Создание профиля устройства в Microsoft Intune
Профили устройств позволяют добавлять и настраивать параметры, а затем отправлять эти параметры на устройства в вашей организации. При создании политик можно воспользоваться одним из следующих вариантов.
Административные шаблоны. На устройствах с Windows 10/11 эти шаблоны являются параметрами ADMX, которые вы настраиваете. Если вы знакомы с политиками ADMX или объектами групповой политики ( GPO), то использование административных шаблонов является естественным шагом в Microsoft Intune.
Дополнительные сведения см. в статье Административные шаблоны.
Базовые показатели. На устройствах с Windows 10/11 эти базовые показатели включают предварительно настроенные параметры безопасности. Если вы хотите создать политику безопасности с использованием рекомендаций, предоставляемых группами безопасности Майкрософт, вам потребуются базовые показатели безопасности.
Дополнительные сведения см. в статье Базовые показатели безопасности.
Каталог параметров. На устройствах Apple и Windows можно использовать каталог параметров для настройки функций и параметров устройств. Каталог параметров содержит все доступные параметры и находится в одном расположении. Например, вы можете просмотреть все параметры, которые применяются к BitLocker, и создать политику, ориентированную исключительно на BitLocker. На устройствах macOS каталог параметров используется для настройки параметров браузера Microsoft Edge версии 77.
Дополнительные сведения см. в разделе Каталог параметров.
Шаблоны: на устройствах с Android, iOS/iPadOS, macOS и Windows в шаблонах предусмотрено логическое группирование параметров, которые используются для настройки какой-либо функции или концепции, например VPN, электронной почты, устройств киоска и многого другого. Если вы знакомы с созданием политик конфигурации устройств в Microsoft Intune, вы уже используете эти шаблоны.
Дополнительные сведения, включая доступные шаблоны, см. в статье Применение функций и параметров на устройствах с помощью профилей устройств.
В этой статье:
- Перечислены шаги по созданию профиля.
- Показано, как добавить тег области для "фильтрации" политик.
- Описывает правила применимости на клиентских устройствах с Windows и показывает, как создать правило.
- Содержит дополнительные сведения о времени цикла обновления при регистрации, когда устройства получают профили и любые обновления профилей.
Создание профиля
Профили создаются в Центре администрирования Microsoft Intune. В центре администрирования выберите Устройства. Возможны следующие варианты:
- Обзор: отображение дополнительных сведений о профилях, назначенных пользователям и устройствам, а также их состояния.
- Монитор: проверка состояния профилей (успех или ошибка) и просмотр журналов для профилей.
- По платформе: создание и просмотр политик и профилей по платформе. В этом представлении также могут отображаться функции, характерные для платформы. Например, выберите Windows. Вы увидите специальные функции Windows, такие как круги Центра обновления Windows и скрипты PowerShell.
- Управление устройствами. Создание профилей устройств, отправка пользовательских скриптов PowerShell для запуска на устройствах и добавление планов данных на устройства с помощью eSIM.
При создании профиля (создание конфигурации>) выберите свою платформу:
- Администратор устройств Android
- Android Enterprise
- iOS/iPadOS
- macOS
- Windows 10 и более поздние версии
- Windows 8.1 и более поздние версии
Затем выберите профиль. Доступные для настройки параметры различаются в зависимости от выбранной платформы. Различные профили описаны в следующих статьях:
- Административные шаблоны (Windows)
- Конфигурация BIOS и другие параметры
- Custom
- Оптимизация доставки (Windows)
- Производные учетные данные (Android Enterprise, iOS, iPadOS)
- Функции устройства (macOS, iOS, iPadOS)
- Интерфейс конфигурации встроенного ПО устройства (DFCI) (Windows)
- Ограничения для устройств
- Присоединение к домену (Windows)
- Обновление выпуска и переключение режима (Windows)
- Образование (iOS, iPadOS)
- Электронная почта
- Защита конечных точек (macOS, Windows)
- Расширения (macOS)
- Защита идентификации (Windows)
- Киоск
- Microsoft Defender для конечной точки (Windows)
- Профиль расширений для мобильности (MX) (администратор устройств Android)
- Граница сети (Windows)
- OEMConfig (Android Enterprise)
- Сертификат стандартов шифрования с открытым ключом
- Импортированный сертификат стандартов шифрования с открытым ключом
- Файл настроек (macOS)
- Сертификат SCEP
- Оценка безопасности (образование) (Windows)
- Общее устройство с несколькими пользователями (Windows)
- Надежный сертификат
- VPN
- Wi-Fi
- Наблюдение за работоспособностью Windows
- Проводные сети (macOS)
Например, если выбрать Android Enterprise для платформы, параметры будут выглядеть примерно так, как в следующем профиле:
Если вы выберете Windows 10 и более новых версий в качестве платформы, параметры будут выглядеть следующим образом.
Теги области
После добавления параметров можно также добавить тег области к профилю. Теги области отфильтровывают профили для отдельных ИТ-групп, таких как US-NC IT Team
или JohnGlenn_ITDepartment
. И используются в распределенных ИТ-системах.
Дополнительные сведения о тегах области и доступных действиях см. в статье Использование RBAC и тегов областей для распределенной ИТ-службы.
Правила применимости
Применимо к:
- Windows 11
- Windows 10
Правила применимости позволяют администраторам назначать целевыми устройствами те, которые находятся в группе, соответствующей определенным критериям. Например, вы создаете профиль ограничений устройств, который применяется к группе Все устройства Windows 10/11. Кроме того, следует назначать профиль только устройствам, работающим под управлением Windows Enterprise.
Чтобы выполнить эту задачу, создайте правило применимости. Эти правила полезны в следующих случаях:
- Вы используете Windows 10 для образовательных учреждений (EDU). В Bellows College вы хотите выбрать все устройства с Windows 10 EDU между RS3 и RS4.
- Вы хотите выбрать всех пользователей в отделе кадров компании Contoso, но вам нужны только пользователи устройств с Windows 10 Профессиональная или Windows 10 Корпоративная.
Для реализации этих сценариев:
Создайте группу устройств, которая включает все устройства в Bellows College. В профиле добавьте правило применимости, которое применяется, если минимальная версия ОС —
16299
, а максимальная версия —17134
. Назначьте этот профиль для группы устройств Bellows College.При назначении профиля он применяется к устройствам между минимальной и максимальной версиями, которые вы вводите. Состояние устройств, которые не находятся между минимальной и максимальной версиями, отображается как Неприменимо.
Создайте группу пользователей, включающую всех пользователей в отделе кадров Contoso. В профиле добавьте правило применимости, которое применяется к устройствам с Windows 10 Профессиональная или Windows 10 Корпоративная. Назначьте этот профиль группе пользователей отдела кадров.
При назначении профиля он применяется к устройствам под управлением Windows 10 Профессиональная или Корпоративная. Состояние устройств с другими выпусками отображается как Неприменимо.
При наличии двух профилей с одинаковыми параметрами применяется профиль без правила применимости.
Например, ProfileA предназначен для группы устройств с Windows 10, включает в себя BitLocker и не имеет правила применимости. ProfileB предназначен для той же группы устройств с Windows 10, включает в себя BitLocker и имеет правило применимости с профилем только для Windows 10 Корпоративная.
При назначении обоих профилей применяется ProfileA, так как у него нет правила применимости.
При назначении профиля группам правила применимости действуют как фильтры и предназначены только для устройств, соответствующих установленным критериям.
Добавление правила
В политике выберите Правила применимости. Можно выбрать Правило и Свойство.
В поле Правило выберите, следует ли включать или исключать пользователей или группы. Доступны следующие параметры:
- Назначить профиль, если: включает пользователей или группы, соответствующие введенным условиям.
- Не назначать профиль, если: исключает пользователей или группы, соответствующие введенным условиям.
В поле Свойство выберите фильтр. Доступны следующие параметры:
Выпуск ОС. В списке отметьте выпуски клиента Windows, которые вы хотите включить в правило или исключить из него.
Версия ОС. Введите минимальное и максимальное значение номера версии клиента Windows, которые вы хотите включить в правило или исключить из него. Оба значения являются обязательными.
Например, можно ввести
10.0.16299.0
(RS3 или 1709) для минимальной версии и10.0.17134.0
(RS4 или 1803) для максимальной версии. Можно также указать конкретные значения:10.0.16299.001
для минимальной версии и10.0.17134.319
для максимальной версии.Дополнительные номера версий см. в статье Сведения о выпуске клиента Windows.
Нажмите кнопку Добавить, чтобы сохранить изменения.
Время цикла обновления политики
Intune использует разные циклы обновления для проверки наличия обновлений в профилях конфигурации. Если устройство зарегистрировано недавно, проверка выполняется чаще. Циклы обновления политики и профиля содержат оценочное время обновления.
Пользователи могут в любое время открыть приложение Корпоративного портала и синхронизировать устройство, чтобы моментально проверить обновления профиля.
Рекомендации
При создании профилей учитывайте следующие рекомендации:
Назовите свои политики, чтобы знать, что они собой представляют и что они делают. Все политики соответствия и профили конфигурации имеют необязательное свойство — Описание. В свойстве Описание необходимо добавить нужные сведения, чтобы другие пользователи знали, что выполняет эта политика.
Ниже приведены некоторые примеры профилей конфигурации.
Имя профиля: административный шаблон — профиль конфигурации OneDrive для всех пользователей Windows 10
Описание профиля: профиль административного шаблона OneDrive, который содержит минимальные и базовые параметры для всех пользователей Windows 10. Создано ,user@contoso.com
чтобы запретить пользователям совместное использование данных организации с личными учетными записями OneDrive.Имя профиля: профиль VPN для всех пользователей iOS/iPadOS
Описание профиля: профиль VPN, который содержит минимальные и базовые параметры для подключения к VPN Contoso для всех пользователей iOS/iPadOS. Создано таким образомuser@contoso.com
, что пользователи автоматически проходят проверку подлинности в VPN, а не запрашивают у пользователей имя пользователя и пароль.Создайте профиль для конкретной задачи, например настройка параметров Microsoft Edge, включение параметров антивирусной защиты Microsoft Defender, блокировка взломанных устройств iOS/iPadOS и т. д.
Создайте профили, которые применяются к определенным группам, таким как "Маркетинг", "Продажи", "ИТ-администраторы", либо профили по расположению или учебной системе. Используйте встроенные функции, в том числе:
Разделяйте политики пользователей и политики устройств.
Например, административные шаблоны в Intune имеют тысячи параметров ADMX. В этом шаблоне показано, применяются ли параметры к пользователям или устройствам. При создании административных шаблонов назначьте параметры пользователей группе пользователей, а параметры устройств — группе устройств.
На следующем рисунке показан пример параметра, который может применяться к пользователям, устройствам или и к тем, и к другим.
Используйте Microsoft Copilot в Intune, чтобы оценить политики, узнать больше о параметре политики и его влиянии на пользователей & безопасности, а также сравнить политики между двумя устройствами.
Дополнительные сведения см. в статье Microsoft Copilot в Intune.
Каждый раз при создании ограничительной политики вам потребуется донести ее смысл до пользователей. Например, если вы изменяете требование к секретному коду с четырех (4) на шесть (6) символов, сообщите пользователям об этом до назначения политики.
Дальнейшие действия
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по