在公開預覽Microsoft Intune (中使用群組原則分析來分析內部部署 GPO)

提示

要尋找 ADMX 範本的相關資訊嗎? 請參閱使用 Windows 10/11 系統管理範本在 Microsoft Intune 中設定群組原則設定

Microsoft Intune有許多與內部部署 GPO 相同的設定。 群組原則分析是Microsoft Intune的工具:

  • 分析內部部署 GPO。
  • 顯示雲端式 MDM 提供者所支援的設定,包括Microsoft Intune。
  • 顯示任何已被取代的設定,或是無法使用的設定。
  • 可以 將匯入的 GPO 移轉至 可部署至裝置的設定目錄原則。

如果您的組織使用內部部署 GPO 來管理Windows 10/11 裝置,則群組原則分析會提供協助。 透過群組原則分析,Intune可以取代內部部署 GPO。 Windows 10/11 裝置原本就是雲端原生裝置。 因此,根據您的設定,這些裝置可能不需要存取內部部署的 Active Directory。

如果您已準備好移除對內部部署 AD 的相依性,則使用群組原則分析分析 GPO 是不錯的第一個步驟。 不支援某些較舊的設定,或不適用於雲端原生 Windows 裝置。 分析 GPO 之後,您會知道哪些設定可能仍然有效。

本功能適用於:

  • Windows 11
  • Windows 10

本文說明如何匯出 GPO、將 GPO 匯入Intune,以及檢閱分析和結果。 若要將匯入的 GPO 移轉或移轉至Intune原則,請移至在 Microsoft Intune (公開預覽) 中使用匯入的 GPO 建立設定類別目錄原則

在您開始之前

將 GPO 匯出為 XML 檔案

  1. 在您的內部部署電腦上,開 Group Policy Management 啟 GPMC.msc) (主控台。

  2. 在管理主控台中,展開您的 功能變數名稱

  3. 展開[群組原則 物件] 以查看所有可用的 GPO。

  4. 以滑鼠右鍵按一下您要移轉的 GPO,然後選擇 [ 儲存報告]

    顯示如何開啟群組原則管理,並將 GPO 儲存為 XML 檔案報告的螢幕擷取畫面。

  5. 為您的匯出選取易於存取的資料夾。 在 [ 另存新檔類型] 中,選取 [XML 檔案]。 您將在群組原則分析中新增此檔案Intune。

請確定檔案小於 4 MB,且具有適當的 Unicode 編碼。 如果匯出的檔案大於 4 MB,則減少群組原則物件中的設定數目。

匯入 GPO 並執行分析

  1. [Microsoft 端點管理員系統管理中心] 中,選取 [裝置>群組原則分析 (預覽)

  2. 選取 [匯入],然後選取您儲存的 XML 檔案。 您可以同時選取多個檔案。 當您選取 XML 檔案時,Intune會自動分析 XML 檔案中的 GPO。

    檢查個別 GPO XML 檔案的大小。 單一 GPO 不能大於 4 MB。 如果單一 GPO 大於 4 MB,則匯入將會失敗。 沒有適當 Unicode 結尾的 XML 檔案也會失敗。

  3. 執行分析之後,您匯入的 GPO 會列出下列資訊:

    • 群組原則名稱:會使用 GPO 中的資訊自動產生名稱。

    • Active Directory 目標:使用組織單位 (OU 自動產生目標,) GPO 中的目標資訊。

    • MDM 支援:顯示 GPO 中群組原則設定在Intune中具有相同設定的百分比。

      注意事項

      每當Microsoft Intune產品小組變更Intune中的對應時,MDM 支援下的百分比就會自動更新以反映這些變更。

    • 未知的設定:有一些 CSP 無法分析。 未知的設定會 列出無法分析的 GPO。

    • 以 AD 為目標 表示 GPO 已連結至內部部署群組原則中的 OU。 表示 GPO 未連結至內部部署 OU。

    • 上次匯入:顯示上次匯入的日期。

    您可以 匯入 更多 GPO 進行分析、 重新 整理頁面,以及 篩選 輸出。 您也可以將此檢視 出至 .csv 檔案:

    顯示如何匯入、重新整理、篩選或匯出群組原則物件的螢幕擷取畫面, (GPO) 至 Microsoft Intune 和端點管理員系統管理中心的 CSV 檔案。

  4. 選取所列 GPO 的 MDM 支援 百分比。 如需 GPO 的詳細資訊,請參閱:

    • 設定名稱:名稱會使用 GPO 設定中的資訊自動產生。

    • 群組原則設定類別:顯示 ADMX 設定的設定類別,例如 Internet Explorer 和 Microsoft Edge。 並非所有設定都有設定類別。

    • MDM 支援

      • 表示Intune中提供相符的設定。 您可以在 [設定目錄] 中設定此設定。
      • 表示 MDM 提供者沒有相符的設定,包括Intune。
    • :顯示從 GPO 匯入的值。 它會顯示不同的值,例如 true900Enabledfalse 等等。

    • 範圍:顯示匯入的 GPO 是否以使用者或目標裝置為目標。

    • 最低 OS 版本:顯示套用 GPO 設定的最低 Windows OS 版本組建編號。 它可能會顯示 18362 (1903) 、 17130 (1803) 和其他 Windows 用戶端版本。

      例如,如果原則設定顯示 18362 ,則設定支援組建 18362 和較新的組建。

    • CSP 名稱:設定服務提供者 (CSP) 公開 Windows 用戶端中的裝置組態設定。 此資料行會顯示包含設定的 CSP。 例如,您可能會看到 Policy、BitLocker、PassportforWork 等等。

      CSP 參考會列出可用的 CSP、顯示支援的 OS 版本等等。

    • CSP 對應:顯示內部部署原則的 OMA-URI 路徑。 您可以在 自訂裝置組態設定檔中使用 OMA-URI。 例如,您可能會看到 ./Device/Vendor/MSFT/BitLocker/RequireDeviceEnryption

  5. 對於具有 MDM 支援的設定,您可以使用這些設定來建立設定目錄原則。 如需特定步驟,請移至在 Microsoft Intune (公開預覽) 中使用匯入的 GPO 建立設定目錄原則

當您匯入時,系統會自動套用指派給您的範圍標籤

當這些系統管理員匯入 GPO 時,系統會自動套用指派給系統管理員的範圍標籤。 因此,只有當您有一個與執行匯入之系統管理員相同的範圍標籤時,才會看到匯入的 GPO。 如果您沒有相同的範圍標籤,則不會在報告或 GPO 清單中看到匯入的 GPO。

例如,系統管理員已指派 「並行」、「London」 或 「Boston」 範圍標籤給其角色:

  • 具有 「並行」 範圍標籤的系統管理員會匯入 GPO。
  • 「並行」 範圍標籤會自動套用至匯入的 GPO。
  • 具有 「並行」 範圍標籤的所有系統管理員都可以看到匯入的物件。
  • 只有 「London」 或只有 「Boston」 範圍標籤的系統管理員,看不到來自 「Boston」 系統管理員的匯入物件。

若要讓系統管理員查看分析,或將匯入的 GPO 移轉至Intune原則,這些系統管理員必須具有與執行匯入之系統管理員相同的其中一個範圍標籤。

支援的 CSP 和群組原則

群組原則分析可以剖析下列 CSP:

如果您匯入的 GPO 具有不在支援的 CSP 和群組原則中的設定,則設定可能會列在 [ 未知的設定 ] 資料行中。 此行為表示已在您的 GPO 中識別設定。

群組原則移轉整備報告

  1. Microsoft 端點管理員系統管理中心內,選取 [報告>群組原則分析 (預覽)

    顯示如何在 Microsoft Intune 和端點管理員系統管理中心使用群組原則分析來檢閱匯入 GPO 報告和輸出的螢幕擷取畫面。

  2. 在 [ 摘要] 索引 標籤中,會顯示 GPO 及其原則的摘要。 使用此資訊來判斷 GPO 中原則的狀態:

    • 已準備好進行移轉:原則在Intune中有相符的設定,且已準備好移轉至Intune。

    • 不支援:原則沒有相符的設定。 一般而言,顯示此狀態的原則設定不會公開給 MDM 提供者,包括Intune。

    • 已淘汰:此原則可能適用于較舊的 Windows 版本、較舊的 Microsoft Edge 版本,以及更多不再使用的原則。

      注意事項

      當Microsoft Intune產品小組更新對應邏輯時,您匯入的 GPO 會自動更新。 您不需要重新匯入 GPO。

  3. 選取 [報告]索引標籤 >[群組原則移轉整備] 。 在此報告中,您可以:

    • 查看 GPO 中可在裝置組態設定檔中設定的設定數目。 它也會顯示設定是否可以在自訂設定檔中、不支援或已被取代。
    • 使用 移轉整備程度、 配置檔案類型CSP 名稱 篩選器來篩選報表輸出。
    • 取 [產生報表] 或 [ 再次產生 ] 以取得目前資料。
    • 請參閱 GPO 中的設定清單。
    • 使用搜尋列來尋找特定設定。
    • 取得上次產生報表的時間戳記。

    注意事項

    新增或移除匯入的 GPO 之後,更新移轉整備程度報告資料可能需要大約 20 分鐘的時間。

已知問題

目前,群組原則分析 (預覽) 工具僅支援英文版的非 ADMX 設定。 如果您匯入具有英文以外語言設定的 GPO,則 您的 MDM 支援 百分比將會不正確。

傳送產品意見反應

您可以針對 群組原則 Analytics 提供意見反應。 在[Microsoft 端點管理員系統管理中心] 中,選取 [裝置>群組原則分析 (預覽) >取得意見反應]

意見反應區域的範例:

  • 您在 GPO 匯入或分析期間收到錯誤,而且需要更具體的資訊。
  • 使用群組原則分析在Microsoft Intune中尋找支援的群組原則有多簡單?
  • 此工具可協助您將一些工作負載移至Intune嗎? 如果是,您要考慮哪些工作負載?

若要取得客戶體驗的相關資訊,會匯總意見反應並傳送至Microsoft。 輸入電子郵件是選擇性的,而且可用來取得詳細資訊。

隱私權和安全性

系統會匯總客戶資料的任何使用,例如組織中使用的 GPO。 它不會銷售給任何協力廠商。 此資料可用來在Microsoft內做出商務決策。 您的客戶資料會安全地儲存。

您可以隨時刪除匯入的 GPO:

  1. 移至裝置>群組原則分析 (預覽)

  2. 選取操作功能表 >[刪除]

    顯示如何刪除或移除群組原則物件的螢幕擷取畫面, (GPO) 您在 Microsoft Intune 和端點管理員系統管理中心的 群組原則 分析器中匯入。

後續步驟

另請參閱

深入瞭解設定 服務提供者 (CSP)