設定目錄列出了所有可設定的設定,並集中在一個地方。 此功能簡化了你建立政策的方式,以及你如何查看所有可用設定。 例如,你可以使用設定目錄建立包含所有 BitLocker 設定的 BitLocker 政策。
你也可以在 Intune 中使用 Microsoft Copilot。 當你使用 Copilot 功能搭配設定目錄時,你可以用 Copilot 來:
- 深入了解每個環境並找出潛在的衝突。
- 總結現有政策,並取得對使用者與安全性的影響分析。
如果你喜歡在細緻層級設定,類似本地的 群組原則 物件 (GPOs) ,設定目錄是向雲端政策過渡的自然選擇。
當你建立保單時,你是從零開始。 您僅新增要控制和管理的設定。
要管理並保護組織中的裝置安全,請將設定目錄作為行動裝置管理 (MDM) 解決方案的一部分。 更多設定正不斷被加入設定目錄。 有關最新設定清單,請參閱 IntunePMFiles/DeviceConfig 的 GitHub 倉庫。
本功能適用於:
Android
Android 設定目錄列出了 Android (AOSP) 以及企業擁有的 Android Enterprise 裝置可用的設定。 Android 裝置的設定會持續新增到設定目錄中。
關於可設定的 Android 設定清單,請參閱 Android Intune 設定目錄中的設定清單。
蘋果
包含直接由 Apple Profile-Specific Payload Keys 產生的裝置設定。 更多設定和按鍵不斷被加入。 蘋果的宣告式裝置管理 (DDM) 也內建於設定目錄中。 欲了解更多關於特定型態有效載荷金鑰的資訊,請參閱蘋果官網的專 屬有效載荷金鑰 。
你可以使用設定目錄來為運行以下平台的 Apple 裝置設定:
iOS/iPadOS
當你在使用 User Enrollment 註冊的 iOS/iPadOS 15+ 裝置設定設定時,你自動使用 DDM。 如果 DDM 無法運作,這些裝置會使用 Apple 的標準 MDM 協定。 其他所有 iOS/iPadOS 裝置仍持續使用 Apple 的標準 MDM 協定。
macOS
常見的案例包括:
設定 Recovery Lock 以協助保護你的裝置免於未經授權的重新安裝與清除。
使用 DDM 來管理軟體更新、密碼限制等。
設定較新版本的 Microsoft Edge 及其他功能,而不是用屬性清單 (plist) 檔案。 如需詳細資訊,請參閱:
tvOS
你可以匯入用 Apple Configurator 或 Apple Profile Manager 建立的檔案。 不支援變數,所以設定檔中的佔位符或變數都不會適用。
visionOS
你可以匯入用 Apple Configurator 或 Apple Profile Manager 建立的檔案。 不支援變數,所以設定檔中的佔位符或變數都不會適用。
Windows
有數千種設定,包括行政範本 (ADMX) ,且不斷新增更多設定。 這些設定直接由 Windows 組態服務提供者 (CSP) 產生。 隨著 Windows 新增或暴露更多設定給 MDM 提供者,這些設定會被加入 Microsoft Intune 供你設定。
本文說明建立政策的步驟,說明如何在 Intune 中搜尋與篩選設定,並說明如何使用 Copilot。
當你建立政策時,它會建立一個裝置設定檔。 接著你可以將此設定檔指派或部署到組織內的裝置。
關於使用設定目錄可設定的熱門功能資訊,請參閱 Intune 中「使用設定目錄可完成的任務」。
開始之前
- 關於設定目錄中的設定清單,請參閱 IntunePMFiles/DeviceConfig 的 GitHub 倉庫。
- 要查看你設定的 Microsoft Edge 政策,打開 Microsoft Edge 並前往
edge://policy。 關於 Microsoft Edge 目前及已棄用設定的清單,請參見 Microsoft Edge - 政策。 - 提示中的提示和 「了解更多 」連結提供了更多關於該設定的資訊。
建立原則
你可以透過設定目錄的設定型態來建立政策。
請使用至少內建政策與設定檔管理員角色的帳號登入 Microsoft Intune 管理中心。
欲了解更多關於內建角色的資訊,請參閱 Microsoft Intune 的角色基礎存取控制。
選取 [裝置]>[管理裝置]>[設定]>[建立]>[新原則]。
輸入下列內容:
-
平台:選擇您的平台:
- Android 企業版
- Android (AOSP)
- iOS/iPadOS
- macOS
- tvOS
- visionOS
- Windows 10 和更新版本
- 設定檔類型:選擇 設定目錄。
-
平台:選擇您的平台:
選取 [建立]。
在 [基本資訊] 中,輸入下列內容:
- Name: 為您的設定檔命名,以方便之後能夠輕鬆識別。 例如,一個不錯的設定檔名稱是 macOS:Microsoft Edge 設定 ,或 是 Win10:BitLocker 設定,適用於所有 Win10 裝置。
- 描述:輸入設定檔的描述。 此設定為可選,但建議使用。
選取 [下一步]。
在 設定設定中,選擇 新增設定。 在設定選擇器中,選擇一個類別即可查看所有可用的設定。
例如,在 Windows 政策中,選擇 認證 以查看此類別中的所有設定:
選擇任何你想設定的設定。 或者,選擇 「選擇所有這些設定:
新增設定後,關閉設定選擇器。 所有設定都會顯示並設定預設值,例如 封鎖 或 允許。 這些預設值在作業系統中是相同的預設值。 如果你不想設定設定,請選擇負號 (
-) :
當你選擇負值時:
- Intune 不會更改或更新這個設定。 減分和 未設定是一樣的。 當設定為 「未設定」時,該設定就不再被管理。
- 該設定已從政策中移除。 下次你打開保單時,設定就不顯示了。 但你可以重新加入。
- 下次裝置登入時,設定不再鎖定。 其他政策或裝置使用者可以更改政策。
提示
在 Windows 設定工具提示中, 了解更多 CSP 連結。
當設定允許多個值時,分別加每個值。 例如,你可以在 藍牙>服務允許清單 設定中輸入多個數值。 請在獨立一行輸入每個值:
。
你可以在一個欄位加多個值,但可能會有字元限制。
選取[下一步]。
在 [範圍標籤] (選擇性) 中,指派標籤來針對特定 IT 群組篩選設定檔,例如
US-NC IT Team或JohnGlenn_ITDepartment。 欲了解更多關於範圍標籤的資訊,請參閱 分散式 IT 使用範圍標籤(Use RBAC roles)及範圍標籤。選取 [下一步]。
在 「分配」中,選擇會收到你個人資料的使用者或群組。 欲了解更多資訊,請參閱 「指派使用者與裝置設定檔」。
選取[下一步]。
在 [檢閱 + 建立] 中,檢閱您的設定。 當您選取 [建立] 時,系統會儲存您的變更,然後指派設定檔。 原則也會顯示在設定檔清單中。
。下次裝置檢查設定更新時,會套用你設定的設定。
找一些設定,深入了解每個設定
設定目錄提供數千個設定。 要找到你想要的設定,可以使用搜尋和篩選功能。
如果你使用 Copilot,可以獲得 AI 生成的每個設定資訊。
當你建立新政策或更新現有政策時,請使用內建的搜尋與篩選功能來尋找設定。
要在你的政策中找到特定設定,請使用 新增設定>搜尋。 你可以依類別搜尋,例如
browser;搜尋關鍵字,例如office或;google並搜尋特定設定。例如,搜尋
internet explorer。 所有設定internet explorer都顯示在裡面。 選擇一個分類以查看可用設定:
在你的政策中,使用 新增設定>的「新增」篩選器。 選擇鍵、運算子和數值來篩選設定清單。
根據你的平台,你可以篩選不同屬性,例如 Windows 作業系統版本、 使用者或裝置範圍,以及 Android 裝置註冊模式 (完全管理、企業擁有的工作設定檔、專用) 。
例如,當你 在作業系統版篩選時,可以篩選適用於特定 Windows 版本的設定:
注意事項
對於 Microsoft Edge、Office 和 OneDrive 的設定,作業系統版本或版本並不決定這些設定是否適用。 所以,如果你篩選到特定版本,比如 Windows Professional,Microsoft Edge、Office 和 OneDrive 的設定就不會顯示。
使用 Android 管理模式篩選器,套用與你裝置情境相關的設定,例如只適用於完全管理裝置的設定。 另外,如果你套用至少兩種管理模式的篩選器,那麼所有適用於至少一種管理模式的設定都會顯示出來。
例如,你可以選擇包含完全管理和專用管理模式的過濾器。 所有適用於至少其中一個模式的設定都會顯示出來。 它不會限制視角只能使用適用於兩種模式的設定。 換句話說:
- 如果某設定只支援完全管理,該設定會顯示出來。
- 如果其他設定只支援專用,則會顯示該設定。
- 如果設定同時適用於兩者,則會顯示該設定。
複製一個個人資料
選擇 複製 以建立現有個人檔案的副本。 複製很有用,當你需要一個與原始設定檔相似的設定檔時。 副本包含與原始設定檔相同的設定設定和範圍標籤,但沒有附加指派。
給新帳號命名後,你可以編輯設定並新增分配。
- 移至 [裝置]>[管理裝置]>[設定]。
- 找到你想複製的個人檔案。 右鍵點擊設定檔或選擇省略號右鍵選單 (
…) 。 - 選取 [複製]。
- 輸入保單的新名稱和說明。
- 儲存 你的更改。
匯入與匯出個人資料
當你建立設定目錄政策時,可以將政策匯出成檔案 .json 。 接著你可以匯入這個檔案來建立新的政策。 如果你想建立與現有政策相似的政策,這個功能非常有用。 例如,你匯出一個政策,匯入以建立新政策,然後對新政策進行修改。
移至 [裝置]>[管理裝置]>[設定]。
若要匯出現有政策,請選擇 Windows 設定目錄政策,然後選擇省略號/右鍵選單 (
…) >匯出 JSON:
若要匯入先前匯出的設定目錄政策,請選擇 建立>匯入政策:
選擇你匯出的 JSON 檔案,然後命名你的新政策。 儲存 你的更改。
衝突與報導
衝突發生在你把同一個設定換成不同值時。 這個衝突包括你透過設定目錄設定的政策。 在 Intune 管理中心,您可以查看現有政策的狀態。 資料會自動刷新,幾乎是即時的。
內建功能可協助你排除衝突,包括每個設定的狀態報告。
如果你使用 Copilot,可以利用內建提示來獲取更多現有政策的資訊,包括其影響。
在 Intune 管理中心,利用內建的報告功能協助發現並解決衝突。
在 Intune 管理中心,選擇「裝置>管理裝置>設定」。 在清單中,選擇你用設定目錄建立的政策。 設定檔類型欄位顯示設定目錄:
當你選擇該政策時,裝置狀態會顯示出來。 它會顯示你的保單狀態和保單屬性的摘要。 您也可以在 設定 設定區塊更改或更新您的政策:
選擇 查看報告。 報告中會顯示詳細資訊,包括裝置名稱、政策狀態等。 你也可以根據部署狀態進行篩選,並將報告 匯出 成
.csv檔案:
你也可以利用 「每個設定狀態」查看每個設定的狀態,也就是政策中每個設定受影響的裝置數量。
您可以:
- 查看該設定成功套用、衝突或錯誤的裝置數量。
- 選擇符合規範、衝突或錯誤的裝置數量。 查看處於該狀態的使用者或裝置清單。
- 搜尋、排序、篩選、匯出,然後前往下一頁和上一頁。
在管理中心,選擇 「裝置>監控>指派失敗」。 如果你的設定目錄政策因錯誤或衝突而未能部署,會顯示在這個清單中。 你也可以 匯出 成
.csv檔案。選擇政策以查看裝置。 然後,選擇特定裝置查看失敗的設定,並可能出現錯誤代碼。
欲了解更多衝突解決相關資訊,請參見:
設定目錄與範本的比較
建立政策時,你可以從兩種政策類型中選擇: 設定目錄 和 範本:
這些 範本 包含一組合理的設定,例如自助服務台、VPN、Wi-Fi 等。 如果你想用這些分組來設定設定,請使用這個選項。
設定目錄列出所有可用的設定。 如果你想查看所有可用的防火牆設定或 BitLocker 設定,請使用此選項。 另外,如果你想找特定設定,也可以用這個選項。
裝置範圍與使用者範圍設定
當你選擇設定時,有些設定會在設定名稱中加入 a (User) 或 (Device) 標籤,例如 Allow EAP Cert SSO (User)Grouping (Device)或 。 這些標籤表示該政策僅影響使用者範圍或裝置範圍。
欲了解更多關於使用者範圍與裝置範圍的資訊,請參閱 政策 CSP。
在分配政策時會使用裝置和使用者群組。 裝置範圍與使用者範圍描述政策如何被強制執行。
範圍指派行為
當你從 Intune 部署政策時,可以將使用者範圍或裝置範圍指派給任何類型的目標群組。 每位使用者政策的行為取決於設定的範圍:
- 使用者範圍政策寫入
HKEY_CURRENT_USER (HKCU)。 - 裝置範圍政策寫入
HKEY_LOCAL_MACHINE (HKLM)。
當裝置向 Intune 簽入時,該裝置總是顯示一個 deviceID。 裝置可能會顯示或不會顯示, userID取決於簽入時間及使用者是否登入。
以下列表包含了範圍、指派及預期行為的一些可能組合:
- 如果你為裝置指派一個裝置範圍政策,該裝置上的所有使用者都會套用該設定。
- 如果你指派裝置範圍政策給使用者,一旦該使用者登入並完成 Intune 同步,裝置範圍設定就會套用到該裝置上的所有使用者。
- 如果你為裝置指派使用者範圍政策,該裝置上的所有使用者都會套用該設定。 這種行為就像一個 設定要合併的迴圈。
- 如果你指派使用者範圍政策給某個使用者,只有該使用者會套用該設定。
- 部分設定同時可在使用者範圍與裝置範圍內使用。 如果你同時為使用者和裝置範圍指派其中一個設定,使用者範圍會優先於裝置範圍。
如果在初次檢查時沒有 使用者蜂巢 ,你會看到一些使用者範圍設定 被標記為不適用。 這種行為發生在裝置活動的早期時刻,使用者尚未到場。