Använda återanvändbara grupper av inställningar med Intune principer
Den här funktionen är i offentlig förhandsversion.
Intune stöder återanvändbara inställningsgrupper som du kan lägga till i konfigurationsprinciper och profiler för att förenkla hanteringen av vanliga inställningar. Ett bra tillfälle att använda återanvändbara grupper är när du behöver använda inställningarna med samma konfiguration i mer än en enda profil.
När du redigerar inställningarna i en återanvändbar grupp gäller de ändringar som du gör automatiskt för varje profil som innehåller gruppen. När du sparar ändringarna i den återanvändbara inställningsgruppen uppdaterar Intune profilerna med de nya konfigurationerna och distribuerar den uppdaterade profilen till enheter baserat på profilens tilldelningar.
Följande profiler stöder återanvändbara grupper:
- Enhetskontroll, tillgänglig via policyn Minskning av attackytan med slutpunktssäkerhet.
- Windows-brandväggsregler, som är tillgängliga via brandväggsprincipen för slutpunktssäkerhet.
Översikt över återanvändbara inställningsgrupper
Varje återanvändbar inställningsgrupp är ett enda objekt som kan innehålla flera inställningar. När du har konfigurerat en eller flera återanvändbara grupper för användning med en viss profiltyp skapar eller redigerar du en profil för att lägga till grupperna. Profiler kan ha stöd för flera grupper.
Om du vill hantera grupper med återanvändbara inställningar använder du fliken Återanvändbara inställningar som är associerad med den princip och de profiler som du vill använda en grupp med i Microsoft Intune administrationscenter. På fliken kan du skapa en grupp, redigera inställningarna i en grupp och visa antalet principer som ärver inställningar från varje grupp. Varje återanvändbar inställningsgrupp används endast med dess relaterade profiltyp.
Följande bild visar till exempel fliken Återanvändbara inställningar som du använder för att hantera återanvändbara grupper för profilen Brandväggsregler för Windows-brandväggen:
När du har skapat återanvändbara grupper använder du ett alternativ på sidan Konfigurationsinställningar för profiler för att lägga till grupper i profilen. Profiler som innehåller en eller flera återanvändbara grupper använder varje inställning från varje inkluderad grupp som om inställningarna konfigurerades direkt i profilen.
Förhandskrav
Följande profiler stöder användning av återanvändbara inställningsgrupper:
Säkerhetsprinciper för slutpunkt
Brandvägg>Windows-brandväggsregler:
- Plattformar: Windows
- Windows-versioner: Enheter måste köras Windows 10 20H2 eller senare, eller Windows 11
Minskning av> attackytanEnhetskontroll:
- Plattformar: Windows
Hantering av slutpunktsprivilegier
- Princip för Utökade windows-regler
Obs!
Återanvändbara inställningsgrupper stöds för närvarande inte för användning med Säkerhetshantering för Microsoft Defender för Endpoint.
Skapa en återanvändbar grupp
Varje återanvändbar inställningsgrupp innehåller en delmängd av inställningarna från den fullständiga profil som du skapar gruppen för. Använd följande länkar för att visa de inställningar som du kan konfigurera i en inställningsgrupp för varje profil:
Så här skapar du en återanvändbar inställningsgrupp:
Öppna Microsoft Intune administrationscenter, navigera till principen som du vill skapa en återanvändbar grupp för och välj sedan fliken Återanvändbara inställningar (förhandsversion).
Välj Lägg till för att öppna arbetsflödet Konfigurera återanvändbara inställningar (förhandsversion).
På sidan Grundläggande konfigurerar du ett namn. Beskrivningen är valfri.
På sidan Konfigurationsinställningar väljer du Lägg till och konfigurerar sedan inställningar för den här gruppen som om du konfigurerar inställningar direkt i profilen som stöds.
När du väljer Lägg till för Enhetskontroll måste du sedan välja vilken typ av gruppinställningar som ska konfigureras och sedan välja Redigera instans för att fortsätta. Om du lägger till fler än en instans granskar du matchningstypkonfigurationen för gruppen.
Det finns en gräns på 100 instanser per grupp. Använd informationstexten i administrationscentret för varje inställning i gruppen för återanvändbara inställningar som vägledning. Följ länken Läs mer för en inställning om du vill visa information om inställningen från innehållskällan för inställningarna.
Tips
Namnge noggrant varje återanvändbar grupp som du skapar för att se till att du kan identifiera den senare. Det här är viktigt eftersom varje återanvändbar grupp som du skapar för alla principtyper visas när du lägger till återanvändbara grupper i en princip, även om gruppen innehåller inställningar som normalt inte gäller för den princip som du konfigurerar. Om du till exempel har skapat en återanvändbar grupp för Windows-brandväggsregler visas den gruppen och kan väljas när du lägger till återanvändbara grupper i principer för enhetskontroll.
På sidan Granska + lägg till väljer du Lägg till för att spara den återanvändbara inställningsgruppen.
Ändra en återanvändbar grupp
När du redigerar konfigurationen av en återanvändbar grupp uppdateras varje profil som använder den gruppen automatiskt för att tillämpa den nya konfigurationen på enheter.
Öppna Microsoft Intune administrationscenter, navigera till principen som du vill skapa en återanvändbar grupp för och välj sedan fliken Återanvändbara inställningar (förhandsversion).
Välj den återanvändbara inställningsgrupp som du vill redigera. Då öppnas det konfigurationsarbetsflöde som liknar arbetsflödet för att skapa en ny återanvändbar grupp.
På sidan Grundläggande kan du byta namn på gruppen och på sidan Konfigurationsinställningar kan du konfigurera om inställningarna. På den sista sidan väljer du Spara för att spara konfigurationen och uppdatera profilerna som använder inställningsgruppen.
Lägga till återanvändbara grupper i en windows-brandväggsregelprofil
Lägg till återanvändbara inställningsgrupper i profiler när du redigerar eller skapar profilen. På sidan Konfigurationsinställningar för profiler använder du ett alternativ som stöder tillägg av en eller flera grupper som skapats tidigare.
Obs!
Inkommande FQDN-regler stöds inte internt. Det är dock möjligt att använda skript före hydrering för att generera inkommande IP-poster för regeln. Mer information finns i Dynamiska nyckelord för Windows-brandväggen i dokumentationen för Windows-brandväggen.
I Microsoft Intune administrationscenter skapar du en ny profil eller väljer och redigerar en befintlig profil.
På sidan Konfigurationsinställningar väljer du Lägg till för att lägga till en ny regel eller Redigera regel för att hantera en tidigare skapad regel.
I fönstret Konfigurera instans för regeln konfigurerar du Åtgärd för att avgöra hur den här regeln hanterar inställningar som IP-adresser eller FQDN. Du kan till exempel ange Åtgärd att tillåta eller blockera. Den här konfigurationen gäller både de inställningar som du lägger till direkt i den här regeln och de inställningar som finns i varje återanvändbar grupp som läggs till i den här regeln.
Spara regelkonfigurationen.
För regeln som du sparade väljer du Ange återanvändbara inställningar för att öppna fönstret Välj återanvändbara inställningar .
Välj en eller flera av de tillgängliga grupperna för att lägga till dem i den här regeln och spara sedan dina val.
När du har lagt till återanvändbara grupper i en profil sparar du konfigurationen. När den sparas innehåller Intune inställningarna från de återanvändbara grupperna och distribuerar profilen till enheter baserat på profilens tilldelningar.
Lägga till återanvändbara grupper i en profil för enhetskontroll
Lägg till återanvändbara inställningsgrupper i profiler när du redigerar eller skapar profilen. Återanvändbara grupper för enhetskontrollprofiler stöder följande typer av inställningar:
- Skrivarenhet
- Flyttbar lagring
På sidan Konfigurationsinställningar för profiler använder du ett alternativ som stöder tillägg av en eller flera grupper som skapats tidigare.
I Microsoft Intune administrationscenter skapar du en ny profil eller väljer och redigerar en befintlig profil.
På sidan Konfigurationsinställningar expanderar du kategorin Enhetskontroll och väljer Lägg till för att lägga till en ny regel eller Redigera post för att hantera en tidigare skapad regel.
- Välj Lägg till för att lägga till fler regler.
- Välj Redigera post för att öppna fönstret Konfigurera post för att ytterligare konfigurera användningen av gruppen.
I fönstret Konfigurera post ger du posten ett Namn och konfigurerar sedan följande och väljer sedan OK för att spara regeln:
- Typ: Definierar åtgärden för de flyttbara lagringsgrupperna. När det finns konflikter för Typ för samma media tillämpas den första typen som definieras i principen.
- Alternativ: Definierar om ett meddelande ska visas för enhetsanvändaren. Vilka alternativ som är tillgängliga beror på vilken typ som har valts.
- Åtkomstmask: Välj en eller flera från Läsa, Skriva, Kör.
- Sid: Den lokala användaren Sid eller användar-Sid-gruppen eller sid för AD-objektet definierar om den här principen ska tillämpas på en specifik användare eller användargrupp. en post kan ha högst ett Sid och en post utan sid innebär att den tillämpar principen över datorn.
- Dator-Sid: Den lokala datorn Sid eller dator sid grupp eller sid för AD-objektet, definierar om du vill tillämpa den här principen över en specifik dator eller datorgrupp; en post kan ha högst en ComputerSid och en post utan ComputerSid innebär att den tillämpar principen över datorn. Om du vill använda en post för en specifik användare och en specifik dator lägger du till både Sid och ComputerSid i samma post.
Mer information om dessa alternativ finns i följande artiklar i Microsoft Defender för Endpoint-dokumentationen:
- Microsoft Defender för Endpoint Access Control flyttbara lagringsenheter i dokumentationen för Microsoft Defender för Endpoint.
- Översikt över skrivarskydd
För den regel som du sparade väljer du Ange återanvändbara inställningar för inkluderat ID och exkluderat ID för att uppfylla dina behov. Båda valen öppnar fönstret Välj återanvändbara inställningar .
Välj en eller flera av de tillgängliga grupperna för att lägga till dem i den här regeln och spara sedan dina val. Följande visar en konfiguration där endast en grupp har valts för Exkluderat ID:
När du har lagt till återanvändbara grupper i en profil slutför du principkonfigurationen. När den sparas innehåller Intune inställningarna från de återanvändbara grupperna och distribuerar profilen till enheter baserat på profilens tilldelningar. Högst 100 återanvändbara grupper kan läggas till per profil.
Om du har en E5-licens kan du använda Microsoft Defender för Endpoint för att visa enhetskontrollhändelser under rapporten Enhetskontroll och Avancerad jakt. Se Skydda organisationens data med enhetskontroll | Microsoft Docs i dokumentationen för Defender för Endpoint.
Använda återanvändbara grupper för Endpoint Privilege Manager
Information om stöd för användning av återanvändbara grupper för Endpoint Privilege Manager finns i Principer för Endpoint Privilege Manager
Om principkonflikter
Enhetsinställningarna som du kan hantera via återanvändbara inställningsgrupper tillämpas av Intune på samma sätt som inställningar som är direkt konfigurerade i en profil. Om konflikter eller överlappningar introduceras av inställningar från dina återanvändbara grupper kan du använda samma felsökningsprocess för att identifiera och lösa dessa konflikter.
Mer information finns i vägledningen som kan vara specifik för de profiltyper som du använder. Allmän vägledning finns i Felsöka principer och profiler i Microsoft Intune och Vanliga frågor och svar med enhetsprinciper och profiler i Microsoft Intune.