将可重用的设置组与Intune策略配合使用

此功能以公共预览版提供

Intune支持可添加到配置策略和配置文件的可重用设置组,以帮助简化常见设置的管理。 当需要在多个配置文件中使用具有相同配置的设置时,最好是使用可重用组。

编辑可重用组中的设置时,所做的更改会自动应用于包含该组的每个配置文件。 将更改保存到可重用设置组时,Intune使用这些新配置更新配置文件,并根据配置文件的分配将更新后的配置文件部署到设备。

以下配置文件支持可重用组:

可重用设置组概述

每个可重用设置组都是一个对象,可以包含多个设置。 配置一个或多个可重用组以用于特定配置文件类型后,创建或编辑配置文件以添加组。 配置文件可以支持多个组。

若要管理可重用设置组,请在 Microsoft Intune 管理中心使用与要在其中使用组的策略和配置文件关联的“可重用设置”选项卡。 在选项卡上,可以创建组、编辑组中的设置,以及查看从每个组继承设置的策略计数。 每个可重用设置组仅与其相关的配置文件类型一起使用。

例如,下图显示了用于管理 Windows 防火墙规则配置文件的可重用组的“可重用设置”选项卡:

显示Microsoft Intune管理中心中防火墙策略的“可重用设置”选项卡的屏幕截图。

创建可重用组后,可以使用配置文件 配置设置 页中的选项将组添加到该配置文件。 包含一个或多个可重用组的配置文件使用每个包含组中的每个设置,就像直接在配置文件中配置设置一样。

先决条件

以下配置文件支持使用可重用设置组:

终结点安全策略

  • 防火墙>Windows 防火墙规则

    • 平台:Windows
    • Windows 版本:设备必须运行Windows 10 20H2 或更高版本,或者Windows 11
  • 攻击面减少>设备控制

    • 平台:Windows

终结点特权管理

  • Windows 提升规则策略

注意

对于Microsoft Defender for Endpoint,当前不支持与安全管理一起使用的可重用设置组。

创建可重用组

每个可重用设置组都包含要为其创建组的完整配置文件中的一部分设置。 使用以下链接查看可在每个配置文件的设置组中配置的设置:

若要创建可重用的设置组,请执行以下操作

  1. 打开Microsoft Intune管理中心,导航到要为其创建可重用组的策略,然后选择“可重用设置 (预览) 选项卡。

  2. 选择“ 添加 ”,打开 “配置可重用设置 (预览) 工作流。

  3. “基本信息 ”页上,配置名称。 说明是可选项。

  4. “配置设置 ”页上,选择“ 添加 ”,然后配置此组的设置,就像直接在支持的配置文件中配置设置一样。

    对于“设备控制”,选择“ 添加 ”时,必须选择要配置的组设置类型,然后选择“ 编辑实例 ”以继续。 如果添加多个实例,请查看组的 Match 类型 配置。

    每个组限制为 100 个实例。 使用管理中心中可重用设置组中每个设置的信息文本作为指导。 单击设置的 “了解详细信息 ”链接,查看该设置内容源中有关设置的详细信息。

    提示

    请仔细 命名 创建的每个可重用组,以确保以后可以识别它。 这一点很重要,因为在将可重用组添加到策略时,对于任何策略类型,你创建的每个可重用组都是可见的,即使该组包含的设置通常不适用于要配置的策略也是如此。 例如,如果你有一个为 Windows 防火墙规则创建的可重用组,则该组将可见,并且可以在将可重用组添加到设备控制策略时选择。

  5. 在“ 审阅 + 添加 ”页上,选择“ 添加 ”以保存可重用设置组。

修改可重用组

编辑可重用组的配置时,使用该组的每个配置文件都会自动更新,以将新配置应用到设备。

  1. 打开Microsoft Intune管理中心,导航到要为其创建可重用组的策略,然后选择“可重用设置 (预览) 选项卡。

  2. 选择要编辑的可重用设置组。 这会打开类似于创建新可重用组的工作流的配置工作流。

  3. “基本信息 ”页上可以重命名组,在 “配置设置” 页上可以重新配置设置。 在最后一页上,选择“ 保存 ”以保存配置并更新使用设置组的配置文件。

将可重用组添加到 Windows 防火墙规则配置文件

在编辑或创建配置文件时,将可重用的设置组添加到配置文件。 在“配置文件配置设置”页上,使用支持添加一个或多个以前创建的组的选项。

注意

本机不支持入站 FQDN 规则。 但是,可以使用 预冻结 脚本为规则生成入站 IP 条目。 有关详细信息,请参阅 Windows 防火墙文档中的 Windows 防火墙 动态关键字

  1. Microsoft Intune管理中心中,创建新配置文件或选择并编辑现有配置文件。

  2. “配置设置 ”页上,选择“ 添加 ”以添加新规则,或 选择“编辑规则 ”以管理以前创建的规则。

  3. 在规则的“ 配置实例 ”窗格中,配置 “操作” 以确定此规则如何管理 IP 地址或 FQDN 等设置。 例如,可以将“操作”设置为 “允许 ”或 “阻止”。 此配置适用于直接添加到此规则的设置和添加到此规则的每个可重用组中的设置。

    保存 规则配置。

  4. 对于保存的规则,选择“ 设置可重用设置” 以打开 “选择可重用设置 ”窗格。

    用于配置可重用组的配置设置工作流的屏幕截图。

  5. 选择一个或多个可用组以将其添加到此规则,然后保存所选内容。

    显示“选择可重用设置”窗格的屏幕截图。

  6. 将可重用组添加到配置文件后,保存配置。 保存后,Intune包括可重用组中的设置,并根据配置文件的分配将配置文件部署到设备。

将可重用组添加到设备控制配置文件

在编辑或创建配置文件时,将可重用的设置组添加到配置文件。 设备控制配置文件的可重用组支持以下类型的设置:

  • 打印机设备
  • 可移动存储

在“配置文件配置设置”页上,使用支持添加一个或多个以前创建的组的选项。

  1. Microsoft Intune管理中心中,创建新配置文件或选择并编辑现有配置文件。

  2. “配置设置” 页上,展开“设备控制”类别,然后选择“ 添加 ”以添加新规则,或 选择“编辑条目” 以管理以前创建的规则。

    • 选择“添加”以添加更多规则。
    • 选择 “编辑条目 ”以打开“ 配置条目 ”窗格,以进一步配置组的使用。
  3. 在“ 配置条目 ”窗格中,为条目指定 名称,然后配置以下内容,然后选择“ 确定” 保存规则:

    • 类型:定义可移动存储组的操作。 当同一介质的 Type 发生冲突时,将应用策略中定义的第一个类型。
    • 选项:定义是否向设备用户显示通知。 可用选项取决于所选的类型。
    • 访问掩码:从“读取”、“写入”、“执行”中选择一个或多个。
    • Sid:本地用户 Sid、用户 Sid 组或 AD 对象的 Sid 定义是将此策略应用于特定用户还是用户组;一个条目最多可以有一个 Sid,一个没有任何 Sid 的条目意味着它在计算机上应用策略。
    • 计算机 Sid:本地计算机 Sid 或计算机 Sid 组或 AD 对象的 Sid,定义是将此策略应用于特定计算机还是计算机组;一个条目最多可以有一个 ComputerSid,一个没有任何 ComputerSid 的条目意味着它在计算机上应用策略。 如果要将条目应用于特定用户和特定计算机,请将 Sid 和 ComputerSid 添加到同一条目中。

    有关这些选项的详细信息,请参阅 Microsoft Defender for Endpoint 文档中的以下文章:

  4. 对于保存的规则,请选择“设置包含 ID”和“排除的 ID”的可重用设置,以满足你的需求。 这两个选项将打开 “选择可重用设置 ”窗格。

    显示设备控件配置文件的“选择可重用设置”窗格的屏幕截图。

  5. 选择一个或多个可用组以将其添加到此规则,然后保存所选内容。 下面显示了一个配置,该配置仅为“排除的 ID”选择了一个组:

    显示仅为排除的 ID 选择组的结果的屏幕截图。

  6. 将可重用组添加到配置文件后,完成策略配置。 保存后,Intune包括可重用组中的设置,并根据配置文件的分配将配置文件部署到设备。 每个配置文件最多可以添加 100 个可重用组。

如果你有 E5 许可证,则可以使用Microsoft Defender for Endpoint在设备控制报告和高级搜寻下查看设备控制事件。 请参阅使用设备控制保护组织数据 |Microsoft Docs Defender for Endpoint 文档中。

将可重用组用于 Endpoint Privilege Manager

有关对 Endpoint Privilege Manager 使用可重用组的支持的信息,请参阅 Endpoint Privilege Manager 的策略

关于策略冲突

可通过可重用设置组管理的设备设置Intune与在配置文件中直接配置的设置相同。 如果可重用组中的设置引入了冲突或重叠,则可以使用相同的故障排除过程来识别和解决这些冲突。

有关详细信息,请查看可能特定于所用配置文件类型的指南。 有关常规指导,请参阅排查Microsoft Intune中的策略和配置文件问题,以及 Microsoft Intune 中的设备策略和配置文件的常见问题和解答

后续步骤

设备配置概述