使用設定目錄在 Windows、iOS/iPadOS 和 macOS 裝置上設定設定

發行項
04/02/2024

[設定] 目錄會列出您可以設定的所有設定，而且全部位於一個位置。此功能可簡化您如何建立原則，以及如何查看所有可用的設定。例如，您可以使用設定目錄來建立具有所有 BitLocker 設定的 BitLocker 原則。

您也可以在 Intune 中使用 Microsoft Copilot。當您搭配設定目錄使用 Copilot 功能時，可以使用 Copilot 來：

深入瞭解每個設定、取得影響假設分析，以及尋找潛在的衝突。
摘要現有的原則，並取得對用戶和安全性的影響分析。

如果您想要在更細微的層級設定設定，類似於內部部署群組原則物件 (GPO) ，則設定目錄會自然轉換為雲端式原則。

當您建立原則時，您會從頭開始。您僅新增要控制和管理的設定。

若要管理及保護組織中的裝置，請使用設定目錄作為行動裝置管理 (MDM) 解決方案的一部分。設定目錄中會持續新增更多設定。如需設定清單，請移至 IntunePMFiles / DeviceConfig GitHub 存放庫。

本功能適用於：

iOS/iPadOS

包含直接從 Apple Profile-Specific 承載金鑰產生的裝置設定。會持續新增更多設定和索引鍵。若要深入瞭解配置檔特定承載密鑰，請移至配置檔特定承載密鑰 (開啟 Apple 的網站) 。

Apple 的宣告式裝置管理 (DDM) 內建於設定目錄中。當您在使用使用者註冊註冊的 iOS/iPadOS 15+ 裝置上從設定目錄設定設定時，您會自動使用 DDM。如果 DDM 因任何原因而無法運作，則這些裝置會使用 Apple 的標準 MDM 通訊協定。所有其他 iOS/iPadOS 裝置都會繼續使用 Apple 的標準 MDM 通訊協定。
macOS

包含直接從 Apple Profile-Specific 承載金鑰產生的裝置設定。會持續新增更多設定和索引鍵。若要深入瞭解配置檔特定承載密鑰，請移至配置檔特定承載密鑰 (開啟 Apple 的網站) 。

Apple 的宣告式裝置管理 (DDM) 可在設定目錄中取得。您可以使用 DDM 來管理軟體更新、密碼限制等等。
Windows 10/11

有數千個設定，包括先前無法使用的設定。這些設定是直接從 Windows 設定服務提供者 (CSP) 產生。您也可以設定系統管理範本，並提供更多系統管理範本設定。當 Windows 新增或公開更多設定給 MDM 提供者時，這些設定會更快速地新增到 Microsoft Intune 供您設定。

提示

如需設定目錄中的設定清單，請移至 IntunePMFiles / DeviceConfig GitHub 存放庫。
若要查看您已設定的 Microsoft Edge 原則，請開啟 Microsoft Edge，然後移至 edge://policy。

本文列出建立原則的步驟、示範如何在 Intune 中搜尋和篩選設定，以及示範如何使用 Copilot。

當您建立原則時，它會建立裝置組態配置檔。然後，您可以將此設定檔指派或部署至組織中的裝置。

如需您可以使用設定目錄設定之某些功能的詳細資訊，請移至您可以在 Intune 中使用 [設定目錄] 完成的工作。

建立原則

您可以使用設定目錄設定檔類型來建立原則。

登入 Microsoft Intune 系統管理中心。
選取 [裝置>設定>Create]。
輸入下列內容：
- 平台：選取 iOS/iPadOS、macOS 或 Windows 10 及更新版本。
- 設定檔類型：選 取 [設定目錄]。
選取 [建立]。
在 [基本資訊] 中，輸入下列內容：
- 名稱：輸入設定檔的描述性名稱。為您的配置檔命名，以便稍後輕鬆地識別它們。例如，良好的配置檔名稱是 macOS：MSFT Edge 設定 或 Win10：所有 Win10 裝置的 BitLocker 設定。
- 描述：輸入設定檔的描述。這是選擇性設定，但建議進行。
選取[下一步]。
在 [ 組態設定] 中，選取 [ 新增設定]。在 [設定選擇器] 中，選取類別以查看所有可用的設定。

例如，選取 [Windows 10 和更新版本]，然後選取 [驗證] 以查看此類別中的所有設定：

例如，選取 [macOS]。 Microsoft Edge - 所有類別會列出您可以設定的所有設定，包括任何新的設定。其他類別包括已過時的設定，或套用至舊版的設定：
提示
- 在macOS上，類別會暫時移除。若要尋找特定設定，請使用 [Microsoft Edge - 所有 ] 類別，或搜尋設定名稱。如需設定名稱的清單，請移至 Microsoft Edge - 原則。
- 使用工具提示中的 [深入瞭解 ] 連結來查看設定是否已過時，以及查看支援的版本。
選取您想要設定的任何設定。或者，選擇 [選取所有這些設定]：

新增設定之後，請關閉設定選擇器。所有設定都會顯示，並以預設值進行設定，例如 [封鎖 ] 或 [ 允許]。這些預設值是OS中的相同預設值。如果您不想設定設定，請選取減號：

當您選取減號 (-) ：
- Intune 不會變更或更新此設定。減號與 [未設定] 相同。當設定為 [未設定] 時，即不再管理設定。
- 此設定會從原則中移除。下次開啟原則時，不會顯示設定。您可以再次新增它。
- 下次裝置簽入時，設定已不再鎖定。另一個原則或裝置使用者可以變更原則。
提示
- 在 Windows 設定工具提示中， 深入瞭解 CSP 的連結。
- 當設定允許多個值時，建議您個別新增每個值。
  
  例如，您可以在 [藍牙>服務允許的清單 ] 設定中輸入多個值。在個別行輸入每個值：設定
  
  您可以在單一欄位中新增多個值，但可能會遇到字元限制。
選取[下一步]。
在 [範圍標籤] (選擇性) 中，指派標籤來針對特定 IT 群組篩選設定檔，例如 US-NC IT Team 或 JohnGlenn_ITDepartment。如需範圍標籤的詳細資訊，請參閱針對分散式IT使用 RBAC 角色和範圍標籤。

選取 [下一步]。
在 [ 指派] 中，選取將接收您配置檔的使用者或群組。如需指派設定檔的詳細資訊，請參閱指派使用者和裝置設定檔。

選取[下一步]。
在 [檢閱 + 建立] 中，檢閱您的設定。當您選取 [建立] 時，系統會儲存您的變更，然後指派設定檔。原則也會顯示在設定檔清單中。

下次裝置檢查組態更新時，會套用您設定的設定。

尋找一些設定，並深入瞭解每個設定

設定目錄中有數千個可用的設定。若要協助尋找您想要的設定，您可以使用設定目錄中的搜尋和篩選功能。

如果您使用 Copilot，則可以取得 AI 產生的每個設定相關信息。

搜尋及篩選
Copilot

複製配置檔

選取 [複製] 以建立現有配置檔的複本。當您需要與原始配置檔類似的配置檔時，複製會很有用。

此複本包含與原始配置檔相同的設定組態和範圍標籤，但未附加指派。為新的設定檔命名之後，您可以編輯設定檔來調整設定並新增指派。

移至 [裝置>設定]。
尋找您要複製的設定檔。以滑鼠右鍵按鍵單擊配置檔，或選取省略號操作功能表 (…) 。
選取 [複製]。
輸入原則的新名稱和描述。
儲存您的變更。

匯入和匯出配置檔

本功能適用於：

Windows 10 和更新版本

當您建立設定目錄原則時，可以將原則導出至 .json 檔案。然後，您可以匯入此檔案來建立新的原則。如果您想要建立類似現有原則的原則，這項功能非常有用。例如，您會匯出原則、匯入原則以建立新原則，然後對新原則進行變更。

移至 [裝置>設定]。
若要導出現有的原則，請選取配置檔>，選取省略號操作功能表 () >…匯出 JSON：
若要匯入先前導出的設定目錄原則，請選取 Create>匯入原則：

選取您匯出的 JSON 檔案，並將新原則命名為。儲存您的變更。

衝突和報告

當相同的設定更新為不同的值，包括使用設定目錄設定的原則時，就會發生衝突。在 Intune 系統管理中心，您可以檢查現有原則的狀態。數據會自動重新整理，並以近乎即時的方式運作。

有一些內建功能可協助您針對衝突進行疑難解答，包括個別設定狀態報告。

如果您使用 Copilot，則可以使用一些內建提示來取得現有原則的詳細資訊，包括其影響。

報告和疑難排解
Copilot

在 Intune 系統管理中心，您可以使用內建的報告功能來協助尋找和解決衝突。

在 [Intune 系統管理中心] 中，選取 [裝置>設定]。在清單中，選取您使用 [設定目錄] 建立的原則。 [設定檔類型] 資料行會顯示 [設定目錄]：
當您選取原則時，裝置狀態會顯示。它會顯示原則狀態和原則屬性的摘要。您也可以在 [組態設定 ] 區段中變更或更新原則：
選 取 [檢視報表]。此報告會顯示詳細資訊，包括裝置名稱、原則狀態等等。您也可以篩選部署狀態，並將報表導出至 .csv 檔案：
您也可以使用個別設定狀態來查看每個 設定的狀態。此狀態會顯示受原則中每個設定影響的裝置總數。

您可以：
- 查看已成功套用設定、發生衝突或發生錯誤的裝置數目。
- 選取符合規範、衝突或錯誤的裝置數目。此外，請參閱處於該狀態的用戶或裝置清單。
- 搜尋、排序、篩選、匯出，然後移至下一頁和上一頁。
在系統管理中心中，選取 [ 裝置>監視指>派失敗]。如果您的 [設定目錄] 原則因為錯誤或衝突而無法部署，它會顯示在此清單中。您也可以匯出至 .csv 檔案。
選取原則以查看裝置。然後，選取特定裝置以查看失敗的設定，以及可能的錯誤碼。

提示

Intune 報表是絕佳的資源，並描述您可以使用的所有報告功能。如需您可以檢視之所有報告數據的相關信息，請移至 Intune 報表。

如需衝突解決的詳細資訊，請移至：

設定目錄與範本

當您建立原則時，您有兩種原則類型： 設定目錄 和範本：

此螢幕快照顯示當您建立 Windows 或 macOS 原則時，選取 Microsoft Intune 中的設定目錄或範本，Intune 系統管理中心。

範本包含一組邏輯設定，例如 kiosk、VPN、Wi-Fi 等等。如果您想要使用這些群組來設定您的設定，請使用此選項。

[ 設定] 目錄 會列出所有可用的設定。如果您想要查看所有可用的防火牆設定或所有可用的 BitLocker 設定，請使用此選項。此外，如果您要尋找特定設定，請使用此選項。

裝置範圍與用戶範圍設定

當您選擇設定時，某些設定的設定名稱中會有標籤 (User) 或 (Device) 標籤，例如 Allow EAP Cert SSO (User) 或 Grouping (Device)。當您看到這些標籤時，原則只會影響使用者範圍或裝置範圍。

如需使用者範圍和裝置範圍的詳細資訊，請參閱原則 CSP。

當您指派原則時，會使用裝置和使用者群組。裝置和用戶範圍描述如何強制執行原則。

範圍指派行為

從 Intune 部署原則時，您可以將使用者範圍或裝置範圍指派給任何類型的目標組。每個使用者的原則行為取決於設定的範圍：

用戶範圍原則寫入。HKEY_CURRENT_USER (HKCU)
裝置範圍原則寫入。HKEY_LOCAL_MACHINE (HKLM)

當裝置簽入 Intune 時，裝置一deviceID律會顯示。裝置可能會或可能不會顯示 userID，視簽入時間和使用者是否已登入而定。

下列清單包含範圍、指派和預期行為的一些可能組合：

如果裝置範圍原則已指派給裝置，則該裝置上的所有用戶都會套用該設定。
如果將裝置範圍原則指派給使用者，一旦該使用者登入併發生 Intune 同步處理，裝置範圍設定就會套用至裝置上的所有使用者。
如果將使用者範圍原則指派給裝置，則該裝置上的所有用戶都會套用該設定。此行為就像是要合併的回送集。
如果將使用者範圍原則指派給使用者，則只有該使用者已套用該設定。
用戶範圍和裝置範圍中有一些可用的設定。如果其中一個設定同時指派給使用者和裝置範圍，則用戶範圍會優先於裝置範圍。

如果在初始簽入期間沒有用戶登錄區，您可以看到某些使用者範圍設定標示為不適用。此行為會在用戶出現之前的裝置初期發生。