使用 Windows 10/11 模板配置 Microsoft Intune 中的组策略设置
Microsoft Intune 中的管理模板包括数千个可以控制版本 Microsoft Edge 版本 77 及更高版本、Internet Explorer、Google Chrome、Microsoft Office 程序、远程桌面、OneDrive、密码、PIN 等功能的设置。 这些设置允许管理员使用云创建组策略。
此功能适用于:
- Windows 11
- Windows 10
Intune 模板基于 100% 云,内置于 Intune(不下载),不需要任何自定义项,包括使用 OMA-URI。 它们提供了直接的方法来配置设置,并能找到你所需的设置:
Windows 设置类似于本地 Active Directory (AD) 中的组策略 (GPO) 设置。 这些设置内置于 Windows 中,是使用 XML 的支持 ADMX 的设置。
Office、Microsoft Edge 和 Visual Studio 设置是 ADMX 引入的,并使用在本地环境中下载的相同管理模板文件。
可以导入自定义和第三方 ADMX 和 ADML 文件。 有关详细信息(包括步骤),请转到 导入自定义或合作伙伴 ADMX 文件。
管理组织中的设备时,你希望创建几组应用于不同设备组的设置。 此外,还需要可配置设置的简单视图。 可以使用 Microsoft Intune 中的“管理模板”完成此任务。
作为移动设备管理(MDM)解决方案的一部分,使用这些模板设置作为管理 Windows 客户端设备的一站式服务。
本文列出了为 Windows 客户端设备创建模板的步骤,并演示了如何在 Intune 中筛选所有可用设置。 创建模板时,模板会创建设备配置配置文件。 然后,你可以将此配置文件分配或部署到组织中的 Windows 客户端设备。
准备工作
其中一些设置从 Windows 10 版本 1709(RS2/内部版本 15063)开始提供。 所有 Windows 版本中均不包含某些设置。 为了获得最佳体验,我们建议使用 Windows 10 企业版 版本 1903 (19H1/内部版本 18362) 及更新版本。
Windows 设置使用 Windows 策略 CSP。 CSP 适用于不同版本的 Windows,例如家庭版、专业版和企业版等。 要查看 CSP 是否适用于特定版本,请转到 Windows 策略 CSP。
可以通过两种方法创建管理模板:使用模板或使用“设置目录”。 本文重点介绍如何使用“管理模板”模板。 “设置目录”提供了更多“管理模板”设置。
有关使用设置目录的具体步骤,以及如何在设置目录中使用 Microsoft Copilot,请转到 使用设置目录配置设置。
ADMX 模板使用以下源:
- Azure 虚拟桌面终端服务器: Azure 虚拟桌面的管理模板
- FSLogix:FSLogix 组策略 FSLogix 的模板文件
- Google Chrome: Chrome Enterprise 策略列表
- Microsoft 365 应用和 Office:Microsoft 365 应用版、Office 2019 和 Office 2016
- Microsoft Edge: Microsoft Edge 策略文件
- OneDrive: 用于控制同步设置的 OneDrive 策略 - 策略列表
- Visual Studio: Visual Studio 管理模板 (ADMX)
- Windows:内置于 Windows 客户端 OS。
- 适用于 Linux 的 Windows 子系统:适用于 Linux 的 Windows 子系统
创建模板
选择“ 设备>配置>创建”。
输入以下属性:
- 平台:选择“Windows 10 及更高版本”。
- 配置文件类型:若要使用设置的逻辑分组,请选择 “模板>管理模板”。 若要查看所有设置,请选择“设置目录”。
选择“创建”。
在“基本信息”中,输入以下属性:
- 名称:输入配置文件的描述性名称。 为配置文件命名,以便稍后可以轻松地识别它们。 例如,一个好的配置文件名称为 ADMX:在 Microsoft Edge 中配置 xyz 设置的 Windows 10/11 管理模板。
- 说明:输入配置文件的说明。 此设置是可选的,但建议进行。
选择 下一步。
在“配置设置”中,选择“所有设置”,查看所有设置按字母顺序排序的列表。 或者,配置适用于设备的设置(“计算机配置”)和适用于用户的设置(“用户配置”):
选择“所有设置”时,将列出所有设置。 向下滚动以使用上一个和下一个箭头查看更多设置:
选择任意设置。 例如,在 Office 上筛选,然后选择“激活受限浏览”。 列出设置的详细描述。 选择“启用”、“禁用”或将设置保留为“未配置”(默认)。 详细说明还会介绍选择“启用”、“禁用”或“未配置”时发生的情况。
提示
Intune 中的 Windows 设置与在本地组策略编辑器 (
gpedit
) 中看到的本地组策略路径相关联。选择“计算机配置”或“用户配置”时,将显示设置类别。 可以选择任何类别查看可用的设置。
例如,依次选择“计算机配置”>“Windows 组件”>“Internet Explorer”即可查看适用于 Internet Explorer 的所有设备设置:
选择“确定”,保存所做更改。
继续浏览设置列表,并在环境中配置所需设置。 下面是一些示例:
- 使用“VBA 宏通知设置”设置,在不同的 Microsoft Office 程序(包括 Word 和 Excel)中处理 VBA 宏。
- 使用“允许文件下载”设置,允许或阻止从 Internet Explorer 下载。
- 使用“唤醒计算机时需要密码(接通电源)”,在从睡眠模式唤醒设备时提示用户输入密码。
- 使用“下载未签名的 ActiveX 控件”设置,阻止用户从 Internet Explorer 下载未签名的 ActiveX 控件。
- 使用“关闭系统还原”设置,许可或阻止用户在设备上运行系统还原。
- 使用“允许导入收藏夹”设置,允许或阻止用户将另一个浏览器中的收藏夹导入 Microsoft Edge。
- 等等...
选择 下一步。
在“作用域标记”(可选)中,分配一个标记以将配置文件筛选到特定 IT 组(如
US-NC IT Team
或JohnGlenn_ITDepartment
)。 有关范围标记的详细信息,请转到 使用基于角色的访问控制 (分布式 IT 的 RBAC) 和范围标记。选择 下一步。
在“分配”中,选择将接收配置文件的用户或组。 有关分配配置文件的详细信息,请转到在 Intune 中分配用户和设备配置文件。
如果将配置文件分配给用户组,则配置的 ADMX 设置将应用于用户注册和登录的任何设备。 如果将配置文件分配给设备组,则配置的 ADMX 设置将应用于登录该设备的任何用户。 如果 ADMX 设置是计算机配置 (
HKEY_LOCAL_MACHINE
) 或用户配置 (HKEY_CURRENT_USER
),则会发生此分配。 对于某些设置,分配给用户的计算机设置也会影响其他用户在该设备上的体验。有关详细信息,请在 分配策略时转到用户组与设备组。
选择 下一步。
在“查看并创建”中查看设置。 选择“创建”时,将保存所做的更改并分配配置文件。 该策略也会显示在配置文件列表中。
下次设备检查配置更新时,将应用你配置的设置。
查找某些设置
这些模板提供数千个设置。 为了更容易查找特定设置,请使用内置功能:
在模板中,选择“设置”、“状态”、“设置类型”或“路径”列,对列表进行排序。 例如,选择“路径”列,然后使用下一个箭头查看
Microsoft Excel
路径中的设置。在模板中,请使用“搜索”框查找特定设置。 可以通过设置或路径进行搜索。 例如,选择“所有设置”,然后搜索
copy
。 具有copy
的所有设置均会显示:在另一个示例中,搜索
microsoft word
。 随即便可看到可以为 Microsoft Word 程序设置的设置。 搜索explorer
查看可以添加到模板的 Internet Explorer 设置。还可以通过仅选择“计算机配置”或“用户配置”来缩小搜索范围。
例如,若要查看所有可用的 Internet Explorer 用户设置,请选择“ 用户配置”,然后搜索
Internet Explorer
。 仅显示适用于用户的 IE 设置:
创建已知问题回滚 (KIR) 策略
在已注册的设备上,可以使用管理模板创建已知问题回滚 (KIR) 策略,并将此策略部署到 Windows 设备。 有关具体步骤,请转到 使用 MICROSOFT INTUNE ADMX 策略引入将 KIR 激活部署到托管设备。
有关 KIR 及其内容的详细信息,请转到:
后续步骤
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈