Dela via

Genomgång – Skapa en katalogprincip för Intune-inställningar och jämför med lokal ADMX

Obs!

Den här genomgången skapades som en teknisk workshop och uppdaterades för att gälla för Intune-inställningskatalogen. Den har fler krav än vanliga genomgångar, eftersom den jämför med att använda och konfigurera katalogprinciper för inställningar i Intune och lokalt grupprincip administrativa mallar (ADMX).

Grupprincip och ADMX-mallar innehåller inställningar som du kan konfigurera på Windows-enheter. De här inställningarna används och hanteras av MDM-leverantörer (Mobile Enhetshantering), till exempel Microsoft Intune, för att konfigurera funktioner och inställningar på Windows-enheter. Du kan till exempel aktivera Designidéer i PowerPoint, ange en startsida i Microsoft Edge med mera.

De här inställningarna är inbyggda i Microsoft Intune-inställningskatalogen. I en katalogprofil för inställningar konfigurerar du de inställningar som du vill inkludera och tilldelar sedan profilen till dina enheter.

I den här genomgången gör du så här:

  • Få en introduktion till administrationscentret för Microsoft Intune.
  • Skapa användargrupper och skapa enhetsgrupper.
  • Jämför inställningarna i Intune med lokala ADMX-inställningar.
  • Skapa olika inställningar för katalogprinciper och konfigurera de inställningar som riktar sig till de olika grupperna.

I slutet av den här labbuppgiften kan du använda Intune för att hantera dina användare och distribuera katalogprinciper för inställningar.

Den här funktionen gäller för:

  • Windows
  • Microsoft Edge version 77 och senare

Tips

Förhandskrav

  • En Microsoft 365 E3- eller E5-prenumeration, som innehåller Intune och Microsoft Entra ID P1 eller P2. Om du inte har någon E3- eller E5-prenumeration kan du prova det kostnadsfritt.

    Mer information om vad du får med de olika Microsoft 365-licenserna finns i Transformera ditt företag med Microsoft 365.

  • Microsoft Intune har konfigurerats som Intune MDM-utfärdare. Mer information finns i Ange utfärdare för hantering av mobila enheter.

    Skärmbild som visar hur du ställer in MDM-utfärdaren på Microsoft Intune i din klientorganisationsstatus.

  • På en lokal Active Directory domänkontrollant (DC):

    1. Kopiera följande Office- och Microsoft Edge-mallar till Central Store (sysvol-mappen):

    2. Skapa en grupprincip för att skicka dessa mallar till en Windows Enterprise-administratörsdator i samma domän som domänkontrollanten. I den här genomgången:

      • Grupprincipen som vi skapade med dessa mallar heter OfficeochEdge. Du ser det här namnet i bilderna.
      • Windows Enterprise-administratörsdatorn som vi använder heter den Admin datorn.

      I de flesta organisationer har en domänadministratör två konton:

      • Ett typiskt domänarbetskonto
      • Ett annat domänadministratörskonto som endast används för domänadministratörsuppgifter, till exempel grupprincip

      Syftet med den här Admin datorn är att administratörer ska kunna logga in med sitt domänadministratörskonto och komma åt verktyg som utformats för att hantera grupprinciper.

  • På den här Admin datorn:

    • Logga in med ett domänadministratörskonto.

    • Lägg till RSAT: grupprincip Management Tools:

      1. Öppna inställningsappen>System>Lägg till en valfri funktion>Visa funktioner.

      2. Välj RSAT: grupprincip Hanteringsverktyg>Lägg till.

        Vänta medan Windows lägger till funktionen. När det är klart visas det så småningom i Windows Administrationsverktyg-appen .

        Skärmbild som visar windows administrationsverktygsappar, inklusive grupprincip Management-appen.

    • Se till att du har internetåtkomst och administratörsbehörighet till Microsoft 365-prenumerationen, som innehåller Administrationscenter för Intune.

Öppna administrationscentret för Intune

  1. Öppna en Chromium-baserad webbläsare, till exempel Microsoft Edge.

  2. Gå till administrationscentret för Microsoft Intune. Logga in med följande konto:

    Användare: Ange administratörskontot för din Microsoft 365-klientprenumeration. Lösenord: Ange dess lösenord.

Administrationscentret för Intune fokuserar på enhetshantering och innehåller Azure-tjänster, till exempel Microsoft Entra-ID. Du kanske inte ser Microsoft Entra-ID och Azure-varumärkesanpassning, men du använder dem.

Du kan också öppna Administrationscenter för Intune från Administrationscenter för Microsoft 365:

  1. Gå till https://admin.microsoft.com.

  2. Logga in med administratörskontot för din Microsoft 365-klientprenumeration.

  3. Välj Visa alla>Admin center>Microsoft Intune. Administrationscentret för Intune öppnas.

    Skärmbild som visar administrationscenter i Administrationscenter för Microsoft 365.

Skapa grupper och lägg till användare

Lokala principer tillämpas i LSDOU-ordningen – lokal, plats, domän och organisationsenhet (OU). I den här hierarkin skriver organisationsenhetsprinciper över lokala principer, domänprinciper skriver över platsprinciper och så vidare.

I Intune tillämpas principer på användare och grupper som du skapar. Det finns ingen hierarki. Till exempel:

  • Om två principer uppdaterar samma inställning visas inställningen som en konflikt.
  • Om två efterlevnadsprinciper är i konflikt gäller den mest restriktiva principen.
  • Om två konfigurationsprofiler är i konflikt tillämpas inte inställningen.

Mer information finns i Vanliga frågor, problem och lösningar med enhetsprinciper och profiler.

I de här nästa stegen skapar du säkerhetsgrupper och lägger till användare i dessa grupper. Du kan lägga till en användare i flera grupper. Det är till exempel normalt att en användare har flera enheter, till exempel en Surface Pro för arbete och en Android-mobil enhet för personligt bruk. Och det är normalt att en person får åtkomst till organisationsresurser från dessa flera enheter.

  1. I administrationscentret för Intune väljer du Grupper>Ny grupp.

  2. Ange följande inställningar:

    • Grupptyp: Välj Säkerhet.
    • Gruppnamn: Ange Alla Windows Student-enheter.
    • Medlemskapstyp: Välj Tilldelad.

  3. Välj Medlemmar och lägg till några enheter.

    Det är valfritt att lägga till enheter. Målet är att öva på att skapa grupper och veta hur man lägger till enheter. Om du använder den här genomgången i en produktionsmiljö bör du vara medveten om vad du gör.

  4. Utvald>Skapa för att spara ändringarna.

    Ser du inte din grupp? Välj Uppdatera.

  5. Välj Ny grupp och ange följande inställningar:

    • Grupptyp: Välj Säkerhet.

    • Gruppnamn: Ange Alla Windows-enheter.

    • Medlemskapstyp: Välj Dynamisk enhet.

    • Dynamiska enhetsmedlemmar: Välj Lägg till dynamisk fråga och konfigurera frågan:

      • Egenskap: Välj deviceOSType.
      • Operator: Välj Lika med.
      • Värde: Ange Windows.

      1. Välj Lägg till uttryck. Uttrycket visas i regelsyntaxen:

        Skärmbild som visar hur du skapar en dynamisk gruppfråga och lägger till uttryck i Microsoft Intune.

        När användare eller enheter uppfyller de kriterier som du anger läggs de automatiskt till i de dynamiska grupperna. I det här exemplet läggs enheter automatiskt till i den här gruppen när operativsystemet är Windows. Om du använder den här genomgången i en produktionsmiljö bör du vara försiktig. Målet är att öva på att skapa dynamiska grupper.

      2. Spara>Skapa för att spara ändringarna.

  6. Skapa gruppen Alla lärare med följande inställningar:

    • Grupptyp: Välj Säkerhet.

    • Gruppnamn: Ange Alla lärare.

    • Medlemskapstyp: Välj Dynamisk användare.

    • Dynamiska användarmedlemmar: Välj Lägg till dynamisk fråga och konfigurera frågan:

      • Egenskap: Välj avdelning.

      • Operator: Välj Lika med.

      • Värde: Ange Lärare.

        1. Välj Lägg till uttryck. Uttrycket visas i regelsyntaxen.

          När användare eller enheter uppfyller de kriterier som du anger läggs de automatiskt till i de dynamiska grupperna. I det här exemplet läggs användare automatiskt till i den här gruppen när deras avdelning är Lärare. Du kan ange avdelning och andra egenskaper när användare läggs till i din organisation. Om du använder den här genomgången i en produktionsmiljö bör du vara försiktig. Målet är att öva på att skapa dynamiska grupper.

        2. Spara>Skapa för att spara ändringarna.

Samtalspunkter

De användare och grupper som skapas visas också i administrationscentret för Administrationscenter för Microsoft 365 och Microsoft Entra. Du kan skapa och hantera grupper i alla dessa områden för din klientprenumeration. Om målet är enhetshantering använder du administrationscentret för Microsoft Intune.

Granska gruppmedlemskap

  1. I administrationscentret för Intune väljer du Användare>Alla användare> väljer namnet på en befintlig användare.
  2. Granska en del av den information som du kan lägga till eller ändra. Titta till exempel på de egenskaper som du kan konfigurera, till exempel Befattning, Avdelning, Stad, Kontorsplats med mera. Du kan använda dessa egenskaper i dina dynamiska frågor när du skapar dynamiska grupper.
  3. Välj Grupper för att se medlemskapet för den här användaren. Du kan också ta bort användaren från en grupp.
  4. Välj några av de andra alternativen om du vill se mer information och vad du kan göra. Titta till exempel på den tilldelade licensen, användarens enheter med mera.

Vad gjorde jag just?

I administrationscentret för Intune skapade du nya säkerhetsgrupper och lade till befintliga användare och enheter i dessa grupper. Vi använder dessa grupper i senare steg i den här självstudien.

Skapa en princip för inställningskatalog i Intune

I det här avsnittet skapar vi en princip för inställningskatalog i Intune, tittar på vissa inställningar i lokal grupprincip Management och jämför samma inställning i Intune. Målet är att visa en inställning i grupprincipen och visa samma inställning i Intune.

  1. I administrationscentret för Intune väljer du Enheter>Hantera enheter>Konfiguration>Skapa>ny princip.

  2. Ange följande egenskaper:

    • Plattform: Välj Windows 10 och senare.
    • Profiltyp: Välj Inställningskatalog.

  3. Välj Skapa.

  4. Ange följande egenskaper i Grundinställningar:

    • Namn: Ange ett beskrivande namn på profilen. Namnge dina profiler så att du enkelt kan identifiera dem senare. Ange till exempel Windows Student-enheter.
    • Beskrivning: Ange en beskrivning för profilen. Denna inställning är valfri, men rekommenderas.

  5. Välj Nästa.

  6. I Konfigurationsinställningar väljer du Lägg till inställningar. Du ser en lista över alla inställningar.

    Skärmbild som visar inställningsväljaren för kataloginställningar i Microsoft Intune.

    Du kan också filtrera inställningar som gäller för enheter och inställningar som gäller för användare och Sök efter inställningar:

    Skärmbild som visar hur du kan filtrera och söka i inställningskatalogens inställningsväljare i Microsoft Intune.

  7. I sökningen anger du ladda ned. Alla principinställningar med "download" i namnet filtreras och visas i listan:

    Skärmbild som visar hur du söker efter principer med ett nyckelord i inställningskatalogen i en Microsoft Intune.

  8. Gå till kategorin >Microsoft Edge och välj SmartScreen-inställningar. Observera att SmartScreen-principinställningarna med "download" i namnet filtreras och visas:

    Skärmbild som visar hur du ser principinställningarna för Microsoft Edge Smart Screen i inställningskatalogen i Microsoft Intune.

Jämföra en princip i grupprincip Management och Intune

I det här avsnittet visar vi en princip i Intune och dess matchande princip i grupprincip Management Editor.

  1. Öppna grupprincip Management-appenden Admin datorn.

    Den här appen installeras med RSAT: grupprincip Management Tools, som är en valfri funktion som du lägger till i Windows. Krav (i den här artikeln) visar stegen för att installera den.

  2. Expandera Domäner> välj din domän. Välj contoso.nettill exempel .

  3. Högerklicka på Redigera Office- ochEdge-princip>. Appen grupprincip Management Editor öppnas.

    Skärmbild som visar hur du högerklickar på den lokala Grupprincipen för Office och Microsoft Edge ADMX och väljer Redigera.

    OfficeandEdge är en grupprincip som innehåller Office- och Microsoft Edge ADMX-mallar. Den här principen beskrivs i krav (i den här artikeln).

  4. Expandera Datorkonfigurationsprinciper>>Administrativa mallar>Kontrollpanelen>Anpassning. Observera de tillgängliga inställningarna.

    Skärmbild som visar hur du expanderar Datorkonfiguration i lokala grupprincip Management Editor och går till Anpassning.

    Dubbelklicka på Förhindra aktivering av låsskärmskamera och se tillgängliga alternativ:

    Skärmbild som visar hur du ser inställningsalternativen för lokal datorkonfiguration i grupprincipen.

  5. I administrationscentret för Intune går du till katalogprincipen för inställningar för Windows-elevenheter .

  6. Välj Konfigurationsinställningar>Redigera>Lägg till inställningar. Sök efter Anpassning och välj Administrative templates\Control Panel\Personalization kategorin. Observera de tillgängliga inställningarna:

    Skärmbild som visar inställningssökvägen för ADMX-anpassningsprinciper i inställningskatalogen för Microsoft Intune.

    Den här sökvägen och de tillgängliga inställningarna liknar det du ser i grupprincip Management Editor. Om du väljer inställningen Förhindra aktivering av kamera på låsskärmen visas liknande alternativ som är tillgängliga i grupprincip Management Editor.

    Skärmbild som visar inställningen ADMX Prevent enabling lock screen camera setting path in the Microsoft Intune settings catalog (Förhindra aktivering av inställningssökväg för låsskärmskamera) i microsoft Intune-inställningskatalogen.

Jämför en användarprincip i grupprincip Management och Intune

  1. Välj Konfigurationsinställningar>Redigera>Lägg till inställningar i din katalogprincip för Windows-elevenheter. Sök inprivate browsingefter . Observera inställningsalternativen. Inställningen (User) gäller för användarkonfigurationer. Den andra inställningen gäller för enhetskonfigurationer.

    Skärmbild som visar en användarinställning och en enhetsinställning i microsoft Intune-inställningskatalogen.

  2. I grupprincip Management Editor hittar du matchande användar- och enhetsinställningar:

    • Enhet: Expandera Datorkonfigurationsprinciper>>Administrativa mallar Windows-komponenter>>Internet Explorer>Sekretess>Inaktivera InPrivate-surfning.
    • Användare: Expandera Användarkonfigurationsprinciper>>Administrativa mallar Windows-komponenter>>Internet Explorer>Sekretess>Inaktivera InPrivate-surfning.

    Skärmbild som visar hur du inaktiverar InPrivate-surfning i Internet Explorer med hjälp av en lokal ADMX-mall.

Tips

Om du vill se de inbyggda Windows-principerna kan du också använda GPEdit (Redigera grupprincipapp ).

Vad gjorde jag just?

Du har skapat en princip för inställningskatalogen i Intune. I den här principen tittade vi på några inställningar och tittade på samma ADMX-inställningar i lokal grupprincip Management.

Skapa en katalogprincip för OneDrive-inställningar

I det här avsnittet skapar du en katalogprincip för OneDrive-inställningar i Intune för att styra vissa inställningar. Dessa specifika inställningar väljs eftersom de ofta används av organisationer.

  1. Skapa en annan Intune-princip (Enheter>Hantera enheter>Konfiguration>Skapa>ny princip).

  2. Ange följande egenskaper:

    • Plattform: Välj Windows 10 och senare.
    • Profiltyp: Välj Inställningskatalog.

  3. Välj Skapa.

  4. Ange följande egenskaper i Grundinställningar:

    • Namn: Ange OneDrive-principer för alla Windows-användare.
    • Beskrivning: Ange en beskrivning för profilen. Denna inställning är valfri, men rekommenderas.

  5. Välj Nästa.

  6. I Konfigurationsinställningar väljer du Lägg till inställningar. I kategorilistan söker du efter eller går till OneDrive. Välj följande inställningar och stäng sedan inställningsväljaren:

    • Förhindra användare från att synkronisera personliga OneDrive-konton (användare)
    • Logga tyst in användare till OneDrive-synkronisering-appen med sina Windows-autentiseringsuppgifter
    • Använda OneDrive-filer på begäran

  7. Konfigurera de här inställningarna:

    Inställning Värde
    Förhindra användare från att synkronisera personliga OneDrive-konton (användare) Aktiverad
    Logga tyst in användare till OneDrive-synkronisering-appen med sina Windows-autentiseringsuppgifter Aktiverad
    Använda OneDrive-filer på begäran Aktiverad

Dina inställningar ser ut ungefär som följande inställningar:

Skärmbild som visar hur du skapar en katalogprincip för OneDrive-inställningar i Microsoft Intune.

Mer information om OneDrive-klientinställningar finns i Använda grupprincip för att styra OneDrive-synkronisering klientinställningar.

Tilldela principen

  1. I principen väljer du Nästa tills du kommer till Tilldelningar. Välj Lägg till grupper:

  2. En lista över befintliga användare och grupper visas. Välj gruppen Alla Windows-enheter som du skapade tidigare >Välj.

    Om du använder den här genomgången i en produktionsmiljö bör du överväga att lägga till grupper som är tomma. Målet är att öva på att tilldela din princip.

  3. Välj Nästa. I Granska + skapa väljer du Skapa för att spara ändringarna.

I det här avsnittet har du skapat några inställningar för katalogprinciper och tilldelat dem till grupper som du har skapat.

Metodtips för principer

När du skapar principer och profiler i Intune finns det några rekommendationer och metodtips att tänka på. Mer information finns i metodtips för principer och profiler.

Rensa resurser

När det inte längre behövs kan du:

  • Ta bort de grupper som du skapade:

    • Alla Windows Student-enheter
    • Alla Windows-enheter
    • Alla lärare

  • Ta bort de katalogprinciper för inställningar som du skapade:

    • Windows Student-enheter
    • OneDrive-principer som gäller för alla Windows-användare

Sammanfattning

I den här självstudien lärde du dig mer om administrationscentret för Microsoft Intune, använde frågeverktyget för att skapa dynamiska grupper och skapade inställningar för katalogprinciper i Intune för att konfigurera olika inställningar. Du jämförde även användningen av ADMX-mallar lokalt och i molnet med Intune.