使用 Windows 10/11 範本在 Microsoft Intune 中設定組策略設定

發行項
06/21/2024

Microsoft Intune 中的系統管理範本包含數千個設定，可控制 Microsoft Edge 77 版和更新版本、Internet Explorer、Google Chrome、Microsoft Office 程式、遠端桌面、OneDrive、密碼、PIN 等功能。這些設定可讓系統管理員使用雲端建立組策略。

本功能適用於：

Windows 11
Windows 10

Intune 範本是以 100% 雲端為基礎、內建於 Intune (不下載) ，而且不需要任何自定義專案，包括使用 OMA-URI。它們提供直接的方式來設定設定，並尋找您想要的設定：

Windows 設定類似於內部部署 Active Directory (AD) 中的組策略 (GPO) 設定。這些設定內建於 Windows，且是使用 XML 的 ADMX 支援設定。
Office、Microsoft Edge 和 Visual Studio 設定是 ADMX 內嵌，並使用您在內部部署環境中下載的相同系統管理範本檔案。
您可以匯入自定義和第三方 ADMX 和 ADML 檔案。如需詳細資訊，包括步驟，請移至匯入自定義或合作夥伴 ADMX 檔案。

管理組織中的裝置時，需要建立適用於不同裝置群組的設定群組。您還需要可設定之設定的簡單檢視。您可以在 Microsoft Intune 中使用系統管理範本來完成這項工作。

作為行動裝置管理 (MDM) 解決方案的一部分，請使用這些範本設定作為管理 Windows 用戶端裝置的一站式商店。

本文列出為 Windows 用戶端裝置建立範本的步驟，並示範如何篩選 Intune 中所有可用的設定。當您建立範本時，它會建立裝置組態配置檔。然後，您可以將此設定檔指派或部署至組織中的 Windows 用戶端裝置。

開始之前

從 Windows 10 版本 1709 (RS2/組建 15063) 開始，有一些設定可供使用。某些設定不會包含在所有 Windows 版本中。為了獲得最佳體驗，建議您使用 Windows 10 企業版 1903 (19H1/組建 18362) 及更新版本。
Windows 設定會使用 Windows 原則 CSP。 CSP 可在不同的 Windows 版本上運作，例如 Home、Professional、Enterprise 等等。若要查看 CSP 是否適用於特定版本，請移至 Windows 原則 CSP。
有兩種方式可以建立系統管理範本：使用範本或使用設定目錄。本文著重於使用系統管理範本範本範本。 [設定目錄] 有更多可用的系統管理範本設定。

如需使用設定目錄的特定步驟，以及如何在設定目錄中使用 Microsoft Copilot，請移至使用設定目錄來設定設定。
ADMX 範本會使用下列來源：
- Azure 虛擬桌面終端機伺服器： Azure 虛擬桌面的系統管理範本
- FSLogix： FSLogix 的 FSLogix 組策略範本檔案
- Google Chrome： Chrome Enterprise 原則清單
- Microsoft 365 應用程式和 Office： Microsoft 365 Apps、Office 2019 和 Office 2016
- Microsoft Edge： Microsoft Edge 原則檔案
- OneDrive：用來控制同步處理設定的 OneDrive 原則 - 原則清單
- Visual Studio： (ADMX) 的 Visual Studio 系統管理範本
- Windows：內建於 Windows 用戶端 OS。
- 適用於Linux的 Windows 子系統：適用於Linux的 Windows 子系統

建立範本

登入 Microsoft Intune 系統管理中心。
選 取 [裝置>管理裝置>設定>] [建立>新原則]。
輸入下列內容：
- 平台：選 取 [Windows 10 和更新版本]。
- 配置檔類型：若要使用設定的邏輯群組，請選取 [範本>系統管理範本]。若要查看所有設定，請選取 [ 設定目錄]。
選取 [建立]。
在 [基本資訊] 中，輸入下列內容：
- 名稱：輸入設定檔的描述性名稱。為您的配置檔命名，以便稍後輕鬆地識別它們。例如，良好的配置檔名稱為 ADMX：在 Microsoft Edge 中設定 xyz 設定的 Windows 10/11 系統管理範本。
- 描述：輸入設定檔的描述。這是選擇性設定，但建議進行。
選取[下一步]。
新增設定：
- ADMX 範本
- 設定目錄
在 [ 組態設定] 中，選取 [ 所有設定 ] 以查看所有設定的字母清單。或者，設定套用至裝置的設定， (計算機 組態) ，以及套用至使用者 (用戶 設定的設定) ：

在 [ 設定] 目錄中，選取 [ 新增設定]，然後展開 [ 系統管理範本]。選取任何設定以查看您可以設定的內容。

如需使用設定目錄建立原則的詳細資訊，請移至使用設定目錄來設定設定。
當您選取 [所有設定] 時，會列出每個設定。向下捲動以使用前面和下一個箭號來查看更多設定：
選取任何設定。例如，篩選 Office，然後選取 [ 啟用限制流覽]。會顯示設定的詳細描述。選擇 [已啟用]、[ 停用]，或將設定保留為 [ 未設定 (預設) 。詳細描述也會說明當您選擇 [已啟用]、[停用] 或 [未設定] 時會發生什麼情況。

提示

Intune 中的 Windows 設定會與您在本地組原則編輯器中看到的內部部署組策略路徑相互關聯 (gpedit) 。
當您選取 [計算機設定 ] 或 [ 使用者設定] 時，會顯示設定類別。您可以選取任何類別來查看可用的設定。

例如，選取 [計算機設定>Windows 元件>Internet Explorer ]，以查看套用至 Internet Explorer 的所有裝置設定：
按一下 [確定] 以儲存您的變更。

繼續瀏覽設定清單，並在您的環境中設定您想要的設定。範例如下：
- 使用 VBA 宏通知設定 來處理不同Microsoft Office 程式中的 VBA 宏，包括 Word 和 Excel。
- 使用 [ 允許檔案下載] 設定，允許或防止從 Internet Explorer 下載。
- 當 計算機喚醒 (插入) 時使用 [需要密碼]，在裝置從睡眠模式喚醒時提示使用者輸入密碼。
- 使用 [下載未簽署的ActiveX控制 項] 設定，封鎖使用者從Internet Explorer 下載未簽署的 ActiveX 控制件。
- 使用 [關閉系統還原 ] 設定可允許或防止使用者在裝置上執行系統還原。
- 使用 [ 允許匯入我的最愛 ] 設定，允許或封鎖使用者從另一個瀏覽器將我的最愛匯入Microsoft Edge。
- 還有更多...
選取[下一步]。
在 [範圍標籤] (選擇性) 中，指派標籤來針對特定 IT 群組篩選設定檔，例如 US-NC IT Team 或 JohnGlenn_ITDepartment。如需範圍標籤的詳細資訊，請移至使用角色型訪問控制 (RBAC) 和分散式 IT 的範圍標籤。

選取 [下一步]。
在 [ 指派] 中，選取將接收配置檔的使用者或群組。如需指派配置檔的詳細資訊，請移至在 Intune 中指派使用者和裝置設定檔。

如果配置檔指派給使用者群組，則設定的 ADMX 設定會套用至用戶註冊的任何裝置，並登入。如果配置檔指派給裝置群組，則設定的 ADMX 設定會套用至任何登入該裝置的使用者。如果 ADMX 設定是電腦設定 () ，或使用者HKEY_CURRENT_USER設定 (HKEY_LOCAL_MACHINE) ，就會發生此指派。使用某些設定時，指派給使用者的計算機設定也會影響該裝置上其他用戶的體驗。

如需詳細資訊，請在指派原則時移至使用者群組與裝置群組。

選取[下一步]。
在 [檢閱 + 建立] 中，檢閱您的設定。當您選取 [建立] 時，系統會儲存您的變更，然後指派設定檔。原則也會顯示在設定檔清單中。

下次裝置檢查組態更新時，會套用您設定的設定。

尋找一些設定

這些範本中有數千個可用的設定。若要更輕鬆地尋找特定設定，請使用內建功能：

在範本中，選取 [ 設定]、[ 狀態]、[ 設定類型] 或 [ 路徑] 資料 行來排序列表。例如，選取 [路徑] 數據 行，然後使用下一個箭號來查看路徑中的 Microsoft Excel 設定。
在您的範本中，使用 [搜尋 ] 方塊來尋找特定設定。您可以藉由設定或路徑來搜尋。例如，選取 [所有設定]，然後搜尋 copy。所有具有 copy 的設定都會顯示：

在另一個範例中，搜尋 microsoft word。您會看到您可以為Microsoft Word 程式設定的設定。 explorer搜尋以查看您可以新增至範本的 Internet Explorer 設定。
您也可以只選取 [ 計算機 設定] 或 [ 用戶設定] 來縮小搜尋範圍。

例如，若要查看所有可用的 Internet Explorer 使用者設定，請選取 [使用者設定]，然後搜尋 Internet Explorer。只會顯示套用至使用者的 IE 設定：