Использование повторно используемых групп параметров с политиками Intune
Эта функция доступна в общедоступной предварительной версии.
Intune поддерживает многократно используемые группы параметров, которые можно добавлять в политики и профили конфигурации, чтобы упростить управление общими параметрами. Рекомендуется использовать многократно используемые группы, когда необходимо использовать параметры с одной конфигурацией в нескольких профилях.
При изменении параметров в группе с возможностью повторного использования внесенные изменения автоматически применяются к каждому профилю, включаемому в группу. При сохранении изменений в группе повторно используемых параметров Intune обновляет профили с этими новыми конфигурациями и развертывает обновленный профиль на устройствах на основе назначений профиля.
Следующие профили поддерживают многократно используемые группы:
- Управление устройством, доступное с помощью политики сокращения направлений атак с безопасностью конечных точек.
- Правила брандмауэра Windows, доступные с помощью политики брандмауэра безопасности конечных точек.
Обзор групп повторно используемых параметров
Каждая группа повторно используемых параметров — это один объект, который может включать несколько параметров. После настройки одной или нескольких многократно используемых групп для использования с определенным типом профиля вы создадите или измените профиль, чтобы добавить группы. Профили могут поддерживать несколько групп.
Чтобы управлять группами повторно используемых параметров, в центре администрирования Microsoft Intune используйте вкладку Повторно используемые параметры, связанную с политикой и профилями, с которыми вы хотите использовать группу. На вкладке можно создать группу, изменить параметры в группе и просмотреть количество политик, наследующих параметры из каждой группы. Каждая группа повторно используемых параметров используется только с соответствующим типом профиля.
Например, на следующем рисунке показана вкладка "Параметры повторного использования", используемая для управления многократно используемыми группами для профиля правил брандмауэра Windows:
После создания многократно используемых групп вы используете параметр на странице параметров конфигурации профилей, чтобы добавить группы в этот профиль. Профили, включающие одну или несколько многократно используемых групп, используют каждый параметр из каждой включенной группы, как если бы параметры были настроены непосредственно в профиле.
Предварительные условия
Следующие профили поддерживают использование групп повторно используемых параметров:
Политика безопасности конечных точек
Брандмауэр>Правила брандмауэра Windows:
- Платформы: Windows
- Версии Windows: устройства должны работать Windows 10 20H2 или более поздней версии или Windows 11
Сокращение направлений> атакУправление устройством.
- Платформы: Windows
Управление привилегиями конечных точек
- Политика правил повышения прав Windows
Примечание.
Группы повторно используемых параметров в настоящее время не поддерживаются для использования с управлением безопасностью для Microsoft Defender для конечной точки.
Создание группы с возможностью повторного использования
Каждая группа повторно используемых параметров включает в себя подмножество параметров из полного профиля, для которых создается группа. Используйте следующие ссылки, чтобы просмотреть параметры, которые можно настроить в группе параметров для каждого профиля:
Чтобы создать группу повторно используемых параметров, выполните следующие действия.
Откройте центр администрирования Microsoft Intune, перейдите к политике, для которой требуется создать группу с возможностью повторного использования, а затем выберите вкладку Параметры повторного использования (предварительная версия).
Нажмите кнопку Добавить, чтобы открыть рабочий процесс Настройка повторно используемых параметров (предварительная версия).
На странице Основные сведения настройте имя. Вводить описание необязательно.
На странице Параметры конфигурации выберите Добавить , а затем настройте параметры для этой группы, как если бы настройка параметров непосредственно в поддерживаемом профиле.
В разделе Управление устройствами при нажатии кнопки Добавить необходимо выбрать тип параметров группы для настройки, а затем нажать кнопку Изменить экземпляр , чтобы продолжить. При добавлении нескольких экземпляров просмотрите конфигурацию типа соответствия для группы.
Существует ограничение в 100 экземпляров на группу. Используйте текст сведений в Центре администрирования для каждого параметра в группе повторно используемых параметров в качестве руководства. Перейдите по ссылке Дополнительные сведения для параметра, чтобы просмотреть сведения о параметре из источника содержимого параметров.
Совет
Тщательно присвойте имя каждой создаваемой повторно используемой группе, чтобы убедиться, что вы сможете определить ее позже. Это важно, так как каждая созданная повторно группа для любого типа политики отображается при добавлении повторно используемых групп в политику, даже если группа содержит параметры, которые обычно не применяются к настраиваемой политике. Например, если у вас есть группа с возможностью повторного использования, созданная для правил брандмауэра Windows, эта группа будет видна и может быть выбрана при добавлении повторно используемых групп в политики управления устройствами.
На странице Просмотр и добавление нажмите кнопку Добавить , чтобы сохранить группу повторно используемых параметров.
Изменение группы с возможностью повторного использования
При изменении конфигурации многократно используемых групп каждый профиль, использующий эту группу, автоматически обновляется, чтобы применить новую конфигурацию к устройствам.
Откройте центр администрирования Microsoft Intune, перейдите к политике, для которой требуется создать группу с возможностью повторного использования, а затем выберите вкладку Параметры повторного использования (предварительная версия).
Выберите группу повторно используемых параметров, которую вы хотите изменить. Откроется рабочий процесс конфигурации, похожий на рабочий процесс создания новой многократноиспользуемой группы.
На странице Основные сведения можно переименовать группу, а на странице Параметры конфигурации — перенастроить параметры. На последней странице нажмите кнопку Сохранить , чтобы сохранить конфигурацию и обновить профили, использующие группу параметров.
Добавление повторно используемых групп в профиль правила брандмауэра Windows
Добавьте многократно используемые группы параметров в профили при редактировании или создании профиля. На странице Параметры конфигурации профилей используйте параметр, поддерживающий добавление одной или нескольких ранее созданных групп.
Примечание.
Правила полного доменного имени для входящего трафика изначально не поддерживаются. Однако можно использовать скрипты предварительного восстановления для создания входящих IP-записей для правила. Дополнительные сведения см. в разделе Динамические ключевые слова брандмауэра Windows в документации по брандмауэру Windows.
В центре администрирования Microsoft Intune создайте новый профиль или выберите и измените существующий профиль.
На странице Параметры конфигурации выберите Добавить , чтобы добавить новое правило, или Изменить правило для управления ранее созданным правилом.
На панели Настройка экземпляра правила настройте действие , чтобы определить, как это правило управляет параметрами, такими как IP-адреса или полные доменные имена. Например, можно задать для параметра Действие значение разрешить или заблокировать. Эта конфигурация применяется как к параметрам, добавляемым непосредственно в это правило, так и к параметрам, которые находятся в каждой группе повторного использования, добавляемой в это правило.
Сохраните конфигурацию правила.
Для сохраненного правила выберите Задать повторно используемые параметры , чтобы открыть панель Выбор параметров повторного использования .
Выберите одну или несколько доступных групп, чтобы добавить их в это правило, а затем сохраните выбранные элементы.
После добавления повторно используемых групп в профиль сохраните конфигурацию. После сохранения Intune включает параметры из многократно используемых групп и развертывает профиль на устройствах на основе назначений профиля.
Добавление повторно используемых групп в профиль управления устройствами
Добавьте многократно используемые группы параметров в профили при редактировании или создании профиля. Многократно используемые группы для профилей управления устройствами поддерживают следующие типы параметров:
- Устройство принтера
- Съемный носитель
На странице Параметры конфигурации профилей используйте параметр, поддерживающий добавление одной или нескольких ранее созданных групп.
В центре администрирования Microsoft Intune создайте новый профиль или выберите и измените существующий профиль.
На странице Параметры конфигурации разверните категорию Управление устройствами и выберите Добавить , чтобы добавить новое правило, или Изменить запись для управления ранее созданным правилом.
- Выберите Добавить, чтобы добавить дополнительные правила.
- Выберите Изменить запись , чтобы открыть панель Настройка записи для дальнейшей настройки использования группы.
На панели Настройка записи присвойте записи имя, а затем настройте следующие параметры, а затем нажмите кнопку ОК , чтобы сохранить правило:
- Тип: определяет действие для групп съемных носителей. При возникновении конфликтов типа для одного и того же носителя применяется первый тип, определенный в политике.
- Параметры. Определяет, следует ли отображать уведомление для пользователя устройства. Доступные параметры зависят от выбранного типа.
- Маска доступа. Выберите один или несколько из вариантов Чтения, Записи, Выполнения.
- Sid: локальный идентификатор пользователя или группа sid пользователя или идентификатор sid объекта AD определяет, следует ли применять эту политику к конкретному пользователю или группе пользователей; Одна запись может иметь не более одного идентификатора безопасности, а запись без идентификатора sid означает, что она применяет политику на компьютере.
- Идентификатор компьютера. Идентификатор безопасности локального компьютера или группа sid компьютера или идентификатор sid объекта AD определяет, следует ли применять эту политику к определенному компьютеру или группе компьютеров; Одна запись может иметь не более одного ComputerSid, а запись без computerSid означает, что она применяет политику на компьютере. Если вы хотите применить запись к определенному пользователю и конкретному компьютеру, добавьте sid и ComputerSid в одну запись.
Дополнительные сведения об этих параметрах см. в следующих статьях документации по Microsoft Defender для конечной точки:
- Microsoft Defender для конечной точки съемных носителей управления устройствами контроль доступа в документации по Microsoft Defender для конечной точки.
- Общие сведения о защите принтера
Для сохраненного правила выберите Задать повторно используемые параметры для включенных идентификаторов и исключенных идентификаторов в соответствии со своими потребностями. Оба варианта открывают панель Выбор повторно используемых параметров .
Выберите одну или несколько доступных групп, чтобы добавить их в это правило, а затем сохраните выбранные элементы. Ниже показана конфигурация только с одной группой, выбранной для исключаемого идентификатора.
После добавления повторно используемых групп в профиль завершите настройку политики. После сохранения Intune включает параметры из многократно используемых групп и развертывает профиль на устройствах на основе назначений профиля. Для каждого профиля можно добавить не более 100 многократно используемых групп.
Если у вас есть лицензия E5, вы можете использовать Microsoft Defender для конечной точки для просмотра событий управления устройствами в отчете об управлении устройствами и расширенной охоте. См. раздел Защита данных организации с помощью управления устройствами | Документация Майкрософт в документации по Defender для конечной точки.
Использование повторно используемых групп для Диспетчера привилегий конечных точек
Сведения о поддержке повторно используемых групп для Endpoint Privilege Manager см. в разделе Политики для Endpoint Privilege Manager.
Сведения о конфликтах политик
Параметры устройства, которыми можно управлять с помощью групп параметров многократного использования, применяются Intune так же, как и параметры, непосредственно настроенные в профиле. Если конфликты или перекрытия вводятся параметрами из повторно используемых групп, можно использовать тот же процесс устранения неполадок, чтобы выявить и устранить эти конфликты.
Дополнительные сведения см. в руководстве, которое может быть специфично для используемых типов профилей. Общие рекомендации см. в разделах Устранение неполадок с политиками и профилями в Microsoft Intune и Распространенные вопросы и ответы с политиками и профилями устройств в Microsoft Intune.