Návod: Použití cloudu ke konfiguraci zásad skupiny na zařízeních Windows 10/11 pomocí šablon ADMX a Microsoft Intune

Poznámka

Tento návod byl vytvořen jako technický workshop pro Microsoft Ignite. Má více požadavků než typické názorné postupy, protože porovnává použití a konfiguraci zásad ADMX v Intune a místním prostředí.

Šablony pro správu zásad skupiny, označované také jako šablony ADMX, obsahují nastavení, která můžete nakonfigurovat na klientských zařízeních s Windows včetně počítačů. Nastavení šablony ADMX jsou k dispozici pro různé služby. Tato nastavení používají poskytovatelé mobilních Správa zařízení (MDM), včetně Microsoft Intune. Můžete například zapnout návrhy designu v PowerPointu, nastavit domovskou stránku v Microsoft Edgi a další.

Tip

Přehled šablon ADMX v Intune, včetně šablon ADMX integrovaných do Intune, najdete v článku Použití šablon WINDOWS 10/11 ADMX v Microsoft Intune.

Další informace o zásadách ADMX najdete v tématu Principy zásad založených na ADMX.

Tyto šablony jsou integrované do Microsoft Intune a jsou k dispozici jako profily šablon pro správu. V tomto profilu nakonfigurujete nastavení, která chcete zahrnout, a pak tento profil "přiřadíte" svým zařízením.

V tomto názorném postupu:

• Seznamte se s Centrem pro správu Microsoft Intune.
• Vytvořte skupiny uživatelů a vytvořte skupiny zařízení.
• Porovnejte nastavení v Intune s místním nastavením ADMX.
• Vytvořte různé šablony pro správu a nakonfigurujte nastavení, která cílí na různé skupiny.

Na konci tohoto cvičení můžete pomocí Intune a Microsoftu 365 spravovat uživatele a nasazovat šablony pro správu.

Tato funkce platí pro:

• Windows 11
• Windows 10 verze 1709 a novější

Tip

Existují dva způsoby, jak vytvořit šablonu pro správu: pomocí šablony nebo pomocí katalogu nastavení. Tento článek se zaměřuje na použití šablony Šablony pro správu . Katalog nastavení má k dispozici další nastavení šablony pro správu. Konkrétní postup použití Katalogu nastavení najdete v tématu Konfigurace nastavení pomocí katalogu nastavení.

Požadavky

• Předplatné Microsoft 365 E3 nebo E5, které zahrnuje Intune a Microsoft Entra ID P1 nebo P2. Pokud nemáte předplatné E3 nebo E5, vyzkoušejte si ho zdarma.

  Další informace o tom, co získáte s různými licencemi Microsoftu 365, najdete v článku Transformace podniku s Microsoftem 365.

• Microsoft Intune je nakonfigurovaná jako autorita mdm Intune. Další informace najdete v článku Nastavení autority pro správu mobilních zařízení.

  

• Na řadiči domény místní Active Directory:

  1. Zkopírujte následující šablony Office a Microsoft Edge do centrálního úložiště (složka sysvol):

     • Šablony pro správu Office
     • Soubor zásad pro šablony > pro správu Microsoft Edge

  2. Vytvořte zásadu skupiny, která tyto šablony odešle do počítače Windows 10/11 Podnikového správce ve stejné doméně jako řadič domény. V tomto návodu:

     • Zásady skupiny, které jsme vytvořili pomocí těchto šablon, se nazývají OfficeandEdge. Tento název uvidíte na obrázcích.
     • Počítač Windows 10/11 Enterprise Administrator, který používáme, se nazývá Správa počítač.

     V některých organizacích má správce domény dva účty:

     • Typický doménový pracovní účet
     • Jiný účet správce domény používaný jenom pro úlohy správce domény, jako jsou zásady skupiny

     Účelem tohoto Správa počítače je, aby se správci přihlásili pomocí účtu správce domény a přístup k nástrojům určeným ke správě zásad skupiny.

• Na tomto Správa počítači:

  • Přihlaste se pomocí účtu správce domény.

  • Přidejte rsat: Zásady skupiny Management Tools:

    1. Otevřete aplikaci >NastaveníSystém>Volitelné funkce>Přidat funkci.

       Pokud používáte starší verzi než Windows 10 22H2, přejděte na Nastavení>Aplikace>Aplikace & funkce>Volitelné funkce>Přidat funkci.

    2. Vyberte RSAT: Zásady skupiny Management ToolsAdd (Přidat nástroje pro > správu).

       Počkejte, než systém Windows tuto funkci přidá. Po dokončení se nakonec zobrazí v aplikaci Nástroje pro správu Windows .

       

  • Ujistěte se, že máte přístup k internetu a oprávnění správce k předplatnému Microsoft 365, které zahrnuje centrum pro správu Intune.

Otevření Centra pro správu Intune

1. Otevřete webový prohlížeč Chromium, například Microsoft Edge verze 77 a novější.

2. Přejděte do Centra pro správu Microsoft Intune. Přihlaste se pomocí následujícího účtu:

   Uživatel: Zadejte účet správce předplatného tenanta Microsoft 365.
   Heslo: Zadejte jeho heslo.

Toto centrum pro správu se zaměřuje na správu zařízení a zahrnuje služby Azure, jako jsou Microsoft Entra ID a Intune. Možná nevidíte Microsoft Entra ID a Intune branding, ale používáte je.

Centrum pro správu Intune můžete otevřít také z Centrum pro správu Microsoftu 365:

1. Přejděte na https://admin.microsoft.com.

2. Přihlaste se pomocí účtu správce předplatného tenanta Microsoft 365.

3. Vyberte Zobrazit všechna> centra >pro správuSpráva koncových bodů. Otevře se Centrum pro správu Intune.

   

Vytvoření skupin a přidání uživatelů

Místní zásady se používají v pořadí LSDOU – místní, místní, místní, doménová a organizační jednotka (OU). V této hierarchii přepíší zásady organizačních jednotky místní zásady, zásady domény přepíšou zásady lokality atd.

V Intune se zásady použijí pro uživatele a skupiny, které vytvoříte. Neexistuje hierarchie. Příklady:

• Pokud dvě zásady aktualizují stejné nastavení, zobrazí se nastavení jako konflikt.
• Pokud jsou v konfliktu dvě zásady dodržování předpisů, platí zásada, která je nejvíce omezující.
• Pokud jsou dva konfigurační profily v konfliktu, nastavení se nepoužije.

Další informace najdete v článku Běžné dotazy, problémy a řešení týkající se zásad a profilů zařízení.

V těchto dalších krocích vytvoříte skupiny zabezpečení a přidáte do nich uživatele. Uživatele můžete přidat do více skupin. Je například běžné, že má uživatel více zařízení, například Surface Pro pro práci a mobilní zařízení s Androidem pro osobní. A je normální, že uživatel má přístup k prostředkům organizace z těchto více zařízení.

1. V Centru pro správu Intune vyberte Skupiny>Nová skupina.

2. Zadejte následující nastavení:

   • Typ skupiny: Vyberte Zabezpečení.
   • Název skupiny: Zadejte Všechna Windows 10 zařízení studentů.
   • Typ členství: Vyberte Přiřazeno.

3. Vyberte Členové a přidejte některá zařízení.

   Přidání zařízení je volitelné. Cílem je procvičovat vytváření skupin a vědět, jak přidávat zařízení. Pokud tento názorný postup používáte v produkčním prostředí, mějte na paměti, co děláte.

4. Vyberte>Vytvořte a uložte změny.

   Nevidíte svou skupinu? Vyberte Aktualizovat.

5. Vyberte Nová skupina a zadejte následující nastavení:

   • Typ skupiny: Vyberte Zabezpečení.

   • Název skupiny: Zadejte Všechna zařízení s Windows.

   • Typ členství: Vyberte Dynamické zařízení.

   • Členové dynamických zařízení: Vyberte Přidat dynamický dotaz a nakonfigurujte dotaz:

     • Vlastnost: Vyberte deviceOSType.
     • Operátor: Vyberte Rovná se.
     • Hodnota: Zadejte Windows.

     1. Vyberte Přidat výraz. Výraz se zobrazí v syntaxi pravidla:

        

        Když uživatelé nebo zařízení splňují zadaná kritéria, automaticky se přidají do dynamických skupin. V tomto příkladu se zařízení automaticky přidají do této skupiny, pokud je operačním systémem Windows. Pokud tento názorný postup používáte v produkčním prostředí, buďte opatrní. Cílem je procvičovat vytváření dynamických skupin.

     2. Uložit>Vytvořte a uložte změny.

6. Vytvořte skupinu Všichni učitelé s následujícím nastavením:

   • Typ skupiny: Vyberte Zabezpečení.

   • Název skupiny: Zadejte Všichni učitelé.

   • Typ členství: Vyberte Dynamický uživatel.

   • Členové dynamického uživatele: Vyberte Přidat dynamický dotaz a nakonfigurujte dotaz:

     • Vlastnost: Vyberte oddělení.

     • Operátor: Vyberte Rovná se.

     • Hodnota: Zadejte Učitelé.

       1. Vyberte Přidat výraz. Výraz se zobrazí v syntaxi pravidla.

          Když uživatelé nebo zařízení splňují zadaná kritéria, automaticky se přidají do dynamických skupin. V tomto příkladu se uživatelé automaticky přidají do této skupiny, když je jejich oddělení Učitelé. Po přidání uživatelů do vaší organizace můžete zadat oddělení a další vlastnosti. Pokud tento názorný postup používáte v produkčním prostředí, buďte opatrní. Cílem je procvičovat vytváření dynamických skupin.

       2. Uložit>Vytvořte a uložte změny.

Body pro řeč

• Dynamické skupiny jsou funkcí Microsoft Entra ID P1 nebo P2. Pokud nemáte Microsoft Entra ID P1 nebo P2, máte licenci jenom k vytváření přiřazených skupin. Další informace o dynamických skupinách najdete tady:

  • Dynamické členství ve skupině v Microsoft Entra ID (část 1)
  • Dynamické členství ve skupině v Microsoft Entra ID (část 2)

• Microsoft Entra ID P1 nebo P2 zahrnuje další služby, které se běžně používají při správě aplikací a zařízení, včetně vícefaktorového ověřování (MFA) a podmíněného přístupu.

• Mnoho správců se ptá, kdy použít skupiny uživatelů a kdy použít skupiny zařízení. Pokyny najdete v tématu Skupiny uživatelů a skupiny zařízení.

• Nezapomeňte, že uživatel může patřit do více skupin. Zvažte některé z dalších dynamických skupin uživatelů a zařízení, které můžete vytvořit, například:

  • Všichni studenti
  • Všechna zařízení s Androidem
  • Všechna zařízení s iOS/iPadOS
  • Marketing
  • Lidské zdroje
  • Všichni zaměstnanci Charlotte
  • Všichni zaměstnanci Redmondu
  • Správci IT na západním pobřeží
  • Správci IT na východním pobřeží

Vytvořené uživatele a skupiny se také zobrazují v Centrum pro správu Microsoftu 365, Microsoft Entra ID v Azure Portal a Microsoft Intune v Azure Portal. Pro předplatné tenanta můžete vytvářet a spravovat skupiny ve všech těchto oblastech. Pokud je vaším cílem správa zařízení, použijte Centrum pro správu Microsoft Intune.

Kontrola členství ve skupinách

1. V Centru pro správu Intune vyberte Uživatelé>Všichni uživatelé> a vyberte jméno libovolného existujícího uživatele.
2. Projděte si některé informace, které můžete přidat nebo změnit. Podívejte se například na vlastnosti, které můžete nakonfigurovat, například Pracovní pozice, Oddělení, Město, Umístění kanceláře a další. Tyto vlastnosti můžete použít v dynamických dotazech při vytváření dynamických skupin.
3. Vyberte Skupiny a zobrazte členství tohoto uživatele. Uživatele můžete také odebrat ze skupiny.
4. Pokud chcete zobrazit další informace a co můžete dělat, vyberte některé z dalších možností. Podívejte se například na přiřazenou licenci, zařízení uživatele a další.

Co jsem právě udělal?

V Centru pro správu Intune jste vytvořili nové skupiny zabezpečení a přidali do nich stávající uživatele a zařízení. Tyto skupiny použijeme v dalších krocích tohoto kurzu.

Vytvoření šablony v Intune

V této části vytvoříme šablonu pro správu v Intune, podíváme se na některá nastavení ve správě Zásady skupiny a porovnáme stejné nastavení v Intune. Cílem je zobrazit nastavení v zásadách skupiny a stejné nastavení zobrazit v Intune.

1. V Centru pro správu Intune vyberteVytvořitkonfiguraci>zařízení>.

2. Zadejte tyto vlastnosti:

   • Platforma: Vyberte Windows 10 a novější.
   • Typ profilu: Vyberte Šablony pro správu.

3. Vyberte Vytvořit.

4. V Základy zadejte následující vlastnosti:

   • Název: Zadejte popisný název profilu. Pojmenujte své profily, abyste je později mohli snadno identifikovat. Zadejte například Správa šablonu – Windows 10 zařízení studentů.
   • Popis: Zadejte popis profilu. Toto nastavení není povinné, ale doporučujeme ho zadat.

5. Vyberte Další.

6. V části Nastavení konfiguraceVšechna nastavení zobrazí abecední seznam všech nastavení. Můžete také filtrovat nastavení, která se vztahují na zařízení (Konfigurace počítače), a nastavení, která platí pro uživatele (Konfigurace uživatele):

   

7. Rozbalte Položku Konfigurace> počítačeMicrosoft Edge> vyberte Nastavení filtru SmartScreen. Všimněte si cesty k zásadě a všech dostupných nastavení:

   

8. Do vyhledávacího pole zadejte download. Všimněte si, že nastavení zásad jsou filtrovaná:

   

Otevřít Zásady skupiny Management

V této části si ukážeme zásadu v Intune a odpovídající zásady v Editor Zásady skupiny Management.

Porovnání zásad zařízení

1. Na Správa počítači otevřete aplikaci Zásady skupiny Management.

   Tato aplikace se nainstaluje s nástrojem RSAT: Zásady skupiny Management Tools, což je volitelná funkce, kterou přidáte do Windows. Požadavky (v tomto článku) uvádí postup instalace.

2. Rozbalte Domény> a vyberte svoji doménu. Vyberte contoso.netnapříklad .

3. Klikněte pravým tlačítkem na zásadu >OfficeandEdgeUpravit. Otevře se aplikace Editor Zásady skupiny Management.

   

   OfficeandEdge je zásada skupiny, která zahrnuje šablony ADMX pro Office a Microsoft Edge. Tato zásada je popsaná v požadavcích (v tomto článku).

4. RozbaltePoložku Zásady>konfigurace> počítačeŠablony pro správu>Ovládací panely>Přizpůsobení. Všimněte si dostupných nastavení.

   

   Poklikejte na Zakázat povolení kamery na zamykací obrazovce a podívejte se na dostupné možnosti:

   

5. V Centru pro správu Intune přejděte na šablonu Správa – Windows 10 studentských zařízení.

6. Vyberte Konfigurace> počítače Ovládací panely>Přiobět. Všimněte si dostupných nastavení:

   

   Typ nastavení je Zařízení a cesta je /Control Panel/Personalization. Tato cesta je podobná té, kterou jste právě viděli v Editor Zásady skupiny Management. Pokud otevřete nastavení Zakázat povolení kamery na zamykací obrazovce, zobrazí se stejné možnosti Nenakonfigurováno, Povoleno a Zakázáno, které vidíte v Editor správa Zásady skupiny.

Porovnání zásad uživatele

1. V šabloně správce vyberte Konfigurace> počítačeVšechna nastavení a vyhledejte inprivate browsing. Všimněte si cesty.

   To samé udělejte u konfigurace uživatele. Vyberte Všechna nastavení a vyhledejte inprivate browsing.

2. V Editor Zásady skupiny Management vyhledejte odpovídající nastavení uživatele a zařízení:

   • Zařízení: Rozbalte Zásady konfigurace> počítačeŠablony>pro správu Součásti>systému Windows Ochrana>osobních údajů>v Internet Exploreru>Vypnout procházení InPrivate.
   • Uživatel: RozbalteZásady>konfigurace> uživateleŠablony pro správu Součásti>systému Windows Ochrana>osobních údajů>v Internet Exploreru>Vypnout procházení InPrivate.

   

Tip

Pokud chcete zobrazit předdefinované zásady windows, můžete také použít GPEdit (Upravit aplikaci zásad skupiny ).

Porovnání zásad pro Microsoft Edge

1. V Centru pro správu Intune přejděte na šablonu Správa – Windows 10 studentských zařízení.

2. Rozbalte položku Konfigurace> počítače Spuštěníaplikace Microsoft Edge>, domovskou stránku a stránku nová karta. Všimněte si dostupných nastavení.

   To samé udělejte u konfigurace uživatele.

3. V Editor Zásady skupiny Management vyhledejte tato nastavení:

   • Zařízení: RozbaltePoložku Zásady>konfigurace> počítačeŠablony pro správu Spuštění>Microsoft Edge>, domovská stránka a stránka nové karty.
   • Uživatel: RozbalteZásady>konfigurace> uživateleŠablony pro správu Spuštění>Microsoft Edge>, domovská stránka a nová karta

Co jsem právě udělal?

Vytvořili jste šablonu pro správu v Intune. V této šabloně jsme se podívali na některá nastavení ADMX a na stejná nastavení ADMX ve správě Zásady skupiny.

Přidání nastavení do šablony správce Studenti

V této šabloně nakonfigurujeme některá nastavení Internet Exploreru pro uzamčení zařízení sdílených více studenty.

1. V šabloně Správa – Windows 10 studentských zařízeních rozbalte Konfigurace počítače, vyberte Všechna nastavení a vyhledejte Vypnout procházení InPrivate:

   

2. Vyberte nastavení Vypnout procházení InPrivate . V tomto okně si všimněte popisu a hodnot, které můžete nastavit. Tyto možnosti se podobají tomu, co vidíte v zásadách skupiny.

3. Vyberte Povoleno>OK a uložte změny.

4. Nakonfigurujte také následující nastavení Internet Exploreru. Nezapomeňte vybrat OK , aby se změny uložily.

   • Povolit přetahování nebo kopírování a vkládání souborů

     • Typ: Zařízení
     • Cesta: \Windows Components\Internet Explorer\Internet Ovládací panely\Security Page\Internet Zone
     • Hodnota: Zakázáno

   • Zabránění ignorování chyb certifikátů

     • Typ: Zařízení
     • Cesta: \Windows Components\Internet Explorer\Internet Ovládací panely
     • Hodnota: Povoleno

   • Zakázat změnu nastavení domovské stránky

     • Typ: Uživatel
     • Cesta: \Windows Components\Internet Explorer
     • Hodnota: Povoleno
     • Domovská stránka: Zadejte adresu URL, například contoso.com.

5. Vymažte filtr hledání. Všimněte si, že nastavení, která jste nakonfigurovali, jsou uvedená nahoře:

   

Přiřazení šablony

1. V šabloně vyberte Další , dokud se nedostanete k přiřazením. Zvolte Vybrat skupiny, které chcete zahrnout:

   

2. Zobrazí se seznam existujících uživatelů a skupin. Vyberte skupinu Všechna zařízení Windows 10 studenta, kterou jste vytvořili dříve>, Vyberte.

   Pokud tento názorný postup používáte v produkčním prostředí, zvažte přidání prázdných skupin. Cílem je procvičovat přiřazení šablony.

3. Vyberte Další. V části Zkontrolovat a vytvořit vyberte Vytvořit a uložte změny.

Jakmile se profil uloží, vztahuje se na zařízení, když se přihlásí se změnami pomocí Intune. Pokud jsou zařízení připojená k internetu, může k tomu dojít okamžitě. Další informace o časech aktualizace zásad najdete v článku Jak dlouho trvá, než zařízení získají zásadu, profil nebo aplikaci.

Při přiřazování striktních nebo omezujících zásad a profilů se nezamykejte. Zvažte vytvoření skupiny, která je vyloučená ze zásad a profilů. Cílem je mít přístup k řešení potíží. Monitorujte tuto skupinu a ověřte, že se používá podle očekávání.

Co jsem právě udělal?

V Centru pro správu Intune jste vytvořili profil konfigurace zařízení šablony pro správu a přiřadili jste ho skupině, kterou jste vytvořili.

Vytvoření šablony OneDrivu

V této části vytvoříte šablonu pro správu OneDrivu v Intune, která bude řídit některá nastavení. Tato konkrétní nastavení jsou zvolena, protože je organizace běžně používají.

1. Vytvořte jiný profil (Vytvořeníkonfigurace>zařízení>).

2. Zadejte tyto vlastnosti:

   • Platforma: Vyberte Windows 10 a novější.
   • Typ profilu: Vyberte Šablony pro správu.

3. Vyberte Vytvořit.

4. V Základy zadejte následující vlastnosti:

   • Název: Zadejte Správa šablonu – zásady OneDrivu, které platí pro všechny uživatele Windows 10.
   • Popis: Zadejte popis profilu. Toto nastavení není povinné, ale doporučujeme ho zadat.

5. Vyberte Další.

6. V části Nastavení konfigurace nakonfigurujte následující nastavení. Nezapomeňte vybrat OK a uložit změny:

   • Konfigurace počítače:

     • Bezobslužné přihlašování uživatelů ke klientovi synchronizační aplikace OneDrivu pomocí přihlašovacích údajů systému Windows
       • Typ: Zařízení
       • Hodnota: Povoleno
     • Použití souborů OneDrivu na vyžádání
       • Typ: Zařízení
       • Hodnota: Povoleno

   • Konfigurace uživatele:

     • Jak uživatelům zabránit v synchronizaci osobních účtů OneDrivu
       • Typ: Uživatel
       • Hodnota: Povoleno

Vaše nastavení vypadají podobně jako následující nastavení:

Další informace o nastavení klienta OneDrivu najdete v tématu Použití Zásady skupiny k řízení nastavení synchronizační aplikace OneDrivu klienta.

Přiřazení šablony

1. V šabloně vyberte Další , dokud se nedostanete k přiřazením. Zvolte Vybrat skupiny, které chcete zahrnout:

2. Zobrazí se seznam existujících uživatelů a skupin. Vyberte skupinu Všechna zařízení s Windows , kterou jste vytvořili dříve >, Vyberte.

   Pokud tento názorný postup používáte v produkčním prostředí, zvažte přidání prázdných skupin. Cílem je procvičovat přiřazení šablony.

3. Vyberte Další. V části Zkontrolovat a vytvořit vyberte Vytvořit a uložte změny.

V tomto okamžiku jste vytvořili některé šablony pro správu a přiřadili je skupinám, které jste vytvořili. Dalším krokem je vytvoření šablony pro správu pomocí Windows PowerShell a Graph API Microsoftu pro Intune.

Volitelné: Vytvoření zásady pomocí PowerShellu a Graph API

Tato část používá následující zdroje informací. Tyto prostředky nainstalujeme v této části.

• Intune PowerShell SDK
• Microsoft Graph API for Intune

1. Na Správa počítači otevřete Windows PowerShell jako správce:

   1. Do vyhledávacího panelu zadejte powershell.
   2. Klikněte pravým tlačítkem na Windows PowerShell>Spustit jako správce.

   

2. Získejte a nastavte zásady spouštění.

   1. Zadejte: get-ExecutionPolicy

      Poznamenejte si, na co je zásada nastavená, což může být Omezené. Po dokončení návodu ho nastavte zpět na původní hodnotu.

   2. Zadejte: Set-ExecutionPolicy -ExecutionPolicy Unrestricted

   3. Pokud ho chcete změnit, zadejte Y .

   Zásady spouštění PowerShellu pomáhají zabránit spouštění škodlivých skriptů. Další informace najdete v tématu Informace o zásadách spouštění.

3. Zadejte: Install-Module -Name Microsoft.Graph.Intune

   Zadejte Y , pokud:

   • Výzva k instalaci zprostředkovatele NuGet
   • Výzva k instalaci modulů z nedůvěryhodného úložiště

   Dokončení může trvat několik minut. Po dokončení se zobrazí výzva podobná následující výzvě:

   

4. Ve webovém prohlížeči přejděte na https://github.com/Microsoft/Intune-PowerShell-SDK/releasesa vyberte souborIntune-PowerShell-SDK_v6.1907.00921.0001.zip .

   1. Vyberte Uložit jako a vyberte složku, kterou si zapamatujete. c:\psscripts je dobrá volba.

   2. Otevřete složku a klikněte pravým tlačítkem na soubor > .zip Extrahovat vše>. Struktura složek vypadá podobně jako následující složka:

      

5. Na kartě Zobrazení zaškrtněte přípony názvů souborů:

   

6. Ve složce přejděte na c:\psscripts\Intune-PowerShell-SDK_v6.1907.00921.0001\drop\outputs\build\Release\net471. Klikněte pravým tlačítkem na každéodblokovánívlastností> .dll>.

   

7. V aplikaci Windows PowerShell zadejte:

   Import-Module c:\psscripts\Intune-PowerShell-SDK_v6.1907.00921.0001\drop\outputs\build\Release\net471\Microsoft.Graph.Intune.psd1
   

   Zadejte R , pokud se zobrazí výzva ke spuštění z nedůvěryhodného vydavatele.

8. Intune šablony pro správu používají beta verzi Graphu:

   1. Zadejte: Update-MSGraphEnvironment -SchemaVersion 'beta'

   2. Zadejte: Connect-MSGraph -AdminConsent

   3. Po zobrazení výzvy se přihlaste pomocí stejného účtu správce Microsoftu 365. Tyto rutiny vytvoří zásadu ve vaší organizaci tenanta.

      Uživatel: Zadejte účet správce předplatného tenanta Microsoft 365.
      Heslo: Zadejte jeho heslo.

   4. Vyberte Přijmout.

9. Vytvořte konfigurační profil konfigurace testu . Zadejte:

   $configuration = Invoke-MSGraphRequest -Url https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations -Content '{"displayName":"Test Configuration","description":"A test configuration created through PS"}' -HttpMethod POST
   

   Když tyto rutiny proběhnou úspěšně, profil se vytvoří. Potvrďte to tak, že přejdete do centra > pro správu Intune Konfigurace zařízení>. Měl by být uvedený váš profil konfigurace testu .

10. Získejte všechny definice Nastavení. Zadejte:

    $settingDefinitions = Invoke-MSGraphRequest -Url https://graph.microsoft.com/beta/deviceManagement/groupPolicyDefinitions -HttpMethod GET
    

11. Vyhledejte ID definice pomocí zobrazovaného názvu nastavení. Zadejte:

    $desiredSettingDefinition = $settingDefinitions.value | ? {$_.DisplayName -Match "Silently sign in users to the OneDrive sync app with their Windows credentials"}
    

12. Nakonfigurujte nastavení. Zadejte:

    $configuredSetting = Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues" -Content ("{""enabled"":""true"",""configurationType"":""policy"",""definition@odata.bind"":""https://graph.microsoft.com/beta/deviceManagement/groupPolicyDefinitions('$($desiredSettingDefinition.id)')""}") -HttpMethod POST
    

    Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues('$($configuredSetting.id)')" -Content ("{""enabled"":""false""}") -HttpMethod PATCH
    

    $configuredSetting = Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues('$($configuredSetting.id)')" -HttpMethod GET
    

Zobrazení zásad

1. V Centru > pro správu IntuneAktualizacekonfigurace>zařízení>.
2. Vyberte nastavení testovacího konfiguračního profilu>.
3. V rozevíracím seznamu vyberte Všechny produkty.

Uvidíte, že je nakonfigurované nastavení Bezobslužné přihlašování uživatelů ke klientovi synchronizační aplikace OneDrivu pomocí přihlašovacích údajů systému Windows.

Osvědčené postupy zásad

Při vytváření zásad a profilů v Intune je potřeba zvážit některá doporučení a osvědčené postupy. Další informace najdete v tématu osvědčené postupy pro zásady a profilování.

Vyčištění prostředků

Pokud už ho nepotřebujete, můžete:

• Odstraňte skupiny, které jste vytvořili:

  • Všechna Windows 10 studentská zařízení
  • Všechna zařízení s Windows
  • Všichni učitelé

• Odstraňte šablony pro správu, které jste vytvořili:

  • Správa šablona – Windows 10 zařízení studentů
  • Správa šablona – zásady OneDrivu, které platí pro všechny uživatele Windows 10
  • Testovací konfigurace

• Nastavte zásady spouštění Windows PowerShell zpět na původní hodnotu. Následující příklad nastaví zásadu spouštění na Hodnotu Omezeno:

  Set-ExecutionPolicy -ExecutionPolicy Restricted
  

Další kroky

V tomto kurzu jste se blíže seznámili s Centrem pro správu Microsoft Intune, použili tvůrce dotazů k vytváření dynamických skupin a vytvořili jste šablony pro správu v Intune ke konfiguraci nastavení ADMX. Také jste porovnali použití šablon ADMX v místním prostředí a v cloudu s Intune. Jako bonus jste použili rutiny PowerShellu k vytvoření šablony pro správu.

Další informace o šablonách pro správu v Intune najdete tady:

Konfigurace nastavení zásad skupiny v Intune pomocí šablon Windows 10/11