在 Microsoft Intune 中使用 群組原則 分析匯入及分析內部部署 GPO
提示
要尋找內部部署 GPO 分析嗎? Microsoft 安全性合規性工具組中有可用的工具。
Microsoft Intune 有許多與內部部署 GPO 相同的設定。
群組原則 分析是 Microsoft Intune 的工具:
- 匯入並分析您的內部部署 GPO。
- 顯示雲端式 MDM 提供者支援的設定,包括 Microsoft Intune。
- 顯示任何已被取代的設定,或是無法使用的設定。
- 可以 將匯入的 GPO 移轉至 可部署至裝置的設定目錄原則。
如果您的組織使用內部部署 GPO 來管理 Windows 10/11 裝置,則 群組原則 分析可以提供協助。 透過 群組原則 分析,Intune 可以取代內部部署 GPO。 Windows 10/11裝置原本就是雲端原生裝置。 因此,視您的設定而定,這些裝置可能不需要存取 內部部署的 Active Directory。
如果您已準備好移除對內部部署 AD 的相依性,則使用 群組原則 分析分析 GPO 是不錯的第一個步驟。 不支援某些較舊的設定,或不適用於雲端原生 Windows 裝置。 分析 GPO 之後,您會知道仍然有效的設定。
本功能適用於:
本文說明如何匯出內部部署 GPO、將 GPO 匯入 Intune,以及檢閱分析和結果。 若要將匯入的 GPO 移轉或轉移至 Intune 原則,請移至在 Microsoft Intune 中使用匯入的 GPO 建立設定目錄原則。
在 Microsoft Intune 系統管理中心,以 Intune 系統管理員身分或具有安全性基準和裝置組態許可權的角色登入。 如需內建角色的詳細資訊,請參閱 角色型訪問控制。
根據您使用的 GPMC 版本,下列步驟在您的伺服器上可能會有所不同。 當您匯出 GPO 時,請務必導出為 XML 檔案。
在您的內部部署計算機上,開 Group Policy Management
啟 GPMC.msc) (控制台。
在管理控制台中,展開您的 功能變數名稱。
展開 [群組原則 物件] 以查看所有可用的 GPO。
以滑鼠右鍵按下您要移轉的 GPO,然後選擇 [ 儲存報告]:
為您的匯出選取易於存取的資料夾。 在 [ 另存新檔類型] 中,選取 [XML 檔案]。 在另一個步驟中,您會將此檔案新增至 Intune 中的組策略分析。
請確定檔案小於 4 MB,且具有適當的 Unicode 編碼。 如果導出的檔案大於 4 MB,則減少組策略物件中的設定數目。
在 [Microsoft Intune 系統管理中心] 中,選取 [裝置>管理裝置>群組原則 分析]。
選取 [匯入],選取您儲存的 XML 檔案 >[下一步]。
您可以同時選取多個檔案。
檢查個別 GPO XML 檔案的大小。 單一 GPO 不能大於 4 MB。 如果單一 GPO 大於 4 MB,則匯入會失敗。 沒有適當 Unicode 結尾的 XML 檔案也會失敗。
在 [範圍卷標] 中,選取您要套用至匯入 GPO 的現有範圍標籤。 如果您未選取現有的範圍標籤,則會自動使用 預設 範圍標籤:
只有您選取的範圍標籤中包含的系統管理員才能看到匯入的 GPO。 如需匯入 GPO 上範圍卷標的詳細資訊,請移至在本文中匯入 (時選取範圍 卷標) 。
選 取 [下一步>建立]。
當您選取 [建立] 時,Intune 會自動分析 XML 檔案中的 GPO。
執行分析之後,您匯入的 GPO 會列出下列資訊:
群組原則 名稱:會使用 GPO 中的資訊自動產生名稱。
Active Directory 目標:使用組織單位 (OU 自動產生目標,) GPO 中的目標資訊。
MDM 支援:顯示 GPO 中組策略設定在 Intune 中具有相同設定的百分比。
備註
每當 Microsoft Intune 產品小組變更 Intune 中的對應時,MDM 支援下的百分比就會自動更新以反映這些變更。
未知的設定:有一些 CSP 無法分析。
未知的設定會 列出無法分析的 GPO。
以 AD 為目標: 是 表示 GPO 已連結至內部部署組策略中的 OU。
否 表示 GPO 未連結至內部部署 OU。
上次匯入:顯示上次匯入的日期。
您可以 匯入 更多 GPO 進行分析、 重新 整理頁面,以及 篩選 輸出。 您也可以將此檢視 匯 出至 .csv
檔案:
選取所列 GPO 的 MDM 支援 百分比。 如需 GPO 的詳細資訊,請參閱:
設定名稱:名稱會使用 GPO 設定中的資訊自動產生。
群組原則 設定類別:顯示 ADMX 設定的設定類別,例如 Internet Explorer 和 Microsoft Edge。 並非所有設定都有設定類別。
MDM 支援:
-
是表示 Intune 中有相符的設定。 您可以在 [設定目錄] 中設定此設定。
-
否表示 MDM 提供者沒有相符的設定,包括 Intune。
- 其他值:如果您匯入不再支援的舊版設定,則工具建議移轉至較新的支援版本。 如需移轉案例的詳細資訊,請移至 Intune 中匯入的 GPO - 您需要知道的事項。
值:顯示從 GPO 匯入的值。 它會顯示不同的值,例如 true
、 900
、 Enabled
、 false
等等。
範圍:顯示匯入的 GPO 是否以使用者或目標裝置為目標。
最低 OS 版本:顯示套用 GPO 設定的最低 Windows OS 版本組建編號。 它可以顯示 18362
(1903) 、 17130
(1803) 和其他 Windows 用戶端版本。
例如,如果原則設定顯示 18362
,則設定支援組建 18362
和較新的組建。
CSP 名稱:設定服務提供者 (CSP) 公開 Windows 用戶端中的裝置組態設定。 此資料行會顯示包含設定的 CSP。 例如,您可以看到 Policy、BitLocker、PassportforWork 等等。
CSP 參考會列出可用的 CSP、顯示支援的 OS 版本等等。
CSP 對應:顯示內部部署原則的 OMA-URI 路徑。 您可以在 自訂裝置組態設定檔中使用 OMA-URI。 例如,您可能會看到 ./Device/Vendor/MSFT/BitLocker/RequireDeviceEnryption
。
對於具有 MDM 支援的設定,您可以使用這些設定來建立設定目錄原則。 如需特定步驟,請移至在 Microsoft Intune 中使用匯入的 GPO 建立設定目錄原則。
當您匯入 GPO 時,可以選取現有的範圍標籤。 如果您未選取範圍標籤,則會自動使用 預設 範圍標籤。 只有限定 [ 預設 範圍] 標籤範圍的系統管理員才能看到匯入的 GPO。 未限定 [ 預設 範圍] 標籤範圍的系統管理員不會看到匯入的 GPO。
此行為適用於您在匯入 GPO 時選取的任何範圍標籤。 系統管理員只有在匯入期間選取了其中一個相同的範圍卷標時,才會看到匯入的 GPO。 如果系統管理員沒有範圍標籤,他們就不會在報告或 GPO 清單中看到匯入的 GPO。
例如,系統管理員已 Charlotte
將 、 London
或 Boston
範圍標籤指派給其角色:
- 具有 「並行」 範圍標籤的系統管理員會匯入 GPO。
- 在匯入期間,他們會選取 [偵錯] 範圍標籤。 “並行” 範圍標籤會套用至匯入的 GPO。
- 具有 「並行」 範圍標籤的所有系統管理員都可以看到匯入的物件。
- 只有 “London” 或只有 “Boston” 範圍卷標的系統管理員,看不到來自 “Boston” 系統管理員的匯入物件。
若要讓系統管理員查看分析或將匯入的 GPO 移轉至 Intune 原則,這些系統管理員必須在匯入期間選取其中一個相同的範圍卷標。
如需範圍標籤的詳細資訊,請移至 分散式IT的 RBAC 和範圍標籤。
群組原則 分析可以剖析下列適用於 MDM 支援的 CSP:
如果您匯入的 GPO 具有不在支援的 CSP 和組策略中的設定,則設定可能會列在 [ 未知的設定 ] 資料行中。 此行為表示已在您的 GPO 中識別設定。
雖然 群組原則 分析可以剖析 CSP,但是在移轉匯入的 GPO 時,您應該知道一些事項。 如需詳細資訊,請移至將 匯入的 GPO 移轉至設定目錄原則 - 您需要知道的事項。
在 [Microsoft Intune 系統管理中心] 中,選取 [報告>裝置管理>] 組策略分析:
在 [ 摘要] 索引 標籤中,會顯示 GPO 及其原則的摘要。 使用此資訊來判斷 GPO 中原則的狀態:
已準備好進行移轉:原則在 Intune 中有相符的設定,且已準備好移轉至 Intune。
不支持:原則沒有相符的設定。 一般而言,顯示此狀態的原則設定不會公開給 MDM 提供者,包括 Intune。
已淘汰:此原則可套用至較舊的 Windows 版本、較舊的 Microsoft Edge 版本,以及更多不再使用的原則。
備註
當 Microsoft Intune 產品小組更新對應邏輯時,您匯入的 GPO 會自動更新。 您不需要重新匯入 GPO。
選取 [ 報告] 索引標籤 >[組策略移轉整備] 。 在此報告中,您可以:
- 查看 GPO 中可在裝置組態設定檔中設定的設定數目。 它也會顯示設定是否可以在自訂配置檔中、不支援或已被取代。
- 使用 移轉整備程度、 配置檔類型和 CSP 名稱 篩選器來篩選報表輸出。
- 選 取 [產生報表] 或 [ 再次產生 ] 以取得目前數據。
- 請參閱 GPO 中的設定清單。
- 使用搜尋列來尋找特定設定。
- 取得上次產生報表的時間戳。
備註
新增或移除匯入的 GPO 之後,更新移轉整備程度報告數據可能需要大約 20 分鐘的時間。
目前,群組原則 分析工具僅支援英文的非 ADMX 設定。 如果您匯入具有英文以外語言設定的 GPO,則 MDM 支援 百分比不正確。
您可以提供 群組原則 分析的意見反應。 在 [Microsoft Intune 系統管理中心] 中,選取 [裝置>管理裝置>群組原則 分析>取得意見反應]。
意見反應區域的範例:
- 您在 GPO 匯入或分析期間收到錯誤,而且需要更具體的資訊。
- 使用 群組原則 分析在 Microsoft Intune 中尋找支援的組策略有多容易?
- 此工具可協助您將一些工作負載移至 Intune 嗎? 如果是,您要考慮哪些工作負載?
若要取得客戶體驗的相關信息,會匯總意見反應並傳送給Microsoft。 輸入電子郵件是選擇性的,而且可用來取得詳細資訊。
系統會匯總客戶數據的任何使用,例如貴組織所使用的 GPO。 它不會銷售給任何第三方。 此數據可用來在Microsoft內做出商務決策。 您的客戶數據會安全地儲存。
您可以隨時刪除匯入的 GPO:
移至 [裝置>] [管理裝置>群組原則 分析]。
選取操作選單 >[刪除]:
深入了解設定 服務提供者 (CSP) 。