使用 Microsoft Intune 中的组策略分析导入和分析本地 GPO

  • 项目

提示

正在查找本地 GPO 分析? Microsoft 安全合规性工具包中提供了一些工具。

Microsoft Intune 具有许多与本地 GPO 相同的设置。 组策略分析是Microsoft Intune中的一种工具,可:

  • 导入和分析本地 GPO。
  • 显示基于云的 MDM 提供程序支持的设置,包括Microsoft Intune。
  • 显示任何已弃用的设置或不可用的设置。
  • 可以将 导入的 GPO 迁移到设置目录策略,此策略可部署到设备。

如果你的组织使用本地 GPO 来管理 Windows 10/11 设备,那么组策略分析可以提供帮助。 通过组策略分析,Intune 可以替换本地 GPO。 Windows 10/11 设备本质上是云原生设备。 因此,根据配置,这些设备可能不需要访问本地 Active Directory。

如果已准备好删除对本地 AD 的依赖项,则使用 组策略分析 分析 GPO 是很好的第一步。 某些较旧的设置不受支持,或不适用于云原生 Windows 设备。 分析 GPO 后,你知道仍然有效的设置。

此功能适用于:

  • Windows 11
  • Windows 10

本文介绍如何导出本地 GPO、将 GPO 导入 Intune 以及查看分析和结果。 若要将导入的 GPO 迁移或转移到 Intune 策略,请转到在 Microsoft Intune 中使用导入的 GPO 创建设置目录策略

开始之前

Microsoft Intune 管理中心,以 Intune 管理员身份或具有安全基线和设备配置权限的角色登录。 若要详细了解内置角色,请参阅基于角色的访问控制

将 GPO 导出为 XML 文件

根据所使用的 GPMC 版本,以下步骤在服务器上可能有所不同。 导出 GPO 时,请确保导出为 XML 文件。

  1. 在本地计算机上,打开 Group Policy Management 控制台 (GPMC.msc)。

  2. 在管理控制台中,展开“域名”。

  3. 展开“组策略对象”以查看所有可用 GPO。

  4. 右键单击要迁移的 GPO,然后选择“保存报表”:

    显示如何打开组策略管理并将 GPO 另存为 XML 文件报表的屏幕截图。

  5. 为导出选择易于访问的文件夹。 在“另存为类型”中,选择“XML 文件”。 在另一个步骤中,将此文件添加到 Intune 中的组策略分析。

请确保文件小于 4 MB 并具有正确的 Unicode 编码。 如果导出的文件大于 4 MB,则减少组策略对象中的设置数。

导入 GPO 并运行分析

  1. Microsoft Intune管理中心,选择“设备>组策略分析”。

  2. 选择“ 导入”,选择保存的 XML 文件 >“”下一步”。

    可以同时选择多个文件。

    检查各个 GPO XML 文件的大小。 单个 GPO 不能大于 4 MB。 如果单个 GPO 大于 4 MB,则导入失败。 没有适当 unicode 结尾的 XML 文件也会失败。

  3. “作用域标记”中,选择要应用于导入的 GPO 的现有范围标记。 如果未选择现有范围标记,则会自动使用 默认 范围标记:

    显示如何 (GPO) 导入组策略对象并在 Microsoft Intune 和 Intune 管理中心中选择范围标记的屏幕截图。

    只有所选范围标记中包含的管理员才能看到导入的 GPO。 有关导入的 GPO 上的作用域标记的详细信息,请转到本文) (导入时选择范围标记

  4. 选择“下一步”>“创建”

    选择“ 创建”时,Intune 会自动分析 XML 文件中的 GPO。

  5. 运行分析后,将列出导入的 GPO,其中包含以下信息:

    • 组策略名称:该名称使用 GPO 中的信息自动生成。

    • Active Directory 目标:目标是使用 GPO 中的组织单位 (OU) 目标信息自动生成的。

    • MDM 支持:显示在 Intune 中具有相同设置的 GPO 中组策略设置的百分比。

      注意

      每当 Microsoft Intune 产品团队更改 Intune 中的映射时,MDM 支持下的百分比都会自动更新以反映这些更改。

    • 未知设置:有一些无法分析的 CSP。 未知设置 列出无法分析的 GPO。

    • 以 AD 为目标:“是”表示 GPO 链接到本地组策略中的 OU。 “否”表示 GPO 未链接到本地 OU。

    • 上次导入日期:显示上次导入的日期。

    可以导入多个 GPO 进行分析,刷新页面,然后筛选输出。 还可以将此视图导出.csv 文件中:

    显示如何将组策略对象 (GPO) 导入、刷新、筛选或导出到 Microsoft Intune 和 Intune 管理中心的 CSV 文件的屏幕截图。

  6. 对于列出的 GPO,请选择“MDM 支持”百分比。 将显示有关 GPO 的更多详细信息:

    • 设置名称:该名称是使用 GPO 设置中的信息自动生成的。

    • 组策略设置类别:显示 ADMX 设置的设置类别,如 Internet Explorer 和 Microsoft Edge。 并非所有设置都具有设置类别。

    • MDM 支持

      • 意味着 Intune 中提供了匹配设置。 可以在设置目录中配置此设置。
      • “否”表示没有适用于 MDM 提供程序(包括 Intune)的匹配设置。
      • 其他值:如果导入不再受支持的旧设置,则该工具建议迁移到较新的受支持版本。 有关迁移方案的详细信息,请转到 Intune 中导入的 GPO - 需要了解的内容

    • :显示从 GPO 导入的值。 它显示不同的值,例如 true900Enabledfalse 等。

    • 范围:显示导入的 GPO 是面向用户还是目标设备。

    • 最低 OS 版本:显示 GPO 设置适用的最低 Windows OS 版本内部版本号。 它可以显示 18362 (1903) 、 17130 (1803) 和其他 Windows 客户端版本。

      例如,如果策略设置显示 18362,则该设置支持版本 18362 和较新版本。

    • CSP 名称: 配置服务提供程序 (CSP) 在 Windows 客户端中公开设备配置设置。 此列显示包含设置的 CSP。 例如,可以看到 Policy、BitLocker、PassportforWork 等。

      CSP 参考列出了可用的 CSP、显示了受支持的操作系统版本等。

    • CSP 映射:显示本地策略的 OMA URI 路径。 可以在自定义设备配置文件中使用 OMA-URI。 例如,你可能会看到 ./Device/Vendor/MSFT/BitLocker/RequireDeviceEnryption

  7. 对于支持 MDM 的设置,可以使用这些设置创建设置目录策略。 有关具体步骤,请转到使用Microsoft Intune中导入的 GPO 创建设置目录策略

导入时选择范围标记

导入 GPO 时,可以选择现有范围标记。 如果未选择范围标记,则会自动使用 默认 范围标记。 只有作用域为 “默认 范围”标记的管理员才能看到导入的 GPO。 未限定为 “默认 范围”标记的管理员看不到导入的 GPO。

此行为适用于导入 GPO 时选择的任何范围标记。 如果管理员在导入过程中选择了其中一个相同的范围标记,则仅看到导入的 GPO。 如果管理员没有范围标记,则不会在报告或 GPO 列表中看到导入的 GPO。

例如,管理员为其角色分配了 CharlotteLondonBoston 范围标记:

  • 具有“Charlotte”范围标记的管理员导入 GPO。
  • 在导入过程中,选择“Charlotte”范围标记。 “Charlotte”范围标记应用于导入的 GPO。
  • 具有“Charlotte”范围标记的所有管理员都可以看到导入的对象。
  • 仅具有“London”或“Boston”作用域标记的管理员无法从“Charlotte”管理员中看到导入的对象。

要让管理员查看分析或将导入的 GPO 迁移到 Intune 策略,这些管理员必须在导入过程中选择同一范围标记之一。

有关范围标记的详细信息,请转到 分布式 IT 的 RBAC 和范围标记

受支持的 CSP 和组策略

组策略分析可以分析以下 CSP 以获取 MDM 支持:

如果导入的 GPO 的设置不在支持的 CSP 和组策略中,则这些设置可能会在 “未知设置” 列中列出。 此行为意味着已在 GPO 中标识了设置。

尽管组策略分析可以分析 CSP,但在迁移导入的 GPO 时,应了解一些事项。 有关详细信息,请转到 将导入的 GPO 迁移到设置目录策略 - 需要了解的内容

组策略迁移就绪情况报表

  1. Microsoft Intune管理中心,选择“报告>”“组策略分析”:

    显示如何在 Microsoft Intune 和 Intune 管理中心使用组策略分析查看导入 GPO 的报告和输出的屏幕截图。

  2. 在“摘要”选项卡中,会显示 GPO 及其策略的摘要。 使用此信息来确定 GPO 中策略的状态:

    • 准备迁移:此策略在 Intune 中具有匹配的设置,并且已准备好迁移到 Intune。

    • 不支持:策略没有匹配的设置。 通常,显示此状态的策略设置不会公开给 MDM 提供程序,包括 Intune。

    • 已弃用:该策略可以应用于较旧的 Windows 版本、较旧的 Microsoft Edge 版本以及不再使用的更多策略。

      注意

      当 Microsoft Intune 产品团队更新映射逻辑时,导入的 GPO 将自动更新。 无需重新导入 GPO。

  3. 选择“ 报告 ”选项卡“ >组策略迁移准备情况”。 在此报表中,你可以:

    • 查看 GPO 中可在设备配置文件中配置的设置数。 它还显示设置是否可以位于自定义配置文件中、不受支持或已弃用。
    • 使用“迁移就绪情况”、“配置文件类型”和“CSP 名称”筛选器来筛选报表输出。
    • 选择“生成报表”或“再次生成”来获取当前数据。
    • 查看 GPO 中的设置列表。
    • 使用搜索栏查找特定设置。
    • 获取上次生成报表的时间戳。

    注意

    添加或删除导入的 GPO 后,大约需要 20 分钟来更新迁移就绪情况报告数据。

已知问题

目前,组策略分析工具仅支持英语的非 ADMX 设置。 如果导入具有非英语语言设置的 GPO,则 MDM 支持 百分比不准确。

发送产品反馈

你可以提供有关组策略分析的反馈。 在Microsoft Intune管理中心,选择“设备>组策略分析>获取反馈”。

反馈区域的示例:

  • 在 GPO 导入或分析期间收到错误,并且需要更多具体信息。
  • 使用组策略分析在 Microsoft Intune 中查找支持的组策略有多简单?
  • 此工具是否有助于将一些工作负荷移动到 Intune? 如果是,你考虑迁移哪些工作负荷?

为获取有关客户体验的信息,系统会汇总反馈并将其发送到 Microsoft。 输入电子邮件是可选的,可用于获取详细信息。

隐私和安全

对客户数据的任何使用(例如组织使用的 GPO)都是聚合的。 这些数据不会出售给任何第三方。 此数据可用于在 Microsoft 内部做出业务决策。 将安全存储客户数据。

随时都可以删除导入的 GPO:

  1. 转到“设备>组策略分析”。

  2. 选择上下文菜单 >“删除”:

    显示如何在 Microsoft Intune 和 Intune 管理中心的 组策略 分析器中导入的 gpo (删除组策略对象) 的屏幕截图。

后续步骤

另请参阅

详细了解配置服务提供程序 (CSP)