使用設定目錄在 Windows、iOS/iPadOS 和 macOS 裝置上設定設定
[設定] 目錄會列出您可以設定的所有設定,而且全部位於一個位置。 此功能可簡化您如何建立原則,以及如何查看所有可用的設定。 例如,您可以使用設定目錄來建立具有所有 BitLocker 設定的 BitLocker 原則。
您也可以在 Intune 中使用 Microsoft Copilot。 當您搭配設定目錄使用 Copilot 功能時,可以使用 Copilot 來:
- 深入瞭解每個設定、取得影響假設分析,以及尋找潛在的衝突。
- 摘要現有的原則,並取得對用戶和安全性的影響分析。
如果您想要在更細微的層級設定設定,類似於內部部署 群組原則 物件 (GPO) ,則設定目錄會自然轉換為雲端式原則。
當您建立原則時,您會從頭開始。 您僅新增要控制和管理的設定。
若要管理及保護組織中的裝置,請使用設定目錄作為行動裝置管理 (MDM) 解決方案的一部分。 設定目錄中會持續新增更多設定。 如需設定清單,請移至 IntunePMFiles / DeviceConfig GitHub 存放庫。
本功能適用於:
iOS/iPadOS
包含直接從 Apple Profile-Specific 承載金鑰產生的裝置設定。 會持續新增更多設定和索引鍵。 若要深入瞭解配置檔特定承載密鑰,請移至 配置檔特定承載密鑰 (開啟 Apple 的網站) 。
Apple 的宣告式裝置管理 (DDM) 內建於設定目錄中。 當您在使用 使用者註冊註冊的 iOS/iPadOS 15+ 裝置上從設定目錄設定設定時,您會自動使用 DDM。 如果 DDM 因任何原因而無法運作,則這些裝置會使用 Apple 的標準 MDM 通訊協定。 所有其他 iOS/iPadOS 裝置都會繼續使用 Apple 的標準 MDM 通訊協定。
macOS
包含直接從 Apple Profile-Specific 承載金鑰產生的裝置設定。 會持續新增更多設定和索引鍵。 若要深入瞭解配置檔特定承載密鑰,請移至 配置檔特定承載密鑰 (開啟 Apple 的網站) 。
Apple 的宣告式裝置管理 (DDM) 可在設定目錄中取得。 您可以 使用 DDM 來管理軟體更新、密碼限制等等。
Windows 10/11
有數千個設定,包括先前無法使用的設定。 這些設定是直接從 Windows 設定服務提供者 (CSP) 產生。 您也可以設定系統管理範本,並提供更多系統管理範本設定。 當 Windows 新增或公開更多設定給 MDM 提供者時,這些設定會更快速地新增至 Microsoft Intune 供您設定。
提示
- 如需設定目錄中的設定清單,請移至 IntunePMFiles / DeviceConfig GitHub 存放庫。
- 若要查看您已設定的 Microsoft Edge 原則,請開啟 Microsoft Edge,然後移至
edge://policy
。
本文列出建立原則的步驟、示範如何在 Intune 中搜尋和篩選設定,以及示範如何使用 Copilot。
當您建立原則時,它會建立裝置組態配置檔。 然後,您可以將此設定檔指派或部署至組織中的裝置。
如需您可以使用設定目錄設定之某些功能的詳細資訊,請移至您可以在 Intune 中使用 [設定目錄] 完成的工作。
建立原則
您可以使用設定目錄設定檔類型來建立原則。
選取 [裝置>設定>Create]。
輸入下列內容:
- 平台:選取 iOS/iPadOS、macOS 或 Windows 10 及更新版本。
- 設定檔類型:選 取 [設定目錄]。
選取 [建立]。
在 [基本資訊] 中,輸入下列內容:
- 名稱:輸入設定檔的描述性名稱。 為您的配置檔命名,以便稍後輕鬆地識別它們。 例如,良好的配置檔名稱是 macOS:MSFT Edge 設定 或 Win10:所有 Win10 裝置的 BitLocker 設定。
- 描述:輸入設定檔的描述。 這是選擇性設定,但建議進行。
選取[下一步]。
在 [ 組態設定] 中,選取 [ 新增設定]。 在 [設定選擇器] 中,選取類別以查看所有可用的設定。
例如,選取 [Windows 10 和更新版本],然後選取 [驗證] 以查看此類別中的所有設定:
例如,選取 [macOS]。 Microsoft Edge - 所有類別會列出您可以設定的所有設定,包括任何新的設定。 其他類別包括已過時的設定,或套用至舊版的設定:
提示
在macOS上,類別會暫時移除。 若要尋找特定設定,請使用 [Microsoft Edge - 所有 ] 類別,或搜尋設定名稱。 如需設定名稱的清單,請移至 Microsoft Edge - 原則。
使用工具提示中的 [深入瞭解 ] 連結來查看設定是否已過時,以及查看支援的版本。
選取您想要設定的任何設定。 或者,選擇 [選取所有這些設定]:
新增設定之後,請關閉設定選擇器。 所有設定都會顯示,並以預設值進行設定,例如 [封鎖 ] 或 [ 允許]。 這些預設值是OS中的相同預設值。 如果您不想設定設定,請選取減號:
當您選取減號 (
-
) :- Intune 不會變更或更新此設定。 減號與 [未設定] 相同。 當設定為 [未設定] 時,即不再管理設定。
- 此設定會從原則中移除。 下次開啟原則時,不會顯示設定。 您可以再次新增它。
- 下次裝置簽入時,設定已不再鎖定。 另一個原則或裝置使用者可以變更原則。
提示
在 Windows 設定工具提示中, 深入瞭解 CSP 的連結。
當設定允許多個值時,建議您個別新增每個值。
例如,您可以在 [藍牙>服務允許的清單 ] 設定中輸入多個值。 在個別行輸入每個值:設定
您可以在單一欄位中新增多個值,但可能會遇到字元限制。
選取[下一步]。
在 [範圍標籤] (選擇性) 中,指派標籤來針對特定 IT 群組篩選設定檔,例如
US-NC IT Team
或JohnGlenn_ITDepartment
。 如需範圍標籤的詳細資訊,請 參閱針對分散式IT使用 RBAC 角色和範圍標籤。選取 [下一步]。
在 [ 指派] 中,選取將接收您配置檔的使用者或群組。 如需指派設定檔的詳細資訊,請參閱指派使用者和裝置設定檔。
選取[下一步]。
在 [檢閱 + 建立] 中,檢閱您的設定。 當您選取 [建立] 時,系統會儲存您的變更,然後指派設定檔。 原則也會顯示在設定檔清單中。
下次裝置檢查組態更新時,會套用您設定的設定。
尋找一些設定,並深入瞭解每個設定
設定目錄中有數千個可用的設定。 若要協助尋找您想要的設定,您可以使用設定目錄中的搜尋和篩選功能。
如果您使用 Copilot,則可以取得 AI 產生的每個設定相關信息。
當您建立新原則或更新現有原則時,有內建的搜尋和篩選功能可協助您尋找設定。
在原則中,若要尋找特定設定,您可以使用 [新增設定>搜尋。 您可以依類別搜尋,例如
browser
,搜尋 關鍵詞,例如office
或google
,並搜尋特定設定。例如,搜尋
internet explorer
。 隨即internet explorer
顯示具有 的所有設定。 選擇類別以檢視可用的設定:在您的原則中,使用 [新增設定>] [新增篩選]。 選取索引鍵、運算符和值。
當您 篩選 OS 版本時,可以篩選套用至特定 Windows 版本的設定:
注意事項
針對 Edge、Office 和 OneDrive 設定,OS 版本或版本不會判斷是否套用設定。 因此,如果您篩選至特定版本,例如 Windows Professional,則不會顯示 Edge、Office 和 OneDrive 設定。
您也可以 依裝置或使用者範圍篩選設定。 如需使用者範圍和裝置範圍的詳細資訊,請移至本文中 (的裝置 範圍與用戶範圍設定) :
複製配置檔
選取 [複製] 以建立現有配置檔的複本。 當您需要與原始配置檔類似的配置檔時,複製會很有用。
此複本包含與原始配置檔相同的設定組態和範圍標籤,但未附加指派。 為新的設定檔命名之後,您可以編輯設定檔來調整設定並新增指派。
- 移至 [裝置>設定]。
- 尋找您要複製的設定檔。 以滑鼠右鍵按鍵單擊配置檔,或選取省略號操作功能表 (
…
) 。 - 選取 [複製]。
- 輸入原則的新名稱和描述。
- 儲存 您的變更。
匯入和匯出配置檔
本功能適用於:
- Windows 10 和更新版本
當您建立設定目錄原則時,可以將原則導出至 .json
檔案。 然後,您可以匯入此檔案來建立新的原則。 如果您想要建立類似現有原則的原則,這項功能非常有用。 例如,您會匯出原則、匯入原則以建立新原則,然後對新原則進行變更。
移至 [裝置>設定]。
若要導出現有的原則,請選取配置檔>,選取省略號操作功能表 () >
…
匯出 JSON:若要匯入先前導出的設定目錄原則,請選 Create>匯入原則:
選取您匯出的 JSON 檔案,並將新原則命名為 。 儲存 您的變更。
衝突和報告
當相同的設定更新為不同的值,包括使用設定目錄設定的原則時,就會發生衝突。 在 Intune 系統管理中心,您可以檢查現有原則的狀態。 數據會自動重新整理,並以近乎即時的方式運作。
有一些內建功能可協助您針對衝突進行疑難解答,包括個別設定狀態報告。
如果您使用 Copilot,則可以使用一些內建提示來取得現有原則的詳細資訊,包括其影響。
在 Intune 系統管理中心,您可以使用內建的報告功能來協助尋找和解決衝突。
在 [Intune 系統管理中心] 中,選取 [裝置>設定]。 在清單中,選取您使用 [設定目錄] 建立的原則。 [設定檔類型] 資料行會顯示 [設定目錄]:
當您選取原則時,裝置狀態會顯示。 它會顯示原則狀態和原則屬性的摘要。 您也可以在 [組態 設定 ] 區段中變更或更新原則:
選 取 [檢視報表]。 此報告會顯示詳細資訊,包括裝置名稱、原則狀態等等。 您也可以篩選部署狀態,並將報表 導 出至
.csv
檔案:您也可以使用個別設定狀態來查看每個 設定的狀態。 此狀態會顯示受原則中每個設定影響的裝置總數。
您可以:
- 查看已成功套用設定、發生衝突或發生錯誤的裝置數目。
- 選取符合規範、衝突或錯誤的裝置數目。 此外,請參閱處於該狀態的用戶或裝置清單。
- 搜尋、排序、篩選、匯出,然後移至下一頁和上一頁。
在系統管理中心中,選取 [ 裝置>監視指>派失敗]。 如果您的 [設定目錄] 原則因為錯誤或衝突而無法部署,它會顯示在此清單中。 您也可以 匯 出至
.csv
檔案。選取原則以查看裝置。 然後,選取特定裝置以查看失敗的設定,以及可能的錯誤碼。
如需衝突解決的詳細資訊,請移至:
設定目錄與範本
當您建立原則時,您有兩種原則類型: 設定目錄 和 範本:
範本包含一組邏輯設定,例如 kiosk、VPN、Wi-Fi 等等。 如果您想要使用這些群組來設定您的設定,請使用此選項。
[ 設定] 目錄 會列出所有可用的設定。 如果您想要查看所有可用的防火牆設定或所有可用的 BitLocker 設定,請使用此選項。 此外,如果您要尋找特定設定,請使用此選項。
裝置範圍與用戶範圍設定
當您選擇設定時,某些設定的設定名稱中會有標籤 (User)
或 (Device)
標籤,例如 Allow EAP Cert SSO (User)
或 Grouping (Device)
。 當您看到這些標籤時,原則只會影響使用者範圍或裝置範圍。
如需使用者範圍和裝置範圍的詳細資訊,請參閱 原則 CSP。
當您指派原則時,會使用裝置和使用者群組。 裝置和用戶範圍描述如何強制執行原則。
範圍指派行為
從 Intune 部署原則時,您可以將使用者範圍或裝置範圍指派給任何類型的目標組。 每個使用者的原則行為取決於設定的範圍:
- 用戶範圍原則寫入 。
HKEY_CURRENT_USER (HKCU)
- 裝置範圍原則寫入 。
HKEY_LOCAL_MACHINE (HKLM)
當裝置簽入 Intune 時,裝置一deviceID
律會顯示 。 裝置可能會或可能不會顯示 userID
,視簽入時間和使用者是否已登入而定。
下列清單包含範圍、指派和預期行為的一些可能組合:
- 如果裝置範圍原則已指派給裝置,則該裝置上的所有用戶都會套用該設定。
- 如果將裝置範圍原則指派給使用者,一旦該使用者登入併發生 Intune 同步處理,裝置範圍設定就會套用至裝置上的所有使用者。
- 如果將使用者範圍原則指派給裝置,則該裝置上的所有用戶都會套用該設定。 此行為就像是 要合併的回送集。
- 如果將使用者範圍原則指派給使用者,則只有該使用者已套用該設定。
- 用戶範圍和裝置範圍中有一些可用的設定。 如果其中一個設定同時指派給使用者和裝置範圍,則用戶範圍會優先於裝置範圍。
如果在初始簽入期間沒有 用戶登錄 區,您可以看到某些使用者範圍設定標示為不適用。 此行為會在用戶出現之前的裝置初期發生。
後續步驟
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應