在 Microsoft Endpoint Manager(公共预览版)中使用组策略分析分析本地 GPO

提示

正在查找有关 ADMX 模板的信息? 请参阅使用 Windows 10/11 管理模板配置 Microsoft Endpoint Manager 中的组策略设置

Microsoft Intune 具有许多与本地 GPO 相同的设置。 组策略分析 是 Microsoft Endpoint Manager 中的工具:

  • 分析本地 GPO。
  • 显示基于云 MDM 提供程序受支持的设置,包括 Microsoft Intune。
  • 显示任何已弃用的设置或不可用的设置。
  • 可以将 导入的 GPO 迁移到设置目录策略,此策略可部署到设备。

如果组织使用本地 GPO 管理 Windows 10/11 设备,则组策略分析将有所帮助。 通过组策略分析,Intune 可以替换本地 GPO。 Windows 10/11 设备本质上是云原生设备。 因此,根据配置,这些设备可能不需要访问本地 Active Directory。

如果已准备好删除对本地 AD 的依赖项,则使用 组策略分析 分析 GPO 是很好的第一步。 某些较旧的设置不受支持,或不适用于云原生 Windows 设备。 分析 GPO 后,将知道哪些设置可能仍然有效。

此功能适用于:

  • Windows 11
  • Windows 10

本文介绍如何导出 GPO,如何将 GPO 导入 Endpoint Manager,以及查看分析和结果。 若要将导入的 GPO 迁移或传输到 Intune 策略,请转到 使用 Microsoft Endpoint Manager(公共预览版)中导入的 GPO 创建设置目录策略

准备工作

将 GPO 导出为 XML 文件

  1. 在本地计算机上,打开 Group Policy Management 控制台 (GPMC.msc)。

  2. 在管理控制台中,展开“域名”。

  3. 展开“组策略对象”以查看所有可用 GPO。

  4. 右键单击要迁移的 GPO,然后选择“保存报表”:

    打开组策略管理,然后将 GPO 另存为 XML 文件报告。

  5. 为导出选择易于访问的文件夹。 在“另存为类型”中,选择“XML 文件”。 你将在 Endpoint Manager 组策略分析中添加此文件。

请确保文件小于 4 MB 并具有正确的 Unicode 编码。 如果导出的文件大于 4 MB,则减少组策略对象中的设置数。

导入 GPO 并运行分析

  1. Microsoft Endpoint Manager 管理中心,选择“设备” > “组策略分析(预览)”。

  2. 选择“导入”,然后选择保存的 XML 文件。 可以同时选择多个文件。 如果选择 XML 文件,Intune 会自动分析 XML 文件中的 GPO。

    检查各个 GPO XML 文件的大小。 单个 GPO 不能大于 4 MB。 如果单个 GPO 大于 4 MB,则导入失败。 没有适当 unicode 结尾的 XML 文件也会失败。

  3. 运行分析后,将列出导入的 GPO,其中包含以下信息:

    • 组策略名称:该名称使用 GPO 中的信息自动生成。

    • Active Directory 目标:目标是使用 GPO 中的组织单位 (OU) 目标信息自动生成的。

    • MDM 支持:显示在 Intune 中具有相同设置的 GPO 中组策略设置的百分比。

      备注

      每当 Microsoft Intune 产品团队更改 Intune 中的映射时,MDM 支持下的百分比都会自动更新以反映这些更改。

    • 未知设置:有一些无法分析的 CSP。 未知设置 列出无法分析的 GPO。

    • 以 AD 为目标:“是”表示 GPO 链接到本地组策略中的 OU。 “否”表示 GPO 未链接到本地 OU。

    • 上次导入日期:显示上次导入的日期。

    可以导入多个 GPO 进行分析,刷新页面,然后筛选输出。 还可以将此视图导出到 .csv 文件中:

    在 Microsoft Intune 和 Endpoint Manager 管理中心导入、刷新、筛选或将组策略对象 (GPO) 导出到 CSV 文件。

  4. 对于列出的 GPO,请选择“MDM 支持”百分比。 将显示有关 GPO 的更多详细信息:

    • 设置名称:该名称是使用 GPO 设置中的信息自动生成的。

    • 组策略设置类别:显示 ADMX 设置的设置类别,如 Internet Explorer 和 Microsoft Edge。并非所有设置都具有设置类别。

    • MDM 支持:

      • “是”表示 Endpoint Manager 中提供了匹配设置。 可以在设置目录中配置此设置。
      • “否”表示没有适用于 MDM 提供程序(包括 Intune)的匹配设置。
    • :显示从 GPO 导入的值。 它显示不同的值,例如 true900Enabledfalse 等。

    • 范围:显示导入的 GPO 是面向用户还是目标设备。

    • 最低 OS 版本:显示 GPO 设置适用的最低 Windows OS 版本内部版本号。 它可能显示 18362 (1903)、17130 (1803) 和其他 Windows 客户端版本。

      例如,如果策略设置显示 18362,则该设置支持版本 18362 和较新版本。

    • CSP 名称: 配置服务提供程序 (CSP) 在 Windows 客户端中公开设备配置设置。 此列显示包含设置的 CSP。 例如,你可能会看到 Policy、BitLocker、PassportforWork 等。

      CSP 参考列出了可用的 CSP、显示了受支持的操作系统版本等。

    • CSP 映射:显示本地策略的 OMA URI 路径。 可以在自定义设备配置文件中使用 OMA-URI。 例如,你可能会看到 ./Device/Vendor/MSFT/BitLocker/RequireDeviceEnryption

  5. 对于支持 MDM 的设置,可以使用这些设置创建设置目录策略。 有关具体步骤,请转到“在 Microsoft Endpoint Manager (公共预览版)中使用导入的 GPO 创建‘设置目录’策略”。

受支持的 CSP 和组策略

组策略分析可以分析以下 CSP:

如果导入的 GPO 具有不在受支持的 CSP 和组策略中的设置,则设置可能列在“未知设置”列中。此行为意味着在 GPO 中标识了设置。

组策略迁移就绪情况报表

  1. Microsoft Endpoint Manager 管理中心中,选择“报表” > “组策略分析(预览)”:

    使用 Microsoft Intune 和 Endpoint Manager 管理中心中的组策略分析查看导入的 GPO 的报告和输出。

  2. 在“摘要”选项卡中,会显示 GPO 及其策略的摘要。 使用此信息来确定 GPO 中策略的状态:

    • 准备迁移:此策略在 Intune 中具有匹配的设置,并且已准备好迁移到 Intune。

    • 不支持:策略没有匹配的设置。 通常,显示此状态的策略设置不会公开给 MDM 提供程序,包括 Intune。

    • 已停用:该策略可能适用于较旧的 Windows 版本、较旧的 Microsoft Edge 版本以及不再使用的其他策略。

      备注

      当 Microsoft Intune 产品团队更新映射逻辑时,导入的 GPO 将自动更新。无需重新导入 GPO。

  3. 选择“报表”选项卡>“组策略迁移就绪情况”。 在此报表中,你可以:

    • 查看 GPO 中可在设备配置文件中配置的设置数。它还显示设置是否可以位于自定义配置文件中、不受支持或已弃用。
    • 使用“迁移就绪情况”、“配置文件类型”和“CSP 名称”筛选器来筛选报表输出。
    • 选择“生成报表”或“再次生成”来获取当前数据。
    • 查看 GPO 中的设置列表。
    • 使用搜索栏查找特定设置。
    • 获取上次生成报表的时间戳。

    备注

    添加或删除导入的 GPO 后,大约需要 20 分钟来更新迁移就绪情况报告数据。

已知问题

目前,组策略分析(预览版)工具仅支持英语版非 ADMX 设置。 如果设置使用英语以外的语言导入 GPO,则 MDM 支持 百分比将不准确。

发送产品反馈

你可以提供有关组策略分析的反馈。 在 Microsoft Endpoint Manager 管理中心,选择 设备 > 组策略分析(预览版) > 获得反馈

反馈区域的示例:

  • 在 GPO 导入或分析期间收到错误,并且需要更多具体信息。
  • 使用组策略分析在 Microsoft Intune 中查找支持的组策略有多简单?
  • 此工具是否可帮助你将某些工作负载移至终结点管理器? 如果是,你考虑迁移哪些工作负荷?

为获取有关客户体验的信息,系统会汇总反馈并将其发送到 Microsoft。 输入电子邮件是可选操作,用于获取更多信息。

隐私和安全

对客户数据的任何使用(例如组织中使用的 GPO)都进行了聚合。 这些数据不会出售给任何第三方。 此数据可用于在 Microsoft 内部做出业务决策。 将安全存储客户数据。

随时都可以删除导入的 GPO:

  1. 转到“设备” > “组策略分析(预览)”。

  2. 选择上下文菜单>“删除”:

    删除或移除在 Microsoft Intune 和 Endpoint Manager 管理中心的组策略分析器中导入的组策略对象 (GPO)。

后续步骤

另请参阅

详细了解配置服务提供程序 (CSP)