共用方式為

使用設定目錄在 Windows、iOS/iPadOS 和 macOS 裝置上設定設定

  • 發行項

設定目錄會列出您可以在單一位置設定的所有設定。 此功能可簡化您如何建立原則,以及如何查看所有可用的設定。 例如,您可以使用設定目錄來建立具有所有 BitLocker 設定的 BitLocker 原則。

您也可以 在 Intune 中使用 Microsoft Copilot。 當您搭配設定目錄使用 Copilot 功能時,可以使用 Copilot 來:

  • 深入瞭解每個設定、取得影響 假設 分析,以及尋找潛在衝突。
  • 摘要現有的原則,並取得對用戶和安全性的影響分析。

如果您想要在更細微的層級設定設定,類似於使用內部部署組策略物件 (GPO) ,則設定目錄會自然轉換為雲端式原則。

當您建立原則時,您會從頭開始。 您僅新增要控制和管理的設定。

若要管理及保護組織中的裝置,請使用設定目錄作為行動裝置管理 (MDM) 解決方案的一部分。 設定目錄中會持續新增更多設定。 如需目前的設定清單,請參閱 IntunePMFiles/DeviceConfig GitHub 存放庫

本功能適用於:

  • iOS/iPadOS

    包含直接從 Apple Profile-Specific 承載金鑰產生的裝置設定。 會持續新增更多設定和索引鍵。 若要深入瞭解,請參閱Apple網站上的 配置檔特定承載密鑰

    Apple 的宣告式裝置管理 (DDM) 內建於設定目錄中。 當您在使用 使用者註冊註冊的 iOS/iPadOS 15+ 裝置上從設定目錄設定設定時,您會自動使用 DDM。 如果 DDM 無法運作,這些裝置將會使用 Apple 的標準 MDM 通訊協定。 所有其他 iOS/iPadOS 裝置都會繼續使用 Apple 的標準 MDM 通訊協定。

  • macOS

    包含直接從 Apple Profile-Specific 承載金鑰產生的裝置設定。 會持續新增更多設定和索引鍵。 若要深入瞭解配置檔特定承載密鑰,請參閱 Apple 網站上的 設定檔特定承載金鑰

    Apple 的宣告式裝置管理 (DDM) 可在設定目錄中取得。 您可以 使用 DDM 來管理軟體更新、密碼限制等等。

    您也可以使用設定目錄來設定較新版本的 Microsoft Edge 和其他功能,而不是屬性清單 (plist) 檔案。 如需詳細資訊,請參閱:

    您可以繼續使用 喜好設定檔案 來:

    • 設定舊版的 Microsoft Edge。
    • 設定不在設定目錄中的Microsoft Edge 瀏覽器設定。

  • Windows 10/11

    有數千個設定,包括先前無法使用的設定。 這些設定是直接從 Windows 設定服務提供者 (CSP) 產生。 您也可以設定系統管理範本,並提供更多系統管理範本設定。 當 Windows 新增或公開更多設定給 MDM 提供者時,這些設定會新增至 Microsoft Intune 以供您設定。

提示

本文說明建立原則的步驟、示範如何在 Intune 中搜尋和篩選設定,以及示範如何使用 Copilot。

當您建立原則時,它會建立裝置組態配置檔。 然後,您可以將此設定檔指派或部署至組織中的裝置。

如需您可以使用設定目錄設定之功能的相關信息,請參閱 您可以在Intune中使用設定目錄完成的工作。

建立原則

您可以使用設定目錄設定檔類型來建立原則。

  1. 登入 Microsoft Intune 系統管理中心

  2. 選取 [裝置]>[管理裝置]>[設定]>[建立]>[新原則]

  3. 輸入下列內容:

    • 平台:選取 iOS/iPadOSmacOSWindows 10 和更新版本
    • 設定檔類型:選 取 [設定目錄]

  4. 選取 [建立]

  5. 在 [基本資訊] 中,輸入下列內容:

    • Name: 為您的設定檔命名,以方便之後能夠輕鬆識別。 例如,良好的配置檔名稱為 macOS:Microsoft Edge 設定Win10:所有 Win10 裝置的 BitLocker 設定
    • 描述:輸入設定檔的描述。 此設定是選擇性的,但建議使用。

  6. 選取 [下一步]

  7. 在 [ 組態設定] 中,選取 [ 新增設定]。 在 [設定選擇器] 中,選取類別以查看所有可用的設定。

    例如,選取 [Windows 10 和更新版本],然後選取 [ 驗證 ] 以查看此類別中的所有設定:

    此螢幕快照顯示當您在 Intune 和 Intune 系統管理中心Microsoft選取 [Windows] 和 [驗證] 時的 [設定目錄]。

    例如,選取 [macOS][Microsoft Edge - 所有類別目錄會列出您可以設定的所有設定。 其他類別包括已過時或適用於舊版的設定:

    當您選取 macOS,並在 Intune 和 Intune 系統管理中心Microsoft選取功能或類別時,顯示 [設定目錄] 的螢幕快照。

    提示

    • 在macOS上,類別會暫時移除。 若要尋找特定設定,請使用 [Microsoft Edge - 所有 類別],或搜尋設定名稱。 如需設定名稱的清單,請 參閱 Microsoft Edge - 原則]

    • 使用工具提示中的 [深入瞭解] 連結來查看設定是否已過時,以及查看支援的版本。

  8. 選取您想要設定的任何設定。 或者,選擇 [選取所有這些設定]

    此螢幕快照顯示當您在 Intune 和 Intune 系統管理中心Microsoft選取所有這些設定時的設定。

    新增設定之後,請關閉設定選擇器。 所有設定都會以預設值顯示和設定,例如 [封鎖 ] 或 [ 允許]。 這些預設值是OS中的相同預設值。 如果您不想設定設定,請選擇取減號 () -

    顯示 [設定目錄] 的螢幕快照,以及 Microsoft Intune 和 Intune 系統管理中心的預設值與 OS 預設值相同。

    當您選取減號時:

    • Intune 不會變更或更新此設定。 減號與 [未設定] 相同。 當設定為 [未設定] 時,即不再管理設定。
    • 此設定會從原則中移除。 下次開啟原則時,不會顯示設定。 但您可以重新新增它。
    • 下次裝置簽入時,設定已不再鎖定。 另一個原則或裝置使用者可以變更原則。

    提示

    • 在 Windows 設定工具提示中, 深入瞭解 CSP 的連結。

    • 當設定允許多個值時,建議您個別新增每個值。 例如,您可以在 [藍牙>服務允許的清單 ] 設定中輸入多個值。 在個別行上輸入每個值:螢幕快照,其中顯示在 Intune 和 Intune 系統管理中心的 Microsoft [設定目錄] 中,個別行上具有多個值的設定。

      您可以在單一欄位中新增多個值,但可能會遇到字元限制。

  9. 選取[下一步]。

  10. 在 [範圍標籤] (選擇性) 中,指派標籤來針對特定 IT 群組篩選設定檔,例如 US-NC IT TeamJohnGlenn_ITDepartment。 如需範圍標籤的詳細資訊,請 參閱針對分散式IT使用 RBAC 角色和範圍標籤

    選取 [下一步]

  11. 在 [ 指派] 中,選取將接收您配置檔的使用者或群組。 如需詳細資訊, 請參閱指派使用者和裝置配置檔

    選取[下一步]。

  12. 在 [檢閱 + 建立] 中,檢閱您的設定。 當您選取 [建立] 時,系統會儲存您的變更,然後指派設定檔。 原則也會顯示在設定檔清單中。

下次裝置檢查組態更新時,會套用您設定的設定。

尋找一些設定,並深入瞭解每個設定

設定目錄中有數千個可用的設定。 若要尋找您想要的設定,請使用搜尋和篩選功能。

如果您使用 Copilot,您可以取得 AI 產生的每個設定相關信息。

當您建立新原則或更新現有原則時,有內建的搜尋和篩選功能可協助您尋找設定。

  • 若要在原則中尋找特定設定,您可以使用 [新增設定>搜尋]。 您可以依類別搜尋,例如 browser;搜尋 關鍵詞,例如 officegoogle,並搜尋特定設定。

    例如,搜尋 internet explorer。 隨即 internet explorer 顯示具有 的所有設定。 選擇類別以檢視可用的設定:

    當您搜尋 Internet Explorer 以查看 Intune 和 Intune 系統管理中心Microsoft所有 Internet Explorer 設定時,顯示設定目錄的螢幕快照。

  • 在您的原則中,使用 [新增設定>] [新增篩選]。 選取索引鍵、運算符和值。

    當您 篩選 OS 版本時,可以篩選套用至特定 Windows 版本的設定:

    此螢幕快照顯示當您在 Intune 和 Intune 系統管理中心中依 Windows 版本篩選設定清單時的設定目錄Microsoft。

    注意事項

    針對 Edge、Office 和 OneDrive 設定,OS 版本或版本不會判斷是否套用設定。 因此,如果您篩選至特定版本,例如 Windows Professional,則不會顯示 Edge、Office 和 OneDrive 設定。

    您也可以 依裝置或使用者範圍篩選設定。 如需詳細資訊,請參閱本文中的 裝置範圍與用戶範圍設定 () :

    此螢幕快照顯示 intune 和 Intune 系統管理中心Microsoft設定目錄中的使用者和裝置範圍篩選。

複製配置檔

選取 [複製] 以建立現有配置檔的複本。 當您需要類似原始配置檔的配置檔時,複製會很有用。 此複本包含與原始配置檔相同的設定組態和範圍標籤,但沒有附加的指派。

為新的設定檔命名之後,您可以編輯設定檔來調整設定並新增指派。

  1. 移至 [裝置]>[管理裝置]>[設定]
  2. 尋找您要複製的設定檔。 以滑鼠右鍵按鍵單擊配置檔,或選取省略號操作功能表 () 。
  3. 選取 [複製]
  4. 輸入原則的新名稱和描述。
  5. 儲存 您的變更。

匯入和匯出配置檔

本功能適用於:

  • Windows 11
  • Windows 10

當您建立設定目錄原則時,可以將原則導出至 .json 檔案。 然後,您可以匯入此檔案來建立新的原則。 如果您想要建立類似現有原則的原則,這項功能非常有用。 例如,您會匯出原則、匯入原則以建立新原則,然後對新原則進行變更。

  1. 移至 [裝置]>[管理裝置]>[設定]

  2. 若要導出現有的原則,請選取 Windows 設定目錄原則,然後選取省略號/操作功能表 () >導出 JSON

    顯示如何在 Intune 和 Intune 系統管理中心Microsoft將設定目錄原則匯出為 JSON 的螢幕快照。

  3. 若要匯入先前導出的設定目錄原則,請選取 [建立>匯入原則]

    顯示如何在 Intune 和 Intune 系統管理中心Microsoft匯入現有設定目錄原則的螢幕快照。

    選取您匯出的 JSON 檔案,並將新原則命名為 。 儲存 您的變更。

衝突和報告

當相同的設定更新為不同的值,包括使用設定目錄設定的原則時,就會發生衝突。 在 Intune 系統管理中心,您可以檢查現有原則的狀態。 數據會自動重新整理,幾乎即時。

有一些內建功能可協助您針對衝突進行疑難解答,包括個別設定狀態報告。

如果您使用 Copilot,您可以使用內建提示來取得現有原則的詳細資訊,包括其影響。

在 Intune 系統管理中心,您可以使用內建的報告功能來協助尋找和解決衝突。

  1. Intune 系統管理中心中,選取 [ 裝置>管理裝置>設定]。 在清單中,選取您使用設定目錄建立的原則。 [設定檔類型] 資料行會顯示 [設定目錄]

    顯示如何在 Intune 和 Intune 系統管理中心Microsoft開啟設定目錄的螢幕快照。

  2. 當您選取原則時,會顯示裝置狀態。 它會顯示原則狀態和原則屬性的摘要。 您也可以在 [組態 設定 ] 區段中變更或更新原則:

    顯示如何選取設定目錄原則的螢幕快照,以查看 Intune 和 Intune 系統管理中心Microsoft裝置狀態、原則狀態和屬性。

  3. 取 [檢視報表]。 此報告會顯示詳細資訊,包括裝置名稱、原則狀態等等。 您也可以篩選部署狀態,並將報表 出至 .csv 檔案:

    顯示如何在 Intune 和 Intune 系統管理中心Microsoft查看詳細報告資訊的螢幕快照,包括裝置名稱、原則狀態等等。

  4. 您也可以使用每個 設定狀態來查看每個設定的狀態,也就是原則中每個設定所影響的裝置數目。

    您可以:

    • 查看已成功套用設定、發生衝突或發生錯誤的裝置數目。
    • 選取符合規範、衝突或錯誤的裝置數目。 請參閱處於該狀態的用戶或裝置清單。
    • 搜尋、排序、篩選、匯出,然後移至下一頁和上一頁。

  5. 在系統管理中心中,選取 [ 裝置>監視指>派失敗]。 如果您的設定目錄原則因為錯誤或衝突而無法部署,它會顯示在此清單中。 您也可以 出至 .csv 檔案。

  6. 選取原則以查看裝置。 然後,選取特定裝置以查看失敗的設定,且可能出現錯誤碼。

提示

Intune 報表 是絕佳的資源。 如需您可以檢視之所有報告數據的相關信息,請移至 Intune 報表

如需衝突解決的詳細資訊,請參閱:

設定目錄與範本

當您建立原則時,有兩種原則類型可供選擇: [設定目錄 ] 和 [範本]

此螢幕快照顯示當您建立 Windows 或 macOS 原則時,請在 Intune 和 Intune 系統管理中心Microsoft選取設定目錄或範本。

範本包含一組邏輯設定,例如 kiosk、VPN、Wi-Fi 等等。 如果您想要使用這些群組來設定您的設定,請使用此選項。

[ 設定] 目錄 會列出所有可用的設定。 如果您想要查看所有可用的防火牆設定或所有可用的 BitLocker 設定,請使用此選項。 此外,如果您要尋找特定設定,請使用此選項。

裝置範圍與用戶範圍設定

當您選擇設定時,某些設定 (User) 的設定名稱中有或 (Device) 標籤,例如 Allow EAP Cert SSO (User)Grouping (Device)。 當您看到這些標籤時,原則只會影響使用者範圍或裝置範圍。

如需使用者範圍和裝置範圍的詳細資訊,請參閱 原則 CSP

當您指派原則時,會使用裝置和使用者群組。 裝置和用戶範圍描述如何強制執行原則。

範圍指派行為

當您從 Intune 部署原則時,可以將使用者範圍或裝置範圍指派給任何類型的目標組。 每個使用者的原則行為取決於設定的範圍:

  • 用戶範圍原則寫入 。HKEY_CURRENT_USER (HKCU)
  • 裝置範圍原則寫入 。HKEY_LOCAL_MACHINE (HKLM)

當裝置簽入 Intune 時,裝置一 deviceID律會顯示 。 裝置可能會或可能不會顯示 userID,視簽入時間和使用者是否已登入而定。

下列清單包含範圍、指派和預期行為的一些可能組合:

  • 如果將裝置範圍原則指派給裝置,該裝置上的所有用戶都會套用該設定。
  • 如果將裝置範圍原則指派給使用者,一旦該使用者登入併發生Intune同步處理,裝置範圍設定就會套用至裝置上的所有使用者。
  • 如果將使用者範圍原則指派給裝置,該裝置上的所有用戶都會套用該設定。 此行為就像是 要合併的回送集
  • 如果將使用者範圍原則指派給使用者,則只有該使用者已套用該設定。
  • 用戶範圍和裝置範圍中有一些可用的設定。 如果其中一個設定同時指派給使用者和裝置範圍,則用戶範圍會優先於裝置範圍。

如果在初始簽入期間沒有 用戶登錄區 ,您可以看到某些使用者範圍設定標示為 不適用。 此行為會在用戶出現之前的裝置活動初期發生。

後續步驟