对 Microsoft Intune 中使用设备配置文件的设备应用功能和设置
Microsoft Intune 包含可在组织中的不同设备上启用或禁用的设置和功能。 这些设置和功能将添加到 配置文件中。
使用配置文件配置设备功能时,可以帮助最终用户更快地在其设备上提高工作效率。
可以为不同的设备和不同平台(包括 Android、iOS/iPadOS、macOS 和 Windows)创建配置文件。 有一些配置设置是每个平台唯一的。 每个平台都有许多设备配置文件也很常见,从防病毒设置到自定义设置不等。
配置文件准备就绪后,可以使用Intune将配置文件应用或“分配”到用户组或设备组。
重要
Microsoft Intune已于 2024 年 12 月 31 日终止对有权访问 Google 移动服务 (GMS) 的设备上的 Android 设备管理员管理支持。 在此日期之后,设备注册、技术支持、bug 修复和安全修复将不可用。 如果当前使用设备管理员管理,建议在支持结束之前切换到 Intune 中的另一个 Android 管理选项。 有关详细信息,请参阅 在 GMS 设备上结束对 Android 设备管理员的支持。
作为移动设备管理 (MDM) 解决方案的一部分,使用这些配置文件来完成不同的任务。 某些配置文件示例包括:
- 允许或阻止访问设备上的蓝牙。
- 创建 WiFi 或 VPN 配置文件,让不同设备访问公司网络。
- 管理软件更新,包括何时安装它们。
- 将 Android 设备作为专用的展台设备运行,该设备可以运行一个或多个应用。
- 在 iOS/iPadOS 和 macOS 设备上,允许用户使用组织中的 AirPrint 打印机。
提示
如果使用 Microsoft Configuration Manager 管理本地设备,则可以使用共同管理来云附加本地设备。 通过共同管理,可以使用Configuration Manager和Microsoft Intune管理 Windows 客户端设备。
可以根据当前Configuration Manager中的策略,在Intune中创建所需的设备配置文件和策略。 有关共同管理的详细信息,请转到了解使用Microsoft Configuration Manager共同管理。 有关相关信息,请参阅准备 Intune 进行共同管理。
使用模板或设置目录
在 Intune,对于大多数平台,创建设备配置文件时,有两种策略类型:模板或设置目录。
设置目录列出了可以配置的所有设置,所有设置都位于一个位置。 模板包括配置功能或概念(如电子邮件、展台设备和设备固件)的设置的逻辑分组。
Intune具有许多模板,其中包括侧重于设备管理不同部分的设置组,包括访问资源 (VPN、Wi-Fi) 、安全 (防病毒、防火墙、证书) ,以及组策略对象 (ADMX 管理模板) 。
可以创建所有设备都必须具有的配置文件的基线,也可以根据组织需求和安全级别配置特定功能。 有关详细信息,请转到 Microsoft Intune 中的保护和配置级别。
本文概述了可创建的不同类型的配置文件。 使用这些配置文件来允许或阻止设备上的某些功能。
管理模板和组策略
管理模板包括数百个设置,你可以为 Internet Explorer、Microsoft Edge、OneDrive、远程桌面、Word、Excel 和其他 Office 应用配置这些设置。 这些模板为管理员提供了类似于组策略的简化设置视图,并且它们是完全基于云的。
组策略分析分析本地 GPO。 它是一种工具,可帮助你确定 GPO 在云中的转换方式。 输出显示任何已弃用的设置,以及 (或不可用) MDM 提供程序的设置,包括Microsoft Intune。
此功能支持:
- Windows 11
- Windows 10
证书
使用 Intune 中的证书对用户进行身份验证,以便他们可以通过 VPN、Wi-Fi 或电子邮件配置文件访问应用程序和公司资源。 使用证书对这些连接进行身份验证时,最终用户无需输入用户名和密码。
证书还用于使用 S/MIME 对电子邮件进行签名和加密。 Intune 中使用的常见证书类型包括受信任的根证书、简单证书注册协议 (SCEP) 证书和公钥加密标准 (PKCS) 证书。
此功能支持:
- Android 设备管理员
- Android (AOSP)
- Android Enterprise
- iOS/iPadOS
- macOS
- Windows 11
- Windows 10
- Windows 8.1
自定义配置文件
自定义设置可让管理员分配未在 Intune 中内置的设备设置。 对于 Android 设备,可以输入 OMA-URI 值。 对于 iOS/iPadOS 设备,则可以导入在 Apple Configurator 中创建的配置文件。
此功能支持:
- Android 设备管理员
- Android Enterprise
- iOS/iPadOS
- macOS
- Windows 11
- Windows 10
传递优化
传递优化提供了更好的传递软件更新体验。 这些设置将替换“软件更新”>“Windows 10 更新通道”设置。
使用这些设置来控制如何将软件更新下载到组织中的设备。 例如,可以允许用户获取其自己的更新,或使用设备配置文件中的传递优化云服务获取更新。
此功能支持:
- Windows 11
- Windows 10
派生凭据
如果组织使用智能卡进行身份验证、签名或加密,则可以使用 派生凭据。 在 Intune 中,可以配置和部署派生自用户的智能卡的证书。 派生凭据通常用于 Wi-Fi & VPN 连接、应用 & 电子邮件身份验证或 S/MIME 签名 & 加密。
Intune支持多个派生凭据颁发者。 每个平台也有其自己的设置集。
此功能支持:
- Android Enterprise
- iOS/iPadOS
设备功能
设备功能控制 iOS/iPadOS 和 macOS 设备上的功能,例如 AirPrint、通知和锁屏消息。
此功能支持:
- iOS/iPadOS
- macOS
BIOS 配置和 DFCI
使用 BIOS 配置,管理员可以对 BIOS 的访问进行密码保护,并使用 OEM 工具创建配置文件,以及所需的 BIOS 设置。 然后,将此配置文件添加到Intune策略。
设备固件配置接口 (DFCI) 允许管理员使用 Intune 启用或禁用 UEFI (BIOS) 设置。 使用这些设置增强固件级别的安全性,这样通常可以更好地抵抗恶意攻击。
此功能支持:
- Windows 11
- Windows 10
设备限制
设备限制控制设备上的安全性、硬件、数据共享,以及更多设置。 例如,创建一个可阻止 iOS/iPadOS 设备用户使用设备相机的设备限制配置文件。
还有一些设置用于管理对应用商店的访问、限制用户在非托管应用中查看公司文档、需要密码才能解锁设备或要求设备仅使用特定 Wi-Fi 网络。
此功能支持:
- Android 设备管理员
- Android (AOSP)
- Android Enterprise
- iOS/iPadOS
- macOS
- Windows 11
- Windows 10
- Windows 10 协同版
域加入
域加入配置本地 Active Directory 域信息。 使用 Windows Autopilot 和 Intune 进行预配时,此信息将部署到Microsoft Entra混合联接的设备。 此配置文件告诉设备要加入的域和 OU。
此功能支持:
- Windows 11
- Windows 10
版本升级和模式切换
Windows 10/11 版本升级会自动将运行某些版本的 Windows 客户端的设备升级到较新的版本。
此功能支持:
- Windows 11
- Windows 10
教育
教育设置 - Windows 10 配置针对 Windows 参加测验应用的选项。 配置这些选项后,在测试完成之前,无法在设备上运行其他应用。
教育设置 - iOS/iPadOS 使用 iOS/iPadOS Classroom 应用来指导学习,并控制课堂中的学生设备。 可以将 iPad 设备配置为多名学生可以共享一台设备。
电子邮件
电子邮件设置创建、分配和监视设备上的 Exchange ActiveSync 电子邮件设置。 邮件配置文件可帮助确保一致性、减少支持呼叫,并让最终用户能够在不进行任何所需设置的情况下在其个人设备上访问公司电子邮件。
此功能支持:
- Android 设备管理员
- Android Enterprise
- iOS/iPadOS
- Windows 11
- Windows 10
终结点保护
重要
此模板在 2024 年 8 月服务版本 (2408) 中已弃用。 现有策略将继续工作。 但是,不能使用此模板创建新策略。
相反,使用设置目录创建新策略,以配置 FileVault、防火墙和系统策略控制 (Gatekeeper) 有效负载。 若要了解详细信息,请转到 macOS 设置目录。
Endpoint protection 为 Windows 客户端设备配置 BitLocker 和 Microsoft Defender 设置。 在 macOS 设备上,还可以配置防火墙、网关和其他资源。
若要使用 Microsoft Intune 载入 Microsoft Defender for Endpoint,请参阅使用移动设备管理 (MDM) 工具配置终结点。
此功能支持:
- macOS
- Windows 11
- Windows 10
eSIM 手机网络
eSIM 手机网络配置文件可让管理员在受管理设备上配置手机网络流量套餐以进行 Internet 和数据访问。 从移动运营商处获取激活码后,使用 Intune 导入这些激活码,然后分配给支持 eSIM 的设备。
此功能支持:
- Windows 11
- Windows 10 Fall Creators Update 及更高版本
扩展
重要
此模板在 2024 年 8 月服务版本 (2408) 中已弃用。 现有策略将继续工作。 但是,不能使用此模板创建新策略。
请改用设置目录来创建配置系统扩展有效负载的新策略。 若要了解详细信息,请转到 macOS 设置目录。
macOS 系统扩展和内核扩展都允许管理员添加可扩展操作系统本机功能的功能或程序。 配置这些设置以信任来自特定开发人员或合作伙伴的所有扩展,或允许使用特定扩展。
此功能支持:
- macOS
Kiosk
展台设置配置文件可将设备配置为运行一个应用,或运行多个应用。 还可以自定义展台上的其他功能,包括“开始”菜单和 Web 浏览器。
此功能支持:
- Windows 11(仅限单个应用展台)
- Windows 10
展台设置也可用作适用于 Android、Android Enterprise 和 iOS/iPadOS 的设备限制。
MX 配置文件 (Zebra)
移动性扩展 (MX) 阐述了内置 Intune 设置,这些设置可用于自定义或添加更多特定于 Zebra 设备的设置。 Zebra 设备通常用于工厂车间和零售环境。 如果你有数百或数千台 Zebra 设备,则可以使用 Intune 来配置和管理这些设备。
此功能支持:
- Android 设备管理员
Microsoft Defender for Endpoint
Microsoft Defender for Endpoint 与 Intune 集成以监视和保护设备。 设置风险级别,并确定设备超过该级别时会发生的情况。 与条件访问结合使用时,可帮助防止组织中的恶意活动。
此功能支持:
- Windows 11
- Windows 10
网络边界
网络边界 创建组织信任的站点列表。 此功能与 Microsoft Defender 应用程序防护和 Microsoft Edge 一起使用有助于保护设备。
此功能支持:
- Windows 11
- Windows 10
OEMConfig
对于 Android Enterprise 设备,OEMConfig 为标准配置。 此标准允许 OEM(原始设备制造商)和 EMM(企业移动性管理)按照标准方式构建和支持特定于 OEM 的功能。
OEM 使用 OEMConfig 创建架构来定义特定于 OEM 的管理功能,并将其嵌入上传到 Google Play 的应用。 Intune 从该应用读取此架构,并允许 Intune 管理员配置架构中的设置。
此功能支持:
- Android Enterprise (OEMConfig)
首选项文件
macOS 设备上的首选项文件包括有关应用的信息。 例如,可使用首选项文件来控制 Web 浏览器设置、自定义应用等。
此功能支持:
- macOS
提示
macOS 设置会不断地添加到“设置目录”。 其中一些设置可以替换首选项文件。 有关详细信息,请转到可使用 Intune 中的设置目录完成的任务。
设置目录
设置目录列出了可以配置的所有可用设置,并在一个位置列出所有设置。 它不是模板,也不是逻辑设置分组。 设置目录类似于配置本地组策略对象 (GPO) ,但是云原生目录。
在 Windows 上,有成千上万的设置可用,包括未在模板中找到的许多设置。 如果需要所有设置的完整列表,请使用设置目录来创建策略。 如果要使用逻辑设置分组,请继续使用这些模板。
可以使用Intune设置目录完成的任务是一个很好的资源。
此功能支持:
- iOS/iPadOS
- macOS
- Windows 11
- Windows 10
共享的多用户设备
Windows 10/11和Windows Holographic for Business包括用于管理具有多个用户的设备的设置。 这些设备称为共享设备或共享 PC。 当用户登录设备时,你可选择用户是否可更改睡眠选项,或在设备上保存文件。 在其他示例中,为节省空间,可以创建可删除 Windows HoloLens 设备中非活动凭据的配置文件。
这些共享多用户设备设置允许管理员控制部分设备功能,并使用 Intune 管理这些共享设备。
此功能支持:
- Windows 11
- Windows 10
- Windows Holographic for Business
Shell 脚本
在 Linux 设备上,可以 添加现有的 Bash 脚本 来自定义这些设备上的设置和功能。 此概念类似于创建自定义设备配置文件以及将策略部署到设备。 使用 Linux 时,可以使用现有的 Bash 脚本来配置未内置于 Intune 的功能和设置。
在 macOS 设备上,可以 添加现有的 shell 脚本,然后将这些脚本部署到 macOS 设备。
在 Windows 设备上,可以使用 Intune 管理扩展在 Intune 中上传 PowerShell 脚本,然后在设备上运行这些脚本。 另请参阅使用此扩展所需的条件、如何将它们添加到 Intune,以及其他重要信息。
此功能支持:
- Linux
- macOS
- Windows 11
- Windows 10
更新策略
iOS/iPadOS 更新策略展示了创建和分配 iOS/iPadOS 策略以在 iOS/iPadOS 设备上安装软件更新的方式。 你还可以查看安装状态。
有关 Windows 设备上的更新策略,请参阅传递优化。
此功能支持:
- iOS/iPadOS
VPN
VPN 设置将配置文件分配到组织中的用户和设备,从而使其方便安全地连接到网络。
虚拟专用网 (VPN) 为用户提供对公司网络的安全远程访问。 设备使用 VPN 连接配置文件来启动与 VPN 服务器的连接。
此功能支持:
- Android 设备管理员
- Android Enterprise
- iOS/iPadOS
- macOS
- Windows 11
- Windows 10
- Windows 8.1
Wi-Fi
Wi-Fi 设置将无线网络设置分配给用户和设备。 分配 WiFi 配置文件后,用户无需自行配置即可访问公司 Wi-Fi。
此功能支持:
- Android 设备管理员
- Android (AOSP)
- Android Enterprise
- iOS/iPadOS
- macOS
- Windows 11
- Windows 10
- Windows 8.1(仅限导入)
Windows 运行状况监视
Windows 运行状况监视 允许 Endpoint Analytics 收集和分析事件数据。 你可以通过这些数据来了解 Windows 设备,包括软件更新和启动性能。
此功能支持:
- Windows 11
- Windows 10
有线网络
有线网络可用于为 macOS 和 Windows 桌面计算机以及设备创建和管理 802.1x 有线连接。 在配置文件中,选择网络接口,选择接受的 EAP 类型,并输入服务器信任设置,包括 PKCS 和 SCEP 证书。
分配配置文件时,用户无需自行配置即可访问企业有线网络。
此功能支持:
- macOS
- Windows 11
- Windows 10
Zebra 移动性扩展 (MX)
通过 Zebra 移动性扩展 (MX),管理员可以在 Intune 中使用和管理 Zebra 设备。 创建具有你的设置的 StageNow 配置文件,然后使用 Intune 将这些配置文件分配并部署到 Zebra 设备。 StageNow 日志及常见问题是一个不错的资源,有助于在使用 StageNow 时对配置文件进行故障排除并查看一些潜在问题。
此功能支持:
- Android 设备管理员(移动性扩展)
管理和故障排除
管理配置文件以检查设备的状态和分配的配置文件。 还可以通过查看导致冲突的设置以及包含这些设置的配置文件来帮助解决冲突。
策略和配置文件的常见问题和行为 可帮助管理员使用配置文件。 它介绍了删除配置文件时发生的情况,导致将通知发送到设备的原因等等。
后续步骤
选择一个配置文件,然后开始。