Поделиться через

Пошаговое руководство. Настройка групповой политики на устройствах с Windows 10/11 с помощью шаблонов ADMX и Microsoft Intune с помощью облака

  • Статья

Примечание.

Это пошаговое руководство было создано как технический семинар для Microsoft Ignite. Он содержит больше предварительных требований, чем обычные пошаговые руководства, так как сравнивает использование и настройку политик ADMX в Intune и локальной среде.

Административные шаблоны групповой политики, также известные как шаблоны ADMX, включают параметры, которые можно настроить на клиентских устройствах Windows, включая компьютеры. Параметры шаблона ADMX доступны различными службами. Эти параметры используются поставщиками управления мобильными устройствами (MDM), включая Microsoft Intune. Например, можно включить идеи оформления в PowerPoint, задать домашнюю страницу в Microsoft Edge и многое другое.

Совет

Общие сведения о шаблонах ADMX в Intune, включая встроенные в Intune шаблоны ADMX, см. в статье Использование шаблонов ADMX для Windows 10/11 в Microsoft Intune.

Дополнительные сведения о политиках ADMX см. в статье Основные сведения о политиках, поддерживаемых ADMX.

Эти шаблоны встроены в Microsoft Intune и доступны в виде профилей административных шаблонов . В этом профиле вы настраиваете параметры, которые хотите включить, а затем "назначаете" этот профиль своим устройствам.

В этом пошаговом руководстве описано следующее:

  • Ознакомьтесь с Центром администрирования Microsoft Intune.
  • Создание групп пользователей и групп устройств.
  • Сравните параметры в Intune с локальными параметрами ADMX.
  • Создайте различные административные шаблоны и настройте параметры, предназначенные для разных групп.

К концу этого задания вы можете использовать Intune и Microsoft 365 для управления пользователями и развертывания административных шаблонов.

Данная функция применяется к:

  • Windows 11
  • Windows 10 версии 1709 и более поздних версий

Совет

Административный шаблон можно создать одним из двух способов: с помощью шаблона или с помощью каталога параметров. В этой статье рассматривается использование шаблона Административные шаблоны. Каталог параметров содержит больше доступных параметров административного шаблона. Инструкции по использованию каталога параметров см. в разделе Настройка параметров с помощью каталога параметров.

Предварительные условия

  • Подписка На Microsoft 365 E3 или E5, которая включает Intune и Microsoft Entra ID P1 или P2. Если у вас нет подписки E3 или E5, попробуйте ее бесплатно.

    Дополнительные сведения о том, что вы получаете с различными лицензиями Microsoft 365, см. в статье Преобразование предприятия с помощью Microsoft 365.

  • Microsoft Intune настроен как центр MDM Intune. Дополнительные сведения см. в статье Настройка центра управления мобильными устройствами.

    Снимок экрана, на котором показано, как задать центру MDM значение Microsoft Intune в состоянии клиента.

  • В локальном контроллере домена Active Directory:

    1. Скопируйте следующие шаблоны Office и Microsoft Edge в Центральный магазин (папка sysvol):

    2. Создайте групповую политику, чтобы отправить эти шаблоны на компьютер администратора Windows 10/11 Корпоративная в том же домене, что и контроллер домена. В этом пошаговом руководстве выполните следующее:

      • Групповая политика, созданная с помощью этих шаблонов, называется OfficeandEdge. Это имя отображается на изображениях.
      • Компьютер администратора Windows 10/11 Корпоративная, который мы используем, называется компьютером администратора.

      В некоторых организациях администратор домена имеет две учетные записи:

      • Типичная доменная рабочая учетная запись
      • Другая учетная запись администратора домена, используемая только для задач администратора домена, таких как групповая политика

      Этот компьютер администратора предназначен для входа с помощью учетной записи администратора домена и доступа к средствам, предназначенным для управления групповой политикой.

  • На этом компьютере администратора:

    • Войдите с учетной записью администратора домена.

    • Добавьте средства управления групповыми политиками RSAT:

      1. Откройте приложение >ПараметрыСистема>Необязательные функции>Добавить функцию.

        Если вы используете более раннюю версию, чем Windows 10 22H2, перейдите в раздел Параметры>Приложения>Приложения & функции>Дополнительные функции>Добавить функцию.

      2. Выберите RSAT: добавить средства> управления групповыми политиками.

        Подождите, пока Windows добавит эту функцию. После завершения он в конечном итоге отобразится в приложении "Администрирование Windows".

        Снимок экрана: приложения

    • Убедитесь, что у вас есть доступ к Интернету и права администратора для подписки Microsoft 365, которая включает Центр администрирования Intune.

Открытие Центра администрирования Intune

  1. Откройте веб-браузер chromium, например Microsoft Edge версии 77 и более поздних версий.

  2. Перейдите в Центр администрирования Microsoft Intune. Войдите с помощью следующей учетной записи:

    Пользователь. Введите учетную запись администратора подписки клиента Microsoft 365.
    Пароль. Введите пароль.

Этот центр администрирования ориентирован на управление устройствами и включает в себя службы Azure, такие как Microsoft Entra ID и Intune. Возможно, вы не увидите идентификатор Microsoft Entra и фирменную символику Intune , но используете их.

Вы также можете открыть Центр администрирования Intune в Центре администрирования Microsoft 365:

  1. Перейдите по адресу https://admin.microsoft.com.

  2. Войдите с учетной записью администратора подписки клиента Microsoft 365.

  3. Выберите Показать все>центры администрирования Управление конечными>точками. Откроется Центр администрирования Intune.

    Снимок экрана: все центры администрирования в Центре администрирования Microsoft 365.

Создание групп и добавление пользователей

Локальные политики применяются в порядке LSDOU : локальные, сайты, домены и подразделения. В этой иерархии политики подразделений перезаписывают локальные политики, политики домена перезаписывают политики сайта и т. д.

В Intune политики применяются к создаваемым пользователям и группам. Иерархии не существует. Например:

  • Если две политики обновляют один и тот же параметр, то возникнет конфликт.
  • Если конфликтуют две политики соответствия требованиям, применяется самая строгая политика.
  • Если два профиля конфигурации конфликтуют, параметр не применяется.

Дополнительные сведения см. в статье Общие вопросы, проблемы и решения политик и профилей устройств.

На следующих шагах вы создадите группы безопасности и добавьте пользователей в эти группы. Вы можете добавить пользователя в несколько групп. Например, у пользователя обычно есть несколько устройств, таких как Surface Pro для работы и мобильное устройство Android для личного использования. Кроме того, человек обычно получает доступ к ресурсам организации с этих нескольких устройств.

  1. В Центре администрирования Intune выберите Группы>Новая группа.

  2. Введите следующие параметры.

    • Тип группы: выберите Безопасность.
    • Имя группы: введите все устройства с Windows 10 для учащихся.
    • Тип членства: выберите Назначено.

  3. Выберите Участники и добавьте некоторые устройства.

    Добавление устройств является необязательным. Цель состоит в том, чтобы попрактиковаться в создании групп и научиться добавлять устройства. Если вы используете это пошаговое руководство в рабочей среде, помните о том, что вы делаете.

  4. Выбирать>Создайте , чтобы сохранить изменения.

    Не видите свою группу? Выберите Обновить.

  5. Выберите Создать группу и введите следующие параметры:

    • Тип группы: выберите Безопасность.

    • Имя группы: введите все устройства Windows.

    • Тип членства: выберите Динамическое устройство.

    • Динамические члены устройства. Выберите Добавить динамический запрос и настройте запрос:

      • Свойство: выберите deviceOSType.
      • Оператор: выберите Равно.
      • Значение: введите Windows.

      1. Выберите Добавить выражение. Выражение отображается в синтаксисе правила:

        Снимок экрана: создание динамического запроса и добавление выражений в административный шаблон Microsoft Intune.

        Когда пользователи или устройства соответствуют введенным критериям, они автоматически добавляются в динамические группы. В этом примере устройства автоматически добавляются в эту группу, если операционная система — Windows. Если вы используете это пошаговое руководство в рабочей среде, будьте осторожны. Цель состоит в том, чтобы попрактиковаться в создании динамических групп.

      2. Спасать>Создайте , чтобы сохранить изменения.

  6. Создайте группу Все преподаватели со следующими параметрами:

    • Тип группы: выберите Безопасность.

    • Имя группы: введите Все преподаватели.

    • Тип членства: выберите Динамический пользователь.

    • Динамические члены-пользователи. Выберите Добавить динамический запрос и настройте запрос:

      • Свойство: выберите отдел.

      • Оператор: выберите Равно.

      • Значение: введите Преподаватели.

        1. Выберите Добавить выражение. Выражение отображается в синтаксисе правила.

          Когда пользователи или устройства соответствуют введенным критериям, они автоматически добавляются в динамические группы. В этом примере пользователи автоматически добавляются в эту группу, когда их отдел является Преподавателем. Вы можете ввести отдел и другие свойства при добавлении пользователей в организацию. Если вы используете это пошаговое руководство в рабочей среде, будьте осторожны. Цель состоит в том, чтобы попрактиковаться в создании динамических групп.

        2. Спасать>Создайте , чтобы сохранить изменения.

Тезисы

  • Динамические группы — это функция в Microsoft Entra ID P1 или P2. Если у вас нет идентификатора Microsoft Entra P1 или P2, вы имеете лицензию на создание только назначенных групп. Дополнительные сведения о динамических группах см. по следующим причинам:

  • Microsoft Entra ID P1 или P2 включает другие службы, которые обычно используются при управлении приложениями и устройствами, включая многофакторную проверку подлинности (MFA) и условный доступ.

  • Многие администраторы спрашивают, когда следует использовать группы пользователей и когда использовать группы устройств. Некоторые рекомендации см. в разделе Группы пользователей и группы устройств.

  • Помните, что пользователь может принадлежать к нескольким группам. Рассмотрим некоторые другие динамические группы пользователей и устройств, которые можно создать, в частности:

    • Все учащиеся
    • Все устройства Android
    • Все устройства iOS/iPadOS
    • Маркетинг
    • Управление персоналом
    • все сотрудники Шарлотты;
    • Все сотрудники Redmond
    • ИТ-администраторы западного побережья
    • ИТ-администраторы восточного побережья

Созданные пользователи и группы также отображаются в Центре администрирования Microsoft 365, идентификаторе Microsoft Entra на портале Azure и Microsoft Intune на портале Azure. Вы можете создавать группы и управлять ими во всех этих областях для подписки клиента. Если ваша цель — управление устройствами, используйте Центр администрирования Microsoft Intune.

Проверка членства в группе

  1. В Центре администрирования Intune выберите Пользователи>Все пользователи> выберите имя любого существующего пользователя.
  2. Просмотрите некоторые сведения, которые можно добавить или изменить. Например, просмотрите свойства, которые можно настроить, например должность, отдел, город, расположение офиса и многое другое. Эти свойства можно использовать в динамических запросах при создании динамических групп.
  3. Выберите Группы , чтобы просмотреть членство этого пользователя. Вы также можете удалить пользователя из группы.
  4. Выберите некоторые другие параметры, чтобы просмотреть дополнительные сведения и доступные действия. Например, просмотрите назначенную лицензию, устройства пользователя и многое другое.

Что я только что сделал?

В Центре администрирования Intune вы создали новые группы безопасности и добавили в них существующих пользователей и устройства. Мы используем эти группы на последующих шагах в этом руководстве.

Создание шаблона в Intune

В этом разделе мы создадим административный шаблон в Intune, рассмотрим некоторые параметры в управлении групповыми политиками и сравним тот же параметр в Intune. Цель — показать параметр в групповой политике и тот же параметр в Intune.

  1. В Центре администрирования Intune выберите Устройства>Управление устройствами>Конфигурация>Создать>новую политику.

  2. Укажите следующие свойства:

    • Платформа: выберите Windows 10 и более поздних версий.
    • Тип профиля: выберите Шаблоны>Административные шаблоны.

  3. Нажмите Создать.

  4. В разделе Основные укажите следующие свойства.

    • Имя. Введите описательное имя для профиля. Назначьте имена профилям, чтобы позже их можно было легко найти. Например, введите шаблон администратора — устройства для учащихся Windows 10.
    • Описание. Введите описание профиля. Этот необязательный параметр, но мы рекомендуем его использовать.

  5. Нажмите кнопку Далее.

  6. В разделе Параметры конфигурациивсе параметры отображают список всех параметров в алфавитном порядке. Вы также можете фильтровать параметры, применяемые к устройствам (конфигурация компьютера), и параметры, применяемые к пользователям (конфигурация пользователя):

    Снимок экрана: применение параметров шаблона ADMX к пользователям и устройствам в Microsoft Intune.

  7. Разверните узел Конфигурация> компьютераMicrosoft Edge>, выберите Параметры SmartScreen. Обратите внимание на путь к политике и все доступные параметры:

    Снимок экрана: просмотр параметров политики SmartScreen Microsoft Edge в шаблонах ADMX в Microsoft Intune.

  8. В поиске введите download. Обратите внимание, что параметры политики фильтруются:

    Снимок экрана: фильтрация параметров политики SmartScreen Microsoft Edge в шаблоне ADMX Microsoft Intune.

Открытие управления групповыми политиками

В этом разделе мы покажем политику в Intune и соответствующую политику в редакторе управления групповыми политиками.

Сравнение политики устройств

  1. На компьютере администратора откройте приложение "Управление групповыми политиками ".

    Это приложение устанавливается с помощью RSAT: средств управления групповыми политиками, которые являются необязательным компонентом, который вы добавляете в Windows. Предварительные требования (в этой статье) перечисляют действия по его установке.

  2. Разверните узел Домены> , выберите свой домен. Например, выберите contoso.net.

  3. Щелкните правой кнопкой мыши политику >OfficeandEdgeИзменить. Откроется приложение Редактор управления групповыми политиками.

    Снимок экрана, на котором показано, как щелкнуть правой кнопкой мыши локальную групповую политику Office и Microsoft Edge ADMX и выбрать команду Изменить.

    OfficeandEdge — это групповая политика, включающая шаблоны ADMX Office и Microsoft Edge. Эта политика описана в разделе Предварительные требования (в этой статье).

  4. Разверните разделПолитики>конфигурации> компьютераАдминистративные шаблоны>Панель> управленияПерсонализация. Обратите внимание на доступные параметры.

    Снимок экрана: развертывание конфигурации компьютера в локальном редакторе управления групповыми политиками и переход к разделу Персонализация.

    Дважды щелкните Запретить включение камеры с экрана блокировки и просмотрите доступные параметры:

    Снимок экрана: просмотр параметров конфигурации локального компьютера в групповой политике.

  5. В Центре администрирования Intune перейдите к шаблону "Администратор" — шаблон устройств для учащихся с Windows 10 .

  6. Выберите Конфигурация компьютера>Настройка панели> управленияПерсонализация. Обратите внимание на доступные параметры:

    Снимок экрана: путь к параметру политики персонализации в Microsoft Intune.

    Тип параметра — Device, а путь — /Control Panel/Personalization. Этот путь аналогичен тому, что вы только что видели в редакторе управления групповыми политиками. Если открыть параметр Запретить включение камеры блокировки , вы увидите те же параметры Не настроено, Включено и Отключено , что и в редакторе управления групповыми политиками.

Сравнение политики пользователей

  1. В шаблоне администратора выберите Конфигурация> компьютераВсе параметры и найдите inprivate browsing. Обратите внимание на путь.

    Выполните то же самое для конфигурации пользователя. Выберите Все параметры и найдите inprivate browsing.

  2. В редакторе управления групповыми политиками найдите соответствующие параметры пользователя и устройства:

    • Устройство: разверните разделПолитики>конфигурации> компьютераАдминистративные шаблоны>Компоненты> WindowsКонфиденциальность>Internet Explorer>Отключить просмотр InPrivate.
    • Пользователь: разверните раздел Политики конфигурации>пользователей>Административные шаблоны>Компоненты> WindowsКонфиденциальность>Internet Explorer>Отключить просмотр InPrivate.

    Снимок экрана: отключение просмотра InPrivate в Internet Explorer с помощью шаблона ADMX.

Совет

Чтобы просмотреть встроенные политики Windows, можно также использовать GPEdit (изменение приложения групповой политики ).

Сравнение политики Microsoft Edge

  1. В Центре администрирования Intune перейдите к шаблону "Администратор" — шаблон устройств для учащихся с Windows 10 .

  2. Разверните раздел Конфигурация> компьютераMicrosoft Edge>Startup, домашняя страница и страница новой вкладки. Обратите внимание на доступные параметры.

    Выполните то же самое для конфигурации пользователя.

  3. В редакторе управления групповыми политиками найдите следующие параметры:

    • Устройство: развернитераздел Политики>конфигурации> компьютераАдминистративные шаблоны>Microsoft Edge>Startup, домашняя страница и страница новой вкладки.
    • Пользователь: разверните Раздел Политики конфигурации>пользователей>Административные шаблоны>Microsoft Edge>Startup, домашняя страница и страница новой вкладки

Что я только что сделал?

Вы создали административный шаблон в Intune. В этом шаблоне мы рассмотрели некоторые параметры ADMX и те же параметры ADMX в управлении групповыми политиками.

Добавление параметров в шаблон администратора учащихся

В этом шаблоне мы настроим некоторые параметры Internet Explorer для блокировки устройств, совместно используемых несколькими учащимися.

  1. В шаблоне администратора — устройства для учащихся Windows 10 разверните узел Конфигурация компьютера, выберите Все параметры и выполните поиск по запросу Отключить просмотр InPrivate:

    Снимок экрана, на котором показано, как отключить политику просмотра устройств InPrivate в административном шаблоне в Microsoft Intune.

  2. Выберите параметр Отключить просмотр InPrivate . В этом окне обратите внимание на описание и значения, которые можно задать. Эти параметры похожи на те, которые отображаются в групповой политике.

  3. Выберите Включено>ОК , чтобы сохранить изменения.

  4. Также настройте следующие параметры Internet Explorer. Не забудьте нажать кнопку ОК , чтобы сохранить изменения.

    • Разрешить перетаскивание или копирование и вставку файлов

      • Тип: Устройство
      • Путь: \Windows Components\Internet Explorer\Internet Control Panel\Security Page\Internet Zone
      • Значение: Отключено

    • Предотвращение игнорирования ошибок сертификата

      • Тип: Устройство
      • Путь: \Windows Components\Internet Explorer\Internet Control Panel
      • Значение: Включено

    • Отключение изменения параметров домашней страницы

      • Тип: User
      • Путь: \Компоненты Windows\Internet Explorer
      • Значение: Включено
      • Домашняя страница: введите URL-адрес, например contoso.com.

  5. Очистите фильтр поиска. Обратите внимание, что настроенные параметры перечислены в верхней части:

    Снимок экрана: настроенные параметры ADMX перечислены в верхней части Microsoft Intune.

Назначение шаблона

  1. В шаблоне нажимайте кнопку Далее , пока не перейдете к разделу Назначения. Выберите Выбрать группы, чтобы включить:

    Снимок экрана, на котором показано, как выбрать профиль административного шаблона из списка Профилей конфигурации устройств в Microsoft Intune.

  2. Отобразится список существующих пользователей и групп. Выберите группу Все устройства учащихся Windows 10, созданную ранее>.

    Если вы используете это пошаговое руководство в рабочей среде, рассмотрите возможность добавления пустых групп. Цель состоит в том, чтобы попрактиковаться в назначении шаблона.

  3. Нажмите кнопку Далее. В разделе Просмотр и создание выберите Создать , чтобы сохранить изменения.

Как только профиль сохраняется, он применяется к устройствам при регистрации в Intune. Если устройства подключены к Интернету, это может произойти немедленно. Дополнительные сведения о времени обновления политики см. в статье Сколько времени требуется устройствам для получения политики, профиля или приложения.

При назначении строгих или ограничительных политик и профилей не блокируйте себя. Рассмотрите возможность создания группы, исключенной из политик и профилей. Идея заключается в том, чтобы иметь доступ к устранению неполадок. Отслеживайте эту группу, чтобы убедиться, что она используется по назначению.

Что я только что сделал?

В Центре администрирования Intune вы создали профиль конфигурации устройства с административным шаблоном и назначили этот профиль созданной группе.

Создание шаблона OneDrive

В этом разделе описано, как создать шаблон администратора OneDrive в Intune для управления некоторыми параметрами. Эти параметры выбираются, так как они часто используются организациями.

  1. Создайте другой профиль (Управление устройствами>>. Конфигурация>Создание>политики).

  2. Укажите следующие свойства:

    • Платформа: выберите Windows 10 и более поздних версий.
    • Тип профиля: выберите Шаблоны>Административные шаблоны.

  3. Нажмите Создать.

  4. В разделе Основные укажите следующие свойства.

    • Имя: введите шаблон администратора — политики OneDrive, которые применяются ко всем пользователям Windows 10.
    • Описание. Введите описание профиля. Этот необязательный параметр, но мы рекомендуем его использовать.

  5. Нажмите кнопку Далее.

  6. В разделе Параметры конфигурации настройте следующие параметры. Не забудьте нажать кнопку ОК , чтобы сохранить изменения:

    • Конфигурация компьютера:

      • Автоматически выполнять вход пользователей в клиент синхронизации OneDrive с помощью учетных данных Windows
        • Тип: Устройство
        • Значение: Включено
      • Использовать функцию "Файлы из OneDrive по запросу"
        • Тип: Устройство
        • Значение: Включено

    • Конфигурация пользователя:

      • Запретить пользователям синхронизировать личные учетные записи OneDrive
        • Тип: User
        • Значение: Включено

Ваши настройки будут выглядеть следующим образом:

Снимок экрана: создание административного шаблона OneDrive в Microsoft Intune.

Дополнительные сведения о параметрах клиента OneDrive см. в статье Использование групповой политики для управления параметрами клиента синхронизации OneDrive.

Назначение шаблона

  1. В шаблоне нажимайте кнопку Далее , пока не перейдете к разделу Назначения. Выберите Выбрать группы, чтобы включить:

  2. Отобразится список существующих пользователей и групп. Выберите группу Все устройства Windows, созданную ранее>.

    Если вы используете это пошаговое руководство в рабочей среде, рассмотрите возможность добавления пустых групп. Цель состоит в том, чтобы попрактиковаться в назначении шаблона.

  3. Нажмите кнопку Далее. В разделе Просмотр и создание выберите Создать , чтобы сохранить изменения.

На этом этапе вы создали некоторые административные шаблоны и назначили их созданным группам. Следующим шагом является создание административного шаблона с помощью Windows PowerShell и API Microsoft Graph для Intune.

Необязательно. Создание политики с помощью PowerShell и API Graph

В этом разделе используются следующие ресурсы. Мы устанавливаем эти ресурсы в этом разделе.

  1. На компьютере администратора откройте Windows PowerShell от имени администратора:

    1. В строке поиска введите powershell.
    2. Щелкните правой кнопкой мыши Windows PowerShell>Запуск от имени администратора.

    Снимок экрана: запуск Windows PowerShell от имени администратора.

  2. Получение и настройка политики выполнения.

    1. Входить: get-ExecutionPolicy

      Запишите, для чего задано значение политики, которое может быть ограничено. Завершив выполнение пошагового руководства, присвойте ему исходное значение.

    2. Входить: Set-ExecutionPolicy -ExecutionPolicy Unrestricted

    3. Введите Y , чтобы изменить его.

    Политика выполнения PowerShell помогает предотвратить выполнение вредоносных сценариев. Дополнительные сведения см. в разделе О политиках выполнения.

  3. Входить: Install-Module -Name Microsoft.Graph.Intune

    Введите Y , если:

    • Запрос на установку поставщика NuGet
    • Запрос на установку модулей из ненадежного репозитория

    Это может занять несколько минут. По завершении отобразится запрос, аналогичный следующему:

    Снимок экрана: запрос Windows PowerShell после установки модуля.

  4. В веб-браузере перейдите по адресу https://github.com/Microsoft/Intune-PowerShell-SDK/releasesи выберите файлIntune-PowerShell-SDK_v6.1907.00921.0001.zip .

    1. Выберите Сохранить как и выберите папку, которую вы запомните. c:\psscripts хороший выбор.

    2. Откройте папку, щелкните правой кнопкой мыши .zip файл >Извлечь все>извлечения. Структура папок выглядит примерно так:

      Снимок экрана: структура папок пакета SDK Для PowerShell для Intune после извлечения.

  5. На вкладке Вид установите флажок Расширения имен файлов:

    Снимок экрана: выбор расширений имен файлов на вкладке представления в проводнике Windows.

  6. В папке и перейдите к c:\psscripts\Intune-PowerShell-SDK_v6.1907.00921.0001\drop\outputs\build\Release\net471. Щелкните правой кнопкой мыши каждый .dll >Свойства>Разблокировать.

    Снимок экрана, на котором показано, как разблокировать библиотеки DLL.

  7. В приложении Windows PowerShell введите:

    Import-Module c:\psscripts\Intune-PowerShell-SDK_v6.1907.00921.0001\drop\outputs\build\Release\net471\Microsoft.Graph.Intune.psd1

    Введите , R если появится запрос на запуск от ненадежного издателя.

  8. Административные шаблоны Intune используют бета-версию Graph:

    1. Входить: Update-MSGraphEnvironment -SchemaVersion 'beta'

    2. Входить: Connect-MSGraph -AdminConsent

    3. При появлении запроса войдите с той же учетной записью администратора Microsoft 365. Эти командлеты создают политику в организации клиента.

      Пользователь. Введите учетную запись администратора подписки клиента Microsoft 365.
      Пароль. Введите пароль.

    4. Выберите Принять.

  9. Создайте профиль конфигурации тестовой конфигурации . Входить:

    $configuration = Invoke-MSGraphRequest -Url https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations -Content '{"displayName":"Test Configuration","description":"A test configuration created through PS"}' -HttpMethod POST

    После успешного выполнения этих командлетов создается профиль. Чтобы подтвердить это, перейдите в Центр > администрирования Intune Устройства>Управление устройствами>. Должен быть указан профиль тестовой конфигурации .

  10. Получите все параметрыDefinitions. Входить:

    $settingDefinitions = Invoke-MSGraphRequest -Url https://graph.microsoft.com/beta/deviceManagement/groupPolicyDefinitions -HttpMethod GET

  11. Найдите идентификатор определения с помощью отображаемого имени параметра. Входить:

    $desiredSettingDefinition = $settingDefinitions.value | ? {$_.DisplayName -Match "Silently sign in users to the OneDrive sync app with their Windows credentials"}

  12. Настройте параметр. Входить:

    $configuredSetting = Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues" -Content ("{""enabled"":""true"",""configurationType"":""policy"",""definition@odata.bind"":""https://graph.microsoft.com/beta/deviceManagement/groupPolicyDefinitions('$($desiredSettingDefinition.id)')""}") -HttpMethod POST

    Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues('$($configuredSetting.id)')" -Content ("{""enabled"":""false""}") -HttpMethod PATCH

    $configuredSetting = Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues('$($configuredSetting.id)')" -HttpMethod GET

Просмотр политики

  1. В Центре > администрирования Intune Устройства>Управление устройствами>Обновление конфигурации>.
  2. Выберите параметры профиля >конфигурации теста.
  3. В раскрывающемся списке выберите Все продукты.

Вы увидите, что параметр Автоматический вход пользователей в клиент синхронизации OneDrive с учетными данными Windows настроен.

Рекомендации по политике

При создании политик и профилей в Intune необходимо учитывать ряд рекомендаций и рекомендаций. Дополнительные сведения см. в статье Рекомендации по политике и профилированию.

Очистка ресурсов

Если вы больше не нужны, вы можете:

  • Удалите созданные группы:

    • Все устройства с Windows 10 для учащихся
    • Все устройства с Windows
    • Все преподаватели

  • Удалите созданные шаблоны администраторов:

    • Шаблон администратора — устройства для учащихся Windows 10
    • Шаблон администратора — политики OneDrive, применяемые ко всем пользователям Windows 10
    • Конфигурация тестирования

  • Задайте для политики выполнения Windows PowerShell исходное значение. В следующем примере для политики выполнения задается значение Restricted.

    Set-ExecutionPolicy -ExecutionPolicy Restricted

Дальнейшие действия

В этом руководстве вы ознакомились с Центром администрирования Microsoft Intune, использовали построитель запросов для создания динамических групп и создали административные шаблоны в Intune для настройки параметров ADMX. Вы также сравнили использование шаблонов ADMX локально и в облаке с Intune. В качестве бонуса вы использовали командлеты PowerShell для создания административного шаблона.

Дополнительные сведения об административных шаблонах в Intune см. по следующим причинам:

Использование шаблонов Windows 10/11 для настройки параметров групповой политики в Intune