在 Microsoft Intune 中使用 群組原則 分析匯入及分析內部部署 GPO

提示

要尋找內部部署 GPO 分析嗎? Microsoft 安全性合規性工具組中有可用的工具。

Microsoft Intune 有許多與內部部署 GPO 相同的設定。 群組原則 分析是 Microsoft Intune 的工具:

  • 匯入並分析您的內部部署 GPO。
  • 顯示雲端式 MDM 提供者支援的設定,包括 Microsoft Intune。
  • 顯示任何已被取代的設定,或是無法使用的設定。
  • 可以 將匯入的 GPO 移轉至 可部署至裝置的設定目錄原則。

如果您的組織使用內部部署 GPO 來管理 Windows 10/11 裝置,則 群組原則 分析可以提供協助。 透過 群組原則 分析,Intune 可以取代內部部署 GPO。 Windows 10/11裝置原本就是雲端原生裝置。 因此,視您的設定而定,這些裝置可能不需要存取 內部部署的 Active Directory。

如果您已準備好移除對內部部署 AD 的相依性,則使用 群組原則 分析分析 GPO 是不錯的第一個步驟。 不支援某些較舊的設定,或不適用於雲端原生 Windows 裝置。 分析 GPO 之後,您會知道仍然有效的設定。

本功能適用於:

  • Windows 11
  • Windows 10

本文說明如何匯出內部部署 GPO、將 GPO 匯入 Intune,以及檢閱分析和結果。 若要將匯入的 GPO 移轉或轉移至 Intune 原則,請移至在 Microsoft Intune 中使用匯入的 GPO 建立設定目錄原則

開始之前

Microsoft Intune 系統管理中心,以 Intune 系統管理員身分或具有安全性基準裝置組態許可權的角色登入。 如需內建角色的詳細資訊,請參閱 角色型訪問控制

將 GPO 匯出為 XML 檔案

根據您使用的 GPMC 版本,下列步驟在您的伺服器上可能會有所不同。 當您匯出 GPO 時,請務必導出為 XML 檔案。

  1. 在您的內部部署計算機上,開 Group Policy Management 啟 GPMC.msc) (控制台。

  2. 在管理控制台中,展開您的 功能變數名稱

  3. 展開 [群組原則 物件] 以查看所有可用的 GPO。

  4. 以滑鼠右鍵按下您要移轉的 GPO,然後選擇 [ 儲存報告]

    顯示如何開啟 群組原則 管理,並將 GPO 儲存為 XML 檔案報表的螢幕快照。

  5. 為您的匯出選取易於存取的資料夾。 在 [ 另存新檔類型] 中,選取 [XML 檔案]。 在另一個步驟中,您會將此檔案新增至 Intune 中的組策略分析。

請確定檔案小於 4 MB,且具有適當的 Unicode 編碼。 如果導出的檔案大於 4 MB,則減少組策略物件中的設定數目。

匯入 GPO 並執行分析

  1. [Microsoft Intune 系統管理中心] 中,選取 [裝置>管理裝置>群組原則 分析]

  2. 選取 [匯入],選取您儲存的 XML 檔案 >[下一步]

    您可以同時選取多個檔案。

    檢查個別 GPO XML 檔案的大小。 單一 GPO 不能大於 4 MB。 如果單一 GPO 大於 4 MB,則匯入會失敗。 沒有適當 Unicode 結尾的 XML 檔案也會失敗。

  3. [範圍卷標] 中,選取您要套用至匯入 GPO 的現有範圍標籤。 如果您未選取現有的範圍標籤,則會自動使用 預設 範圍標籤:

    顯示如何匯入組策略物件 (GPO) ,並在 Microsoft Intune 和 Intune 系統管理中心選取範圍卷標的螢幕快照。

    只有您選取的範圍標籤中包含的系統管理員才能看到匯入的 GPO。 如需匯入 GPO 上範圍卷標的詳細資訊,請移至在本文中匯入 (時選取範圍 卷標) 。

  4. 取 [下一步>建立]

    當您選取 [建立] 時,Intune 會自動分析 XML 檔案中的 GPO。

  5. 執行分析之後,您匯入的 GPO 會列出下列資訊:

    • 群組原則 名稱:會使用 GPO 中的資訊自動產生名稱。

    • Active Directory 目標:使用組織單位 (OU 自動產生目標,) GPO 中的目標資訊。

    • MDM 支援:顯示 GPO 中組策略設定在 Intune 中具有相同設定的百分比。

      備註

      每當 Microsoft Intune 產品小組變更 Intune 中的對應時,MDM 支援下的百分比就會自動更新以反映這些變更。

    • 未知的設定:有一些 CSP 無法分析。 未知的設定會 列出無法分析的 GPO。

    • 以 AD 為目標 表示 GPO 已連結至內部部署組策略中的 OU。 表示 GPO 未連結至內部部署 OU。

    • 上次匯入:顯示上次匯入的日期。

    您可以 匯入 更多 GPO 進行分析、 重新 整理頁面,以及 篩選 輸出。 您也可以將此檢視 出至 .csv 檔案:

    顯示如何匯入、重新整理、篩選或導出組策略對象的螢幕快照, (GPO) 至 Microsoft Intune 和 Intune 系統管理中心的 CSV 檔案。

  6. 選取所列 GPO 的 MDM 支援 百分比。 如需 GPO 的詳細資訊,請參閱:

    • 設定名稱:名稱會使用 GPO 設定中的資訊自動產生。

    • 群組原則 設定類別:顯示 ADMX 設定的設定類別,例如 Internet Explorer 和 Microsoft Edge。 並非所有設定都有設定類別。

    • MDM 支援

      • 表示 Intune 中有相符的設定。 您可以在 [設定目錄] 中設定此設定。
      • 表示 MDM 提供者沒有相符的設定,包括 Intune。
      • 其他值:如果您匯入不再支援的舊版設定,則工具建議移轉至較新的支援版本。 如需移轉案例的詳細資訊,請移至 Intune 中匯入的 GPO - 您需要知道的事項
    • :顯示從 GPO 匯入的值。 它會顯示不同的值,例如 true900Enabledfalse等等。

    • 範圍:顯示匯入的 GPO 是否以使用者或目標裝置為目標。

    • 最低 OS 版本:顯示套用 GPO 設定的最低 Windows OS 版本組建編號。 它可以顯示 18362 (1903) 、 17130 (1803) 和其他 Windows 用戶端版本。

      例如,如果原則設定顯示 18362,則設定支援組建 18362 和較新的組建。

    • CSP 名稱:設定服務提供者 (CSP) 公開 Windows 用戶端中的裝置組態設定。 此資料行會顯示包含設定的 CSP。 例如,您可以看到 Policy、BitLocker、PassportforWork 等等。

      CSP 參考會列出可用的 CSP、顯示支援的 OS 版本等等。

    • CSP 對應:顯示內部部署原則的 OMA-URI 路徑。 您可以在 自訂裝置組態設定檔中使用 OMA-URI。 例如,您可能會看到 ./Device/Vendor/MSFT/BitLocker/RequireDeviceEnryption

  7. 對於具有 MDM 支援的設定,您可以使用這些設定來建立設定目錄原則。 如需特定步驟,請移至在 Microsoft Intune 中使用匯入的 GPO 建立設定目錄原則

匯入時選取範圍標籤

當您匯入 GPO 時,可以選取現有的範圍標籤。 如果您未選取範圍標籤,則會自動使用 預設 範圍標籤。 只有限定 [ 預設 範圍] 標籤範圍的系統管理員才能看到匯入的 GPO。 未限定 [ 預設 範圍] 標籤範圍的系統管理員不會看到匯入的 GPO。

此行為適用於您在匯入 GPO 時選取的任何範圍標籤。 系統管理員只有在匯入期間選取了其中一個相同的範圍卷標時,才會看到匯入的 GPO。 如果系統管理員沒有範圍標籤,他們就不會在報告或 GPO 清單中看到匯入的 GPO。

例如,系統管理員已 Charlotte將 、 LondonBoston 範圍標籤指派給其角色:

  • 具有 「並行」 範圍標籤的系統管理員會匯入 GPO。
  • 在匯入期間,他們會選取 [偵錯] 範圍標籤。 “並行” 範圍標籤會套用至匯入的 GPO。
  • 具有 「並行」 範圍標籤的所有系統管理員都可以看到匯入的物件。
  • 只有 “London” 或只有 “Boston” 範圍卷標的系統管理員,看不到來自 “Boston” 系統管理員的匯入物件。

若要讓系統管理員查看分析或將匯入的 GPO 移轉至 Intune 原則,這些系統管理員必須在匯入期間選取其中一個相同的範圍卷標。

如需範圍標籤的詳細資訊,請移至 分散式IT的 RBAC 和範圍標籤

支援的 CSP 和組策略

群組原則 分析可以剖析下列適用於 MDM 支援的 CSP:

如果您匯入的 GPO 具有不在支援的 CSP 和組策略中的設定,則設定可能會列在 [ 未知的設定 ] 資料行中。 此行為表示已在您的 GPO 中識別設定。

雖然 群組原則 分析可以剖析 CSP,但是在移轉匯入的 GPO 時,您應該知道一些事項。 如需詳細資訊,請移至將 匯入的 GPO 移轉至設定目錄原則 - 您需要知道的事項。

群組原則 移轉整備報告

  1. [Microsoft Intune 系統管理中心] 中,選取 [報告>裝置管理>] 組策略分析

    顯示如何在 Microsoft Intune 和 Intune 系統管理中心使用 群組原則 分析來檢閱匯入 GPO 報告和輸出的螢幕快照。

  2. 在 [ 摘要] 索引 標籤中,會顯示 GPO 及其原則的摘要。 使用此資訊來判斷 GPO 中原則的狀態:

    • 已準備好進行移轉:原則在 Intune 中有相符的設定,且已準備好移轉至 Intune。

    • 不支持:原則沒有相符的設定。 一般而言,顯示此狀態的原則設定不會公開給 MDM 提供者,包括 Intune。

    • 已淘汰:此原則可套用至較舊的 Windows 版本、較舊的 Microsoft Edge 版本,以及更多不再使用的原則。

      備註

      當 Microsoft Intune 產品小組更新對應邏輯時,您匯入的 GPO 會自動更新。 您不需要重新匯入 GPO。

  3. 選取 [ 報告] 索引標籤 >[組策略移轉整備] 。 在此報告中,您可以:

    • 查看 GPO 中可在裝置組態設定檔中設定的設定數目。 它也會顯示設定是否可以在自訂配置檔中、不支援或已被取代。
    • 使用 移轉整備程度、 配置檔類型CSP 名稱 篩選器來篩選報表輸出。
    • 取 [產生報表] 或 [ 再次產生 ] 以取得目前數據。
    • 請參閱 GPO 中的設定清單。
    • 使用搜尋列來尋找特定設定。
    • 取得上次產生報表的時間戳。

    備註

    新增或移除匯入的 GPO 之後,更新移轉整備程度報告數據可能需要大約 20 分鐘的時間。

已知問題

目前,群組原則 分析工具僅支援英文的非 ADMX 設定。 如果您匯入具有英文以外語言設定的 GPO,則 MDM 支援 百分比不正確。

傳送產品意見反應

您可以提供 群組原則 分析的意見反應。 在 [Microsoft Intune 系統管理中心] 中,選取 [裝置>管理裝置>群組原則 分析>取得意見反應]

意見反應區域的範例:

  • 您在 GPO 匯入或分析期間收到錯誤,而且需要更具體的資訊。
  • 使用 群組原則 分析在 Microsoft Intune 中尋找支援的組策略有多容易?
  • 此工具可協助您將一些工作負載移至 Intune 嗎? 如果是,您要考慮哪些工作負載?

若要取得客戶體驗的相關信息,會匯總意見反應並傳送給Microsoft。 輸入電子郵件是選擇性的,而且可用來取得詳細資訊。

隱私權和安全性

系統會匯總客戶數據的任何使用,例如貴組織所使用的 GPO。 它不會銷售給任何第三方。 此數據可用來在Microsoft內做出商務決策。 您的客戶數據會安全地儲存。

您可以隨時刪除匯入的 GPO:

  1. 移至 [裝置>] [管理裝置>群組原則 分析]

  2. 選取操作選單 >[刪除]

    顯示如何刪除或移除組策略對象的螢幕快照, (您在 Microsoft Intune 和 Intune 系統管理中心的 群組原則 分析器中匯入的 GPO) 。

後續步驟

另請參閱

深入了解設定 服務提供者 (CSP)