Kurz: Použití cloudu ke konfiguraci zásad skupiny na zařízeních Windows 10/11 pomocí šablon ADMX a Microsoft Intune

Poznámka

Tento kurz byl vytvořen jako technický workshop pro Microsoft Ignite. Má více požadavků než typické kurzy, protože porovnává použití a konfiguraci zásad ADMX v Intune a v místním prostředí.

Šablony pro správu zásad skupiny, označované také jako šablony ADMX, zahrnují nastavení, která můžete nakonfigurovat na Windows klientských zařízeních, včetně počítačů. Nastavení šablony ADMX jsou k dispozici různými službami. Tato nastavení používají poskytovatelé mobilních Správa zařízení (MDM), včetně Microsoft Intune. V PowerPoint můžete například zapnout návrhy designu, nastavit domovskou stránku v Microsoft Edge, blokovat technologie ActiveX ovládací prvky v Internet Exploreru a další.

Šablony ADMX jsou k dispozici pro následující služby:

Další informace o zásadách ADMX najdete v tématu Principy zásad založených na ADMX.

Tyto šablony jsou integrované pro Microsoft Intune a jsou k dispozici jako profily šablon pro správu. V tomto profilu nakonfigurujete nastavení, která chcete zahrnout, a pak tento profil přiřadíte zařízením.

V tomto kurzu:

  • Seznamte se s Centrem pro správu Microsoft Endpoint Manager.
  • Vytvořte skupiny uživatelů a vytvořte skupiny zařízení.
  • Porovnejte nastavení v Intune s místním nastavením ADMX.
  • Vytvořte různé šablony pro správu a nakonfigurujte nastavení, která cílí na různé skupiny.

Na konci tohoto cvičení budete umět začít používat Intune a Microsoft 365 ke správě uživatelů a nasazovat šablony pro správu.

Tato funkce platí pro:

  • Windows 11
  • Windows 10 verze 1709 a novější

Tip

Existují dva způsoby, jak vytvořit šablonu pro správu: pomocí šablony nebo pomocí katalogu Nastavení. Tento článek se zaměřuje na použití šablony pro správu . Katalog Nastavení má k dispozici více nastavení šablony pro správu. Konkrétní kroky pro použití katalogu Nastavení najdete v tématu Konfigurace nastavení pomocí katalogu nastavení.

Požadavky

  • Předplatné Microsoft 365 E3 nebo E5, které zahrnuje Intune a Azure Active Directory (AD) Premium. Pokud nemáte předplatné E3 nebo E5, vyzkoušejte si ho zdarma.

    Další informace o tom, co získáte s různými licencemi Microsoft 365, najdete v tématu Transformace Enterprise pomocí Microsoft 365.

  • Microsoft Intune je nakonfigurovaná jako Intune autorita MDM. Další informace najdete v tématu Nastavení autority pro správu mobilních zařízení.

    Nastavení autority MDM na Microsoft Intune ve stavu tenanta

  • Na řadiči domény místní Active Directory:

    1. Zkopírujte následující šablony Office a Microsoft Edge do centrálního úložiště (složka sysvol):

    2. Vytvořte zásadu skupiny, která tyto šablony odešle do počítače Windows 10/11 Enterprise správce ve stejné doméně jako řadič domény. V tomto kurzu:

      • Zásady skupiny, které jsme vytvořili pomocí těchto šablon, se nazývají OfficeandEdge. Tento název se zobrazí na obrázcích.
      • Počítač Windows 10/11 Enterprise správce, který používáme, se nazývá počítač správce.

      V některých organizacích má správce domény dva účty:

      • Typický pracovní účet domény
      • Jiný účet správce domény, který se používá jenom pro úlohy správce domény, jako jsou zásady skupiny

      Účelem tohoto počítače správce je, aby se správci přihlásili pomocí svého účtu správce domény a přistupovat k nástrojům určeným pro správu zásad skupiny.

  • Na tomto počítači správce:

    • Přihlaste se pomocí účtu správce domény.

    • Nainstalujte nástroj RSAT: Zásady skupiny Management Tools:

      1. Otevřete Nastavení aplikaci > funkce AppsOptional > featuresAdd > .

      2. Vyberte RSAT: Zásady skupiny Nástroje pro > správuInstalace.

        Počkejte, než Windows funkci nainstaluje. Po dokončení se nakonec zobrazí v aplikaci nástroje pro správu Windows.

        Windows aplikace Nástroje pro správu, včetně aplikace pro správu Zásady skupiny

    • Ujistěte se, že máte přístup k internetu a oprávnění správce k předplatnému Microsoft 365, které zahrnuje centrum pro správu Endpoint Manager.

Otevření Centra pro správu Endpoint Manager

  1. Otevřete webový prohlížeč chromu, například Microsoft Edge verze 77 nebo novější.

  2. Přejděte do Centra pro správu Microsoft Endpoint Manager. Přihlaste se pomocí následujícího účtu:

    Uživatel: Zadejte účet správce vašeho předplatného tenanta Microsoft 365.
    Heslo: Zadejte jeho heslo.

Toto centrum pro správu se zaměřuje na správu zařízení a zahrnuje služby Azure, jako jsou Azure AD a Intune. Možná nevidíte Azure Active Directory a branding Intune, ale používáte je.

Centrum pro správu Endpoint Manager můžete otevřít také z Centrum pro správu Microsoftu 365:

  1. Přejděte na https://admin.microsoft.com.

  2. Přihlaste se pomocí účtu správce vašeho předplatného tenanta Microsoft 365.

  3. Vyberte Zobrazit všechna > centra pro správuSpráva > všech bodů pro správu. Otevře se centrum pro správu Endpoint Manager.

    Zobrazení všech center pro správu v Centrum pro správu Microsoftu 365

Vytváření skupin a přidávání uživatelů

Místní zásady se používají v pořadí LSDOU – místní, lokalita, doména a organizační jednotka (OU). V této hierarchii přepíší zásady organizačních diagramů místní zásady, zásady domény přepíší zásady lokality atd.

V Intune se zásady použijí na uživatele a skupiny, které vytvoříte. Neexistuje hierarchie. Příklad:

  • Pokud dvě zásady aktualizují stejné nastavení, nastavení se zobrazí jako konflikt.
  • Pokud jsou dvě zásady dodržování předpisů v konfliktu, použije se nejvíce omezující zásada.
  • Pokud jsou dva konfigurační profily v konfliktu, nastavení se nepoužije.

Další informace najdete v tématu Běžné dotazy, problémy a řešení zásad a profilů zařízení.

V následujících krocích vytvoříte skupiny zabezpečení a přidáte uživatele do těchto skupin. Uživatele můžete přidat do více skupin. Je například normální, že uživatel má více zařízení, jako je Surface Pro pro práci, a mobilní zařízení s Androidem pro jednotlivce. A je normální, že osoba přistupuje k prostředkům organizace z těchto více zařízení.

  1. V centru pro správu Endpoint Manager vyberte skupinu GroupsNew > .

  2. Zadejte následující nastavení:

    • Typ skupiny: Vyberte zabezpečení.
    • Název skupiny: Zadejte všechna Windows 10 zařízení studentů.
    • Typ členství: Vyberte Přiřazeno.
  3. Vyberte Členové a přidejte některá zařízení.

    Přidání zařízení je volitelné. Cílem je procvičit si vytváření skupin a vědět, jak přidat zařízení. Pokud tento kurz používáte v produkčním prostředí, mějte na paměti, co děláte.

  4. Vyberte > Vytvořte soubor pro uložení změn.

    Nevidíte svou skupinu? Vyberte Aktualizovat.

  5. Vyberte Nová skupina a zadejte následující nastavení:

    • Typ skupiny: Vyberte zabezpečení.

    • Název skupiny: Zadejte všechna Windows zařízení.

    • Typ členství: Vyberte dynamické zařízení.

    • Dynamické členy zařízení: Vyberte Přidat dynamický dotaz a nakonfigurujte dotaz:

      • Vlastnost: Vyberte deviceOSType.
      • Operátor: Vyberte rovná se.
      • Hodnota: Zadejte Windows.
      1. Vyberte Přidat výraz. Výraz se zobrazí v syntaxi pravidla:

        Vytvoření dynamického dotazu a přidání výrazu v Microsoft Intune šabloně pro správu

        Když uživatelé nebo zařízení splňují zadaná kritéria, automaticky se přidají do dynamických skupin. V tomto příkladu se zařízení automaticky přidají do této skupiny, když je operační systém Windows. Pokud tento kurz používáte v produkčním prostředí, buďte opatrní. Cílem je procvičit si vytváření dynamických skupin.

      2. Uložit > Vytvořte soubor pro uložení změn.

  6. Vytvořte skupinu Všichni učitelé s následujícím nastavením:

    • Typ skupiny: Vyberte zabezpečení.

    • Název skupiny: Zadejte všechny učitele.

    • Typ členství: Vyberte dynamického uživatele.

    • Dynamické členy uživatelů: Vyberte Přidat dynamický dotaz a nakonfigurujte dotaz:

      • Vlastnost: Vyberte oddělení.

      • Operátor: Vyberte rovná se.

      • Hodnota: Zadejte učitele.

        1. Vyberte Přidat výraz. Výraz se zobrazí v syntaxi pravidla.

          Když uživatelé nebo zařízení splňují zadaná kritéria, automaticky se přidají do dynamických skupin. V tomto příkladu se uživatelé automaticky přidají do této skupiny, když je jejich oddělení učitelé. Po přidání uživatelů do vaší organizace můžete zadat oddělení a další vlastnosti. Pokud tento kurz používáte v produkčním prostředí, buďte opatrní. Cílem je procvičit si vytváření dynamických skupin.

        2. Uložit > Vytvořte soubor pro uložení změn.

Body mluvení

Vytvořené uživatele a skupiny najdete také v Centrum pro správu Microsoftu 365, Azure AD v Azure Portal a Microsoft Intune v Azure Portal. Skupiny můžete vytvářet a spravovat ve všech těchto oblastech pro předplatné tenanta. Pokud vaším cílem je správa zařízení, použijte centrum pro správu Microsoft Endpoint Manager.

Kontrola členství ve skupině

  1. V centru pro správu Endpoint Manager vyberte Uživatelé > vyberte jméno libovolného existujícího uživatele.

    V centru pro správu Endpoint Manager vyberte Uživatelé.

  2. Projděte si některé informace, které můžete přidat nebo změnit. Podívejte se například na vlastnosti, které můžete nakonfigurovat, například Pracovní pozice, Oddělení, Město, Office umístění a další. Tyto vlastnosti můžete použít v dynamických dotazech při vytváření dynamických skupin.

  3. Výběrem možnosti Skupiny zobrazíte členství tohoto uživatele. Uživatele můžete také ze skupiny odebrat.

  4. Pokud chcete zobrazit další informace a co můžete udělat, vyberte některé z dalších možností. Podívejte se například na přiřazenou licenci, zařízení uživatele a další.

Co jsem právě udělal?

V centru pro správu Endpoint Manager jste vytvořili nové skupiny zabezpečení a přidali jste do těchto skupin stávající uživatele a zařízení. Tyto skupiny použijeme v pozdějších krocích tohoto kurzu.

Vytvoření šablony v Intune

V této části vytvoříme šablonu pro správu v Intune, podíváme se na některá nastavení v Zásady skupiny Managementu a porovnáme stejné nastavení v Intune. Cílem je zobrazit nastavení v zásadách skupiny a zobrazit stejné nastavení v Intune.

  1. V centru pro správu Endpoint Manager vyberte profily > DevicesConfigurationVytvořit > profil.

  2. Zadejte tyto vlastnosti:

    • Platforma: Vyberte Windows 10 a novější.
    • Profil: Vyberte šablony pro správu.
  3. Vyberte Vytvořit.

  4. V Základy zadejte následující vlastnosti:

    • Název: Zadejte popisný název profilu. Pojmenujte své profily, abyste je později mohli snadno identifikovat. Zadejte například šablonu správce – Windows 10 zařízení studentů.
    • Popis: Zadejte popis profilu. Toto nastavení není povinné, ale doporučujeme ho zadat.
  5. Vyberte Další.

  6. V nastavení konfigurace se ve všech nastaveních zobrazí abecední seznam všech nastavení. Můžete také filtrovat nastavení, která platí pro zařízení (konfigurace počítače) a nastavení, která platí pro uživatele (konfigurace uživatele):

    Použití nastavení šablony ADMX pro uživatele a zařízení v Microsoft Intune Endpoint Manager

  7. Rozbalte položku Konfigurace > počítače Microsoft Edge > vyberte nastavení filtru SmartScreen. Všimněte si cesty k zásadám a všech dostupných nastavení:

    Podívejte se na nastavení zásad Microsoft Edge SmartScreen v šablonách ADMX v Microsoft Intune

  8. Do hledání zadejte download. Všimněte si, že nastavení zásad se filtrují:

    Filtrování nastavení zásad Microsoft Edge SmartScreen v šabloně Microsoft Intune ADMX

Otevření správy Zásady skupiny

V této části zobrazíme zásadu v Intune a její odpovídající zásady v Editoru pro správu Zásady skupiny.

Porovnání zásad zařízení

  1. Na počítači správce otevřete aplikaci Zásady skupiny Management.

    Tato aplikace se nainstaluje pomocí nástroje RSAT: Zásady skupiny Management Tools, což je volitelná funkce, kterou instalujete na Windows. Požadavky (v tomto článku) uvádí postup instalace.

  2. Rozbalte domény > vyberte svoji doménu. Vyberte například contoso.net.

  3. Klikněte pravým tlačítkem na zásadu OfficeandEdge > Upravit. Otevře se aplikace Editor pro správu Zásady skupiny.

    Klikněte pravým tlačítkem na Office a Microsoft Edge zásady skupiny ADMX a vyberte Upravit.

    OfficeandEdge je zásada skupiny, která zahrnuje Office a Microsoft Edge šablony ADMX. Tato zásada je popsána v požadavcích (v tomto článku).

  4. Rozbalte položku Konfigurace > počítačePoliciesAdministrative > Templates > Ovládací panely > Personalization. Všimněte si dostupných nastavení.

    Rozbalte položku Konfigurace počítače v editoru správy Zásady skupiny a přejděte na Přizpůsobení.

    Dvakrát klikněte na Zabránit povolení kamery zamykací obrazovky a podívejte se na dostupné možnosti:

    Zobrazení možností nastavení konfigurace počítače v zásadách skupiny

  5. V centru pro správu Endpoint Manager přejděte do šablony pro správu – Windows 10 šablony pro studentská zařízení.

  6. Vyberte Konfigurace > počítače Ovládací panely > Přizpůsobení. Všimněte si dostupných nastavení:

    Cesta nastavení zásad přizpůsobení v Microsoft Intune

    Typ nastavení je Zařízení a cesta je /Ovládací panely/Personalizace. Tato cesta je podobná tomu, co jste právě viděli v editoru správy Zásady skupiny. Pokud otevřete nastavení Zakázat povolení kamery zamykací obrazovky, zobrazí se stejné možnosti Nenakonfigurováno, Povoleno a Zakázáno, které se zobrazí v Editoru pro správu Zásady skupiny.

Porovnání zásad uživatele

  1. V šabloně správce vyberte Konfigurace > počítačeVšechna nastavení a vyhledejte procházení inprivate. Všimněte si cesty.

    Totéž proveďte pro konfiguraci uživatele. Vyberte Všechna nastavení a vyhledejte procházení inprivate.

  2. V editoru správy Zásady skupiny vyhledejte odpovídající nastavení uživatele a zařízení:

    • Zařízení: Rozbalte konfiguraci > počítačePoliciesAdministrative > Templates > Windows componentsInternet > ExplorerPrivacyTurn > > off InPrivate Browsing.
    • Uživatel: Rozbalte konfiguraci > uživatelePoliciesAdministrative > Templates > Windows componentsInternet > ExplorerPrivacyTurn > > off InPrivate Browsing.

    Vypnutí procházení InPrivate v Internet Exploreru pomocí šablony ADMX

Tip

K zobrazení předdefinovaných zásad Windows můžete použít také GPEdit (upravit aplikaci zásad skupiny).

Porovnání zásad Microsoft Edge

  1. V centru pro správu Endpoint Manager přejděte do šablony pro správu – Windows 10 šablony pro studentská zařízení.

  2. Rozbalte položku Konfigurace > počítače Microsoft Edge > Startup, domovská stránka a nová stránka karty. Všimněte si dostupných nastavení.

    Totéž proveďte pro konfiguraci uživatele.

  3. V editoru pro správu Zásady skupiny najděte tato nastavení:

    • Zařízení: Rozbalte položku Konfigurace > počítačePoliciesAdministrative > Templates > Microsoft Edge > Startup, domovská stránka a nová stránka karty.
    • Uživatel: Rozbalte konfiguraci > uživatelePoliciesAdministrative > Templates > Microsoft Edge > Startup, homepage a new tab page

Co jsem právě udělal?

V Intune jste vytvořili šablonu pro správu. V této šabloně jsme se podívali na některá nastavení ADMX a podívali jsme se na stejná nastavení ADMX ve správě Zásady skupiny.

Přidání nastavení do šablony správce Studenti

V této šabloně nakonfigurujeme některá nastavení Internet Exploreru tak, aby zamknula zařízení sdílená několika studenty.

  1. V šabloně správce – Windows 10 zařízení studentů rozbalte konfigurace počítače, vyberte Všechna nastavení a vyhledejte Vypnout procházení InPrivate:

    Vypnutí zásad zařízení procházení InPrivate v šabloně pro správu v Microsoft Intune

  2. Vyberte nastavení Vypnout procházení InPrivate . V tomto okně si všimněte popisu a hodnot, které můžete nastavit. Tyto možnosti se podobají tomu, co vidíte v zásadách skupiny.

  3. Vyberte EnabledOK > a uložte změny.

  4. Nakonfigurujte také následující nastavení aplikace Internet Explorer. Nezapomeňte vybrat OK , aby se změny uložily.

    • Povolit přetahování nebo kopírování a vkládání souborů

      • Typ: Zařízení
      • Cesta: \Windows Components\Internet Explorer\Internet Ovládací panely\Security Page\Internet Zone
      • Hodnota: Zakázáno
    • Zabránění ignorování chyb certifikátu

      • Typ: Zařízení
      • Cesta: \Windows Components\Internet Explorer\Internet Ovládací panely
      • Hodnota: Povoleno
    • Zakázání změny nastavení domovské stránky

      • Typ: Uživatel
      • Cesta: \Windows Components\Internet Explorer
      • Hodnota: Povoleno
      • Domovská stránka: Zadejte adresu URL, například contoso.com.
  5. Vymažte filtr vyhledávání. Všimněte si, že nastavení, která jste nakonfigurovali, jsou uvedená nahoře:

    Nakonfigurovaná nastavení jsou uvedená nahoře v Microsoft Intune

Přiřazení šablony

  1. V šabloně vyberte Další , dokud se nedostanete k zadáním. Zvolte Vybrat skupiny, které chcete zahrnout:

    V seznamu Profily konfigurace zařízení v Microsoft Intune vyberte profil šablony pro správu.

  2. Zobrazí se seznam existujících uživatelů a skupin. Vyberte skupinu Všechna Windows 10 studentská zařízení, kterou jste vytvořili dříve, > Vybrat.

    Pokud tento kurz používáte v produkčním prostředí, zvažte přidání prázdných skupin. Cílem je vyzkoušet si přiřazení šablony.

  3. Vyberte Další. V okně Zkontrolovat a vytvořit uložte provedené změny výběrem možnosti Vytvořit .

Jakmile se profil uloží, vztahuje se na zařízení, když se přihlásí pomocí Intune. Pokud jsou zařízení připojená k internetu, může k tomu dojít okamžitě. Další informace o časech aktualizace zásad najdete v tématu Jak dlouho trvá, než zařízení získají zásady, profil nebo aplikaci.

Při přiřazování přísných nebo omezujících zásad a profilů se nezablokujte. Zvažte vytvoření skupiny, která je vyloučená z vašich zásad a profilů. Cílem je mít přístup k řešení potíží. Monitorujte tuto skupinu a ověřte, že se používá podle očekávání.

Co jsem právě udělal?

V centru pro správu Endpoint Manager jste vytvořili profil konfigurace zařízení šablony pro správu a tento profil jste přiřadili skupině, kterou jste vytvořili.

Vytvoření šablony OneDrive

V této části vytvoříte v Intune šablonu pro správu OneDrive, která řídí některá nastavení. Tato konkrétní nastavení jsou zvolena, protože je organizace běžně používají.

  1. Vytvořte další profil (profily > DevicesConfigurationVytvoření > profilu).

  2. Zadejte tyto vlastnosti:

    • Platforma: Vyberte Windows 10 a novější.
    • Profil: Vyberte šablony pro správu.
  3. Vyberte Vytvořit.

  4. V Základy zadejte následující vlastnosti:

    • Název: Zadejte šablonu správce – OneDrive zásady, které platí pro všechny uživatele Windows 10.
    • Popis: Zadejte popis profilu. Toto nastavení není povinné, ale doporučujeme ho zadat.
  5. Vyberte Další.

  6. V nastavení konfigurace nakonfigurujte následující nastavení. Pokud chcete uložit změny, nezapomeňte vybrat OK :

    • Konfigurace počítače:

      • Bezobslužné přihlášení uživatelů k klientovi synchronizační aplikace OneDrivu pomocí svých přihlašovacích údajů Windows
        • Typ: Zařízení
        • Hodnota: Povoleno
      • Použití OneDrive souborů na vyžádání
        • Typ: Zařízení
        • Hodnota: Povoleno
    • Konfigurace uživatele:

      • Zabránění uživatelům v synchronizaci osobních účtů OneDrive
        • Typ: Uživatel
        • Hodnota: Povoleno

Vaše nastavení vypadá podobně jako v následujících nastaveních:

Vytvoření šablony pro správu OneDrive v Microsoft Intune

Další informace o nastavení klienta OneDrive naleznete v tématu Použití Zásady skupiny k řízení nastavení klienta synchronizační aplikace OneDrivu.

Přiřazení šablony

  1. V šabloně vyberte Další , dokud se nedostanete k zadáním. Zvolte Vybrat skupiny, které chcete zahrnout:

  2. Zobrazí se seznam existujících uživatelů a skupin. Vyberte skupinu Všechna Windows zařízení, kterou jste vytvořili dříve, > Vybrat.

    Pokud tento kurz používáte v produkčním prostředí, zvažte přidání prázdných skupin. Cílem je vyzkoušet si přiřazení šablony.

  3. Vyberte Další. V okně Zkontrolovat a vytvořit uložte provedené změny výběrem možnosti Vytvořit .

V tomto okamžiku jste vytvořili některé šablony pro správu a přiřadili je skupinám, které jste vytvořili. Dalším krokem je vytvoření šablony pro správu pomocí Windows PowerShell a microsoft Graph API pro Intune.

Volitelné: Vytvoření zásady pomocí PowerShellu a Graph API

Tato část používá následující zdroje informací. Tyto prostředky nainstalujeme v této části.

  1. Na počítači správce otevřete Windows PowerShell jako správce:

    1. Na panelu hledání zadejte powershell.
    2. Klikněte pravým tlačítkem na Windows PowerShell > Spouštět jako správce.

    Spuštění Windows PowerShell jako správce

  2. Získejte a nastavte zásady spouštění.

    1. Zadejte: get-ExecutionPolicy

      Poznamenejte si, na co je nastavená, což může být omezené. Po dokončení kurzu ho nastavte zpět na původní hodnotu.

    2. Zadejte: Set-ExecutionPolicy -ExecutionPolicy Unrestricted

    3. Zadáním Y ho změníte.

    Zásady spouštění PowerShellu pomáhají zabránit spouštění škodlivých skriptů. Další informace naleznete v tématu O zásadách spouštění.

  3. Zadejte: Install-Module -Name Microsoft.Graph.Intune

    Zadejte Y , pokud:

    • Výzva k instalaci poskytovatele NuGet
    • Výzva k instalaci modulů z nedůvěryhodného úložiště

    Dokončení může trvat několik minut. Po dokončení se zobrazí výzva podobná následující výzvě:

    Windows PowerShell výzva po instalaci modulu

  4. Ve webovém prohlížeči přejděte na https://github.com/Microsoft/Intune-PowerShell-SDK/releasesa vyberte souborIntune-PowerShell-SDK_v6.1907.00921.0001.zip .

    1. Vyberte Uložit jako a vyberte složku, kterou si zapamatujete. c:\psscripts je dobrá volba.

    2. Otevřete složku, klikněte pravým tlačítkem na soubor .zip > Extrahovat allExtract > . Struktura složek vypadá podobně jako v následující složce:

      Intune strukturu složek sady PowerShell SDK po extrahování

  5. Na kartě Zobrazení zkontrolujte přípony názvů souborů:

    Výběr přípon názvů souborů na kartě Zobrazení v Průzkumníkovi

  6. Ve složce a přejděte na c:\psscripts\Intune-PowerShell-SDK_v6.1907.00921.0001\drop\outputs\build\Release\net471. Klikněte pravým tlačítkem na každý .dll > PropertiesUnblock > .

    Odblokování knihoven DLL

  7. V aplikaci Windows PowerShell zadejte:

    Import-Module c:\psscripts\Intune-PowerShell-SDK_v6.1907.00921.0001\drop\outputs\build\Release\net471\Microsoft.Graph.Intune.psd1
    

    Zadejte R , pokud se zobrazí výzva ke spuštění od nedůvěryhodného vydavatele.

  8. Intune šablony pro správu používají beta verzi Graph:

    1. Zadejte: Update-MSGraphEnvironment -SchemaVersion 'beta'

    2. Zadejte: Connect-MSGraph -AdminConsent

    3. Po zobrazení výzvy se přihlaste pomocí stejného účtu správce Microsoft 365. Tyto rutiny vytvoří zásadu ve vaší organizaci tenanta.

      Uživatel: Zadejte účet správce vašeho předplatného tenanta Microsoft 365.
      Heslo: Zadejte jeho heslo.

    4. Vyberte Přijmout.

  9. Vytvořte konfigurační profil konfigurace testu . Zadejte:

    $configuration = Invoke-MSGraphRequest -Url https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations -Content '{"displayName":"Test Configuration","description":"A test configuration created through PS"}' -HttpMethod POST
    

    Když tyto rutiny uspějí, vytvoří se profil. Potvrďte to tak, že přejdete do Centra pro správu Endpoint Manager > konfiguračních profilů. Měl by být uvedený váš profil konfigurace testu .

  10. Získejte všechny settingdefinitions. Zadejte:

    $settingDefinitions = Invoke-MSGraphRequest -Url https://graph.microsoft.com/beta/deviceManagement/groupPolicyDefinitions -HttpMethod GET
    
  11. Pomocí zobrazovaného názvu nastavení vyhledejte ID definice. Zadejte:

    $desiredSettingDefinition = $settingDefinitions.value | ? {$_.DisplayName -Match "Silently sign in users to the OneDrive sync app with their Windows credentials"}
    
  12. Nakonfigurujte nastavení. Zadejte:

    $configuredSetting = Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues" -Content ("{""enabled"":""true"",""configurationType"":""policy"",""definition@odata.bind"":""https://graph.microsoft.com/beta/deviceManagement/groupPolicyDefinitions('$($desiredSettingDefinition.id)')""}") -HttpMethod POST
    
    Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues('$($configuredSetting.id)')" -Content ("{""enabled"":""false""}") -HttpMethod PATCH
    
    $configuredSetting = Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues('$($configuredSetting.id)')" -HttpMethod GET
    

Zobrazení zásad

  1. V Centru pro správu Endpoint Manager > Configuration ProfilesRefresh > .
  2. Vyberte svůj profil konfigurace testu > Nastavení.
  3. V rozevíracím seznamu vyberte Všechny produkty.

Zobrazí se bezobslužné přihlašování uživatelů k klientovi synchronizační aplikace OneDrivu s nakonfigurovaným nastavením Windows přihlašovacích údajů.

Osvědčené postupy pro zásady

Při vytváření zásad a profilů v Intune je potřeba zvážit některá doporučení a osvědčené postupy. Další informace najdete v osvědčených postupech pro zásady a profily.

Vyčištění prostředků

Pokud už je nepotřebujete, můžete:

  • Odstraňte skupiny, které jste vytvořili:

    • Všechna Windows 10 studentská zařízení
    • Všechna Windows zařízení
    • Všichni učitelé
  • Odstraňte šablony správce, které jste vytvořili:

    • Šablona pro správu – Windows 10 zařízení studentů
    • Šablona pro správu – zásady OneDrive, které platí pro všechny uživatele Windows 10
    • Konfigurace testu
  • Nastavte zásadu spouštění Windows PowerShell zpět na původní hodnotu. Následující příklad nastaví zásady spouštění na Restricted:

    Set-ExecutionPolicy -ExecutionPolicy Restricted
    

Další kroky

V tomto kurzu jste se seznámili s centrem pro správu Microsoft Endpoint Manager, pomocí Tvůrce dotazů jste vytvořili dynamické skupiny a vytvořili jste šablony pro správu v Intune ke konfiguraci nastavení ADMX. Srovnávali jste také použití šablon ADMX místně a v cloudu s Intune. Jako bonus jste k vytvoření šablony pro správu použili rutiny PowerShellu.

Další informace o šablonách pro správu v Intune najdete tady: