Grundlegende Informationen zu ADMX-gesicherten RichtlinienUnderstanding ADMX-backed policies

Aufgrund der erhöhten Einfachheit und der Leichtigkeit, mit der Geräte ausgerichtet werden können, finden Unternehmens Unternehmen es zunehmend vorteilhafter, Ihre PC-Verwaltung auf eine Cloud-basierte Device Management-Lösung zu verschieben.Due to increased simplicity and the ease with which devices can be targeted, enterprise businesses are finding it increasingly advantageous to move their PC management to a cloud-based device management solution. Leider fehlen aktuelle Geräte Verwaltungslösungen für Windows-PCs die kritischen Richtlinien-und App-Konfigurationsfunktionen, die in einer herkömmlichen PC-Verwaltungslösung unterstützt werden.Unfortunately, current Windows PC device-management solutions lack the critical policy and app settings configuration capabilities that are supported in a traditional PC management solution.

Ab Windows 10, Version 1703, wird die Unterstützung für die Richtlinien-Konfigurations Konfiguration von Mobile Device Management (MDM) erweitert, um den Zugriff auf ausgewählte Gruppenrichtlinien-administrative Vorlagen (ADMX-gesicherte Richtlinien) für Windows-PCs über den Policy Configuration Service Provider (CSP) zu ermöglichen.Starting in Windows 10 version 1703, Mobile Device Management (MDM) policy configuration support will be expanded to allow access of select Group Policy administrative templates (ADMX-backed policies) for Windows PCs via the Policy configuration service provider (CSP). Dieser erweiterte Zugriff stellt sicher, dass Unternehmen die Sicherheit Ihrer Geräte in der Cloud nicht gefährden müssen.This expanded access ensures that enterprises do not need to compromise security of their devices in the cloud.

HintergrundBackground

Zusätzlich zu den Standardrichtlinien kann der Richtlinien-CSP nun auch ADMX-gesicherte Richtlinien verarbeiten.In addition to standard policies, the Policy CSP can now also handle ADMX-backed policies. In einer ADMX-gesicherten Richtlinie enthält eine administrative Vorlage die Metadaten einer Fenster Gruppenrichtlinie und kann im Editor für lokale Gruppenrichtlinien auf einem PC bearbeitet werden.In an ADMX-backed policy, an administrative template contains the metadata of a Window Group Policy and can be edited in the Local Group Policy Editor on a PC. Jede administrative Vorlage gibt die Registrierungsschlüssel (und deren Werte) an, die einer Gruppenrichtlinie zugeordnet sind, und definiert die Richtlinieneinstellungen, die verwaltet werden können.Each administrative template specifies the registry keys (and their values) that are associated with a Group Policy and defines the policy settings that can be managed. Administrative Vorlagen organisieren Gruppenrichtlinien in einer Hierarchie, in der jedes Segment im hierarchischen Pfad als Kategorie definiert ist.Administrative templates organize Group Policies in a hierarchy in which each segment in the hierarchical path is defined as a category. Jede Einstellung in einer administrativen Vorlage für Gruppenrichtlinien entspricht einem bestimmten Registrierungswert.Each setting in a Group Policy administrative template corresponds to a specific registry value. Diese Gruppenrichtlinieneinstellungen werden in einem standardbasierten XML-Dateiformat definiert, das als ADMX-Datei bezeichnet wird.These Group Policy settings are defined in a standards-based, XML file format known as an ADMX file. Weitere Informationen finden Sie unter Referenzhandbuch zur ADMX-Syntax für Gruppenrichtlinien.For more information, see Group Policy ADMX Syntax Reference Guide.

ADMX-Dateien können entweder Gruppenrichtlinien des Betriebssystems (OS) beschreiben, die mit Windows ausgeliefert werden, oder Sie können die Einstellungen von Anwendungen beschreiben, die vom Betriebssystem getrennt sind und normalerweise auf einem PC heruntergeladen und installiert werden können.ADMX files can either describe operating system (OS) Group Policies that are shipped with Windows or they can describe settings of applications, which are separate from the OS and can usually be downloaded and installed on a PC. Je nach der bestimmten Kategorie der Einstellungen, die Sie steuern (Betriebssystem oder Anwendung), befinden sich die Einstellungen für administrative Vorlagen an den folgenden zwei Speicherorten im Editor für lokale Gruppenrichtlinien:Depending on the specific category of the settings that they control (OS or application), the administrative template settings are found in the following two locations in the Local Group Policy Editor:

  • Betriebssystem Einstellungen: Computer Konfiguration/administrative VorlagenOS settings: Computer Configuration/Administrative Templates
  • Anwendungseinstellungen: Benutzerkonfiguration/Administrative VorlagenApplication settings: User Configuration/Administrative Templates

In einem Ökosystem des Domänencontrollers/Gruppenrichtlinien werden die Gruppenrichtlinien automatisch zur Registrierung des Clientcomputers oder des Benutzerprofils durch die clientseitige Erweiterung für administrative Vorlagen hinzugefügt, wenn der Clientcomputer eine Gruppenrichtlinie verarbeitet.In a domain controller/Group Policy ecosystem, Group Policies are automatically added to the registry of the client computer or user profile by the Administrative Templates Client Side Extension (CSE) whenever the client computer processes a Group Policy. Umgekehrt werden ADMX-Dateien in einem vom MDM verwalteten Client genutzt, um Richtlinien zu definieren, die von Gruppenrichtlinien unabhängig sind.Conversely, in an MDM-managed client, ADMX files are leveraged to define policies independent of Group Policies. Daher ist in einem vom MDM verwalteten Client eine Gruppenrichtlinieninfrastruktur, einschließlich des Gruppenrichtlinien Diensts (gpsvc. exe), nicht erforderlich.Therefore, in an MDM-managed client, a Group Policy infrastructure, including the Group Policy Service (gpsvc.exe), is not required.

Eine ADMX-Datei kann entweder mit Windows ausgeliefert werden (befindet sich bei %SystemRoot%\policydefinitions ) oder kann über den Policy CSP-URI () auf ein Gerät aufgenommen werden ./Vendor/MSFT/Policy/ConfigOperations/ADMXInstall .An ADMX file can either be shipped with Windows (located at %SystemRoot%\policydefinitions) or it can be ingested to a device through the Policy CSP URI (./Vendor/MSFT/Policy/ConfigOperations/ADMXInstall). ADMX-Posteingangs Dateien werden bei der Betriebssystem Erstellungszeit zu MDM-Richtlinien verarbeitet.Inbox ADMX files are processed into MDM policies at OS-build time. ADMX-Dateien, die aufgenommen werden, werden in MDM-Richtlinien nach dem OS-Versand über den Richtlinien-CSP verarbeitet.ADMX files that are ingested are processed into MDM policies post-OS shipment through the Policy CSP. Da sich der CSP für die Richtlinie nicht auf einen Aspekt des Gruppenrichtlinien-Client Stapels verlässt, einschließlich des PC-Gruppenrichtlinien Diensts (Group Policy Service, GPSvc), können die Richtlinien Handler, die auf das Gerät aufgenommen werden, auf Richtlinien reagieren, die vom MDM festgelegt werden.Because the Policy CSP does not rely upon any aspect of the Group Policy client stack, including the PC's Group Policy Service (GPSvc), the policy handlers that are ingested to the device are able to react to policies that are set by the MDM.

Windows ordnet den Namen und den Kategorien Pfad einer Gruppenrichtlinie einem MDM-Richtlinienbereich und Richtliniennamen zu, indem die zugeordnete ADMX-Datei analysiert, die angegebene Gruppenrichtlinie gefunden und die Definition (Metadaten) im Clientspeicher der MDM-Richtlinie gespeichert werden.Windows maps the name and category path of a Group Policy to a MDM policy area and policy name by parsing the associated ADMX file, finding the specified Group Policy, and storing the definition (metadata) in the MDM Policy CSP client store. Wenn auf die MDM-Richtlinie von einem SyncML-Befehl und dem Richtlinien-CSP-URI verwiesen wird, .\[device|user]\vendor\msft\policy\[config|result]\<area>\<policy> wird auf diese Metadaten verwiesen, und es wird bestimmt, welche Registrierungsschlüssel festgelegt oder entfernt werden.When the MDM policy is referenced by a SyncML command and the Policy CSP URI, .\[device|user]\vendor\msft\policy\[config|result]\<area>\<policy>, this metadata is referenced and determines which registry keys are set or removed. Eine Liste der vom MDM unterstützten ADMX-Richtlinien finden Sie unter Richtlinien-CSP– unterstützte Richtlinien.For a list of ADMX-backed policies supported by MDM, see Policy CSP - ADMX-backed policies.

Tipp

InTune hat in Public Preview eine Reihe von ADMX-gesicherten administrativen Vorlagen hinzugefügt.Intune has added a number of ADMX-backed administrative templates in public preview. Überprüfen Sie, ob die erforderlichen Richtlinieneinstellungen in einer Vorlage verfügbar sind, bevor Sie die unten beschriebene SyncML-Methode verwenden.Check if the policy settings you need are available in a template before using the SyncML method described below. Weitere Informationen zu den administrativen Vorlagen von InTune.Learn more about Intune's administrative templates.

ADMX-Dateien und der Gruppenrichtlinien-EditorADMX files and the Group Policy Editor

Um die End-to-End-MDM-Behandlung von ADMX-Gruppenrichtlinien zu erfassen, muss ein IT-Administrator eine Benutzeroberfläche wie den Gruppenrichtlinien-Editor (gpedit. msc) verwenden, um die erforderlichen Daten zu sammeln.To capture the end-to-end MDM handling of ADMX Group Policies, an IT administrator must use a UI, such as the Group Policy Editor (gpedit.msc), to gather the necessary data. Die Benutzeroberfläche der MDM-ISV-Konsole bestimmt, wie die erforderlichen Gruppenrichtliniendaten vom IT-Administrator erfasst werden.The MDM ISV console UI determines how to gather the needed Group Policy data from the IT administrator. ADMX-gesicherte Gruppenrichtlinien sind in einer Hierarchie organisiert und können einen Bereich von Machine, User oder Both aufweisen.ADMX-backed Group Policies are organized in a hierarchy and can have a scope of machine, user, or both. Das Beispiel für Gruppenrichtlinien im nächsten Abschnitt verwendet eine computerweite Gruppenrichtlinie mit dem Namen "Veröffentlichungs Server 2-Einstellungen".The Group Policy example in the next section uses a machine-wide Group Policy named "Publishing Server 2 Settings." Wenn diese Gruppenrichtlinie ausgewählt ist, sind die verfügbaren Status nicht konfiguriert, aktiviertund deaktiviert.When this Group Policy is selected, its available states are Not Configured, Enabled, and Disabled.

Die ADMX-Datei, mit der der MDM-ISV feststellt, welche UI für den IT-Administrator angezeigt werden soll, ist dieselbe ADMX-Datei, die der Client für die Richtliniendefinition verwendet.The ADMX file that the MDM ISV uses to determine what UI to display to the IT administrator is the same ADMX file that the client uses for the policy definition. Die ADMX-Datei wird entweder vom Betriebssystem zur Buildzeit verarbeitet oder vom Client bei der Betriebssystem-Laufzeit eingestellt.The ADMX file is processed either by the OS at build time or set by the client at OS runtime. In beiden Fällen müssen der Client und der MDM-ISV mit den ADMX-Richtlinien Definitionen synchronisiert werden.In either case, the client and the MDM ISV must be synchronized with the ADMX policy definitions. Jede ADMX-Datei entspricht einer Gruppenrichtlinienkategorie und enthält in der Regel mehrere Richtlinien Definitionen, die jeweils eine einzelne Gruppenrichtlinie darstellen.Each ADMX file corresponds to a Group Policy category and typically contains several policy definitions, each of which represents a single Group Policy. Die Richtliniendefinition für die "Veröffentlichungs Server 2-Einstellungen" ist beispielsweise in der Datei "AppV. ADMX" enthalten, in der die Richtlinien Definitionen für die Kategorie "Microsoft Application Virtualization (App-V) Group Policy" enthalten sind.For example, the policy definition for the "Publishing Server 2 Settings" is contained in the appv.admx file, which holds the policy definitions for the Microsoft Application Virtualization (App-V) Group Policy category.

Einstellung der Optionsschaltfläche für Gruppenrichtlinien:Group Policy option button setting:

  • Wenn aktiviert ausgewählt ist, werden die erforderlichen Dateneintrags Steuerelemente für den Benutzer in der Benutzeroberfläche angezeigt.If Enabled is selected, the necessary data entry controls are displayed for the user in the UI. Wenn der IT-Administrator die Daten eingibt und auf Applyklickt, treten die folgenden Ereignisse auf:When IT administrator enters the data and clicks Apply, the following events occur:

    • Der MDM-ISV-Server richtet einen Befehl zum Ersetzen von SyncML mit einer Nutzlast ein, die die vom Benutzer eingegebenen Daten enthält.The MDM ISV server sets up a Replace SyncML command with a payload that contains the user-entered data.
    • Der MDM-Clientstapel empfängt diese Daten, wodurch der Richtlinien-CSP die Registrierung des Geräts entsprechend der Definition der ADMX-gesicherten Richtlinie aktualisieren kann.The MDM client stack receives this data, which causes the Policy CSP to update the device's registry per the ADMX-backed policy definition.
  • Wenn deaktiviert ausgewählt ist und Sie auf über nehmenklicken, treten die folgenden Ereignisse auf:If Disabled is selected and you click Apply, the following events occur:

    • Der MDM-ISV-Server richtet einen Befehl zum Ersetzen von SyncML ein, auf den eine Nutzlast festgelegt ist <disabled\> .The MDM ISV server sets up a Replace SyncML command with a payload set to <disabled\>.
    • Der MDM-Clientstapel erhält diesen Befehl, der dazu führt, dass der Richtlinien-CSP entweder die Registrierungseinstellungen des Geräts löscht, die Registrierungsschlüssel oder beides für die Zustandsänderung festgelegt hat, die von der Definition für ADMX-gesicherte Richtlinien gesteuert wird.The MDM client stack receives this command, which causes the Policy CSP to either delete the device's registry settings, set the registry keys, or both, per the state change directed by the ADMX-backed policy definition.
  • Wenn diese Option nicht konfiguriert ist und Sie auf über nehmenklicken, treten die folgenden Ereignisse auf:If Not Configured is selected and you click Apply, the following events occur:

    • Der MDM-ISV-Server richtet einen DELETE SyncML-Befehl ein.MDM ISV server sets up a Delete SyncML command.
    • Der MDM-Clientstapel erhält diesen Befehl, der bewirkt, dass der Richtlinien-CSP die Registrierungseinstellungen des Geräts entsprechend der Definition für ADMX-gesicherte Richtlinien löscht.The MDM client stack receives this command, which causes the Policy CSP to delete the device's registry settings per the ADMX-backed policy definition.

Das folgende Diagramm zeigt die Hauptanzeige für den Gruppenrichtlinien-Editor.The following diagram shows the main display for the Group Policy Editor.

Gruppenrichtlinien-Editor

Das folgende Diagramm zeigt die Einstellungen für die Gruppenrichtlinie "Veröffentlichungs Server 2-Einstellungen" im Gruppenrichtlinien-Editor.The following diagram shows the settings for the "Publishing Server 2 Settings" Group Policy in the Group Policy Editor.

Gruppenrichtlinien Herausgeber Server 2-Einstellungen

Beachten Sie, dass die meisten Gruppenrichtlinien einen einfachen booleschen Typ aufweisen.Note that most Group Policies are a simple Boolean type. Wenn Sie bei einer booleschen Gruppenrichtlinie " aktiviert" auswählen, enthält der Bereich "Optionen" keine Dateneingabefelder, und die Nutzlast des SyncML ist einfach <enabled/> .For a Boolean Group Policy, if you select Enabled, the options panel contains no data input fields and the payload of the SyncML is simply <enabled/>. Wenn jedoch Dateneingabefelder im Bereich "Optionen" vorhanden sind, muss der MDM-Server diese Daten bereitstellen.However, if there are data input fields in the options panel, the MDM server must supply this data. Im folgenden Beispiel wird diese Komplexität durch Aktivieren eines Gruppenrichtlinien -Beispiels veranschaulicht.The following Enabling a Group Policy example illustrates this complexity. In diesem Beispiel werden 10 Name-Wert-Paare durch <data /> Tags in der Nutzlast beschrieben, die den 10 Dateneingabefeldern im Bereich "Gruppenrichtlinien-Editor-Optionen" für die Gruppenrichtlinie "Veröffentlichungs Server 2-Einstellungen" entsprechen.In this example, 10 name-value pairs are described by <data /> tags in the payload, which correspond to the 10 data input fields in the Group Policy Editor options panel for the "Publishing Server 2 Settings" Group Policy. Die ADMX-Datei, die die Gruppenrichtlinien definiert, wird vom MDM-Server verwendet, ähnlich wie der Gruppenrichtlinien-Editor Sie verwendet.The ADMX file, which defines the Group Policies, is consumed by the MDM server, similarly to how the Group Policy Editor consumes it. Der Gruppenrichtlinien-Editor zeigt eine Benutzeroberfläche an, um die vollständigen Gruppenrichtlinien-Instanzdaten zu erhalten, die auch von der IT-Administratorkonsole des MDM-Servers benötigt werden.The Group Policy Editor displays a UI to receive the complete Group Policy instance data, which the MDM server's IT administrator console must also do. Für jedes <text> Element-und ID-Attribut in der ADMX-Richtliniendefinition muss ein entsprechendes <data /> Element-und ID-Attribut in der Nutzlast vorhanden sein.For every <text> element and id attribute in the ADMX policy definition, there must be a corresponding <data /> element and id attribute in the payload. Die ADMX-Datei steuert die Richtliniendefinition und wird vom MDM-Server über das SyncML-Protokoll benötigt.The ADMX file drives the policy definition and is required by the MDM server via the SyncML protocol.

Wichtig

Jedes Dateneingabefeld, das auf der Seite "Gruppenrichtlinie" des Gruppenrichtlinien-Editors angezeigt wird, muss im codierten XML-Code der SyncML-Nutzlast bereitgestellt werden.Any data entry field that is displayed in the Group Policy page of the Group Policy Editor must be supplied in the encoded XML of the SyncML payload. Die SyncML-Datennutzlast entspricht den vom Benutzer bereitgestellten Gruppenrichtliniendaten über gpedit. msc.The SyncML data payload is equivalent to the user-supplied Group Policy data through GPEdit.msc.

Weitere Informationen zum Gruppenrichtlinien-Beschreibungsformat finden Sie unter Format für administrative Vorlagendatei (ADMX).For more information about the Group Policy description format, see Administrative Template File (ADMX) format. Elemente können Text, MultiText, Boolean, Enum, Decimal oder List sein (Weitere Informationen finden Sie unter Richtlinienelemente).Elements can be Text, MultiText, Boolean, Enum, Decimal, or List (for more information, see policy elements).

Wenn Sie beispielsweise nach der Zeichenfolge "Publishing_Server2_Name_Prompt" im Beispiel für das Aktivieren einer Richtlinie und der zugehörigen ADMX-Richtliniendefinition in der Datei AppV. ADMX suchen, finden Sie die folgenden vorkommen:For example, if you search for the string, "Publishing_Server2_Name_Prompt" in both the Enabling a policy example and its corresponding ADMX policy definition in the appv.admx file, you will find the following occurrences:

Aktivieren eines Richtlinien Beispiels:Enabling a policy example:

`<data id="Publishing_Server2_Name_Prompt" value="name"/>` 

AppV. ADMX-Datei:Appv.admx file:

      <elements>
        <text id="Publishing_Server2_Name_Prompt" valueName="Name" required="true"/>

Beispiele für ADMX-gesicherte RichtlinienADMX-backed policy examples

In den folgenden SyncML-Beispielen wird beschrieben, wie Sie eine MDM-Richtlinie festlegen, die durch eine ADMX-Vorlage definiert wird, insbesondere die Publishing_Server2_Policy Gruppenrichtlinien Beschreibung in der ADMX-Datei der Application Virtualization, AppV. ADMX.The following SyncML examples describe how to set a MDM policy that is defined by an ADMX template, specifically the Publishing_Server2_Policy Group Policy description in the application virtualization ADMX file, appv.admx. Beachten Sie, dass die Funktionen, die diese Gruppenrichtlinie verwaltet, nicht wichtig sind. Sie wird verwendet, um nur zu veranschaulichen, wie ein MDM-ISV eine ADMX-gesicherte Richtlinie festlegen kann.Note that the functionality that this Group Policy manages is not important; it is used to illustrate only how an MDM ISV can set an ADMX-backed policy. Diese SyncML-Beispiele veranschaulichen häufige Optionen und den entsprechenden SyncML-Code, der zum Testen Ihrer Richtlinien verwendet werden kann.These SyncML examples illustrate common options and the corresponding SyncML code that can be used for testing your policies. Beachten Sie, dass die Nutzlast von SyncML XML-codiert sein muss. für diese XML-Codierung können Sie das bevorzugte Online Tool verwenden.Note that the payload of the SyncML must be XML-encoded; for this XML encoding, you can use favorite online tool. Um die Codierung der Nutzlast zu vermeiden, können Sie CDATA verwenden, wenn Ihr MDM dies unterstützt.To avoid encoding the payload, you can use CData if your MDM supports it. Weitere Informationen finden Sie unter CDATA-Abschnitte.For more information, see CDATA Sections.

Aktivieren einer RichtlinieEnabling a policy

NutzlastPayload

<enabled/>
<data id="Publishing_Server2_Name_Prompt" value="Name"/>
<data id="Publishing_Server_URL_Prompt" value="http://someuri"/>
<data id="Global_Publishing_Refresh_Options" value="1"/>
<data id="Global_Refresh_OnLogon_Options" value="0"/>
<data id="Global_Refresh_Interval_Prompt" value="15"/>
<data id="Global_Refresh_Unit_Options" value="0"/>
<data id="User_Publishing_Refresh_Options" value="0"/>
<data id="User_Refresh_OnLogon_Options" value="0"/>
<data id="User_Refresh_Interval_Prompt" value="15"/>
<data id="User_Refresh_Unit_Options" value="1"/>

SyncML anfordernRequest SyncML

<?xml version="1.0" encoding="utf-8"?>
<SyncML xmlns="SYNCML:SYNCML1.2">
  <SyncBody>
    <Replace>
      <CmdID>2</CmdID>
      <Item>
        <Meta>
          <Format>chr</Format>
          <Type>text/plain</Type>
        </Meta>
        <Target>
          <LocURI>./Device/Vendor/MSFT/Policy/Config/AppVirtualization/PublishingAllowServer2</LocURI>
        </Target>
        <Data>
        <![CDATA[<enabled/><data id="Publishing_Server2_Name_Prompt" value="name prompt"/><data 
          id="Publishing_Server_URL_Prompt" value="URL prompt"/><data 
          id="Global_Publishing_Refresh_Options" value="1"/><data 
          id="Global_Refresh_OnLogon_Options" value="0"/><data 
          id="Global_Refresh_Interval_Prompt" value="15"/><data 
          id="Global_Refresh_Unit_Options" value="0"/><data 
          id="User_Publishing_Refresh_Options" value="0"/><data 
          id="User_Refresh_OnLogon_Options" value="0"/><data 
          id="User_Refresh_Interval_Prompt" value="15"/><data 
          id="User_Refresh_Unit_Options" value="1"/>]]>
        </Data>
      </Item>
    </Replace>
    <Final/>
  </SyncBody>
</SyncML>

Antwort SyncMLResponse SyncML

<Status>
  <CmdID>2</CmdID>
  <MsgRef>1</MsgRef>
  <CmdRef>2</CmdRef>
  <Cmd>Replace</Cmd>
  <Data>200</Data>
</Status>

Deaktivieren einer RichtlinieDisabling a policy

NutzlastPayload

<disabled/>

SyncML anfordernRequest SyncML

<?xml version="1.0" encoding="utf-8"?>
<SyncML xmlns="SYNCML:SYNCML1.2">
  <SyncBody>
    <Replace>
      <CmdID>2</CmdID>
      <Item>
        <Meta>
          <Format>chr</Format>
          <Type>text/plain</Type>
        </Meta>
        <Target>
          <LocURI>./Device/Vendor/MSFT/Policy/Config/AppVirtualization/PublishingAllowServer2</LocURI>
        </Target>
        <Data><![CDATA[<disabled/>]]></Data>
      </Item>
    </Replace>
    <Final/>
  </SyncBody>
</SyncML>
''''

**Response SyncML**
```XML
<Status>
  <CmdID>2</CmdID>
  <MsgRef>1</MsgRef>
  <CmdRef>2</CmdRef>
  <Cmd>Replace</Cmd>
  <Data>200</Data>
</Status>

Festlegen einer Richtlinie auf "nicht konfiguriert"Setting a policy to not configured

NutzlastPayload

(Keine)(None)

SyncML anfordernRequest SyncML

<?xml version="1.0" encoding="utf-8"?>
<SyncML xmlns="SYNCML:SYNCML1.2">
  <SyncBody>
    <Delete>
      <CmdID>1</CmdID>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/Policy/Config/AppVirtualization/PublishingAllowServer2</LocURI>
        </Target>
      </Item>
    </Delete>
    <Final/>
  </SyncBody>
</SyncML>

Antwort SyncMLResponse SyncML

<Status>
  <CmdID>2</CmdID>
  <MsgRef>1</MsgRef>
  <CmdRef>1</CmdRef>
  <Cmd>Delete</Cmd>
  <Data>200</Data>
</Status>

Beispiel für SyncML für verschiedene ADMX-ElementeSample SyncML for various ADMX elements

In diesem Abschnitt wird das Beispiel SyncML für die verschiedenen ADMX-Elemente wie Text, Multi-Text, Decimal, Boolean und List beschrieben.This section describes sample SyncML for the various ADMX elements like Text, Multi-Text, Decimal, Boolean, and List.

So wird der Pfad und Name einer Gruppenrichtlinien Richtlinien-Kategorie einem MDM-Bereich und Richtliniennamen zugeordnetHow a Group Policy policy category path and name are mapped to a MDM area and policy name

Nachfolgend finden Sie die interne Betriebssystem Zuordnung einer Gruppenrichtlinie zu einem MDM-Bereich und-Namen.Below is the internal OS mapping of a Group Policy to a MDM area and name. Dies ist Teil einer Reihe von Windows-Manifesten, bei denen beim Kompilieren die zugeordnete ADMX-Datei analysiert, die angegebene Gruppenrichtlinien Richtlinie gefunden und diese Definition (Metadaten) im Clientspeicher der MDM-Richtlinie CSP gespeichert werden.This is part of a set of Windows manifest that when compiled parses out the associated ADMX file, finds the specified Group Policy policy and stores that definition (metadata) in the MDM Policy CSP client store.ADMX-gesicherte Richtlinien sind hierarchisch angeordnet. ADMX backed policies are organized hierarchically.Ihr Bereich kann ein Computer, ein Benutzeroder ein Bereich beidersein.Their scope can be machine, user, or have a scope of both. Wenn die MDM-Richtlinie über einen SyncML-Befehl und den CSP-URI der Richtlinie bezeichnet wird (siehe unten), wird auf diese Metadaten verwiesen, und es wird bestimmt, welche Registrierungsschlüssel festgelegt oder entfernt werden.When the MDM policy is referred to through a SyncML command and the Policy CSP URI, as shown below, this metadata is referenced and determines what registry keys are set or removed. Auf Computerbereichs Richtlinien wird über .\Device und die Benutzerbereichs Richtlinien über .\User. verwiesen.Machine-scope policies are referenced via .\Device and the user scope policies via .\User.

./[Device|User]/Vendor/MSFT/Policy/Config/[config|result]/<area>/<policy>

Beachten Sie, dass die Datennutzlast des SyncML codiert werden muss, damit Sie nicht in Konflikt mit den Standard-SyncML-XML-Tags steht.Note that the data payload of the SyncML needs to be encoded so that it does not conflict with the boilerplate SyncML XML tags. Verwenden Sie dieses Online Tool zum Codieren und Codieren der Toolbox der Richtliniendaten ProgrammiererUse this online tool for encoding and encoding the policy data Coder's Toolbox

Snippet des Manifests für AppVirtualization-Bereich:Snippet of manifest for AppVirtualization area:

<identity xmlns="urn:Microsoft.CompPlat/ManifestSchema.v1.00"  xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" owner="Microsoft" namespace="Windows-DeviceManagement-PolicyDefinition" name="AppVirtualization">
  <policyDefinitions>
    <area name="AppVirtualization">
      <policies>
.
.
.
         <stringPolicy name="PublishingAllowServer2" notSupportedOnPlatform="phone" admxbacked="appv.admx" scope="machine">
            <ADMXPolicy area="appv~AT~System~CAT_AppV~CAT_Publishing" name="Publishing_Server2_Policy" scope="machine" />
           <registryKeyRedirect path="SOFTWARE\Policies\Microsoft\AppV\Client\Publishing\Servers\2" />
         </stringPolicy >
.
.
.

Die LocURI für die obige GP-Richtlinie lautet:The LocURI for the above GP policy is:

./Device/Vendor/MSFT/Policy/Config/AppVirtualization/PublishingAllowServer2

Wenn Sie SyncML für Ihren Bereich/Ihre Richtlinie mithilfe der folgenden Beispiele erstellen möchten, müssen Sie die Daten-ID und den Wert im <Data> Abschnitt von SyncML aktualisieren.To construct SyncML for your area/policy using the samples below, you need to update the data id and the value in the <Data> section of the SyncML. Die Elemente mit einem "&"-Zeichen sind die benötigten Escapezeichen und können wie gezeigt beibehalten werden.The items prefixed with an '&' character are the escape characters needed and can be retained as shown.

Text-ElementText Element

Das text Element entspricht einfach einer Zeichenfolge und entsprechend einem Bearbeitungsfeld in einer Richtlinien Panel-Anzeige von gpedit. msc.The text element simply corresponds to a string and correspondingly to an edit box in a policy panel display by gpedit.msc. Die Zeichenfolge wird in der Registrierung des Typs REG_SZ gespeichert.The string is stored in the registry of type REG_SZ.

ADMX-Datei: inêtres. ADMXADMX file: inetres.admx

<policy name="RestrictHomePage" class="User" displayName="$(string.RestrictHomePage)" explainText="$(string.IE_ExplainRestrictHomePage)" presentation="$(presentation.RestrictHomePage)" key="Software\Policies\Microsoft\Internet Explorer\Control Panel" valueName="HomePage">
  <parentCategory ref="InternetExplorer" />
  <supportedOn ref="SUPPORTED_IE5" />
  <elements>
    <text id="EnterHomePagePrompt" key="Software\Policies\Microsoft\Internet Explorer\Main" valueName="Start Page" required="true" />
  </elements>
</policy>

Entsprechendes SyncML:Corresponding SyncML:

<?xml version="1.0" encoding="utf-8"?>
<SyncML xmlns="SYNCML:SYNCML1.2">
  <SyncBody>
    <Replace>
      <CmdID>$CmdId$</CmdID>
      <Item>
        <Meta>
          <Format>chr</Format>
          <Type>text/plain</Type>
        </Meta>
        <Target>
          <LocURI>./User/Vendor/MSFT/Policy/Config/InternetExplorer/DisableHomePageChange</LocURI>
        </Target>
        <Data><![CDATA[<enabled/><data id="EnterHomePagePrompt" value="mystartpage"/>]]></Data>
      </Item>
    </Replace>
    <Final/>
  </SyncBody>
</SyncML>

Mehr Text ElementMultiText Element

Das multiText Element entspricht einfach einer Reg_MultiSZ Registrierungszeichenfolge und entsprechend einem Raster, um mehrere Zeichenfolgen in einer Richtlinien Bereichsanzeige von gpedit. msc einzugeben.The multiText element simply corresponds to a REG_MULTISZ registry string and correspondingly to a grid to enter multiple strings in a policy panel display by gpedit.msc.Beachten Sie, dass erwartet wird, dass jede Zeichenfolge im SyncML durch das Unicode-Zeichen 0xF000 (codierte Version:) getrennt wird. &#xF000; Note that it is expected that each string in the SyncML is to be separated by the Unicode character 0xF000 (encoded version: &#xF000;)

<policy name="Virtualization_JITVAllowList" class="Machine" displayName="$(string.Virtualization_JITVAllowList)"
        explainText="$(string.Virtualization_JITVAllowList_Help)" presentation="$(presentation.Virtualization_JITVAllowList)"
          key="SOFTWARE\Policies\Microsoft\AppV\Client\Virtualization"
          valueName="ProcessesUsingVirtualComponents">
    <parentCategory ref="CAT_Virtualization" />
    <supportedOn ref="windows:SUPPORTED_Windows7" />
    <elements>
    <multiText id="Virtualization_JITVAllowList_Prompt" valueName="ProcessesUsingVirtualComponents" />
    </elements>
</policy>

Entsprechendes SyncML:Corresponding SyncML:

<?xml version="1.0" encoding="utf-8"?>
<SyncML xmlns="SYNCML:SYNCML1.2">
  <SyncBody>
    <Replace>
      <CmdID>2</CmdID>
      <Item>
        <Meta>
          <Format>chr</Format>
          <Type>text/plain</Type>
        </Meta>
        <Target>
          <LocURI>./Device/Vendor/MSFT/Policy/Config/AppVirtualization/VirtualComponentsAllowList</LocURI>
        </Target>
        <Data><![CDATA[<enabled/><data id="Virtualization_JITVAllowList_Prompt" value="C:\QuickPatch\TEST\snot.exe&#xF000;C:\QuickPatch\TEST\foo.exe&#xF000;C:\QuickPatch\TEST\bar.exe"/>]]></Data>
      </Item>
    </Replace>
    <Final/>
  </SyncBody>
</SyncML>

Listen Element (und seine Variationen)List Element (and its variations)

Das list Element entspricht einfach einer Struktur aus REG_SZ Registrierungszeichenfolgen und entsprechend einem Raster, um mehrere Zeichenfolgen in einer Richtlinien Bereichsanzeige von gpedit. msc einzugeben.The list element simply corresponds to a hive of REG_SZ registry strings and correspondingly to a grid to enter multiple strings in a policy panel display by gpedit.msc. Wie dies in SyncML dargestellt wird, ist eine Zeichenfolge, die Paare von Zeichenfolgen enthält.How this is represented in SyncML is as a string containing pairs of strings. Jedes Paar ist ein REG_SZ Name/Wert-Schlüssel.Each pair is a REG_SZ name/value key. Es empfiehlt sich, die Richtlinie über gpedit. msc (als Administrator ausführen) anzuwenden und zum Speicherort der Registrierungsstruktur zu wechseln und zu sehen, wie die Listenwerte gespeichert werden.It is best to apply the policy through gpedit.msc (run as Administrator) and go to the registry hive location and see how the list values are stored. Dadurch erhalten Sie eine Vorstellung davon, wie die Name-Wert-Paare gespeichert werden, um Sie über SyncML auszudrücken.This will give you an idea of the way the name/value pairs are stored to express it through SyncML.

Hinweis

Es wird davon ausgegangen, dass jede Zeichenfolge im SyncML durch das Unicode-Zeichen 0xF000 (codierte Version:) getrennt wird &#xF000; .It is expected that each string in the SyncML is to be separated by the Unicode character 0xF000 (encoded version: &#xF000;).

Variationen des list Elements werden von Attributen diktiert.Variations of the list element are dictated by attributes. Diese Attribute werden von der Richtlinien-Manager-Laufzeit ignoriert.These attributes are ignored by the Policy Manager runtime. Es wird davon ausgegangen, dass der MDM-Server die Name-Wert-Paare verwaltet.It is expected that the MDM server manages the name/value pairs. Nachfolgend finden Sie eine einfache aufschreibung der Gruppenrichtlinien Liste.See below for a simple write up of Group Policy List.

ADMX-Datei: inêtres. ADMXADMX file: inetres.admx

<policy name="SecondaryHomePages" class="Both" displayName="$(string.SecondaryHomePages)" explainText="$(string.IE_ExplainSecondaryHomePages)" presentation="$(presentation.SecondaryHomePages)" key="Software\Policies\Microsoft\Internet Explorer\Main\SecondaryStartPages">
  <parentCategory ref="InternetExplorer" />
  <supportedOn ref="SUPPORTED_IE8" />
  <elements>
    <list id="SecondaryHomePagesList" additive="true" />
  </elements>
</policy>

Entsprechendes SyncML:Corresponding SyncML:

<SyncML xmlns="SYNCML:SYNCML1.2">
  <SyncBody>
    <Replace>
      <CmdID>2</CmdID>
      <Item>
        <Meta>
          <Format>chr</Format>
          <Type>text/plain</Type>
        </Meta>
        <Target>
          <LocURI>./User/Vendor/MSFT/Policy/Config/InternetExplorer/DisableSecondaryHomePageChange</LocURI>
        </Target>
        <Data><![CDATA[<Enabled/><Data id="SecondaryHomePagesList" value="http://name1&#xF000;http://name1&#xF000;http://name2&#xF000;http://name2"/>]]></Data>
      </Item>
    </Replace>
    <Final/>
  </SyncBody>
</SyncML>

Keine ElementeNo Elements

<policy name="NoUpdateCheck" class="Machine" displayName="$(string.NoUpdateCheck)" explainText="$(string.IE_ExplainNoUpdateCheck)" key="Software\Policies\Microsoft\Internet Explorer\Infodelivery\Restrictions" valueName="NoUpdateCheck">
  <parentCategory ref="InternetExplorer" />
  <supportedOn ref="SUPPORTED_IE5_6" />
</policy>

Entsprechendes SyncML:Corresponding SyncML:

<SyncML xmlns="SYNCML:SYNCML1.2">
  <SyncBody>
    <Replace>
      <CmdID>2</CmdID>
      <Item>
        <Meta>
          <Format>chr</Format>
          <Type>text/plain</Type>
        </Meta>
        <Target>
          <LocURI>./Device/Vendor/MSFT/Policy/Config/InternetExplorer/DisableUpdateCheck</LocURI>
        </Target>
        <Data><![CDATA[<Enabled/>]]></Data>
      </Item>
    </Replace>
    <Final/>
  </SyncBody>
</SyncML>

EnumerationEnum

<policy name="EncryptionMethodWithXts_Name" class="Machine" displayName="$(string.EncryptionMethodWithXts_Name)" explainText="$(string.EncryptionMethodWithXts_Help)" presentation="$(presentation.EncryptionMethodWithXts_Name)" key="SOFTWARE\Policies\Microsoft\FVE">
    <parentCategory ref="FVECategory" />
    <!--Bug OS:4242178 -->
    <supportedOn ref="windows:SUPPORTED_Windows_10_0" />
    <elements>
        <enum id="EncryptionMethodWithXtsOsDropDown_Name" valueName="EncryptionMethodWithXtsOs" required="true">
            <item displayName="$(string.EncryptionMethodDropDown_AES128_Name2)">
                <value>
                    <decimal value="3" />
                </value>
            </item>
            <item displayName="$(string.EncryptionMethodDropDown_AES256_Name2)">
                <value>
                    <decimal value="4" />
                </value>
            </item>
            <item displayName="$(string.EncryptionMethodDropDown_XTS_AES128_Name)">
                <value>
                    <decimal value="6" />
                </value>
            </item>
            <item displayName="$(string.EncryptionMethodDropDown_XTS_AES256_Name)">
                <value>
                    <decimal value="7" />
                </value>
            </item>
        </enum>
   </elements>
</policy>

Entsprechendes SyncML:Corresponding SyncML:

<SyncML xmlns="SYNCML:SYNCML1.2">
  <SyncBody>
    <Replace>
      <CmdID>2</CmdID>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/Policy/Config/BitLocker/EncryptionMethodByDriveType</LocURI>
        </Target>
        <Data>
          <![CDATA[<enabled/>
          <data id="EncryptionMethodWithXtsOsDropDown_Name" value="4"/>]]>
        </Data>
      </Item>
    </Replace>
    <Final/>
  </SyncBody>
</SyncML>

Decimal-ElementDecimal Element

<policy name="Streaming_Reestablishment_Interval" class="Machine" displayName="$(string.Streaming_Reestablishment_Interval)" 
            explainText="$(string.Streaming_Reestablishment_Interval_Help)"
            presentation="$(presentation.Streaming_Reestablishment_Interval)"
            key="SOFTWARE\Policies\Microsoft\AppV\Client\Streaming">
    <parentCategory ref="CAT_Streaming" />
    <supportedOn ref="windows:SUPPORTED_Windows7" />
    <elements>
        <decimal id="Streaming_Reestablishment_Interval_Prompt" valueName="ReestablishmentInterval" minValue="0" maxValue="3600"/>
    </elements>
</policy>

Entsprechendes SyncML:Corresponding SyncML:

<SyncML xmlns="SYNCML:SYNCML1.2">
  <SyncBody>
    <Replace>
      <CmdID>2</CmdID>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/Policy/Config/AppVirtualization/StreamingAllowReestablishmentInterval</LocURI>
        </Target>
        <Data>
          <![CDATA[<enabled/>
          <data id="Streaming_Reestablishment_Interval_Prompt" value="4"/>]]>
        </Data>
      </Item>
    </Replace>
    <Final/>
  </SyncBody>
</SyncML>

Boolesches ElementBoolean Element

<policy name="DeviceInstall_Classes_Deny" class="Machine" displayName="$(string.DeviceInstall_Classes_Deny)" explainText="$(string.DeviceInstall_Classes_Deny_Help)" presentation="$(presentation.DeviceInstall_Classes_Deny)" key="Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions" valueName="DenyDeviceClasses">
    <parentCategory ref="DeviceInstall_Restrictions_Category" />
    <supportedOn ref="windows:SUPPORTED_WindowsVista" />
    <enabledValue>
    <decimal value="1" />
    </enabledValue>
    <disabledValue>
    <decimal value="0" />
    </disabledValue>
    <elements>
        <list id="DeviceInstall_Classes_Deny_List" key="Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions\DenyDeviceClasses" valuePrefix="" />
        <boolean id="DeviceInstall_Classes_Deny_Retroactive" valueName="DenyDeviceClassesRetroactive" >
            <trueValue>
                <decimal value="1" />
            </trueValue>
            <falseValue>
                <decimal value="0" />
            </falseValue>
        </boolean>
    </elements>
</policy>

Entsprechendes SyncML:Corresponding SyncML:

<?xml version="1.0" encoding="utf-8"?>
<SyncML xmlns="SYNCML:SYNCML1.2">
  <SyncBody>
    <Replace>
      <CmdID>2</CmdID>
      <Item>
        <Meta>
          <Format>chr</Format>
          <Type>text/plain</Type>
        </Meta>
        <Target>
          <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceSetupClasses</LocURI>
        </Target>
        <Data>
          <![CDATA[<enabled/><data id="DeviceInstall_Classes_Deny_Retroactive" value="true"/>
          <Data id="DeviceInstall_Classes_Deny_List" value="1&#xF000;deviceId1&#xF000;2&#xF000;deviceId2"/>]]>
        </Data>
      </Item>
    </Replace>
    <Final/>
  </SyncBody>
</SyncML>