设备配置文件允许添加和配置设备设置,然后将这些设置推送到组织中的设备。 创建策略时,可以选择以下选项:
基线:在 Windows 设备上,这些基线包括预配置的安全设置。 如果要使用Microsoft安全团队的建议创建安全策略,请使用安全基线。
有关详细信息,请转到安全基线。
设置目录:在 Apple、Android 和 Windows 设备上,可以使用设置目录配置设备功能和设置。 设置目录在一个位置中包含所有可用设置。 例如,你可以查看适用于 BitLocker 的所有设置,并创建仅侧重于 BitLocker 的策略。 在 macOS 设备上,使用设置目录配置 Microsoft Edge 版本 77 的设置。
将不断将更多设置添加到设置目录。 有关详细信息,请转到设置目录。
模板:在设备上,可以使用内置模板。 每个模板都包含用于配置功能或概念(例如 VPN、电子邮件、展台设备等)的设置的逻辑分组。 如果你熟悉如何在 Microsoft Intune 中创建设备配置策略,那么已经在使用这些模板。
有关详细信息(包括可用模板),请转到对使用设备配置文件的设备应用功能和设置。
本文:
- 列出创建配置文件的步骤。
- 演示如何添加范围标记以“筛选”策略。
- 介绍 Windows 客户端上的适用性规则,并展示如何创建规则。
- 对于设备接收配置文件和任何配置文件更新时的签入刷新周期时间,提供了详细信息。
此功能适用于:
- Android
- iOS/iPadOS
- macOS
- Windows
先决条件
至少使用策略和配置文件管理员角色登录到 Microsoft Intune 管理中心。 有关 Intune 中的内置角色及其可执行的作的信息,请转到 基于角色的访问控制 (RBAC) 与 Microsoft Intune。
在 Intune 中注册设备。 若要了解有关注册选项的详细信息,请参阅 Microsoft Intune 注册指南。
创建配置文件
在 Intune 管理中心,选择“ 设备”。 可以选择下列选项:
概述:Lists某些配置文件的状态,并提供分配给用户和设备的配置文件的更多详细信息。
监视器:Lists所有设备监视报告。 使用这些报告可检查配置策略分配失败、用户注册不完整、设备不符合、更新安装失败等。
按平台:展开此选项可获取受支持平台的列表,例如 Android 和 Linux。 选择平台时,可以创建和查看所选平台的策略和配置文件。
此视图还可以显示特定于平台的功能。 例如,选择“Windows”。 你将看到特定于 Windows 的功能,例如 脚本和修正 以及 组策略分析。
管理设备:展开此选项可查看可创建的策略,例如合规性和配置策略。
(设备管理设备>>配置>>创建新策略) 创建配置文件时,请选择平台:
- Android 设备管理员
- Android (AOSP)
- Android Enterprise
- iOS/iPadOS
- macOS
- Windows 10 及更高版本
- Windows 8.1 及更高版本
然后,选择配置文件类型。 根据所选的平台,配置文件类型会有所不同。 以下文章介绍了不同配置文件:
- 设置目录 - 包括 Android Enterprise、iOS/iPadOS、macOS 和 Windows 的所有可用设置的列表。 可以搜索和筛选特定设置和区域,例如 OneDrive 或 Microsoft Edge。
例如,如果为平台选择“Windows”,选项将类似于以下配置文件:
作用域标记
添加设置后,还可以向配置文件添加作用域标记。 “作用域标记”将配置文件筛选到特定 IT 组(例如 US-NC IT Team 或 JohnGlenn_ITDepartment)。 并且用于分布式 IT。
要详细了解作用域标记以及可以执行的操作,请转到将 RBAC 和作用域标记用于分布式 IT。
适用性规则
应用于:
- Windows
适用性规则允许管理员针对满足特定条件的组中的设备。 例如,创建一个适用于 “所有 Windows 设备 ”组的设备限制配置文件。 而且,你只需要将配置文件分配给运行 Windows Enterprise 的设备。
若要执行此任务,请创建适用性规则。 这些规则对于以下情况非常有用:
- 在 Bellows College,你希望面向运行 Windows 11 版本 24H2 的所有 Windows 设备。
- 你想要面向 Contoso 人力资源部门中的所有用户,但只需要 Windows 专业版或企业版设备。
若要实现这些方案,你需要:
创建包括毕罗思大学的所有设备的设备组。 在配置文件中,添加一个在操作系统最低版本为
10.0.26100、最大版本为10.0.26200时应用的适用性规则。 将此配置文件分配给毕罗思大学设备组。分配该配置文件后,它会应用于输入的最低和最高版本之间的设备。 对于不在输入的最低和最高版本之间的设备,其状态显示为“不适用”。
创建一个用户组,该用户组包括 Contoso 的人力资源 (HR) 中的所有用户。 在配置文件中,添加适用性规则,使其适用于运行 Windows 专业版或企业版的设备。 将此配置文件分配给 HR 用户组。
分配配置文件后,它适用于运行 Windows 专业版或企业版的设备。 对于未运行这些版本的设备,其状态显示为“不适用”。
如果有两个配置文件具有完全相同的设置,则会应用没有适用性规则的配置文件。
例如,ProfileA 面向 Windows 设备组,启用 BitLocker,并且没有适用性规则。 ProfileB 面向同一个 Windows 设备组,启用 BitLocker,并具有一个适用性规则,以便仅将配置文件应用于 Windows 企业版。
如果同时分配了两个配置文件,则会应用 ProfileA,因为它没有适用性规则。
将配置文件分配给组时,适用性规则充当筛选器,仅针对满足条件的设备。
添加规则
使用以下步骤创建适用性规则。
在策略中,选择“适用性规则”。 你可以选择“规则”和“属性”:
在“规则”中,选择是否要包括或排除用户或组。 选项包括:
- 在以下情况下分配配置文件:包括满足你输入的条件的用户或组。
- 在以下情况下不分配配置文件:不包括满足你输入的条件的用户或组。
在“属性”中,选择筛选器。 选项包括:
操作系统版本:在列表中,选中要在规则中包括(或排除)的 Windows 客户端版本。
操作系统版本:输入要在规则中包括(或排除)的最低和最高 Windows 客户端版本号。 两个值都是必需的。
例如,对于最低版本,可以输入
10.0.16299.0(RS3 或 1709),对于最高版本,可以输入10.0.17134.0(RS4 或 1803)。 或者,可以更精细地输入10.0.16299.001表示最低版本,10.0.17134.319表示最高版本。有关版本号的详细信息,请转到Windows 客户端版本信息。
选择“添加”,保存所做更改。
策略刷新周期时间
Intune 使用不同的刷新周期来检查配置文件的更新。 如果设备是最近注册的,则会增加运行签入的频率。 策略和配置文件刷新周期列出了估计的刷新时间。
用户可以随时打开公司门户应用,并同步设备以立即检查配置文件更新。
建议
创建配置文件时,请考虑下列建议:
命名策略,以便了解其定义和用途。 所有符合性策略和配置文件都有一个可选的“说明”属性。 在“说明”中,具体明确并包含信息,使其他人知道策略的用途。
某些配置文件示例包括:
配置文件名称:所有 Windows 用户的 OneDrive 配置文件
配置文件说明:包含所有 Windows 用户的最低和基本设置的 OneDrive 配置文件。 由user@contoso.com创建,可防止用户将组织数据共享到个人 OneDrive 帐户。配置文件名称:适用于所有 iOS/iPadOS 用户的 VPN 配置文件
配置文件说明:VPN 配置文件,其中包括适用于要连接到 Contoso VPN 的所有 iOS/iPadOS 用户的最小和基本设置。 由user@contoso.com创建,以便用户自动向 VPN 进行身份验证,而不是提示用户输入其用户名和密码。按照任务创建配置文件,例如配置 Microsoft Edge 设置、启用 Microsoft Defender 防病毒设置、阻止 iOS/iPadOS 越狱设备等。
创建适用于特定组(如市场营销、销售、IT 管理员)的配置文件,或按位置或学校系统创建配置文件。 使用内置功能,包括:
将用户策略与设备策略分开。
例如, Intune 设置目录 包含数千个设置。 这些设置显示设置是否适用于用户或设备。 创建策略时,请将用户设置分配给用户组,并将设备设置分配给设备组。
下图显示了可应用于用户、应用于设备或同时应用于两者的某些设置的示例:
使用 Intune 中的Microsoft Copilot评估策略,详细了解策略设置 & 策略设置对用户 & 安全性的影响,并比较两台设备之间的策略。
有关详细信息,请转到Intune 中的 Microsoft Copilot。
每次创建限制性策略时,请将此更改传达给用户。 例如,如果要将密码要求从四 (4) 个字符更改为六 (6) 个字符,请在分配策略之前告知用户。
