使用 Microsoft 端點管理員預覽中的群組原則分析來分析內部部署的群組原則物件 (GPO)

群組原則物件 (Gpo) 使用於內部部署,以設定個人電腦及其他內部部署裝置上的設定。 在 [裝置管理] 中,gpo 可協助控制 Windows 作業系統、Internet Explorer、Office 應用程式等等的安全性和功能。

許多組織都在尋找支援成長遠端員工的雲端解決方案。 群組原則分析 是 Microsoft 端點管理員中的工具和功能,可分析您的內部部署 gpo。 它可協助您決定 Gpo 在雲端中的翻譯方式。 輸出顯示在 MDM 提供者中支援的設定,包括 Microsoft Intune。 此外,它也會顯示所有已被取代的設定,或 MDM 提供者無法使用的設定。

如果您的組織使用 gpo,而您想要將某些工作負載移至 Microsoft 端點管理員和 Intune,則群組原則分析將會有所説明。

本功能適用於:

  • Windows 11
  • Windows 10

本文說明如何匯出 gpo、將 gpo 匯入端點管理員,以及複查分析和結果。

必要條件

以具有 安全性基準 許可權的角色,登入 Intune 系統管理員。 例如, 端點安全管理員 角色具有 安全性基準 許可權。 如需內建角色的詳細資訊,請參閱以 角色為基礎的存取控制

將 Gpo 匯出為 XML 檔案

  1. 在您的內部部署電腦上,開啟 Group Policy Management app (GPMC) 。

  2. 展開您的網域,以查看所有 Gpo。

  3. 以滑鼠右鍵按一下任何 GPO > 儲存報告

    開啟「群組原則管理」,並將 GPO 儲存為 XML 檔報告。

  4. 將檔案儲存到易於存取的資料夾,並將它儲存為 XML 檔案。 您將在端點管理員中新增此檔案。

請確定檔案小於 4 MB,且具有適當的 unicode 編碼。 如果匯出的檔案大於 4 MB,則當您從 GPMC 中儲存報告時,會包含較少的 Gpo。

使用群組原則分析

  1. Microsoft 端點管理員系統管理中心,選取 [裝置] [ > 群組原則分析 (預覽])

  2. 選取 [匯 ],然後選取您儲存的 XML 檔案。 當您選取 XML 檔時,Intune 會自動分析 XML 檔中的 GPO。

    檢查您的個別 GPO XML 檔案的大小。 單一 GPO 不能大於 4 MB。 如果單一 GPO 大於 4 MB,則匯入將會失敗。 沒有適當 unicode 結尾的 XML 檔案也會失敗。

  3. 在執行分析之後,會列出您所匯入的 GPO,並提供下列資訊:

    • 群組原則名稱:會使用 GPO 中的資訊自動產生名稱。

    • Active Directory 目標:會以組織單位 (OU) GPO 中的目標資訊,自動產生目標。

    • MDM 支援:顯示 GPO 中的群組原則設定所占的百分比,在 Intune 中有相同的設定。

      注意

      每當 Microsoft Intune 的產品小組變更 Intune 中的對應時,MDM 支援下的百分比會自動更新以反映這些變更。

    • 未知的設定:顯示在此工具可以剖析 (csp) 的設定服務提供者清單之外的 GPO 設定。

    • 目標于 AD 表示 GPO 連結至內部部署群組原則中的 OU。 No 表示 GPO 未連結至內部部署 OU。

    • 上次匯入:顯示最後一次匯入的日期。

    您可以匯 更多 gpo 以進行 分析、重新整理頁面,以及****篩選 輸出。 您也可以將此視圖 匯出 至檔案 .csv

    在 Microsoft Intune 及端點管理員系統管理中心中,匯入、重新整理、篩選或匯出群組原則物件 (GPO) 至 CSV 檔案。

  4. 選取列出之 GPO 的 MDM 支援 百分比。 有關 GPO 的詳細資訊,請如下所示:

    • 設定名稱:會以 GPO 設定中的資訊自動產生名稱。

    • 群組原則設定類別:顯示 ADMX 設定的設定類別,例如 Internet Explorer 和 Microsoft Edge。 並非所有設定都有設定類別。

    • MDM 支援

      Yes 表示端點管理員中有符合設定可供使用。 您可以在設定目錄中設定此設定。

      [] 表示沒有對應設定可供 MDM 提供者(包括 Intune)使用。

      如需裝置設定檔的詳細資訊,請參閱 使用裝置設定檔套用裝置上的功能和設定

    • :顯示從 GPO 匯入的值。 它會顯示不同的值,例如、、等等 true 900 Enabled false

    • 範圍:顯示匯入的 GPO 是針對使用者或目標裝置。

    • 最小作業系統版本:顯示 GPO 設定所套用的最低 Windows 作業系統版本組建編號。 它可能會顯示 18362 (1903) 、 17130 (1803) 及其他 Windows 用戶端版本。

      例如,如果原則設定會顯示 18362 ,則設定會支援組建 18362 和更新版本。

    • csp Name: Configuration Service Provider (CSP) 會公開 Windows 用戶端中的裝置設定設定。 此欄顯示包含此設定的 CSP。 例如,您可能會看到 [原則]、[BitLocker]、[PassportforWork] 等等。

      如需 Csp 的詳細資訊,請參閱 csp 參考

    • CSP 對應:顯示內部部署原則的 OMA URI 路徑。 您可以使用 自訂裝置設定檔中的 oma-uri。 例如,您可能會看到 ./Device/Vendor/MSFT/BitLocker/RequireDeviceEnryption

支援的 Csp 和群組原則

群組原則分析可以分析下列 Csp:

如果您匯入的 GPO 中有不受支援的 csp 和群組原則的設定,則設定可能會列在 [未知的設定] 欄中。 此行為表示您的 GPO 中已識別出的設定。

已知問題

目前,「群組原則分析 (預覽」) 工具僅支援英文版的非 ADMX 設定。 如果您匯入 GPO 時使用非英文語言的設定,則 MDM 支援% 會不准確。

群組原則遷移準備報告

  1. Microsoft 端點管理員系統管理中心,選取 [報告] > 群組原則分析 (預覽])

    使用 Microsoft Intune 和端點管理員系統管理中心的群組原則分析檢查匯入的 gpo 報告和輸出。

  2. 在 [ 摘要 ] 索引標籤中,會顯示 GPO 及其原則的摘要。 使用此資訊來判斷您的 GPO 中的原則狀態:

    • 準備好進行遷移:此原則在 Intune 中有符合的設定,並且已準備好可遷移至 intune。
    • 不支援:原則沒有符合的設定。 通常,顯示此狀態的原則設定並不會對 MDM 提供者(包括 Intune)公開。
    • 過時:原則可能會套用到舊版的 Windows 版本,而且不再用於 Windows 10/11。
  3. 選取 [ 報告 ] 索引標籤 > 群組原則遷移準備。 在此報告中,您可以:

    • 請參閱在裝置設定檔中可用的 GPO 中的設定數目(如果可以位於自訂設定檔中,則不受支援,或已被取代)。
    • 使用 遷移準備工作配置檔案類型CSP 名稱 篩選器,篩選報表輸出。
    • 選取 [ 產生報告 ] 或 [ 再次產生 ],以取得目前的資料。
    • 請參閱 GPO 中的設定清單。
    • 使用搜尋列尋找特定設定。
    • 取得報告上次產生的時間戳記。

    注意

    在您新增或移除匯入的 Gpo 後,可能需要大約20分鐘的時間來更新遷移準備報告資料。

傳送產品意見反應

當您選取 [ 獲得意見 反應] 時,您可以提供群組原則分析的意見反應。 意見反應區域的範例:

  • 您接收到 GPO 匯入或分析時發生錯誤,您需要更多特定資訊。
  • 使用群組原則分析在 Microsoft Intune 中尋找支援的群組原則的難易程度如何?
  • 這個工具會協助您將部分工作負載移至端點管理員嗎? 如果是,您考慮哪些工作負載?

若要取得客戶經驗的資訊,請匯總意見反應,並將其傳送給 Microsoft。 輸入電子郵件是選用的,而且可以用來取得詳細資訊。

隱私權和安全性

匯總時,任何使用客戶資料(例如組織中使用的 Gpo)。 它不會銷售給任何協力廠商。 這種資料可能會用來在 Microsoft 內進行業務決策。 您的客戶資料會安全地儲存。

您可以在任何時候刪除匯入的 Gpo:

  1. 移至 [裝置] 「 > 群組原則分析」 (預覽)

  2. 選取 > 刪除 的快顯功能表:

    在 [Microsoft Intune 和端點管理員系統管理中心] 的 [群組原則分析器] 中 (GPO) 中刪除或移除群組原則物件。

後續步驟

另請參閱

深入瞭解設定 服務提供者 (CSP)