演练：使用云在 Windows 10/11 设备上使用 ADMX 模板和Microsoft Intune

注意

本演练创建为 Microsoft Ignite 的技术研讨会。 与典型演练相比，它具有更多的先决条件，因为它比较了在Intune和本地使用和配置 ADMX 策略。

组策略管理模板（也称为 ADMX 模板）包括可在 Windows 客户端设备（包括电脑）上配置的设置。 ADMX 模板设置由不同的服务提供。 移动设备管理 (MDM) 提供程序（包括Microsoft Intune）使用这些设置。 例如，可以在 PowerPoint 中打开设计创意，在 Microsoft Edge 中设置主页等。

提示

有关 Intune 中的 ADMX 模板（包括内置于Intune的 ADMX 模板）的概述，请转到使用 Microsoft Intune 中的 Windows 10/11 ADMX 模板。

有关 ADMX 策略的详细信息，请转到 了解 ADMX 支持的策略。

这些模板内置于Microsoft Intune，并作为管理模板配置文件提供。 在此配置文件中，配置要包括的设置，然后将此配置文件“分配给”设备。

在本演练中，你将：

• 了解Microsoft Intune管理中心。
• 创建用户组并创建设备组。
• 将 Intune 中的设置与本地 ADMX 设置进行比较。
• 创建不同的管理模板，并配置面向不同组的设置。

完成本实验室后，可以使用 Intune 和 Microsoft 365 来管理用户并部署管理模板。

此功能适用于：

• Windows 11
• Windows 10版本 1709 及更新版本

提示

可以通过两种方法创建管理模板：使用模板或使用“设置目录”。 本文重点介绍如何使用“管理模板”模板。 “设置目录”提供了更多“管理模板”设置。 有关使用设置目录的具体步骤，请转到 使用设置目录配置设置。

先决条件

• Microsoft 365 E3或 E5 订阅，其中包括Intune和Microsoft Entra ID P1 或 P2。 如果没有 E3 或 E5 订阅， 请免费试用。

  有关使用不同 Microsoft 365 许可证获得的内容的详细信息，请转到 使用 Microsoft 365 转换企业版。

• Microsoft Intune配置为Intune MDM 机构。 有关详细信息，请转到 设置移动设备管理机构。

  

• 在本地 Active Directory域控制器 (DC) 上：

  1. 将以下 Office 和 Microsoft Edge 模板复制到 central Store (sysvol 文件夹) ：

     • Office 管理模板
     • Microsoft Edge 管理模板 > 策略文件

  2. 创建组策略，将这些模板推送到 DC 所在的同一域中的 Windows 10/11 企业管理员计算机。 在本演练中：

     • 使用这些模板创建的组策略称为 OfficeandEdge。 你将在图像中看到此名称。
     • 我们使用的 Windows 10/11 企业管理员计算机称为 管理员 计算机。

     在某些组织中，域管理员有两个帐户：

     • 典型的域工作帐户
     • 仅用于域管理员任务（例如组策略）的其他域管理员帐户

     此管理员计算机的用途是让管理员使用其域管理员帐户和用于管理组策略的工具进行登录。

• 在此管理员计算机上：

  • 使用域管理员帐户登录。

  • 添加 RSAT： 组策略管理工具：

    1. 打开 “设置” 应用 >“”系统>可选“功能>”“添加功能”。

       如果使用早于 Windows 10 22H2 的版本，请转到“设置>应用应用>& 功能>”“可选功能>”“添加功能”。

    2. 选择“RSAT：组策略管理工具>添加”。

       等待 Windows 添加该功能。 完成后，它最终会显示在 Windows 管理工具 应用中。

       

  • 请确保你对 Microsoft 365 订阅具有 Internet 访问权限和管理员权限，其中包括Intune管理中心。

打开Intune管理中心

1. 打开 chromium Web 浏览器，例如 Microsoft Edge 版本 77 及更高版本。

2. 转到Microsoft Intune管理中心。 使用以下帐户登录：

   用户：输入 Microsoft 365 租户订阅的管理员帐户。
   密码：输入其密码。

此管理中心侧重于设备管理，包括 Azure 服务，例如Microsoft Entra ID和Intune。 你可能看不到Microsoft Entra ID和Intune品牌，但你使用的是它们。

还可以从Microsoft 365 管理中心打开Intune管理中心：

1. 转到 https://admin.microsoft.com。

2. 使用 Microsoft 365 租户订阅的管理员帐户登录。

3. 选择 “显示所有>管理中心>终结点管理”。 此时会打开Intune管理中心。

   

创建组并添加用户

本地策略按 LSDOU 顺序应用 - 本地、站点、域和组织单位 (OU) 。 在此层次结构中，OU 策略覆盖本地策略，域策略覆盖站点策略，等等。

在 Intune 中，策略将应用于你创建的用户和组。 不存在层次结构。 例如：

• 如果两个策略更新相同的设置，则该设置将显示为冲突。
• 如果两个符合性策略冲突，则会应用限制性最高的策略。
• 如果两个配置文件冲突，则不会应用该设置。

有关详细信息，请转到 设备策略和配置文件的常见问题、问题和解决方法。

在后续步骤中，将创建安全组，并将用户添加到这些组。 可以将用户添加到多个组。 例如，用户拥有多个设备（例如工作Surface Pro）和 Android 移动设备（个人）很正常。 而且，一个人从这些多台设备访问组织资源是正常的。

1. 在Intune管理中心，选择“组>新建组”。

2. 输入以下设置：

   • 组类型：选择“安全组”。
   • 组名称：输入所有Windows 10学生设备。
   • 成员身份类型：选择“ 已分配”。

3. 选择“ 成员”，并添加一些设备。

   添加设备是可选的。 目标是练习创建组，并了解如何添加设备。 如果在生产环境中使用此演练，请注意你正在执行的操作。

4. 选择>创建 以保存更改。

   看不到你的组？ 选择“ 刷新”。

5. 选择“ 新建组”，并输入以下设置：

   • 组类型：选择“安全组”。

   • 组名称：输入 “所有 Windows 设备”。

   • 成员身份类型：选择“ 动态设备”。

   • 动态设备成员：选择“ 添加动态查询”，并配置查询：

     • 属性：选择 “deviceOSType”。
     • 运算符：选择 “等于”。
     • 值：输入 Windows。

     1. 选择 “添加表达式”。 表达式显示在 Rule 语法中：

        

        当用户或设备满足输入的条件时，它们会自动添加到动态组。 在此示例中，当操作系统为 Windows 时，设备会自动添加到此组。 如果在生产环境中使用此演练，请小心。 目标是练习创建动态组。

     2. 救>创建 以保存更改。

6. 使用以下设置创建 “所有教师 ”组：

   • 组类型：选择“安全组”。

   • 组名称：输入 “所有教师”。

   • 成员身份类型：选择“ 动态用户”。

   • 动态用户成员：选择 “添加动态查询”，并配置查询：

     • 属性：选择 部门。

     • 运算符：选择 “等于”。

     • 值：输入 “教师”。

       1. 选择 “添加表达式”。 表达式显示在 Rule 语法中。

          当用户或设备满足输入的条件时，它们会自动添加到动态组。 在此示例中，当用户的部门为“教师”时，会自动将其添加到此组。 将用户添加到组织时，可以输入部门和其他属性。 如果在生产环境中使用此演练，请小心。 目标是练习创建动态组。

       2. 救>创建 以保存更改。

谈话要点

• 动态组是 Microsoft Entra ID P1 或 P2 中的一项功能。 如果没有Microsoft Entra ID P1 或 P2，则你有权仅创建分配的组。 有关动态组的详细信息，请转到：

  • Microsoft Entra ID (第 1 部分) 中的动态组成员身份
  • Microsoft Entra ID (第 2 部分) 中的动态组成员身份

• Microsoft Entra ID P1 或 P2 包括管理应用和设备时常用的其他服务，包括多重身份验证 (MFA) 和条件访问。

• 许多管理员询问何时使用用户组以及何时使用设备组。 有关一些指南，请转到 用户组与设备组。

• 请记住，一个用户可以属于多个组。 请考虑你可以创建的一些其他动态用户和设备组，例如：

  • 所有学生
  • 所有 Android 设备
  • 所有 iOS/iPadOS 设备
  • 市场营销
  • 人力资源
  • 所有 Charlotte 员工
  • 所有 Redmond 员工
  • 西海岸 IT 管理员
  • 东海岸 IT 管理员

创建的用户和组也显示在Microsoft 365 管理中心、Azure 门户Microsoft Entra ID以及Azure 门户Microsoft Intune。 可以在租户订阅的所有这些区域中创建和管理组。 如果目标是设备管理，请使用 Microsoft Intune 管理中心。

查看组成员身份

1. 在Intune管理中心，选择“用户>”“所有用户>”，选择任何现有用户的名称。
2. 查看可添加或更改的一些信息。 例如，查看可以配置的属性，例如职务、部门、城市、办公室位置等。 创建动态组时，可以在动态查询中使用这些属性。
3. 选择“ 组 ”以查看此用户的成员身份。 还可以从组中删除用户。
4. 选择其他一些选项以查看详细信息以及可以执行的操作。 例如，查看分配的许可证、用户的设备等。

我只是做什么？

在 Intune 管理中心中，你创建了新的安全组，并向这些组添加了现有用户和设备。 在本教程的后续步骤中，我们将使用这些组。

在 Intune 中创建模板

在本部分中，我们将在 Intune 中创建管理模板，查看 组策略 Management 中的一些设置，并在 Intune 中比较相同的设置。 目标是在组策略中显示设置，并在 Intune 中显示相同的设置。

1. 在Intune管理中心，选择“设备>配置>创建”。

2. 输入以下属性：

   • 平台：选择“Windows 10 及更高版本”。
   • 配置文件类型：选择“ 管理模板”。

3. 选择“创建”。

4. 在“基本信息”中，输入以下属性：

   • 名称：输入配置文件的描述性名称。 为配置文件命名，以便稍后可以轻松地识别它们。 例如，输入管理员模板 - Windows 10学生设备。
   • 说明：输入配置文件的说明。 此设置是可选的，但建议进行。

5. 选择 下一步。

6. 在“配置设置”中，“所有设置”显示所有设置的字母顺序列表。 还可以筛选适用于 (计算机配置) 设备的设置，以及应用于用户的设置， (用户配置) ：

   

7. 展开 “计算机配置>”“Microsoft Edge> ”，选择“ SmartScreen 设置”。 请注意策略的路径以及所有可用设置：

   

8. 在搜索中，输入 “下载”。 请注意，策略设置已筛选：

   

打开组策略管理

在本部分中，我们将展示Intune中的策略及其在组策略管理编辑器中的匹配策略。

比较设备策略

1. 在管理员计算机上，打开“组策略管理”应用。

   此应用随 RSAT 一起安装：组策略管理工具，这是你在 Windows 上添加的可选功能。 本文中的先决条件 () 列出了安装步骤。

2. 展开 “域> ”，选择域。 例如，选择 。contoso.net

3. 右键单击 OfficeandEdge 策略 >“编辑”。 此时会打开组策略管理编辑器应用。

   

   OfficeandEdge 是包含 Office 和 Microsoft Edge ADMX 模板的组策略。 本文) 的 先决条件 (介绍了此策略。

4. 展开“计算机配置>策略>管理模板>控制面板>个性化”。 请注意可用的设置。

   

   双击“ 阻止启用锁屏界面相机”，然后查看可用选项：

   

5. 在Intune管理中心，转到管理员模板 - Windows 10学生设备模板。

6. 选择“计算机配置>控制面板>个性化”。 请注意可用的设置：

   

   设置类型为 Device，路径为 /Control Panel/Personalization。 此路径类似于刚刚在 组策略 Management 编辑器 中看到的路径。 如果打开“阻止启用锁屏界面相机”设置，会看到“组策略管理”编辑器中看到的“未配置”、“已启用”和“禁用”选项。

比较用户策略

1. 在管理员模板中，选择“ 计算机配置>”“所有设置”，然后搜索 inprivate browsing。 请注意路径。

   对 用户配置执行相同的操作。 选择“ 所有设置”，然后搜索 inprivate browsing。

2. 在组策略管理编辑器中，找到匹配的用户和设备设置：

   • 设备：展开 计算机配置>策略>管理模板>Windows 组件>Internet Explorer>隐私>关闭 InPrivate 浏览。
   • 用户：展开 用户配置>策略>管理模板>Windows 组件>Internet Explorer>隐私>关闭 InPrivate 浏览。

   

提示

若要查看内置的 Windows 策略，还可以使用 GPEdit (编辑组策略 应用) 。

比较 Microsoft Edge 策略

1. 在Intune管理中心，转到管理员模板 - Windows 10学生设备模板。

2. 展开 “计算机配置>Microsoft Edge>启动”、“主页”和“新建”选项卡页。 请注意可用的设置。

   对 用户配置执行相同的操作。

3. 在组策略管理编辑器中，找到以下设置：

   • 设备：展开 “计算机配置>策略”>“管理模板>”“Microsoft Edge>启动”、“主页”和“新建”选项卡页。
   • 用户：展开 用户配置>策略>管理模板>Microsoft Edge>启动、主页和新选项卡页

我只是做什么？

你在 Intune 中创建了一个管理模板。 在此模板中，我们查看了一些 ADMX 设置，并在 组策略 管理中查看了相同的 ADMX 设置。

将设置添加到“学生”管理员模板

在此模板中，我们将一些 Internet Explorer 设置配置为锁定多个学生共享的设备。

1. 在“管理员模板 - Windows 10学生设备”中，展开“计算机配置”，选择“所有设置”，然后搜索“关闭 InPrivate 浏览”：

   

2. 选择“ 关闭 InPrivate 浏览” 设置。 在此窗口中，请注意可以设置的说明和值。 这些选项类似于在组策略中看到的选项。

3. 选择 “启用>确定 ”以保存更改。

4. 还要配置以下 Internet Explorer 设置。 请务必选择“ 确定” 以保存更改。

   • 允许拖放或复制和粘贴文件

     • 类型：设备
     • 路径：\Windows 组件\Internet Explorer\Internet 控制面板\安全页\Internet 区域
     • 值：已禁用

   • 防止忽略证书错误

     • 类型：设备
     • 路径：\Windows Components\Internet Explorer\Internet 控制面板
     • 值：已启用

   • 禁用更改主页设置

     • 类型：用户
     • 路径：\Windows 组件\Internet Explorer
     • 值：已启用
     • 主页：输入 URL，例如 contoso.com。

5. 清除搜索筛选器。 请注意，配置的设置列在顶部：

   

分配模板

1. 在模板中，选择“ 下一步 ”，直到到达 “作业”。 选择要 包括的组：

   

2. 将显示现有用户和组的列表。 选择之前>创建的“所有Windows 10学生设备”组“”选择”。

   如果在生产环境中使用此演练，请考虑添加为空的组。 目标是练习分配模板。

3. 选择“下一步”。 在 “查看 + 创建”中，选择“ 创建 ”以保存更改。

保存配置文件后，当设备使用Intune检查时，该配置文件将立即应用于设备。 如果设备已连接到 Internet，可能会立即发生。 有关策略刷新时间的详细信息，请转到 设备获取策略、配置文件或应用所需的时间。

分配严格或限制性策略和配置文件时，不要锁定自己。请考虑创建一个从策略和配置文件中排除的组。 其思路是有权进行故障排除。 监视此组以确认它是否按预期使用。

我只是做什么？

在 Intune 管理中心，你创建了一个管理模板设备配置文件，并将此配置文件分配给你创建的组。

创建 OneDrive 模板

在本部分中，将在 Intune 中创建 OneDrive 管理员模板来控制某些设置。 之所以选择这些特定设置，是因为组织经常使用这些设置。

1. (设备>配置>创建) 创建 另一个配置文件。

2. 输入以下属性：

   • 平台：选择“Windows 10 及更高版本”。
   • 配置文件类型：选择“ 管理模板”。

3. 选择“创建”。

4. 在“基本信息”中，输入以下属性：

   • 名称：输入管理员模板 - 适用于所有Windows 10用户的 OneDrive 策略。
   • 说明：输入配置文件的说明。 此设置是可选的，但建议进行。

5. 选择 下一步。

6. 在 “配置设置”中，配置以下设置。 请务必选择“ 确定” 以保存更改：

   • 计算机配置：

     • 让客户使用 Windows 凭据以无提示方式登录 OneDrive 同步客户端
       • 类型：设备
       • 值：已启用
     • 使用 OneDrive 文件随选
       • 类型：设备
       • 值：已启用

   • 用户配置：

     • 阻止用户同步个人 OneDrive 帐户
       • 类型：用户
       • 值：已启用

设置如下所示：

有关 OneDrive 客户端设置的详细信息，请转到使用组策略控制OneDrive 同步客户端设置。

分配模板

1. 在模板中，选择“ 下一步 ”，直到到达 “作业”。 选择要 包括的组：

2. 将显示现有用户和组的列表。 选择之前>创建的“所有 Windows 设备”组“”选择”。

   如果在生产环境中使用此演练，请考虑添加为空的组。 目标是练习分配模板。

3. 选择“下一步”。 在 “查看 + 创建”中，选择“ 创建 ”以保存更改。

此时，你创建了一些管理模板，并将它们分配给了创建的组。 下一步是使用 Windows PowerShell 和 Microsoft 图形 API Intune 创建管理模板。

可选：使用 PowerShell 创建策略并图形 API

本部分使用以下资源。 本部分将安装这些资源。

• Intune PowerShell SDK
• 适用于 Intune 的 Microsoft Graph API

1. 在管理员计算机上，以管理员身份打开Windows PowerShell：

   1. 在搜索栏中，输入 powershell。
   2. 右键单击“Windows PowerShell>以管理员身份运行”。

   

2. 获取并设置执行策略。

   1. 进入： get-ExecutionPolicy

      记下策略设置为的内容（可能是 “受限”）。 完成演练后，将其设置回其原始值。

   2. 进入： Set-ExecutionPolicy -ExecutionPolicy Unrestricted

   3. 输入 Y 以更改它。

   PowerShell 的执行策略有助于防止执行恶意脚本。 有关详细信息，请转到 关于执行策略。

3. 进入： Install-Module -Name Microsoft.Graph.Intune

   在以下的情况下输入 Y ：

   • 要求安装 NuGet 提供程序
   • 要求从不受信任的存储库安装模块

   可能需要几分钟才能完成。 完成后，将显示类似于以下提示的提示：

   

4. 在 Web 浏览器中，转到 https://github.com/Microsoft/Intune-PowerShell-SDK/releases，然后选择 Intune-PowerShell-SDK_v6.1907.00921.0001.zip 文件。

   1. 选择“ 另存为”，然后选择一个你会记住的文件夹。 c:\psscripts 是一个不错的选择。

   2. 打开文件夹，右键单击 .zip 文件 >“提取所有>提取”。 文件夹结构类似于以下文件夹：

      

5. 在“视图”选项卡上，检查文件扩展名：

   

6. 在文件夹中，转到 c:\psscripts\Intune-PowerShell-SDK_v6.1907.00921.0001\drop\outputs\build\Release\net471。 右键单击每个 .dll>“取消阻止属性>”。

   

7. 在Windows PowerShell应用中，输入：

   Import-Module c:\psscripts\Intune-PowerShell-SDK_v6.1907.00921.0001\drop\outputs\build\Release\net471\Microsoft.Graph.Intune.psd1
   

   如果系统提示从不受信任的发布者运行，请输入 R 。

8. Intune管理模板使用 Beta 版 Graph：

   1. 进入： Update-MSGraphEnvironment -SchemaVersion 'beta'

   2. 进入： Connect-MSGraph -AdminConsent

   3. 出现提示时，使用相同的 Microsoft 365 管理员帐户登录。 这些 cmdlet 在租户组织中创建策略。

      用户：输入 Microsoft 365 租户订阅的管理员帐户。
      密码：输入其密码。

   4. 选择“接受”。

9. 创建 测试配置 配置文件。 进入：

   $configuration = Invoke-MSGraphRequest -Url https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations -Content '{"displayName":"Test Configuration","description":"A test configuration created through PS"}' -HttpMethod POST
   

   当这些 cmdlet 成功时，将创建配置文件。 若要确认，请转到Intune管理中心>设备>配置。 应列出 测试配置文件 。

10. 获取所有 SettingDefinitions。 进入：

    $settingDefinitions = Invoke-MSGraphRequest -Url https://graph.microsoft.com/beta/deviceManagement/groupPolicyDefinitions -HttpMethod GET
    

11. 使用设置显示名称查找定义 ID。 进入：

    $desiredSettingDefinition = $settingDefinitions.value | ? {$_.DisplayName -Match "Silently sign in users to the OneDrive sync app with their Windows credentials"}
    

12. 配置设置。 进入：

    $configuredSetting = Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues" -Content ("{""enabled"":""true"",""configurationType"":""policy"",""definition@odata.bind"":""https://graph.microsoft.com/beta/deviceManagement/groupPolicyDefinitions('$($desiredSettingDefinition.id)')""}") -HttpMethod POST
    

    Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues('$($configuredSetting.id)')" -Content ("{""enabled"":""false""}") -HttpMethod PATCH
    

    $configuredSetting = Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues('$($configuredSetting.id)')" -HttpMethod GET
    

查看策略

1. 在Intune管理中心>设备>配置>刷新。
2. 选择测试配置文件>设置。
3. 在下拉列表中，选择“ 所有产品”。

你会看到配置了“以静默方式将用户登录到OneDrive 同步客户端，其 Windows 凭据设置已配置。

策略最佳做法

在 Intune 中创建策略和配置文件时，需要考虑一些建议和最佳做法。 有关详细信息，请转到 策略和配置文件最佳做法。

清理资源

不再需要时，可以：

• 删除创建的组：

  • 所有Windows 10学生设备
  • 所有 Windows 设备
  • 所有教师

• 删除创建的管理员模板：

  • 管理员模板 - Windows 10学生设备
  • 管理员模板 - 适用于所有Windows 10用户的 OneDrive 策略
  • 测试配置

• 将Windows PowerShell执行策略设置回其原始值。 以下示例将执行策略设置为 Restricted：

  Set-ExecutionPolicy -ExecutionPolicy Restricted
  

后续步骤

在本教程中，你更熟悉 Microsoft Intune 管理中心，使用查询生成器创建动态组，并在 Intune 中创建管理模板来配置 ADMX 设置。 还将本地和云中的 ADMX 模板与 Intune 进行了比较。 作为奖励，你使用 PowerShell cmdlet 创建管理模板。

有关 Intune 中的管理模板的详细信息，请转到：

使用 Windows 10/11 模板在 Intune 中配置组策略设置