使用 Windows 10/11 範本在 Microsoft Intune 中設定群組原則設定

發行項
07/19/2024

Microsoft Intune 中的系統管理範本包括數千個設定，可控制 Microsoft Edge 77 版及更新版本、Internet Explorer、Google Chrome、Microsoft Office 程式、遠端桌面、OneDrive、密碼、PIN 等中的功能。這些設定讓群組系統管理員使用雲端管理群組原則。

本功能適用於：

Windows 11
Windows 10

Intune 範本是 100% 雲端式、內建於 Intune (非下載)，而且不需要任何自訂專案，包括使用 OMA-URI。它們提供直接的方式來尋找及設置您想要的設定:

Windows 設定類似於內部部署 Active Directory (AD) 中的群組原則 (GPO) 設定。這些設定內建於 Windows。它們是使用 XML 的 ADMX 支援型設定。
Office、Microsoft Edge 和 Visual Studio 設定是 ADMX 內嵌，並使用您在內部部署環境中下載的相同系統管理範本檔案。
您可以匯入自訂和第三方 ADMX 和 ADML 檔案。如需詳細資訊，請參閱匯入自訂或合作夥伴 ADMX 檔案。

管理組織中的裝置時，應該建立適用於不同裝置群組的設定群組。您還需要可設定之設定的簡單檢視。您可以透過使用 Microsoft Intune 中的系統管理範本來完成此工作。

作為行動裝置管理 (MDM) 解決方案的一部分，請使用這些範本設定來管理 Windows 用戶端裝置。

本文說明為 Windows 用戶端裝置建立範本的步驟，並示範如何它篩選 Intune 中的所有設定。當您建立範本時，它會建立裝置組態設定檔。然後，您可以將此設定檔指派或部署至組織中的 Windows 用戶端裝置。

開始之前

從 Windows 10 版本 1709 (RS2/組建 15063) 開始，有一些設定可用。某些設定不會包含在所有 Windows 版本中。為了獲得最佳體驗，建議您使用 Windows 10 企業版 1903 (19H1/組建 18362) 或更新版本。
Windows 設定會使用 Windows 原則 CSP。 CSP 可在不同的 Windows 版本上運作，例如 Home、Professional、Enterprise 等等。若要查看 CSP 是否適用於特定版本，請移至 Windows 原則 CSP。
有兩種方式可以建立系統管理範本：使用範本或使用設定目錄。本文焦點是使用系統管理範本範本。 [設定目錄] 有更多的系統管理範本設定。

若要使用設定目錄並瞭解如何搭配使用 Microsoft Copilot，請參閱使用設定目錄來設置設定。
ADMX 範本使用下列來源：
- Azure 虛擬桌面終端機伺服器：Azure 虛擬桌面的系統管理範本
- FSLogix：FSLogix 的 FSLogix 群組原則範本檔案
- Google Chrome：Chrome Enterprise 原則清單
- Microsoft 365 應用程式和 Office：Microsoft 365 Apps、Office 2019 和 Office 2016
- Microsoft Edge：Microsoft Edge 原則檔案
- OneDrive：用來控制同步處理設定的 OneDrive 原則 - 原則清單
- Visual Studio： Visual Studio 系統管理範本 (ADMX)
- Windows：內建於 Windows 用戶端 OS
- 適用於 Linux 的 Windows 子系統：適用於 Linux 的 Windows 子系統

建立範本

登入 Microsoft Intune 系統管理中心。
選取 [裝置]>[管理裝置]>[設定]>[建立]>[新原則]。
輸入下列內容：
- 平台：選取 [Windows 10 及更新版本]。
- 設定檔類型：若要使用設定的邏輯群組，請選取 [範本]>[系統管理範本]。若要查看所有設定，請選取 [設定目錄]。
選取 [建立]。
在 [基本資訊] 中，輸入下列內容：
- Name: 為您的設定檔命名，以方便之後能夠輕鬆識別。例如，良好的設定檔名稱為 ADMX：在 Microsoft Edge 中設定 xyz 設定的 Windows 10/11 系統管理範本。
- Description: 這是選擇性設定，但建議進行。
選取[下一步]。
新增設定：
- ADMX 範本
- 設定目錄
若要查看所有按字母順序的設定清單，移至 [組態設定] 中，選取 [所有設定]。或者，設定套用至裝置的設定 (電腦組態)，或套用至使用者的設定 (使用者設定)：

在 [設定] 目錄中，選取 [新增設定]，然後展開 [系統管理範本]。選取任何設定以查看您可以設定的內容。

如需有關使用設定目錄建立原則的詳細資訊，請參閱使用設定目錄來設定。
當您選取 [所有設定] 時，會列出每個設定。向下捲動以使用之前和下一個箭號來查看更多設定：
選取任何設定。例如，Office 上的篩選，然後選取 [啟用限制瀏覽]。會顯示設定的詳細描述。選擇 [已啟用]、或 [停用]，或將設定保留為 [未設定] (預設)。詳細描述也說明當您選擇 [啟用]、[停用] 或 [未設定] 時會發生什麼情況。

提示

Intune 中的 Windows 設定會與您在本地群組原則編輯器中看到的內部部署群組原則路徑相互關聯 (gpedit)。
當您選取 [計算機設定] 或 [使用者設定] 時，會顯示設定類別。您可以選取任何類別來查看可用的設定。

例如，選取 [計算機設定]>[Windows 元件]>[Internet Explorer]，以查看套用至 Internet Explorer 的所有裝置設定：
按一下 [確定] 以儲存您的變更。

繼續瀏覽設定清單，並在您的環境中設定您想要的設定。範例如下：
- 使用 [VBA 巨集通知設定] 設定來處理不同 Microsoft Office 程式中的 VBA 巨集，包括 Word 和 Excel。
- 使用 [允許檔案下載] 設定，以允許或防止從 Internet Explorer 下載。
- 當電腦喚醒 (插入電源) 時使用 [要求輸入密碼]，以在裝置從睡眠模式喚醒時提示使用者輸入密碼。
- 使用 [下載未簽署的 ActiveX 控制項] 設定，以封鎖使用者從 Internet Explorer 下載未簽署的 ActiveX 控制件。
- 使用 [關閉系統還原] 設定可允許或防止使用者在裝置上執行系統還原。
- 使用 [允許匯入我的最愛] 設定，以允許或封鎖使用者從另一個瀏覽器將我的最愛匯入 Microsoft Edge。
- 以及其他功能 ...
選取[下一步]。
在 [範圍標籤] (選擇性) 中，指派標籤來針對特定 IT 群組篩選設定檔，例如 US-NC IT Team 或 JohnGlenn_ITDepartment。如需詳細資訊，請參閱針對分散式 IT 使用角色型存取控制 (RBAC) 和範圍標籤。

選取 [下一步]。
在 [指派] 中，選取會接收您設定檔的使用者或群組。有關詳細資訊，請參閱在 Intune 中指派使用者和裝置設定檔。

如果設定檔指派至使用者群組，則設定的 ADMX 設定會套用至使用者註冊的任何裝置，並登入。如果設定檔指派至裝置群組，則設定的 ADMX 設定會套用至任何登入該裝置的使用者。如果 ADMX 設定是電腦設定 (HKEY_LOCAL_MACHINE) 或使用者設定 (HKEY_CURRENT_USER)，就會發生此指派。使用某些設定時，指派至使用者的電腦設定也會影響該裝置上其他使用者的體驗。

如需詳細資訊，請參閱指派原則時使用者群組與裝置群組。

選取[下一步]。
在 [檢閱 + 建立] 中，檢閱您的設定。當您選取 [建立] 時，系統會儲存您的變更，然後指派設定檔。原則也會顯示在設定檔清單中。

下次裝置檢查組態更新時，會套用您設定的設定。

尋找一些設定

這些範本中有數千個可用的設定。若要更輕鬆地尋找特定設定，請使用內建功能：

在範本中，選取 [設定]、[狀態]、[設定類型] 或 [路徑] 資料行來排序列表。例如，選取 [路徑] 資料行，然後使用下一個箭號來查看 Microsoft Excel 路徑中的設定。
在您的範本中，使用 [搜尋] 方塊來尋找特定設定。您可以藉由設定或路徑來搜尋。例如，選取 [所有設定]，然後搜尋 copy。所有具有 copy 的設定都會顯示：

在另一個範例中，搜尋 microsoft word。您會看到您可以為 Microsoft Word 程式設定的設定。搜尋 explorer 以查看您可以新增至範本的 Internet Explorer 設定。
您也可以只選取 [電腦設定] 或 [電腦設定] 來縮小搜尋範圍。

例如，若要查看所有可用的 Internet Explorer 使用者設定，請選取 [使用者設定]，然後搜尋 Internet Explorer。只會顯示套用至使用者的 IE 設定:

建立已知問題復原原則

在已註冊的裝置上，您可以使用系統管理範本來建立已知問題復原 (KIR) 原則，並將此原則部署到您的 Windows 裝置。請參閱使用 Microsoft Intune ADMX 原則擷取將 KIR 啟用部署至受控裝置。

如需 KIR 的詳細資訊，請參閱:

後續步驟

範本已建立，但可能尚未執行任何動作。請務必指派範本 (也稱為設定檔)，並監視原則狀態。

另請參閱:

共用方式為