使用设置目录在 Windows、iOS/iPadOS 和 macOS 设备上配置设置
设置目录列出了可配置的所有设置,这些设置都在一个位置。 此功能简化了创建策略以及查看所有可用设置的方式。 例如,可以使用设置目录创建包含所有 BitLocker 设置的 BitLocker 策略。
还可以在 Intune 中使用 Microsoft Copilot。 将 Copilot 功能与设置目录结合使用时,可以使用 Copilot:
- 详细了解每个设置,获取影响 What If 分析,并查找潜在的冲突。
- 汇总现有策略,并获取对用户和安全的影响分析。
如果想要在精细级别配置设置(类似于本地组策略对象 (GPO) ),则设置目录是一种自然过渡到基于云的策略。
创建策略时,可以从头开始。 仅添加要控制和管理的设置。
若要管理和保护组织中的设备,请将设置目录用作移动设备管理 (MDM) 解决方案的一部分。 将不断将更多设置添加到设置目录。 有关设置的列表,请转到 IntunePMFiles/DeviceConfig GitHub 存储库。
此功能适用于:
iOS/iPadOS
包括直接从 Apple 特定于配置文件的有效负载密钥生成的设备设置。 正在不断添加更多设置和密钥。 若要详细了解特定于配置文件的有效负载密钥,请转到 特定于配置文件的有效负载密钥(打开 Apple 的网站)。
Apple 的声明性设备管理 (DDM) 内置于设置目录中。 在使用 用户注册注册的 iOS/iPadOS 15+ 设备上的设置目录中配置设置时,会自动使用 DDM。 如果 DDM 由于任何原因而不起作用,则这些设备将使用 Apple 的标准 MDM 协议。 所有其他 iOS/iPadOS 设备将继续使用 Apple 的标准 MDM 协议。
macOS
包括直接从 Apple 特定于配置文件的有效负载密钥生成的设备设置。 正在不断添加更多设置和密钥。 若要详细了解特定于配置文件的有效负载密钥,请转到 特定于配置文件的有效负载密钥(打开 Apple 的网站)。
设置目录中提供了 Apple 的声明性设备管理 (DDM) 。 可以使用 DDM 来管理软件更新、密码限制等。
Windows 10/11
有数千个设置,包括以前不可用的设置。 这些设置直接从 Windows 配置服务提供程序 (CSP) 生成。 还可配置管理模板,并提供更多管理模板设置。 当 Windows 向 MDM 提供程序添加或公开更多设置时,这些设置会更快速地添加到 Microsoft Intune 以便你进行配置。
提示
- 有关设置目录中的设置列表,请转到 IntunePMFiles/DeviceConfig GitHub 存储库。
- 若要查看已配置的 Microsoft Edge 策略,请打开 Microsoft Edge,并转到
edge://policy
。
本文列出了创建策略的步骤,演示如何在 Intune 中搜索和筛选设置,并演示如何使用 Copilot。
创建策略时,策略会创建设备配置文件。 然后,可以将此配置文件分配或部署到贵组织中的设备。
有关可以使用设置目录配置的某些功能的详细信息,请转到 使用 Intune 中的“设置目录”可以完成的任务。
创建策略
可以使用设置目录配置文件类型创建策略。
选择“ 设备>配置>创建”。
输入以下属性:
- 平台:选择 iOS/iPadOS、macOS 或 Windows 10 及更高版本。
- 配置文件类型:选择 “设置目录”。
选择“创建”。
在“基本信息”中,输入以下属性:
- 名称:输入配置文件的描述性名称。 为配置文件命名,以便稍后可以轻松地识别它们。 例如,macOS: MSFT Edge 设置 或 Win10: 适用于所有 Win10 设备的 BitLocker 设置 都是很好的配置文件名称。
- 说明:输入配置文件的说明。 此设置是可选的,但建议进行。
选择 下一步。
在“配置设置”中,选择“添加设置”。 在设置选取器中,选择一个类别以查看所有可用设置。
例如,选择“Windows 10 及更高版本”,然后选择“身份验证”以查看此类别中的所有设置:
例如,选择“macOS”。 “Microsoft Edge - 全部”类别列出了可配置的所有设置,其中包括所有新设置。 其他类别包括过时的设置或适用于旧版本的设置:
提示
在 macOS 上,将暂时删除类别。 若要查找特定设置,请使用“Microsoft Edge - 全部”类别,或搜索设置名称。 有关设置名称的列表,请转到“Microsoft Edge - 策略”。
使用工具提示中的“了解详细信息”链接来查看设置是否已过时,并查看受支持的版本。
选择要配置的任何设置。 或者,选择“选择所有这些设置”:
添加设置后,关闭设置选取器。 显示所有设置,并使用默认值进行配置,例如“阻止”或“允许”。 这些默认值与 OS 中的默认值相同。 如果不想配置设置,请选择减号:
选择减号(
-
)时:- Intune 不会更改或更新此设置。 减号与“未配置”相同。 如果设为“未配置”,则不再管理此设置。
- 此设置将从策略中删除。 下次打开策略时,不会显示该设置。 你可以再次添加。
- 设备下次签入时,该设置不再处于锁定状态。 另一个策略或设备用户可以更改策略。
提示
在 Windows 设置工具提示中,“了解详细信息”链接到 CSP。
当设置允许多个值时,建议单独添加每个值。
例如,可以在 “蓝牙>服务允许列表” 设置中输入多个值。 在单独的行上输入每个值:
可以在单个字段中添加多个值,但可能会遇到字符限制。
选择 下一步。
在“作用域标记”(可选)中,分配一个标记以将配置文件筛选到特定 IT 组(如
US-NC IT Team
或JohnGlenn_ITDepartment
)。 有关范围标记的详细信息,请参阅将 RBAC 角色和范围标记用于分布式 IT。选择 下一步。
在“分配”中,选择将接收配置文件的用户或组。 有关分配配置文件的详细信息,请参阅分配用户和设备配置文件。
选择 下一步。
在“查看并创建”中查看设置。 选择“创建”时,将保存所做的更改并分配配置文件。 该策略也会显示在配置文件列表中。
下次设备检查配置更新时,将应用你配置的设置。
查找一些设置并详细了解每个设置
设置目录中提供数千个设置。 若要帮助查找所需的设置,可以使用设置目录中的搜索和筛选功能。
如果使用 Copilot,则可以获取有关每个设置的 AI 生成的信息。
创建新策略或更新现有策略时,内置搜索和筛选功能可帮助你查找设置。
在策略中,若要查找特定设置,可以使用添加设置>搜索。 可以按类别(如
browser
)搜索关键字(如office
或google
),以及搜索特定设置。例如,搜索
internet explorer
。 具有internet explorer
的所有设置均会显示。 选择一个类别以查看可用的设置:在策略中,使用“添加设置”>“添加筛选器”。 选择键、运算符和值。
筛选 OS 版本时,可以筛选适用于特定 Windows 版本的设置:
注意
对于 Edge、Office 和 OneDrive 设置,操作系统版本不能确定设置是否适用。 因此,如果筛选到特定版本(如 Windows Professional),则不会显示 Edge、Office 和 OneDrive 设置。
还可以 按设备或用户范围筛选设置。 有关用户范围和设备范围的详细信息,请转到本文中的 设备范围与用户范围设置 () :
复制配置文件
选择 复制 以创建现有配置文件的副本。 当需要与原始配置文件相似但又不同的配置文件时,复制非常有用。
副本包含与原始配置文件相同的设置配置和范围标记,但未附加分配。 为新配置文件命名后,可以对其进行编辑以调整设置并添加分配。
- 转到 “设备>配置”。
- 找到要复制的配置文件。 右键单击该配置文件或选择省略号上下文菜单 (
…
)。 - 选择“复制”。
- 输入策略的新名称和说明。
- 单击“保存”以保存更改。
导入和导出配置文件
此功能适用于:
- Windows 10 及更高版本
创建设置目录策略时,可以将策略导出到文件 .json
。 然后,可以导入此文件以创建新策略。 如果要创建类似于现有策略的策略,此功能非常有用。 例如,导出策略,导入它以创建新策略,然后对新策略进行更改。
转到 “设备>配置”。
若要导出现有策略,请选择配置文件 > ,选择省略号上下文菜单 (
…
) >导出 JSON:若要导入以前导出的设置目录策略,请选择“ 创建>导入策略”:
选择导出的 JSON 文件并命名新策略。 单击“保存”以保存更改。
冲突和报告
将同一设置更新为不同的值(包括使用设置目录配置的策略)时,会发生冲突。 在Intune管理中心,可以检查现有策略的状态。 数据会自动刷新,并以近乎实时的方式运行。
有一些内置功能可以帮助你排查冲突,包括按设置的状态报告。
如果使用 Copilot,则可以使用一些内置提示来获取有关现有策略的详细信息,包括其影响。
在 Intune 管理中心,可以使用内置报告功能来帮助查找和解决冲突。
在Intune管理中心,选择“设备>配置”。 在列表中,选择使用设置目录创建的策略。 “配置文件类型”列显示“设置目录”:
选择策略时,将显示设备状态。 它显示了策略状态和策略属性的摘要。 你还可以在“配置设置”部分中更改或更新策略:
选择“查看报表”。 报表将显示详细信息,包括设备名称、策略状态等。 你还可以筛选部署状态,并将报表导出到
.csv
文件:还可以使用“每个设置的状态”查看每个设置的状态。 此状态显示策略中每个设置所影响的总设备数。
可以执行下列操作:
- 查看设置已成功应用、冲突或错误的设备数。
- 选择“符合”、“冲突”或“错误”状态下的设备数, 并查看处于该状态的用户或设备的列表。
- 搜索、排序、筛选、导出和转到下一页/上一页。
在管理中心选择“设备”>“监视”>“分配失败”。 如果由于错误或冲突而无法部署设置目录策略,则此列表中会显示该策略。 你也可以导出到
.csv
文件。选择策略以查看设备。 然后,选择特定设备以查看失败的设置以及可能的错误代码。
有关解决冲突的详细信息,请转到:
设置目录与模板
创建策略时,你有两种策略类型:设置目录和模板:
模板包括一组逻辑设置,例如展台、VPN、Wi-Fi 等。 如果要使用这些分组来配置设置,请使用此选项。
设置目录列出了所有可用的设置。 如果要查看所有可用的防火墙设置或所有可用的 BitLocker 设置,请使用此选项。 如果要查找特定设置,也使用此选项。
设备范围与用户范围设置
选择设置时,某些设置在设置名称中具有 (User)
标记或 (Device)
标记, 例如,Allow EAP Cert SSO (User)
或 Grouping (Device)
。 看到这些标记时,策略仅影响用户范围或设备范围。
有关用户范围和设备范围的详细信息,请参阅策略 CSP。
分配策略时会使用设备和用户组。 设备和用户范围描述如何强制实施策略。
范围分配行为
从 Intune 部署策略时,可以将用户范围或设备范围分配给任何类型的目标组。 每个用户的策略行为取决于设置的范围:
- 用户范围的策略写入
HKEY_CURRENT_USER (HKCU)
。 - 设备范围的策略写入
HKEY_LOCAL_MACHINE (HKLM)
。
当设备签入 Intune 时,设备始终显示 deviceID
。 设备可能提供userID
,也可能不提供 ,具体取决于检查计时以及用户是否已登录。
以下列表包括范围、分配和预期行为的一些可能组合:
- 如果将设备范围策略分配给设备,则该设备上的所有用户都应用了该设置。
- 如果将设备范围的策略分配给用户,则在该用户登录并进行 Intune 同步后,设备范围设置将应用于设备上的所有用户。
- 如果将用户范围策略分配给设备,则该设备上的所有用户都应用了该设置。 此行为类似于环回设置为合并。
- 如果将用户范围的策略分配给用户,则仅该用户应用了该设置。
- 用户范围和设备范围中提供了一些设置。 如果将其中一个设置同时分配给用户和设备范围,则用户范围将优先于设备范围。
如果在初始检查期间没有用户配置单元,则可以看到一些用户范围设置标记为不适用。 在用户出现之前,此行为会在设备的早期发生。
后续步骤
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈