注意
本逐步解說是建立為Microsoft Ignite 的技術研討會。 相較於一般逐步解說,它具有比一般逐步解說更多的必要條件,因為它會比較在 Intune 和內部部署中使用和設定 ADMX 原則。
組策略系統管理範本,也稱為ADMX樣本,包含您可以在Windows用戶端裝置上設定的設定,包括計算機。 ADMX 範本設定可由不同的服務使用。 行動裝置 裝置管理 (MDM) 提供者會使用這些設定,包括 Microsoft Intune。 例如,您可以在PowerPoint中開啟 [設計構想]、在 Microsoft Edge 中設定首頁等等。
提示
如需 Intune 中 ADMX 範本的概觀,包括內建至 Intune 的 ADMX 範本,請移至在 Microsoft Intune 中使用 Windows ADMX 範本。
如需 ADMX 原則的詳細資訊,請移至 瞭解 ADMX 支持的原則。
這些範本內建於 Microsoft Intune,並可作為系統管理範本配置檔使用。 在此設定檔中,您會設定要包含的設定,然後將此配置檔「指派」給您的裝置。
在本逐步解說中,您將:
在此實驗室結束時,您可以使用 Intune 和 Microsoft 365 來管理您的使用者,以及部署系統管理範本。
本功能適用於:
提示
有兩種方式可以建立系統管理範本:使用範本或使用設定目錄。 本文焦點是使用系統管理範本範本。 [設定目錄] 有更多可用的系統管理範本設定。 如需使用設定目錄的特定步驟,請移至 使用設定目錄來設定設定。
Microsoft 365 E3 或 E5 訂用帳戶,其中包含 Intune 和 Microsoft Entra ID P1 或 P2。 如果您沒有 E3 或 E5 訂用帳戶,請 免費試用。
如需使用不同Microsoft 365 授權取得哪些專案的詳細資訊,請移至使用 Microsoft 365 轉換您的企業。
Microsoft Intune 設定為 Intune MDM 授權單位。 如需詳細資訊,請移至 設定行動裝置管理授權單位。
在 內部部署的 Active Directory 域控制器上 (DC) :
將下列 Office 和 Microsoft Edge 範本複製到 Central Store (sysvol 資料夾) :
建立組策略,將這些範本推送至與 DC 位於相同網域的 Windows 10/11 企業版系統管理員計算機。 在本逐步解說中:
在某些組織中,網域系統管理員有兩個帳戶:
此 管理員 計算機的目的是要讓系統管理員使用其網域系統管理員帳戶登入,以及專為管理組策略而設計的存取工具。
在這裡 管理員 電腦上:
使用網域系統管理員帳戶登入。
新增 RSAT:群組原則 管理工具:
開啟 [設定 ] 應用程式 >[系統>選擇性功能>] [新增] 功能。
如果您使用的版本早於 Windows 10 22H2,請移至 [設定>應用程式應用程式>& 功能>][選用功能][新增功能>]。
選取 [RSAT:群組原則 管理工具>新增]。
等候 Windows 新增功能。 完成時,它最終會顯示在 Windows 系統管理工具 應用程式中。
請確定您具有Microsoft 365 訂用帳戶的因特網存取權和系統管理員許可權,其中包括 Intune 系統管理中心。
開啟 chromium 網頁瀏覽器,例如 Microsoft Edge 77 版和更新版本。
移至 Microsoft Intune 系統管理中心。 使用下列帳戶登入:
用戶:輸入您Microsoft 365 租使用者訂用帳戶的系統管理員帳戶。
密碼:輸入其密碼。
此系統管理中心著重於裝置管理,並包含 Azure 服務,例如 Microsoft Entra ID 和 Intune。 您可能看不到 Microsoft Entra ID 和 Intune 商標,但您正在使用它們。
您也可以從下 Microsoft 365 系統管理中心 開啟 Intune 系統管理中心:
使用Microsoft 365 租用戶訂用帳戶的系統管理員帳戶登入。
選 取 [顯示所有>系統管理中心>端點管理]。 Intune 系統管理中心隨即開啟。
內部部署原則會依 LS}順序套用 - 本機、網站、網域和組織單位 (OU) 。 在此階層中,OU 原則會覆寫本機原則、網域原則會覆寫網站原則等等。
在 Intune 中,原則會套用至您建立的使用者和群組。 沒有階層。 例如:
如需詳細資訊,請移至 裝置原則和配置檔的常見問題、問題和解決方式。
在這些後續步驟中,您會建立安全組,並將使用者新增至這些群組。 您可以將使用者新增至多個群組。 例如,使用者一般會有多個裝置,例如工作 Surface Pro,以及個人版 Android 行動裝置。 而且,一個人從這些多部裝置存取組織資源是正常的。
在 [Intune 系統管理中心] 中,選取 [群組>][新增群組]。
輸入下列設定:
選 取 [成員],然後新增一些裝置。
新增裝置是選擇性的。 目標是練習建立群組,以及瞭解如何新增裝置。 如果您是在生產環境中使用此逐步解說,請注意您正在執行的動作。
選擇>建立 以儲存您的變更。
看不到您的群組嗎? 選 取 [重新整理]。
選取 [新增群組],然後輸入下列設定:
群組類型:選取 [安全性]。
組名:輸入 所有 Windows 裝置。
成員資格類型:選取 [動態裝置]。
動態裝置成員:選取 [新增動態查詢],然後設定您的查詢:
選 取 [新增表達式]。 您的表示式會顯示在 規則語法中:
當使用者或裝置符合您輸入的準則時,系統會自動將他們新增至動態群組。 在此範例中,當作系統是 Windows 時,裝置會自動新增至此群組。 如果您在生產環境中使用此逐步解說,請小心。 目標是練習建立動態群組。
救>建立 以儲存您的變更。
使用下列設定建立 [所有教師 ] 群組:
群組類型:選取 [安全性]。
組名:輸入 [所有教師]。
成員資格類型:選取 [動態使用者]。
動態使用者成員:選取 [新增動態查詢],然後設定您的查詢:
屬性:選取 部門。
運算子:選取 [等於]。
值:輸入 教師。
選 取 [新增表達式]。 您的表達式會顯示在 規則語法中。
當使用者或裝置符合您輸入的準則時,系統會自動將他們新增至動態群組。 在此範例中,當使用者的部門是教師時,會自動將使用者新增至此群組。 當使用者新增至您的組織時,您可以輸入部門和其他屬性。 如果您在生產環境中使用此逐步解說,請小心。 目標是練習建立動態群組。
救>建立 以儲存您的變更。
動態群組是 Microsoft Entra ID P1 或 P2 中的功能。 如果您沒有 P1 或 P2 Microsoft Entra ID,則您有權僅建立指派的群組。 如需動態群組的詳細資訊,請移至:
Microsoft Entra ID P1 或 P2 包含管理應用程式和裝置時常用的其他服務,包括多重要素驗證 (MFA) 和條件式存取。
許多系統管理員會詢問何時使用使用者群組,以及何時使用裝置群組。 如需一些指引,請移至 [使用者群組] 與 [裝置群組]。
請記住,用戶可以屬於多個群組。 請考慮您可以建立的一些其他動態使用者和裝置群組,例如:
建立的使用者和群組也會顯示在 Microsoft 365 系統管理中心 中、在 Azure 入口網站 中 Microsoft Entra ID,以及在 Azure 入口網站 中 Microsoft Intune。 您可以在租使用者訂用帳戶的所有區域中建立和管理群組。 如果您的目標是裝置管理,請使用 Microsoft Intune 系統管理中心。
在 Intune 系統管理中心,您已建立新的安全組,並將現有的使用者和裝置新增至這些群組。 我們會在本教學課程稍後的步驟中使用這些群組。
在本節中,我們會在 Intune 中建立系統管理範本、查看 群組原則 管理中的一些設定,然後比較 Intune 中的相同設定。 目標是在組策略中顯示設定,並在 Intune 中顯示相同的設定。
在 [Intune 系統管理中心] 中,選取 [裝置>管理裝置>][設定>] [建立>新原則]。
輸入下列內容:
選取 [建立]。
在 [基本資訊] 中,輸入下列內容:
選取[下一步]。
在 [ 組態設定] 中, [所有設定] 會顯示所有設定的字母清單。 您也可以篩選套用至裝置的設定, (電腦 設定) ,以及套用至使用者 (使用者 設定) :
展開 [計算機設定>Microsoft Edge> 選取 [SmartScreen 設定]。 請注意原則的路徑,以及所有可用的設定:
在搜尋中,輸入 download。 請注意,系統會篩選原則設定:
在本節中,我們會在 Intune 中顯示原則及其在 群組原則 管理 編輯器 中的比對原則。
在 管理員 計算機上,開啟 [群組原則 管理] 應用程式。
此應用程式會與 RSAT:群組原則 管理工具一起安裝,這是您在 Windows 上新增的選擇性功能。 本文中 ( 必要條件) 列出安裝它的步驟。
展開 [網域]> 選取您的網域。 例如,選取 contoso.net。
以滑鼠右鍵按下 OfficeandEdge 原則 >[編輯]。 群組原則管理 編輯器 應用程式隨即開啟。
![顯示如何以滑鼠右鍵按兩下內部部署 Office 並Microsoft Edge ADMX 組策略,然後選取 [編輯] 的螢幕快照。](media/tutorial-walkthrough-administrative-templates/open-group-policy-management.png)
OfficeandEdge 是包含 Office 和 Microsoft Edge ADMX 範本的組策略。 本文的 必要條件 () 說明此原則。
展開 [計算機設定>原則>] [系統管理範本>控制台>[個人化]。 請注意可用的設定。
![顯示如何在內部部署中展開 [計算機設定] 群組原則 [管理] 編輯器,並移至 [個人化] 的螢幕快照。](media/tutorial-walkthrough-administrative-templates/open-group-policy-management-editor-admx-policy.png)
按兩下 [防止啟用鎖定螢幕相機],並查看可用的選項:
在 Intune 系統管理中心,移至您的 管理員 範本 - Windows 10 學生裝置範本。
選取 [計算機設定>控制台>個人化]。 請注意可用的設定:
設定類型為 Device,路徑為 /Control Panel/Personalization。 此路徑與您剛才在 群組原則 Management 編輯器 中看到的路徑類似。 如果您開啟 [防止啟用鎖定螢幕相機] 設定,您會看到您在 [群組原則 管理] 編輯器 中看到的相同 [未設定]、[啟用] 和 [已停用] 選項。
在您的系統管理範本中,選取 [ 計算機設定>][所有設定],然後搜尋 inprivate browsing。 請注意路徑。
針對 使用者設定執行相同的動作。 選取 [所有設定],然後搜尋 inprivate browsing。
在 [群組原則 管理 編輯器 中,尋找相符的使用者和裝置設定:
提示
若要查看內建的 Windows 原則,您也可以使用 GPEdit (編輯組 策略應用程式) 。
在 Intune 系統管理中心,移至您的 管理員 範本 - Windows 10 學生裝置範本。
展開[Edge>啟動]、首頁和新索引標籤面Microsoft [計算機>設定]。 請注意可用的設定。
針對 使用者設定執行相同的動作。
在 [群組原則 管理 編輯器 中,尋找下列設定:
您已在 Intune 中建立系統管理範本。 在此範本中,我們查看了一些 ADMX 設定,並查看了 群組原則 管理中的相同 ADMX 設定。
在此範本中,我們會設定一些 Internet Explorer 設定,以鎖定多個學生共用的裝置。
在您的 管理員 範本中 - Windows 10 學生裝置,展開 [計算機設定],選取 [所有設定],然後搜尋 [關閉 InPrivate 瀏覽]:
選 取 [關閉 InPrivate 瀏覽 ] 設定。 在此視窗中,請注意您可以設定的描述和值。 這些選項與您在組策略中看到的選項類似。
選 取 [啟用>確定] 以儲存您的變更。
同時設定下列 Internet Explorer 設定。 請務必選取 [確定] 以儲存您的變更。
允許拖放或複製及貼上檔案
防止忽略憑證錯誤
停用變更首頁設定
contoso.com。清除您的搜尋篩選條件。 請注意,您設定的設定會列在頂端:
在範本中,選取 [ 下一步 ],直到您到達 [ 指派]。 選擇 [選取要包含的群組]:
![顯示如何從 Microsoft Intune 中的 [裝置組態配置檔] 列表中選取系統管理範本設定檔的螢幕快照。](media/tutorial-walkthrough-administrative-templates/filter-administrative-template-device-configuration-profiles-list.png)
系統會顯示現有使用者和群組的清單。 選取您稍早>建立的 [所有 Windows 10 學生裝置] 群組選取 [選取]。
如果您在生產環境中使用此逐步解說,請考慮新增空白的群組。 目標是練習指派您的範本。
選取 [下一步]。 在 [ 檢閱 + 建立] 中,選取 [建立 ] 以儲存變更。
配置檔一儲存,就會在裝置簽入 Intune 時套用至裝置。 如果裝置已連線到因特網,則會立即發生。 如需原則重新整理時間的詳細資訊,請移至 裝置取得原則、配置檔或應用程式所需的時間。
指派嚴格或限制性的原則和配置檔時,請勿自行鎖定。請考慮建立從您的原則和配置檔中排除的群組。 其概念是可存取疑難解答。 監視此群組以確認其是否如預期般使用。
在 Intune 系統管理中心,您已建立系統管理範本裝置組態配置檔,並將此設定檔指派給您建立的群組。
在本節中,您會在 Intune 中建立 OneDrive 系統管理員範本來控制某些設定。 之所以選擇這些特定設定,是因為組織通常會使用這些設定。
(裝置>管理裝置>>>設定建立新原則) 建立另一個配置檔。
輸入下列內容:
選取 [建立]。
在 [基本資訊] 中,輸入下列內容:
選取[下一步]。
在 [ 組態設定] 中,設定下列設定。 請務必選取 [確定] 以儲存變更:
電腦設定:
使用者設定:
您的設定看起來類似下列設定:
如需 OneDrive 用戶端設定的詳細資訊,請移至使用 群組原則 來控制 OneDrive 同步處理 客戶端設定。
在範本中,選取 [ 下一步 ],直到您到達 [ 指派]。 選擇 [選取要包含的群組]:
系統會顯示現有使用者和群組的清單。 選取您稍早>建立的 [所有 Windows 裝置] 群組 [選取]。
如果您在生產環境中使用此逐步解說,請考慮新增空白的群組。 目標是練習指派您的範本。
選取 [下一步]。 在 [ 檢閱 + 建立] 中,選取 [建立 ] 以儲存變更。
此時,您已建立一些系統管理範本,並將其指派給您建立的群組。 下一個步驟是使用 Windows PowerShell 建立系統管理範本,以及 Intune 的Microsoft 圖形 API。
本節使用下列資源。 我們會在本節中安裝這些資源。
在 管理員 電腦上,以系統管理員身分開啟 Windows PowerShell:
取得並設定執行原則。
進入: get-ExecutionPolicy
記下原則的設定,這可能是 「受限制」。 完成逐步解說后,請將它設定回其原始值。
進入: Set-ExecutionPolicy -ExecutionPolicy Unrestricted
輸入 Y 以變更它。
PowerShell 的執行原則有助於防止執行惡意腳本。 如需詳細資訊,請移至 關於執行原則。
進入: Install-Module -Name Microsoft.Graph.Intune
如果下列項目, 請輸入 Y :
可能需要幾分鐘的時間才能完成。 完成時,會顯示類似下列提示的提示:
在網頁瀏覽器中,移至 https://github.com/Microsoft/Intune-PowerShell-SDK/releases,然後選 取Intune-PowerShell-SDK_v6.1907.00921.0001.zip 檔案。
選取 [另存新檔],然後選取您會記得的資料夾。
c:\psscripts 是不錯的選擇。
開啟您的資料夾,以滑鼠右鍵按下 .zip 檔案 >擷取所有>擷取] 。 您的資料夾結構看起來類似下列資料夾:
在 [ 檢視] 索引 標籤上,檢查 [擴展名]:
![顯示如何在 Windows 檔案總管的 [檢視] 索引卷標上選取擴展名的螢幕快照。](media/tutorial-walkthrough-administrative-templates/file-names-extension.png)
在您的資料夾中,移至 c:\psscripts\Intune-PowerShell-SDK_v6.1907.00921.0001\drop\outputs\build\Release\net471。 以滑鼠右鍵按兩下 [每個 .dll >屬性>解除封鎖]。
在您的 Windows PowerShell 應用程式中,輸入:
Import-Module c:\psscripts\Intune-PowerShell-SDK_v6.1907.00921.0001\drop\outputs\build\Release\net471\Microsoft.Graph.Intune.psd1
如果系統提示您從不受信任的發行者執行,請輸入 R 。
Intune 系統管理範本使用 Graph 的 Beta 版本:
進入: Update-MSGraphEnvironment -SchemaVersion 'beta'
進入: Connect-MSGraph -AdminConsent
出現提示時,請使用相同的 Microsoft 365 系統管理員帳戶登入。 這些 Cmdlet 會在您的租用戶組織中建立原則。
用戶:輸入您Microsoft 365 租使用者訂用帳戶的系統管理員帳戶。
密碼:輸入其密碼。
選取 [接受]。
建立 測試組態 組態配置檔。 進入:
$configuration = Invoke-MSGraphRequest -Url https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations -Content '{"displayName":"Test Configuration","description":"A test configuration created through PS"}' -HttpMethod POST
當這些 Cmdlet 成功時,就會建立配置檔。 若要確認,請移至 Intune 系統管理中心>裝置>管理裝置>設定。 您的 測試組態 配置檔應該會列出。
取得所有 SettingDefinitions。 進入:
$settingDefinitions = Invoke-MSGraphRequest -Url https://graph.microsoft.com/beta/deviceManagement/groupPolicyDefinitions -HttpMethod GET
使用設定顯示名稱尋找定義識別碼。 進入:
$desiredSettingDefinition = $settingDefinitions.value | ? {$_.DisplayName -Match "Silently sign in users to the OneDrive sync app with their Windows credentials"}
設定設定。 進入:
$configuredSetting = Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues" -Content ("{""enabled"":""true"",""configurationType"":""policy"",""definition@odata.bind"":""https://graph.microsoft.com/beta/deviceManagement/groupPolicyDefinitions('$($desiredSettingDefinition.id)')""}") -HttpMethod POST
Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues('$($configuredSetting.id)')" -Content ("{""enabled"":""false""}") -HttpMethod PATCH
$configuredSetting = Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues('$($configuredSetting.id)')" -HttpMethod GET
您會看到已設定以無訊息方式將使用者登入 OneDrive 同步處理 用戶端,並設定其 Windows 認證設定。
當您在 Intune 中建立原則和配置檔時,有一些建議和最佳做法需要考慮。 如需詳細資訊,請移至 原則和配置檔最佳做法。
不再需要時,您可以:
刪除您建立的群組:
刪除您建立的系統管理樣本:
將 Windows PowerShell 執行原則設定回其原始值。 下列範例會將執行原則設定為 Restricted:
Set-ExecutionPolicy -ExecutionPolicy Restricted
在本教學課程中,您已更熟悉 Microsoft Intune 系統管理中心、使用查詢產生器建立動態群組,以及在 Intune 中建立系統管理範本來設定 ADMX 設定。 您也會比較在內部部署和雲端中使用ADMX範本與 Intune。 總之,您已使用 PowerShell Cmdlet 來建立系統管理範本。
如需 Intune 中系統管理範本的詳細資訊,請移至:
訓練
模組
在教育 Intune 中設定設定和應用程式 (合作夥伴成功系列) - Training
本課程模組會教導教育合作夥伴如何設定教育用 Intune,以及使用商務用 Windows Update 來管理更新。 合作夥伴成功系列的一部分。
認證
Microsoft 365 Certified: Endpoint Administrator Associate - Certifications
使用現代化管理、共同管理方法和 Microsoft Intune 整合的基本元素,規劃並執行端點部署策略。