逐步解說:使用雲端在具有 ADMX 範本和 Microsoft Intune 的 Windows 10/11 裝置上設定組策略

  • 發行項

注意事項

本逐步解說是建立為 Microsoft Ignite 的技術研討會。 相較於一般逐步解說,其具有比一般逐步解說更多的必要條件,因為它會比較在 Intune 和內部部署中使用和設定 ADMX 原則。

組策略系統管理範本,也稱為ADMX樣本,包含您可以在Windows用戶端裝置上設定的設定,包括計算機。 ADMX 範本設定可由不同的服務使用。 這些設定是由行動裝置 裝置管理 (MDM) 提供者使用,包括 Microsoft Intune。 例如,您可以在PowerPoint中開啟 [設計構想]、在 Microsoft Edge 中設定首頁等等。

提示

如需 Intune 中 ADMX 範本的概觀,包括內建至 Intune 的 ADMX 範本,請移至在 Microsoft Intune 中使用 Windows 10/11 ADMX 範本

如需 ADMX 原則的詳細資訊,請移至 瞭解 ADMX 支持的原則

這些範本內建於 Microsoft Intune,並可作為系統管理範本配置檔使用。 在此設定檔中,您會設定要包含的設定,然後將此配置檔「指派」給您的裝置。

在本逐步解說中,您將:

  • 瞭解 Microsoft Intune 系統管理中心
  • 建立使用者群組並建立裝置群組。
  • 比較 Intune 中的設定與內部部署ADMX設定。
  • 建立不同的系統管理範本,並設定以不同群組為目標的設定。

在此實驗室結束時,您可以使用 Intune 和 Microsoft 365 來管理您的使用者,以及部署系統管理範本。

本功能適用於:

  • Windows 11
  • Windows 10 1709 版和更新版本

提示

有兩種方式可以建立系統管理範本:使用範本或使用設定目錄。 本文著重於使用系統管理 本範本範本。 [設定目錄] 有更多可用的系統管理範本設定。 如需使用設定目錄的特定步驟,請移至 使用設定目錄來設定設定

必要條件

  • Microsoft 365 E3 或 E5 訂用帳戶,其中包含 Intune 和 Microsoft Entra ID P1 或 P2。 如果您沒有 E3 或 E5 訂用帳戶,請 免費試用

    如需使用不同 Microsoft 365 授權取得之專案的詳細資訊,請移至使用 Microsoft 365 轉換您的企業

  • Microsoft Intune 設定為 Intune MDM 授權單位。 如需詳細資訊,請移至 設定行動裝置管理授權單位

    顯示如何將 MDM 授權單位設定為 Microsoft Intune 租用戶狀態的螢幕快照。

  • 在 #DF9097CC9D85B486584CDA419A1AE8392 域控制器上 (DC) :

    1. 將下列 Office 和 Microsoft Edge 範本複製到 Central Store (sysvol 資料夾)

    2. 建立組策略,將這些範本推送至與 DC 位於相同網域中的 Windows 10/11 企業版系統管理員計算機。 在本逐步解說中:

      • 我們使用這些範本建立的組策略稱為 OfficeandEdge。 您會在影像中看到此名稱。
      • 我們使用的 Windows 10/11 企業版系統管理員計算機稱為 管理員 計算機

      在某些組織中,網域系統管理員有兩個帳戶:

      • 典型的網域工作帳戶
      • 僅用於網域系統管理員工作的不同網域系統管理員帳戶,例如組策略

      管理員 計算機的目的是要讓系統管理員使用其網域系統管理員帳戶登入,以及專為管理組策略而設計的存取工具。

  • 在這裡 管理員 電腦上

    • 使用網域系統管理員帳戶登入。

    • 新增 RSAT:群組原則 管理工具

      1. 開啟 [設定 ] 應用程式 >[系統>選擇性功能>] [新增] 功能

        如果您使用的版本早於 Windows 10 22H2,請移至 [設定>應用程式應用程式>& 功能>][選用功能新增功能>]。

      2. 選取 [RSAT:群組原則 管理工具>新增]

        等候 Windows 新增功能。 完成時,它最終會顯示在 Windows 系統管理工具 應用程式中。

        顯示 Windows 系統管理工具應用程式的螢幕快照,包括 群組原則 管理應用程式。

    • 請確定您具有 Microsoft 365 訂閱的因特網存取權和系統管理員許可權,其中包括 Intune 系統管理中心。

開啟 Intune 系統管理中心

  1. 開啟 chromium 網頁瀏覽器,例如 Microsoft Edge 77 版和更新版本。

  2. 移至 Microsoft Intune 系統管理中心。 使用下列帳戶登入:

    用戶:輸入 Microsoft 365 租使用者訂用帳戶的系統管理員帳戶。
    密碼:輸入其密碼。

此系統管理中心著重於裝置管理,並包含 Azure 服務,例如 Microsoft Entra ID 和 Intune。 您可能看不到 Microsoft Entra IDIntune 商標,但您正在使用它們。

您也可以從下 Microsoft 365 系統管理中心 開啟 Intune 系統管理中心:

  1. 移至https://admin.microsoft.com

  2. 使用 Microsoft 365 租使用者訂用帳戶的系統管理員帳戶登入。

  3. 取 [顯示所有>系統管理中心>端點管理]。 Intune 系統管理中心隨即開啟。

    顯示 Microsoft 365 系統管理中心 中所有系統管理中心的螢幕快照。

建立群組並新增使用者

內部部署原則會依 LS}順序套用 - 本機、網站、網域和組織單位 (OU) 。 在此階層中,OU 原則會覆寫本機原則、網域原則會覆寫網站原則等等。

在 Intune 中,原則會套用至您建立的使用者和群組。 沒有階層。 例如:

  • 如果兩個原則更新相同的設定,則設定會顯示為衝突。
  • 如果兩個合規性原則發生衝突,則會套用限制最嚴格的原則。
  • 如果兩個組態配置檔發生衝突,則不會套用設定。

如需詳細資訊,請移至 裝置原則和配置檔的常見問題、問題和解決方式

在這些後續步驟中,您會建立安全組,並將使用者新增至這些群組。 您可以將使用者新增至多個群組。 例如,使用者一般會有多個裝置,例如 Surface Pro 工作,以及個人用Android行動裝置。 而且,一個人從這些多部裝置存取組織資源是正常的。

  1. 在 [Intune 系統管理中心] 中,選取 [群組>][新增群組]

  2. 輸入下列設定:

    • 群組類型:選取 [安全性]
    • 組名:輸入所有 Windows 10 學生裝置
    • 成員資格類型:選 取 [已指派]

  3. 取 [成員],然後新增一些裝置。

    新增裝置是選擇性的。 目標是練習建立群組,以及瞭解如何新增裝置。 如果您是在生產環境中使用此逐步解說,請注意您正在執行的動作。

  4. 選擇>建立 以儲存您的變更。

    看不到您的群組嗎? 選 取 [重新整理]

  5. 選取 [新增群組],然後輸入下列設定:

    • 群組類型:選取 [安全性]

    • 組名:輸入 所有 Windows 裝置

    • 成員資格類型:選取 [動態裝置]

    • 動態裝置成員:選取 [新增動態查詢],然後設定您的查詢:

      • 屬性:選取 deviceOSType
      • 運算子:選取 [等於]
      • :輸入 Windows

      1. 取 [新增表達式]。 您的表示式會顯示在 規則語法中:

        顯示如何建立動態查詢,以及在 Microsoft Intune 系統管理範本中新增表達式的螢幕快照。

        當使用者或裝置符合您輸入的準則時,系統會自動將他們新增至動態群組。 在此範例中,當操作系統是 Windows 時,裝置會自動新增至此群組。 如果您在生產環境中使用此逐步解說,請小心。 目標是練習建立動態群組。

      2. >建立 以儲存您的變更。

  6. 使用下列設定建立 [所有教師 ] 群組:

    • 群組類型:選取 [安全性]

    • 組名:輸入 [所有教師]

    • 成員資格類型:選取 [動態使用者]

    • 動態使用者成員:選取 [新增動態查詢],然後設定您的查詢:

      • 屬性:選取 部門

      • 運算子:選取 [等於]

      • :輸入 教師

        1. 取 [新增表達式]。 您的表達式會顯示在 規則語法中。

          當使用者或裝置符合您輸入的準則時,系統會自動將他們新增至動態群組。 在此範例中,當使用者的部門是教師時,會自動將使用者新增至此群組。 當使用者新增至您的組織時,您可以輸入部門和其他屬性。 如果您在生產環境中使用此逐步解說,請小心。 目標是練習建立動態群組。

        2. >建立 以儲存您的變更。

交談點

建立的使用者和群組也會顯示在 Microsoft 365 系統管理中心 中、在 Azure 入口網站 中 Microsoft Entra ID,以及在 Azure 入口網站 中 Microsoft Intune。 您可以在租使用者訂用帳戶的所有區域中建立和管理群組。 如果您的目標是裝置管理,請使用 Microsoft Intune 系統管理中心

檢閱群組成員資格

  1. 在 [Intune 系統管理中心] 中,選取 [使用者>][所有使用者>] 選取任何現有用戶的名稱。
  2. 檢閱您可以新增或變更的一些資訊。 例如,查看您可以設定的屬性,例如職稱、部門、城市、辦公室位置等等。 建立動態群組時,您可以在動態查詢中使用這些屬性。
  3. 取 [群組 ] 以查看此使用者的成員資格。 您也可以從群組中移除使用者。
  4. 選取一些其他選項以查看詳細資訊,以及您可以執行的動作。 例如,查看指派的授權、使用者的裝置等等。

我剛才做了什麼?

在 Intune 系統管理中心,您建立了新的安全組,並將現有的使用者和裝置新增至這些群組。 我們會在本教學課程稍後的步驟中使用這些群組。

在 Intune 中建立範本

在本節中,我們會在 Intune 中建立系統管理範本、查看 群組原則 管理中的一些設定,然後比較 Intune 中的相同設定。 目標是在組策略中顯示設定,並在 Intune 中顯示相同的設定。

  1. 在 [Intune 系統管理中心] 中,選取 [裝置>>設定建立]

  2. 輸入下列內容:

    • 平台:選取 Windows 10 和更新版本
    • 配置檔類型:選取 [ 系統管理範本]

  3. 選取 [建立]

  4. 在 [基本資訊] 中,輸入下列內容:

    • 名稱:輸入設定檔的描述性名稱。 為您的配置檔命名,以便稍後輕鬆地識別它們。 例如,輸入 管理員 範本 - Windows 10 學生裝置
    • 描述:輸入設定檔的描述。 這是選擇性設定,但建議進行。

  5. 選取[下一步]。

  6. 在 [ 組態設定] 中[所有設定] 會顯示所有設定的字母清單。 您也可以篩選套用至裝置的設定, (電腦 設定) ,以及套用至使用者 (使用者 設定) :

    顯示如何將ADMX範本設定套用至 Microsoft Intune 中使用者和裝置的螢幕快照。

  7. 展開 [計算機設定>][Microsoft Edge> ] 選取 [SmartScreen 設定]。 請注意原則的路徑,以及所有可用的設定:

    顯示如何在 Microsoft Intune 中查看 ADMX 範本中 Microsoft Edge SmartScreen 原則設定的螢幕快照。

  8. 在搜尋中,輸入 download。 請注意,系統會篩選原則設定:

    顯示如何在 Microsoft Intune ADMX 範本中篩選 Microsoft Edge SmartScreen 原則設定的螢幕快照。

開啟 群組原則管理

在本節中,我們會在 Intune 中顯示原則,並在 群組原則 管理 編輯器 中顯示其比對原則。

比較裝置原則

  1. 管理員 計算機上,開啟 [群組原則 管理] 應用程式。

    此應用程式會與 RSAT:群組原則 管理工具一起安裝,這是您在 Windows 上新增的選擇性功能。 本文中 ( 必要條件) 列出安裝它的步驟。

  2. 展開 [網域]> 選取您的網域。 例如,選取 contoso.net

  3. 以滑鼠右鍵按下 OfficeandEdge 原則 >[編輯]。 群組原則管理 編輯器 應用程式隨即開啟。

    顯示如何以滑鼠右鍵按兩下內部部署 Office 和 Microsoft Edge ADMX 組策略,並選取 [編輯] 的螢幕快照。

    OfficeandEdge 是包含 Office 和 Microsoft Edge ADMX 範本的組策略。 本文的 必要條件 () 說明此原則。

  4. 展開 [計算機設定>原則>] [系統管理範本>控制台>[個人化]。 請注意可用的設定。

    此螢幕快照顯示如何在內部部署 群組原則 管理 編輯器 中展開 [計算機設定],然後移至 [個人化]。

    按兩下 [防止啟用鎖定螢幕相機],並查看可用的選項:

    顯示如何在組策略中查看內部部署計算機組態設定選項的螢幕快照。

  5. 在 Intune 系統管理中心,移至您的 管理員 範本 - Windows 10 學生裝置範本。

  6. 取 [計算機設定>控制台>個人化]。 請注意可用的設定:

    顯示 Microsoft Intune 中個人化原則設定路徑的螢幕快照。

    設定類型為 Device,路徑為 /Control Panel/Personalization。 此路徑類似於您剛才在 群組原則 Management 編輯器 中看到的路徑。 如果您開啟 [防止啟用鎖定螢幕相機] 設定,您會看到您在 [群組原則 管理] 編輯器 中看到的相同 [設定]、[啟用] 和 [已停用] 選項。

比較用戶原則

  1. 在您的系統管理範本中,選取 [ 計算機設定>][所有設定],然後搜尋 inprivate browsing。 請注意路徑。

    針對 使用者設定執行相同的動作。 選取 [所有設定],然後搜尋 inprivate browsing

  2. [群組原則 管理 編輯器 中,尋找相符的使用者和裝置設定:

    • 裝置:展開 [計算機設定>原則>] [系統管理>範本] [Windows 元件>][Internet Explorer>隱私>權] [關閉 InPrivate 瀏覽]
    • 用戶:展開 [使用者設定>原則>] [系統管理>範本] [Windows 元件>][Internet Explorer>隱私>權] [關閉 InPrivate 瀏覽]

    顯示如何使用 ADMX 範本在 Internet Explorer 中關閉 InPrivate 瀏覽的螢幕快照。

提示

若要查看內建的 Windows 原則,您也可以使用 GPEdit (編輯組 策略應用程式) 。

比較 Microsoft Edge 原則

  1. 在 Intune 系統管理中心,移至您的 管理員 範本 - Windows 10 學生裝置範本。

  2. 展開 [計算機設定>Microsoft Edge>啟動]、首頁和新的索引標籤面。 請注意可用的設定。

    針對 使用者設定執行相同的動作。

  3. 在 [群組原則 管理 編輯器 中,尋找下列設定:

    • 裝置:展開 [計算機設定>原則>] [系統管理>範本][Microsoft Edge>啟動]、首頁和新的索引卷標頁面
    • 用戶:展開使用者設定>原則>系統管理>範本Microsoft Edge>啟動、首頁和新的索引標籤面

我剛才做了什麼?

您已在 Intune 中建立系統管理範本。 在此範本中,我們查看了一些 ADMX 設定,並查看了 群組原則 管理中的相同 ADMX 設定。

將設定新增至 Students 系統管理員範本

在此範本中,我們會設定一些 Internet Explorer 設定,以鎖定多個學生共用的裝置。

  1. 您的 管理員 範本中 - Windows 10 學生裝置,展開 [計算機設定],選取 [所有設定],然後搜尋 [關閉 InPrivate 瀏覽]

    此螢幕快照顯示如何在 Microsoft Intune 中的系統管理範本中關閉 InPrivate 瀏覽裝置原則。

  2. 取 [關閉 InPrivate 瀏覽 ] 設定。 在此視窗中,請注意您可以設定的描述和值。 這些選項與您在組策略中看到的選項類似。

  3. 取 [啟用>確定] 以儲存您的變更。

  4. 同時設定下列 Internet Explorer 設定。 請務必選取 [確定] 以儲存您的變更。

    • 允許拖放或複製及貼上檔案

      • 類型:裝置
      • 路徑:\Windows 元件\Internet Explorer\Internet 控制台\安全性頁面\因特網區域
      • :已停用

    • 防止忽略憑證錯誤

      • 類型:裝置
      • 路徑:\Windows 元件\Internet Explorer\Internet 控制台
      • :已啟用

    • 停用變更首頁設定

      • 類型:使用者
      • 路徑:\Windows 元件\Internet Explorer
      • :已啟用
      • 首頁:輸入 URL,例如 contoso.com

  5. 清除您的搜尋篩選條件。 請注意,您設定的設定會列在頂端:

    顯示已設定 ADMX 設定的螢幕快照會列在 Microsoft Intune 的頂端。

指派您的範本

  1. 在範本中,選取 [ 下一步 ],直到您到達 [ 指派]。 選擇 [選取要包含的群組]

    顯示如何從 Microsoft Intune 中的 [裝置組態配置檔] 列表中選取系統管理範本設定檔的螢幕快照。

  2. 系統會顯示現有使用者和群組的清單。 選取您稍早>建立的 [所有 Windows 10 學生裝置] 群組選取 [選取]

    如果您在生產環境中使用此逐步解說,請考慮新增空白的群組。 目標是練習指派您的範本。

  3. 選取 [下一步]。 在 [ 檢閱 + 建立] 中,選取 [建立 ] 以儲存變更。

配置檔一儲存,就會在裝置簽入 Intune 時套用至裝置。 如果裝置已連線到因特網,則會立即發生。 如需原則重新整理時間的詳細資訊,請移至 裝置取得原則、配置檔或應用程式所需的時間

指派嚴格或限制性的原則和配置檔時,請勿自行鎖定。請考慮建立從您的原則和配置檔中排除的群組。 其概念是可存取疑難解答。 監視此群組以確認其是否如預期般使用。

我剛才做了什麼?

在 Intune 系統管理中心,您已建立系統管理範本裝置組態配置檔,並將此設定檔指派給您建立的群組。

建立 OneDrive 範本

在本節中,您會在 Intune 中建立 OneDrive 系統管理員範本來控制某些設定。 之所以選擇這些特定設定,是因為組織通常會使用這些設定。

  1. (裝置>>設定建立) 建立另一個配置檔。

  2. 輸入下列內容:

    • 平台:選取 [Windows 10 和更新版本]
    • 配置檔類型:選取 [系統管理範本]

  3. 選取 [建立]

  4. 在 [基本資訊] 中,輸入下列內容:

    • 名稱:輸入 管理員 範本 - 適用於所有 Windows 10 使用者的 OneDrive 原則
    • 描述:輸入設定檔的描述。 這是選擇性設定,但建議進行。

  5. 選取[下一步]。

  6. 在 [ 組態設定] 中,設定下列設定。 請務必選取 [確定] 以儲存變更:

    • 電腦設定

      • 使用 Windows 認證以無訊息方式將使用者登入 OneDrive 同步處理用戶端
        • 類型:裝置
        • :已啟用
      • 使用 OneDrive 檔案隨選
        • 類型:裝置
        • :已啟用

    • 使用者設定

      • 防止使用者同步個人 OneDrive 帳戶
        • 類型:使用者
        • :已啟用

您的設定看起來類似下列設定:

顯示如何在 Microsoft Intune 中建立 OneDrive 系統管理範本的螢幕快照。

如需 OneDrive 用戶端設定的詳細資訊,請移至使用 群組原則 來控制 OneDrive 同步處理 客戶端設定

指派您的範本

  1. 在範本中,選取 [ 下一步 ],直到您到達 [ 指派]。 選擇 [選取要包含的群組]

  2. 系統會顯示現有使用者和群組的清單。 選取您稍早>建立的 [所有 Windows 裝置] 群組 [選取]

    如果您在生產環境中使用此逐步解說,請考慮新增空白的群組。 目標是練習指派您的範本。

  3. 選取 [下一步]。 在 [ 檢閱 + 建立] 中,選取 [建立 ] 以儲存變更。

此時,您已建立一些系統管理範本,並將其指派給您建立的群組。 下一個步驟是使用 Windows PowerShell 和適用於 Intune 的 Microsoft 圖形 API 建立系統管理範本。

選擇性:使用 PowerShell 和 圖形 API 建立原則

本節使用下列資源。 我們會在本節中安裝這些資源。

  1. 管理員 電腦上,以系統管理員身分開啟 Windows PowerShell

    1. 在搜尋列中,輸入 powershell
    2. 以滑鼠右鍵按兩下 [Windows PowerShell>以系統管理員身分執行]

    顯示如何以系統管理員身分執行 Windows PowerShell的螢幕快照。

  2. 取得並設定執行原則。

    1. 進入: get-ExecutionPolicy

      記下原則的設定,這可能是 「受限制」。 完成逐步解說后,請將它設定回其原始值。

    2. 進入: Set-ExecutionPolicy -ExecutionPolicy Unrestricted

    3. 輸入 Y 以變更它。

    PowerShell 的執行原則有助於防止執行惡意腳本。 如需詳細資訊,請移至 關於執行原則

  3. 進入: Install-Module -Name Microsoft.Graph.Intune

    如果下列項目, 請輸入 Y

    • 要求安裝 NuGet 提供者
    • 要求從不受信任的存放庫安裝模組

    可能需要幾分鐘的時間才能完成。 完成時,會顯示類似下列提示的提示:

    顯示安裝模組後 Windows PowerShell 提示的螢幕快照。

  4. 在網頁瀏覽器中,移至 https://github.com/Microsoft/Intune-PowerShell-SDK/releases,然後選 取Intune-PowerShell-SDK_v6.1907.00921.0001.zip 檔案。

    1. 選取 [另存新檔],然後選取您會記得的資料夾。 c:\psscripts 是不錯的選擇。

    2. 開啟您的資料夾,以滑鼠右鍵按下 .zip 檔案 >擷取所有>擷取] 。 您的資料夾結構看起來類似下列資料夾:

      顯示擷取後 Intune PowerShell SDK 資料夾結構的螢幕快照。

  5. 在 [ 檢視] 索引 標籤上,檢查 [擴展名]

    顯示如何在 Windows 檔案總管的 [檢視] 索引卷標上選取擴展名的螢幕快照。

  6. 在您的資料夾中,移至 c:\psscripts\Intune-PowerShell-SDK_v6.1907.00921.0001\drop\outputs\build\Release\net471。 以滑鼠右鍵按兩下 [每個 .dll >屬性>解除封鎖]

    顯示如何解除封鎖 DLL 的螢幕快照。

  7. 您的 Windows PowerShell 應用程式中,輸入:

    Import-Module c:\psscripts\Intune-PowerShell-SDK_v6.1907.00921.0001\drop\outputs\build\Release\net471\Microsoft.Graph.Intune.psd1

    如果系統提示您從不受信任的發行者執行,請輸入 R

  8. Intune 系統管理範本使用 Graph 的 Beta 版本:

    1. 進入: Update-MSGraphEnvironment -SchemaVersion 'beta'

    2. 進入: Connect-MSGraph -AdminConsent

    3. 出現提示時,請使用相同的 Microsoft 365 系統管理員帳戶登入。 這些 Cmdlet 會在您的租用戶組織中建立原則。

      用戶:輸入 Microsoft 365 租使用者訂用帳戶的系統管理員帳戶。
      密碼:輸入其密碼。

    4. 選取 [接受]

  9. 建立 測試組態 組態配置檔。 進入:

    $configuration = Invoke-MSGraphRequest -Url https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations -Content '{"displayName":"Test Configuration","description":"A test configuration created through PS"}' -HttpMethod POST

    當這些 Cmdlet 成功時,就會建立配置檔。 若要確認,請移至 Intune 系統管理中心>裝置>設定] 。 您的 測試組態 配置檔應該會列出。

  10. 取得所有 SettingDefinitions。 進入:

    $settingDefinitions = Invoke-MSGraphRequest -Url https://graph.microsoft.com/beta/deviceManagement/groupPolicyDefinitions -HttpMethod GET

  11. 使用設定顯示名稱尋找定義識別碼。 進入:

    $desiredSettingDefinition = $settingDefinitions.value | ? {$_.DisplayName -Match "Silently sign in users to the OneDrive sync app with their Windows credentials"}

  12. 設定設定。 進入:

    $configuredSetting = Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues" -Content ("{""enabled"":""true"",""configurationType"":""policy"",""definition@odata.bind"":""https://graph.microsoft.com/beta/deviceManagement/groupPolicyDefinitions('$($desiredSettingDefinition.id)')""}") -HttpMethod POST

    Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues('$($configuredSetting.id)')" -Content ("{""enabled"":""false""}") -HttpMethod PATCH

    $configuredSetting = Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues('$($configuredSetting.id)')" -HttpMethod GET

查看您的原則

  1. 在 Intune 系統管理中心>裝置>>設定重新整理中。
  2. 選取 [ 測試組態 配置檔 >設定]
  3. 在下拉式清單中,選取 [ 所有產品]

您會看到已設定以無訊息方式將使用者登入 OneDrive 同步處理 用戶端,並設定其 Windows 認證設定。

原則最佳做法

當您在 Intune 中建立原則和配置檔時,有一些建議和最佳做法需要考慮。 如需詳細資訊,請移至 原則和配置檔最佳做法

清除資源

不再需要時,您可以:

  • 刪除您建立的群組:

    • 所有 Windows 10 學生裝置
    • 所有 Windows 裝置
    • 所有教師

  • 刪除您建立的系統管理樣本:

    • 管理員 範本 - Windows 10 學生裝置
    • 管理員 範本 - 適用於所有 Windows 10 使用者的 OneDrive 原則
    • 測試組態

  • 將 Windows PowerShell 執行原則設定回其原始值。 下列範例會將執行原則設定為 Restricted:

    Set-ExecutionPolicy -ExecutionPolicy Restricted

後續步驟

在本教學課程中,您已更熟悉 Microsoft Intune 系統管理中心、使用查詢產生器建立動態群組,以及在 Intune 中建立系統管理範本來設定 ADMX 設定。 您也比較了在內部部署和雲端中使用 ADMX 範本與 Intune。 總之,您已使用 PowerShell Cmdlet 來建立系統管理範本。

如需 Intune 中系統管理範本的詳細資訊,請移至:

使用 Windows 10/11 範本在 Intune 中設定組策略設定