在 Microsoft Intune 中建立裝置配置檔
裝置配置檔可讓您新增和設定設定,然後將這些設定推送至組織中的裝置。 您在建立原則時有一些選項:
系統管理範本:在 Windows 10/11 裝置上,這些範本是您設定的 ADMX 設定。 如果您熟悉 GPO) (ADMX 原則或組策略物件,則使用系統管理範本是 Microsoft Intune 的自然步驟。
如需詳細資訊,請參閱 系統管理範本
基準:在 Windows 10/11 裝置上,這些基準包含預先設定的安全性設定。 如果您想要使用 Microsoft 安全性小組的建議來建立安全策略,則安全性基準適用於您。
如需詳細資訊,請參閱 安全性基準。
設定目錄:在 Windows 10/11 裝置上,使用設定目錄來查看所有可用的設定,以及在一個位置。 例如,您可以看到套用至 BitLocker 的所有設定,並建立只著重於 BitLocker 的原則。 在macOS裝置上,使用設定目錄來設定 Microsoft Edge 版本 77 和設定。
如需詳細資訊, 請參閱設定目錄。
在macOS上,繼續使用 喜好設定檔案 來:
- 設定舊版 Microsoft Edge
- 設定不在設定目錄中的Edge瀏覽器設定
範本:在 Android、iOS/iPadOS、macOS 和 Windows 裝置上,範本包含設定功能或概念的設定邏輯群組,例如 VPN、電子郵件、kiosk 裝置等等。 如果您熟悉如何在 Microsoft Intune 中建立裝置設定原則,則您已經在使用這些範本。
如需詳細資訊,包括可用的範本,請參閱 使用裝置配置檔在裝置上套用功能和設定。
本文:
- 清單 建立配置檔的步驟。
- 示範如何新增範圍標籤以「篩選」原則。
- 描述 Windows 用戶端裝置上的適用性規則,並示範如何建立規則。
- 深入瞭解裝置接收配置檔和任何配置檔更新時的簽入重新整理周期時間。
建立設定檔
配置檔會在 Microsoft Intune 系統管理中心建立。 在此系統管理中心中,選取 [ 裝置]。 您有下列選項:
- 概觀:清單 配置檔的狀態,並提供您指派給使用者和裝置之配置檔的詳細數據。
- 監視:檢查配置檔的狀態以取得成功或失敗,同時檢視配置檔上的記錄。
- 依平臺:依平臺建立和檢視原則和配置檔。 此檢視也可能顯示平台專屬的功能。 例如,選取 [Windows]。 您會看到 Windows 特定的功能,例如 Windows Update 環和 PowerShell 腳本。
- 管理裝置:建立裝置配置檔、上傳自定義 PowerShell 腳本 以在裝置上執行,以及使用 eSIM 將數據計劃新增至裝置。
當您 (組態建立) > 建立設定檔時,請選擇您的平臺:
- Android 裝置系統管理員
- Android 企業版
- iOS/iPadOS
- macOS
- Windows 10 和更新版本
- Windows 8.1 和更新版本
然後,選擇配置檔。 視您選擇的平臺而定,您可以設定的設定會不同。 下列文章描述不同的設定檔:
- Windows) (系統管理範本
- BIOS 組態和其他設定
- 自訂
- Windows) (傳遞優化
- Android Enterprise、iOS、iPadOS (衍生認證)
- macOS、iOS、iPadOS) (裝置功能
- DFCI) (Windows) (裝置韌體設定介面
- 裝置限制
- Windows) (加入網域
- Windows) (版本升級和模式切換
- 教育 (iOS、iPadOS)
- 電子郵件
- macOS、Windows) (端點保護
- macOS) (延伸模組
- Windows) (身分識別保護
- 資訊站
- 適用於端點的 Microsoft Defender (Windows)
- 行動延伸模組 (Android 裝置系統管理員 (MX) 配置檔)
- Windows) (網路界限
- OEMConfig (Android Enterprise)
- PKCS 憑證
- PKCS 匯入的憑證
- macOS) (喜好設定檔案
- SCEP 憑證
- Windows) (教育版) (安全評定
- 共用多用戶裝置 (Windows)
- 信任的憑證
- VPN
- Wi-Fi
- Windows 健康情況監視
- 有線網路 (macOS)
例如,如果您為平台選取 iOS/iPadOS ,您的選項看起來會類似下列配置檔:
如果您為平台選取 Windows 10 和更新版本,您的選項看起來會類似下列設定檔:
範圍標籤
新增設定之後,您也可以將範圍標籤新增至配置檔。 將標籤範圍篩選設定檔至特定 IT 群組,例如 US-NC IT Team
或 JohnGlenn_ITDepartment
。 此外, 也用於分散式 IT。
如需範圍標籤的詳細資訊,以及您可以執行的動作,請 參閱針對分散式 IT 使用 RBAC 和範圍標籤。
適用性規則
適用於:
- Windows 11
- Windows 10
適用性規則可讓系統管理員將目標設為群組中符合特定準則的裝置。 例如,您會建立適用於 All Windows 10/11 裝置群組的裝置限制設定檔。 而且,您只想要將配置檔指派給執行 Windows Enterprise 的裝置。
若要執行這項工作,請建立 適用性規則。 這些規則適用於下列案例:
- 您會使用 Windows 10 教育版 (EDU) 。 在 Bellows 大學,您想要以 RS3 與 RS4 之間的所有 Windows 10 EDU 裝置為目標。
- 您想要以 Contoso 人力資源中的所有用戶為目標,但只想要 Windows 10 專業或企業版裝置。
若要處理這些案例,您:
在 Bellows 大學建立包含所有裝置的裝置群組。 在配置檔中,新增適用性規則,以便在OS最小版本為且最大版本為
16299
17134
時套用。 將此配置檔指派給Bellows 大學裝置群組。指派配置檔時,配置檔會套用至您輸入的最小和最大版本之間的裝置。 對於不在您輸入之最小和最大版本之間的裝置,其狀態會顯示為 [不適用]。
在 Contoso 建立包含人力資源 (人力資源) 中所有使用者的使用者群組。 在配置檔中,新增適用性規則,使其適用於執行 Windows 10 Professional 或 Enterprise 的裝置。 將此配置檔指派給 HR 使用者群組。
指派配置檔時,配置檔會套用至執行 Windows 10 Professional 或 Enterprise 的裝置。 對於未執行這些版本的裝置,其狀態會顯示為 [不適用]。
如果有兩個配置檔具有完全相同的設定,則會套用沒有適用性規則的配置檔。
例如,ProfileA 以 Windows 10 裝置群組為目標、啟用 BitLocker,而且沒有適用性規則。 ProfileB 以相同的 Windows 10 裝置群組為目標、啟用 BitLocker,並具有僅將配置檔套用至 Windows 10 企業版 的適用性規則。
指派這兩個配置檔時,會套用 ProfileA,因為它沒有適用性規則。
當您將配置檔指派給群組時,適用性規則會作為篩選條件,而且只會以符合您準則的裝置為目標。
新增規則
在您的原則中,選取 [ 適用性規則]。 您可以選擇 [規則] 和 [ 屬性]:
在 [規則] 中,選擇是否要包含或排除使用者或群組。 選項包括:
- 如果:包含符合您輸入準則的使用者或群組,請指派配置檔。
- 如果:排除符合您輸入準則的使用者或群組,請勿指派配置檔。
在 [ 屬性] 中,選擇您的篩選條件。 選項包括:
OS 版本:在清單中,檢查您想要在規則中包含 (或排除) 的 Windows 用戶端版本。
OS 版本:輸入您想要在規則中包含 (或排除) 的最 小 和 最大 Windows 用戶端版本號碼。 這兩個值都是必要的。
例如,您可以輸入
10.0.16299.0
(RS3 或 1709) 作為最小版本, (10.0.17134.0
RS4 或 1803) 以取得最大版本。 或者,您可以更細微地輸入10.0.16299.001
最低版本和10.0.17134.319
最大版本。如需更多版本號碼,請參閱 Windows 用戶端版本資訊。
選 取 [新增 ] 以儲存您的變更。
原則重新整理周期時間
Intune 使用不同重新整理週期來檢查組態設定檔的更新。 如果裝置最近註冊,則調查執行的頻率會更高。 原則和配置檔重新整理週期會 列出估計的重新整理時間。
使用者可以隨時開啟公司入口網站應用程式,並同步裝置以立即檢查設定檔更新。
建議
建立設定檔時,請考慮下列建議:
為您的原則命名,讓您知道原則是什麼,以及原則的用途。 所有 合規性原則 和 組態配置檔 都有選擇性的 Description 屬性。 在 [描述] 中,請指定並包含資訊,讓其他人知道原則的作用。
某些組態設定檔範例包括:
配置檔名稱:管理員 範本 - 適用於所有 Windows 10 使用者的 OneDrive 組態設定檔
配置檔描述:OneDrive 系統管理員範本配置檔,其中包含所有 Windows 10 使用者的最低和基本設定。 建立者 user@contoso.com ,以防止使用者將組織數據共享到個人 OneDrive 帳戶。配置檔名稱:適用於所有 iOS/iPadOS 使用者的 VPN 設定檔
配置檔描述:VPN 配置檔,其中包含所有 iOS/iPadOS 用戶連線到 Contoso VPN 的最小和基本設定。 由 建立, user@contoso.com 讓用戶自動向 VPN 進行驗證,而不是提示使用者輸入其使用者名稱和密碼。依其工作建立配置檔,例如設定 Microsoft Edge 設定、啟用 Microsoft Defender 防病毒軟體設定、封鎖 iOS/iPadOS 越獄裝置等等。
建立套用至特定群組的配置檔,例如行銷、銷售、IT 系統管理員,或依位置或學校系統。
將用戶原則與裝置原則分開。
例如,Intune 中的系統管理範本有數千個 ADMX 設定。 這些範本會顯示設定是否適用於使用者或裝置。 建立系統管理範本時,請將使用者設定指派給使用者群組,並將您的裝置設定指派給裝置群組。
下圖顯示可套用至使用者、套用至裝置,或同時套用至兩者的設定範例:
每次建立限制性原則時,請將這項變更傳達給您的使用者。 例如,如果您要將密碼需求從四 (4) 字元變更為六 (6) 字元,請在指派原則之前讓使用者知道。
後續步驟
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應