使用 Windows 10/11 模板配置 Microsoft Intune 中的组策略设置

  • 项目

Microsoft Intune 中的管理模板包括数千个可以控制版本 Microsoft Edge 版本 77 及更高版本、Internet Explorer、Google Chrome、Microsoft Office 程序、远程桌面、OneDrive、密码、PIN 等功能的设置。 这些设置允许管理员使用云创建组策略。

此功能适用于:

  • Windows 11
  • Windows 10

Intune模板是基于云的,内置Intune (无需下载) ,也不需要任何自定义项,包括使用 OMA-URI。 它们提供一种直接的方式来配置和查找所需的设置:

  • Windows 设置类似于本地 Active Directory (AD) 中的组策略 (GPO) 设置。 这些设置内置于 Windows 中,是 ADMX 支持的 、使用 XML 的设置。

  • Office、Microsoft Edge 和 Visual Studio 设置是 ADMX 引入的,并使用在本地环境中下载的相同管理模板文件。

  • 可以导入自定义和第三方 ADMX 和 ADML 文件。 有关详细信息,请参阅 导入自定义或合作伙伴 ADMX 文件

管理组织中的设备时,将创建应用于不同设备组的设置组。 此外,还需要可配置设置的简单视图。 可以使用 Microsoft Intune 中的管理模板执行此操作。

作为移动设备管理 (MDM) 解决方案的一部分,将这些模板设置用作管理 Windows 客户端设备的一站式商店。

本文介绍如何为 Windows 客户端设备创建模板,以及如何筛选Intune中的所有设置。 创建模板时,模板会创建设备配置配置文件。 然后,你可以将此配置文件分配或部署到组织中的 Windows 客户端设备。

准备工作

创建模板

  1. 登录到Microsoft Intune管理中心

  2. 选择“设备>配置Create>”。

  3. 输入以下属性:

    • 平台:选择“Windows 10 及更高版本”。
    • 配置文件类型:若要使用设置的逻辑分组,请选择 “模板>管理模板”。 若要查看所有设置,请选择“设置目录”

  4. 选择“创建”。

  5. 在“基本信息”中,输入以下属性:

    • 名称:输入配置文件的描述性名称。 为配置文件命名,以便稍后可以轻松地识别它们。 例如,一个好的配置文件名称是 ADMX:Windows 10/11 管理模板,用于在 Microsoft Edge 中配置 xyz 设置
    • 说明:输入配置文件的说明。 此设置是可选的,但建议设置。

  6. 选择 下一步

  7. 在“配置设置”中,选择“所有设置”,查看所有设置按字母顺序排序的列表。 或者,配置适用于 (计算机配置) 设备的设置,以及应用于用户的设置 , (用户配置) :

    屏幕截图显示了将 ADMX 模板设置应用于 Microsoft Intune 和 Intune 管理中心中的用户和设备的位置。

    注意

    如果使用 设置目录,请选择“ 添加设置”,然后展开“ 管理模板”。 选择任意设置,查看可配置的内容。

    屏幕截图显示了在 Microsoft Intune 和 Intune 管理中心的设置目录中展开管理模板的位置。

    有关使用设置目录创建策略的详细信息,请参阅 使用设置目录配置设置

  8. 选择“所有设置”时,将列出所有设置。 向下滚动,使用 前面下一个 箭头查看更多设置:

    屏幕截图显示了设置的示例列表,并使用 Intune 管理中心和Microsoft Intune中的上一个和下一个按钮。

  9. 选择任意设置。 例如,在 Office 上筛选,然后选择“激活受限浏览”。 列出设置的详细描述。 选择 “启用”“禁用”,或将设置保留为“ 未配置 ” (默认) 。 详细说明还介绍了选择“已启用”、“禁用”或“未配置”时会发生什么情况。

    提示

    Intune 中的 Windows 设置与在本地组策略编辑器 (gpedit) 中看到的本地组策略路径相关联。

  10. 选择“计算机配置”或“用户配置”时,将显示设置类别。 选择任意类别以查看可用设置。

    例如,依次选择“计算机配置”>“Windows 组件”>“Internet Explorer”即可查看适用于 Internet Explorer 的所有设备设置:

    屏幕截图显示应用于 Microsoft Intune 和管理中心Intune Internet Explorer 的所有设备设置

  11. 选择“确定”,保存所做更改。

    继续浏览设置列表,并在环境中配置所需设置。 下面是一些示例:

    • 使用“VBA 宏通知设置”设置,在不同的 Microsoft Office 程序(包括 Word 和 Excel)中处理 VBA 宏
    • 使用“允许文件下载”设置,允许或阻止从 Internet Explorer 下载。
    • 使用“唤醒计算机时需要密码(接通电源)”,在从睡眠模式唤醒设备时提示用户输入密码。
    • 使用“下载未签名的 ActiveX 控件”设置,阻止用户从 Internet Explorer 下载未签名的 ActiveX 控件。
    • 使用“关闭系统还原”设置,许可或阻止用户在设备上运行系统还原。
    • 使用“允许导入收藏夹”设置,允许或阻止用户将另一个浏览器中的收藏夹导入 Microsoft Edge

  12. 选择 下一步

  13. 在“作用域标记”(可选)中,分配一个标记以将配置文件筛选到特定 IT 组(如 US-NC IT TeamJohnGlenn_ITDepartment。 有关范围标记的详细信息,请参阅对分布式 IT 使用基于角色的访问控制 (RBAC) 和范围标记

    选择 下一步

  14. 在“分配”中,选择将接收配置文件的用户或组。 有关分配配置文件的详细信息,请参阅在 Intune 中分配用户和设备配置文件

    如果配置文件分配给用户组,则配置的 ADMX 设置将应用于用户注册并登录的任何设备。 如果配置文件分配给设备组,则配置的 ADMX 设置适用于登录到该设备的任何用户。 如果 ADMX 设置是计算机配置 () HKEY_LOCAL_MACHINE 或用户配置 (HKEY_CURRENT_USER) ,则会发生此分配。 对于某些设置,分配给用户的计算机设置也会影响其他用户在该设备上的体验。

    有关详细信息,请参阅分配策略时的用户组与设备组

    选择 下一步

  15. “查看并创建”中查看设置。 选择“创建”时,将保存所做的更改并分配配置文件。 该策略也会显示在配置文件列表中。

下次设备检查配置更新时,将应用你配置的设置。

查找某些设置

这些模板提供数千个设置。 若要更轻松地查找特定设置,请使用以下内置功能:

  • 在模板中,选择“设置”、“状态”、“设置类型”“路径”列对列表进行排序。 例如,选择“ 路径” 列,然后使用 下一个 箭头查看路径中的 Microsoft Excel 设置。

  • 在模板中,请使用“搜索”框查找特定设置。 可以通过设置 或 路径进行搜索。 例如,选择“所有设置”,然后搜索 copy。 具有 copy 的所有设置均会显示:

    屏幕截图显示搜索“复制”的位置,以显示Microsoft Intune Intune和管理中心的管理模板中的所有设备设置。

    在另一个示例中,搜索 microsoft word。 随即便可看到可以为 Microsoft Word 程序设置的设置。 搜索 explorer 查看可以添加到模板的 Internet Explorer 设置。

  • 还可以通过选择“ 计算机配置 ”或“ 用户配置”来缩小搜索范围。

    例如,若要查看所有可用的 Internet Explorer 用户设置,请选择“ 用户配置”,然后搜索 Internet Explorer。 仅显示适用于用户的 Internet Explorer 设置:

    屏幕截图显示了 ADMX 模板,可在其中选择“用户配置”,并在 Microsoft Intune 中搜索或筛选 Internet Explorer。

创建已知问题回滚 (KIR) 策略

在已注册的设备上,可以使用管理模板创建已知问题回滚 (KIR) 策略,并将此策略部署到 Windows 设备。 有关具体步骤,请参阅使用 Microsoft Intune ADMX 策略引入到托管设备部署 KIR 激活

有关 KIR 的详细信息,请参阅:

后续步骤