搭配使用可重複使用的設定群組與 Intune 原則
這項功能處於公開預覽狀態。
Intune 支援可重複使用的設定群組,您可以將其新增至設定原則和配置檔,以協助簡化一般設定的管理。 使用可重複使用群組的好時機,就是當您需要在多個單一配置檔中使用具有相同組態的設定時。
當您編輯可重複使用群組中的設定時,您所做的變更會自動套用至包含群組的每個配置檔。 當您將變更儲存至可重複使用的設定群組時,Intune 使用這些新組態來更新配置檔,並根據配置檔的指派將更新的配置檔部署至裝置。
下列設定檔支援可重複使用的群組:
- 裝置控制,可透過端點安全 性「降低攻擊面 」原則取得。
- Windows 防火牆規則,可透過端點安全 性防火牆 原則取得。
可重複使用的設定群組概觀
每個可重複使用的設定群組都是可以包含多個設定的單一物件。 設定一或多個可重複使用的群組以搭配特定設定檔類型使用之後,您可以建立或編輯配置檔來新增群組。 配置檔可以支援多個群組。
若要管理可重複使用的設定群組,請在 Microsoft Intune 系統管理中心使用 [可重複使用的設定] 索引標籤,此索引標籤會與您想要使用群組的原則和配置檔相關聯。 在索引標籤上,您可以建立群組、編輯群組中的設定,以及檢視從每個群組繼承設定的原則計數。 每個可重複使用的設定群組只會搭配其相關的配置檔類型使用。
例如,下圖顯示您用來管理 Windows 防火牆防火牆規則配置檔之可重複使用群組的 [可重複使用設定] 索引卷標:
建立可重複使用的群組之後,您可以在配置檔的 [組態 設定 ] 頁面中使用選項,將群組新增至該配置檔。 包含一或多個可重複使用群組的配置檔會使用每個包含群組中的每個設定,就像是在配置檔中直接設定設定一樣。
必要條件
下列設定檔支援使用可重複使用的設定群組:
端點安全性原則
防火牆>Windows 防火牆規則:
- 平臺:Windows
- Windows 版本:裝置必須 Windows 10 20H2 或更新版本執行,或 Windows 11
受攻擊面縮小>裝置控制項:
- 平臺:Windows
端點許可權管理
- Windows 提高許可權規則原則
注意事項
目前不支援可重複使用的設定群組搭配安全性管理來 適用於端點的 Microsoft Defender。
建立可重複使用的群組
每個可重複使用的設定群組都包含您要建立群組之完整配置檔中的設定子集。 使用下列連結來檢視您可以在每個設定檔的設定群組中設定的設定:
若要建立可重複使用的設定群組:
開啟 Microsoft Intune 系統管理中心,流覽至您要建立可重複使用群組的原則,然後選取 [可重複使用的設定] (預覽) ] 索引標籤。
選取 [新增 ] 以開啟 [設定 可重複使用的設定] (預覽) 工作流程。
在 [ 基本] 頁面上,設定名稱。 描述是選用項目。
在 [ 組態設定] 頁面上,選取 [ 新增 ],然後設定此群組的設定,就如同直接在支援的配置檔中設定設定一樣。
針對 [裝置控制],當您選取 [ 新增 ] 時,必須選擇要設定的群組設定類型,然後選取 [ 編輯實例 ] 以繼續。 如果您新增多個實例,請檢閱群組的 [比對類型 ] 組態。
每個群組有100個實例的限制。 針對可重複使用的設定群組中的每個設定,使用系統管理中心的信息文字作為指引。 請遵循 深入瞭解 設定連結,從該設定內容來源檢視設定的詳細數據。
提示
仔細 為 您建立的每個可重複使用的群組命名,以確保您稍後可以識別它。 這很重要,因為您所建立的每個可重複使用群組,對於任何原則類型,在將可重複使用的群組新增至原則時都會顯示,即使群組包含通常不會套用至您所設定之原則的設定也一樣。 例如,如果您已針對 Windows 防火牆規則建立可重複使用的群組,則該群組會顯示,而且可以在將可重複使用的群組新增至裝置控制原則時選取。
在 [ 檢閱 + 新增] 頁面上,選取 [ 新增 ] 以儲存可重複使用的設定群組。
修改可重複使用的群組
當您編輯可重複使用的群組組態時,使用該群組的每個配置檔都會自動更新,以將新的組態套用至裝置。
開啟 Microsoft Intune 系統管理中心,流覽至您要建立可重複使用群組的原則,然後選取 [可重複使用的設定] (預覽) ] 索引標籤。
選取您想要編輯的可重複使用設定群組。 這會開啟組態工作流程,類似於建立新的可重複使用群組的工作流程。
在 [ 基本] 頁面上,您可以重新命名群組,然後在 [組態 設定 ] 頁面上重新設定設定。 在最後一個頁面上,選取 [ 儲存 ] 以儲存您的組態,並更新使用設定群組的配置檔。
將可重複使用的群組新增至 Windows 防火牆規則配置檔
在編輯或建立設定檔時,將可重複使用的設定群組新增至配置檔。 在 [配置檔組態設定] 頁面上,使用支援新增一或多個先前建立群組的選項。
注意事項
原生不支持輸入 FQDN 規則。 不過,您可以使用 預先串行化 腳本來產生規則的輸入IP專案。 如需詳細資訊,請參閱 Windows 防火牆檔中的 Windows 防火牆動態關鍵詞 。
在 Microsoft Intune 系統管理中心,建立新的配置檔,或選取並編輯現有的配置檔。
在 [ 組態設定] 頁面上,選取 [ 新增 ] 以新增規則,或選取 [編輯規則 ] 以管理先前建立的規則。
在規則的 [ 設定實例 ] 窗格上,設定 [動作 ] 以判斷此規則如何管理IP位址或 FQDN 等設定。 例如,您可以將 [動作] 設定為 [允許 ] 或 [封鎖]。 此設定同時適用於您直接新增至此規則的設定,以及新增至此規則之每個可重複使用群組中的設定。
儲存 規則組態。
針對您儲存的規則,選 取 [設定可重複使用的設定 ] 以開啟 [ 選取可重複使用的設定] 窗格。
選取一或多個可用的群組將其新增至此規則,然後儲存您的選取專案。
將可重複使用的群組新增至配置檔之後,請儲存您的設定。 儲存時,Intune 包含可重複使用群組的設定,並根據配置檔的指派將配置檔部署至裝置。
將可重複使用的群組新增至裝置控制配置檔
在編輯或建立設定檔時,將可重複使用的設定群組新增至配置檔。 裝置控制設定檔的可重複使用群組支援下列類型的設定:
- 印表機裝置
- 卸除式儲存裝置
在 [配置檔組態設定] 頁面上,使用支援新增一或多個先前建立群組的選項。
在 Microsoft Intune 系統管理中心,建立新的配置檔,或選取並編輯現有的配置檔。
在 [ 組態設定] 頁面上,展開 [裝置控件] 類別,然後選取 [ 新增 ] 以新增規則,或選取 [ 編輯專案 ] 以管理先前建立的規則。
- 選取 [新增] 以新增更多規則。
- 選 取 [編輯專案 ] 以開啟 [ 設定專案 ] 窗格,以進一步設定群組的使用。
在 [ 設定專案 ] 窗格上,為專案指定 名稱,然後設定下列專案,然後選取 [ 確定 ] 以儲存規則:
- 類型:定義抽取式儲存群組的動作。 當相同媒體的 Type 發生衝突時,會套用原則中定義的第一個類型。
- 選項:定義是否要向裝置用戶顯示通知。 可用的選項取決於選取的類型。
- 存取遮罩:從 [讀取]、[寫入]、[執行] 中選擇一或多個選項。
- Sid:本機使用者 Sid 或使用者 Sid 群組或 AD 物件的 Sid,定義是否要將此原則套用至特定使用者或使用者群組;一個專案最多可以有一個 Sid,而一個項目沒有任何 Sid 表示它會將原則套用到電腦上。
- 計算機 Sid:本機電腦 Sid 或電腦 Sid 群組或 AD 物件的 Sid,定義是否要將此原則套用至特定電腦或計算機群組;一個專案最多可以有一個 ComputerSid,而一個項目沒有任何 ComputerSid 表示它會將原則套用到電腦上。 如果您想要將 Entry 套用至特定使用者和特定電腦,請將 Sid 和 ComputerSid 新增至相同的 Entry。
如需這些選項的詳細資訊,請參閱 適用於端點的 Microsoft Defender 檔中的下列文章:
針對您儲存的規則,選取 [設定可重複使用的標識符] 和 [排除標識符] 以符合您的需求。 這兩個選項都會開啟 [ 選取可重複使用的設定] 窗格。
選取一或多個可用的群組將其新增至此規則,然後儲存您的選取專案。 下列顯示只針對 [排除標識符] 選取一個群組的組態:
將可重複使用的群組新增至配置檔之後,請完成原則設定。 儲存時,Intune 包含可重複使用群組的設定,並根據配置檔的指派將配置檔部署至裝置。 每個配置檔最多可以新增 100 個可重複使用的群組。
如果您有 E5 授權,您可以使用 適用於端點的 Microsoft Defender 來檢視 [裝置控制] 報告和 [進階搜捕] 底下的裝置控制事件。 請參閱使用裝置控制保護組織的數據 |Microsoft Docs 適用於端點的Defender檔中。
針對端點許可權管理員使用可重複使用的群組
如需針對端點許可權管理員使用可重複使用群組的支持相關信息,請參閱 端點許可權管理員的原則
關於原則衝突
您可以透過可重複使用的設定群組管理的裝置設定,會套用 Intune 與直接在配置檔中設定的設定相同。 如果衝突或重疊是由可重複使用群組的設定所導入,您可以使用相同的疑難解答程式來識別並解決這些衝突。
如需詳細資訊,請檢閱可能專屬於您所使用之配置檔類型的指引。 如需一般指引,請參閱針對 Microsoft Intune 中的原則和配置檔進行疑難解答,以及在 Microsoft Intune 中使用裝置原則和配置檔的常見問題和解答。