教程:使用云在具有 ADMX 模板和 Windows 10 的设备上配置组Microsoft Intune

备注

本教程是作为 Microsoft Ignite 的技术研讨会创建的。 与典型的教程相比,它的先决条件更多,因为它在 Intune 和本地使用和配置 ADMX 策略进行比较。

组策略管理模板(也称为 ADMX 模板)包括可在计算机等Windows 10配置的设置。 ADMX 模板设置由不同的服务提供。 这些设置由移动设备管理 (MDM) 使用,包括Microsoft Intune。 例如,可以在 PowerPoint 中打开设计灵感、在 Microsoft Edge 中设置主页、ActiveX控件Internet Explorer等。

ADMX 模板可用于以下服务:

有关 ADMX 策略详细信息,请参阅 了解 ADMX 支持的策略

这些模板内置于Microsoft Intune中,并作为 管理模板配置文件 提供。 在此配置文件中,配置要包含的设置,然后将此配置文件"分配给"你的设备。

在本教程中,你将:

  • 获取对管理Microsoft Endpoint Manager介绍
  • 创建用户组和创建设备组。
  • 将 Intune 中的设置与本地 ADMX 设置进行比较。
  • 创建不同的管理模板,并配置面向不同组的设置。

在此实验结束时,你将拥有开始使用 Intune 和 Microsoft 365管理用户和部署管理模板的技能。

此功能适用于:

  • Windows 10版本 1709 和更高版本

提示

创建管理模板的方法有两种:使用模板,或者使用设置目录。 本文重点介绍使用管理 模板 模板。 该设置目录具有更多可用的管理模板设置。 有关使用目录的特定设置,请参阅使用设置目录配置设置

先决条件

  • A Microsoft 365 E3 or E5 subscription, which includes Intune and Azure Active Directory (AD) premium. 如果你没有 E3 或 E5 订阅, 请尝试免费

    有关使用不同的许可证获取哪些功能Microsoft 365,请参阅使用Enterprise转换Microsoft 365。

  • Microsoft Intune配置为 Intune MDM 颁发机构。 有关详细信息,请参阅设置 移动设备管理机构

    将 MDM 颁发机构Microsoft Intune租户状态

  • 在本地 Active Directory 域控制器上 (DC) :

    1. 将以下Office和Microsoft Edge模板复制到sysvol (中心) :

    2. 创建组策略以将这些模板推送到Windows 10 企业版与 DC 相同的域中的管理员计算机。 本教程内容:

      • 我们使用这些模板创建的组策略称为 OfficeandEdge。 你将在图像中看到此名称。
      • 我们Windows 10 企业版管理员计算机称为管理 计算机

      在某些组织中,域管理员有两个帐户:

      • 典型的域工作帐户
      • 仅用于域管理员任务的不同域管理员帐户,例如组策略

      管理计算机 的用途是供管理员使用其域管理员帐户和用于管理组策略的访问工具登录。

  • 在此管理 计算机上

    • 使用域管理员帐户登录。

    • 安装 RSAT:组策略管理工具

      1. 打开 "设置 应用> > 应用""可选功能 > ""添加功能"。

      2. 选择 RSAT:组策略管理工具 > 安装

        在安装Windows时等待。 完成后,它最终会显示在Windows 管理工具" 应用中。

        Windows管理工具应用,包括组策略管理应用

    • 请确保你拥有对 Microsoft 365 订阅的 Internet 访问权限和管理员权限,Endpoint Manager管理中心。

打开Endpoint Manager管理中心

  1. 打开 Chromium Web 浏览器,Microsoft Edge 77 及更高版本。

  2. 转到管理Microsoft Endpoint Manager中心。 使用下列帐户登录:

    用户:输入租户订阅Microsoft 365帐户。
    密码:输入其密码。

此管理中心专注于设备管理,包括 Azure 服务,如 Azure AD 和 Intune。 你可能不会 看到Azure Active Directory Intune 品牌,但正在使用它们。

还可以从以下Endpoint Manager打开管理Microsoft 365 管理中心:

  1. 转到 https://admin.microsoft.com

  2. 使用租户订阅的管理员帐户Microsoft 365登录。

  3. 选择 显示所有 > 管理中心 > 终结点管理。 将Endpoint Manager管理中心。

    查看管理中心内的所有Microsoft 365 管理中心

创建组和添加用户

本地策略按 LSDOU 顺序应用 - 本地、站点、域和组织单位 (OU) 。 在此层次结构中,OU 策略覆盖本地策略,域策略覆盖站点策略,等等。

在 Intune 中,策略将应用于你创建的用户和组。 没有层次结构。 例如:

  • 如果两个策略更新同一设置,该设置将显示为冲突。
  • 如果两个合规性策略发生冲突,则最严格的策略适用。
  • 如果两个配置文件存在冲突,则不应用该设置。

有关详细信息,请参阅 设备策略和配置文件的常见问题、问题和解决方法。

在下列步骤中,您将创建安全组,然后向这些组添加用户。 可以将用户添加到多个组。 例如,用户拥有多台设备很正常,例如Surface Pro设备和个人版 Android 移动设备。 而且,用户从这些多台设备访问组织资源是正常的。

  1. In the Endpoint Manager admin center, select Groups > New group.

  2. 输入以下设置:

    • 组类型:选择"安全性"。
    • 组名称输入Windows 10设备的所有组
    • 成员身份类型:选择 "已分配"。
  3. 选择 "成员",然后添加一些设备。

    添加设备是可选的。 目标是实践创建组,并了解如何添加设备。 如果你在生产环境中使用本教程,请注意你正在做什么。

  4. 选择 > 创建 以保存更改。

    看不到你的组? 选择"刷新"。

  5. 选择 "新建组",然后输入以下设置:

    • 组类型:选择"安全性"。

    • 组名称输入Windows设备

    • 成员身份类型:选择 动态设备

    • 动态设备成员:选择 "添加动态查询", 然后配置查询:

      • 属性:选择 deviceOSType
      • 运算符:选择 "等于"。
      • :输入 Windows
      1. 选择 "添加表达式"。 您的表达式显示在 Rule 语法中

        创建动态查询,在管理模板中添加Microsoft Intune表达式

        当用户或设备符合你输入的条件时,会自动将用户或设备添加到动态组中。 本示例中,当操作系统已打开时,设备会自动添加到Windows。 如果在生产环境中使用本教程,请小心。 目标是实践创建动态组。

      2. 保存 > 创建 以保存更改。

  6. 创建 具有以下设置的"所有教师 "组:

    • 组类型:选择"安全性"。

    • 组名称:输入 所有教师

    • 成员资格类型:选择 "动态用户"。

    • 动态用户成员:选择 "添加动态查询", 然后配置查询:

      • 属性:选择 部门

      • 运算符:选择 "等于"。

      • :输入 教师

        1. 选择 "添加表达式"。 您的表达式显示在 Rule 语法 中

          当用户或设备符合你输入的条件时,会自动将用户或设备添加到动态组中。 本示例中,如果用户的部门是教师,则会自动将用户添加到该组。 在将用户添加到组织时,可以输入部门和其他属性。 如果在生产环境中使用本教程,请小心。 目标是实践创建动态组。

        2. 保存 > 创建 以保存更改。

说话点

  • 动态组是动态组Azure AD Premium。 如果你没有此权限Azure AD Premium,则你已获得仅创建分配组的许可。 有关动态组详细信息,请参阅:

  • Azure AD Premium管理应用和设备时常用的其他服务,包括多重身份验证 (MFA) 和条件访问

  • 许多管理员询问何时使用用户组以及何时使用设备组。 有关一些指南,请参阅 用户组和设备组

  • 请记住,用户可以属于多个组。 请考虑可以创建的一些其他动态用户和设备组,例如:

    • 所有学生
    • 所有 Android 设备
    • 所有 iOS/iPadOS 设备
    • 市场营销
    • 人力资源
    • 所有员工
    • 所有 Redmond 员工
    • 东海岸 IT 管理员
    • 东海岸 IT 管理员

在 Azure 门户的 Microsoft 365 管理中心、Azure AD和 Azure Microsoft Intune 中,也会看到已创建的用户和组。 可以在所有这些区域为租户订阅创建和管理组。 如果你的目标是设备管理,请使用Microsoft Endpoint Manager 中心。

查看组成员身份

  1. 在Endpoint Manager中心,选择"用户>选择 任何现有用户的名称。

    在Endpoint Manager中心中,选择"用户"

  2. 查看可以添加或更改的一些信息。 例如,查看可以配置的属性,如职务、部门、市/县Office位置等。 在创建动态组时,可以在动态查询中使用这些属性。

  3. 选择 " 组"以查看此用户的成员身份。 还可以从组中删除用户。

  4. 选择其他一些选项以查看详细信息以及您可以执行哪些工作。 例如,查看分配的许可证、用户设备等。

我刚才做什么了?

在Endpoint Manager中心中,你创建了新的安全组,并且向这些组添加了现有用户和设备。 我们将在本教程的稍后步骤中使用这些组。

在 Intune 中创建模板

在此部分中,我们将在 Intune 中创建管理模板,查看组策略管理中的某些设置,并比较 Intune 中的相同设置。 目标是在组策略中显示设置,在 Intune 中显示相同的设置。

  1. In the Endpoint Manager admin center, select Devices > Configuration profiles Create > profile.

  2. 输入以下属性:

    • 平台:选择 Windows 10及更高版本
    • 配置文件:选择 "管理模板"。
  3. 选择“创建”。

  4. "基本" 中,输入以下属性:

    • 名称:输入配置文件的描述性名称。 命名配置文件,以便稍后轻松识别它们。 例如,输入 "管理员模板 - Windows 10学生设备"。
    • 说明:输入配置文件的说明。 此设置是可选的,但建议这样做。
  5. 选择 下一步

  6. "配置设置**"中,"** 所有设置"显示所有设置的字母列表。 还可以筛选适用于计算机配置 (设备的设置) 适用于用户配置 (用户的) :

    将 ADMX 模板设置应用于用户和设备Microsoft Intune Endpoint Manager

  7. 展开 计算机配置 > **Microsoft Edge>**选择 SmartScreen 设置。 请注意策略的路径以及所有可用设置:

    请参阅 Microsoft Edge ADMX 模板中的 SmartScreen 策略Microsoft Intune

  8. 在搜索中,输入 下载。 请注意,已筛选策略设置:

    筛选Microsoft Edge ADMX 模板中的 smartScreen Microsoft Intune设置

打开组策略管理

在此部分中,我们将在组策略管理编辑器中显示 Intune 中的策略及其匹配策略。

比较设备策略

  1. 在管理 计算机上,打开 组策略管理 应用。

    此应用程序随 RSAT 一起安装:组策略 管理工具,这是安装在 Windows 上的可选功能。 本文 (的先决条件) 安装步骤。

  2. 展开 "域 >选择你的域。 例如,选择 "contoso.net"。

  3. 右键单击 "编辑"> OfficeandEdge 策略。 将打开组策略管理编辑器应用。

    右键单击Office并Microsoft Edge ADMX 组策略,然后选择"编辑"

    OfficeandEdge 是一个组策略,其中包含Office和Microsoft Edge ADMX 模板。 本文介绍的先决条件 部分 (此策略) 。

  4. 展开 "计算机配置 > 策略 > ""管理模板 > ""控制面板 > ""个性化"。 请注意可用的设置。

    展开组策略管理编辑器中的"计算机配置",然后转到"个性化"

    双击" 阻止启用锁屏界面相机", 然后查看可用选项:

    请参阅组策略中的计算机配置设置选项

  5. 在Endpoint Manager中心,转到"管理员"模板 - Windows 10学生设备 模板。

  6. 选择 "计算机配置 > 控制面板 > ""个性化"。 请注意可用的设置:

    个性化策略设置路径Microsoft Intune

    设置类型为 Device,路径为 /Control Panel/Personalization。 此路径类似于刚刚在组策略管理编辑器中所看到的路径。 如果打开"阻止 启用锁 屏界面相机"设置,则会看到在组策略管理编辑器中看到的相同"未配置、已启用"和" 禁用"选项。

比较用户策略

  1. 在管理模板中,选择计算机 配置 > 所有 设置 ,并搜索 隐私浏览。 请注意路径。

    对"用户配置" 执行相同的操作。 选择 "所有设置",然后搜索 隐私浏览

  2. 组策略管理编辑器 中,查找匹配的用户和设备设置:

    • 设备:展开 计算机配置 > 策略 管理模板 > > Windows组件 > Internet Explorer > 隐私 > 关闭 InPrivate 浏览
    • 用户:展开 用户配置 > 策略 管理模板 > > Windows组件 > Internet Explorer > 隐私 > 关闭 InPrivate 浏览

    使用 ADMX 模板Internet Explorer InPrivate 浏览

提示

若要查看内置策略,Windows编辑组策略应用 (GPEdit ) 。

比较Microsoft Edge策略

  1. 在Endpoint Manager中心,转到"管理员"模板 - Windows 10学生设备 模板。

  2. 展开 计算机配置 > Microsoft Edge > 启动、主页和新选项卡页。 请注意可用的设置。

    对"用户配置" 执行相同的操作

  3. 在组策略管理编辑器中,找到这些设置:

    • 设备:展开 计算机配置 > 策略 > 管理 Microsoft Edge > > 启动、主页和新选项卡页
    • 用户:展开 用户配置 > 策略 > 管理模板 > Microsoft Edge > 启动、主页和新选项卡页

我刚才做什么了?

在 Intune 中创建了管理模板。 在此模板中,我们查看了一些 ADMX 设置,并查看了组策略管理中的相同 ADMX 设置。

将设置添加到学生管理模板

在此模板中,我们将配置一Internet Explorer设置以锁定由多个学生共享的设备。

  1. In your Admin template - Windows 10 student devices, expand Computer configuration, select All settings, and search for Turn off InPrivate Browsing

    在管理模板中关闭 InPrivate 浏览设备Microsoft Intune

  2. 选择关闭 InPrivate 浏览 设置。 在此窗口中,请注意可以设置的说明和值。 这些选项类似于你在组策略中看到的选项。

  3. 选择 "启用 > 确定"保存更改。

  4. 此外,配置以下Internet Explorer设置。 请务必选择" 确定" 保存更改。

    • 允许拖放或复制并粘贴文件

      • 类型:设备
      • 路径: \Windows Components\Internet Explorer\Internet Control Panel\Security Page\Internet Zone
      • :已禁用
    • 防止忽略证书错误

      • 类型:设备
      • 路径: \Windows Components\Internet Explorer\Internet Control Panel
      • :已启用
    • 禁止更改主页设置

      • 类型:用户
      • 路径: \Windows Components\Internet Explorer
      • :已启用
      • 主页: 输入 URL,例如 contoso.com
  5. 清除搜索筛选器。 请注意,你配置的设置列在顶部:

    配置的设置在"配置设置"Microsoft Intune

分配模板

  1. 在模板中,选择 "下一 步",直到到达"分配 "。 选择 "选择要包含的组":

    Select your administrative template profile from the Device Configuration profiles list in Microsoft Intune

  2. 将显示现有用户和组的列表。 Select the All Windows 10 student devices group you created earlier > Select.

    如果在生产环境中使用本教程,请考虑添加空组。 目标是实践分配模板。

  3. 选择 下一步。 在 "查看 + 创建",选择"创建 "以保存更改。

配置文件一旦保存,就会在设备签入 Intune 时应用于设备。 如果设备连接到 Internet,它会立即发生。 有关策略刷新时间详细信息,请参阅设备获取策略、配置文件或应用需要的时间。

分配严格或严格的策略和配置文件时,不要锁定自己。请考虑创建一个从策略和配置文件中排除的组。 该想法是有权访问疑难解答。 监视此组以确认是否按预期使用。

我刚才做什么了?

在Endpoint Manager中心中,你创建了管理模板设备配置文件,并将此配置文件分配给你创建的组。

创建OneDrive模板

在此部分中,你将在 Intune OneDrive管理模板来控制某些设置。 选择这些特定设置是因为它们经常由组织使用。

  1. Create another profile ( > Devices Configuration profiles > 创建配置文件) 。

  2. 输入以下属性:

    • 平台:选择 Windows 10及更高版本
    • 配置文件:选择 "管理模板"。
  3. 选择“创建”。

  4. "基本" 中,输入以下属性:

    • 名称:输入 管理模板 - OneDrive应用于所有用户Windows 10策略
    • 说明:输入配置文件的说明。 此设置是可选的,但建议这样做。
  5. 选择 下一步

  6. "配置设置" 中,配置以下设置。 请务必选择" 确定" 保存更改:

    • 计算机配置

      • 让客户使用 Windows 凭据以无提示方式登录 OneDrive 同步客户端
        • 类型:设备
        • :已启用
      • 使用 OneDrive 文件随选
        • 类型:设备
        • :已启用
    • 用户配置

      • 阻止用户同步个人 OneDrive 帐户
        • 类型:用户
        • :已启用

你的设置类似于以下设置:

在OneDrive创建一个管理Microsoft Intune

有关客户端设置OneDrive,请参阅使用组策略控制OneDrive 同步客户端设置

分配模板

  1. 在模板中,选择 "下一 步",直到到达"分配 "。 选择 "选择要包含的组":

  2. 将显示现有用户和组的列表。 选择之前 Windows创建 的所有设备>选择

    如果在生产环境中使用本教程,请考虑添加空组。 目标是实践分配模板。

  3. 选择 下一步。 在 "查看 + 创建",选择"创建 "以保存更改。

此时,您创建了一些管理模板,并将其分配给您创建的组。 下一步是使用 Windows PowerShell 和适用于 Intune 的 Microsoft Graph API 创建管理模板。

可选:使用 PowerShell 和 Graph API 创建策略

本节使用下列资源。 我们将在此部分中安装这些资源。

  1. 在"管理"计算机上 Windows PowerShell打开"管理员":

    1. 在搜索栏中,输入 powershell
    2. 右键单击 "Windows PowerShell > 以管理员角色运行"。

    以Windows PowerShell运行网站

  2. 获取并设置执行策略。

    1. 输入: get-ExecutionPolicy

      记下设置内容,这可能为 "受限"。 完成本教程后,请设置回其原始值。

    2. 输入: Set-ExecutionPolicy -ExecutionPolicy Unrestricted

    3. 输入 Y 以更改它。

    PowerShell 的执行策略有助于防止执行恶意脚本。 有关详细信息,请参阅关于 执行策略

  3. 输入: Install-Module -Name Microsoft.Graph.Intune

    输入 Y if:

    • 系统要求安装NuGet提供程序
    • 要求从不受信任的存储库安装模块

    可能需要几分钟才能完成。 完成后,将显示类似于以下提示的提示:

    Windows PowerShell模块后显示提示

  4. 在 Web 浏览器中,转到 https://github.com/Microsoft/Intune-PowerShell-SDK/releases ,然后选择Intune-PowerShell-SDK_v6.1907.00921.0001.zip文件。

    1. 选择 "另存为",然后选择您将记住的文件夹。 c:\psscripts 是一个不错的选择。

    2. 打开文件夹,右键单击".zip文件>提取所有 > "。 文件夹结构类似于以下文件夹:

      提取后的 Intune PowerShell SDK 文件夹结构

  5. 在"视图" 选项卡上,选中 "文件扩展名":

    在资源管理器的"视图"选项卡上选择文件扩展名

  6. 在文件夹中,转到 c:\psscripts\Intune-PowerShell-SDK_v6.1907.00921.0001\drop\outputs\build\Release\net471 。 右键单击"取消.dll > > 属性"。

    取消阻止 DLL

  7. "Windows PowerShell 应用中,输入:

    Import-Module c:\psscripts\Intune-PowerShell-SDK_v6.1907.00921.0001\drop\outputs\build\Release\net471\Microsoft.Graph.Intune.psd1
    

    如果 R 系统提示从不受信任的发布者运行,则输入 。

  8. Intune 管理模板使用 beta 版本的 Graph:

    1. 输入: Update-MSGraphEnvironment -SchemaVersion 'beta'

    2. 输入: Connect-MSGraph -AdminConsent

    3. 当系统提示时,使用同一管理员Microsoft 365登录。 这些 cmdlet 在租户组织中创建策略。

      用户:输入你的租户订阅Microsoft 365帐户。
      密码:输入其密码。

    4. 选择“接受”。

  9. 创建 测试配置 配置文件。 输入:

    $configuration = Invoke-MSGraphRequest -Url https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations -Content '{"displayName":"Test Configuration","description":"A test configuration created through PS"}' -HttpMethod POST
    

    这些 cmdlet 成功后,将创建配置文件。 若要确认,请转到"Endpoint Manager管理>配置文件"。列出测试 配置文件。

  10. 获取所有 SettingDefinitions。 输入:

    $settingDefinitions = Invoke-MSGraphRequest -Url https://graph.microsoft.com/beta/deviceManagement/groupPolicyDefinitions -HttpMethod GET
    
  11. 使用设置属性查找显示名称。 输入:

    $desiredSettingDefinition = $settingDefinitions.value | ? {$_.DisplayName -Match "Silently sign in users to the OneDrive sync client with their Windows credentials"}
    
  12. 配置设置。 输入:

    $configuredSetting = Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues" -Content ("{""enabled"":""true"",""configurationType"":""policy"",""definition@odata.bind"":""https://graph.microsoft.com/beta/deviceManagement/groupPolicyDefinitions('$($desiredSettingDefinition.id)')""}") -HttpMethod POST
    
    Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues('$($configuredSetting.id)')" -Content ("{""enabled"":""false""}") -HttpMethod PATCH
    
    $configuredSetting = Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues('$($configuredSetting.id)')" -HttpMethod GET
    

查看策略

  1. In the Endpoint Manager admin center > Configuration Profiles > Refresh.
  2. 选择测试 配置文件**>设置。**
  3. 在下拉列表中,选择所有产品。

可以看到,已 配置用户以无OneDrive 同步方式登录到 Windows 凭据设置。

策略最佳做法

在 Intune 中创建策略和配置文件时,需要考虑一些建议和最佳做法。 有关详细信息,请参阅 策略和配置文件最佳做法

清理资源

当不再需要时,你可以:

  • 删除创建的组:

    • 所有Windows 10学生设备
    • 所有Windows设备
    • 所有教师
  • 删除创建的管理模板:

    • 管理模板 - Windows 10学生设备
    • 管理模板 - OneDrive应用于所有用户Windows 10策略
    • 测试配置
  • 将Windows PowerShell策略设置回其原始值。 以下示例将执行策略设置为"受限":

    Set-ExecutionPolicy -ExecutionPolicy Restricted
    

后续步骤

在本教程中,你更熟悉 Microsoft Endpoint Manager管理中心,使用查询生成器创建动态组,在 Intune 中创建管理模板以配置ADMX 设置。 此外,还可以将本地和云中的 ADMX 模板与 Intune 进行比较。 作为一个好处,你使用 PowerShell cmdlet 创建管理模板。

有关 Intune 中的管理模板详细信息,请参阅: