Использование каталога параметров для настройки параметров на устройствах Windows, iOS/iPadOS и macOS
В каталоге параметров перечислены все параметры, которые можно настроить в одном месте. Эта функция упрощает создание политики и просмотр всех доступных параметров. Например, можно использовать каталог параметров для создания политики BitLocker со всеми параметрами BitLocker.
Вы также можете использовать Microsoft Copilot в Intune. При использовании функций Copilot с каталогом параметров вы можете использовать Copilot для следующих способов:
- Узнайте больше о каждом параметре, получите влияние при анализе и найдите потенциальные конфликты.
- Сводные данные о существующих политиках и анализ влияния на пользователей и безопасность.
Если вы предпочитаете настраивать параметры на детальном уровне, аналогично использованию локальных объектов групповой политики (GPO), каталог параметров является естественным переходом на облачную политику.
При создании политики вы начинаете с чистого листа. Вы добавляете только те параметры, которые необходимо контролировать и которыми требуется управлять.
Чтобы управлять устройствами в организации и защищать их, используйте каталог параметров как часть решения для управления мобильными устройствами (MDM). Дополнительные параметры постоянно добавляются в каталог параметров. Текущий список параметров см. в репозитории GitHub IntunePMFiles/DeviceConfig.
Данная функция применяется к:
iOS/iPadOS
Сюда входят параметры устройств, которые создаются непосредственно из ключей полезных данных, специфичных для профилей Apple. Новые параметры и ключи добавляются постоянно. Дополнительные сведения см. в разделе Ключи полезных данных для конкретных профилей на веб-сайте Apple.
Декларативное управление устройствами (DDM) от Apple встроено в каталог параметров. При настройке параметров из каталога параметров на устройствах iOS/iPadOS 15+, зарегистрированных с помощью регистрации пользователей, вы автоматически используете DDM. Если DDM не работает, эти устройства будут использовать стандартный протокол MDM Apple. Все остальные устройства iOS/iPadOS по-прежнему используют стандартный протокол MDM От Apple.
macOS
Сюда входят параметры устройств, которые создаются непосредственно из ключей полезных данных, специфичных для профилей Apple. Новые параметры и ключи добавляются постоянно. Дополнительные сведения о ключах полезных данных для конкретного профиля см. в разделе Ключи полезных данных для конкретного профиля на веб-сайте Apple.
Декларативное управление устройствами (DDM) от Apple доступно в каталоге параметров. DDM можно использовать для управления обновлениями программного обеспечения, ограничениями секретного кода и многое другое.
Вы также можете использовать каталог параметров для настройки более новых версий Microsoft Edge и других функций вместо файлов списка свойств (plist). Дополнительные сведения см. в разделе:
- Встроенные функции macOS, заменяющие PLIST-файлы
- Добавление файла списка свойств на устройства macOS с помощью Microsoft Intune.
Вы можете продолжить использовать файл настроек для следующих способов:
- Настройте более ранние версии Microsoft Edge.
- Настройте параметры браузера Microsoft Edge, которых нет в каталоге параметров.
Windows 10/11
Существуют тысячи параметров, включая параметры, которые ранее не были доступны. Эти параметры создаются непосредственно на основе поставщиков служб конфигурации Windows (CSP). Вы также можете настроить административные шаблоны и настроить дополнительные параметры административных шаблонов. По мере того как Windows добавляет или предоставляет дополнительные параметры поставщикам MDM, эти параметры добавляются в Microsoft Intune для настройки.
Совет
- Список параметров в каталоге параметров см. в репозитории GitHub IntunePMFiles/DeviceConfig.
- Чтобы просмотреть настроенные политики Microsoft Edge, откройте Microsoft Edge и перейдите по адресу
edge://policy
.
В этой статье описаны действия по созданию политики, показано, как выполнять поиск и фильтрацию параметров в Intune, а также как использовать Copilot.
При создании политики создается профиль конфигурации устройства. Затем можно назначить или развернуть этот профиль для устройств в вашей организации.
Сведения о функциях, которые можно настроить с помощью каталога параметров, см. в разделе Задачи, которые можно выполнить с помощью каталога параметров в Intune.
Создание политики
Вы создаете политику с помощью типа профиля каталога параметров.
Войдите в Центр администрирования Microsoft Intune.
Выберите Устройства>Управление устройствами>Конфигурация>Создать>Новая политика.
Укажите следующие свойства:
- Платформа. Выберите iOS/iPadOS, macOS или Windows 10 и более поздних версий.
- Тип профиля: выберите Каталог параметров.
Нажмите Создать.
В разделе Основные укажите следующие свойства.
- Имя. Присвойте профилям имя, чтобы их можно было легко идентифицировать позже. Например, хорошее имя профиля: macOS: Параметры Microsoft Edge или Win10: Параметры BitLocker для всех устройств Win10.
- Описание. Введите описание профиля. Этот параметр является необязательным, но мы рекомендуем его использовать.
Нажмите кнопку Далее.
В разделе Параметры конфигурации нажмите Add settings (Добавить параметры). В средстве выбора параметров выберите категорию, чтобы просмотреть все доступные параметры.
Например, выберите Windows 10 и более поздних версий, а затем выберите Проверка подлинности , чтобы просмотреть все параметры в этой категории:
Например, выберите macOS. В категории Microsoft Edge — Все перечислены все параметры, которые можно настроить. К другим категориям относятся параметры, которые устарели или применяются к более старым версиям:
Совет
В macOS категории временно удалены. Чтобы найти определенный параметр, используйте категорию Microsoft Edge — Все или выполните поиск по имени параметра. Список имен параметров см. в разделе Microsoft Edge — политики.
Используйте ссылку Дополнительные сведения в подсказке, чтобы узнать, является ли параметр устаревшим, и просмотреть поддерживаемые версии.
Выберите любой параметр, который требуется настроить. Можно также выбрать Select all these settings (Выбрать все параметры).
После добавления параметров закройте средство их выбора. Все параметры отображаются и настраиваются со значением по умолчанию, например Блокировать или Разрешить. Эти значения по умолчанию такие же, как значения по умолчанию в операционной системе. Если вы не хотите настраивать параметр, выберите знак "минус" (
-
):Если выбрать минус:
- Intune не изменяет или не обновляет этот параметр. Минус означает Не настроено. Если задано значение Не настроено, значит параметр больше не управляется.
- Такие параметры удаляются из политики. При следующем открытии политики этот параметр не отображается. Но его можно добавить повторно.
- При следующей синхронизации устройств этот параметр уже не блокируется. Другой пользователь политики или устройства может изменить политику.
Совет
В подсказках параметров Windows ссылка Дополнительные сведения ведет к CSP.
Если параметр допускает несколько значений, рекомендуется добавлять каждое значение отдельно. Например, можно ввести несколько значений впараметре Список разрешенных службBluetooth>. Введите каждое значение в отдельной строке
В одном поле можно добавить несколько значений, но может возникнуть ограничение на символы.
Нажмите кнопку Далее.
В поле Теги области (необязательно) назначьте тег для фильтрации профиля по конкретным ИТ-группам, например
US-NC IT Team
илиJohnGlenn_ITDepartment
. Дополнительные сведения о тегах области см. в разделе Использование ролей RBAC и тегов области для распределенных ИТ-групп.Нажмите кнопку Далее.
В поле Назначения выберите пользователей или группы, которые будет принимать ваш профиль. Дополнительные сведения см. в статье Назначение профилей пользователей и устройств.
Нажмите кнопку Далее.
Проверьте параметры в окне Проверка и создание. При выборе Создать внесенные изменения сохраняются и назначается профиль. Политика также отображается в списке профилей.
В следующий раз, когда устройство будет проверять наличие обновлений конфигурации, будут применены настроенные параметры.
Поиск некоторых параметров и дополнительные сведения о каждом из них
В каталоге параметров доступны тысячи параметров. Чтобы найти нужные параметры, используйте функции поиска и фильтрации.
Если вы используете Copilot, вы можете получить созданные ИИ сведения о каждом параметре.
При создании новой политики или обновлении существующей политики существуют встроенные функции поиска и фильтрации, которые помогут вам найти параметры.
Чтобы найти определенные параметры в политике, можно использовать команду Добавить параметры>поиска. Вы можете искать по категориям, например
browser
; искать ключевое слово, напримерoffice
илиgoogle
; и искать определенные параметры.Например, выполните поиск по фразе
internet explorer
. Отобразятся все параметры сinternet explorer
. Выберите любую категорию, чтобы просмотреть доступные параметры.В политике выберите Add settings (Добавить параметры)>Добавить фильтр. Выберите ключ, оператор и значение.
При фильтрации в выпуске OS можно отфильтровать параметры, которые применяются к определенным выпускам Windows:
Примечание.
Версия или выпуск ОС не определяет, применяются ли параметры Microsoft Edge, Office и OneDrive. Таким образом, при фильтрации по определенному выпуску, например Windows Professional, параметры Edge, Office и OneDrive не отображаются.
Вы также можете отфильтровать параметры по устройству или области пользователя. Дополнительные сведения см. в разделе Параметры области устройства и области пользователя (в этой статье):
Копирование профиля
Чтобы создать копию существующего профиля, выберите Дублировать. Дублирование полезно, если вам нужен профиль, аналогичный исходному. Копия содержит те же конфигурации параметров и теги области, что и исходный профиль, но не имеет присоединенных к ней назначений.
После присвоения новому профилю имени можно изменить профиль для настройки параметров и добавления назначений.
- Перейдите в раздел Устройства>Управление устройствами>Конфигурация.
- Найдите профиль, который нужно скопировать. Щелкните профиль правой кнопкой мыши или выберите контекстное меню, обозначенное многоточием (
…
). - Выберите Дублировать.
- Введите имя и описание новой политики.
- Сохраните внесенные изменения.
Импорт и экспорт профиля
Данная функция применяется к:
- Windows 11
- Windows 10
При создании политики каталога параметров можно экспортировать политику в .json
файл. Затем этот файл можно импортировать, чтобы создать новую политику. Эта функция полезна, если вы хотите создать политику, аналогичную существующей политике. Например, вы экспортируете политику, импортируете ее, чтобы создать новую политику, а затем вносите изменения в новую политику.
Перейдите в раздел Устройства>Управление устройствами>Конфигурация.
Чтобы экспортировать существующую политику, выберите политику каталога параметров Windows, а затем выберите многоточие или контекстное меню (
…
) >Экспорт JSON:Чтобы импортировать ранее экспортированную политику каталога параметров, выберите Создать>политику импорта:
Выберите экспортируемый JSON-файл и присвойте имя новой политике. Сохраните внесенные изменения.
Конфликты и отчеты
Конфликты возникают, когда один и тот же параметр обновляется до разных значений, включая политики, настроенные с помощью каталога параметров. В Центре администрирования Intune можно проверить состояние существующих политик. Данные обновляются автоматически, почти в режиме реального времени.
Существуют встроенные функции, которые помогают устранять конфликты, включая отчеты о состоянии отдельных параметров.
Если вы используете Copilot, вы можете использовать встроенные запросы, чтобы получить дополнительные сведения о существующих политиках, включая их влияние.
В Центре администрирования Intune можно использовать встроенные функции отчетов для поиска и устранения конфликтов.
В Центре администрирования Intune выберите Устройства>Управление устройствами>Конфигурация. В списке выберите политику, созданную с помощью каталога параметров. В столбце Тип профиля отображается Каталог параметров:
При выборе политики отображается состояние устройства. со сводными данными о состоянии политики и свойствами политики. Вы также можете изменить или обновить свою политику в разделе Параметры конфигурации:
Выберите Просмотреть отчет. В этом отчете отображаются подробные сведения, включая имя устройства, состояние политики и многое другое. Вы также можете отфильтровать состояние развертывания и экспортировать отчет
.csv
в файл:Вы также можете просмотреть состояние каждого параметра, используя состояние каждого параметра, то есть количество устройств, затронутых каждым параметром в политике.
Варианты действий:
- Просмотрите число устройств с успешно примененным параметром, конфликтом или ошибкой.
- Выберите число устройств, которые находятся в состоянии соответствия, конфликта или ошибки. Просмотрите список пользователей или устройств в этом состоянии.
- Поиск, сортировка, фильтрация, экспорт и переход к следующей или предыдущей странице.
В центре администрирования последовательно выберите Устройства>Мониторинг>Ошибки назначения. Если политика каталога параметров не удалось развернуть из-за ошибки или конфликта, она отображается в этом списке. Вы также можете экспортировать данные в файл
.csv
.Выберите политику для просмотра устройств. Затем выберите определенное устройство, чтобы просмотреть сбой параметра и, возможно, код ошибки.
Совет
Отчеты Intune — отличный ресурс. Сведения обо всех данных отчетов, которые можно просмотреть, см. в разделе Отчеты Intune.
Дополнительные сведения об устранении конфликтов см. в разделе:
Сравнение каталога параметров и шаблонов
При создании политики можно выбрать два типа политик: Каталог параметров и Шаблоны:
Шаблоны включают логическую группу параметров, таких как киоск, VPN, Wi-Fi и многое другое. Используйте этот вариант, если вы хотите использовать такие группирования для настройки параметров.
Вариант Каталог параметров перечисляет все доступные параметры. Если вы хотите просмотреть все доступные параметры брандмауэра или все доступные параметры BitLocker, используйте этот параметр. Кроме того, этот вариант подходит для поиска определенных параметров.
Параметры области устройства и области пользователя
При выборе параметра некоторые параметры имеют (User)
тег или (Device)
в имени параметра, например Allow EAP Cert SSO (User)
или Grouping (Device)
. При наличии этих тегов политика влияет только на область пользователя или область устройства.
Дополнительные сведения о пользовательской области и области устройства см. в разделе CSP политики.
При назначении политик используются группы устройств и пользователей. Область устройства и область пользователя описывают применение политики.
Поведение назначения области
При развертывании политики из Intune можно назначить область пользователя или область устройства любому типу целевой группы. Поведение политики на уровне пользователя зависит от области параметра.
- Политика области пользователя выполняет запись в
HKEY_CURRENT_USER (HKCU)
. - Политика области устройства выполняет запись в
HKEY_LOCAL_MACHINE (HKLM)
.
При регистрации в Intune устройство всегда предоставляет deviceID
. Устройство может или не может представлять userID
, в зависимости от времени регистрации и от того, выполнил ли пользователь вход.
В следующем списке приводятся некоторые возможные сочетания области применения, назначения и ожидаемого поведения:
- Если для устройства назначена политика области устройства, этот параметр применяется ко всем пользователям на этом устройстве.
- Если пользователю назначена политика с областью устройства, то после входа этого пользователя и синхронизации Intune параметры области устройства применяются ко всем пользователям на устройстве.
- Если для устройства назначена политика области пользователя, этот параметр применяется ко всем пользователям на этом устройстве. Это похоже на замыкание на себя в режиме слияния.
- Если пользователю назначена политика с областью действия пользователя, этот параметр применен только к нему.
- Некоторые параметры доступны в области пользователя и области применения устройства. Если один из этих параметров назначен как области пользователя, так и устройства, область пользователя имеет приоритет над областью устройства.
Если во время начальной регистрации отсутствует куст пользователя , можно увидеть некоторые параметры области пользователя, помеченные как неприменимые. Это происходит в первые моменты активности устройства до появления пользователя.