Vytvoření profilu zařízení v Microsoft Intune

Profily zařízení umožňují přidávat a konfigurovat nastavení a potom tato nastavení předáte zařízením ve vaší organizaci. Při vytváření zásad máte několik možností:

  • Šablony pro správu: Na Windows 10/11 jsou tyto šablony nastavení ADMX, které nakonfigurujete. Pokud znáte zásady ADMX nebo objekty zásad skupiny (GPO), je použití šablon pro správu přirozeným krokem k Microsoft Intune a Endpoint Manager.

    Další informace najdete v tématu Šablony pro správu.

  • Směrné plány: Na Windows 10/11 obsahují tyto směrné plány předkonfigurované nastavení zabezpečení. Pokud chcete vytvořit zásady zabezpečení pomocí doporučení týmů zabezpečení Microsoftu, jsou pro vás směrné plány zabezpečení.

    Další informace najdete v tématu Směrné plány zabezpečení.

  • Nastavení katalogu: Na Windows 10/11 můžete v katalogu nastavení zobrazit všechna dostupná nastavení a na jednom místě. Můžete například zobrazit všechna nastavení, která platí pro nástroj BitLocker, a vytvořit zásadu, která se zaměřuje jenom na nástroj BitLocker. Na zařízeních s macOS můžete pomocí katalogu nastavení nakonfigurovat Microsoft Edge verze 77 a nastavení.

    Další informace najdete v tématu Nastavení katalogu.

    V systému macOS pokračujte v používání souboru předvoleb k:

    • Konfigurace dřívějších verzí Microsoft Edge
    • Konfigurace nastavení prohlížeče Edge, která nejsou v katalogu nastavení
  • Šablony: Na zařízeních s Androidem, iOS/iPadOS, macOS a Windows obsahují šablony logické seskupení nastavení, která konfigurují funkci nebo koncept, jako je VPN, e-mail, zařízení s terminálem a další. Pokud znáte vytváření zásad konfigurace zařízení v Microsoft Intune, už tyto šablony používáte.

    Další informace, včetně dostupných šablon, najdete v článku Použití funkcí a nastavení na svých zařízeních pomocí profilů zařízení.

Tento článek:

  • Uvádí postup vytvoření profilu.
  • Ukazuje, jak přidat značku oboru k filtrování zásad.
  • Popisuje pravidla použitelnosti Windows klientských zařízeních a ukazuje, jak vytvořit pravidlo.
  • Uvádí časy cyklu aktualizace pro přihlášení, kdy zařízení dostávají profily a jakékoli aktualizace profilu.

Vytvoření profilu

Profily se vytvářejí v Centru Microsoft Endpoint Manager pro správu. V tomto Centru pro správu vyberte Zařízení. Máte následující možnosti:

V Endpoint Manager a Microsoft Intune vyberte Zařízení a podívejte se, co můžete nakonfigurovat a spravovat.

  • Přehled: Zobrazuje stav vašich profilů a poskytuje další podrobnosti o profilech, které jste přiřadili uživatelům a zařízením.
  • Monitor: Zkontrolujte stav svých profilů, zda se vám nes úspěch nebo neúspěch, a taky si prohlédněte protokoly profilů.
  • Podle platformy: Vytváření a prohlížení zásad a profilů podle vaší platformy. Toto zobrazení může také zobrazovat funkce specifické pro platformu. Vyberte třeba Windows. Zobrazí se funkce specifické Windows, například aktualizace prstenců Windows skripty PowerShellu.
  • Zásady: Vytvořte profily zařízení, nahrajte vlastní skripty PowerShellu, které se budou spouštět na zařízeních, a přidejte datové plány na zařízení pomocí eSIM .

Když vytvoříte profil (Profily konfigurace– > vytvořit profil), zvolte svou platformu:

  • Správce zařízení s Androidem
  • Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 10 a novější
  • Windows 8.1 a novější

Pak zvolte profil. V závislosti na platformě, kterou zvolíte, se nastavení, která můžete nakonfigurovat, liší. Následující články popisují různé profily:

Pokud například pro platformu vyberete iOS/iPadOS, vaše možnosti vypadají podobně jako v následujícím profilu:

Vytvořte zásadu a profil konfigurace zařízení s iOS/iPadOS v Endpoint Manager a Microsoft Intune.

Pokud vyberete Windows 10 a novější pro platformu, vaše možnosti vypadají podobně jako v následujícím profilu:

Vytvořte si Windows a profil konfigurace zařízení v Endpoint Manager a Microsoft Intune.

Značky oboru

Po přidání nastavení můžete do profilu taky přidat značku oboru. Značky oboru filtruje profily do konkrétních skupin IT, jako je US-NC IT Team třeba nebo JohnGlenn_ITDepartment . A používají se v distribuovaných IT.

Další informace o značek oboru a o tom, co můžete dělat, najdete v tématu Použití Značek RBACa oborů pro distribuované IT .

Pravidla použitelnosti

Platí pro:

  • Windows 11
  • Windows 10

Pravidla použitelnosti umožňují správcům cílit na zařízení ve skupině, která splňují určitá kritéria. Můžete třeba vytvořit profil omezení zařízení, který platí pro skupinu Všechna Windows 10/11. A chcete mít profil přiřazený jenom k zařízením s Windows Enterprise.

K tomuto úkolu můžete vytvořit pravidlo použitelnosti. Tato pravidla jsou skvělá pro následující scénáře:

  • Používáte Windows 10 Education (EDU). Na Bellows College chcete cílit na všechna Windows 10 EDU mezi RS3 a RS4.
  • Chcete zacílit všechny uživatele v oblasti Lidských zdrojů na Contoso, ale chcete jenom Windows 10 Professional nebo Enterprise zařízení.

Abyste se k těmto scénářům přiblíží, postupujte takto:

  • Vytvořte skupinu zařízení, která zahrnuje všechna zařízení na Bellows College. V profilu přidejte pravidlo použitelnosti, které se použije, pokud je minimální verze operačního systému a 16299 maximální verze je 17134 . Přiřaďte tento profil skupině zařízení Bellows College.

    Při přiřazení se profil vztahuje na zařízení mezi minimální a maximální verzí, kterou zadáte. U zařízení, která nejsou mezi minimální a maximální verzí, kterou zadáte, se jejich stav zobrazuje jako Není použitelné.

  • Vytvořte skupinu uživatelů, která zahrnuje všechny uživatele v oblasti lidských zdrojů (HR) ve společnosti Contoso. V profilu přidejte pravidlo použitelnosti tak, aby se vztahuje na zařízení s Windows 10 Professional nebo Enterprise. Přiřaďte tento profil skupině uživatelů lidských zdrojů.

    Při přiřazení se profil vztahuje na zařízení s Windows 10 Professional nebo Enterprise. U zařízení, která tyto edice neschová, se jejich stav zobrazuje jako Není použitelné.

  • Pokud existují dva profily se stejným nastavením, použije se profil bez pravidla použitelnosti.

    ProfileA se například zaměřuje na Windows 10 zařízení, povolí nástroj BitLocker a nemá pravidlo použitelnosti. ProfileB se zaměřuje na stejnou Windows 10 zařízení, povolí nástroj BitLocker a má pravidlo použitelnosti, které může profil použít jenom pro Windows 10 Enterprise.

    Když jsou oba profily přiřazené, použije se ProfileA, protože nemá pravidlo použitelnosti.

Když přiřadíte profil skupinám, pravidla použitelnosti působí jako filtr a zaměřte se jenom na zařízení, která splňují vaše kritéria.

Přidání pravidla

  1. Vyberte Pravidla použitelnosti. Můžete zvolit pravidla a vlastnosti:

    Přidejte pravidlo použitelnosti do Windows 10 konfigurace zařízení v Endpoint Manager a Microsoft Intune.

  2. V části Pravidlo zvolte, jestli chcete zahrnout nebo vyloučit uživatele nebo skupiny. Možnosti:

    • Přiřadit profil, pokud: Zahrnuje uživatele nebo skupiny, které splňují vámi uvedená kritéria.
    • Profil přiřazovat nelze, pokud: Vyloučí uživatele nebo skupiny, které splňují vámi uvedená kritéria.
  3. V části Vlastnost vyberte filtr. Možnosti:

    • Edice operačního systému: V seznamu zkontrolujte, Windows klientské edice, které chcete do pravidla zahrnout (nebo vyloučit).

    • Verze operačního systému: Zadejte minimální Windows maximální počet klientských verzí, která chcete do pravidla zahrnout (nebo vyloučit). Obě hodnoty jsou povinné.

      Můžete například zadat 10.0.16299.0 (RS3 nebo 1709) pro minimální verzi a 10.0.17134.0 (RS4 nebo 1803) pro maximální verzi. Nebo můžete být podrobnější a zadat minimální verzi a 10.0.16299.001 10.0.17134.319 maximální verzi.

      Další čísla verzí najdete v článku Windows verzi klienta.

  4. Pokud chcete změny uložit, vyberte Přidat.

Doba cyklu aktualizace

Intune používá různé cykly aktualizace ke kontrole aktualizací konfiguračních profilů. Pokud je zařízení nedávno zaregistrované, bude se odškrtání častěji. Cykly aktualizace zásad a profilů uvádí odhadované doby aktualizace.

Uživatelé pokaždé mohou aplikaci Portál společnosti otevřít a synchronizovat zařízení a okamžitě zkontrolovat aktualizace profilu.

Doporučení

Při vytváření profilů zvažte následující doporučení:

  • Pojmnováte zásady, abyste věděli, co jsou a co dělají. Všechny zásady dodržování předpisů a profily konfigurace mají volitelnou vlastnost Popis. V části Popis buďte konkrétní a zahrnovat informace, aby ostatní věděli, co tato zásada dělá.

    Mezi příklady konfiguračního profilu patří:

    Název profilu: Šablona správce – OneDrive konfigurační profil pro všechny Windows 10 uživatele
    Popis profilu: OneDrive šablony správce, který obsahuje minimální a základní nastavení pro všechny Windows 10 uživatele. Vytvořeno user@contoso.com uživatelům v sdílení dat organizace s osobními OneDrive účty.

    Název profilu: Profil VPN pro všechny uživatele iOS/iPadOS
    Popis profilu: Profil VPN, který obsahuje minimální a základní nastavení pro všechny uživatele iOS/iPadOS pro připojení k síti VPN Contoso. Vytvořeno user@contoso.com, aby se uživatelé automaticky ověřují pomocí sítě VPN, místo aby vyzývat uživatele k zadání uživatelského jména a hesla.

  • Vytvořte si svůj profil podle svého úkolu, například nakonfigurujte nastavení Microsoft Edge, povolte antivirová nastavení v programu Microsoft Defender, blokujte zařízení s jailbrokenem pro iOS/iPadOS a tak dále.

  • Vytvořte profily, které se vztahují na určité skupiny, jako je marketing, prodej, správci IT nebo podle umístění nebo školního systému.

  • Zásady uživatelů se oddělí od zásad zařízení.

    Například šablony pro správu v Intune mají tisíce nastavení ADMX. Tyto šablony ukazují, jestli se nastavení týká uživatelů nebo zařízení. Při vytváření šablon správců přiřaďte nastavení uživatelů skupině uživatelů a přiřaďte nastavení zařízení skupině zařízení.

    Na následujícím obrázku je příklad nastavení, které se může vztahovat na uživatele, použít na zařízení nebo použít pro obě možnosti:

    Šablona pro správu Intune, která se vztahuje na uživatele a zařízení v Endpoint Manager a Microsoft Intune.

  • Pokaždé, když vytvoříte omezující zásadu, sdělte tuto změnu uživatelům. Pokud například měníte požadavek na přístupový kód ze čtyř (4) znaků na šest (6) znaků, dejte uživatelům vědět, než zásadu přiřadíte.

Další kroky

Přiřaďte profil a sledujte jeho stav.