Informazioni sui criteri con backup ADMXUnderstanding ADMX-backed policies

Grazie alla maggiore semplicità e alla facilità con cui i dispositivi possono essere mirati, le aziende aziendali trovano sempre più vantaggioso trasferire la propria gestione del PC in una soluzione di gestione dei dispositivi basata su cloud.Due to increased simplicity and the ease with which devices can be targeted, enterprise businesses are finding it increasingly advantageous to move their PC management to a cloud-based device management solution. Purtroppo, le attuali soluzioni di gestione dei dispositivi Windows PC non hanno le funzionalità di configurazione dei criteri critici e delle impostazioni dell'app supportate in una soluzione di gestione PC tradizionale.Unfortunately, current Windows PC device-management solutions lack the critical policy and app settings configuration capabilities that are supported in a traditional PC management solution.

A partire da Windows 10 versione 1703, il supporto della configurazione dei criteri di gestione di dispositivi mobili (MDM) verrà espanso per consentire l'accesso ai modelli amministrativi di criteri di gruppo selezionati (i criteri supportati da ADMX) per i PC Windows tramite il provider di servizi di configurazione dei criteri (CSP).Starting in Windows 10 version 1703, Mobile Device Management (MDM) policy configuration support will be expanded to allow access of select Group Policy administrative templates (ADMX-backed policies) for Windows PCs via the Policy configuration service provider (CSP). Questo Access esteso garantisce che le aziende non debbano compromettere la sicurezza dei propri dispositivi nel cloud.This expanded access ensures that enterprises do not need to compromise security of their devices in the cloud.

BackgroundBackground

Oltre ai criteri standard, il CSP dei criteri può ora gestire anche i criteri con supporto ADMX.In addition to standard policies, the Policy CSP can now also handle ADMX-backed policies. In un criterio supportato da ADMX un modello amministrativo contiene i metadati di un criterio di gruppo per la finestra e può essere modificato nell'Editor criteri di gruppo locali in un PC.In an ADMX-backed policy, an administrative template contains the metadata of a Window Group Policy and can be edited in the Local Group Policy Editor on a PC. Ogni modello amministrativo specifica le chiavi del registro di sistema e i relativi valori associati a criteri di gruppo e definisce le impostazioni dei criteri che è possibile gestire.Each administrative template specifies the registry keys (and their values) that are associated with a Group Policy and defines the policy settings that can be managed. I modelli amministrativi organizzano criteri di gruppo in una gerarchia in cui ogni segmento del percorso gerarchico viene definito come categoria.Administrative templates organize Group Policies in a hierarchy in which each segment in the hierarchical path is defined as a category. Ogni impostazione in un modello amministrativo di criteri di gruppo corrisponde a uno specifico valore del registro di sistema.Each setting in a Group Policy administrative template corresponds to a specific registry value. Queste impostazioni di criteri di gruppo sono definite in un formato di file XML basato su standard noto come file ADMX.These Group Policy settings are defined in a standards-based, XML file format known as an ADMX file. Per altre informazioni, vedere Guida di riferimento alla sintassi ADMX di criteri di gruppo.For more information, see Group Policy ADMX Syntax Reference Guide.

I file ADMX possono descrivere i criteri di gruppo del sistema operativo forniti con Windows oppure possono descrivere le impostazioni delle applicazioni, separate dal sistema operativo, che in genere possono essere scaricate e installate in un PC.ADMX files can either describe operating system (OS) Group Policies that are shipped with Windows or they can describe settings of applications, which are separate from the OS and can usually be downloaded and installed on a PC. A seconda della categoria specifica delle impostazioni che controllano (OS o applicazione), le impostazioni del modello amministrativo si trovano nelle due posizioni seguenti nell'Editor criteri di gruppo locali:Depending on the specific category of the settings that they control (OS or application), the administrative template settings are found in the following two locations in the Local Group Policy Editor:

  • Impostazioni del sistema operativo: Configurazione computer/modelli amministrativiOS settings: Computer Configuration/Administrative Templates
  • Impostazioni applicazione: configurazione utente/modelli amministrativiApplication settings: User Configuration/Administrative Templates

In un ecosistema di Domain controller/criteri di gruppo, i criteri di gruppo vengono automaticamente aggiunti al registro del computer client o del profilo utente dall'estensione del lato client (CSE) dei modelli amministrativi ogni volta che il computer client elabora un criterio di gruppo.In a domain controller/Group Policy ecosystem, Group Policies are automatically added to the registry of the client computer or user profile by the Administrative Templates Client Side Extension (CSE) whenever the client computer processes a Group Policy. In un client gestito da MDM, viceversa, i file ADMX vengono sfruttati per definire i criteri indipendentemente dai criteri di gruppo.Conversely, in an MDM-managed client, ADMX files are leveraged to define policies independent of Group Policies. Pertanto, in un client gestito da MDM, non è necessaria un'infrastruttura di criteri di gruppo, incluso il servizio criteri di gruppo (gpsvc. exe).Therefore, in an MDM-managed client, a Group Policy infrastructure, including the Group Policy Service (gpsvc.exe), is not required.

Un file ADMX può essere spedito con Windows (che si trova in %SystemRoot%\policydefinitions ) oppure può essere ingerito in un dispositivo tramite l'URI del CSP dei criteri ( ./Vendor/MSFT/Policy/ConfigOperations/ADMXInstall ).An ADMX file can either be shipped with Windows (located at %SystemRoot%\policydefinitions) or it can be ingested to a device through the Policy CSP URI (./Vendor/MSFT/Policy/ConfigOperations/ADMXInstall). I file ADMX della posta in arrivo vengono elaborati in criteri MDM in fase di compilazione OS.Inbox ADMX files are processed into MDM policies at OS-build time. I file ADMX che vengono ingeriti vengono elaborati in una spedizione post-OS per i criteri MDM tramite il CSP dei criteri.ADMX files that are ingested are processed into MDM policies post-OS shipment through the Policy CSP. Dato che il CSP dei criteri non si basa su alcun aspetto dello stack client di criteri di gruppo, incluso il servizio criteri di gruppo del PC (GPSvc), i gestori dei criteri che vengono ingeriti nel dispositivo possono rispondere ai criteri impostati da MDM.Because the Policy CSP does not rely upon any aspect of the Group Policy client stack, including the PC's Group Policy Service (GPSvc), the policy handlers that are ingested to the device are able to react to policies that are set by the MDM.

Windows associa il nome e il percorso della categoria di un criterio di gruppo a un'area e un nome di criteri MDM analizzando il file ADMX associato, trovando i criteri di gruppo specificati e archiviando la definizione (metadati) nell'archivio dei criteri di MDM del client CSP.Windows maps the name and category path of a Group Policy to a MDM policy area and policy name by parsing the associated ADMX file, finding the specified Group Policy, and storing the definition (metadata) in the MDM Policy CSP client store. Quando il criterio MDM viene fatto riferimento da un comando SyncML e dall'URI CSP dei criteri, .\[device|user]\vendor\msft\policy\[config|result]\<area>\<policy> viene fatto riferimento a questo tipo di metadati e viene determinato come impostare o rimuovere le chiavi del registro di sistema.When the MDM policy is referenced by a SyncML command and the Policy CSP URI, .\[device|user]\vendor\msft\policy\[config|result]\<area>\<policy>, this metadata is referenced and determines which registry keys are set or removed. Per un elenco dei criteri supportati da ADMX supportato da MDM, vedere criteri CSP-ADMX-backedPolicy.For a list of ADMX-backed policies supported by MDM, see Policy CSP - ADMX-backed policies.

Suggerimento

Intune ha aggiunto un certo numero di modelli amministrativi con il supporto di ADMX in anteprima pubblica.Intune has added a number of ADMX-backed administrative templates in public preview. Verificare se le impostazioni dei criteri necessarie sono disponibili in un modello prima di usare il metodo SyncML descritto di seguito.Check if the policy settings you need are available in a template before using the SyncML method described below. Leggi altre informazioni sui modelli amministrativi di Intune.Learn more about Intune's administrative templates.

File ADMX e Editor criteri di gruppoADMX files and the Group Policy Editor

Per acquisire la gestione MDM finale dei criteri di gruppo ADMX, un amministratore IT deve usare un'interfaccia utente, ad esempio l'Editor criteri di gruppo (gpedit. msc), per raccogliere i dati necessari.To capture the end-to-end MDM handling of ADMX Group Policies, an IT administrator must use a UI, such as the Group Policy Editor (gpedit.msc), to gather the necessary data. L'interfaccia utente della console ISV di MDM determina come raccogliere i dati di criteri di gruppo necessari dall'amministratore IT.The MDM ISV console UI determines how to gather the needed Group Policy data from the IT administrator. I criteri di gruppo con supporto di ADMX sono organizzati in una gerarchia e possono avere un ambito di un computer, un utente o entrambi.ADMX-backed Group Policies are organized in a hierarchy and can have a scope of machine, user, or both. L'esempio di criteri di gruppo nella sezione seguente usa un criterio di gruppo a livello di computer denominato "Publishing Server 2 Settings".The Group Policy example in the next section uses a machine-wide Group Policy named "Publishing Server 2 Settings." Quando si seleziona questo criterio di gruppo, gli stati disponibili non sono configurati, abilitatie disabilitati.When this Group Policy is selected, its available states are Not Configured, Enabled, and Disabled.

Il file ADMX usato dall'ISV di MDM per determinare l'interfaccia utente da visualizzare all'amministratore IT è lo stesso file ADMX usato dal client per la definizione dei criteri.The ADMX file that the MDM ISV uses to determine what UI to display to the IT administrator is the same ADMX file that the client uses for the policy definition. Il file ADMX viene elaborato dal sistema operativo in fase di compilazione o impostato dal client su OS Runtime.The ADMX file is processed either by the OS at build time or set by the client at OS runtime. In entrambi i casi, il client e l'ISV di MDM devono essere sincronizzati con le definizioni dei criteri ADMX.In either case, the client and the MDM ISV must be synchronized with the ADMX policy definitions. Ogni file ADMX corrisponde a una categoria di criteri di gruppo e in genere contiene diverse definizioni di criteri, ognuna delle quali rappresenta un singolo criterio di gruppo.Each ADMX file corresponds to a Group Policy category and typically contains several policy definitions, each of which represents a single Group Policy. Ad esempio, la definizione dei criteri per le impostazioni di "Publishing Server 2" è contenuta nel file AppV. admx, che contiene le definizioni dei criteri per la categoria criteri di gruppo di Microsoft Application Virtualization (App-V).For example, the policy definition for the "Publishing Server 2 Settings" is contained in the appv.admx file, which holds the policy definitions for the Microsoft Application Virtualization (App-V) Group Policy category.

Impostazione del pulsante di opzione Criteri di gruppo:Group Policy option button setting:

  • Se è selezionata l'opzione abilitata , vengono visualizzati i controlli di immissione dati necessari per l'utente nell'interfaccia utente.If Enabled is selected, the necessary data entry controls are displayed for the user in the UI. Quando l'amministratore IT immette i dati e fa clic su applica, si verificano gli eventi seguenti:When IT administrator enters the data and clicks Apply, the following events occur:

    • Il server ISV di MDM configura un comando Sostituisci SyncML con un payload che contiene i dati immessi dall'utente.The MDM ISV server sets up a Replace SyncML command with a payload that contains the user-entered data.
    • Lo stack client MDM riceve questi dati, che fanno sì che il CSP del criterio aggiorni il registro di sistema del dispositivo per la definizione dei criteri con supporto di ADMX.The MDM client stack receives this data, which causes the Policy CSP to update the device's registry per the ADMX-backed policy definition.
  • Se è selezionato disabilitato e si fa clic su applica, si verificano gli eventi seguenti:If Disabled is selected and you click Apply, the following events occur:

    • Il server ISV di MDM configura un comando Sostituisci SyncML con un set di payload <disabled\> .The MDM ISV server sets up a Replace SyncML command with a payload set to <disabled\>.
    • Lo stack client MDM riceve questo comando, che fa sì che il CSP del criterio elimini le impostazioni del registro di sistema del dispositivo, imposti le chiavi del registro di sistema o entrambe per la modifica di stato diretta dalla definizione dei criteri con il supporto di ADMX.The MDM client stack receives this command, which causes the Policy CSP to either delete the device's registry settings, set the registry keys, or both, per the state change directed by the ADMX-backed policy definition.
  • Se l'opzione non è configurata e si fa clic su applica, si verificano gli eventi seguenti:If Not Configured is selected and you click Apply, the following events occur:

    • Il server ISV di MDM configura un comando Delete SyncML.MDM ISV server sets up a Delete SyncML command.
    • Lo stack client MDM riceve questo comando, che fa sì che il CSP dei criteri elimini le impostazioni del registro di sistema del dispositivo per la definizione dei criteri con il supporto di ADMX.The MDM client stack receives this command, which causes the Policy CSP to delete the device's registry settings per the ADMX-backed policy definition.

Il diagramma seguente mostra la visualizzazione principale per l'Editor criteri di gruppo.The following diagram shows the main display for the Group Policy Editor.

Editor criteri di gruppo

Il diagramma seguente mostra le impostazioni per i criteri di gruppo "pubblicazione server 2" nell'Editor criteri di gruppo.The following diagram shows the settings for the "Publishing Server 2 Settings" Group Policy in the Group Policy Editor.

Impostazioni di Group Policy Publisher Server 2

Tieni presente che la maggior parte dei criteri di gruppo è un tipo booleano semplice.Note that most Group Policies are a simple Boolean type. Per i criteri di gruppo booleani, se si seleziona abilitato, il riquadro Opzioni non contiene campi di input dati e il payload del SyncML è semplicemente <enabled/> .For a Boolean Group Policy, if you select Enabled, the options panel contains no data input fields and the payload of the SyncML is simply <enabled/>. Tuttavia, se sono presenti campi di input dati nel pannello opzioni, il server MDM deve fornire questi dati.However, if there are data input fields in the options panel, the MDM server must supply this data. Il seguente esempio di criteri di gruppo consente di illustrare questa complessità.The following Enabling a Group Policy example illustrates this complexity. In questo esempio, 10 coppie nome/valore sono descritte da <data /> tag nel payload, che corrispondono ai 10 campi di input dati nel pannello Opzioni Editor criteri di gruppo per i criteri di gruppo "Publishing Server 2 Settings".In this example, 10 name-value pairs are described by <data /> tags in the payload, which correspond to the 10 data input fields in the Group Policy Editor options panel for the "Publishing Server 2 Settings" Group Policy. Il file ADMX, che definisce i criteri di gruppo, viene utilizzato dal server MDM, in modo analogo a come lo usa l'Editor criteri di gruppo.The ADMX file, which defines the Group Policies, is consumed by the MDM server, similarly to how the Group Policy Editor consumes it. L'Editor criteri di gruppo Visualizza un'interfaccia utente per ricevere i dati completi dell'istanza di criteri di gruppo, che deve essere eseguita anche dalla console di amministrazione IT del server MDM.The Group Policy Editor displays a UI to receive the complete Group Policy instance data, which the MDM server's IT administrator console must also do. Per ogni <text> attributo element e ID nella definizione dei criteri ADMX, il payload deve contenere un <data /> elemento corrispondente e un attributo ID.For every <text> element and id attribute in the ADMX policy definition, there must be a corresponding <data /> element and id attribute in the payload. Il file ADMX guida la definizione dei criteri ed è richiesto dal server MDM tramite il protocollo SyncML.The ADMX file drives the policy definition and is required by the MDM server via the SyncML protocol.

Importante

Tutti i campi di immissione dati visualizzati nella pagina Criteri di gruppo di Editor criteri di gruppo devono essere specificati nel codice XML codificato del payload SyncML.Any data entry field that is displayed in the Group Policy page of the Group Policy Editor must be supplied in the encoded XML of the SyncML payload. Il payload di dati SyncML è equivalente ai dati dei criteri di gruppo forniti dall'utente tramite GPEdit. msc.The SyncML data payload is equivalent to the user-supplied Group Policy data through GPEdit.msc.

Per altre informazioni sul formato di descrizione dei criteri di gruppo, vedere formato di file di modello amministrativo (ADMX).For more information about the Group Policy description format, see Administrative Template File (ADMX) format. Gli elementi possono essere testo, multitesto, booleano, enum, Decimal o List (per altre informazioni, Vedi elementi dei criteri).Elements can be Text, MultiText, Boolean, Enum, Decimal, or List (for more information, see policy elements).

Ad esempio, se si cerca la stringa "Publishing_Server2_Name_Prompt" sia nell'esempio di attivazione di un criterio che nella relativa definizione del criterio ADMX nel file AppV. admx, sono presenti le occorrenze seguenti:For example, if you search for the string, "Publishing_Server2_Name_Prompt" in both the Enabling a policy example and its corresponding ADMX policy definition in the appv.admx file, you will find the following occurrences:

Attivazione di un esempio di criterio:Enabling a policy example:

`<data id="Publishing_Server2_Name_Prompt" value="name"/>` 

File AppV. admx:Appv.admx file:

      <elements>
        <text id="Publishing_Server2_Name_Prompt" valueName="Name" required="true"/>

Esempi di criteri con supporto di ADMXADMX-backed policy examples

Gli esempi di SyncML seguenti descrivono come impostare un criterio MDM definito da un modello ADMX, in particolare la descrizione dei criteri di gruppo Publishing_Server2_Policy nel file ADMX per la virtualizzazione dell'applicazione, AppV. admx.The following SyncML examples describe how to set a MDM policy that is defined by an ADMX template, specifically the Publishing_Server2_Policy Group Policy description in the application virtualization ADMX file, appv.admx. Tieni presente che la funzionalità gestita da questo criterio di gruppo non è importante; viene usato per illustrare solo in che modo un ISV di MDM può impostare un criterio con supporto di ADMX.Note that the functionality that this Group Policy manages is not important; it is used to illustrate only how an MDM ISV can set an ADMX-backed policy. Questi esempi di SyncML illustrano le opzioni comuni e il codice SyncML corrispondente che può essere usato per testare i criteri.These SyncML examples illustrate common options and the corresponding SyncML code that can be used for testing your policies. Tieni presente che il payload del SyncML deve essere codificato in XML; per questa codifica XML puoi usare lo strumento online preferito.Note that the payload of the SyncML must be XML-encoded; for this XML encoding, you can use favorite online tool. Per evitare di codificare il payload, è possibile usare CData se MDM lo supporta.To avoid encoding the payload, you can use CData if your MDM supports it. Per altre informazioni, vedere sezioni CDATA.For more information, see CDATA Sections.

Attivazione di un criterioEnabling a policy

PayloadPayload

<enabled/>
<data id="Publishing_Server2_Name_Prompt" value="Name"/>
<data id="Publishing_Server_URL_Prompt" value="http://someuri"/>
<data id="Global_Publishing_Refresh_Options" value="1"/>
<data id="Global_Refresh_OnLogon_Options" value="0"/>
<data id="Global_Refresh_Interval_Prompt" value="15"/>
<data id="Global_Refresh_Unit_Options" value="0"/>
<data id="User_Publishing_Refresh_Options" value="0"/>
<data id="User_Refresh_OnLogon_Options" value="0"/>
<data id="User_Refresh_Interval_Prompt" value="15"/>
<data id="User_Refresh_Unit_Options" value="1"/>

Richiedi SyncMLRequest SyncML

<?xml version="1.0" encoding="utf-8"?>
<SyncML xmlns="SYNCML:SYNCML1.2">
  <SyncBody>
    <Replace>
      <CmdID>2</CmdID>
      <Item>
        <Meta>
          <Format>chr</Format>
          <Type>text/plain</Type>
        </Meta>
        <Target>
          <LocURI>./Device/Vendor/MSFT/Policy/Config/AppVirtualization/PublishingAllowServer2</LocURI>
        </Target>
        <Data>
        <![CDATA[<enabled/><data id="Publishing_Server2_Name_Prompt" value="name prompt"/><data 
          id="Publishing_Server_URL_Prompt" value="URL prompt"/><data 
          id="Global_Publishing_Refresh_Options" value="1"/><data 
          id="Global_Refresh_OnLogon_Options" value="0"/><data 
          id="Global_Refresh_Interval_Prompt" value="15"/><data 
          id="Global_Refresh_Unit_Options" value="0"/><data 
          id="User_Publishing_Refresh_Options" value="0"/><data 
          id="User_Refresh_OnLogon_Options" value="0"/><data 
          id="User_Refresh_Interval_Prompt" value="15"/><data 
          id="User_Refresh_Unit_Options" value="1"/>]]>
        </Data>
      </Item>
    </Replace>
    <Final/>
  </SyncBody>
</SyncML>

Risposta SyncMLResponse SyncML

<Status>
  <CmdID>2</CmdID>
  <MsgRef>1</MsgRef>
  <CmdRef>2</CmdRef>
  <Cmd>Replace</Cmd>
  <Data>200</Data>
</Status>

Disabilitazione di un criterioDisabling a policy

PayloadPayload

<disabled/>

Richiedi SyncMLRequest SyncML

<?xml version="1.0" encoding="utf-8"?>
<SyncML xmlns="SYNCML:SYNCML1.2">
  <SyncBody>
    <Replace>
      <CmdID>2</CmdID>
      <Item>
        <Meta>
          <Format>chr</Format>
          <Type>text/plain</Type>
        </Meta>
        <Target>
          <LocURI>./Device/Vendor/MSFT/Policy/Config/AppVirtualization/PublishingAllowServer2</LocURI>
        </Target>
        <Data><![CDATA[<disabled/>]]></Data>
      </Item>
    </Replace>
    <Final/>
  </SyncBody>
</SyncML>
''''

**Response SyncML**
```XML
<Status>
  <CmdID>2</CmdID>
  <MsgRef>1</MsgRef>
  <CmdRef>2</CmdRef>
  <Cmd>Replace</Cmd>
  <Data>200</Data>
</Status>

Impostazione di un criterio non configuratoSetting a policy to not configured

PayloadPayload

(Nessuna)(None)

Richiedi SyncMLRequest SyncML

<?xml version="1.0" encoding="utf-8"?>
<SyncML xmlns="SYNCML:SYNCML1.2">
  <SyncBody>
    <Delete>
      <CmdID>1</CmdID>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/Policy/Config/AppVirtualization/PublishingAllowServer2</LocURI>
        </Target>
      </Item>
    </Delete>
    <Final/>
  </SyncBody>
</SyncML>

Risposta SyncMLResponse SyncML

<Status>
  <CmdID>2</CmdID>
  <MsgRef>1</MsgRef>
  <CmdRef>1</CmdRef>
  <Cmd>Delete</Cmd>
  <Data>200</Data>
</Status>

Esempio SyncML per diversi elementi ADMXSample SyncML for various ADMX elements

Questa sezione descrive l'esempio SyncML per i vari elementi ADMX, come testo, testo multiplo, decimale, booleano e elenco.This section describes sample SyncML for the various ADMX elements like Text, Multi-Text, Decimal, Boolean, and List.

Come viene eseguito il mapping di un percorso e un nome di categoria criteri di gruppo a un'area e a un nome di criterio MDMHow a Group Policy policy category path and name are mapped to a MDM area and policy name

Di seguito è riportato il mapping del sistema operativo interno di un criterio di gruppo a un'area e un nome MDM.Below is the internal OS mapping of a Group Policy to a MDM area and name. Questo fa parte di un set di manifesti di Windows che, quando compilato analizza il file ADMX associato, trova i criteri di criteri di gruppo specificati e archivia la definizione (metadati) nell'archivio dei criteri di MDM CSP client.This is part of a set of Windows manifest that when compiled parses out the associated ADMX file, finds the specified Group Policy policy and stores that definition (metadata) in the MDM Policy CSP client store.I criteri con supporto ADMX sono organizzati in ordine gerarchico. ADMX backed policies are organized hierarchically.Il loro ambito può essere computer, utenteo avere un ambito di entrambi.Their scope can be machine, user, or have a scope of both. Quando il criterio MDM viene indicato tramite un comando SyncML e l'URI CSP dei criteri, come illustrato di seguito, viene fatto riferimento a questo tipo di metadati e determina le chiavi del registro di sistema impostate o rimosse.When the MDM policy is referred to through a SyncML command and the Policy CSP URI, as shown below, this metadata is referenced and determines what registry keys are set or removed. I criteri per l'ambito del computer fanno riferimento tramite .\Device e i criteri per l'ambito degli utenti tramite .\User.Machine-scope policies are referenced via .\Device and the user scope policies via .\User.

./[Device|User]/Vendor/MSFT/Policy/Config/[config|result]/<area>/<policy>

Tieni presente che il payload di dati di SyncML deve essere codificato in modo che non sia in conflitto con i tag XML SyncML standard.Note that the data payload of the SyncML needs to be encoded so that it does not conflict with the boilerplate SyncML XML tags. Usare questo strumento online per codificare e codificare la casella degli strumenti del data Coder dei criteriUse this online tool for encoding and encoding the policy data Coder's Toolbox

Frammento di manifesto per l'area AppVirtualization:Snippet of manifest for AppVirtualization area:

<identity xmlns="urn:Microsoft.CompPlat/ManifestSchema.v1.00"  xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" owner="Microsoft" namespace="Windows-DeviceManagement-PolicyDefinition" name="AppVirtualization">
  <policyDefinitions>
    <area name="AppVirtualization">
      <policies>
.
.
.
         <stringPolicy name="PublishingAllowServer2" notSupportedOnPlatform="phone" admxbacked="appv.admx" scope="machine">
            <ADMXPolicy area="appv~AT~System~CAT_AppV~CAT_Publishing" name="Publishing_Server2_Policy" scope="machine" />
           <registryKeyRedirect path="SOFTWARE\Policies\Microsoft\AppV\Client\Publishing\Servers\2" />
         </stringPolicy >
.
.
.

Il locuri per il criterio GP di cui sopra è:The LocURI for the above GP policy is:

./Device/Vendor/MSFT/Policy/Config/AppVirtualization/PublishingAllowServer2

Per creare SyncML per la propria area/criteri usando gli esempi seguenti, è necessario aggiornare l' ID dati e il valore nella <Data> sezione SyncML.To construct SyncML for your area/policy using the samples below, you need to update the data id and the value in the <Data> section of the SyncML. Gli elementi preceduti da un carattere "&" sono i caratteri di escape necessari e possono essere mantenuti come illustrato.The items prefixed with an '&' character are the escape characters needed and can be retained as shown.

Elemento textText Element

L' text elemento corrisponde semplicemente a una stringa e in modo corrispondente a una casella di modifica in un pannello di criteri visualizzato da gpedit. msc.The text element simply corresponds to a string and correspondingly to an edit box in a policy panel display by gpedit.msc. La stringa viene archiviata nel registro di sistema di tipo REG_SZ.The string is stored in the registry of type REG_SZ.

File ADMX: Inetres. admxADMX file: inetres.admx

<policy name="RestrictHomePage" class="User" displayName="$(string.RestrictHomePage)" explainText="$(string.IE_ExplainRestrictHomePage)" presentation="$(presentation.RestrictHomePage)" key="Software\Policies\Microsoft\Internet Explorer\Control Panel" valueName="HomePage">
  <parentCategory ref="InternetExplorer" />
  <supportedOn ref="SUPPORTED_IE5" />
  <elements>
    <text id="EnterHomePagePrompt" key="Software\Policies\Microsoft\Internet Explorer\Main" valueName="Start Page" required="true" />
  </elements>
</policy>

SyncML corrispondente:Corresponding SyncML:

<?xml version="1.0" encoding="utf-8"?>
<SyncML xmlns="SYNCML:SYNCML1.2">
  <SyncBody>
    <Replace>
      <CmdID>$CmdId$</CmdID>
      <Item>
        <Meta>
          <Format>chr</Format>
          <Type>text/plain</Type>
        </Meta>
        <Target>
          <LocURI>./User/Vendor/MSFT/Policy/Config/InternetExplorer/DisableHomePageChange</LocURI>
        </Target>
        <Data><![CDATA[<enabled/><data id="EnterHomePagePrompt" value="mystartpage"/>]]></Data>
      </Item>
    </Replace>
    <Final/>
  </SyncBody>
</SyncML>

Elemento multitextMultiText Element

L' multiText elemento corrisponde semplicemente a una stringa del registro di sistema REG_MULTISZ e in corrispondenza di una griglia per immettere più stringhe in un pannello criteri visualizzato da gpedit. msc.The multiText element simply corresponds to a REG_MULTISZ registry string and correspondingly to a grid to enter multiple strings in a policy panel display by gpedit.msc.Tieni presente che è prevedibile che ogni stringa in SyncML sia separata dal carattere Unicode 0xF000 (codificato versione: &#xF000; ) Note that it is expected that each string in the SyncML is to be separated by the Unicode character 0xF000 (encoded version: &#xF000;)

<policy name="Virtualization_JITVAllowList" class="Machine" displayName="$(string.Virtualization_JITVAllowList)"
        explainText="$(string.Virtualization_JITVAllowList_Help)" presentation="$(presentation.Virtualization_JITVAllowList)"
          key="SOFTWARE\Policies\Microsoft\AppV\Client\Virtualization"
          valueName="ProcessesUsingVirtualComponents">
    <parentCategory ref="CAT_Virtualization" />
    <supportedOn ref="windows:SUPPORTED_Windows7" />
    <elements>
    <multiText id="Virtualization_JITVAllowList_Prompt" valueName="ProcessesUsingVirtualComponents" />
    </elements>
</policy>

SyncML corrispondente:Corresponding SyncML:

<?xml version="1.0" encoding="utf-8"?>
<SyncML xmlns="SYNCML:SYNCML1.2">
  <SyncBody>
    <Replace>
      <CmdID>2</CmdID>
      <Item>
        <Meta>
          <Format>chr</Format>
          <Type>text/plain</Type>
        </Meta>
        <Target>
          <LocURI>./Device/Vendor/MSFT/Policy/Config/AppVirtualization/VirtualComponentsAllowList</LocURI>
        </Target>
        <Data><![CDATA[<enabled/><data id="Virtualization_JITVAllowList_Prompt" value="C:\QuickPatch\TEST\snot.exe&#xF000;C:\QuickPatch\TEST\foo.exe&#xF000;C:\QuickPatch\TEST\bar.exe"/>]]></Data>
      </Item>
    </Replace>
    <Final/>
  </SyncBody>
</SyncML>

Elemento elenco (e relative varianti)List Element (and its variations)

L' list elemento corrisponde semplicemente a un hive di REG_SZ stringhe del registro di sistema e in corrispondenza di una griglia per immettere più stringhe in un pannello criteri visualizzato da gpedit. msc.The list element simply corresponds to a hive of REG_SZ registry strings and correspondingly to a grid to enter multiple strings in a policy panel display by gpedit.msc. Il modo in cui viene rappresentato in SyncML è costituito da una stringa che contiene coppie di stringhe.How this is represented in SyncML is as a string containing pairs of strings. Ogni coppia è una REG_SZ chiave nome/valore.Each pair is a REG_SZ name/value key. È consigliabile applicare i criteri tramite gpedit. msc (Esegui come amministratore) e passare al percorso dell'hive del registro di sistema e vedere come vengono archiviati i valori di elenco.It is best to apply the policy through gpedit.msc (run as Administrator) and go to the registry hive location and see how the list values are stored. Questo ti darà un'idea del modo in cui vengono archiviate le coppie nome/valore per esprimerle tramite SyncML.This will give you an idea of the way the name/value pairs are stored to express it through SyncML.

Nota

È prevedibile che ogni stringa in SyncML sia separata dal carattere Unicode 0xF000 (codificato versione: &#xF000; ).It is expected that each string in the SyncML is to be separated by the Unicode character 0xF000 (encoded version: &#xF000;).

Le varianti dell' list elemento vengono dettate dagli attributi.Variations of the list element are dictated by attributes. Questi attributi vengono ignorati dal runtime di Policy Manager.These attributes are ignored by the Policy Manager runtime. Si prevede che il server MDM gestisca le coppie nome/valore.It is expected that the MDM server manages the name/value pairs. Vedere di seguito per una semplice scrittura dell'elenco dei criteri di gruppo.See below for a simple write up of Group Policy List.

File ADMX: Inetres. admxADMX file: inetres.admx

<policy name="SecondaryHomePages" class="Both" displayName="$(string.SecondaryHomePages)" explainText="$(string.IE_ExplainSecondaryHomePages)" presentation="$(presentation.SecondaryHomePages)" key="Software\Policies\Microsoft\Internet Explorer\Main\SecondaryStartPages">
  <parentCategory ref="InternetExplorer" />
  <supportedOn ref="SUPPORTED_IE8" />
  <elements>
    <list id="SecondaryHomePagesList" additive="true" />
  </elements>
</policy>

SyncML corrispondente:Corresponding SyncML:

<SyncML xmlns="SYNCML:SYNCML1.2">
  <SyncBody>
    <Replace>
      <CmdID>2</CmdID>
      <Item>
        <Meta>
          <Format>chr</Format>
          <Type>text/plain</Type>
        </Meta>
        <Target>
          <LocURI>./User/Vendor/MSFT/Policy/Config/InternetExplorer/DisableSecondaryHomePageChange</LocURI>
        </Target>
        <Data><![CDATA[<Enabled/><Data id="SecondaryHomePagesList" value="http://name1&#xF000;http://name1&#xF000;http://name2&#xF000;http://name2"/>]]></Data>
      </Item>
    </Replace>
    <Final/>
  </SyncBody>
</SyncML>

Nessun elementoNo Elements

<policy name="NoUpdateCheck" class="Machine" displayName="$(string.NoUpdateCheck)" explainText="$(string.IE_ExplainNoUpdateCheck)" key="Software\Policies\Microsoft\Internet Explorer\Infodelivery\Restrictions" valueName="NoUpdateCheck">
  <parentCategory ref="InternetExplorer" />
  <supportedOn ref="SUPPORTED_IE5_6" />
</policy>

SyncML corrispondente:Corresponding SyncML:

<SyncML xmlns="SYNCML:SYNCML1.2">
  <SyncBody>
    <Replace>
      <CmdID>2</CmdID>
      <Item>
        <Meta>
          <Format>chr</Format>
          <Type>text/plain</Type>
        </Meta>
        <Target>
          <LocURI>./Device/Vendor/MSFT/Policy/Config/InternetExplorer/DisableUpdateCheck</LocURI>
        </Target>
        <Data><![CDATA[<Enabled/>]]></Data>
      </Item>
    </Replace>
    <Final/>
  </SyncBody>
</SyncML>

EnumEnum

<policy name="EncryptionMethodWithXts_Name" class="Machine" displayName="$(string.EncryptionMethodWithXts_Name)" explainText="$(string.EncryptionMethodWithXts_Help)" presentation="$(presentation.EncryptionMethodWithXts_Name)" key="SOFTWARE\Policies\Microsoft\FVE">
    <parentCategory ref="FVECategory" />
    <!--Bug OS:4242178 -->
    <supportedOn ref="windows:SUPPORTED_Windows_10_0" />
    <elements>
        <enum id="EncryptionMethodWithXtsOsDropDown_Name" valueName="EncryptionMethodWithXtsOs" required="true">
            <item displayName="$(string.EncryptionMethodDropDown_AES128_Name2)">
                <value>
                    <decimal value="3" />
                </value>
            </item>
            <item displayName="$(string.EncryptionMethodDropDown_AES256_Name2)">
                <value>
                    <decimal value="4" />
                </value>
            </item>
            <item displayName="$(string.EncryptionMethodDropDown_XTS_AES128_Name)">
                <value>
                    <decimal value="6" />
                </value>
            </item>
            <item displayName="$(string.EncryptionMethodDropDown_XTS_AES256_Name)">
                <value>
                    <decimal value="7" />
                </value>
            </item>
        </enum>
   </elements>
</policy>

SyncML corrispondente:Corresponding SyncML:

<SyncML xmlns="SYNCML:SYNCML1.2">
  <SyncBody>
    <Replace>
      <CmdID>2</CmdID>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/Policy/Config/BitLocker/EncryptionMethodByDriveType</LocURI>
        </Target>
        <Data>
          <![CDATA[<enabled/>
          <data id="EncryptionMethodWithXtsOsDropDown_Name" value="4"/>]]>
        </Data>
      </Item>
    </Replace>
    <Final/>
  </SyncBody>
</SyncML>

Elemento decimalDecimal Element

<policy name="Streaming_Reestablishment_Interval" class="Machine" displayName="$(string.Streaming_Reestablishment_Interval)" 
            explainText="$(string.Streaming_Reestablishment_Interval_Help)"
            presentation="$(presentation.Streaming_Reestablishment_Interval)"
            key="SOFTWARE\Policies\Microsoft\AppV\Client\Streaming">
    <parentCategory ref="CAT_Streaming" />
    <supportedOn ref="windows:SUPPORTED_Windows7" />
    <elements>
        <decimal id="Streaming_Reestablishment_Interval_Prompt" valueName="ReestablishmentInterval" minValue="0" maxValue="3600"/>
    </elements>
</policy>

SyncML corrispondente:Corresponding SyncML:

<SyncML xmlns="SYNCML:SYNCML1.2">
  <SyncBody>
    <Replace>
      <CmdID>2</CmdID>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/Policy/Config/AppVirtualization/StreamingAllowReestablishmentInterval</LocURI>
        </Target>
        <Data>
          <![CDATA[<enabled/>
          <data id="Streaming_Reestablishment_Interval_Prompt" value="4"/>]]>
        </Data>
      </Item>
    </Replace>
    <Final/>
  </SyncBody>
</SyncML>

Elemento BooleanBoolean Element

<policy name="DeviceInstall_Classes_Deny" class="Machine" displayName="$(string.DeviceInstall_Classes_Deny)" explainText="$(string.DeviceInstall_Classes_Deny_Help)" presentation="$(presentation.DeviceInstall_Classes_Deny)" key="Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions" valueName="DenyDeviceClasses">
    <parentCategory ref="DeviceInstall_Restrictions_Category" />
    <supportedOn ref="windows:SUPPORTED_WindowsVista" />
    <enabledValue>
    <decimal value="1" />
    </enabledValue>
    <disabledValue>
    <decimal value="0" />
    </disabledValue>
    <elements>
        <list id="DeviceInstall_Classes_Deny_List" key="Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions\DenyDeviceClasses" valuePrefix="" />
        <boolean id="DeviceInstall_Classes_Deny_Retroactive" valueName="DenyDeviceClassesRetroactive" >
            <trueValue>
                <decimal value="1" />
            </trueValue>
            <falseValue>
                <decimal value="0" />
            </falseValue>
        </boolean>
    </elements>
</policy>

SyncML corrispondente:Corresponding SyncML:

<?xml version="1.0" encoding="utf-8"?>
<SyncML xmlns="SYNCML:SYNCML1.2">
  <SyncBody>
    <Replace>
      <CmdID>2</CmdID>
      <Item>
        <Meta>
          <Format>chr</Format>
          <Type>text/plain</Type>
        </Meta>
        <Target>
          <LocURI>./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceSetupClasses</LocURI>
        </Target>
        <Data>
          <![CDATA[<enabled/><data id="DeviceInstall_Classes_Deny_Retroactive" value="true"/>
          <Data id="DeviceInstall_Classes_Deny_List" value="1&#xF000;deviceId1&#xF000;2&#xF000;deviceId2"/>]]>
        </Data>
      </Item>
    </Replace>
    <Final/>
  </SyncBody>
</SyncML>