透過 Intune 部署 OMA-URIs 以 CSP 為目標,以及與內部部署的比較
本文說明 Windows 設定服務提供者 (CSP) 、開放行動聯盟 – 統一資源 (OMA-URI) 的重要性,以及如何使用 Microsoft Intune 將自定義原則傳遞至以 Windows 10 為基礎的裝置。
Intune 提供方便且容易使用的介面來設定這些原則。 不過,並非所有設定都一定會在 Microsoft Intune 系統管理中心內使用。 雖然許多設定可能會在 Windows 裝置上設定,但無法在系統管理中心內設定所有設定。 此外,隨著進展,新增新設定之前有某種程度的延遲並不罕見。 在這些案例中,部署使用 Windows 設定服務提供者 (CSP) 的自定義 OMA-URI 配置檔是答案。
CSP 範圍
CSP 是行動裝置管理 (MDM) 提供者用來讀取、設定、修改和刪除裝置上組態設定的介面。 一般而言,它是透過 Windows 登錄中的索引鍵和值來完成。 CSP 原則有一個範圍,可定義可設定原則的層級。 它類似於 Microsoft Intune 系統管理中心提供的原則。 某些原則只能在裝置層級設定。 無論登入裝置的人員為何,都適用這些原則。 其他原則可以在用戶層級設定。 這些原則僅適用於該使用者。 組態層級是由平臺所決定,而不是由 MDM 提供者所決定。 當您部署自定義原則時, 您可以在這裡尋找 您想要使用的 CSP 範圍。
CSP 的範圍很重要,因為它會決定您應該使用的 OMA-URI 字串語法。 例如:
用戶範圍
./User/Vendor/MSFT/Policy/Config/AreaName/PolicyName 以設定原則。 ./User/Vendor/MSFT/Policy/Result/AreaName/PolicyName 以取得結果。
裝置範圍
./Device/Vendor/MSFT/Policy/Config/AreaName/PolicyName 以設定原則。 ./Device/Vendor/MSFT/Policy/Result/AreaName/PolicyName 以取得結果。
OMA-URIs
OMA-URI 是 CSP 所支援之特定組態設定的路徑。
OMA-URI:它是一個字串,代表 Windows 10 型裝置的自定義組態。 語法是由用戶端上的 CSP 所決定。 您可以在這裡找到 每個 CSP 的相關詳細資料。
自定義原則:其中包含要部署的 OMA-URIs。 它已在 Intune 中設定。
Intune:建立自定義原則並指派給用戶端裝置之後,Intune 會成為將 OMA-URIs 傳送至這些 Windows 用戶端的傳遞機制。 Intune 使用 Open Mobile Alliance 裝置管理 (OMA-DM) 通訊協定來執行這項操作。 它是預先定義的標準,會使用 XML 型 SyncML 將資訊推送至用戶端。
CSP:在 OMA-URIs 到達客戶端之後,CSP 會讀取它們,並據此設定 Windows 平臺。 一般而言,它會藉由新增、讀取或變更登錄值來執行此作業。
摘要說明:OMA-URI 是承載,自定義原則是容器,Intune 是該容器的傳遞機制、OMA-DM 是用於傳遞的通訊協定,而 Windows CSP 會讀取並套用 OMA-URI 承載中設定的設定。
這是 Intune 用來傳遞已內建於UI之標準裝置設定原則的相同程式。 當 OMA-URIs 使用 Intune UI 時,它們會隱藏在用戶易記的組態介面後方。 它可讓系統管理員更輕鬆且更直覺地處理程式。 盡可能使用內建原則設定,並僅針對無法使用的選項使用自定義 OMA-URI 原則。
若要示範此程式,您可以使用內建原則來設定裝置上的鎖定畫面影像。 您也可以部署 OMA-URI 並以相關的 CSP 為目標。 這兩種方法都會達到相同的結果。
從 Microsoft Intune 系統管理中心 OMA-URIs
使用自定義原則
您可以使用下列 OMA-URI 直接設定相同的設定:
./Vendor/MSFT/Policy/Config/DeviceLock/EnforceLockScreenAndLogonImage
本文記載於 Windows CSP 參考中。 判斷 OMA-URI 之後,請為其建立自定義原則。
![[編輯數據列] 畫面中 OMA-URI 設定的螢幕快照。](media/deploy-oma-uris-to-target-csp-via-intune/edit-row.png)
無論您使用哪一種方法,最終結果都相同。
以下是另一個使用 BitLocker 的範例。
從 Microsoft Intune 系統管理中心使用自定義原則
使用自定義原則
將自定義 OMA-URIs 與內部部署世界產生關聯
您可以在建置 MDM 原則設定時,使用現有的 群組原則 設定作為參考。 如果您的組織想要移至 MDM 來管理裝置,建議您藉由分析目前的 群組原則 設定來準備,以查看轉換至 MDM 管理所需的專案。
MDM 移轉分析工具 (MMAT) 決定已為目標使用者或電腦設定哪些組策略。 然後,它會產生報告,列出 MDM 對等專案中每個原則設定的支援層級。
移轉至雲端之前和之後的 群組原則 層面
下表顯示使用MMAT移轉至雲端之前和之後,群組原則的不同層面。
| 內部部署 | 雲端 |
|---|---|
| 群組原則 | MDM |
| 域控制器 | MDM 伺服器 (Intune 服務) |
| Sysvol 資料夾 | Intune 資料庫/MSUS |
| 處理 GPO 的用戶端擴充功能 | 處理 MDM 原則的 CSP |
| 用於通訊的SMB通訊協定 | 用於通訊的 HTTPS 通訊協定 |
.pol | .ini 檔案 (通常是輸入) |
SyncML 是裝置的輸入 |
原則行為的重要注意事項
如果 MDM 伺服器上的原則變更,更新的原則會推送至裝置,並將設定設定為新值。 不過,從使用者或裝置移除原則的指派可能不會將設定還原為預設值。 拿掉指派或刪除設定檔之後,會移除一些配置檔,例如 Wi-Fi 配置檔、VPN 設定檔、憑證配置檔和電子郵件設置檔。 由於此行為是由每個 CSP 所控制,因此您應該嘗試瞭解 CSP 的行為,以正確管理您的設定。 如需詳細資訊,請參閱 Windows CSP 參考。
全部放在一起
若要部署自定義 OMA-URI 以以 Windows 裝置上的 CSP 為目標,請建立自定義原則。 原則必須包含 OMA-URI 路徑的路徑,以及您想要在 CSP 中變更的值, (啟用、停用、修改或刪除) 。
![[建立設定檔] 頁面的螢幕快照。[自定義] 專案會反白顯示。](media/deploy-oma-uris-to-target-csp-via-intune/create-profile.png)
![[組態設定] 和 [新增數據列] 頁面的螢幕快照。](media/deploy-oma-uris-to-target-csp-via-intune/add-configuration.png#lightbox)
建立原則之後,請將它指派給安全組,使其生效。
疑難排解
當您針對自定義原則進行疑難解答時,您會發現大部分的問題都適用於下列類別:
- 自定義原則未連線到用戶端裝置。
- 自定義原則確實會連線到用戶端裝置,但不會觀察到預期的行為。
如果您的原則未如預期般運作,請確認原則是否已到達用戶端。 有兩個記錄需要檢查以確認其傳遞。
MDM 診斷記錄
Windows 事件記錄檔
這兩個記錄應該包含您嘗試部署之自定義原則或 OMA-URI 設定的參考。 如果您沒有看到此參考,可能是原則未傳遞至裝置。 確認原則已正確設定,且目標為正確的群組。
如果您確認原則已到達用戶端,請在用戶端上檢查 DeviceManagement-Enterprise-Diagnostics-Provider > Admin Event log 是否有錯誤。 您可能會看到錯誤專案,其中包含原則為何不適用的其他資訊。 原因會有所不同,但自定義原則中設定的 OMA-URI 字串語法經常發生問題。 再次檢查 CSP 參考,並確定語法正確無誤。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應