在公開預覽 Microsoft Intune (中使用匯入的 GPO 建立設定目錄原則)

您可以匯入內部部署 群組原則 物件 (GPO) ，並使用這些匯入的設定建立 Intune 原則。 此原則可以部署至組織所管理的用戶和裝置。

使用 群組原則 Analytics，您可以匯入內部部署 GPO。 它會分析您匯入的 GPO，並顯示 Microsoft Intune 中也提供的設定。 針對可用的設定，您可以建立 [ 設定目錄] 原則，然後將原則部署到受管理的裝置。

本功能適用於：

• Windows 11
• Windows 10

本文說明如何從匯入的 GPO 建立原則。 如需 群組原則 Analytics 的詳細資訊和概觀，請移至在 Microsoft Intune 中使用 群組原則 分析來分析您的內部部署組策略物件 (GPO) 。

開始之前

• 在 Microsoft Intune 系統管理中心，以下列方式登入：

  • Intune 系統管理員

    OR

  • 具有 安全性基準 許可權和 裝置設定/建立權 限的角色

  如需內建 Intune 角色所包含許可權的詳細資訊，請移至 內建系統管理員角色。 如需自定義角色的資訊，請移至 將許可權指派給自定義角色。

• 匯入內部部署 GPO，並檢閱結果。

  如需特定步驟，請移至在 Intune 中使用 群組原則 分析匯入及分析內部部署 GPO。

• 只有限定範圍為 GPO 的系統管理員可以從該匯入的 GPO 建立設定目錄原則。 範圍標籤會先在匯入 GPO 期間套用，而且可以編輯。 如果在 GPO 匯入期間未選取或未選取範圍標籤，則會自動使用 預設 範圍標籤。

• 這項功能處於公開預覽狀態。 如需其意義的詳細資訊，請移至 Microsoft Intune 中的公開預覽。

檢閱 GPO 並將其遷移至設定目錄原則

匯 入 GPO 之後，請檢閱可移轉的設定。 請記住，某些設定在雲端原生端點上沒有意義，例如 Windows 10/11 裝置。 檢閱之後，您可以將設定移轉至 [設定目錄] 原則。

1. 在 Microsoft Intune 系統管理中心，選取 [裝置>群組原則 分析]。

2. 清單中會顯示您匯入的 GPO。 在 [設定類別目錄] 設定檔中您想要的 GPO 旁邊，選取 [ 移轉 ] 複選框。 您可以選取 GPO 或許多 GPO：

   

3. 若要查看匯入 GPO 中的所有設定，請選取 [移轉]：

   

4. 在 [ 要移轉的 設定] 索引標籤中，選取您要包含在 [設定目錄] 設定檔中之設定的 [ 移 轉] 資料行：

   

   為了協助您挑選設定，您可以使用內建功能：

   • 在此頁面上全部選取：如果您想要將現有頁面上的所有設定包含在 [設定目錄] 設定檔中，請選取此選項。

     

   • 依設定名稱搜尋：輸入設定名稱以尋找您想要的設定：

     

   • 排序：使用資料行名稱排序您的設定：

     

   提示

   如果您尚未這麼做，請檢閱您的 群組原則 設定。 某些設定可能不適用於雲端式原則管理，或不適用於雲端原生端點，例如 Windows 10/11 裝置。 不建議您在不檢閱所有 群組原則 設定的情況下包含這些設定。

   選取 [下一步]。

5. 在 [ 組態] 中，會顯示您的設定及其值。 這些值與內部部署 群組原則 中的值相同。 檢閱這些設定及其值。

   建立 [設定目錄] 原則之後，您可以變更任何值。

   選取 [下一步]。

6. 在 [配置檔資訊] 中，輸入下列設定：

   • 名稱：輸入設定類別目錄配置檔的描述性名稱。 為您的配置檔命名，以便稍後輕鬆地識別它們。 例如，良好的配置檔名稱是 Windows 10/11：已匯入的 Microsoft Edge GPO。
   • 描述：輸入設定檔的描述。 這是選擇性設定，但建議進行。

   選取[下一步]。

7. 在 [範圍卷標] 中，選擇性地指派標籤來篩選配置檔給特定IT群組，例如US-NC IT 小組或JohnGlenn_ITDepartment。 如需範圍標籤的詳細資訊，請移至 使用分散式IT的 RBAC 角色和範圍標籤。

8. 在 [ 指派] 中，選取將接收配置檔的使用者或群組。 如需指派配置檔的詳細資訊，包括建議和指引，請移至 在Intune中指派使用者和裝置配置檔。

   選取 [下一步]。

9. 在 [ 檢閱 + 部署] 中，檢閱您的設定。

   當您選取 [建立] 時，系統會儲存您的變更，然後指派設定檔。 原則會顯示在 [裝置>設定] 列表 中。

下次指派群組內的任何裝置檢查組態更新時，就會套用您設定的設定。

早期偵測到衝突的設定

您可能會有多個 GPO 包含相同的設定，而且設定設為不同的值。 當您建立原則，並在 [ 要移 轉的設定] 索引標籤中選取您的設定時，任何衝突的設定都會顯示下列錯誤：

Conflicts are detected for the following settings: <setting name>. Select only one version with the value you prefer in order to continue.

若要解決衝突，請取消選取衝突的設定，然後繼續移轉。

您需要知道的事項

移轉功能會將已匯入 群組原則 物件中剖析的數據 (GPO) ，並在設定存在時，將其轉譯為 [設定目錄] 中的相關設定。

移轉 是最好的工作。

當您建立設定類別目錄設定檔時，可以包含在配置檔中的任何設定都會包含在內。 匯入的設定和 [設定目錄] 中的設定可能會有一些差異。

• 某些設定在端點安全性中有較佳的設定體驗

  如果您匯入 AppLocker 設定或防火牆規則設定，則 [ 移 轉] 選項會停用並呈現灰色。相反地，請使用 Intune 系統管理中心的端點安全性工作負載來設定這些設定。

  如需詳細資訊，請移至：

  • 端點安全性的防火牆原則
  • 端點安全性防火牆規則移轉工具概觀
  • 端點安全性中的應用程控原則。

  如果您有著重於端點安全性的 GPO，則應該查看 端點安全性中可用的功能，包括安全性基準和行動威脅防禦。

• 某些設定不會完全移轉，而且可能會使用不同的設定

  在某些情況下，某些 GPO 設定不會移轉至 [設定目錄] 中完全相同的設定。 Intune 會顯示具有類似效果的替代設定。

  如果您匯入的 GPO 包含較舊的 Office 系統管理範本設定或較舊的 Google Chrome 設定，則可以看到此行為。 在下圖中，不支援較舊的 Office 設定。 因此，Intune 建議移轉至支援的版本：

  

• 某些設定無法移轉

  在移轉設定時，可能會發生一些錯誤。 建立設定檔時，傳回錯誤的設定會顯示在 [通知] 中：

  

  設定可能顯示錯誤的一些常見原因包括：

  • 設定值為非預期的格式。
  • 匯入的 GPO 遺漏子設定，因此必須設定父設定。

後續步驟

• 在 Microsoft Intune 中使用 群組原則 分析， (GPO) 分析您的內部部署組策略物件
• 使用 Windows 10/11 系統管理範本在 Microsoft Intune 中設定組策略設定
• 使用設定目錄在 Windows 和 macOS 裝置上設定設定