирования Microsoft Intune войдите как администратор Intune или с ролью, которая имеет базовые показатели безопасности и разрешение "Конфигурация устройства ". Дополнительные сведения о встроенных ролях см. в статье Управление доступом на основе ролей.
Экспорт объекта групповой политики в виде XML-файла
Следующие действия могут отличаться на сервере в зависимости от используемой версии GPMC. При экспорте объекта групповой политики убедитесь, что вы экспортируете как XML-файл.
На локальном компьютере откройте консоль
Group Policy Management
(GPMC.msc).В консоли управления разверните доменное имя.
Разверните Объекты групповой политики, чтобы просмотреть все доступные объекты групповой политики.
Щелкните правой кнопкой мыши объект групповой политики, который вы хотите перенести, и выберите Сохранить отчет:
Выберите легкодоступную папку для экспорта. В поле Тип файла выберите XML-файл. На другом шаге вы добавите этот файл в аналитику групповой политики в Intune.
Убедитесь, что размер файла меньше 4 МБ и он имеет правильную кодировку Unicode. Если экспортируемый файл больше 4 МБ, уменьшите количество параметров в объекте групповой политики.
Импорт объектов групповой политики и аналитика запуска
В Центре администрирования Microsoft Intune выберите Устройства>Управление устройствами>Аналитика групповой политики.
Выберите Импорт и выберите сохраненный XML-файл >Далее.
Вы можете выбрать несколько файлов одновременно.
Проверьте размеры отдельных XML-файлов объектов групповой политики. Размер одного объекта групповой политики не может превышать 4 МБ. Если размер одного объекта групповой политики превышает 4 МБ, импорт завершается ошибкой. XML-файлы без соответствующего окончания Юникода также завершаются ошибкой.
В разделе Теги области выберите существующий тег области, который вы хотите применить к импортированному объекту групповой политики. Если вы не выберете существующий тег области, автоматически используется тег области по умолчанию :
Импортированный объект групповой политики могут просматривать только администраторы, включенные в выбранное теги области. Дополнительные сведения о тегах области в импортированных объектах групповой политики см. в статье Выбор тега области при импорте (в этой статье).
Щелкните Далее>Создать.
При нажатии кнопки Создать Intune автоматически анализирует объект групповой политики в XML-файле.
После выполнения анализа объект групповой политики импортируется в список со следующими сведениями:
Имя групповой политики: имя создается автоматически с помощью сведений в объекте групповой политики.
Целевой объект Active Directory: объект создается автоматически с использованием целевых сведений о подразделении в объекте групповой политики.
Поддержка MDM: отображает процент параметров групповой политики в объекте групповой политики, который имеет тот же параметр в Intune.
Примечание.
Каждый раз, когда команда разработки Microsoft Intune вносит изменения в сопоставление в Intune, процент в службе поддержки MDM автоматически обновляется для отображения этих изменений.
Неизвестные параметры. Существуют некоторые CSP, которых нельзя проанализировать. Неизвестные параметры содержат объекты групповой политики, которые нельзя проанализировать.
Целевой в домене приложения: Да означает, что объект групповой политики связан с подразделением в локальной групповой политике. Нет означает, что объект групповой политики не связан с локальным подразделением.
Последний импорт: отображает дату последнего импорта.
Вы можете импортировать несколько объектов групповой политики для анализа, обновить страницу и фильтровать выходные данные. Кроме того, вы можете экспортировать это представление в файл
.csv
:Выберите процент поддержки MDM для указанного объекта групповой политики. Ниже приведены подробные сведения об объекте групповой политики.
Имя параметра: имя создается автоматически с помощью сведений в параметре объекта групповой политики.
Категория параметров групповой политики: указывает категорию параметров, заданных ADMX-файлами, например Internet Explorer и Microsoft Edge. Не все параметры имеют категорию.
Поддержка MDM:
- Да означает, что в Intune доступен соответствующий параметр. Этот параметр можно настроить в каталоге параметров.
- Нет означает, что соответствующий параметр недоступен для поставщиков MDM, включая Intune.
- Другие значения. Если вы импортируете старые параметры, которые больше не поддерживаются, средство предлагает переход на более новую поддерживаемую версию. Дополнительные сведения о сценариях миграции см. в статье Импортированные объекты групповой политики в Intune. Что вам нужно знать.
Значение: указывает значение, импортированное из объекта групповой политики. Это могут быть значения
true
,900
,Enabled
,false
и т. д.Область: указывает, предназначен ли импортированный объект групповой политики для пользователей или для устройств.
Минимальная версия ОС: указывает минимальную версию (номер сборки) ОС Windows, к которой применяется параметр объекта групповой политики. Он может отображать
18362
(1903),17130
(1803) и другие версии клиента Windows.Например, если параметр политики указывает
18362
, параметр поддерживает сборку18362
и более новые сборки.Имя CSP: поставщик службы конфигурации (CSP) предоставляет параметры конфигурации устройства в клиентской системе Windows. В этом столбце показан поставщик службы конфигурации с параметром. Например, вы можете увидеть Политику, BitLocker, PassportforWork и т. д.
В справочнике по CSP перечислены доступные CSP, показаны поддерживаемые выпуски ОС и т. д.
Сопоставление CSP: указывает путь OMA-URI для локальной политики. OMA-URI можно использовать в настраиваемом профиле конфигурации устройства. Например, вы можете увидеть
./Device/Vendor/MSFT/BitLocker/RequireDeviceEnryption
.
Для параметров, поддерживающих MDM, можно создать политику каталога параметров с этими параметрами. Конкретные шаги см. в статье Создание политики каталога параметров с помощью импортированных объектов групповой политики в Microsoft Intune.
Выбор тега области при импорте
При импорте объекта групповой политики можно выбрать существующие теги области. Если не выбрать тег области, автоматически будет использоваться тег области по умолчанию . Только администраторы, ограниченные тегом области по умолчанию , могут видеть импортированный объект групповой политики. Администраторы, которые не ограничены тегом области по умолчанию , не видят импортированный объект групповой политики.
Это поведение применяется к любому тегу области, выбранному при импорте объекта групповой политики. Администраторы видят импортированные объекты групповой политики, только если во время импорта выбран один из одинаковых тегов области. Если у администратора нет тега области, импортированный объект групповой политики не отображается в отчете или списке объектов групповой политики.
Например, администраторам назначены Charlotte
теги области , London
или Boston
:
- Администратор с тегом области Charlotte импортирует объект групповой политики.
- Во время импорта они выбирают тег области "Charlotte". Тег области Charlotte применяется к импортированному объекту групповой политики.
- Все администраторы с тегом области "Charlotte" могут видеть импортированный объект.
- Администраторы, имеющие только теги области "Лондон" или "Бостон", не могут видеть импортированный объект от администратора Charlotte.
Чтобы администраторы просматривали аналитику или переносили импортированный объект групповой политики в политику Intune, эти администраторы должны иметь один из одинаковых тегов области, выбранных во время импорта.
Дополнительные сведения о тегах области см. в статье RBAC и теги области для распределенной ИТ-службы.
Поддерживаемые CSP и групповые политики
Аналитика групповых политик может анализировать следующие поставщики служб конфигурации для поддержки MDM:
- CSP Policy
- CSP PassportForWork
- CSP BitLocker
- CSP Firewall
- CSP AppLocker
- Настройки групповой политики
Если в импортированном объекте групповой политики есть параметры, которые отсутствуют в поддерживаемых поставщиках служб конфигурации и групповых политиках, эти параметры могут быть перечислены в столбце Неизвестные параметры . Это поведение означает, что параметры были определены в GPO.
Несмотря на то, что аналитика групповой политики может анализировать поставщики служб групповой политики, при переносе импортированных объектов групповой политики необходимо знать некоторые моменты. Дополнительные сведения см. в статье Перенос импортированного объекта групповой политики в политику каталога параметров. Что необходимо знать.
Отчет о готовности групповой политики к миграции
В Центре администрирования Microsoft Intune выберите Отчеты>Управление устройствами>Аналитика групповой политики:
На вкладке Сводка отображаются сводные данные объекта групповой политики и его политик. Эти сведения можно использовать для определения состояния политик в объекте групповой политики:
Готова к миграции: политика имеет соответствующий параметр в Intune и готова к миграции в Intune.
Не поддерживается: политика не имеет соответствующего параметра. Как правило, параметры политики с этим состоянием не предоставляются поставщикам MDM, включая Intune.
Не рекомендуется: политика может применяться к более старым версиям Windows, более старым версиям Microsoft Edge и дополнительным политикам, которые больше не используются.
Примечание.
Когда команда продукта Microsoft Intune обновляет логику сопоставления, импортированные объекты групповой политики автоматически обновляются. Нет необходимости повторно импортировать объекты групповой политики.
Перейдите на вкладку >ОтчетыГотовность миграции групповой политики. С помощью этого отчета можно выполнять следующие задачи:
- Просмотрите количество параметров объекта групповой политики, которые можно настроить в профиле конфигурации устройства. В нем также указано, могут ли параметры размещаться в настраиваемом профиле, являются ли они нерекомендуемыми или не поддерживаются.
- Фильтровать выходные данные отчета с помощью фильтров Migration Readiness (Готовность к миграции), Тип профиляи CSP Name (Имя CSP).
- Щелкните Создать отчет или Создать повторно, чтобы извлечь текущие данные.
- Просмотрите список параметров в объекте групповой политики.
- Используйте панель поиска, чтобы найти конкретные параметры.
- Получите отметку времени последнего создания отчета.
Примечание.
После добавления или удаления импортированных объектов групповой политики обновление данных отчетов о готовности к миграции может занять около 20 минут.
Известные проблемы
В настоящее время средство анализа групповой политики поддерживает только параметры, отличные от ADMX, на английском языке. При импорте объекта групповой политики с параметрами на языках, отличных от английского, процент поддержки MDM будет неточным.
Отправить отзыв о продукте
Вы можете отправить отзыв об аналитике групповых политик. В Центре администрирования Microsoft Intune выберите Устройства>Управление устройствами>Аналитика> групповой политикиПолучили отзыв.
Примеры областей отзывов:
- При импорте или анализе объекта групповой политики были получены ошибки, по которым нужно получить дополнительные сведения.
- Насколько просто использовать анализ групповых политик для поиска поддерживаемых групповых политик в Microsoft Intune?
- Поможет ли это средство переместить некоторые рабочие нагрузки в Intune? Если да, какие рабочие нагрузки вы рассматриваете?
Чтобы получить сведения о впечатлениях клиента, выполняется статистическая обработка отзывов и они отправляются в корпорацию Майкрософт. Ввод сообщения электронной почты необязателен и может использоваться для получения дополнительных сведений.
Конфиденциальность и безопасность
Любое использование данных клиентов, например объектов групповой политики, используемых вашей организацией, агрегируется. Они не продаются третьим лицам. Эти данные могут использоваться для принятия бизнес-решений в корпорации Майкрософт. Данные клиентов безопасно хранятся.
Импортированные объекты групповой политики можно удалить в любое время.
Перейдите в раздел Управление>устройствами>Аналитика групповой политики.
Выберите контекстное меню >Удалить:
Дальнейшие действия
См. также
Дополнительные сведения о поставщиках служб конфигурации (CSP).