使用 Windows 10/11 範本在 Microsoft Intune 中設定組策略設定

  • 發行項

Microsoft Intune 中的系統管理範本包含數千個設定,可控制 Microsoft Edge 77 版和更新版本、Internet Explorer、Google Chrome、Microsoft Office 程式、遠端桌面、OneDrive、密碼、PIN 等功能。 這些設定可讓系統管理員使用雲端建立組策略。

本功能適用於:

  • Windows 11
  • Windows 10

Intune 範本是以 100% 雲端為基礎、內建於 Intune (不下載) ,而且不需要任何自定義專案,包括使用 OMA-URI。 它們提供直接的方式來設定設定,並尋找您想要的設定:

  • Windows 設定類似於 內部部署的 Active Directory (AD) 中的組策略 (GPO) 設定。 這些設定內建於 Windows,且是使用 XML 的 ADMX 支援設定

  • Office、Microsoft Edge 和 Visual Studio 設定是 ADMX 內嵌,並使用您在內部部署環境中下載的相同系統管理範本檔案。

  • 您可以匯入自定義和第三方 ADMX 和 ADML 檔案。 如需詳細資訊,包括步驟,請移至 匯入自定義或合作夥伴 ADMX 檔案

管理組織中的裝置時,需要建立適用於不同裝置群組的設定群組。 您還需要可設定之設定的簡單檢視。 您可以在 Microsoft Intune 中使用系統管理範本來完成這項工作。

作為行動裝置管理 (MDM) 解決方案的一部分,請使用這些範本設定作為管理 Windows 用戶端裝置的一站式商店。

本文列出為 Windows 用戶端裝置建立範本的步驟,並示範如何篩選 Intune 中所有可用的設定。 當您建立範本時,它會建立裝置組態配置檔。 然後,您可以將此設定檔指派或部署至組織中的 Windows 用戶端裝置。

開始之前

建立範本

  1. 登入 Microsoft Intune 系統管理中心

  2. 取 [裝置>設定>建立]

  3. 輸入下列內容:

    • 平台:選取 Windows 10 和更新版本
    • 配置檔類型:若要使用設定的邏輯群組,請選取 [範本>系統管理範本]。 若要查看所有設定,請選取 [ 設定目錄]

  4. 選取 [建立]

  5. 在 [基本資訊] 中,輸入下列內容:

    • 名稱:輸入設定檔的描述性名稱。 為您的配置檔命名,以便稍後輕鬆地識別它們。 例如,良好的配置檔名稱為ADMX:Windows 10/11 管理範本,可在 Microsoft Edge 中設定 xyz 設定
    • 描述:輸入設定檔的描述。 這是選擇性設定,但建議進行。

  6. 選取[下一步]。

  7. 在 [ 組態設定] 中,選取 [ 所有設定 ] 以查看所有設定的字母清單。 或者,設定套用至裝置的設定, (計算機 組態) ,以及套用至使用者 (用戶 設定的設定) :

    將ADMX範本設定套用至 Microsoft Intune和 Intune系統管理中心的使用者和裝置。

    注意事項

    如果您使用 [ 設定] 目錄,請選取 [ 新增設定],然後展開 [ 系統管理範本]。 選取任何設定以查看您可以設定的內容。

    在 Microsoft Intune 中展開 [設定] 目錄中的系統管理範本,Intune 系統管理中心] 。

    如需使用設定目錄建立原則的詳細資訊,請移至 使用設定目錄來設定設定

  8. 當您選取 [所有設定] 時,會列出每個設定。 向下捲動以使用前面和下一個箭號來查看更多設定:

    請參閱設定的範例清單,並使用 Intune 系統管理中心和 Microsoft Intune 中的上一個和下一個按鈕。

  9. 選取任何設定。 例如,篩選 Office,然後選取 [ 啟用限制流覽]。 會顯示設定的詳細描述。 選擇 [已啟用]、[ 用],或將設定保留為 [ 設定 (預設) 。 詳細描述也會說明當您選擇 [已啟用]、[停用] 或 [未設定] 時會發生什麼情況。

    提示

    Intune 中的 Windows 設定會與您在本機 群組原則 編輯器 () 中gpedit看到的內部部署組策略路徑相互關聯。

  10. 當您選取 [計算機設定 ] 或 [ 使用者設定] 時,會顯示設定類別。 您可以選取任何類別來查看可用的設定。

    例如,選取 [計算機設定>Windows 元件>Internet Explorer ],以查看套用至 Internet Explorer 的所有裝置設定:

    在 Microsoft Intune和 Intune 系統管理中心查看所有套用至 Internet Explorer 的裝置設定

  11. 按一下 [確定] 以儲存您的變更。

    繼續瀏覽設定清單,並在您的環境中設定您想要的設定。 範例如下:

    • 使用 [VBA 宏通知設定] 設定來處理不同 Microsoft Office 程式中的 VBA 宏,包括 Word 和 Excel。
    • 使用 [ 允許檔案下載] 設定,允許或防止從 Internet Explorer 下載。
    • 計算機喚醒 (插入) 時使用 [需要密碼],在裝置從睡眠模式喚醒時提示使用者輸入密碼。
    • 使用 [下載未簽署的ActiveX控制 項] 設定,封鎖使用者從Internet Explorer 下載未簽署的 ActiveX 控制件。
    • 使用 [關閉系統還原 ] 設定可允許或防止使用者在裝置上執行系統還原。
    • 使用 [ 允許匯入我的最愛 ] 設定,允許或封鎖使用者從另一個瀏覽器將我的最愛匯入 Microsoft Edge。
    • 還有更多...

  12. 選取[下一步]。

  13. 在 [範圍標籤] (選擇性) 中,指派標籤來針對特定 IT 群組篩選設定檔,例如 US-NC IT TeamJohnGlenn_ITDepartment。 如需範圍標籤的詳細資訊,請移至 使用角色型訪問控制 (RBAC) 和分散式 IT 的範圍標籤

    選取 [下一步]

  14. 在 [ 指派] 中,選取將接收配置檔的使用者或群組。 如需指派配置檔的詳細資訊,請移至在 Intune 中指派使用者和裝置配置檔

    如果配置檔指派給使用者群組,則設定的 ADMX 設定會套用至用戶註冊的任何裝置,並登入。 如果配置檔指派給裝置群組,則設定的 ADMX 設定會套用至任何登入該裝置的使用者。 如果 ADMX 設定是電腦設定 () ,或使用者HKEY_CURRENT_USER設定 (HKEY_LOCAL_MACHINE) ,就會發生此指派。 使用某些設定時,指派給使用者的計算機設定也會影響該裝置上其他用戶的體驗。

    如需詳細資訊,請在 指派原則時移至使用者群組與裝置群組

    選取[下一步]。

  15. 在 [檢閱 + 建立] 中,檢閱您的設定。 當您選取 [建立] 時,系統會儲存您的變更,然後指派設定檔。 原則也會顯示在設定檔清單中。

下次裝置檢查組態更新時,會套用您設定的設定。

尋找一些設定

這些範本中有數千個可用的設定。 若要更輕鬆地尋找特定設定,請使用內建功能:

  • 在範本中,選取 [ 設定]、[ 狀態]、[ 設定類型] 或 [ 路徑] 資料 行來排序列表。 例如,選取 [路徑] 數據 行,然後使用下一個箭號來查看路徑中的 Microsoft Excel 設定。

  • 在範本中,使用 [搜尋] 方塊來尋找特定設定。 您可以藉由設定 或 路徑來搜尋。 例如,選取 [所有設定],然後搜尋 copy。 所有具有 copy 的設定都會顯示:

    搜尋 複製,以在系統管理 Microsoft Intune 和系統管理中心 Intune 系統管理範本中顯示所有裝置設定。

    在另一個範例中,搜尋 microsoft word。 您會看到您可以為 Microsoft Word 程式設定的設定。 explorer搜尋,以查看您可以新增至範本的 Internet Explorer 設定。

  • 您也可以只選取 [ 計算機 設定] 或 [ 用戶設定] 來縮小搜尋範圍。

    例如,若要查看所有可用的 Internet Explorer 使用者設定,請選取 [使用者設定],然後搜尋 Internet Explorer。 只會顯示套用至使用者的 IE 設定:

    在 ADMX 範本中,選取 [用戶設定],然後在 Microsoft Intune 中搜尋或篩選 Internet Explorer。

建立已知問題復原 (KIR) 原則

在已註冊的裝置上,您可以使用系統管理範本來建立已知問題復原 (KIR) 原則,並將此原則部署到您的 Windows 裝置。 如需特定步驟,請移至使用 #D106AFDC1EE374747A6FDD84CAED6956A ADMX 原則擷取來部署 KIR 啟用至受控裝置

如需有關 KIR 及其功能的詳細資訊,請移至:

後續步驟