通过

演练 - 创建 Intune 设置目录策略并与本地 ADMX 进行比较

注意

本演练已创建为技术研讨会,并更新为应用于 Intune 设置目录。 与典型演练相比,它具有更多的先决条件,因为它比较了在 Intune 和本地组策略管理模板 (ADMX) 中使用和配置设置目录策略。

组策略和 ADMX 模板包括可在 Windows 设备上配置的设置。 这些设置由移动设备管理 (MDM) 提供程序(如 Microsoft Intune)使用和管理,以配置 Windows 设备上的功能和设置。 例如,可以在 PowerPoint 中打开设计创意,在 Microsoft Edge 中设置主页,等等。

这些设置内置于 Microsoft Intune 设置目录中。 在设置目录配置文件中,配置要包括的设置,然后将此配置文件分配给设备。

在本演练中,你将:

  • 了解 Microsoft Intune 管理中心
  • 创建用户组并创建设备组。
  • 将 Intune 中的设置与本地 ADMX 设置进行比较。
  • 创建不同的设置目录策略,并配置面向不同组的设置。

完成本实验室后,可以使用 Intune 来管理用户,并部署设置目录策略。

此功能适用于:

  • Windows
  • Microsoft Edge 版本 77 及更高版本

提示

先决条件

  • Microsoft 365 E3或 E5 订阅,其中包括 Intune 和 Microsoft Entra ID P1 或 P2。 如果没有 E3 或 E5 订阅, 请免费试用

    有关使用不同 Microsoft 365 许可证获得的内容的详细信息,请转到 使用 Microsoft 365 转换企业

  • Microsoft Intune 配置为 Intune MDM 机构。 有关详细信息,请转到 设置移动设备管理机构

    显示如何在租户状态中将 MDM 机构设置为 Microsoft Intune 的屏幕截图。

  • 在本地 Active Directory域控制器 (DC) 上:

    1. 将以下 Office 和 Microsoft Edge 模板复制到 central Store (sysvol 文件夹)

    2. 创建组策略,将这些模板推送到 DC 所在的同一域中的 Windows 企业版管理员计算机。 在本演练中:

      • 使用这些模板创建的组策略名为 OfficeandEdge。 你将在图像中看到此名称。
      • 我们使用的 Windows 企业版管理员计算机名为 管理员 计算机

      在大多数组织中,域管理员有两个帐户:

      • 典型的域工作帐户
      • 仅用于域管理员任务(如组策略)的其他域管理员帐户

      管理员计算机的用途是让管理员使用其域管理员帐户和用于管理组策略的工具进行登录。

  • 在此管理员计算机上

    • 使用域管理员帐户登录。

    • 添加 RSAT: 组策略管理工具

      1. 打开 “设置” 应用 >“”系统>添加可选功能>“”视图功能”。

      2. 选择“RSAT:组策略管理工具>添加”。

        等待 Windows 添加该功能。 完成后,它最终会显示在 Windows 管理工具 应用中。

        显示 Windows 管理工具应用的屏幕截图,包括组策略管理应用。

    • 请确保对 Microsoft 365 订阅(包括 Intune 管理中心)具有 Internet 访问权限和管理员权限。

打开 Intune 管理中心

  1. 打开基于Chromium的 Web 浏览器,如 Microsoft Edge。

  2. 转到 Microsoft Intune 管理中心。 使用以下帐户登录:

    用户:输入 Microsoft 365 租户订阅的管理员帐户。 密码:输入其密码。

Intune 管理中心侧重于设备管理,包括 Azure 服务,例如Microsoft Entra ID。 你可能看不到Microsoft Entra IDAzure 品牌,但使用的是它们。

还可以从 Microsoft 365 管理中心打开 Intune 管理中心:

  1. 转到 https://admin.microsoft.com

  2. 使用 Microsoft 365 租户订阅的管理员帐户登录。

  3. 选择“全部>显示管理员中心>Microsoft Intune”。 此时会打开 Intune 管理中心。

    显示Microsoft 365 管理中心中的管理中心的屏幕截图。

创建组并添加用户

本地策略按 LSDOU 顺序应用 - 本地、站点、域和组织单位 (OU) 。 在此层次结构中,OU 策略覆盖本地策略,域策略覆盖站点策略,等等。

在 Intune 中,策略将应用于你创建的用户和组。 不存在层次结构。 例如:

  • 如果两个策略更新相同的设置,则该设置将显示为冲突。
  • 如果两个符合性策略冲突,则会应用限制性最高的策略。
  • 如果两个配置文件冲突,则不会应用该设置。

有关详细信息,请转到 设备策略和配置文件的常见问题、问题和解决方法

在后续步骤中,将创建安全组,并将用户添加到这些组。 可以将用户添加到多个组。 例如,用户拥有多个设备(例如工作Surface Pro)和 Android 移动设备(个人版)很正常。 而且,一个人从这些多台设备访问组织资源是正常的。

  1. Intune 管理中心,选择“ >”“新建组”。

  2. 输入以下设置:

    • 组类型:选择“安全组”
    • 组名称:输入 “所有 Windows 学生设备”。
    • 成员身份类型:选择“ 已分配”。

  3. 选择“ 成员”,并添加一些设备。

    添加设备是可选的。 目标是练习创建组,并了解如何添加设备。 如果在生产环境中使用此演练,请注意你正在执行的作。

  4. 选择>创建 以保存更改。

    看不到你的组? 选择“ 刷新”。

  5. 选择“ 新建组”,并输入以下设置:

    • 组类型:选择“安全组”

    • 组名称:输入 “所有 Windows 设备”。

    • 成员身份类型:选择“ 动态设备”。

    • 动态设备成员:选择“ 添加动态查询”,并配置查询:

      • 属性:选择 “deviceOSType”。
      • 运算符:选择 “等于”。
      • :输入 Windows

      1. 选择 “添加表达式”。 表达式显示在 Rule 语法中:

        显示如何创建动态组查询并在 Microsoft Intune 中添加表达式的屏幕截图。

        当用户或设备满足输入的条件时,它们会自动添加到动态组。 在此示例中,当作系统为 Windows 时,设备会自动添加到此组。 如果在生产环境中使用此演练,请小心。 目标是练习创建动态组。

      2. >创建 以保存更改。

  6. 使用以下设置创建 “所有教师 ”组:

    • 组类型:选择“安全组”

    • 组名称:输入 “所有教师”。

    • 成员身份类型:选择“ 动态用户”。

    • 动态用户成员:选择 “添加动态查询”,并配置查询:

      • 属性:选择 部门

      • 运算符:选择 “等于”。

      • :输入 “教师”。

        1. 选择 “添加表达式”。 表达式显示在 Rule 语法中。

          当用户或设备满足输入的条件时,它们会自动添加到动态组。 在此示例中,当用户的部门为“教师”时,会自动将其添加到此组。 将用户添加到组织时,可以输入部门和其他属性。 如果在生产环境中使用此演练,请小心。 目标是练习创建动态组。

        2. >创建 以保存更改。

谈话要点

  • 动态组是某些Microsoft Entra ID 许可证中的一项功能。 如果没有正确的Microsoft Entra ID 许可证,则只能获得创建已分配组的许可。 有关动态组的详细信息,请转到:

  • Microsoft Entra ID 许可证可以包括管理应用和设备时常用的其他服务,包括多重身份验证 (MFA) 条件访问

  • 许多管理员询问何时使用用户组以及何时使用设备组。 有关一些指南,请转到 用户组与设备组

  • 请记住,一个用户可以属于多个组。 请考虑可以创建的其他一些动态用户和设备组,例如:

    • 所有学生
    • 所有 Android 设备
    • 所有 iOS/iPadOS 设备
    • 市场营销
    • 人力资源
    • 所有 Charlotte 员工
    • 所有 Redmond 员工
    • 西海岸 IT 管理员
    • 东海岸 IT 管理员

创建的用户和组也显示在Microsoft 365 管理中心Microsoft Entra管理中心。 可以在租户订阅的所有这些区域中创建和管理组。 如果目标是设备管理,请使用 Microsoft Intune 管理中心

查看组成员身份

  1. Intune 管理中心,选择“ 用户>”“所有用户> ”,选择任何现有用户的名称。
  2. 查看可添加或更改的一些信息。 例如,查看可以配置 的属性 ,如职务、部门、城市、办公室位置等。 创建动态组时,可以在动态查询中使用这些属性。
  3. 选择“ ”以查看此用户的成员身份。 还可以从组中删除用户。
  4. 选择其他一些选项以查看详细信息以及可以执行的作。 例如,查看分配的许可证、用户的设备等。

我只是做什么?

在 Intune 管理中心中,你创建了新的安全组,并向这些组添加了现有用户和设备。 在本教程的后续步骤中,我们将使用这些组。

在 Intune 中创建设置目录策略

在本部分中,我们将在 Intune 中创建设置目录策略,查看本地组策略管理中的一些设置,并比较 Intune 中的相同设置。 目标是在组策略中显示设置,并在 Intune 中显示相同的设置。

  1. Intune 管理中心,选择“ 设备>管理设备>”“配置>创建新>策略”。

  2. 输入以下属性:

    • 平台:选择“Windows 10 及更高版本”。
    • 配置文件类型:选择 “设置目录”。

  3. 选择“创建”。

  4. 在“基本信息”中,输入以下属性:

    • 名称:输入配置文件的描述性名称。 为配置文件命名,以便稍后可以轻松地识别它们。 例如,输入 Windows 学生设备
    • 说明:输入配置文件的说明。 此设置是可选的,但建议进行。

  5. 选择 下一步

  6. 在“配置设置”中,选择“添加设置”。 你将看到所有设置的列表。

    显示 intune 中的设置目录设置选取器Microsoft屏幕截图。

    还可以筛选应用于 设备的 设置和应用于 用户的设置,并 搜索 设置:

    显示如何在 Microsoft Intune 中的设置目录设置选取器中筛选和搜索的屏幕截图。

  7. 在搜索中,输入 “下载”。 名称中带有“download”的所有策略设置都经过筛选并显示在列表中:

    显示如何在 Microsoft Intune 的设置目录中搜索具有关键字 (keyword) 的策略的屏幕截图。

  8. 转到 “Microsoft Edge ”类别 > ,选择“ SmartScreen 设置”。 请注意,将筛选并显示名称中带有“下载”的 SmartScreen 策略设置:

    显示如何在 Microsoft Intune 的设置目录中查看 Microsoft Edge 智能屏幕策略设置的屏幕截图。

比较 组策略 Management 和 Intune 中的策略

在本部分中,我们将介绍 Intune 中的策略及其在组策略管理编辑器中的匹配策略。

  1. 管理员计算机上,打开“组策略管理”应用。

    此应用随 RSAT 一起安装:组策略管理工具,这是你在 Windows 上添加的可选功能。 本文中的先决条件 () 列出了安装步骤。

  2. 展开 “域> ”,选择域。 例如,选择 。contoso.net

  3. 右键单击 OfficeandEdge 策略 >“编辑”。 此时会打开组策略管理编辑器应用。

    显示如何右键单击本地 Office 和 Microsoft Edge ADMX 组策略并选择“编辑”的屏幕截图。

    OfficeandEdge 是包含 Office 和 Microsoft Edge ADMX 模板的组策略。 本文) 的 先决条件 (介绍了此策略。

  4. 展开“计算机配置>策略>管理模板>控制面板>个性化”。 请注意可用的设置。

    显示如何展开“本地组策略管理”编辑器中的“计算机配置”并转到“个性化”的屏幕截图。

    双击“ 阻止启用锁屏界面相机”,然后查看可用选项:

    显示如何在组策略中查看本地计算机配置设置选项的屏幕截图。

  5. 在 Intune 管理中心,转到 Windows 学生设备 设置目录策略。

  6. 选择 “配置设置>”“编辑>添加设置”。 搜索 “个性化” 并选择类别 Administrative templates\Control Panel\Personalization 。 请注意可用的设置:

    显示 Microsoft Intune 设置目录中的 ADMX 个性化策略设置路径的屏幕截图。

    此路径和可用设置类似于在 组策略 管理编辑器中看到的设置。 如果选择“阻止启用锁屏界面相机”设置,会看到组策略管理编辑器中提供的类似选项。

    显示Microsoft Intune 设置目录中的 ADMX 阻止启用锁屏界面相机设置路径的屏幕截图。

比较 组策略 管理和 Intune 中的用户策略

  1. Windows 学生设备 设置目录策略中,选择“ 配置设置>”“编辑>添加设置”。 搜索 inprivate browsing。 请注意设置选项。 设置 (User) 适用于用户配置。 另一个设置适用于设备配置。

    显示 intune 设置目录中Microsoft用户设置和设备设置的屏幕截图。

  2. 组策略管理编辑器中,找到匹配的用户和设备设置:

    • 设备:展开 计算机配置>策略>管理模板>Windows 组件>Internet Explorer>隐私>关闭 InPrivate 浏览
    • 用户:展开 用户配置>策略>管理模板>Windows 组件>Internet Explorer>隐私>关闭 InPrivate 浏览

    显示如何使用本地 ADMX 模板关闭 Internet Explorer 中的 InPrivate 浏览的屏幕截图。

提示

若要查看内置的 Windows 策略,还可以使用 GPEdit (编辑组策略 应用) 。

我只是做什么?

在 Intune 中创建了设置目录策略。 在此策略中,我们查看了一些设置,并查看了本地组策略管理中的相同 ADMX 设置。

创建 OneDrive 设置目录策略

在本部分中,将在 Intune 中创建 OneDrive 设置目录策略以控制某些设置。 之所以选择这些特定设置,是因为组织经常使用这些设置。

  1. 创建另一个 Intune 策略 (设备>管理设备>配置>>创建新策略) 。

  2. 输入以下属性:

    • 平台:选择“Windows 10 及更高版本”。
    • 配置文件类型:选择 “设置目录”。

  3. 选择“创建”。

  4. 在“基本信息”中,输入以下属性:

    • 名称:为所有 Windows 用户输入 OneDrive 策略
    • 说明:输入配置文件的说明。 此设置是可选的,但建议进行。

  5. 选择 下一步

  6. 在“配置设置”中,选择“添加设置”。 在类别列表中,搜索或转到 OneDrive。 选择以下设置,然后关闭设置选取器:

    • 阻止用户同步个人 OneDrive 帐户 (用户)
    • 让客户使用 Windows 凭据以无提示方式登录 OneDrive 同步应用
    • 使用 OneDrive 文件随选

  7. 配置以下设置:

    设置
    阻止用户同步个人 OneDrive 帐户 (用户) 已启用
    让客户使用 Windows 凭据以无提示方式登录 OneDrive 同步应用 已启用
    使用 OneDrive 文件随选 已启用

设置如下所示:

显示如何在 Microsoft Intune 中创建 OneDrive 设置目录策略的屏幕截图。

有关 OneDrive 客户端设置的详细信息,请转到使用组策略控制OneDrive 同步客户端设置

分配策略

  1. 在策略中,选择“ 下一步 ”,直到到达 “分配”。 选择 “添加组”:

  2. 将显示现有用户和组的列表。 选择之前>创建的“所有 Windows 设备”组“”选择”。

    如果在生产环境中使用此演练,请考虑添加为空的组。 目标是练习分配策略。

  3. 选择 下一步。 在 “查看 + 创建”中,选择“ 创建 ”以保存更改。

在本部分中,你创建了一些设置目录策略,并将其分配给你创建的组。

策略最佳做法

在 Intune 中创建策略和配置文件时,需要考虑一些建议和最佳做法。 有关详细信息,请转到 策略和配置文件最佳做法

清理资源

不再需要时,可以:

  • 删除创建的组:

    • 所有 Windows 学生设备
    • 所有 Windows 设备
    • 所有教师

  • 删除创建的设置目录策略:

    • Windows 学生设备
    • 适用于所有 Windows 用户的 OneDrive 策略

摘要

在本教程中,你更熟悉 intune 管理中心Microsoft,使用查询生成器创建动态组,并在 Intune 中创建设置目录策略以配置不同的设置。 还将本地和云中的 ADMX 模板与 Intune 进行了比较。