在 Microsoft Intune 中使用导入的 GPO 创建设置目录策略 (公共预览版)

可以导入本地组策略对象 (GPO),并使用这些导入的设置创建 Intune 策略。 此策略可以部署到组织管理的用户和设备。

使用组策略分析,导入本地 GPO。 它会分析导入的 GPO,并显示在 Microsoft Intune 中也可用的设置。 对于可用设置,可以创建设置目录策略,然后将该策略部署到托管设备。

此功能适用于:

  • Windows 11
  • Windows 10

本文介绍如何从导入的 GPO 创建策略。 有关组策略分析的详细信息和概述,请转到在 Intune 中使用组策略分析 (GPO) 分析本地组策略对象 Microsoft。

开始之前

  • Microsoft Intune 管理中心,以以下身份登录:

    • Intune 管理员

    • 具有 安全基线 权限和设备 配置/创建 权限的角色

    有关内置 Intune 角色中包含的权限的详细信息,请转到 内置管理员角色。 有关自定义角色的信息,请转到 为自定义角色分配权限

  • 导入本地 GPO 并查看结果。

    有关具体步骤,请转到使用 Intune 中的组策略分析导入和分析本地 GPO

  • 只有限定为 GPO 的管理员才能从该导入的 GPO 创建设置目录策略。 作用域标记在导入 GPO 期间首先应用,并且可以进行编辑。 如果在 GPO 导入过程中未选择或未选择范围标记,则会自动使用 默认 范围标记。

  • 此功能目前提供公共预览版。 有关其含义的详细信息,请转到 intune Microsoft 公共预览版

查看 GPO 并将其迁移到设置目录策略

导入 GPO 后,请查看可迁移的设置。 请记住,某些设置在云本机终结点上没有意义,例如 Windows 10/11 设备。 查看这些设置后,可以将设置迁移到设置目录策略。

  1. Microsoft Intune 管理中心,选择“ 设备>管理设备>”“组策略分析”。

  2. 在列表中,将显示导入的 GPO。 在设置目录配置文件中所需的 GPO 旁边,选择“迁移”复选框。 可以选择一个 GPO 或多个 GPO:

    显示如何在 Microsoft Intune 中选中导入的 GPO 旁边的“迁移”复选框的屏幕截图。

  3. 若要查看导入的 GPO 中的所有设置,请选择“迁移”:

    显示如何选择“迁移”按钮以在 Intune Microsoft 导入的 GPO 中的所有设置的屏幕截图。

  4. 在“要迁移的设置”选项卡中,为要包含在设置目录配置文件中的设置选择“迁移”列:

    显示要迁移的设置以及如何在 Intune 中选中“迁移”复选框的屏幕截图Microsoft。

    若要帮助选取设置,可使用内置功能:

    • 选择此页面上的全部内容:如果希望现有页面上的所有设置都包含在设置目录配置文件中,请选择此选项。

      显示如何使用此页面上的全选按钮在 Intune 中包括组策略分析迁移功能中的所有页面设置的屏幕截图Microsoft。

    • 按设置名称进行搜索:输入设置名称以查找所需设置:

      显示如何在 Microsoft Intune 中的组策略分析迁移功能中搜索设置名称的屏幕截图。

    • 排序:使用列名称对设置进行排序:

      显示如何使用 Intune 中的“迁移”、“设置名称”、“组策略设置类别”、“MDM 支持”、“值”、“范围”、“最小 OS 版本”和“CSP 名称”组策略分析迁移功能对 Microsoft设置进行排序的屏幕截图。

    提示

    如果尚未执行此操作,请查看组策略设置。 某些设置可能不适用于基于云的策略管理,或者不适用于云本机终结点,例如 Windows 10/11 设备。 不建议在不查看所有组策略设置的情况下包含它们。

    选择“下一步”

  5. 在“配置”中,将显示设置及其值。 这些值与本地组策略中的值相同。 查看这些设置及其值。

    创建设置目录策略后,可以更改任何值。

    选择“下一步”

  6. 配置文件信息中,输入以下设置:

    • 名称”:输入设置目录配置文件的描述性名称。 为配置文件命名,以便稍后可以轻松地识别它们。 例如,一个好的配置文件名称为 Windows 10/11:导入的 Microsoft Edge GPO
    • 说明:输入配置文件的说明。 此设置是可选的,但建议进行。

    选择 下一步

  7. “作用域标记”中,可以选择为特定 IT 组(例如 US-NC IT 团队或JohnGlenn_ITDepartment)分配用于筛选配置文件的标记。 有关范围标记的详细信息,请转到 为分布式 IT 使用 RBAC 角色和范围标记

  8. 在“分配”中,选择将接收配置文件的用户或组。 有关分配配置文件的详细信息,包括建议和指导,请转到 在 Intune 中分配用户和设备配置文件

    选择“下一步”

  9. 在“查看并创建”中查看设置。

    选择“创建”时,将保存所做的更改并分配配置文件。 该策略显示在 “设备>管理设备>”配置 列表中。

下次分配的组中的任何设备检查配置更新时,将应用已配置的设置。

早期检测到冲突设置

可能有多个 GPO 包含相同设置,并且该设置被设置为不同的值。 创建策略并在“ 要迁移的设置” 选项卡中选择设置时,任何冲突的设置都显示以下错误:

Conflicts are detected for the following settings: <setting name>. Select only one version with the value you prefer in order to continue.

显示冲突检测到的错误消息的屏幕截图,其中包含 Microsoft Intune 中的组策略分析迁移功能。

若要解决冲突,请取消选中冲突设置,然后继续迁移。

须知内容

迁移功能从导入的组策略对象 (GPO) 中获取分析的数据,并将其转换为设置目录中的相关设置(如果该设置存在)。

迁移是最好的努力。

创建设置目录配置文件时,将包含配置文件中的任何设置。 导入的设置和设置目录中的设置可能存在一些差异。

  • 某些设置在终结点安全中具有更好的配置体验

    如果导入 AppLocker 设置或防火墙规则设置,则会禁用 “迁移” 选项并灰显。相反,请在 Intune 管理中心使用 Endpoint Security 工作负载配置这些设置。

    有关详细信息,请转到:

    如果 GPO 侧重于终结点安全性,则应查看 Endpoint Security 中可用的功能,包括安全基线和移动威胁防御。

  • 某些设置未准确迁移,并且可能使用其他设置

    在某些情况下,某些 GPO 设置不会迁移到设置目录中完全相同的设置。 Intune 显示具有类似效果的备用设置。

    如果导入的 GPO 包含较旧的 Office 管理模板设置或较旧的 Google Chrome 设置,则可以看到此行为。 在下图中,不支持较旧的 Office 设置。 因此,Intune 建议迁移到受支持的版本:

    显示不支持的较旧 Office 设置的屏幕截图,并建议迁移到 intune Microsoft 支持的版本。

  • 某些设置无法迁移

    迁移设置时,可能会发生一些错误。 创建配置文件时,会在通知中显示返回错误的设置:

    屏幕截图显示了在 Intune 中创建策略时包含附加信息的通知Microsoft。

    设置可能显示错误的一些常见原因包括:

    • 设置值的格式不正确。
    • 导入的 GPO 中缺少子设置,需要配置父设置。

后续步骤