Импорт и анализ локальных объектов групповой политики с помощью аналитики групповая политика в Microsoft Intune

  • Статья

Совет

Ищете анализ объектов групповой политики в локальной среде? В наборе средств для обеспечения соответствия требованиям безопасности (Майкрософт) доступны средства.

Microsoft Intune имеет многие из тех же параметров, что и ваши локальные объекты групповой политики. аналитика групповая политика — это средство в Microsoft Intune, которое:

  • Импортирует и анализирует локальные объекты групповой политики.
  • Показывает параметры, которые поддерживают облачные поставщики MDM, включая Microsoft Intune.
  • Отображает все нерекомендуемые или недоступные параметры.
  • Можно перенести импортированные объекты групповой политики в политику каталога параметров, которую можно развернуть на ваших устройствах.

Если ваша организация использует локальные объекты групповой политики для управления устройствами Windows 10/11, то групповая политика аналитика может помочь. Благодаря аналитике групповой политики Intune может заменить ваши локальные объекты групповой политики. Устройства с Windows 10 или 11 изначально являются облачными. Таким образом, в зависимости от вашей конфигурации этим устройствам может не требоваться доступ к локальной Active Directory.

Если вы готовы удалить зависимость от локальной службы AD, хорошим первым шагом будет сканирование Объектов групповой политики с помощью аналитики групповой политики. Некоторые старые настройки не поддерживаются или не применимы к облачным устройствам Windows. После анализа объектов групповой политики вы узнаете, какие параметры по-прежнему действительны.

Данная функция применяется к:

  • Windows 11
  • Windows 10

В этой статье показано, как экспортировать локальные объекты групповой политики, импортировать объекты групповой политики в Intune, а также просмотреть анализ и результаты. Чтобы перенести импортированные объекты групповой политики в политику Intune или перенести их в политику Intune, перейдите в раздел Создание политики каталога параметров с помощью импортированных объектов групповой политики в Microsoft Intune.

Перед началом работы

В центре администрирования Microsoft Intune войдите как администратор Intune или с ролью, которая имеет базовые показатели безопасности и разрешение "Конфигурация устройства". Дополнительные сведения о встроенных ролях см. в статье Управление доступом на основе ролей.

Экспорт объекта групповой политики в виде XML-файла

Следующие действия могут отличаться на сервере в зависимости от используемой версии GPMC. При экспорте объекта групповой политики убедитесь, что вы экспортируете как XML-файл.

  1. На локальном компьютере откройте консоль Group Policy Management (GPMC.msc).

  2. В консоли управления разверните доменное имя.

  3. Разверните Объекты групповой политики, чтобы просмотреть все доступные объекты групповой политики.

  4. Щелкните правой кнопкой мыши объект групповой политики, который вы хотите перенести, и выберите Сохранить отчет:

    Снимок экрана, на котором показано, как открыть управление групповая политика и сохранить объект групповой политики в виде отчета о XML-файле.

  5. Выберите легкодоступную папку для экспорта. В поле Тип файла выберите XML-файл. На другом шаге вы добавите этот файл в аналитику групповой политики в Intune.

Убедитесь, что размер файла меньше 4 МБ и он имеет правильную кодировку Unicode. Если экспортируемый файл больше 4 МБ, уменьшите количество параметров в объекте групповой политики.

Импорт объектов групповой политики и аналитика запуска

  1. В Центре администрирования Microsoft Intune выберите Устройства>групповая политика аналитика.

  2. Выберите Импорт и выберите сохраненный XML-файл >Далее.

    Вы можете выбрать несколько файлов одновременно.

    Проверьте размеры отдельных XML-файлов объектов групповой политики. Размер одного объекта групповой политики не может превышать 4 МБ. Если размер одного объекта групповой политики превышает 4 МБ, импорт завершается ошибкой. XML-файлы без соответствующего окончания Юникода также завершаются ошибкой.

  3. В разделе Теги области выберите существующий тег область, который вы хотите применить к импортированному объекту групповой политики. Если не выбрать существующий тег область, автоматически используется тег область по умолчанию:

    Снимок экрана, на котором показано, как импортировать объект групповой политики и выбрать тег область в Microsoft Intune и Центре администрирования Intune.

    Импортированный объект групповой политики могут просматривать только администраторы, включенные в теги область. Дополнительные сведения о тегах область в импортированных объектах групповой политики см. в статье Выбор тега область при импорте (в этой статье).

  4. Щелкните Далее>Создать.

    При нажатии кнопки Создать Intune автоматически анализирует объект групповой политики в XML-файле.

  5. После выполнения анализа объект групповой политики импортируется в список со следующими сведениями:

    • Имя групповой политики: имя создается автоматически с помощью сведений в объекте групповой политики.

    • Целевой объект Active Directory: объект создается автоматически с использованием целевых сведений о подразделении в объекте групповой политики.

    • Поддержка MDM: отображает процент параметров групповой политики в объекте групповой политики, который имеет тот же параметр в Intune.

      Примечание.

      Каждый раз, когда команда разработки Microsoft Intune вносит изменения в сопоставление в Intune, процент в службе поддержки MDM автоматически обновляется для отображения этих изменений.

    • Неизвестные параметры. Существуют некоторые CSP, которых нельзя проанализировать. Неизвестные параметры содержат объекты групповой политики, которые нельзя проанализировать.

    • Целевой в домене приложения: Да означает, что объект групповой политики связан с подразделением в локальной групповой политике. Нет означает, что объект групповой политики не связан с локальным подразделением.

    • Последний импорт: отображает дату последнего импорта.

    Вы можете импортировать несколько объектов групповой политики для анализа, обновить страницу и фильтровать выходные данные. Кроме того, вы можете экспортировать это представление в файл .csv:

    Снимок экрана, на котором показано, как импортировать, обновить, фильтровать или экспортировать объект групповой политики (GPO) в CSV-файл в Microsoft Intune и Центре администрирования Intune.

  6. Выберите процент поддержки MDM для указанного объекта групповой политики. Ниже приведены подробные сведения об объекте групповой политики.

    • Имя параметра: имя создается автоматически с помощью сведений в параметре объекта групповой политики.

    • Категория параметров групповой политики: указывает категорию параметров, заданных ADMX-файлами, например Internet Explorer и Microsoft Edge. Не все параметры имеют категорию.

    • Поддержка MDM:

      • Да означает, что в Intune доступен соответствующий параметр. Этот параметр можно настроить в каталоге параметров.
      • Нет означает, что соответствующий параметр недоступен для поставщиков MDM, включая Intune.
      • Другие значения. Если вы импортируете старые параметры, которые больше не поддерживаются, средство предлагает переход на более новую поддерживаемую версию. Дополнительные сведения о сценариях миграции см. в статье Импортированные объекты групповой политики в Intune. Что вам нужно знать.

    • Значение: указывает значение, импортированное из объекта групповой политики. Это могут быть значения true, 900, Enabled, false и т. д.

    • Область: указывает, предназначен ли импортированный объект групповой политики для пользователей или для устройств.

    • Минимальная версия ОС: указывает минимальную версию (номер сборки) ОС Windows, к которой применяется параметр объекта групповой политики. Он может отображать 18362 (1903), 17130 (1803) и другие версии клиента Windows.

      Например, если параметр политики указывает 18362, параметр поддерживает сборку 18362 и более новые сборки.

    • Имя CSP: поставщик службы конфигурации (CSP) предоставляет параметры конфигурации устройства в клиентской системе Windows. В этом столбце показан поставщик службы конфигурации с параметром. Например, вы можете увидеть Политику, BitLocker, PassportforWork и т. д.

      В справочнике по CSP перечислены доступные CSP, показаны поддерживаемые выпуски ОС и т. д.

    • Сопоставление CSP: указывает путь OMA-URI для локальной политики. OMA-URI можно использовать в настраиваемом профиле конфигурации устройства. Например, вы можете увидеть ./Device/Vendor/MSFT/BitLocker/RequireDeviceEnryption.

  7. Для параметров, поддерживающих MDM, можно создать политику каталога параметров с этими параметрами. Конкретные действия см. в статье Создание политики каталога параметров с помощью импортированных объектов групповой политики в Microsoft Intune.

Выбор тега область при импорте

При импорте объекта групповой политики можно выбрать существующие теги область. Если не выбрать тег область, автоматически будет использоваться тег область по умолчанию. Импортированный объект групповой политики могут видеть только администраторы, ограниченные тегом область по умолчанию. Администраторы, которые не ограничены тегом область по умолчанию, не видят импортированный объект групповой политики.

Это поведение применяется к любому тегу область, выбранному при импорте объекта групповой политики. Администраторы видят импортированные объекты групповой политики только в том случае, если во время импорта выбран один из область тегов. Если у администратора нет тега область, импортированный объект групповой политики не отображается в отчетах или в списке объектов групповой политики.

Например, администраторы имеют Charlotteтеги , Londonили Boston область, назначенные их роли:

  • Администратор с тегом Charlotte область импортирует объект групповой политики.
  • Во время импорта они выбирают тег "Charlotte" область. Тег "Charlotte" область применяется к импортированному объекту групповой политики.
  • Все администраторы с тегом "Charlotte" область могут видеть импортированный объект.
  • Администраторы с тегами "Лондон" или только "Boston" область не могут видеть импортированный объект от администратора Charlotte.

Чтобы администраторы смогли просмотреть аналитику или перенести импортированный объект групповой политики в политику Intune, эти администраторы должны иметь один из область тегов, выбранных во время импорта.

Дополнительные сведения о тегах область см. в разделе RBAC и область теги для распределенной ИТ-службы.

Поддерживаемые CSP и групповые политики

групповая политика аналитика может анализировать следующие поставщики служб конфигурации для поддержки MDM:

Если в импортированном объекте групповой политики есть параметры, которые отсутствуют в поддерживаемых поставщиках служб конфигурации и групповых политиках, эти параметры могут быть перечислены в столбце Неизвестные параметры . Это поведение означает, что параметры были определены в GPO.

Несмотря на то, что групповая политика аналитика может анализировать поставщики служб групповой политики, при переносе импортированных объектов групповой политики следует знать некоторые вещи. Дополнительные сведения см. в статье Перенос импортированного объекта групповой политики в политику каталога параметров. Что необходимо знать.

Отчет о готовности групповой политики к миграции

  1. В Центре администрирования Microsoft Intune выберите Отчеты>Аналитика групповой политики:

    Снимок экрана: просмотр отчета и выходных данных импортированных объектов групповой политики с помощью аналитики групповая политика в Microsoft Intune и Центре администрирования Intune.

  2. На вкладке Сводка отображаются сводные данные объекта групповой политики и его политик. Эти сведения можно использовать для определения состояния политик в объекте групповой политики:

    • Готова к миграции: политика имеет соответствующий параметр в Intune и готова к миграции в Intune.

    • Не поддерживается: политика не имеет соответствующего параметра. Как правило, параметры политики с этим состоянием не предоставляются поставщикам MDM, включая Intune.

    • Не рекомендуется: политика может применяться к более старым версиям Windows, более старым версиям Microsoft Edge и дополнительным политикам, которые больше не используются.

      Примечание.

      Когда команда продукта Microsoft Intune обновляет логику сопоставления, импортированные объекты групповой политики автоматически обновляются. Нет необходимости повторно импортировать объекты групповой политики.

  3. Перейдите на вкладку >ОтчетыГотовность миграции групповой политики. С помощью этого отчета можно выполнять следующие задачи:

    • Просмотрите количество параметров объекта групповой политики, которые можно настроить в профиле конфигурации устройства. В нем также указано, могут ли параметры размещаться в настраиваемом профиле, являются ли они нерекомендуемыми или не поддерживаются.
    • Фильтровать выходные данные отчета с помощью фильтров Migration Readiness (Готовность к миграции), Тип профиляи CSP Name (Имя CSP).
    • Щелкните Создать отчет или Создать повторно, чтобы извлечь текущие данные.
    • Просмотрите список параметров в объекте групповой политики.
    • Используйте панель поиска, чтобы найти конкретные параметры.
    • Получите отметку времени последнего создания отчета.

    Примечание.

    После добавления или удаления импортированных объектов групповой политики обновление данных отчетов о готовности к миграции может занять около 20 минут.

Известные проблемы

В настоящее время средство аналитики групповая политика поддерживает только параметры, отличные от ADMX, на английском языке. При импорте объекта групповой политики с параметрами на языках, отличных от английского, процент поддержки MDM будет неточным.

Отправить отзыв о продукте

Вы можете отправить отзыв об аналитике групповых политик. В Центре администрирования Microsoft Intune выберите Устройства>групповая политика аналитика>получила отзыв.

Примеры областей отзывов:

  • При импорте или анализе объекта групповой политики были получены ошибки, по которым нужно получить дополнительные сведения.
  • Насколько просто использовать анализ групповых политик для поиска поддерживаемых групповых политик в Microsoft Intune?
  • Поможет ли это средство переместить некоторые рабочие нагрузки в Intune? Если да, какие рабочие нагрузки вы рассматриваете?

Чтобы получить сведения о впечатлениях клиента, выполняется статистическая обработка отзывов и они отправляются в корпорацию Майкрософт. Ввод сообщения электронной почты необязателен и может использоваться для получения дополнительных сведений.

Конфиденциальность и безопасность

Любое использование данных клиентов, например объектов групповой политики, используемых вашей организацией, агрегируется. Они не продаются третьим лицам. Эти данные могут использоваться для принятия бизнес-решений в корпорации Майкрософт. Данные клиентов безопасно хранятся.

Импортированные объекты групповой политики можно удалить в любое время.

  1. Перейдите в раздел Устройства>групповая политика аналитика.

  2. Выберите контекстное меню >Удалить:

    Снимок экрана: удаление или удаление объекта групповой политики, импортированного в анализаторе групповая политика в Microsoft Intune и Центре администрирования Intune.

Дальнейшие действия

См. также

Дополнительные сведения о поставщиках служб конфигурации (CSP).