使用 Windows 10/11 模板配置 Microsoft Intune 中的组策略设置

  • 项目

Microsoft Intune 中的管理模板包括数千个可以控制版本 Microsoft Edge 版本 77 及更高版本、Internet Explorer、Google Chrome、Microsoft Office 程序、远程桌面、OneDrive、密码、PIN 等功能的设置。 这些设置允许管理员使用云创建组策略。

此功能适用于:

  • Windows 11
  • Windows 10

Intune 模板基于 100% 云,内置于 Intune(不下载),不需要任何自定义项,包括使用 OMA-URI。 它们提供了直接的方法来配置设置,并能找到你所需的设置:

  • Windows 设置类似于本地 Active Directory (AD) 中的组策略 (GPO) 设置。 这些设置内置于 Windows 中,是使用 XML 的支持 ADMX 的设置

  • Office、Microsoft Edge 和 Visual Studio 设置是 ADMX 引入的,并使用在本地环境中下载的相同管理模板文件。

  • 可以导入自定义和第三方 ADMX 和 ADML 文件。 有关详细信息(包括步骤),请转到 导入自定义或合作伙伴 ADMX 文件

管理组织中的设备时,你希望创建几组应用于不同设备组的设置。 此外,还需要可配置设置的简单视图。 可以使用 Microsoft Intune 中的“管理模板”完成此任务。

作为移动设备管理(MDM)解决方案的一部分,使用这些模板设置作为管理 Windows 客户端设备的一站式服务。

本文列出了为 Windows 客户端设备创建模板的步骤,并演示了如何在 Intune 中筛选所有可用设置。 创建模板时,模板会创建设备配置配置文件。 然后,你可以将此配置文件分配或部署到组织中的 Windows 客户端设备。

准备工作

创建模板

  1. 登录到Microsoft Intune管理中心

  2. 选择“ 设备>配置>创建”。

  3. 输入以下属性:

    • 平台:选择“Windows 10 及更高版本”。
    • 配置文件类型:若要使用设置的逻辑分组,请选择 “模板>管理模板”。 若要查看所有设置,请选择“设置目录”

  4. 选择“创建”。

  5. 在“基本信息”中,输入以下属性:

    • 名称:输入配置文件的描述性名称。 为配置文件命名,以便稍后可以轻松地识别它们。 例如,一个好的配置文件名称为 ADMX:在 Microsoft Edge 中配置 xyz 设置的 Windows 10/11 管理模板
    • 说明:输入配置文件的说明。 此设置是可选的,但建议进行。

  6. 选择 下一步

  7. 在“配置设置”中,选择“所有设置”,查看所有设置按字母顺序排序的列表。 或者,配置适用于设备的设置(“计算机配置”)和适用于用户的设置(“用户配置”):

    将 ADMX 模板设置应用于 Microsoft Intune 和 Intune 管理中心中的用户和设备。

    注意

    如果使用的是“设置目录”,则选择“添加设置”,然后展开“管理模板”。 选择任意设置,查看可配置的内容。

    在 Microsoft Intune 和 Intune 管理中心的“设置”目录中展开管理模板。

    有关使用设置目录创建策略的详细信息,请转到 使用设置目录配置设置

  8. 选择“所有设置”时,将列出所有设置。 向下滚动以使用上一个和下一个箭头查看更多设置:

    查看设置的示例列表,并使用 Intune 管理中心和Microsoft Intune中的上一个和下一个按钮。

  9. 选择任意设置。 例如,在 Office 上筛选,然后选择“激活受限浏览”。 列出设置的详细描述。 选择“启用”、“禁用”或将设置保留为“未配置”(默认)。 详细说明还会介绍选择“启用”、“禁用”或“未配置”时发生的情况。

    提示

    Intune 中的 Windows 设置与在本地组策略编辑器 (gpedit) 中看到的本地组策略路径相关联。

  10. 选择“计算机配置”或“用户配置”时,将显示设置类别。 可以选择任何类别查看可用的设置。

    例如,依次选择“计算机配置”>“Windows 组件”>“Internet Explorer”即可查看适用于 Internet Explorer 的所有设备设置:

    在 Microsoft Intune 和 Intune 管理中心查看应用于 Internet Explorer 的所有设备设置

  11. 选择“确定”,保存所做更改。

    继续浏览设置列表,并在环境中配置所需设置。 下面是一些示例:

    • 使用“VBA 宏通知设置”设置,在不同的 Microsoft Office 程序(包括 Word 和 Excel)中处理 VBA 宏
    • 使用“允许文件下载”设置,允许或阻止从 Internet Explorer 下载。
    • 使用“唤醒计算机时需要密码(接通电源)”,在从睡眠模式唤醒设备时提示用户输入密码。
    • 使用“下载未签名的 ActiveX 控件”设置,阻止用户从 Internet Explorer 下载未签名的 ActiveX 控件。
    • 使用“关闭系统还原”设置,许可或阻止用户在设备上运行系统还原。
    • 使用“允许导入收藏夹”设置,允许或阻止用户将另一个浏览器中的收藏夹导入 Microsoft Edge
    • 等等...

  12. 选择 下一步

  13. 在“作用域标记”(可选)中,分配一个标记以将配置文件筛选到特定 IT 组(如 US-NC IT TeamJohnGlenn_ITDepartment。 有关范围标记的详细信息,请转到 使用基于角色的访问控制 (分布式 IT 的 RBAC) 和范围标记

    选择 下一步

  14. 在“分配”中,选择将接收配置文件的用户或组。 有关分配配置文件的详细信息,请转到在 Intune 中分配用户和设备配置文件

    如果将配置文件分配给用户组,则配置的 ADMX 设置将应用于用户注册和登录的任何设备。 如果将配置文件分配给设备组,则配置的 ADMX 设置将应用于登录该设备的任何用户。 如果 ADMX 设置是计算机配置 (HKEY_LOCAL_MACHINE) 或用户配置 (HKEY_CURRENT_USER),则会发生此分配。 对于某些设置,分配给用户的计算机设置也会影响其他用户在该设备上的体验。

    有关详细信息,请在 分配策略时转到用户组与设备组

    选择 下一步

  15. “查看并创建”中查看设置。 选择“创建”时,将保存所做的更改并分配配置文件。 该策略也会显示在配置文件列表中。

下次设备检查配置更新时,将应用你配置的设置。

查找某些设置

这些模板提供数千个设置。 为了更容易查找特定设置,请使用内置功能:

  • 在模板中,选择“设置”、“状态”、“设置类型”或“路径”列,对列表进行排序。 例如,选择“路径”列,然后使用下一个箭头查看 Microsoft Excel 路径中的设置

  • 在模板中,请使用“搜索”框查找特定设置。 可以通过设置或路径进行搜索。 例如,选择“所有设置”,然后搜索 copy。 具有 copy 的所有设置均会显示:

    搜索进行复制,以显示 Microsoft Intune 和 Intune 管理中心的管理模板中的所有设备设置。

    在另一个示例中,搜索 microsoft word。 随即便可看到可以为 Microsoft Word 程序设置的设置。 搜索 explorer 查看可以添加到模板的 Internet Explorer 设置。

  • 还可以通过仅选择“计算机配置”或“用户配置”来缩小搜索范围

    例如,若要查看所有可用的 Internet Explorer 用户设置,请选择“ 用户配置”,然后搜索 Internet Explorer。 仅显示适用于用户的 IE 设置:

    在 ADMX 模板中,选择“用户配置”,然后在 Microsoft Intune 中搜索或筛选 Internet Explorer。

创建已知问题回滚 (KIR) 策略

在已注册的设备上,可以使用管理模板创建已知问题回滚 (KIR) 策略,并将此策略部署到 Windows 设备。 有关具体步骤,请转到 使用 MICROSOFT INTUNE ADMX 策略引入将 KIR 激活部署到托管设备

有关 KIR 及其内容的详细信息,请转到:

后续步骤