对 Microsoft Intune 中使用设备配置文件的设备应用功能和设置

Microsoft Intune 提供可在组织内的不同设备上启用或禁用的设置和功能。 这些设置和功能将添加到“配置文件”。 可以为不同的设备和不同的平台(包括 iOS/iPadOS、Android 设备管理员、Android Enterprise 和 Windows)创建配置文件。 然后,使用 Intune 应用配置文件或将其“分配”给设备。

作为移动设备管理 (MDM) 解决方案的一部分,使用这些配置文件来完成不同的任务。 Intune 包含许多模板,其中包括特定于功能的设置组,如证书、VPN、电子邮件等。

一些配置文件示例如下:

  • 在 Windows 10 设备上,使用可阻止 Internet Explorer 中 ActiveX 控件的配置文件模板。
  • 在 iOS/iPadOS 和 macOS 设备上,允许用户使用组织中的 AirPrint 打印机。
  • 允许或阻止访问设备上的蓝牙。
  • 创建 WiFi 或 VPN 配置文件,让不同设备访问公司网络。
  • 管理软件更新,包括何时安装它们。
  • 将 Android 设备作为专用的展台设备运行,该设备可以运行一个或多个应用。

本文概述了可创建的不同类型的配置文件。 使用这些配置文件来允许或阻止设备上的某些功能。

管理模板和组策略

管理模板包括数百个可针对 Internet Explorer、Microsoft Edge、OneDrive、远程桌面、Word、Excel 和其他 Office 程序配置的设置。 这些模板为管理员提供了类似于组策略的简化设置视图,并且它们是完全基于云的。

组策略分析分析本地 GPO,并显示支持、已弃用和更多策略设置。

此功能支持:

  • Windows 10 及更高版本

证书

证书配置分配到设备的受信任、SCEP 和 PKCS 证书。 这些证书会对 WiFi、VPN 和电子邮件配置文件进行身份验证。

此功能支持:

  • Android 设备管理员
  • Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 8.1
  • Windows 10 及更高版本

自定义配置文件

自定义设置可让管理员分配未在 Intune 中内置的设备设置。 对于 Android 设备,可以输入 OMA-URI 值。 对于 iOS/iPadOS 设备,则可以导入在 Apple Configurator 中创建的配置文件。

此功能支持:

  • Android 设备管理员
  • Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 10 及更高版本

传递优化

传递优化提供了更好的传递软件更新体验。 这些设置将替换“软件更新” > “Windows 10 更新通道”设置。

使用这些设置来控制如何将软件更新下载到组织中的设备。 例如,可以允许用户获取其自己的更新,或使用设备配置文件中的传递优化云服务获取更新。

此功能支持:

  • Windows 10 及更高版本

派生凭据

派生凭据是智能卡上的证书,可用于身份验证、签名和加密。 在 Intune 中,你可以创建具有这些凭据的配置文件,以便用于应用、电子邮件配置文件、连接到 VPN、S/MIME 和 Wi-Fi。

此功能支持:

  • Android Enterprise
  • iOS/iPadOS

设备功能

设备功能控制 iOS/iPadOS 和 macOS 设备上的功能,例如 AirPrint、通知和锁屏消息。

此功能支持:

  • iOS/iPadOS
  • macOS

设备固件配置接口

设备固件配置接口 (DFCI) 允许管理员使用 Intune 启用或禁用 UEFI (BIOS) 设置。 使用这些设置增强固件级别的安全性,这样通常可以更好地抵抗恶意攻击。

此功能支持:

  • 支持固件上的 Windows 10 1809 及更高版本

设备限制

设备限制控制设备上的安全性、硬件、数据共享,以及更多设置。 例如,创建一个可阻止 iOS/iPadOS 设备用户使用设备相机的设备限制配置文件。

此功能支持:

  • Android 设备管理员
  • Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 10 及更高版本
  • Windows 10 协同版

域加入

域加入配置本地 Active Directory 域信息。 使用 Windows Autopilot 和 Intune 预配混合 Azure AD 联接设备时,此信息将部署到这些设备。 此配置文件告诉设备要加入的域和 OU。

此功能支持:

  • Windows 10 及更高版本

版本升级和模式切换

Windows 10 版本升级将运行某些 Windows 10 版本的设备自动升级到较新的版本。

此功能支持:

  • Windows 10 及更高版本

教育水平

教育设置 - Windows 10 配置针对 Windows 参加测验应用的选项。 在配置这些选项时,直到测试完成才可以在设备上运行其他应用。

教育设置 - iOS/iPadOS 使用 iOS/iPadOS Classroom 应用来指导学习,并控制课堂中的学生设备。 可以将 iPad 设备配置为多名学生可以共享一台设备。

电子邮件

电子邮件设置创建、分配和监视设备上的 Exchange ActiveSync 电子邮件设置。 邮件配置文件可帮助确保一致性、减少支持呼叫,并让最终用户能够在不进行任何所需设置的情况下在其个人设备上访问公司电子邮件。

此功能支持:

  • Android 设备管理员
  • Android Enterprise
  • iOS/iPadOS
  • Windows 10 及更高版本

Endpoint Protection

Endpoint Protection 可配置适用于 Windows 10 设备的 BitLocker 和 Microsoft Defender 设置。 在 macOS 设备上,还可以配置防火墙、网关和其他资源。

若要使用 Microsoft Intune 载入 Microsoft Defender for Endpoint,请参阅使用移动设备管理 (MDM) 工具配置终结点

此功能支持:

  • macOS
  • Windows 10 及更高版本

eSIM 手机网络 - 公共预览版

eSIM 手机网络配置文件可让管理员在受管理设备上配置手机网络流量套餐以进行 Internet 和数据访问。 从移动运营商处获取激活码后,使用 Intune 导入这些激活码,然后分配给支持 eSIM 的设备。

此功能支持:

  • Windows 10 Fall Creators Update 及更高版本

扩展

macOS 系统扩展和内核扩展都允许管理员添加可扩展操作系统本机功能的功能或程序。 配置这些设置以信任来自特定开发人员或合作伙伴的所有扩展,或允许使用特定扩展。

此功能支持:

  • macOS

标识保护

标识保护控制 Windows 10 设备上的 Windows Hello 企业版体验。 配置这些设置,使 Windows Hello 企业版可供用户和设备使用,以及指定设备 PIN 和手势的要求。

此功能支持:

  • Windows 10 及更高版本
  • Windows Holographic for Business

Kiosk

展台设置配置文件可将设备配置为运行一个应用,或运行多个应用。 还可以自定义展台的其他功能,包括“开始”菜单和 Web 浏览器。

此功能支持:

  • Windows 10 及更高版本

展台设置也可用作适用于 AndroidAndroid EnterpriseiOS/iPadOS 的设备限制。

MX 配置文件 (Zebra)

移动性扩展 (MX) 阐述了内置 Intune 设置,这些设置可用于自定义或添加更多特定于 Zebra 设备的设置。 Zebra 设备通常用于工厂车间和零售环境。 如果你有数百或数千台 Zebra 设备,则可以使用 Intune 来配置和管理这些设备。

此功能支持:

  • Android 设备管理员

用于终结点的 Microsoft Defender

Microsoft Defender for Endpoint 与 Intune 集成以监视和保护设备。 设置风险级别,并确定设备超过该级别时会发生的情况。 与条件访问结合使用时,可帮助防止组织中的恶意活动。

此功能支持:

  • Windows 10 及更高版本

网络边界

网络边界创建了组织所信任的站点列表。 此功能与 Microsoft Defender 应用程序防护和 Microsoft Edge 一起使用有助于保护设备。

此功能支持:

  • Windows 10 及更高版本

OEMConfig

对于 Android Enterprise 设备,OEMConfig 为标准配置。 此标准允许 OEM(原始设备制造商)和 EMM(企业移动性管理)按照标准方式构建和支持特定于 OEM 的功能。 OEM 使用 OEMConfig 创建架构来定义特定于 OEM 的管理功能,并将其嵌入上传到 Google Play 的应用。 Intune 从该应用读取此架构,并允许 Intune 管理员配置架构中的设置。

此功能支持:

  • Android Enterprise (OEMConfig)

PowerShell 脚本

PowerShell 脚本使用 Intune 管理扩展从 Intune 上传 PowerShell 脚本,然后在设备上运行这些脚本。 另请参阅使用此扩展所需的条件、如何将它们添加到 Intune,以及其他重要信息。

此功能支持:

  • Windows 10 及更高版本

首选项文件

macOS 设备上的首选项文件包括有关应用的信息。 例如,可使用首选项文件来控制 Web 浏览器设置、自定义应用等。

此功能支持:

  • macOS

设置目录

设置目录列出了你可以配置的设置。 它不是模板,也不是逻辑设置分组。

在 Windows 上,有成千上万的设置可用,包括未在模板中找到的许多设置。 如果需要所有设置的完整列表,请使用设置目录来创建策略。 如果要使用逻辑设置分组,请继续使用这些模板。

在 macOS 设备上,可以使用设置目录配置 Microsoft Edge 版本 77 和更高版本。 在策略中,你将配置各个设置。 它不需要首选项文件。

此功能支持:

  • macOS
  • Windows 10 及更高版本

共享的多用户设备

Windows 10Windows Holographic for Business 包括用于管理多用户设备的设置。 这些设备称为共享设备或共享 PC。 当用户登录设备时,你可选择用户是否可更改睡眠选项,或在设备上保存文件。 在其他示例中,为节省空间,可以创建可删除 Windows HoloLens 设备中非活动凭据的配置文件。

这些共享多用户设备设置允许管理员控制部分设备功能,并使用 Intune 管理这些共享设备。

此功能支持:

  • Windows 10 及更高版本
  • Windows Holographic for Business

更新策略

iOS/iPadOS 更新策略展示了创建和分配 iOS/iPadOS 策略以在 iOS/iPadOS 设备上安装软件更新的方式。 你还可以查看安装状态。

有关 Windows 设备上的更新策略,请参阅传递优化

此功能支持:

  • iOS/iPadOS

VPN

VPN 设置将配置文件分配到组织中的用户和设备,从而使其方便安全地连接到网络。

虚拟专用网络 (VPN) 可让用户安全地远程访问公司网络。 设备使用 VPN 连接配置文件来初始化与 VPN 服务器的连接。

此功能支持:

  • Android 设备管理员
  • Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 8.1
  • Windows 10 及更高版本

Wi-Fi

Wi-Fi 设置将无线网络设置分配给用户和设备。 分配 WiFi 配置文件后,用户无需自行配置即可访问公司 Wi-Fi。

此功能支持:

  • Android 设备管理员
  • Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 8.1 (仅限导入)
  • Windows 10 及更高版本

Windows 运行状况监视

Windows 运行状况监视允许收集数据事件,并允许终结点分析对其进行分析。 你可以通过这些数据来了解 Windows 设备,包括软件更新和启动性能。

此功能支持:

  • Windows 10 及更高版本

有线网络

有线网络可用于为 macOS 桌面计算机创建和管理 802.1x 有线连接。 在配置文件中,选择网络接口,选择接受的 EAP 类型,并输入服务器信任设置,包括 PKCS 和 SCEP 证书。

分配配置文件时,macOS 桌面用户无需自行配置即可访问公司有线网络。

此功能支持:

  • macOS

Zebra 移动性扩展 (MX)

通过 Zebra 移动性扩展 (MX),管理员可以在 Intune 中使用和管理 Zebra 设备。 创建具有你的设置的 StageNow 配置文件,然后使用 Intune 将这些配置文件分配并部署到 Zebra 设备。 StageNow 日志及常见问题是一个不错的资源,有助于在使用 StageNow 时对配置文件进行故障排除并查看一些潜在问题。

此功能支持:

  • Android 设备管理员(移动性扩展)

管理和故障排除

管理配置文件以检查设备的状态和分配的配置文件。 还可以通过查看导致冲突的设置以及包含这些设置的配置文件来帮助解决冲突。 常见问题和解决方法可帮助管理员处理配置文件。 它介绍了删除配置文件时发生的情况,导致将通知发送到设备的原因等等。

后续步骤

选择一个配置文件,然后开始。