设备配置文件
可以将设备配置文件视为设备配置选项层次结构的一部分。
设备配置选项 | 说明 |
---|---|
你的配置 | 顶部是你自己的配置,例如网络详细信息或应用程序。 设备可以具有任意数量的这些配置,这些配置不受 Microsoft 托管桌面管理或阻止。 |
自定义 | 下一个更高的级别是更多的 自定义。 每个设备可以有一个或多个(或无)自定义项。 自定义项可以:
|
设备配置文件 | 每个 Microsoft 托管桌面设备必须分配一个且只有一个配置文件。 管理员可以选择为设备分配的配置文件。 可以将不同的预设配置文件分配给设备。 每个配置文件都针对特定类型用户的需求进行了优化。 有三个设备配置文件可用:
|
Foundation 版 | 从根本上说,每个 Microsoft 托管桌面设备都有一个基础,其中包括:
若要使用 Microsoft 托管桌面,每个设备都必须包含所有这些元素。 管理员无法更改这些元素。 必须向 Microsoft 托管桌面提交请求。 |
设备配置文件详细信息
下表汇总了设备配置文件配置的每个设置的设置及其默认值。 在后台,这些设置使用 Microsoft Intune 管理中心中的自定义配置文件配置 OMA-URIs。
功能 | 敏感数据 | Power 用户 | 标准 | Kiosk |
---|---|---|---|---|
阻止外部存储 | 是 | 是 | 否 | 是 |
云块级别 | 高 | 高 | 高 | 高 |
禁用 Microsoft 帐户 | 是 | 是 | 否 | 是 |
禁用个人 OneDrive | 是 | 是 | 否 | 是 |
切换到安全桌面以实现提升 | 否 | 是 | 否 | 否 |
Microsoft Defender for Endpoint 设备标记 | M365Managed-SensitiveData | M365Managed-PowerUser | M365Managed-Standard | M365Managed-Kiosk |
是设备上的管理员? | 否 | 是 | 否 | 否 |
Autopilot 配置文件 | 新式工作区 Autopilot 配置文件 | 新式工作区 Autopilot 配置文件 Power User | 新式工作区 Autopilot 配置文件 | 新式工作区 Autopilot 配置文件展台 |
AppLocker | 是 | 否 | 否 | 否 |
阻止公共存储 | 是 | 是 | 否 | 是 |
每个设备配置文件也涉及以下项:
- 设备组Microsoft Entra动态成员身份。
- 设备组Microsoft Entra静态成员身份。
- Microsoft Intune配置文件。
重要
不要直接修改这些组的成员身份。 使用接口,如“重新分配配置文件”中所述。
注意
若要在Windows 365设备上完全打开 Power User 配置文件,必须在Windows 365用户设置中设置启用本地管理员并将用户添加到分配的组。 有关详细信息,请参阅 使用户成为本地管理员。
限制
可以像使用任何其他策略一样,向设备配置文件及其详细信息请求例外。
Microsoft Entra组织中只能有一个设备配置文件 (“tenant”) 。 例如,不能请求敏感数据设备配置文件仅对某些用户禁用 AppLocker。 具有敏感数据设备配置文件的所有设备必须具有相同的配置。
每个设备只能有一个配置文件。 如果多个用户使用给定设备,则该设备上的所有用户都将具有相同的配置。
导出管理员 CSV
分配有 Power 用户设备配置文件的设备 还包括管理员组中的用户 () 。 作为 IT 管理员,你可以下载并查看分配给本地管理员组的所有用户和组。
若要导出 CSV 文件,请执行以下操作:
- 在Microsoft Intune管理中心,在左窗格中选择“设备”。
- 在“Microsoft 托管桌面”部分中,选择“设备”。
- 选择“ 导出 ”菜单选项,然后选择“ 导出管理员”。 下载 CSV 文件。
CSV 包括:
- 从过去 28 天内处于活动状态的所有设备检索的信息。
- 每天午夜刷新一次的数据。 内容每 24 小时刷新一次。
- 设备配置文件名称和可针对 Power 用户设备配置文件进行筛选。
- 包含Microsoft Entra组的本地管理员组的成员,该组将包含 (G) 后缀。 禁用的帐户将包含 (D) 后缀。
- 某些数据将显示为 GUID。 显示为 GUID 的数据是因为我们无法确定用户名。 我们仅收集本地设备上显示的用户名。