在 Microsoft Intune (公開預覽版中使用匯入的 GPO 建立設定目錄原則)
您可以將內部部署組策略物件匯入 (GPO) ,並使用這些匯入的設定建立 Intune 原則。 此原則可以部署至組織所管理的用戶和裝置。
使用組策略分析,您可以匯入內部部署 GPO。 它會分析您匯入的 GPO,並顯示 Microsoft Intune 中也提供的設定。 針對可用的設定,您可以建立 [ 設定目錄] 原則,然後將原則部署到受管理的裝置。
本功能適用於:
- Windows 11
- Windows 10
本文說明如何從匯入的 GPO 建立原則。 如需組策略分析的詳細資訊和概觀,請移至在 Microsoft Intune 中使用組策略分析, (GPO) 分析您的內部部署組策略物件。
開始之前
在 Microsoft Intune 系統管理中心,以下列方式登入:
Intune 系統管理員
OR
具有 安全性基準 許可權和 裝置設定/建立權 限的角色
如需內建 Intune 角色所包含許可權的詳細資訊,請移至 內建系統管理員角色。 如需自定義角色的資訊,請移至 將許可權指派給自定義角色。
匯入內部部署 GPO,並檢閱結果。
如需特定步驟,請移至 在 Intune 中使用組策略分析匯入及分析您的內部部署 GPO。
只有限定範圍為 GPO 的系統管理員可以從該匯入的 GPO 建立設定目錄原則。 範圍標籤會先在匯入 GPO 期間套用,而且可以編輯。 如果在 GPO 匯入期間未選取或未選取範圍標籤,則會自動使用 預設 範圍標籤。
此功能目前是公開預覽版。 如需其意義的詳細資訊,請移至 Microsoft Intune 中的公開預覽。
檢閱 GPO 並將其遷移至設定目錄原則
匯 入 GPO 之後,請檢閱可移轉的設定。 請記住,某些設定在雲端原生端點上沒有意義,例如 Windows 10/11 裝置。 檢閱之後,您可以將設定移轉至 [設定目錄] 原則。
在 [Microsoft Intune 系統管理中心] 中,選取 [ 裝置>管理裝置>] 組策略分析。
清單中會顯示您匯入的 GPO。 在 [設定類別目錄] 設定檔中您想要的 GPO 旁邊,選取 [ 移轉 ] 複選框。 您可以選取 GPO 或許多 GPO:
![顯示如何在 Intune 中選取匯入 GPO 旁之 [移轉] 複選框的螢幕快照Microsoft。](media/group-policy-analytics-migrate/select-migrate-checkbox-imported-gpo.png)
若要查看匯入 GPO 中的所有設定,請選取 [移轉]:
![此螢幕快照顯示如何選取 [移轉] 按鈕,以在 Microsoft Intune 中查看匯入 GPO 中的所有設定。](media/group-policy-analytics-migrate/select-migrate-see-all-settings.png)
在 [ 要移轉的 設定] 索引標籤中,選取您要包含在 [設定目錄] 設定檔中之設定的 [ 移 轉] 資料行:
![此螢幕快照顯示要移轉的設定,以及如何在 Intune Microsoft選取 [移轉] 複選框。](media/group-policy-analytics-migrate/settings-to-migrate-tab.png)
為了協助您挑選設定,您可以使用內建功能:
在此頁面上全部選取:如果您想要將現有頁面上的所有設定包含在 [設定目錄] 設定檔中,請選取此選項。
![此螢幕快照顯示如何使用此頁面上的 [全選] 按鈕,在 Microsoft Intune 的組策略分析移轉功能中包含所有頁面設定。](media/group-policy-analytics-migrate/select-all-on-this-page.png)
依設定名稱搜尋:輸入設定名稱以尋找您想要的設定:
排序:使用資料行名稱排序您的設定:
![顯示如何使用 [移轉]、[設定名稱]、[組策略設定] 類別、[MDM 支援]、[值]、[範圍]、[最低 OS 版本] 和 [CSP 名稱組策略分析] 在 Microsoft Intune 中移轉功能來排序設定的螢幕快照。](media/group-policy-analytics-migrate/sort-using-column-names.png)
提示
如果您尚未這麼做,請檢閱組策略設定。 某些設定可能不適用於雲端式原則管理,或不適用於雲端原生端點,例如 Windows 10/11 裝置。 不建議您在不檢閱組策略設定的情況下包含所有組策略設定。
選取 [下一步]。
在 [ 組態] 中,會顯示您的設定及其值。 這些值與內部部署組策略中的值相同。 檢閱這些設定及其值。
建立 [設定目錄] 原則之後,您可以變更任何值。
選取 [下一步]。
在 [配置檔資訊] 中,輸入下列設定:
- 名稱:輸入設定類別目錄配置檔的描述性名稱。 為您的設定檔命名,以方便之後能夠輕鬆識別。 例如,良好的配置檔名稱為 Windows 10/11:已匯入Microsoft Edge GPO。
- 描述:輸入設定檔的描述。 這是選擇性設定,但建議進行。
選取[下一步]。
在 [範圍卷標] 中,選擇性地指派標籤來篩選配置檔給特定IT群組,例如US-NC IT 小組或JohnGlenn_ITDepartment。 如需範圍標籤的詳細資訊,請移至 使用分散式IT的 RBAC 角色和範圍標籤。
在 [指派] 中,選取將接收您設定檔的使用者或群組。 如需指派配置檔的詳細資訊,包括建議和指引,請移至 在Intune中指派使用者和裝置配置檔。
選取 [下一步]。
在 [ 檢閱 + 部署] 中,檢閱您的設定。
當您選取 [建立] 時,系統會儲存您的變更,然後指派設定檔。 原則會顯示在 [裝置>管理裝置>] 組態清單中。
![顯示如何在 Intune 中選取匯入 GPO 旁之 [移轉] 複選框的螢幕快照Microsoft。](media/group-policy-analytics-migrate/select-migrate-checkbox-imported-gpo.png#lightbox)
![此螢幕快照顯示如何選取 [移轉] 按鈕,以在 Microsoft Intune 中查看匯入 GPO 中的所有設定。](media/group-policy-analytics-migrate/select-migrate-see-all-settings.png#lightbox)
![此螢幕快照顯示如何使用此頁面上的 [全選] 按鈕,在 Microsoft Intune 的組策略分析移轉功能中包含所有頁面設定。](media/group-policy-analytics-migrate/select-all-on-this-page.png#lightbox)
![顯示如何使用 [移轉]、[設定名稱]、[組策略設定] 類別、[MDM 支援]、[值]、[範圍]、[最低 OS 版本] 和 [CSP 名稱組策略分析] 在 Microsoft Intune 中移轉功能來排序設定的螢幕快照。](media/group-policy-analytics-migrate/sort-using-column-names.png#lightbox)
下次指派群組內的任何裝置檢查組態更新時,就會套用您設定的設定。
早期偵測到衝突的設定
您可能會有多個 GPO 包含相同的設定,而且設定設為不同的值。 當您建立原則,並在 [ 要移 轉的設定] 索引標籤中選取您的設定時,任何衝突的設定都會顯示下列錯誤:
Conflicts are detected for the following settings: <setting name>. Select only one version with the value you prefer in order to continue.
若要解決衝突,請取消選取衝突的設定,然後繼續移轉。
您需要知道的事項
[移轉] 功能會將已匯入組策略物件中剖析的數據 (GPO) ,並在設定存在時,將其轉譯為 [設定目錄] 中的相關設定。
移轉 是最好的工作。
當您建立設定類別目錄設定檔時,可以包含在配置檔中的任何設定都會包含在內。 匯入的設定和 [設定目錄] 中的設定可能會有一些差異。
某些設定在端點安全性中有較佳的設定體驗
如果您匯入 AppLocker 設定或防火牆規則設定,則 [ 移 轉] 選項會停用並呈現灰色。相反地,請使用 Intune 系統管理中心的端點安全性工作負載來設定這些設定。
如需詳細資訊,請移至:
如果您有著重於端點安全性的 GPO,則應該查看 端點安全性中可用的功能,包括安全性基準和行動威脅防禦。
某些設定不會完全移轉,而且可能會使用不同的設定
在某些情況下,某些 GPO 設定不會移轉至 [設定目錄] 中完全相同的設定。 Intune 會顯示具有類似效果的替代設定。
如果您匯入的 GPO 包含較舊的 Office 系統管理範本設定或較舊的 Google Chrome 設定,則可以看到此行為。 在下圖中,不支援較舊的 Office 設定。 因此,Intune 建議移轉至支援的版本:
某些設定無法移轉
在移轉設定時,可能會發生一些錯誤。 建立設定檔時,傳回錯誤的設定會顯示在 [通知] 中:
設定可能顯示錯誤的一些常見原因包括:
- 設定值為非預期的格式。
- 匯入的 GPO 遺漏子設定,因此必須設定父設定。