Создание профиля устройства в Microsoft Intune

Профили устройств позволяют добавлять и настраивать параметры, а затем отправлять эти параметры на устройства в вашей организации. При создании политик можно воспользоваться одним из следующих вариантов.

• Административные шаблоны. На устройствах с Windows 10/11 эти шаблоны являются параметрами ADMX, которые вы настраиваете. Если вы знакомы с политиками ADMX или объектами групповой политики ( GPO), то использование административных шаблонов является естественным шагом для Microsoft Intune.

  Дополнительные сведения см. в статье об административных шаблонах

• Базовые показатели. На устройствах с Windows 10/11 эти базовые показатели включают предварительно настроенные параметры безопасности. Если вы хотите создать политику безопасности с использованием рекомендаций, предоставляемых группами безопасности Майкрософт, вам потребуются базовые показатели безопасности.

  Дополнительные сведения см. в статье о базовых показателях системы безопасности.

• Каталог параметров. На устройствах с Windows 10/11 используйте каталог параметров, чтобы просмотреть все доступные параметры и в одном месте. Например, вы можете просмотреть все параметры, которые применяются к BitLocker, и создать политику, ориентированную исключительно на BitLocker. На устройствах macOS каталог параметров используется для настройки параметров браузера Microsoft Edge версии 77.

  Дополнительные сведения см. в разделе Каталог параметров.

  В macOS для выполнения перечисленных ниже действий следует, как и прежде, использовать файл настроек.

  • Настройка более ранних версий Microsoft Edge
  • Настройка параметров браузера Microsoft Edge, отсутствующих в каталоге параметров

• Шаблоны: на устройствах с Android, iOS/iPadOS, macOS и Windows в шаблонах предусмотрено логическое группирование параметров, которые используются для настройки какой-либо функции или концепции, например VPN, электронной почты, устройств киоска и многого другого. Если вы знакомы с созданием политик конфигурации устройств в Microsoft Intune, вы уже используете эти шаблоны.

  Дополнительные сведения, в том числе о доступных шаблонах, см. в статье Применение параметров функций на устройствах с помощью профилей устройств.

В этой статье:

• Перечислены шаги по созданию профиля.
• Показано, как добавить тег области для "фильтрации" политик.
• Описывает правила применимости на клиентских устройствах с Windows и показывает, как создать правило.
• Дополнительные сведения о времени цикла обновления проверка, когда устройства получают профили и любые обновления профилей.

Создание профиля

Профили создаются в Центре администрирования Microsoft Intune. В центре администрирования выберите Устройства. Возможны следующие варианты:

• Обзор: отображение дополнительных сведений о профилях, назначенных пользователям и устройствам, а также их состояния.
• Монитор: проверка состояния профилей (успех или ошибка) и просмотр журналов для профилей.
• По платформе: создание и просмотр политик и профилей по платформе. В этом представлении также могут отображаться функции, относящиеся к платформе. Например, выберите Windows. Вы увидите функции Windows, такие как Круги Центра обновления Windows и Сценарии PowerShell.
• Управление устройствами. Создание профилей устройств, отправка пользовательских скриптов PowerShell для запуска на устройствах и добавление планов данных на устройства с помощью eSIM.

При создании профиля (создание конфигурации>) выберите свою платформу:

• Администратор устройств Android
• Android Enterprise
• iOS/iPadOS
• macOS
• Windows 10 и более поздние версии
• Windows 8.1 и более поздние версии

Затем выберите профиль. Доступные для настройки параметры различаются в зависимости от выбранной платформы. Различные профили описаны в следующих статьях:

• Административные шаблоны (Windows)
• Конфигурация BIOS и другие параметры
• Custom
• Оптимизация доставки (Windows)
• Производные учетные данные (Android Enterprise, iOS, iPadOS)
• Функции устройства (macOS, iOS, iPadOS)
• Интерфейс конфигурации встроенного ПО устройства (DFCI) (Windows)
• Ограничения для устройств
• Присоединение к домену (Windows)
• Обновление выпуска и переключение режима (Windows)
• Образование (iOS, iPadOS)
• Электронная почта
• Защита конечных точек (macOS, Windows)
• Расширения (macOS)
• Защита идентификации (Windows)
• Киоск
• Microsoft Defender для конечной точки (Windows)
• Профиль расширений для мобильности (MX) (администратор устройств Android)
• Граница сети (Windows)
• OEMConfig (Android Enterprise)
• Сертификат стандартов шифрования с открытым ключом
• Импортированный сертификат стандартов шифрования с открытым ключом
• Файл настроек (macOS)
• Сертификат SCEP
• Оценка безопасности (образование) (Windows)
• Общее устройство с несколькими пользователями (Windows)
• Надежный сертификат
• VPN
• Wi-Fi
• Наблюдение за работоспособностью Windows
• Проводные сети (macOS)

Например, если вы выберете iOS/iPadOS в качестве платформы, параметры будут выглядеть следующим образом.

Если вы выберете Windows 10 и более новых версий в качестве платформы, параметры будут выглядеть следующим образом.

Теги области

После добавления параметров можно также добавить тег области к профилю. Теги области отфильтровывают профили для отдельных ИТ-групп, таких как US-NC IT Team или JohnGlenn_ITDepartment. И используются в распределенных ИТ-системах.

Дополнительные сведения о тегах области см. в статье Использование управления доступом на основе ролей (RBAC) и тегов области для распределенной ИТ-разработки.

Правила применимости

Применимо к:

• Windows 11
• Windows 10

Правила применимости позволяют администраторам назначать целевыми устройствами те, которые находятся в группе, соответствующей определенным критериям. Например, вы создаете профиль ограничений устройств, который применяется к группе Все устройства Windows 10/11. Кроме того, следует назначать профиль только устройствам, работающим под управлением Windows Enterprise.

Чтобы выполнить эту задачу, создайте правило применимости. Эти правила полезны в следующих случаях:

• Вы используете Windows 10 для образовательных учреждений (EDU). В Bellows College вы хотите выбрать все устройства с Windows 10 EDU между RS3 и RS4.
• Вы хотите выбрать всех пользователей в отделе кадров компании Contoso, но вам нужны только пользователи устройств с Windows 10 Профессиональная или Windows 10 Корпоративная.

Для реализации этих сценариев:

• Создайте группу устройств, которая включает все устройства в Bellows College. В профиле добавьте правило применимости, которое применяется, если минимальная версия ОС — 16299, а максимальная версия — 17134. Назначьте этот профиль для группы устройств Bellows College.

  При назначении профиль применяется к устройствам с версией, находящейся между минимальной и максимальной версиями. Состояние устройств, которые не находятся между минимальной и максимальной версиями, отображается как Неприменимо.

• Создайте группу пользователей, включающую всех пользователей в отделе кадров Contoso. В профиле добавьте правило применимости, которое применяется к устройствам с Windows 10 Профессиональная или Windows 10 Корпоративная. Назначьте этот профиль группе пользователей отдела кадров.

  При назначении профиль применяется к устройствам с Windows 10 Профессиональная или Windows 10 Корпоративная. Состояние устройств с другими выпусками отображается как Неприменимо.

• При наличии двух профилей с одинаковыми параметрами применяется профиль без правила применимости.

  Например, ProfileA предназначен для группы устройств с Windows 10, включает в себя BitLocker и не имеет правила применимости. ProfileB предназначен для той же группы устройств с Windows 10, включает в себя BitLocker и имеет правило применимости с профилем только для Windows 10 Корпоративная.

  При назначении обоих профилей применяется ProfileA, так как у него нет правила применимости.

При назначении профиля группам правила применимости действуют как фильтры и предназначены только для устройств, соответствующих установленным критериям.

Добавление правила

1. В политике выберите Правила применимости. Можно выбрать Правило и Свойство.

   

2. В поле Правило выберите, следует ли включать или исключать пользователей или группы. Доступны следующие параметры:

   • Назначить профиль, если: включает пользователей или группы, соответствующие введенным условиям.
   • Не назначать профиль, если: исключает пользователей или группы, соответствующие введенным условиям.

3. В поле Свойство выберите фильтр. Доступны следующие параметры:

   • Выпуск ОС. В списке отметьте выпуски клиента Windows, которые вы хотите включить в правило или исключить из него.

   • Версия ОС. Введите минимальное и максимальное значение номера версии клиента Windows, которые вы хотите включить в правило или исключить из него. Оба значения являются обязательными.

     Например, можно ввести 10.0.16299.0 (RS3 или 1709) для минимальной версии и 10.0.17134.0 (RS4 или 1803) для максимальной версии. Можно также указать конкретные значения: 10.0.16299.001 для минимальной версии и 10.0.17134.319 для максимальной версии.

     Больше номеров версий см. в сведениях о выпуске клиента Windows.

4. Нажмите кнопку Добавить, чтобы сохранить изменения.

Время цикла обновления политики

Intune использует разные циклы обновления для проверки наличия обновлений в профилях конфигурации. Если устройство зарегистрировано недавно, проверка выполняется чаще. Циклы обновления политики и профиля содержат оценочное время обновления.

Пользователи могут в любое время открыть приложение Корпоративного портала и синхронизировать устройство, чтобы моментально проверить обновления профиля.

Рекомендации

При создании профилей учитывайте следующие рекомендации:

• Назовите свои политики, чтобы знать, что они собой представляют и что они делают. Все политики соответствия и профили конфигурации имеют необязательное свойство — Описание. В свойстве Описание необходимо добавить нужные сведения, чтобы другие пользователи знали, что выполняет эта политика.

  Ниже приведены некоторые примеры профилей конфигурации.

  Имя профиля: административный шаблон — профиль конфигурации OneDrive для всех пользователей Windows 10
  Описание профиля: профиль административного шаблона OneDrive, который содержит минимальные и базовые параметры для всех пользователей Windows 10. Создано , user@contoso.com чтобы запретить пользователям совместное использование данных организации с личными учетными записями OneDrive.

  Имя профиля: профиль VPN для всех пользователей iOS/iPadOS
  Описание профиля: профиль VPN, который содержит минимальные и базовые параметры для подключения к VPN Contoso для всех пользователей iOS/iPadOS. Создано таким образом user@contoso.com , что пользователи автоматически проходят проверку подлинности в VPN, а не запрашивают у пользователей имя пользователя и пароль.

• Создайте профиль для конкретной задачи, например настройка параметров Microsoft Edge, включение параметров антивирусной защиты Microsoft Defender, блокировка взломанных устройств iOS/iPadOS и т. д.

• Создайте профили, которые применяются к определенным группам, таким как "Маркетинг", "Продажи", "ИТ-администраторы", либо профили по расположению или учебной системе.

• Разделяйте политики пользователей и политики устройств.

  Например, административные шаблоны в Intune имеют тысячи параметров ADMX. В этом шаблоне показано, применяются ли параметры к пользователям или устройствам. При создании административных шаблонов назначьте параметры пользователей группе пользователей, а параметры устройств — группе устройств.

  На следующем рисунке показан пример параметра, который может применяться к пользователям, устройствам или и к тем, и к другим.

  

• Каждый раз при создании ограничительной политики вам потребуется донести ее смысл до пользователей. Например, если вы изменяете требование к секретному коду с четырех (4) на шесть (6) символов, сообщите пользователям об этом до назначения политики.

Дальнейшие действия

Назначьте профиль и отслеживайте его состояние.