Dela via


Skapa en enhetsprofil i Microsoft Intune

Med enhetsprofiler kan du lägga till och konfigurera inställningar och sedan skicka de här inställningarna till enheter i din organisation. Du har några alternativ när du skapar principer:

  • Administrativa mallar: På Windows 10/11-enheter är dessa mallar ADMX-inställningar som du konfigurerar. Om du är bekant med ADMX-principer eller grupprincipobjekt (GPO) är det naturligt att använda administrativa mallar i Microsoft Intune.

    Mer information finns i Administrativa mallar

  • Baslinjer: På Windows 10/11-enheter innehåller dessa baslinjer förkonfigurerade säkerhetsinställningar. Om du vill skapa en säkerhetsprincip med hjälp av rekommendationer från Microsofts säkerhetsteam är säkerhetsbaslinjerna till för dig.

    Mer information finns i Hantera plugin-program i Microsoft Security Copilot.

  • Inställningskatalog: På dina Apple- och Windows-enheter kan du använda inställningskatalogen för att konfigurera enhetsfunktioner och inställningar. Inställningskatalogen har alla tillgängliga inställningar och på en plats. Du kan till exempel se alla inställningar som gäller för BitLocker och skapa en princip som bara fokuserar på BitLocker. På macOS-enheter använder du inställningskatalogen för att konfigurera Microsoft Edge version 77 och inställningar.

    Mer information finns i Inställningskatalog.

  • Mallar: På Android-, iOS/iPadOS-, macOS- och Windows-enheter innehåller mallarna en logisk gruppering av inställningar som konfigurerar en funktion eller ett koncept, till exempel VPN, e-post, kioskenheter med mera. Om du är bekant med att skapa enhetskonfigurationsprinciper i Microsoft Intune använder du redan dessa mallar.

    Mer information, inklusive tillgängliga mallar, finns i Tillämpa funktioner och inställningar på dina enheter med enhetsprofiler.

Den här artikeln:

  • Visar stegen för att skapa en profil.
  • Visar hur du lägger till en omfångstagg för att "filtrera" dina principer.
  • Beskriver tillämplighetsregler på Windows-klientenheter och visar hur du skapar en regel.
  • Innehåller mer information om uppdateringstiderna för incheckning när enheter tar emot profiler och eventuella profiluppdateringar.

Den här funktionen gäller för:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows

Skapa profilen

Profiler skapas i administrationscentret för Microsoft Intune. I det här administrationscentret väljer du Enheter. Du har även följande alternativ:

Skärmbild som visar hur du väljer Enheter för att se vad du kan konfigurera och hantera i Microsoft Intune.

  • Översikt: Visar status för dina profiler och innehåller mer information om de profiler som du har tilldelat till användare och enheter.
  • Övervaka: Kontrollera statusen för dina profiler för lyckade eller misslyckade och visa även loggar på dina profiler.
  • Efter plattform: Skapa och visa principer och profiler efter din plattform. Den här vyn kan också visa funktioner som är specifika för plattformen. Välj till exempel Windows 10 och senare. Du ser Windows-specifika funktioner, till exempel Windows Update Rings och PowerShell-skript.
  • Hantera enheter: Skapa enhetsprofiler, ladda upp anpassade PowerShell-skript som ska köras på enheter och lägga till dataplaner på enheter med eSIM.

När du skapar en profil (Enheter>Hantera enheter>Konfiguration>Skapa) väljer du din plattform:

  • Android-enhetsadministratör
  • Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 10 och senare
  • Windows 8.1 och senare

Välj sedan profilen. Beroende på vilken plattform du väljer är inställningarna du kan konfigurera olika. I följande artiklar beskrivs de olika profilerna:

Om du till exempel väljer Android Enterprise som plattform ser alternativen ut ungefär som i följande profil:

Skärmbild som visar hur du skapar en konfigurationsprincip och profil för iOS/iPadOS-enheter i Microsoft Intune.

Om du väljer Windows 10 och senare för plattformen ser alternativen ut ungefär som i följande profil:

Skärmbild som visar hur du skapar en konfigurationsprincip och profil för Windows-enheter i Microsoft Intune.

Omfattningstaggar

När du har lagt till inställningarna kan du även lägga till en omfångstagg i profilen. Under Omfångstaggar (valfritt), tilldelar du en tagg för att filtrera profilen till specifika IT-grupper, till exempel US-NC IT Team eller JohnGlenn_ITDepartment. Och används i distribuerad IT.

Mer information om omfångstaggar och vad du kan göra finns i Använda RBAC och omfångstaggar för distribuerad IT.

Tillämplighetsregler

Gäller för:

  • Windows 11
  • Windows 10

Med tillämplighetsregler kan administratörer rikta in sig på enheter i en grupp som uppfyller specifika kriterier. Du kan till exempel skapa en profil för enhetsbegränsningar som gäller för gruppen Alla Windows 10/11-enheter . Och du vill bara att profilen ska tilldelas till enheter som kör Windows Enterprise.

Skapa en tillämplighetsregel för att utföra den här uppgiften. Dessa regler är bra för följande scenarier:

  • Du använder Windows 10 Education (EDU). På Bellows College vill du rikta in dig på alla Windows 10 EDU-enheter mellan RS3 och RS4.
  • Du vill rikta in dig på alla användare i Personalfrågor på Contoso, men vill bara ha Windows 10 Professional- eller Enterprise-enheter.

För att hantera de här scenarierna gör du följande:

  • Skapa en enhetsgrupp som innehåller alla enheter på Bellows College. I profilen lägger du till en tillämplighetsregel så att den gäller om operativsystemets lägsta version är 16299 och den högsta versionen är 17134. Tilldela den här profilen till gruppen Bellows College-enheter.

    När profilen har tilldelats gäller den enheter mellan de lägsta och högsta versioner som du anger. För enheter som inte är mellan de lägsta och högsta versioner som du anger visas deras status som Inte tillämplig.

  • Skapa en användargrupp som innehåller alla användare i Personalfrågor (HR) på Contoso. I profilen lägger du till en tillämplighetsregel så att den gäller för enheter som kör Windows 10 Professional eller Enterprise. Tilldela den här profilen till gruppen HR-användare.

    När profilen har tilldelats gäller den för enheter som kör Windows 10 Professional eller Enterprise. För enheter som inte kör dessa utgåvor visas deras status som Inte tillämpligt.

  • Om det finns två profiler med exakt samma inställningar tillämpas profilen utan en tillämplighetsregel.

    ProfileA riktar sig till exempel mot gruppen Windows 10-enheter, aktiverar BitLocker och har ingen tillämplighetsregel. ProfileB riktar sig till samma Windows 10-enhetsgrupp, aktiverar BitLocker och har en tillämplighetsregel för att endast tillämpa profilen på Windows 10 Enterprise.

    När båda profilerna har tilldelats tillämpas ProfileA eftersom det inte har någon tillämplighetsregel.

När du tilldelar profilen till grupperna fungerar tillämplighetsreglerna som ett filter och riktar sig endast till de enheter som uppfyller dina kriterier.

Lägg till en regel

  1. I principen väljer du Tillämplighetsregler. Du kan välja regel och egenskap:

    Skärmbild som visar hur du lägger till en tillämplighetsregel i en Windows 10-enhetskonfigurationsprofil i Microsoft Intune.

  2. I Regel väljer du om du vill inkludera eller exkludera användare eller grupper. Dina alternativ:

    • Tilldela profil om: Innehåller användare eller grupper som uppfyller de kriterier som du anger.
    • Tilldela inte profil om: Exkluderar användare eller grupper som uppfyller de villkor som du anger.
  3. I Egenskap väljer du ditt filter. Dina alternativ:

    • OS-utgåva: I listan kontrollerar du de Windows-klientversioner som du vill inkludera (eller exkludera) i regeln.

    • OS-version: Ange det lägsta och högsta antalet Windows-klientversioner som du vill inkludera (eller exkludera) i regeln. Båda värdena krävs.

      Du kan till exempel ange 10.0.16299.0 (RS3 eller 1709) för lägsta version och 10.0.17134.0 (RS4 eller 1803) som högsta version. Eller så kan du vara mer detaljerad och ange 10.0.16299.001 för lägsta version och 10.0.17134.319 för högsta version.

      Om du vill ha fler versionsnummer går du till Windows-klientversionsinformation.

  4. Välj Lägg till för att spara dina ändringar.

Tid för principuppdateringscykel

Intune använder olika uppdateringscykler för att söka efter uppdateringar av konfigurationsprofiler. Om enheten nyligen har registrerats körs incheckningen oftare. Princip- och profiluppdateringscykler visar de uppskattade uppdateringstiderna.

När som helst kan användarna öppna företagsportalappen och synkronisera enheten för att omedelbart söka efter profiluppdateringar.

Rekommendationer

Tänk på följande rekommendationer när du skapar profiler:

  • Namnge dina principer så att du vet vad de är och vad de gör. Alla efterlevnadsprinciper och konfigurationsprofiler har en valfri beskrivningsegenskap. I Beskrivning ska du vara specifik och inkludera information så att andra vet vad principen gör.

    Några exempel på konfigurationsprofiler är:

    Profilnamn: Administratörsmall – OneDrive-konfigurationsprofil för alla Windows 10-användare
    Profilbeskrivning: Profil för OneDrive-administratörsmall som innehåller de lägsta och grundläggande inställningarna för alla Windows 10-användare. Skapad av user@contoso.com för att förhindra användare från att dela organisationsdata till personliga OneDrive-konton.

    Profilnamn: VPN-profil för alla iOS/iPadOS-användare
    Profilbeskrivning: VPN-profil som innehåller de lägsta och grundläggande inställningarna för alla iOS/iPadOS-användare att ansluta till Contoso VPN. Skapad av user@contoso.com så att användarna automatiskt autentiserar till VPN, i stället för att uppmana användarna att ange sitt användarnamn och lösenord.

  • Skapa din profil efter dess uppgift, till exempel konfigurera Microsoft Edge-inställningar, aktivera antivirusinställningar för Microsoft Defender, blockera jailbrokade iOS/iPadOS-enheter och så vidare.

  • Skapa profiler som gäller för specifika grupper, till exempel marknadsföring, försäljning, IT-administratörer eller efter plats eller skolsystem. Använd de inbyggda funktionerna, inklusive:

  • Separera användarprinciper från enhetsprinciper.

    Administrativa mallar i Intune har till exempel tusentals ADMX-inställningar. Dessa mallar visar om en inställning gäller för användare eller enheter. När du skapar administratörsmallar tilldelar du användarinställningarna till en användargrupp och tilldelar enhetsinställningarna till en enhetsgrupp.

    Följande bild visar ett exempel på en inställning som kan gälla för användare, tillämpas på enheter eller tillämpas på båda:

    Skärmbild som visar en Intune-administratörsmall som gäller för användare och enheter i Microsoft Intune.

  • Använd Microsoft Copilot i Intune för att utvärdera dina principer, lära dig mer om en principinställning och dess inverkan på dina användare och säkerhet samt jämföra principer mellan två enheter.

    Mer information finns i Microsoft Copilot i Intune.

  • Varje gång du skapar en restriktiv princip meddelar du användarna den här ändringen. Om du till exempel ändrar lösenordskravet från fyra (4) tecken till sex (6) tecken meddelar du användarna innan du tilldelar principen.

Nästa steg

Tilldela sedan profilen och övervaka dess status.