使用設定目錄在 Windows、iOS/iPadOS 和 macOS 裝置上設定設定

設定目錄會列出您可以在單一位置設定的所有設定。 此功能可簡化您如何建立原則，以及如何查看所有可用的設定。 例如，您可以使用設定目錄來建立具有所有 BitLocker 設定的 BitLocker 原則。

您也可以 在 Intune 中使用 Microsoft Copilot。 當您搭配設定目錄使用 Copilot 功能時，可以使用 Copilot 來：

• 深入瞭解每個設定、取得影響 假設 分析，以及尋找潛在衝突。
• 摘要現有的原則，並取得對用戶和安全性的影響分析。

如果您想要在更細微的層級設定設定，類似於使用內部部署組策略物件 (GPO) ，則設定目錄會自然轉換為雲端式原則。

當您建立原則時，您會從頭開始。 您僅新增要控制和管理的設定。

若要管理及保護組織中的裝置，請使用設定目錄作為行動裝置管理 (MDM) 解決方案的一部分。 設定目錄中會持續新增更多設定。 如需目前的設定清單，請參閱 IntunePMFiles/DeviceConfig GitHub 存放庫。

本功能適用於：

• iOS/iPadOS

  包含直接從 Apple Profile-Specific 承載金鑰產生的裝置設定。 會持續新增更多設定和索引鍵。 若要深入瞭解，請參閱Apple網站上的 配置檔特定承載密鑰 。

  Apple 的宣告式裝置管理 (DDM) 內建於設定目錄中。 當您在使用 使用者註冊註冊的 iOS/iPadOS 15+ 裝置上從設定目錄設定設定時，您會自動使用 DDM。 如果 DDM 無法運作，這些裝置將會使用 Apple 的標準 MDM 通訊協定。 所有其他 iOS/iPadOS 裝置都會繼續使用 Apple 的標準 MDM 通訊協定。

• macOS

  包含直接從 Apple Profile-Specific 承載金鑰產生的裝置設定。 會持續新增更多設定和索引鍵。 若要深入瞭解配置檔特定承載密鑰，請參閱 Apple 網站上的 設定檔特定承載金鑰 。

  Apple 的宣告式裝置管理 (DDM) 可在設定目錄中取得。 您可以 使用 DDM 來管理軟體更新、密碼限制等等。

  您也可以使用設定目錄來設定較新版本的 Microsoft Edge 和其他功能，而不是屬性清單 (plist) 檔案。 如需詳細資訊，請參閱：

  • 取代 plist 檔案的內建 macOS 功能
  • 使用 Microsoft Intune 將屬性清單檔案新增至 macOS 裝置。

  您可以繼續使用 喜好設定檔案 來：

  • 設定舊版的 Microsoft Edge。
  • 設定不在設定目錄中的Microsoft Edge 瀏覽器設定。

• Windows 10/11

  有數千個設定，包括先前無法使用的設定。 這些設定是直接從 Windows 設定服務提供者 (CSP) 產生。 您也可以設定系統管理範本，並提供更多系統管理範本設定。 當 Windows 新增或公開更多設定給 MDM 提供者時，這些設定會新增至 Microsoft Intune 以供您設定。

提示

• 如需設定目錄中的設定清單，請參閱 IntunePMFiles/DeviceConfig GitHub 存放庫。
• 若要查看您已設定的 Microsoft Edge 原則，請開啟 Microsoft Edge 並移至 edge://policy。

本文說明建立原則的步驟、示範如何在 Intune 中搜尋和篩選設定，以及示範如何使用 Copilot。

當您建立原則時，它會建立裝置組態配置檔。 然後，您可以將此設定檔指派或部署至組織中的裝置。

如需您可以使用設定目錄設定之功能的相關信息，請參閱 您可以在Intune中使用設定目錄完成的工作。

建立原則

您可以使用設定目錄設定檔類型來建立原則。

1. 登入 Microsoft Intune 系統管理中心。

2. 選取 [裝置]>[管理裝置]>[設定]>[建立]>[新原則]。

3. 輸入下列內容：

   • 平台：選取 iOS/iPadOS、 macOS 或 Windows 10 和更新版本。
   • 設定檔類型：選 取 [設定目錄]。

4. 選取 [建立]。

5. 在 [基本資訊] 中，輸入下列內容：

   • Name: 為您的設定檔命名，以方便之後能夠輕鬆識別。 例如，良好的配置檔名稱為 macOS：Microsoft Edge 設定 或 Win10：所有 Win10 裝置的 BitLocker 設定。
   • 描述：輸入設定檔的描述。 此設定是選擇性的，但建議使用。

6. 選取 [下一步]。

7. 在 [ 組態設定] 中，選取 [ 新增設定]。 在 [設定選擇器] 中，選取類別以查看所有可用的設定。

   例如，選取 [Windows 10 和更新版本]，然後選取 [ 驗證 ] 以查看此類別中的所有設定：

   

   例如，選取 [macOS]。 [Microsoft Edge - 所有類別目錄會列出您可以設定的所有設定。 其他類別包括已過時或適用於舊版的設定：

   

   提示

   • 在macOS上，類別會暫時移除。 若要尋找特定設定，請使用 [Microsoft Edge - 所有 類別]，或搜尋設定名稱。 如需設定名稱的清單，請 參閱 Microsoft Edge - 原則]。

   • 使用工具提示中的 [深入瞭解] 連結來查看設定是否已過時，以及查看支援的版本。

8. 選取您想要設定的任何設定。 或者，選擇 [選取所有這些設定]：

   

   新增設定之後，請關閉設定選擇器。 所有設定都會以預設值顯示和設定，例如 [封鎖 ] 或 [ 允許]。 這些預設值是OS中的相同預設值。 如果您不想設定設定，請選擇取減號 () - ：

   

   當您選取減號時：

   • Intune 不會變更或更新此設定。 減號與 [未設定] 相同。 當設定為 [未設定] 時，即不再管理設定。
   • 此設定會從原則中移除。 下次開啟原則時，不會顯示設定。 但您可以重新新增它。
   • 下次裝置簽入時，設定已不再鎖定。 另一個原則或裝置使用者可以變更原則。

   提示

   • 在 Windows 設定工具提示中， 深入瞭解 CSP 的連結。

   • 當設定允許多個值時，建議您個別新增每個值。 例如，您可以在 [藍牙>服務允許的清單 ] 設定中輸入多個值。 在個別行上輸入每個值：的設定。

     您可以在單一欄位中新增多個值，但可能會遇到字元限制。

9. 選取[下一步]。

10. 在 [範圍標籤] (選擇性) 中，指派標籤來針對特定 IT 群組篩選設定檔，例如 US-NC IT Team 或 JohnGlenn_ITDepartment。 如需範圍標籤的詳細資訊，請 參閱針對分散式IT使用 RBAC 角色和範圍標籤。

    選取 [下一步]。

11. 在 [ 指派] 中，選取將接收您配置檔的使用者或群組。 如需詳細資訊， 請參閱指派使用者和裝置配置檔。

    選取[下一步]。

12. 在 [檢閱 + 建立] 中，檢閱您的設定。 當您選取 [建立] 時，系統會儲存您的變更，然後指派設定檔。 原則也會顯示在設定檔清單中。

下次裝置檢查組態更新時，會套用您設定的設定。

尋找一些設定，並深入瞭解每個設定

設定目錄中有數千個可用的設定。 若要尋找您想要的設定，請使用搜尋和篩選功能。

如果您使用 Copilot，您可以取得 AI 產生的每個設定相關信息。

搜尋及篩選

當您建立新原則或更新現有原則時，有內建的搜尋和篩選功能可協助您尋找設定。

• 若要在原則中尋找特定設定，您可以使用 [新增設定>搜尋]。 您可以依類別搜尋，例如 browser;搜尋 關鍵詞，例如 office 或 google，並搜尋特定設定。

  例如，搜尋 internet explorer。 隨即 internet explorer 顯示具有 的所有設定。 選擇類別以檢視可用的設定：

  

• 在您的原則中，使用 [新增設定>] [新增篩選]。 選取索引鍵、運算符和值。

  當您 篩選 OS 版本時，可以篩選套用至特定 Windows 版本的設定：

  

  注意事項

  針對 Edge、Office 和 OneDrive 設定，OS 版本或版本不會判斷是否套用設定。 因此，如果您篩選至特定版本，例如 Windows Professional，則不會顯示 Edge、Office 和 OneDrive 設定。

  您也可以 依裝置或使用者範圍篩選設定。 如需詳細資訊，請參閱本文中的 裝置範圍與用戶範圍設定 () ：

  

Copilot

當您使用設定目錄原則時，可以使用 Copilot 取得特定設定的詳細資訊。

1. 在您的原則中，選取 [ 新增設定]。 在設定 Ppicker 中，選取一些設定。 例如，在macOS原則中，展開 [ 宣告式裝置管理>軟體更新>][選取所有這些設定]。 關閉設定選擇器。

2. 如需設定，請注意 Copilot 工具提示：

   

3. 當您選取 Copilot 工具提示時，會自動顯示有關設定的詳細資訊：

   

4. 您也可以選擇提示指南，並從現有的選項清單中選擇：

   

複製配置檔

選取 [複製] 以建立現有配置檔的複本。 當您需要類似原始配置檔的配置檔時，複製會很有用。 此複本包含與原始配置檔相同的設定組態和範圍標籤，但沒有附加的指派。

為新的設定檔命名之後，您可以編輯設定檔來調整設定並新增指派。

1. 移至 [裝置]>[管理裝置]>[設定]。
2. 尋找您要複製的設定檔。 以滑鼠右鍵按鍵單擊配置檔，或選取省略號操作功能表 (…) 。
3. 選取 [複製]。
4. 輸入原則的新名稱和描述。
5. 儲存 您的變更。

匯入和匯出配置檔

本功能適用於：

• Windows 10 和更新版本

當您建立設定目錄原則時，可以將原則導出至 .json 檔案。 然後，您可以匯入此檔案來建立新的原則。 如果您想要建立類似現有原則的原則，這項功能非常有用。 例如，您會匯出原則、匯入原則以建立新原則，然後對新原則進行變更。

1. 移至 [裝置]>[管理裝置]>[設定]。

2. 若要導出現有的原則，請選取 Windows 設定目錄原則，然後選取省略號/操作功能表 (…) >導出 JSON：

   

3. 若要匯入先前導出的設定目錄原則，請選取 [建立>匯入原則]：

   

   選取您匯出的 JSON 檔案，並將新原則命名為 。 儲存 您的變更。

衝突和報告

當相同的設定更新為不同的值，包括使用設定目錄設定的原則時，就會發生衝突。 在 Intune 系統管理中心，您可以檢查現有原則的狀態。 數據會自動重新整理，幾乎即時。

有一些內建功能可協助您針對衝突進行疑難解答，包括個別設定狀態報告。

如果您使用 Copilot，您可以使用內建提示來取得現有原則的詳細資訊，包括其影響。

報告和疑難排解

在 Intune 系統管理中心，您可以使用內建的報告功能來協助尋找和解決衝突。

1. 在 Intune 系統管理中心中，選取 [ 裝置>管理裝置>設定]。 在清單中，選取您使用設定目錄建立的原則。 [設定檔類型] 資料行會顯示 [設定目錄]：

   

2. 當您選取原則時，會顯示裝置狀態。 它會顯示原則狀態和原則屬性的摘要。 您也可以在 [組態 設定 ] 區段中變更或更新原則：

   

3. 選 取 [檢視報表]。 此報告會顯示詳細資訊，包括裝置名稱、原則狀態等等。 您也可以篩選部署狀態，並將報表 導 出至 .csv 檔案：

   

4. 您也可以使用每個 設定狀態來查看每個設定的狀態，也就是原則中每個設定所影響的裝置數目。

   您可以：

   • 查看已成功套用設定、發生衝突或發生錯誤的裝置數目。
   • 選取符合規範、衝突或錯誤的裝置數目。 請參閱處於該狀態的用戶或裝置清單。
   • 搜尋、排序、篩選、匯出，然後移至下一頁和上一頁。

5. 在系統管理中心中，選取 [ 裝置>監視指>派失敗]。 如果您的設定目錄原則因為錯誤或衝突而無法部署，它會顯示在此清單中。 您也可以 匯 出至 .csv 檔案。

6. 選取原則以查看裝置。 然後，選取特定裝置以查看失敗的設定，且可能出現錯誤碼。

提示

Intune 報表 是絕佳的資源。 如需您可以檢視之所有報告數據的相關信息，請移至 Intune 報表。

如需衝突解決的詳細資訊，請參閱：

• 監視裝置配置檔
• 裝置原則的常見問題和答案

Copilot

Copilot 可協助您尋找現有原則的狀態、尋找原則中特定設定的狀態，以及顯示任何潛在的衝突。

1. 在 Intune 系統管理中心中，選取 [ 裝置>管理裝置>設定]。 在原則清單中，選取您想要使用 Copilot 評估的原則。

2. 當您選取原則時，會顯示裝置狀態。 選取 [使用 Copilot 摘要]:

   

   系統會自動顯示摘要，其中包含原則中的設定 & 其值。

3. 您也可以選擇提示指南，並從現有的選項清單中選擇：

   

設定目錄與範本

當您建立原則時，有兩種原則類型可供選擇： [設定目錄 ] 和 [範本]：

範本包含一組邏輯設定，例如 kiosk、VPN、Wi-Fi 等等。 如果您想要使用這些群組來設定您的設定，請使用此選項。

[ 設定] 目錄 會列出所有可用的設定。 如果您想要查看所有可用的防火牆設定或所有可用的 BitLocker 設定，請使用此選項。 此外，如果您要尋找特定設定，請使用此選項。

裝置範圍與用戶範圍設定

當您選擇設定時，某些設定 (User) 的設定名稱中有或 (Device) 標籤，例如 Allow EAP Cert SSO (User) 或 Grouping (Device)。 當您看到這些標籤時，原則只會影響使用者範圍或裝置範圍。

如需使用者範圍和裝置範圍的詳細資訊，請參閱 原則 CSP。

當您指派原則時，會使用裝置和使用者群組。 裝置和用戶範圍描述如何強制執行原則。

範圍指派行為

當您從 Intune 部署原則時，可以將使用者範圍或裝置範圍指派給任何類型的目標組。 每個使用者的原則行為取決於設定的範圍：

• 用戶範圍原則寫入 。HKEY_CURRENT_USER (HKCU)
• 裝置範圍原則寫入 。HKEY_LOCAL_MACHINE (HKLM)

當裝置簽入 Intune 時，裝置一 deviceID律會顯示 。 裝置可能會或可能不會顯示 userID，視簽入時間和使用者是否已登入而定。

下列清單包含範圍、指派和預期行為的一些可能組合：

• 如果將裝置範圍原則指派給裝置，該裝置上的所有用戶都會套用該設定。
• 如果將裝置範圍原則指派給使用者，一旦該使用者登入併發生Intune同步處理，裝置範圍設定就會套用至裝置上的所有使用者。
• 如果將使用者範圍原則指派給裝置，該裝置上的所有用戶都會套用該設定。 此行為就像是 要合併的回送集。
• 如果將使用者範圍原則指派給使用者，則只有該使用者已套用該設定。
• 用戶範圍和裝置範圍中有一些可用的設定。 如果其中一個設定同時指派給使用者和裝置範圍，則用戶範圍會優先於裝置範圍。

如果在初始簽入期間沒有 用戶登錄區 ，您可以看到某些使用者範圍設定標示為 不適用。 此行為會在用戶出現之前的裝置活動初期發生。

後續步驟

• 您可以在 Intune 中使用設定目錄完成的工作
• 在 Microsoft Intune 中建立通用列印原則
• 指派配置檔，並 監視其狀態。
• 適用於 Intune 的 Microsoft Copilot 概觀