Distribuera OMA-URIs för att rikta en CSP via Intune och en jämförelse med lokala

Den här artikeln beskriver betydelsen av Windows Configuration Service Providers (CSP:er), Open Mobile Alliance – Uniform Resources (OMA-URI:er) och hur anpassade principer levereras till en Windows 10-baserad enhet med Microsoft Intune.

Intune tillhandahåller ett bekvämt och lätthanterad gränssnitt för att konfigurera dessa principer. Alla inställningar är dock inte nödvändigtvis tillgängliga i Microsoft Intune administrationscenter. Även om många inställningar kan konfigureras på en Windows-enhet är det inte möjligt att ha alla i administrationscentret. När framsteg görs är det inte heller ovanligt att ha en viss fördröjning innan en ny inställning läggs till. I dessa scenarier är det svaret att distribuera en anpassad OMA-URI-profil som använder en Windows Configuration Service Provider (CSP).

CSP-omfång

CSP:er är ett gränssnitt som används av MDM-leverantörer (hantering av mobila enheter) för att läsa, ange, ändra och ta bort konfigurationsinställningar på enheten. Vanligtvis görs det via nycklar och värden i Windows-registret. CSP-principer har ett omfång som definierar på vilken nivå en princip kan konfigureras. Det liknar de principer som är tillgängliga i Microsoft Intune administrationscenter. Vissa principer kan bara konfigureras på enhetsnivå. Dessa principer gäller oavsett vem som är inloggad på enheten. Andra principer kan konfigureras på användarnivå. Dessa principer gäller endast för den användaren. Konfigurationsnivån styrs av plattformen, inte av MDM-providern. När du distribuerar en anpassad princip kan du titta här för att hitta omfånget för den CSP som du vill använda.

Csp-omfånget är viktigt eftersom det dikterar syntaxen för den OMA-URI-sträng som du bör använda. Till exempel:

Användaromfång

./User/Vendor/MSFT/Policy/Config/AreaName/PolicyName för att konfigurera principen. ./User/Vendor/MSFT/Policy/Result/AreaName/PolicyName för att få resultatet.

Enhetens omfång

./Device/Vendor/MSFT/Policy/Config/AreaName/PolicyName för att konfigurera principen. ./Device/Vendor/MSFT/Policy/Result/AreaName/PolicyName för att få resultatet.

OMA-URIs

OMA-URI är en sökväg till en specifik konfigurationsinställning som stöds av en CSP.

OMA-URI: Det är en sträng som representerar anpassad konfiguration för en Windows 10-baserad enhet. Syntaxen bestäms av CSP:erna på klienten. Du hittar information om varje CSP här.

En anpassad princip: Den innehåller OMA-URIs som ska distribueras. Den konfigureras i Intune.

Intune: När en anpassad princip har skapats och tilldelats till klientenheter blir Intune den leveransmekanism som skickar OMA-URIs till dessa Windows-klienter. Intune använder oma-DM-protokollet (Open Mobile Alliance Enhetshantering) för att göra detta. Det är en fördefinierad standard som använder XML-baserad SyncML för att skicka informationen till klienten.

CSP:er: När OMA-URIs når klienten läser CSP:en dem och konfigurerar Windows-plattformen därefter. Vanligtvis gör den detta genom att lägga till, läsa eller ändra registervärden.

Sammanfattnings: OMA-URI är nyttolasten, den anpassade principen är containern, Intune är leveransmekanismen för containern, OMA-DM är det protokoll som används för leverans och Windows CSP läser och tillämpar de inställningar som konfigureras i OMA-URI-nyttolasten.

Det här är samma process som används av Intune för att leverera de standardprinciper för enhetskonfiguration som redan är inbyggda i användargränssnittet. När OMA-URIs använder användargränssnittet för Intune döljs de bakom användarvänliga konfigurationsgränssnitt. Det gör processen enklare och mer intuitiv för administratören. Använd de inbyggda principinställningarna när det är möjligt och använd endast anpassade OMA-URI-principer för alternativ som annars inte är tillgängliga.

Om du vill demonstrera den här processen kan du använda en inbyggd princip för att ange låsskärmsbilden på en enhet. Du kan också distribuera en OMA-URI och rikta in dig på relevant CSP. Båda metoderna uppnår samma resultat.

OMA-URIs från administrationscentret för Microsoft Intune

Använda en anpassad princip

Samma inställning kan anges direkt med hjälp av följande OMA-URI:

./Vendor/MSFT/Policy/Config/DeviceLock/EnforceLockScreenAndLogonImage

Den finns dokumenterad i CsP-referensen för Windows. När du har fastställt OMA-URI skapar du en anpassad princip för den.

Oavsett vilken metod du använder är slutresultatet identiskt.

Här är ett annat exempel som använder BitLocker.

Använda en anpassad princip från Microsoft Intune administrationscenter

Använda en anpassad princip

Relatera anpassade OMA-URIs till den lokala världen

Du kan använda dina befintliga grupprincip inställningar som referens när du skapar din MDM-principkonfiguration. Om din organisation vill flytta till MDM för att hantera enheter rekommenderar vi att du förbereder genom att analysera de aktuella grupprincip inställningarna för att se vad som krävs för att övergå till MDM-hantering.

MDM Migration Analysis Tool (MMAT) avgör vilka grupprinciper som har angetts för en riktad användare eller dator. Sedan genererar den en rapport som visar stödnivån för varje principinställning i MDM-motsvarigheter.

Aspekter av din grupprincip före och efter migreringen till molnet

I följande tabell visas de olika aspekterna av din grupprincip både före och efter att du migrerat till molnet med hjälp av MMAT.

Lokalt	Moln
Grupprincip	MDM
Domänkontrollanter	MDM-server (Intune tjänst)
Sysvol-mapp	Intune databas/MSU:er
Tillägg på klientsidan för att bearbeta grupprincipobjekt	CSP:er för att bearbeta MDM-principen
SMB-protokoll som används för kommunikation	HTTPS-protokoll som används för kommunikation
.pol | .ini fil (det är vanligtvis indata)	SyncML är indata för enheterna

Viktig information om principbeteende

Om principen ändras på MDM-servern skickas den uppdaterade principen till enheten och inställningen konfigureras till det nya värdet. Men om du tar bort tilldelningen av principen från användaren eller enheten kanske du inte återställer inställningen till standardvärdet. Det finns några profiler som tas bort när tilldelningen har tagits bort eller profilen har tagits bort, till exempel Wi-Fi profiler, VPN-profiler, certifikatprofiler och e-postprofiler. Eftersom det här beteendet styrs av varje CSP bör du försöka förstå CSP:ns beteende för att hantera inställningarna korrekt. Mer information finns i Windows CSP-referens.

Sätt ihop allt

Om du vill distribuera en anpassad OMA-URI för att rikta en CSP på en Windows-enhet skapar du en anpassad princip. Principen måste innehålla sökvägen till OMA-URI-sökvägen tillsammans med det värde som du vill ändra i CSP (aktivera, inaktivera, ändra eller ta bort).

När principen har skapats tilldelar du den till en säkerhetsgrupp så att den börjar gälla.

Felsökning

När du felsöker anpassade principer ser du att de flesta problem passar in i följande kategorier:

• Den anpassade principen nådde inte klientenheten.
• Den anpassade principen nådde klientenheten, men det förväntade beteendet observeras inte.

Om du har en princip som inte fungerar som förväntat kontrollerar du om principen ens har nått klienten. Det finns två loggar att kontrollera för att verifiera leveransen.

MDM-diagnostikloggar

Windows-händelseloggen

Båda loggarna ska innehålla en referens till den anpassade princip- eller OMA-URI-inställningen som du försöker distribuera. Om du inte ser den här referensen är det troligt att principen inte levererades till enheten. Kontrollera att principen är korrekt konfigurerad och att den är riktad till rätt grupp.

Om du kontrollerar att principen når klienten kontrollerar du DeviceManagement-Enterprise-Diagnostics-Provider > Admin Event log om det finns fel på klienten. Du kan se en felpost som innehåller ytterligare information om varför principen inte tillämpades. Orsakerna varierar, men det finns ofta ett problem i syntaxen för oma-URI-strängen som konfigureras i den anpassade principen. Dubbelkolla CSP-referensen och kontrollera att syntaxen är korrekt.