在 Microsoft Intune 中创建设备配置文件

项目
07/16/2024

使用设备配置文件，可以添加和配置设置，然后将这些设置推送到组织中的设备。创建策略时，可以选择以下选项：

管理模板：在 Windows 10/11 设备上，这些模板是你配置的 ADMX 设置。如果你熟悉 ADMX 策略或组策略对象 (GPO)，则使用管理模板对于 Microsoft Intune 是非常简单的步骤。

有关详细信息，请转到管理模板
基线：在 Windows 10/11 设备上，这些基线包括预配置的安全设置。如果要使用 Microsoft 安全团队的建议创建安全策略，则安全基线适合你。

有关详细信息，请转到安全基线。
设置目录：在 Apple 和 Windows 设备上，可以使用设置目录配置设备功能和设置。设置目录在一个位置中包含所有可用设置。例如，你可以查看适用于 BitLocker 的所有设置，并创建仅侧重于 BitLocker 的策略。在 macOS 设备上，使用设置目录配置 Microsoft Edge 版本 77 的设置。

有关详细信息，请转到设置目录。
模板：在 Android、iOS/iPadOS、macOS 和 Windows 设备上，模板包括配置功能或概念的逻辑设置分组，如 VPN、电子邮件、展台设备等。如果你熟悉如何在 Microsoft Intune 中创建设备配置策略，那么已经在使用这些模板。

有关详细信息（包括可用模板），请转到对使用设备配置文件的设备应用功能和设置。

本文：

列出创建配置文件的步骤。
演示如何添加范围标记以“筛选”策略。
介绍 Windows 客户端上的适用性规则，并展示如何创建规则。
对于设备接收配置文件和任何配置文件更新时的签入刷新周期时间，提供了详细信息。

此功能适用于：

Android
iOS/iPadOS
macOS
Windows

创建配置文件

配置文件在Microsoft Intune 管理中心內创建。在此管理中心中，选择“设备”。可以选择下列选项：

概述：列出配置文件的状态，并提供有关分配给用户和设备的配置文件的更多详细信息。
监视：检查配置文件的状态（成功或失败），并查看配置文件中的日志。
按平台：创建并查看按平台列出的策略和配置文件。此视图还可以显示特定于平台的功能。例如，选择 “Windows 10 及更高版本”。你将看到特定于 Windows 的功能，例如Windows 更新通道和PowerShell 脚本。
管理设备：创建设备配置文件、上传自定义PowerShell 脚本以在设备上运行，以及使用eSIM将数据计划添加到设备。

创建配置文件 (设备>管理设备>配置>创建) 时，请选择平台：

Android 设备管理员
Android Enterprise
iOS/iPadOS
macOS
Windows 10 及更高版本
Windows 8.1 及更高版本

然后选择配置文件。根据所选择的平台，可配置的设置有所不同。以下文章介绍了不同配置文件：

例如，如果选择“Android Enterprise”作为平台，选项将类似于以下配置文件：

如果选择“Windows 10 和更高版本”作为平台，选项将类似于以下配置文件：

作用域标记

添加设置后，还可以向配置文件添加作用域标记。 “作用域标记”将配置文件筛选到特定 IT 组（例如 US-NC IT Team 或 JohnGlenn_ITDepartment）。并且用于分布式 IT。

要详细了解作用域标记以及可以执行的操作，请转到将 RBAC 和作用域标记用于分布式 IT。

适用性规则

应用于：

Windows 11
Windows 10

适用性规则允许管理员针对满足特定条件的组中的设备。例如，创建适用于所有 Windows 10/11 设备组的设备限制配置文件。而且，你只需要将配置文件分配给运行 Windows Enterprise 的设备。

若要执行此任务，请创建适用性规则。这些规则对于以下情况非常有用：

你使用 Windows 10 教育版 (EDU)。在毕罗思大学，你希望针对 RS3 和 RS4 之间的所有 Windows 10 EDU 设备。
你希望针对 Contoso 人力资源的所有用户，但只需要 Windows 10 专业版或企业版设备。

若要实现这些方案，你需要：

创建包括毕罗思大学的所有设备的设备组。在配置文件中，添加一个在操作系统最低版本为 16299、最大版本为 17134 时应用的适用性规则。将此配置文件分配给毕罗思大学设备组。

分配该配置文件后，它会应用于输入的最低和最高版本之间的设备。对于不在输入的最低和最高版本之间的设备，其状态显示为“不适用”。
创建一个用户组，该用户组包括 Contoso 的人力资源 (HR) 中的所有用户。在配置文件中，添加一个适用性规则，使其适用于运行 Windows 10 专业版或企业版的设备。将此配置文件分配给 HR 用户组。

分配该配置文件后，它会应用于运行 Windows 10 专业版或企业版的设备。对于未运行这些版本的设备，其状态显示为“不适用”。
如果有两个配置文件具有完全相同的设置，则会应用没有适用性规则的配置文件。

例如，ProfileA 针对 Windows 10 设备组，它启用 BitLocker，并且没有适用性规则。 ProfileB 针对相同的 Windows 10 设备组，它启用 BitLocker，并且具有仅将配置文件应用于 Windows 10 企业版的适用性规则。

如果同时分配了两个配置文件，则会应用 ProfileA，因为它没有适用性规则。

将配置文件分配给组时，适用性规则充当筛选器，仅针对满足条件的设备。

添加规则

在策略中，选择“适用性规则”。你可以选择“规则”和“属性”：
在“规则”中，选择是否要包括或排除用户或组。选项包括：
- 在以下情况下分配配置文件：包括满足你输入的条件的用户或组。
- 在以下情况下不分配配置文件：不包括满足你输入的条件的用户或组。
在“属性”中，选择筛选器。选项包括：
- 操作系统版本：在列表中，选中要在规则中包括（或排除）的 Windows 客户端版本。
- 操作系统版本：输入要在规则中包括（或排除）的最低和最高 Windows 客户端版本号。两个值都是必需的。
  
  例如，对于最低版本，可以输入 10.0.16299.0（RS3 或 1709），对于最高版本，可以输入 10.0.17134.0（RS4 或 1803）。或者，可以更精细地输入 10.0.16299.001 表示最低版本，10.0.17134.319 表示最高版本。
  
  有关版本号的详细信息，请转到Windows 客户端版本信息。
选择“添加”，保存所做更改。

策略刷新周期时间

Intune 使用不同的刷新周期来检查配置文件的更新。如果设备是最近注册的，则会增加运行签入的频率。策略和配置文件刷新周期列出了估计的刷新时间。

用户可以随时打开公司门户应用，并同步设备以立即检查配置文件更新。

建议

创建配置文件时，请考虑下列建议：

命名策略，以便了解其定义和用途。所有符合性策略和配置文件都有一个可选的“说明”属性。在“说明”中，具体明确并包含信息，使其他人知道策略的用途。

某些配置文件示例包括：

配置文件名称：管理模板 - 适用于所有 Windows 10 用户的 OneDrive 配置文件
配置文件描述：OneDrive 管理模板配置文件，其中包括适用于所有 Windows 10 用户的最小和基本设置。由user@contoso.com创建，可防止用户将组织数据共享到个人 OneDrive 帐户。

配置文件名称：适用于所有 iOS/iPadOS 用户的 VPN 配置文件
配置文件说明：VPN 配置文件，其中包括适用于要连接到 Contoso VPN 的所有 iOS/iPadOS 用户的最小和基本设置。由user@contoso.com创建，以便用户自动向 VPN 进行身份验证，而不是提示用户输入其用户名和密码。
按照任务创建配置文件，例如配置 Microsoft Edge 设置、启用 Microsoft Defender 防病毒设置、阻止 iOS/iPadOS 越狱设备等。
创建适用于特定组（如市场营销、销售、IT 管理员）的配置文件，或按位置或学校系统创建配置文件。使用内置功能，包括：
将用户策略与设备策略分开。

例如，Intune 中的管理模板具有数千个 ADMX 设置。这些模板将显示是否将设置应用于用户或设备。创建管理模板时，将用户设置分配给用户组，并将设备设置分配给设备组。

下图显示了可应用于用户和/或应用于设备的设置示例：
在 Intune 中使用 Microsoft Copilot 以评估策略，详细了解策略设置及其对用户和安全性的影响，并比较两台设备之间的策略。

有关详细信息，请转到Intune 中的 Microsoft Copilot。
每次创建限制性策略时，请将此更改传达给用户。例如，如果要将密码要求从四 (4) 个字符更改为六 (6) 个字符，请在分配策略之前告知用户。

后续步骤

分配配置文件并监视其状态。

通过