Настройка параметров групповой политики в Microsoft Intune с помощью шаблонов Windows 10/11

Административные шаблоны в Microsoft Intune содержат тысячи параметров для управления функциями в Microsoft Edge 77 и более поздних версий, Internet Explorer, Google Chrome и в приложениях Microsoft Office, для управления функциями удаленного рабочего стола, доступом к OneDrive, паролями, ПИН-кодами и многим другим. Эти параметры позволяют администраторам создавать групповые политики с помощью облака.

Данная функция применяется к:

• Windows 11
• Windows 10

Шаблоны Intune на 100% облачные, встроены в Intune (без скачивания) и не требуют настройки, в том числе с помощью OMA-URI. Это простой способ настройки и поиска нужных параметров:

• Параметры Windows похожи на параметры групповой политики (GPO) в локальная служба Active Directory (AD). Эти параметры встроены в Windows и являются параметрами с поддержкой ADMX, которые используют XML.

• Параметры Office, Microsoft Edge и Visual Studio включены в ADMX и используют те же файлы административных шаблонов, которые вы скачиваете в локальных средах.

• Вы можете импортировать пользовательские и сторонние файлы ADMX и ADML. Дополнительные сведения, включая инструкции, см. в статье Импорт пользовательских или партнерских ADMX-файлов.

При управлении устройствами в вашей организации вам стоит создать группы параметров, которые применяются к различным группам устройств. Также можно настроить простое представление параметров. Можно выполнить этот задачу, используя административные шаблоны в Microsoft Intune.

В рамках решения для управления мобильными устройствами (MDM) используйте параметры этих шаблонов в качестве универсальной платформы для управления клиентскими устройствами Windows.

В этой статье описаны шаги по созданию шаблона для клиентских устройств Windows и показано, как отфильтровать все доступные параметры в Intune. При создании шаблона создается профиль конфигурации устройства. Затем этот профиль можно назначить или развернуть для клиентских устройств Windows в организации.

Прежде чем начать

• Некоторые из этих параметров доступны, начиная с Windows 10, версия 1709 (RS2 / сборка 15063). Не все параметры доступны во всех выпусках Windows. Для оптимальной работы мы рекомендуем использовать Windows 10 Корпоративная версии 1903 (19H1/сборка 18362) и более поздних версий.

• Параметры Windows используют поставщиков службы конфигурации политики Windows. Поставщики CSP работают в разных выпусках Windows, таких как Домашняя, Pro, Корпоративная и т. д. Чтобы узнать, работает ли поставщик CSP в определенном выпуске, см. статью о поставщиках CSP политики Windows.

• Административный шаблон можно создать одним из двух способов: с помощью шаблона или с помощью каталога параметров. В этой статье рассматривается использование шаблона Административные шаблоны. Каталог параметров содержит больше доступных параметров административного шаблона.

  Инструкции по использованию каталога параметров и использование Microsoft Copilot в каталоге параметров см. в разделе Настройка параметров с помощью каталога параметров.

• Шаблоны ADMX используют следующие источники:

  • Сервер терминала Виртуального рабочего стола Azure: административный шаблон для Виртуального рабочего стола Azure
  • FSLogix: FSLogix групповая политика файлы шаблонов для FSLogix
  • Google Chrome: список политик Chrome Enterprise
  • Приложения Microsoft 365 и Office: Приложения Microsoft 365, Office 2019 и Office 2016
  • Microsoft Edge: файл политики Microsoft Edge
  • OneDrive: политики OneDrive для управления параметрами синхронизации — список политик
  • Visual Studio: административные шаблоны Visual Studio (ADMX)
  • Windows: встроенная в клиентская ОС Windows.
  • подсистема Windows для Linux: подсистема Windows для Linux

Создание шаблона

1. Войдите в Центр администрирования Microsoft Intune.

2. ВыберитеКонфигурация>устройств>Создать.

3. Укажите следующие свойства:

   • Платформа: выберите Windows 10 и более поздних версий.
   • Тип профиля. Чтобы использовать логическую группировку параметров, выберите Шаблоны>Административные шаблоны. Чтобы просмотреть все параметры, выберите Каталог параметров.

4. Нажмите Создать.

5. В разделе Основные укажите следующие свойства.

   • Имя. Введите описательное имя для профиля. Назначьте имена профилям, чтобы позже их можно было легко найти. Например, хорошим именем для профиля является ADMX: административный шаблон для Windows 10/11, настраивающий параметры xyz в Microsoft Edge.
   • Описание: введите описание профиля. Этот необязательный параметр, но мы рекомендуем его использовать.

6. Нажмите кнопку Далее.

7. В разделе Параметры конфигурации выберите Все параметры, чтобы отобразить параметры в алфавитном порядке. Или настройте параметры, которые применяются к устройствам (Конфигурация компьютера) и пользователям (Конфигурация пользователя).

   

   Примечание.

   Если вы используете Каталог параметров, выберите Добавить параметры и разверните узел Административные шаблоны. Выберите любой параметр, чтобы увидеть, что можно настроить.

   

   Дополнительные сведения о создании политик с помощью каталога параметров см. в разделе Использование каталога параметров для настройки параметров.

8. При выборе элемента Все параметры отображается каждый параметр. Прокрутите вниз, чтобы просмотреть другие параметры с помощью стрелок "Назад" и "Далее".

   

9. Выберите любой параметр. Например, отфильтруйте параметры, выбрав Office в раскрывающемся меню, и щелкните Перейти в режим ограниченного просмотра. Появится подробное описание параметра. Задайте значение Включено, Отключено или Не настроено (задано по умолчанию). Также предоставляется подробное описание того, что происходит при выборе значений Включено, Отключено или Не настроено.

   Совет

   Параметры Windows в Intune сопоставляются с путем локальной групповой политики, который отображается в редакторе локальных групповых политик (gpedit).

10. При выборе элемента Конфигурация компьютера или Конфигурация пользователя отображаются категории параметров. Выбрав любую категорию, можно просмотреть доступные параметры.

    Например, выберите Конфигурация компьютера>Компоненты Windows>Internet Explorer, чтобы просмотреть все параметры устройств, применяемые к Internet Explorer.

    

11. Нажмите OK, чтобы сохранить изменения.

    Продвигайтесь через список параметров и настройте параметры, которые требуются в вашей среде. Ниже приводятся примеры:

    • Используйте параметры уведомлений макросов VBA, чтобы обрабатывать макросы VBA в разных программах Microsoft Office, включая Word и Excel.
    • Используйте параметр Разрешить скачивание файлов, чтобы разрешить или запретить скачивание в Internet Explorer.
    • Используйте параметр Требовать пароль при выходе из спящего режима (питание от сети), чтобы запрашивать у пользователей пароль при выходе устройств из спящего режима.
    • Используйте параметр Скачивать неподписанные элементы управления ActiveX, чтобы запретить пользователям скачивать неподписанные элементы управления ActiveX в Internet Explorer.
    • Используйте параметр Отключить восстановление системы, чтобы разрешить или запретить пользователям запускать восстановление системы на устройстве.
    • Используйте параметр Разрешить импорт из избранного, чтобы разрешить или запретить пользователям импортировать избранное из другого браузера в Microsoft Edge.
    • И многое другое...

12. Нажмите кнопку Далее.

13. В поле Теги области (необязательно) назначьте тег для фильтрации профиля по конкретным ИТ-группам, например US-NC IT Team или JohnGlenn_ITDepartment. Дополнительные сведения о тегах область см. в статье Использование управления доступом на основе ролей (RBAC) и область тегов для распределенной ИТ-службы.

    Нажмите кнопку Далее.

14. В разделе Назначения выберите пользователей или группы, которые будут принимать ваш профиль. Дополнительные сведения о назначении профилей см. в статье Назначение профилей пользователей и устройств в Intune.

    Если профиль назначен группам пользователей, настроенные параметры ADMX применяются к любому устройству, которое регистрирует пользователь и на которое он входит. Если профиль назначен группам устройств, настроенные параметры ADMX применяются к любому пользователю, который входит на устройство. Назначение происходит, если параметр ADMX является конфигурацией компьютера (HKEY_LOCAL_MACHINE) или конфигурацией пользователя (HKEY_CURRENT_USER). При использовании некоторых параметров параметр компьютера, назначенный пользователю, также может повлиять на работу других пользователей на этом устройстве.

    Дополнительные сведения см. в разделе Группы пользователей и группы устройств при назначении политик.

    Нажмите кнопку Далее.

15. Проверьте параметры в окне Проверка и создание. При выборе Создать внесенные изменения сохраняются и назначается профиль. Политика также отображается в списке профилей.

В следующий раз, когда устройство будет проверять наличие обновлений конфигурации, будут применены настроенные параметры.

Поиск параметров

В этих шаблонах доступны тысячи параметров. Чтобы упростить поиск параметров, используйте встроенные функции:

• В шаблоне выберите столбцы Параметры, Состояние, Тип параметра или Путь для сортировки списка. Например, выберите столбец Путь и щелкните стрелку "Далее", чтобы просмотреть параметры в пути Microsoft Excel.

• В шаблоне используйте поле поиска, чтобы найти определенные параметры. Поиск можно выполнять по параметру или пути. Например, выберите Все параметры и выполните поиск по слову copy. Отображаются все параметры с copy:

  

  Например, используйте поиск по фразе microsoft word. Появятся параметры, которые можно задать в программе Microsoft Word. Используйте поисковый запрос explorer для просмотра параметров Internet Explorer, которые можно добавить в шаблон.

• Можно также сузить поиск, выбрав только Конфигурация компьютера или Конфигурация пользователя.

  Например, чтобы просмотреть все доступные параметры Обозреватель пользователей в Интернете, выберите Конфигурация пользователя и выполните поиск по запросу Internet Explorer. Отображаются только параметры Internet Explorer, относящиеся к пользователям.

  

Создайте политику отката известных проблем (KIR)

На зарегистрированных устройствах для создания политики отката известных проблем (KIR) и развертывания этой политики на устройствах с Windows можно использовать административные шаблоны. Конкретные действия можно найти в разделе Развертывание активации KIR с помощью приема политик Microsoft Intune ADMX для управляемых устройств.

Дополнительные сведения о KIR и о том, что это такое, можно найти в:

• Откат известной проблемы: помощь в обеспечении защиты и производительности устройств Windows
• Использование групповой политики или Intune для развертывания отката известной проблемы

Дальнейшие действия

• Шаблон создан, но, возможно, еще ничего не выполняется. Назначьте шаблон (также называемый профилем) и отслеживайте состояние политики.

• Обновите Office с помощью административных шаблонов.

• Ограничьте USB-устройства с помощью административных шаблонов.

• Создайте политику Microsoft Edge с помощью ADMX.

• Импорт пользовательских или партнерских ADMX-файлов.

• Учебник. Настройка групповой политики с помощью облака на клиентских устройствах Windows с шаблонами ADMX и Microsoft Intune