Настройка параметров с помощью каталога параметров Intune

В каталоге параметров перечислены все параметры, которые можно настроить, и все они размещаются в одном месте. Эта функция упрощает создание политики и просмотр всех доступных параметров. Например, можно использовать каталог параметров для создания политики BitLocker со всеми параметрами BitLocker.

Вы также можете использовать Microsoft Copilot в Intune. При использовании функций Copilot с каталогом параметров вы можете использовать Copilot для следующих способов:

• Узнайте больше о каждом параметре и найдите потенциальные конфликты.
• Сводные данные о существующих политиках и анализ влияния на пользователей и безопасность.

Если вы предпочитаете настраивать параметры на детальном уровне, аналогично локальным объектам групповая политика (GPO), каталог параметров является естественным переходом на облачную политику.

При создании политики вы начинаете с чистого листа. Вы добавляете только те параметры, которые необходимо контролировать и которыми требуется управлять.

Чтобы управлять устройствами в организации и защищать их, используйте каталог параметров как часть решения для управления мобильными устройствами (MDM). Дополнительные параметры постоянно добавляются в каталог параметров. Текущий список параметров см. в репозитории GitHub IntunePMFiles/DeviceConfig.

Данная функция применяется к:

• Android

  В каталоге параметров для Android перечислены параметры, доступные для устройств Android (AOSP) и корпоративных устройств Android Enterprise. Дополнительные параметры для устройств Android постоянно добавляются в каталог параметров.

  Список параметров Android, которые можно настроить, см. в разделе Список параметров каталога параметров Android Intune.

• Apple

  Сюда входят параметры устройств, которые создаются непосредственно из ключей полезных данных, специфичных для профилей Apple. Постоянно добавляются дополнительные параметры и ключи. Декларативное управление устройствами (DDM) от Apple также встроено в каталог параметров. Дополнительные сведения о ключах полезных данных для конкретного профиля см. в разделе Ключи полезных данных для конкретного профиля на веб-сайте Apple.

  Каталог параметров можно использовать для настройки параметров для устройств Apple на следующих платформах:

  • iOS/iPadOS

    При настройке параметров на устройствах iOS/iPadOS 15+, зарегистрированных с помощью регистрации пользователей, вы автоматически используете DDM. Если DDM не работает, эти устройства используют стандартный протокол MDM Apple. Все остальные устройства iOS/iPadOS по-прежнему используют стандартный протокол MDM От Apple.

  • macOS

    Ниже перечислено несколько распространенных сценариев.

    • Настройте блокировку восстановления , чтобы защитить устройства от несанкционированной переустановки и очистки.

    • Используйте DDM для управления обновлениями программного обеспечения, ограничениями паролей и т. д.

    • Настройте более новые версии Microsoft Edge и других функций, а не файлы списка свойств (PLIST). Дополнительные сведения см. в разделе:

      • Встроенные функции macOS, заменяющие PLIST-файлы
      • Добавление файла списка свойств на устройства macOS с помощью Microsoft Intune

  • tvOS

    Вы можете импортировать файл, созданный с помощью Apple Configurator или Apple Profile Manager. Переменные не поддерживаются, поэтому любые заполнители или переменные в профиле не будут применяться.

  • visionOS

    Вы можете импортировать файл, созданный с помощью Apple Configurator или Apple Profile Manager. Переменные не поддерживаются, поэтому любые заполнители или переменные в профиле не будут применяться.

• Windows

  Существуют тысячи параметров, включая административные шаблоны (ADMX), и все больше параметров постоянно добавляются. Эти параметры создаются непосредственно на основе поставщиков служб конфигурации Windows (CSP). По мере того как Windows добавляет или предоставляет дополнительные параметры поставщикам MDM, эти параметры добавляются в Microsoft Intune для настройки.

В этой статье описаны действия по созданию политики, показано, как выполнять поиск и фильтрацию параметров в Intune, а также как использовать Copilot.

При создании политики создается профиль конфигурации устройства. Затем можно назначить или развернуть этот профиль для устройств в вашей организации.

Сведения о популярных функциях, которые можно настроить с помощью каталога параметров, см. в разделе Задачи, которые можно выполнить с помощью каталога параметров в Intune.

Подготовка к работе

• Список параметров в каталоге параметров см. в репозитории GitHub IntunePMFiles/DeviceConfig.
• Чтобы просмотреть настроенные политики Microsoft Edge, откройте Microsoft Edge и перейдите по адресу edge://policy. Список текущих и устаревших параметров Microsoft Edge см. в разделе Microsoft Edge — политики.
• Всплывающие подсказки и дополнительные ссылки в подсказках содержат дополнительные сведения о параметре.

Создание политики

Вы создаете политику с помощью типа профиля каталога параметров.

1. Войдите в Центр администрирования Microsoft Intune с учетной записью, которая имеет по крайней мере встроенную роль диспетчера политик и профилей.

   Дополнительные сведения о встроенных ролях см. в статье Управление доступом на основе ролей для Microsoft Intune.

2. Выберите Устройства>Управление устройствами>Конфигурация>Создать>Новая политика.

3. Укажите следующие свойства:

   • Платформа. Выберите свою платформу:
     • Android Enterprise
     • Android (AOSP)
     • iOS/iPadOS
     • macOS
     • tvOS
     • visionOS
     • Windows 10 и более поздние версии
   • Тип профиля: выберите Каталог параметров.

4. Нажмите Создать.

5. В разделе Основные укажите следующие свойства.

   • Имя. Присвойте профилям имя, чтобы их можно было легко идентифицировать позже. Например, хорошее имя профиля: macOS: Параметры Microsoft Edge или Win10: Параметры BitLocker для всех устройств Win10.
   • Описание. Введите описание профиля. Этот параметр является необязательным, но мы рекомендуем его использовать.

6. Нажмите кнопку Далее.

7. В разделе Параметры конфигурации нажмите Add settings (Добавить параметры). В средстве выбора параметров выберите категорию, чтобы просмотреть все доступные параметры.

   Например, в политике Windows выберите Проверка подлинности , чтобы просмотреть все параметры в этой категории:

   

8. Выберите любой параметр, который требуется настроить. Можно также выбрать Select all these settings (Выбрать все параметры).

   

   После добавления параметров закройте средство их выбора. Все параметры отображаются и настраиваются со значением по умолчанию, например Блокировать или Разрешить. Эти значения по умолчанию являются теми же значениями по умолчанию в ОС. Если вы не хотите настраивать параметр, выберите знак "минус" (-):

   

   Если выбрать минус:

   • Intune не изменяет или не обновляет этот параметр. Минус означает Не настроено. Если задано значение Не настроено, значит параметр больше не управляется.
   • Такие параметры удаляются из политики. При следующем открытии политики этот параметр не отображается. Но его можно добавить повторно.
   • При следующем проверка устройства параметр больше не блокируется на устройстве. Другой пользователь политики или устройства может изменить политику.

   Совет

   • В подсказках параметров Windows ссылка Дополнительные сведения ведет к CSP.

   • Если параметр допускает несколько значений, добавьте каждое значение отдельно. Например, можно ввести несколько значений впараметре Список разрешенных службBluetooth>. Введите каждое значение в отдельной строке

     В одном поле можно добавить несколько значений, но может возникнуть ограничение на символы.

9. Нажмите кнопку Далее.

10. В поле Теги области (необязательно) назначьте тег для фильтрации профиля по конкретным ИТ-группам, например US-NC IT Team или JohnGlenn_ITDepartment. Дополнительные сведения о тегах области см. в разделе Использование ролей RBAC и тегов области для распределенных ИТ-групп.

    Нажмите кнопку Далее.

11. В разделе Назначения выберите пользователей или группы, которые получают ваш профиль. Дополнительные сведения см. в статье Назначение профилей пользователей и устройств.

    Нажмите кнопку Далее.

12. Проверьте параметры в окне Проверка и создание. При выборе Создать внесенные изменения сохраняются и назначается профиль. Политика также отображается в списке профилей.

Когда устройство в следующий раз проверит наличие обновлений конфигурации, оно применяет настроенные параметры.

Поиск некоторых параметров и дополнительные сведения о каждом из них

Каталог параметров предлагает тысячи параметров. Чтобы найти нужные параметры, используйте функции поиска и фильтрации.

Если вы используете Copilot, вы можете получить созданные ИИ сведения о каждом параметре.

Поиск и фильтрация

При создании новой политики или обновлении существующей политики используйте встроенные функции поиска и фильтрации для поиска параметров.

• Чтобы найти определенные параметры в политике, используйте команду Добавить параметры>Поиска. Вы можете выполнять поиск по категориям, например browser; искать ключевое слово, например office или google; и искать определенные параметры.

  Например, выполните поиск по фразе internet explorer. Отобразятся все параметры с internet explorer. Выберите любую категорию, чтобы просмотреть доступные параметры.

  

• В политике выберите Add settings (Добавить параметры)>Добавить фильтр. Выберите ключ, оператор и значение, чтобы отфильтровать список параметров.

  В зависимости от платформы вы можете выполнять фильтрацию по различным свойствам, таким как выпуск ОС Windows, область пользователя или устройства, а также режим регистрации устройств Android (полностью управляемый, корпоративный рабочий профиль, выделенный).

  • Например, при фильтрации в выпуске OS можно отфильтровать параметры, которые применяются к определенным выпускам Windows:

    

    Примечание.

    Для параметров Microsoft Edge, Office и OneDrive версия ОС или выпуск не определяет, применяются ли эти параметры. Таким образом, при фильтрации по определенному выпуску, например Windows Professional, параметры Microsoft Edge, Office и OneDrive не отображаются.

  • Используйте фильтры режима управления Android, чтобы применить параметры, относящиеся к сценариям устройств, например параметры, которые применяются только к полностью управляемым устройствам. Кроме того, если применить фильтр по крайней мере с двумя режимами управления, отображаются все параметры, которые применяются по крайней мере к одному режиму управления.

    Например, вы выбираете фильтр, включающий полностью управляемый и выделенный режимы управления. Отображаются все параметры, которые применяются по крайней мере к одному из этих режимов. Представление не ограничивается параметрами, применимыми к обоим режимам. Другими словами:

    • Если параметр работает только для полностью управляемого, отображается параметр .
    • Если другой параметр работает только для выделенных, отображается параметр .
    • Если параметр работает для обоих вариантов, отображается параметр .

Copilot

При использовании политик каталога параметров используйте Copilot, чтобы получить дополнительные сведения о конкретном параметре.

1. В политике выберите Добавить параметры. В окне выбора параметров выберите некоторые параметры. Например, в политике macOS разверните декларативный Управление устройствами>Сообновление программного> обеспеченияВыберите все эти параметры. Закройте средство выбора параметров.

2. Для параметров обратите внимание на подсказку Copilot:

   

3. При выборе подсказки Copilot автоматически отображаются дополнительные сведения о параметре:

   

4. В Copilot Chat вы также можете начать вводить запрос, и Copilot предлагает соответствующие запросы:

   

Копирование профиля

Чтобы создать копию существующего профиля, выберите Дублировать. Дублирование полезно, если вам нужен профиль, аналогичный исходному. Копия содержит те же конфигурации параметров и теги область, что и исходный профиль, но не имеет прикрепленных к ней назначений.

После присвоения новому профилю имени можно изменить профиль для настройки параметров и добавления назначений.

1. Перейдите в раздел Устройства>Управление устройствами>Конфигурация.
2. Найдите профиль, который нужно скопировать. Щелкните профиль правой кнопкой мыши или выберите контекстное меню, обозначенное многоточием (…).
3. Выберите Дублировать.
4. Введите имя и описание новой политики.
5. Сохраните внесенные изменения.

Импорт и экспорт профиля

При создании политики каталога параметров можно экспортировать политику в .json файл. Затем этот файл можно импортировать, чтобы создать новую политику. Эта функция полезна, если вы хотите создать политику, аналогичную существующей политике. Например, вы экспортируете политику, импортируете ее, чтобы создать новую политику, а затем вносите изменения в новую политику.

1. Перейдите в раздел Устройства>Управление устройствами>Конфигурация.

2. Чтобы экспортировать существующую политику, выберите политику каталога параметров Windows, а затем выберите многоточие или контекстное меню (…) >Экспорт JSON:

   

3. Чтобы импортировать ранее экспортированную политику каталога параметров, выберите Создать>политику импорта:

   

   Выберите экспортируемый JSON-файл и присвойте имя новой политике. Сохраните внесенные изменения.

Конфликты и отчеты

Конфликты возникают при обновлении одного и того же параметра до разных значений. Этот конфликт включает политики, которые настраивается с помощью каталога параметров. В Центре администрирования Intune можно проверка состояние существующих политик. Данные обновляются автоматически, почти в режиме реального времени.

Существуют встроенные функции, которые помогают устранять конфликты, включая отчеты о состоянии отдельных параметров.

Если вы используете Copilot, вы можете использовать встроенные запросы, чтобы получить дополнительные сведения о существующих политиках, включая их влияние.

Отчеты и устранение неисправностей

В Центре администрирования Intune используйте встроенные функции отчетов для поиска и устранения конфликтов.

1. В Центре администрирования Intune выберите Устройства>Управление устройствами>Конфигурация. В списке выберите политику, созданную с помощью каталога параметров. В столбце Тип профиля отображается Каталог параметров:

   

2. При выборе политики отображается состояние устройства. со сводными данными о состоянии политики и свойствами политики. Вы также можете изменить или обновить свою политику в разделе Параметры конфигурации:

   

3. Выберите Просмотреть отчет. В этом отчете отображаются подробные сведения, включая имя устройства, состояние политики и многое другое. Вы также можете отфильтровать состояние развертывания и экспортировать отчет .csv в файл:

   

4. Вы также можете просмотреть состояние каждого параметра, используя состояние каждого параметра, то есть количество устройств, затронутых каждым параметром в политике.

   Варианты действий:

   • Просмотрите число устройств с успешно примененным параметром, конфликтом или ошибкой.
   • Выберите число устройств, которые находятся в состоянии соответствия, конфликта или ошибки. Просмотрите список пользователей или устройств в этом состоянии.
   • Поиск, сортировка, фильтрация, экспорт и переход к следующей или предыдущей странице.

5. В центре администрирования последовательно выберите Устройства>Мониторинг>Ошибки назначения. Если политика каталога параметров не удалось развернуть из-за ошибки или конфликта, она отображается в этом списке. Вы также можете экспортировать данные в файл .csv.

6. Выберите политику для просмотра устройств. Затем выберите определенное устройство, чтобы просмотреть сбой параметра и, возможно, код ошибки.

Совет

Intune отчеты — отличный ресурс. Сведения обо всех данных отчетов, которые можно просмотреть, см. в разделе Intune отчеты.

Дополнительные сведения об устранении конфликтов см. в разделе:

• Мониторинг профилей устройств.
• Распространенные вопросы и ответы о политиках устройств.

Copilot

Copilot может помочь вам найти состояние существующих политик, найти состояние определенного параметра в политике и показать потенциальные конфликты.

1. В Центре администрирования Intune выберите Устройства>Управление устройствами>Конфигурация. В списке политик выберите политику, которую вы хотите оценить с помощью Copilot.

2. При выборе политики отображается состояние устройства. Выберите Резюмировать с помощью Copilot:

   

   Автоматически отображается сводка, включающая параметры политики и их значения.

3. В Copilot Chat можно ввести conflicts и выбрать запрос.

Сравнение каталога параметров и шаблонов

При создании политики можно выбрать два типа политик: Каталог параметров и Шаблоны:

Шаблоны включают логическую группу параметров, таких как киоск, VPN, Wi-Fi и многое другое. Используйте этот вариант, если вы хотите использовать такие группирования для настройки параметров.

Вариант Каталог параметров перечисляет все доступные параметры. Если вы хотите просмотреть все доступные параметры брандмауэра или все доступные параметры BitLocker, используйте этот параметр. Кроме того, этот вариант подходит для поиска определенных параметров.

Параметры области устройства и области пользователя

При выборе параметра некоторые параметры включают (User) тег или (Device) в имя параметра, например Allow EAP Cert SSO (User) или Grouping (Device). Эти теги указывают на то, что политика затрагивает только пользователя область или устройство область.

Дополнительные сведения о область пользователей и область устройств см. в разделе Поставщик служб CSP политики.

При назначении политик используются группы устройств и пользователей. Область устройства и область пользователя описывают применение политики.

Поведение назначения области

При развертывании политики из Intune можно назначить область область пользователей или устройств любому типу целевой группы. Поведение политики для каждого пользователя зависит от область параметра:

• Политика области пользователя выполняет запись в HKEY_CURRENT_USER (HKCU).
• Политика области устройства выполняет запись в HKEY_LOCAL_MACHINE (HKLM).

При регистрации в Intune устройство всегда предоставляет deviceID. Устройство может или не может представлять userID, в зависимости от времени входа проверка и от того, вошел ли пользователь.

В следующем списке приводятся некоторые возможные сочетания области применения, назначения и ожидаемого поведения:

• Если назначить политику область устройства устройству, этот параметр будет применен ко всем пользователям на этом устройстве.
• Если пользователю назначена политика область устройства, то после входа этого пользователя и синхронизации Intune параметры устройства область применяются ко всем пользователям на устройстве.
• Если назначить пользователю политику область устройству, этот параметр будет применен ко всем пользователям на этом устройстве. Это похоже на замыкание на себя в режиме слияния.
• Если пользователь область политику назначается пользователю, применяется только этот параметр.
• Некоторые параметры доступны как в пользовательском область, так и в область устройства. Если назначить один из этих параметров как пользователю, так и область устройства, область пользователя имеет приоритет над область устройства.

Если во время начальных проверка входов нет куста пользователя, можно увидеть некоторые параметры область пользователей, помеченные как неприменимые. Это происходит в первые моменты активности устройства до появления пользователя.

Статьи по теме

• Задачи, которые можно выполнить с помощью каталога параметров в Intune
• Создание политики универсальной печати в Microsoft Intune
• Назначение профиля и отслеживание его состояния.
• Обзор Microsoft Copilot для Intune