设备配置文件

可以将设备配置文件视为设备配置选项层次结构的一部分。

显示为棱锥图的设备配置。说明如下。

设备配置选项 说明
你的配置 顶部是你自己的配置,例如网络详细信息或应用程序。 设备可以具有任意数量的这些配置,这些配置不受 Microsoft 托管桌面管理或阻止。
自定义 下一个更高的级别是更多的 自定义。 每个设备可以有一个或多个(或无)自定义项。 自定义项可以:
  • 修改较低级别的层 (设备配置文件或基础配置) 或
  • 成为基于标准配置分层的全新请求。
设备配置文件 每个 Microsoft 托管桌面设备必须分配一个且只有一个配置文件。 管理员可以选择为设备分配的配置文件。

可以将不同的预设配置文件分配给设备。 每个配置文件都针对特定类型用户的需求进行了优化。 有三个设备配置文件可用:
  • 标准
  • 敏感数据
  • Power 用户
  • 展台
Foundation 版 从根本上说,每个 Microsoft 托管桌面设备都有一个基础,其中包括:
  • 标准安全基线
  • 合规性策略
  • Windows 更新设置

若要使用 Microsoft 托管桌面,每个设备都必须包含所有这些元素。 管理员无法更改这些元素。 必须向 Microsoft 托管桌面提交请求。

设备配置文件详细信息

下表汇总了设备配置文件配置的每个设置的设置及其默认值。 在后台,这些设置使用 Microsoft Intune 管理中心中的自定义配置文件配置 OMA-URIs



功能 敏感数据 Power 用户 标准 Kiosk
阻止外部存储
云块级别
禁用 Microsoft 帐户
禁用个人 OneDrive
切换到安全桌面以实现提升
Microsoft Defender for Endpoint 设备标记 M365Managed-SensitiveData M365Managed-PowerUser M365Managed-Standard M365Managed-Kiosk
是设备上的管理员?
Autopilot 配置文件 新式工作区 Autopilot 配置文件 新式工作区 Autopilot 配置文件 Power User 新式工作区 Autopilot 配置文件 新式工作区 Autopilot 配置文件展台
AppLocker
阻止公共存储

每个设备配置文件也涉及以下项:

  • 设备组Microsoft Entra动态成员身份。
  • 设备组Microsoft Entra静态成员身份。
  • Microsoft Intune配置文件。

重要

不要直接修改这些组的成员身份。 使用接口,如“重新分配配置文件”中所述。

注意

若要在Windows 365设备上完全打开 Power User 配置文件,必须在Windows 365用户设置中设置启用本地管理员并将用户添加到分配的组。 有关详细信息,请参阅 使用户成为本地管理员

限制

可以像使用任何其他策略一样,向设备配置文件及其详细信息请求例外。

Microsoft Entra组织中只能有一个设备配置文件 (“tenant”) 。 例如,不能请求敏感数据设备配置文件仅对某些用户禁用 AppLocker。 具有敏感数据设备配置文件的所有设备必须具有相同的配置。

每个设备只能有一个配置文件。 如果多个用户使用给定设备,则该设备上的所有用户都将具有相同的配置。

导出管理员 CSV

分配有 Power 用户设备配置文件的设备 还包括管理员组中的用户 () 。 作为 IT 管理员,你可以下载并查看分配给本地管理员组的所有用户和组。

若要导出 CSV 文件,请执行以下操作:

  1. Microsoft Intune管理中心,在左窗格中选择“设备”。
  2. 在“Microsoft 托管桌面”部分中,选择“设备”。
  3. 选择“ 导出 ”菜单选项,然后选择“ 导出管理员”。 下载 CSV 文件。

CSV 包括:

  • 从过去 28 天内处于活动状态的所有设备检索的信息。
  • 每天午夜刷新一次的数据。 内容每 24 小时刷新一次。
  • 设备配置文件名称和可针对 Power 用户设备配置文件进行筛选。
  • 包含Microsoft Entra组的本地管理员组的成员,该组将包含 (G) 后缀。 禁用的帐户将包含 (D) 后缀。
  • 某些数据将显示为 GUID。 显示为 GUID 的数据是因为我们无法确定用户名。 我们仅收集本地设备上显示的用户名。