Использование каталога параметров для настройки параметров на устройствах Windows, iOS/iPadOS и macOS

Каталог параметров — это единое расположение для всех параметров, которые можно настроить. Эта функция упрощает создание политик и просмотр всех доступных параметров. Например, можно использовать каталог параметров для создания политики BitLocker со всеми параметрами BitLocker.

Вы также можете использовать Microsoft Copilot в Intune. При использовании функций Copilot с каталогом параметров вы можете использовать Copilot для следующих способов:

• Узнайте больше о каждом параметре, получите анализ влияния "Что если" и найдите потенциальные конфликты.
• Сводные данные о существующих политиках и анализ влияния на пользователей и безопасность.

Если вы предпочитаете настраивать параметры на детализированном уровне, аналогично локальным объектам групповая политика (GPO), каталог параметров является естественным переходом на облачную политику.

При создании политики вы начинаете с чистого листа. Вы добавляете только те параметры, которые необходимо контролировать и которыми требуется управлять.

Чтобы управлять устройствами в организации и защищать их, используйте каталог параметров как часть решения для управления мобильными устройствами (MDM). Дополнительные параметры постоянно добавляются в каталог параметров. Чтобы получить список параметров, перейдите в репозиторий IntunePMFiles / DeviceConfig GitHub.

Данная функция применяется к:

• iOS/iPadOS

  Сюда входят параметры устройств, которые создаются непосредственно из ключей полезных данных, специфичных для профилей Apple. Новые параметры и ключи добавляются постоянно. Дополнительные сведения об этих ключах см. в статье Ключи полезных данных конкретных профилей (переход по этой ссылке открывает веб-сайт Apple).

  Декларативное управление устройствами (DDM) от Apple встроено в каталог параметров. При настройке параметров из каталога параметров на устройствах iOS/iPadOS 15+, зарегистрированных с помощью регистрации пользователей, вы автоматически используете DDM. Если DDM не работает по какой-либо причине, эти устройства используют стандартный протокол MDM Apple. Все остальные устройства iOS/iPadOS по-прежнему используют стандартный протокол MDM От Apple.

• macOS

  Сюда входят параметры устройств, которые создаются непосредственно из ключей полезных данных, специфичных для профилей Apple. Новые параметры и ключи добавляются постоянно. Дополнительные сведения об этих ключах см. в статье Ключи полезных данных конкретных профилей (переход по этой ссылке открывает веб-сайт Apple).

  Декларативное управление устройствами (DDM) от Apple доступно в каталоге параметров. DDM можно использовать для управления обновлениями программного обеспечения, ограничениями секретного кода и многое другое.

• Windows 10/11

  Существуют тысячи параметров, включая параметры, которые ранее не были доступны. Эти параметры создаются непосредственно на основе поставщиков служб конфигурации Windows (CSP). Вы также можете настраивать административные шаблоны и использовать дополнительные доступные административные параметры шаблонов. Когда в Windows добавляются или предоставляются дополнительные параметры для поставщиков MDM, они добавляются быстрее Microsoft Intune, чтобы их можно было настроить.

Совет

• Список параметров в каталоге параметров см. в репозитории IntunePMFiles / DeviceConfig GitHub.
• Чтобы просмотреть настроенные политики Microsoft Edge, откройте Microsoft Edge и выберите edge://policy.

В этой статье перечислены действия по созданию политики, показано, как выполнять поиск и фильтрацию параметров в Intune, а также как использовать Copilot.

При создании политики создается профиль конфигурации устройства. Затем можно назначить или развернуть этот профиль для устройств в вашей организации.

Сведения о некоторых функциях, которые можно настроить с помощью каталога параметров, см. в разделе Задачи, которые можно выполнить с помощью каталога параметров в Intune.

Создание политики

Политику можно создать с помощью типа профиля каталога параметров.

1. Войдите в Центр администрирования Microsoft Intune.

2. ВыберитеКонфигурация>устройств>Create.

3. Укажите следующие свойства:

   • Платформа: выберите iOS/iPadOS, macOS или Windows 10 и более поздних версий.
   • Тип профиля: выберите Каталог параметров.

4. Нажмите Создать.

5. В разделе Основные укажите следующие свойства.

   • Имя. Введите описательное имя для профиля. Назначьте имена профилям, чтобы позже их можно было легко найти. Например, хорошее имя профиля macOS: параметры MSFT Microsoft Edge или Win10: параметры BitLocker для всех устройств Win10.
   • Описание. Введите описание профиля. Этот необязательный параметр, но мы рекомендуем его использовать.

6. Нажмите кнопку Далее.

7. В разделе Параметры конфигурации нажмите Add settings (Добавить параметры). В средстве выбора параметров выберите категорию, чтобы просмотреть все доступные параметры.

   Например, выберите Windows 10 и более поздние версии, а затем Проверка подлинности, чтобы просмотреть все параметры в этой категории.

   

   Например, выберите macOS. В категории Microsoft Edge — Все перечислены все параметры, которые можно настроить, включая новые. Другие категории содержат устаревшие параметры или параметры для более старых версий.

   

   Совет

   • В macOS категории временно удалены. Чтобы найти определенный параметр, используйте категорию Microsoft Edge — Все или выполните поиск по имени параметра. Список имен параметров можно найти в разделе Microsoft Edge — Политики.

   • Используйте ссылку Дополнительные сведения во всплывающей подсказке, чтобы узнать, является ли параметр устаревшим, и просмотреть поддерживаемые версии.

8. Выберите любой параметр, который требуется настроить. Можно также выбрать Select all these settings (Выбрать все параметры).

   

   После добавления параметров закройте средство их выбора. Отобразятся все параметры, и для них будут заданы значения по умолчанию, например Блокировать или Разрешить. Эти значения по умолчанию такие же, как значения по умолчанию в операционной системе. Если вы не хотите настраивать параметр, выберите минус.

   

   Если выбрать минус (-):

   • Intune не изменяет или не обновляет этот параметр. Минус означает Не настроено. Если задано значение Не настроено, значит параметр больше не управляется.
   • Такие параметры удаляются из политики. При следующем открытии политики этот параметр не отображается. Его можно добавить снова.
   • При следующей синхронизации устройств этот параметр уже не блокируется. Другой пользователь политики или устройства может изменить политику.

   Совет

   • В подсказках параметров Windows ссылка Дополнительные сведения ведет к CSP.

   • Если параметр допускает несколько значений, рекомендуется добавить каждое значение отдельно.

     Например, можно ввести несколько значений впараметре Список разрешенных службBluetooth>. Введите каждое значение в отдельной строке

     В одном поле можно добавить несколько значений, но может возникнуть ограничение на символы.

9. Нажмите кнопку Далее.

10. В поле Теги области (необязательно) назначьте тег для фильтрации профиля по конкретным ИТ-группам, например US-NC IT Team или JohnGlenn_ITDepartment. Дополнительные сведения о тегах области см. в разделе Использование ролей RBAC и тегов области для распределенных ИТ-групп.

    Нажмите кнопку Далее.

11. В поле Назначения выберите пользователей или группы, которые будет принимать ваш профиль. Дополнительные сведения о назначении профилей см. в статье Назначение профилей пользователей и устройств.

    Нажмите кнопку Далее.

12. Проверьте параметры в окне Проверка и создание. При выборе Создать внесенные изменения сохраняются и назначается профиль. Политика также отображается в списке профилей.

В следующий раз, когда устройство будет проверять наличие обновлений конфигурации, будут применены настроенные параметры.

Поиск некоторых параметров и дополнительные сведения о каждом из них

В каталоге параметров доступны тысячи параметров. Чтобы помочь найти нужные параметры, можно использовать функции поиска и фильтрации в каталоге параметров.

Если вы используете Copilot, вы можете получить сведения о каждом параметре, созданном ИИ.

Поиск и фильтрация

При создании новой политики или обновлении существующей политики существуют встроенные функции поиска и фильтрации, которые помогут вам найти параметры.

• В политике для поиска определенных параметров можно использовать команду Добавить параметры>Поиск. Поиск можно выполнять по категории, например browser, по ключевому слову, например office или google, и по конкретному параметру.

  Например, выполните поиск по фразе internet explorer. Отобразятся все параметры с internet explorer. Выберите любую категорию, чтобы просмотреть доступные параметры.

  

• В политике выберите Add settings (Добавить параметры)>Добавить фильтр. Выберите ключ, оператор и значение.

  При фильтрации в выпуске OS можно отфильтровать параметры, которые применяются к определенным выпускам Windows:

  

  Примечание.

  Версия или выпуск ОС не определяет, применяются ли параметры Microsoft Edge, Office и OneDrive. Поэтому при фильтрации по определенному выпуску, например в Windows Pro, параметры Microsoft Edge, Office и OneDrive не отображаются.

  Вы также можете отфильтровать параметры по устройству или область пользователя. Дополнительные сведения о область пользователей и область устройств см. в разделе Параметры область устройства и область пользователя (в этой статье):

  

Копилот

При использовании политик каталога параметров можно использовать Copilot, чтобы получить дополнительные сведения о конкретном параметре и его влиянии.

1. В политике выберите Добавить параметры. В окне Выбор параметров выберите некоторые параметры. Например, в политике macOS разверните декларативный Управление устройствами>Сообновление программного> обеспеченияВыберите все эти параметры. Закройте средство выбора параметров.

2. Для параметров обратите внимание на подсказку Copilot:

   

3. При выборе подсказки Copilot автоматически отображаются дополнительные сведения о параметре:

   

4. В запросе можно использовать дополнительные запросы. Вы также можете выбрать руководство по запросу и выбрать из существующего списка запросов:

   

Копирование профиля

Чтобы создать копию существующего профиля, выберите Дублировать. Дублирование удобно, если нужен профиль, который похож на исходный, но отличается от него.

Копия содержит те же конфигурации параметров и теги области, что и исходный профиль, но она без назначений. После присвоения новому профилю имени можно изменить профиль для настройки параметров и добавления назначений.

1. Перейдите враздел Конфигурацияустройств>.
2. Найдите профиль, который нужно скопировать. Щелкните профиль правой кнопкой мыши или выберите контекстное меню, обозначенное многоточием (…).
3. Выберите Дублировать.
4. Введите имя и описание новой политики.
5. Сохраните внесенные изменения.

Импорт и экспорт профиля

Данная функция применяется к:

• Windows 10 и более поздние версии

При создании политики каталога параметров можно экспортировать политику в .json файл. Затем этот файл можно импортировать, чтобы создать новую политику. Эта функция полезна, если вы хотите создать политику, аналогичную существующей политике. Например, вы экспортируете политику, импортируете ее, чтобы создать новую политику, а затем вносите изменения в новую политику.

1. Перейдите враздел Конфигурацияустройств>.

2. Чтобы экспортировать существующую политику, выберите профиль > , выберите контекстное меню с многоточием (…) >Экспорт JSON:

   

3. Чтобы импортировать ранее экспортированную политику каталога параметров, выберите Create>Политики порта:

   

   Выберите экспортируемый JSON-файл и присвойте имя новой политике. Сохраните внесенные изменения.

Конфликты и отчеты

Конфликты возникают, когда один и тот же параметр обновляется до разных значений, включая политики, настроенные с помощью каталога параметров. В Центре администрирования Intune можно проверка состояние существующих политик. Эти данные автоматически обновляются почти в реальном времени.

Существуют встроенные функции, которые помогают устранять конфликты, включая отчеты о состоянии отдельных параметров.

Если вы используете Copilot, вы можете использовать некоторые встроенные запросы, чтобы получить дополнительные сведения о существующих политиках, включая их влияние.

Отчеты и устранение неисправностей

В центре администрирования Intune можно использовать встроенные функции отчетов для поиска и устранения конфликтов.

1. В Центре администрирования Intune выберите Конфигурация устройств>. Выберите в этом списке политику, которую вы создали в разделе с каталогом параметров. В столбце Тип профиля отображается Каталог параметров:

   

2. При выборе политики отображается состояние устройства со сводными данными о состоянии политики и свойствами политики. Вы также можете изменить или обновить свою политику в разделе Параметры конфигурации:

   

3. Выберите Просмотреть отчет. В этом отчете отображаются подробные сведения, включая имя устройства, состояние политики и многое другое. Можно также выполнить фильтрацию по состоянию развертывания и экспортировать отчет в файл .csv:

   

4. Кроме того, можно узнать состояния каждого параметра, используя раздел Состояние для отдельных параметров. В этом разделе о состоянии показано общее число устройств, затронутых каждым параметром в политике.

   Варианты действий:

   • Просмотрите число устройств с успешно примененным параметром, конфликтом или ошибкой.
   • Выберите число устройств, которые находятся в состоянии соответствия, конфликта или ошибки. И просмотрите список пользователей или устройств в этом состоянии.
   • Поиск, сортировка, фильтрация, экспорт и переход к следующей или предыдущей странице.

5. В центре администрирования последовательно выберите Устройства>Мониторинг>Ошибки назначения. Если политика каталога параметров не удалось развернуть из-за ошибки или конфликта, она отображается в этом списке. Вы также можете экспортировать данные в файл .csv.

6. Выберите политику для просмотра устройств. Затем выберите устройство, чтобы определить параметр, с которым возникли проблемы и просмотреть возможный код ошибки.

Совет

Отчеты Intune — это отличный ресурс, который описывает все доступные функции отчетов. Сведения обо всех данных отчетов, которые вы можете просмотреть, см. на странице Отчеты Intune.

Дополнительные сведения об устранении конфликтов см. по адресу:

• Отслеживание профилей устройств
• Распространенные вопросы и ответы о политиках устройств

Копилот

Copilot может помочь вам найти состояние существующих политик, найти состояние определенного параметра в политике и показать потенциальные конфликты.

1. В Центре администрирования Intune выберите Конфигурация устройств>. В списке политик выберите политику, которую вы хотите оценить с помощью Copilot.

2. При выборе политики отображается состояние устройства Выберите Суммировать с помощью Copilot:

   

   Сводка отображается автоматически и включает параметры в политике & их значения.

3. В запросе есть дополнительные запросы, которые можно выбрать. Вы также можете выбрать руководство по запросу и выбрать из существующего списка запросов:

   

Сравнение каталога параметров и шаблонов

При создании политики вы можете использовать два типа политик: Каталог параметров и Шаблоны:

Шаблоны включают логическую группу параметров, таких как киоск, VPN, Wi-Fi и многое другое. Используйте этот вариант, если вы хотите использовать такие группирования для настройки параметров.

Вариант Каталог параметров перечисляет все доступные параметры. Если вы хотите просмотреть все параметры, доступные для брандмауэра или BitLocker, используйте этот вариант. Кроме того, этот вариант подходит для поиска определенных параметров.

Параметры области устройства и области пользователя

При выборе некоторые параметры содержат тег (User) или (Device) в своем имени, например Allow EAP Cert SSO (User) или Grouping (Device). При наличии этих тегов политика влияет только на область пользователя или область устройства.

Дополнительные сведения об области пользователя и области устройства см. в статье Поставщик службы конфигурации политики.

При назначении политик используются группы устройств и пользователей. Область устройства и область пользователя описывают применение политики.

Поведение назначения области

При развертывании политики из Intune можно назначить область пользователя или область устройства целевой группе любого типа. Поведение политики на уровне пользователя зависит от области параметра.

• Политика области пользователя выполняет запись в HKEY_CURRENT_USER (HKCU).
• Политика области устройства выполняет запись в HKEY_LOCAL_MACHINE (HKLM).

При регистрации в Intune устройство всегда предоставляет deviceID. Устройство может или не может представлять userID, в зависимости от времени проверка и от того, выполнил ли пользователь вход.

В следующем списке приводятся некоторые возможные сочетания области применения, назначения и ожидаемого поведения:

• Если устройству назначена политика области устройства, этот параметр применяется ко всем пользователям устройства.
• Если пользователю назначена политика области устройства, после входа пользователя и синхронизации с Intune параметры области устройства применяются ко всем пользователям устройства.
• Если устройству назначена политика области пользователя, этот параметр применяется ко всем пользователям устройства. Это похоже на замыкание на себя в режиме слияния.
• Если пользователю назначена политика области пользователя, этот параметр применяется только к этому пользователю.
• Некоторые параметры доступны в области пользователя и области применения устройства. Если один из параметров назначен как для области пользователя, так и для области применения устройства, область пользователя имеет приоритет над областью применения устройства.

Если во время начального проверка вход пользователя отсутствует, вы можете увидеть некоторые параметры область пользователей, помеченные как неприменимые. Такое поведение характерно для начального этапа работы устройства, прежде чем появится пользователь.

Дальнейшие действия

• Задачи, которые можно выполнить с помощью каталога параметров Intune
• Создание политики универсальной печати в Microsoft Intune
• Назначение профиля и отслеживание его состояния.
• Обзор Microsoft Copilot для Intune