使用设置目录在 Windows、iOS/iPadOS 和 macOS 设备上配置设置

设置目录列出了可在一个位置配置的所有设置。 此功能简化了创建策略的方式以及查看所有可用设置的方式。 例如,可以使用设置目录创建包含所有 BitLocker 设置的 BitLocker 策略。

还可以 在 Intune 中使用 Microsoft Copilot。 将 Copilot 功能与设置目录结合使用时,可以使用 Copilot:

  • 详细了解每个设置,在分析时产生 什么 影响,并发现潜在的冲突。
  • 汇总现有策略,并获取对用户和安全的影响分析。

如果想要在精细级别配置设置,类似于使用本地组策略对象 (GPO) ,则设置目录是一种自然过渡到基于云的策略。

创建策略时,可以从头开始。 仅添加要控制和管理的设置。

若要管理和保护组织中的设备,请将设置目录用作移动设备管理 (MDM) 解决方案的一部分。 将不断将更多设置添加到设置目录。 有关设置的当前列表,请参阅 IntunePMFiles/DeviceConfig GitHub 存储库

此功能适用于:

  • iOS/iPadOS

    包括直接从 Apple 特定于配置文件的有效负载密钥生成的设备设置。 正在不断添加更多设置和密钥。 若要了解详细信息,请参阅 Apple 网站上的 特定于配置文件的有效负载密钥

    Apple 的声明性设备管理 (DDM) 内置于设置目录中。 在使用 用户注册注册的 iOS/iPadOS 15+ 设备上的设置目录中配置设置时,会自动使用 DDM。 如果 DDM 不起作用,这些设备将使用 Apple 的标准 MDM 协议。 所有其他 iOS/iPadOS 设备将继续使用 Apple 的标准 MDM 协议。

  • macOS

    包括直接从 Apple 特定于配置文件的有效负载密钥生成的设备设置。 正在不断添加更多设置和密钥。 若要详细了解配置文件特定的有效负载密钥,请参阅 Apple 网站上的 特定于配置文件的有效负载密钥

    设置目录中提供了 Apple 的声明性设备管理 (DDM) 。 可以使用 DDM 来管理软件更新、密码限制等。

    还可以使用设置目录配置较新版本的 Microsoft Edge 和其他功能,而不是使用属性列表 (plist) 文件。 有关更多信息,请参阅:

    可以继续使用 首选项文件 来:

    • 配置早期版本的 Microsoft Edge。
    • 配置不在设置目录中的 Microsoft Edge 浏览器设置。
  • Windows 10/11

    有数千个设置,包括以前不可用的设置。 这些设置直接从 Windows 配置服务提供程序 (CSP) 生成。 还可以配置管理模板,并提供更多可用的管理模板设置。 当 Windows 向 MDM 提供程序添加或公开更多设置时,这些设置将添加到 Microsoft Intune 中供你配置。

提示

本文介绍创建策略的步骤,演示如何在 Intune 中搜索和筛选设置,并演示如何使用 Copilot。

创建策略时,策略会创建设备配置文件。 然后,可以将此配置文件分配或部署到贵组织中的设备。

有关可以使用设置目录配置的功能的信息,请参阅 可以使用 Intune 中的设置目录完成的任务

创建策略

使用设置目录配置文件类型创建策略。

  1. 登录到Microsoft Intune 管理中心

  2. 选择“设备”>“管理设备”>“配置”>“创建”>“新策略”。

  3. 输入以下属性:

    • 平台:选择 iOS/iPadOSmacOSWindows 10 及更高版本
    • 配置文件类型:选择 “设置目录”。
  4. 选择“创建”。

  5. 在“基本信息”中,输入以下属性:

    • 名称:为配置文件命名,以便以后可以轻松识别它们。 例如,一个好的配置文件名称是 macOS: Microsoft Edge 设置Win10: BitLocker 设置(适用于所有 Win10 设备)。
    • 说明:输入配置文件的说明。 此设置是可选的,但建议设置。
  6. 选择 下一步

  7. 在“配置设置”中,选择“添加设置”。 在设置选取器中,选择一个类别以查看所有可用设置。

    例如,选择“ Windows 10 及更高版本”,然后选择“ 身份验证 ”以查看此类别中的所有设置:

    屏幕截图显示了在 Intune 和 Intune 管理中心Microsoft“Windows”和“身份验证”时的设置目录。

    例如,选择“macOS”。 Microsoft Edge - 所有类别列出了可以配置的所有设置。 其他类别包括已过时或适用于旧版本的设置:

    显示选择 macOS 并在 Intune 和 Intune 管理中心Microsoft功能或类别时设置目录的屏幕截图。

    提示

    • 在 macOS 上,将暂时删除类别。 若要查找特定设置,请使用“Microsoft Edge - 全部”类别,或搜索设置名称。 有关设置名称的列表,请参阅 Microsoft Edge - 策略

    • 使用工具提示中的 “了解详细信息” 链接可查看设置是否已过时并查看支持的版本。

  8. 选择要配置的任何设置。 或者,选择“选择所有这些设置”

    显示当你在 Intune 和 Intune 管理中心Microsoft选择所有这些设置时的设置的屏幕截图。

    添加设置后,关闭设置选取器。 将显示所有设置,并使用默认值(例如 “阻止”“允许”)进行配置。 这些默认值与 OS 中的默认值相同。 如果不想配置设置,请选择减号 (-) :

    显示“设置目录”的屏幕截图,以及 Microsoft Intune 和 Intune 管理中心中的默认值与 OS 默认值相同。

    选择减号时:

    • Intune 不会更改或更新此设置。 减号与“未配置”相同。 如果设为“未配置”,则不再管理此设置。
    • 此设置将从策略中删除。 下次打开策略时,不会显示该设置。 但可以重新添加它。
    • 设备下次签入时,该设置不再处于锁定状态。 另一个策略或设备用户可以更改策略。

    提示

    • 在 Windows 设置工具提示中,“了解详细信息”链接到 CSP。

    • 当设置允许多个值时,建议单独添加每个值。 例如,可以在 “蓝牙>服务允许列表” 设置中输入多个值。 在单独的行上输入每个值: 屏幕截图,显示 Intune 中“设置目录”和 Intune 管理中心Microsoft中具有多个值的设置。

      可以在单个字段中添加多个值,但可能会遇到字符限制。

  9. 选择 下一步

  10. 在“作用域标记”(可选)中,分配一个标记以将配置文件筛选到特定 IT 组(如 US-NC IT TeamJohnGlenn_ITDepartment。 有关范围标记的详细信息,请参阅将 RBAC 角色和范围标记用于分布式 IT

    选择 下一步

  11. 在“分配”中,选择将接收配置文件的用户或组。 有关详细信息,请参阅 分配用户和设备配置文件

    选择 下一步

  12. “查看并创建”中查看设置。 选择“创建”时,将保存所做的更改并分配配置文件。 该策略也会显示在配置文件列表中。

下次设备检查配置更新时,将应用你配置的设置。

查找一些设置并详细了解每个设置

设置目录中提供数千个设置。 若要查找所需的设置,请使用搜索和筛选功能。

如果使用 Copilot,则可以获取有关每个设置的 AI 生成的信息。

创建新策略或更新现有策略时,内置搜索和筛选功能可帮助你查找设置。

  • 若要在策略中查找特定设置,可以使用 “添加设置>搜索”。 可以按类别(例如 browser;搜索关键字,如 officegoogle),然后搜索特定设置。

    例如,搜索 internet explorer。 具有 internet explorer 的所有设置均会显示。 选择一个类别以查看可用的设置:

    显示搜索 Internet Explorer 以查看 Microsoft Intune 和 Intune 管理中心中的所有 Internet Explorer 设置时的设置目录的屏幕截图。

  • 在策略中,使用“添加设置”>“添加筛选器”。 选择键、运算符和值。

    筛选 OS 版本时,可以筛选适用于特定 Windows 版本的设置:

    显示按 Windows 版本在 Intune 和 Intune 管理中心Microsoft筛选设置列表时设置目录的屏幕截图。

    注意

    对于 Edge、Office 和 OneDrive 设置,操作系统版本不能确定设置是否适用。 因此,如果筛选到特定版本(如 Windows 专业版),则不会显示 Edge、Office 和 OneDrive 设置。

    还可以 按设备或用户范围筛选设置。 有关详细信息,请参阅本文) 中的 设备范围与用户范围设置 (:

    显示 Intune 和 Intune 管理中心Microsoft设置目录中的用户和设备范围筛选器的屏幕截图。

复制配置文件

选择 复制 以创建现有配置文件的副本。 需要与原始配置文件类似的配置文件时,复制很有用。 副本包含与原始配置文件相同的设置配置和范围标记,但未附加分配。

为新配置文件命名后,可以对其进行编辑以调整设置并添加分配。

  1. 转到“设备”>“管理设备”>“配置”。
  2. 找到要复制的配置文件。 右键单击该配置文件或选择省略号上下文菜单 ()。
  3. 选择“复制”。
  4. 输入策略的新名称和说明。
  5. 单击“保存”以保存更改

导入和导出配置文件

此功能适用于:

  • Windows 11
  • Windows 10

创建设置目录策略时,可以将策略导出到文件 .json 。 然后,可以导入此文件以创建新策略。 如果要创建类似于现有策略的策略,此功能非常有用。 例如,导出策略,导入它以创建新策略,然后对新策略进行更改。

  1. 转到“设备”>“管理设备”>“配置”。

  2. 若要导出现有策略,请选择 Windows 设置目录策略,然后选择省略号/上下文菜单 () >导出 JSON

    显示如何在 Intune 和 Intune 管理中心Microsoft将设置目录策略导出为 JSON 的屏幕截图。

  3. 若要导入以前导出的设置目录策略,请选择“ 创建>导入策略”:

    显示如何在 Intune 和 Intune 管理中心Microsoft导入现有设置目录策略的屏幕截图。

    选择导出的 JSON 文件并命名新策略。 单击“保存”以保存更改

冲突和报告

将同一设置更新为不同的值(包括使用设置目录配置的策略)时,会发生冲突。 在 Intune 管理中心中,可以检查现有策略的状态。 数据几乎实时自动刷新。

有一些内置功能可以帮助你排查冲突,包括按设置的状态报告。

如果使用 Copilot,可以使用内置提示获取有关现有策略的详细信息,包括其影响。

在 Intune 管理中心,可以使用内置报告功能来帮助查找和解决冲突。

  1. Intune 管理中心,选择“ 设备>管理设备>配置”。 在列表中,选择使用设置目录创建的策略。 “配置文件类型”列显示“设置目录”

    显示如何在 Intune 和 Intune 管理中心Microsoft打开设置目录的屏幕截图。

  2. 选择策略时,将显示设备状态。 它显示了策略状态和策略属性的摘要。 你还可以在“配置设置”部分中更改或更新策略:

    显示如何选择设置目录策略以查看 intune 和 Intune 管理中心Microsoft设备状态、策略状态和属性的屏幕截图。

  3. 选择“查看报表”。 报表将显示详细信息,包括设备名称、策略状态等。 还可以筛选部署状态并将报表 导出.csv 文件:

    显示如何在 Intune 和 Intune 管理中心Microsoft查看详细报表信息的屏幕截图,包括设备名称、策略状态等。

  4. 还可以使用每个设置状态查看每个 设置的状态,该状态是策略中每个设置影响的设备数。

    可以执行下列操作:

    • 查看设置已成功应用、冲突或错误的设备数。
    • 选择“符合”、“冲突”或“错误”状态下的设备数, 查看处于该状态的用户或设备列表。
    • 搜索、排序、筛选、导出和转到下一页/上一页。
  5. 在管理中心选择“设备”>“监视”>“分配失败”。 如果设置目录策略由于错误或冲突而无法部署,则会在此列表中显示。 你也可以导出.csv 文件。

  6. 选择策略以查看设备。 然后,选择特定设备以查看失败的设置,并可能显示错误代码。

提示

Intune 报表 是一个很好的资源。 有关可以查看的所有报告数据的信息,请转到 Intune 报表

有关解决冲突的详细信息,请参阅:

设置目录与模板

创建策略时,有两种策略类型可供选择: “设置目录”“模板”

显示创建 Windows 或 macOS 策略时,在 Intune 和 Intune 管理中心Microsoft选择设置目录或模板的屏幕截图。

模板包括一组逻辑设置,例如展台、VPN、Wi-Fi 等。 如果要使用这些分组来配置设置,请使用此选项。

设置目录列出了所有可用的设置。 如果要查看所有可用的防火墙设置或所有可用的 BitLocker 设置,请使用此选项。 如果要查找特定设置,也使用此选项。

设备范围与用户范围设置

选择设置时,某些设置在设置名称中具有 (User)(Device) 标记,例如 Allow EAP Cert SSO (User)Grouping (Device)。 看到这些标记时,策略仅影响用户范围或设备范围。

有关用户范围和设备范围的详细信息,请参阅 策略 CSP

分配策略时会使用设备和用户组。 设备和用户范围描述如何强制实施策略。

范围分配行为

从 Intune 部署策略时,可以将用户范围或设备范围分配给任何类型的目标组。 每个用户的策略行为取决于设置的范围:

  • 用户范围的策略写入 HKEY_CURRENT_USER (HKCU)
  • 设备范围的策略写入 HKEY_LOCAL_MACHINE (HKLM)

当设备签入 Intune 时,设备始终显示 deviceID。 设备可能提供,也可能不显示 userID,具体取决于签入时间和用户是否已登录。

以下列表包括范围、分配和预期行为的一些可能组合:

  • 如果将设备范围策略分配给设备,则该设备上的所有用户都应用了该设置。
  • 如果将设备范围的策略分配给用户,则一旦该用户登录并发生 Intune 同步,设备范围设置将应用于设备上的所有用户。
  • 如果将用户范围策略分配给设备,则该设备上的所有用户都应用了该设置。 此行为类似于环回设置为合并
  • 如果将用户范围策略分配给用户,则只有该用户应用了该设置。
  • 用户范围和设备范围中提供了一些设置。 如果其中一个设置同时分配给用户和设备范围,则用户范围优先于设备范围。

如果在初始签入期间没有 用户配置单元 ,可以看到一些用户范围设置标记为 不适用。 此行为发生在用户出现之前设备活动的早期阶段。

后续步骤