在 Microsoft Endpoint Manager（公共预览版）中使用组策略分析分析本地 GPO

项目
06/02/2022

提示

正在查找有关 ADMX 模板的信息? 请参阅使用 Windows 10/11 管理模板配置 Microsoft Endpoint Manager 中的组策略设置。

Microsoft Intune 具有许多与本地 GPO 相同的设置。 组策略分析 是 Microsoft Endpoint Manager 中的工具：

分析本地 GPO。
显示基于云 MDM 提供程序受支持的设置，包括 Microsoft Intune。
显示任何已弃用的设置或不可用的设置。
可以将导入的 GPO 迁移到设置目录策略，此策略可部署到设备。

如果组织使用本地 GPO 管理 Windows 10/11 设备，则组策略分析将有所帮助。通过组策略分析，Intune 可以替换本地 GPO。 Windows 10/11 设备本质上是云原生设备。因此，根据配置，这些设备可能不需要访问本地 Active Directory。

如果已准备好删除对本地 AD 的依赖项，则使用 组策略分析 分析 GPO 是很好的第一步。某些较旧的设置不受支持，或不适用于云原生 Windows 设备。分析 GPO 后，将知道哪些设置可能仍然有效。

此功能适用于：

Windows 11
Windows 10

本文介绍如何导出 GPO，如何将 GPO 导入 Endpoint Manager，以及查看分析和结果。若要将导入的 GPO 迁移或传输到 Intune 策略，请转到使用 Microsoft Endpoint Manager（公共预览版）中导入的 GPO 创建设置目录策略。

准备工作

在 Microsoft Endpoint Manager 管理中心，以 Intune 管理员或具有 安全基线 权限的角色登录。

例如，“终结点安全管理员”角色具有“安全基线”权限。若要详细了解内置角色，请参阅基于角色的访问控制。
此功能目前提供公共预览版。有关详细信息，请转到 Microsoft Intune 中的公共预览版。

将 GPO 导出为 XML 文件

在本地计算机上，打开 Group Policy Management 控制台 (GPMC.msc)。
在管理控制台中，展开“域名”。
展开“组策略对象”以查看所有可用 GPO。
右键单击要迁移的 GPO，然后选择“保存报表”：
为导出选择易于访问的文件夹。在“另存为类型”中，选择“XML 文件”。你将在 Endpoint Manager 组策略分析中添加此文件。

请确保文件小于 4 MB 并具有正确的 Unicode 编码。如果导出的文件大于 4 MB，则减少组策略对象中的设置数。

导入 GPO 并运行分析

在 Microsoft Endpoint Manager 管理中心，选择“设备” > “组策略分析(预览)”。
选择“导入”，然后选择保存的 XML 文件。可以同时选择多个文件。如果选择 XML 文件，Intune 会自动分析 XML 文件中的 GPO。

检查各个 GPO XML 文件的大小。单个 GPO 不能大于 4 MB。如果单个 GPO 大于 4 MB，则导入失败。没有适当 unicode 结尾的 XML 文件也会失败。
运行分析后，将列出导入的 GPO，其中包含以下信息：
- 组策略名称：该名称使用 GPO 中的信息自动生成。
- Active Directory 目标：目标是使用 GPO 中的组织单位 (OU) 目标信息自动生成的。
- MDM 支持：显示在 Intune 中具有相同设置的 GPO 中组策略设置的百分比。
  
  备注
  
  每当 Microsoft Intune 产品团队更改 Intune 中的映射时，MDM 支持下的百分比都会自动更新以反映这些更改。
- 未知设置：有一些无法分析的 CSP。 未知设置 列出无法分析的 GPO。
- 以 AD 为目标：“是”表示 GPO 链接到本地组策略中的 OU。 “否”表示 GPO 未链接到本地 OU。
- 上次导入日期：显示上次导入的日期。
可以导入多个 GPO 进行分析，刷新页面，然后筛选输出。还可以将此视图导出到 .csv 文件中：
对于列出的 GPO，请选择“MDM 支持”百分比。将显示有关 GPO 的更多详细信息：
- 设置名称：该名称是使用 GPO 设置中的信息自动生成的。
- 组策略设置类别：显示 ADMX 设置的设置类别，如 Internet Explorer 和 Microsoft Edge。并非所有设置都具有设置类别。
- MDM 支持：
  - “是”表示 Endpoint Manager 中提供了匹配设置。可以在设置目录中配置此设置。
  - “否”表示没有适用于 MDM 提供程序（包括 Intune）的匹配设置。
- 值：显示从 GPO 导入的值。它显示不同的值，例如 true、900、Enabled、false 等。
- 范围：显示导入的 GPO 是面向用户还是目标设备。
- 最低 OS 版本：显示 GPO 设置适用的最低 Windows OS 版本内部版本号。它可能显示 18362 (1903)、17130 (1803) 和其他 Windows 客户端版本。
  
  例如，如果策略设置显示 18362，则该设置支持版本 18362 和较新版本。
- CSP 名称: 配置服务提供程序 (CSP) 在 Windows 客户端中公开设备配置设置。此列显示包含设置的 CSP。例如，你可能会看到 Policy、BitLocker、PassportforWork 等。
  
  CSP 参考列出了可用的 CSP、显示了受支持的操作系统版本等。
- CSP 映射：显示本地策略的 OMA URI 路径。可以在自定义设备配置文件中使用 OMA-URI。例如，你可能会看到 ./Device/Vendor/MSFT/BitLocker/RequireDeviceEnryption。
对于支持 MDM 的设置，可以使用这些设置创建设置目录策略。有关具体步骤，请转到“在 Microsoft Endpoint Manager (公共预览版)中使用导入的 GPO 创建‘设置目录’策略”。

受支持的 CSP 和组策略

组策略分析可以分析以下 CSP：

如果导入的 GPO 具有不在受支持的 CSP 和组策略中的设置，则设置可能列在“未知设置”列中。此行为意味着在 GPO 中标识了设置。

组策略迁移就绪情况报表

在 Microsoft Endpoint Manager 管理中心中，选择“报表” > “组策略分析(预览)”：
在“摘要”选项卡中，会显示 GPO 及其策略的摘要。使用此信息来确定 GPO 中策略的状态：
- 准备迁移：此策略在 Intune 中具有匹配的设置，并且已准备好迁移到 Intune。
- 不支持：策略没有匹配的设置。通常，显示此状态的策略设置不会公开给 MDM 提供程序，包括 Intune。
- 已停用：该策略可能适用于较旧的 Windows 版本、较旧的 Microsoft Edge 版本以及不再使用的其他策略。
  
  备注
  
  当 Microsoft Intune 产品团队更新映射逻辑时，导入的 GPO 将自动更新。无需重新导入 GPO。
选择“报表”选项卡>“组策略迁移就绪情况”。在此报表中，你可以：
- 查看 GPO 中可在设备配置文件中配置的设置数。它还显示设置是否可以位于自定义配置文件中、不受支持或已弃用。
- 使用“迁移就绪情况”、“配置文件类型”和“CSP 名称”筛选器来筛选报表输出。
- 选择“生成报表”或“再次生成”来获取当前数据。
- 查看 GPO 中的设置列表。
- 使用搜索栏查找特定设置。
- 获取上次生成报表的时间戳。
备注

添加或删除导入的 GPO 后，大约需要 20 分钟来更新迁移就绪情况报告数据。