Административные шаблоны где найти
Перейти к содержимому

Административные шаблоны где найти

  • автор:

Настройка параметров групповой политики в Microsoft Intune с помощью шаблонов Windows 10/11

Административные шаблоны в Microsoft Intune содержат тысячи параметров для управления функциями в Microsoft Edge 77 и более поздних версий, Internet Explorer, Google Chrome и в приложениях Microsoft Office, для управления функциями удаленного рабочего стола, доступом к OneDrive, паролями, ПИН-кодами и многим другим. Эти параметры позволяют администраторам создавать групповые политики с помощью облака.

Данная функция применяется к:

Шаблоны Intune на 100% облачные, встроены в Intune (без скачивания) и не требуют настройки, в том числе с помощью OMA-URI. Это простой способ настройки и поиска нужных параметров:

  • Параметры Windows похожи на параметры групповой политики (GPO) в локальная служба Active Directory (AD). Эти параметры встроены в Windows и являются параметрами с поддержкой ADMX, которые используют XML.
  • Параметры Office, Microsoft Edge и Visual Studio включены в ADMX и используют те же файлы административных шаблонов, которые вы скачиваете в локальных средах.
  • Вы можете импортировать пользовательские и сторонние файлы ADMX и ADML. Дополнительные сведения, включая инструкции, см. в статье Импорт пользовательских или партнерских ADMX-файлов.

При управлении устройствами в вашей организации вам стоит создать группы параметров, которые применяются к различным группам устройств. Также можно настроить простое представление параметров. Можно выполнить этот задачу, используя административные шаблоны в Microsoft Intune.

В рамках решения для управления мобильными устройствами (MDM) используйте параметры этих шаблонов в качестве универсальной платформы для управления клиентскими устройствами Windows.

В этой статье описаны шаги по созданию шаблона для клиентских устройств Windows и показано, как отфильтровать все доступные параметры в Intune. При создании шаблона создается профиль конфигурации устройства. Затем этот профиль можно назначить или развернуть для клиентских устройств Windows в организации.

Прежде чем начать

  • Некоторые из этих параметров доступны, начиная с Windows 10, версия 1709 (RS2 / сборка 15063). Не все параметры доступны во всех выпусках Windows. Для оптимальной работы мы рекомендуем использовать Windows 10 Корпоративная версии 1903 (19H1/сборка 18362) и более поздних версий.
  • Параметры Windows используют поставщиков службы конфигурации политики Windows. Поставщики CSP работают в разных выпусках Windows, таких как Домашняя, Pro, Корпоративная и т. д. Чтобы узнать, работает ли поставщик CSP в определенном выпуске, см. статью о поставщиках CSP политики Windows.
  • Административный шаблон можно создать одним из двух способов: с помощью шаблона или с помощью каталога параметров. В этой статье рассматривается использование шаблона Административные шаблоны. Каталог параметров содержит больше доступных параметров административного шаблона. Инструкции по использованию каталога параметров и использование Microsoft Copilot в каталоге параметров см. в разделе Настройка параметров с помощью каталога параметров.
  • Шаблоны ADMX используют следующие источники:
    • Сервер терминала Виртуального рабочего стола Azure: административный шаблон для Виртуального рабочего стола Azure
    • FSLogix: FSLogix групповая политика файлы шаблонов для FSLogix
    • Google Chrome: список политик Chrome Enterprise
    • Приложения Microsoft 365 и Office: Приложения Microsoft 365, Office 2019 и Office 2016
    • Microsoft Edge: файл политики Microsoft Edge
    • OneDrive: политики OneDrive для управления параметрами синхронизации — список политик
    • Visual Studio: административные шаблоны Visual Studio (ADMX)
    • Windows: встроенная в клиентская ОС Windows.
    • подсистема Windows для Linux: подсистема Windows для Linux

    Создание шаблона

    Применение параметров шаблона ADMX к пользователям и устройствам в центре администрирования Microsoft Intune и Intune.

    1. Войдите в Центр администрирования Microsoft Intune.
    2. ВыберитеКонфигурация>устройств>Создать.
    3. Укажите следующие свойства:
      • Платформа: выберите Windows 10 и более поздних версий.
      • Тип профиля. Чтобы использовать логическую группировку параметров, выберите Шаблоны>Административные шаблоны. Чтобы просмотреть все параметры, выберите Каталог параметров.
    4. Нажмите Создать.
    5. В разделе Основные укажите следующие свойства.
      • Имя. Введите описательное имя для профиля. Назначьте имена профилям, чтобы позже их можно было легко найти. Например, хорошим именем для профиля является ADMX: административный шаблон для Windows 10/11, настраивающий параметры xyz в Microsoft Edge.
      • Описание: введите описание профиля. Этот необязательный параметр, но мы рекомендуем его использовать.
    6. Нажмите кнопку Далее.
    7. В разделе Параметры конфигурации выберите Все параметры, чтобы отобразить параметры в алфавитном порядке. Или настройте параметры, которые применяются к устройствам (Конфигурация компьютера) и пользователям (Конфигурация пользователя).

    Разверните административные шаблоны в каталоге параметров в Microsoft Intune и Intune Центре администрирования.

    Примечание. Если вы используете Каталог параметров, выберите Добавить параметры и разверните узел Административные шаблоны. Выберите любой параметр, чтобы увидеть, что можно настроить. Дополнительные сведения о создании политик с помощью каталога параметров см. в разделе Использование каталога параметров для настройки параметров.

    Просмотрите пример списка параметров и используйте кнопки

  • При выборе элемента Все параметры отображается каждый параметр. Прокрутите вниз, чтобы просмотреть другие параметры с помощью стрелок «Назад» и «Далее».
  • Выберите любой параметр. Например, отфильтруйте параметры, выбрав Office в раскрывающемся меню, и щелкните Перейти в режим ограниченного просмотра. Появится подробное описание параметра. Задайте значение Включено, Отключено или Не настроено (задано по умолчанию). Также предоставляется подробное описание того, что происходит при выборе значений Включено, Отключено или Не настроено.

    Совет Параметры Windows в Intune сопоставляются с путем локальной групповой политики, который отображается в редакторе локальных групповых политик ( gpedit ).

    Просмотр всех параметров устройств, которые применяются к интернет-Обозреватель в Центре администрирования Microsoft Intune и Intune

  • При выборе элемента Конфигурация компьютера или Конфигурация пользователя отображаются категории параметров. Выбрав любую категорию, можно просмотреть доступные параметры. Например, выберите Конфигурация компьютера>Компоненты Windows>Internet Explorer, чтобы просмотреть все параметры устройств, применяемые к Internet Explorer.
  • Нажмите OK, чтобы сохранить изменения. Продвигайтесь через список параметров и настройте параметры, которые требуются в вашей среде. Ниже приводятся примеры:
    • Используйте параметры уведомлений макросов VBA, чтобы обрабатывать макросы VBA в разных программах Microsoft Office, включая Word и Excel.
    • Используйте параметр Разрешить скачивание файлов, чтобы разрешить или запретить скачивание в Internet Explorer.
    • Используйте параметр Требовать пароль при выходе из спящего режима (питание от сети), чтобы запрашивать у пользователей пароль при выходе устройств из спящего режима.
    • Используйте параметр Скачивать неподписанные элементы управления ActiveX, чтобы запретить пользователям скачивать неподписанные элементы управления ActiveX в Internet Explorer.
    • Используйте параметр Отключить восстановление системы, чтобы разрешить или запретить пользователям запускать восстановление системы на устройстве.
    • Используйте параметр Разрешить импорт из избранного, чтобы разрешить или запретить пользователям импортировать избранное из другого браузера в Microsoft Edge.
    • И многое другое.
  • Нажмите кнопку Далее.
  • В поле Теги области (необязательно) назначьте тег для фильтрации профиля по конкретным ИТ-группам, например US-NC IT Team или JohnGlenn_ITDepartment . Дополнительные сведения о тегах область см. в статье Использование управления доступом на основе ролей (RBAC) и область тегов для распределенной ИТ-службы. Нажмите кнопку Далее.
  • В разделе Назначения выберите пользователей или группы, которые будут принимать ваш профиль. Дополнительные сведения о назначении профилей см. в статье Назначение профилей пользователей и устройств в Intune. Если профиль назначен группам пользователей, настроенные параметры ADMX применяются к любому устройству, которое регистрирует пользователь и на которое он входит. Если профиль назначен группам устройств, настроенные параметры ADMX применяются к любому пользователю, который входит на устройство. Назначение происходит, если параметр ADMX является конфигурацией компьютера ( HKEY_LOCAL_MACHINE ) или конфигурацией пользователя ( HKEY_CURRENT_USER ). При использовании некоторых параметров параметр компьютера, назначенный пользователю, также может повлиять на работу других пользователей на этом устройстве. Дополнительные сведения см. в разделе Группы пользователей и группы устройств при назначении политик. Нажмите кнопку Далее.
  • Проверьте параметры в окне Проверка и создание. При выборе Создать внесенные изменения сохраняются и назначается профиль. Политика также отображается в списке профилей.
  • В следующий раз, когда устройство будет проверять наличие обновлений конфигурации, будут применены настроенные параметры.

    Поиск параметров

    В этих шаблонах доступны тысячи параметров. Чтобы упростить поиск параметров, используйте встроенные функции:

    • В шаблоне выберите столбцы Параметры, Состояние, Тип параметра или Путь для сортировки списка. Например, выберите столбец Путь и щелкните стрелку «Далее», чтобы просмотреть параметры в пути Microsoft Excel .
    • В шаблоне используйте поле поиска, чтобы найти определенные параметры. Поиск можно выполнять по параметру или пути. Например, выберите Все параметры и выполните поиск по слову copy . Отображаются все параметры с copy : Поиск для копирования, чтобы отобразить все параметры устройства в административных шаблонах в центре администрирования Microsoft Intune и Intune.Например, используйте поиск по фразе microsoft word . Появятся параметры, которые можно задать в программе Microsoft Word. Используйте поисковый запрос explorer для просмотра параметров Internet Explorer, которые можно добавить в шаблон.
    • Можно также сузить поиск, выбрав только Конфигурация компьютера или Конфигурация пользователя. Например, чтобы просмотреть все доступные параметры Обозреватель пользователей в Интернете, выберите Конфигурация пользователя и выполните поиск по запросу Internet Explorer . Отображаются только параметры Internet Explorer, относящиеся к пользователям. В шаблоне ADMX выберите конфигурацию пользователя и выполните поиск или фильтрацию для Internet Explorer в Microsoft Intune.

    Создайте политику отката известных проблем (KIR)

    На зарегистрированных устройствах для создания политики отката известных проблем (KIR) и развертывания этой политики на устройствах с Windows можно использовать административные шаблоны. Конкретные действия можно найти в разделе Развертывание активации KIR с помощью приема политик Microsoft Intune ADMX для управляемых устройств.

    Дополнительные сведения о KIR и о том, что это такое, можно найти в:

    • Откат известной проблемы: помощь в обеспечении защиты и производительности устройств Windows
    • Использование групповой политики или Intune для развертывания отката известной проблемы

    Дальнейшие действия

    • Шаблон создан, но, возможно, еще ничего не выполняется. Назначьте шаблон (также называемый профилем) и отслеживайте состояние политики.
    • Обновите Office с помощью административных шаблонов.
    • Ограничьте USB-устройства с помощью административных шаблонов.
    • Создайте политику Microsoft Edge с помощью ADMX.
    • Импорт пользовательских или партнерских ADMX-файлов.
    • Учебник. Настройка групповой политики с помощью облака на клиентских устройствах Windows с шаблонами ADMX и Microsoft Intune

    Обновление/установка административных шаблонов групповых политик (ADMX)

    date

    15.11.2022

    user

    itpro

    directory

    Active Directory, Windows 10, Windows Server 2016, Групповые политики

    comments

    комментариев 17

    В этой статье мы рассмотрим особенности процесса обновления (установки) новых административных шаблонов GPO (admx) в домене Active при обновлении билда Windows 10 или Windows Server 2016/2019 на устройствах.

    Административные шаблоны (Administrative templates) – это специальные ADMX (и ADML ) файлы, которые используются в редакторе групповых политик для изменения параметров компьютера или пользователя. По сути в административных шаблонах описываются те изменения, которые нужно выполнить в реестре для применения различных настроек.

    Обновление ADMX шаблонов GPO при апгрейде билда Windows 10 на клиентах

    В связи с тем, что Microsoft постоянно обновляет свои операционные системы и добавляет в них различный функционал, одновременно с этим она выпускает новые административные шаблоны. Чтобы администратор мог централизованной управлять новыми функциями Windows через GPO, ему необходимо регулярно обновлять административные шаблоны в домене AD.

    Например, у вас имеется домен на базе Windows Server 2016 и компьютеры в домене, которые обновились до билда Windows 10 2004. В этом билде, например, появилась новая опция Delivery Optimization для управления механизмом Windows Update for Business (WUfB). Теперь вы можете указать максимальную пропускную способность, которую технология Delivery Optimization может использовать для фоновой загрузки обновлений.

    Опция Maximum Foreground Download Bandwidth (in kb/s) доступа в следующем разделе локального редактора групповой политике (gpedit.msc) на компьютерах с Windows 10 2004 (20H2): Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Delivery Optimization.

    новый параметр политик Maximum Foreground Download Bandwidth (in kb/s)

    Но вы не сможете настроить этот параметр на всех компьютерах с помощью доменных групповых политик, т.к. в консоли редактора GPO ( gpmc.msc ) этот параметр политики отсутствует, т.к. в хранилище шаблонов на DC новых параметров нет (их можно использовать только на в локальных политиках или MLGPO на компьютере с новым билдом Windows 10).

    Если вы установили консоли управления RSAT на компьютер с новым билдом Windows 10, то новые параметры политик будут доступны в редакторе gpmc.msc .

    В этом случае вам нужно обновить административные шаблоны GPO на контроллерах домена. Рассмотрим как это сделать:

    скачать Administrative Templates (.admx) for Windows 10 2004

      Перейдите на страницу загрузки административных шаблонов для максимального билда Windows 10, которые используется у вас в домене. В нашем случае это Windows 10 2004. Проще всего выполнить поиск в google по ключевой фразе “Administrative Templates (.admx) for Windows 10 2004”;

    Официальный список прямых ссылок на загрузку административных шаблонов для различных версий и билдов Windows доступен здесь: https://docs.microsoft.com/en-us/troubleshoot/windows-client/group-policy/create-and-manage-central-store .

    установка администартивных шаблонов для нового билда windows 10

  • Скачайте и установите MSI архив ( Administrative Templates (.admx) for Windows 10 May 2020 Update.msi );
  • Теперь нужно скопировать содержимое каталога C:\Program Files (x86)\Microsoft Group Policy\Windows 10 May 2020 Update (2004)\PolicyDefinitions в центральное хранилище GPO на контроллере домена (каталог \\winitpro.ru\SYSVOL\winitpro.ru\Policies\PolicyDefinitions) с заменой (!) файлов.

    Пара важных советов!

    • Обязательно создайте резервную копию каталога PolicyDefinitions на контроллере домена перед заменой файлов (это позволит откатится к предыдущим версии admx шаблонов);
    • Не обязательно копировать каталоги с adml файлами для разных языков. Скопируйте только каталоги для тех языков, которые используются у вас в редакторе GPO. Это уменьшит размер каталога SYSVOL на DC и уменьшить трафик репликации;
    • Если у вас уже есть под рукой компьютер с новым билдом Windows 10, то можно скопировать административные шаблоны из каталога %WinDir%\PolicyDefinitions без установки MSI файла.

    скопировать новые admx файлы в каталог PolicyDefinitions на контроллере домена

    новые параметры административных шаблонов появились в редкторе gpo

    Теперь запустите редактор Group Policy Management Console (gpmc.msc), создайте новую GPO и проверьте, что в ней теперь доступны настройки политик из нового билда Windows 10;

    Если вы хотите, чтобы определенная GPO с новыми параметрами применялась только для определенных билдов Windows 10, можно использовать WMI фильтры GPO.

    Установка нового административного шаблона в домене Active Directory

    Аналогичным образом устанавливаются новые административные шаблоны. Например, вы планируете использовать групповые политики для управления параметрами браузера Edge Chromium на компьютерах пользователей. Административные шаблоны для Edge Chromium отсутствуют как в Windows 10 2004, так и в 20H2. Вам придется вручную скачать файлы политик Edge Chromium и скопировать admx файлы в каталог PolicyDefinitions на контролере домена.

    1. Перейдите нас страницу Microsoft Edge for business (https://www.microsoft.com/en-us/edge/business/download);
    2. Выберите версию, билд и платформу Edge, которую вы хотите использовать. Нажмите кнопку Get Policy Files; скачать файлы admx шаблонов для microsoft edge
    3. Распакуйте файл MicrosoftEdgePolicyTemplates.cab ;
    4. Перейдите в каталог \MicrosoftEdgePolicyTemplates\windows\admx . Cкопируйте файлы msedge.admx,msedgeupdate.admx и каталоги с языковыми пакетами (например, ru-RU и en-US) в центральное хранилище политик на контроллере домена (\\winitpro.ru\SYSVOL\winitpro.ru\Policies\PolicyDefinitions);установка msedge.admx, msedgeupdate.admx
    5. Убедитесь, что новые разделы политик для настройки параметров Microsoft Edge появились в доменном редакторе GPO. новые администартивные шаблоны gpo

    Если у вас в компании используется несколько версий ПО, которыми вы хотите управлять через GPO, последовательно загрузите и установите на DC все admx для всех версий, начиная с самой старой (admx шаблоны для актуальной версии софта нужно устанавливать в последнюю очередь).

    Предыдущая статьяПредыдущая статья Следующая статья Следующая статья

    Административные шаблоны где найти

    Информация по новому формату на сайте Microsoft: Managing Group Policy ADMX Files Step-by-Step Guide

    Полезная статья на русском языке, являющаяся переводом предыдущей: Пошаговое руководство по управлению ADMX-файлами групповой политики

    Какие же изменения произошли в последовательности загрузки административных шаблонов в связи со сменой формата?

    1. Основной набор административных шаблонов все также можно найти в папке \Indeed-Id Admin Pack\\Misc\GroupPolicyTemplates\. Как и в прошлых версиях, административные шаблоны групповых политик для настройки провайдеров аутентификации Indeed-Id (для тех провайдеров, для которых поддерживается настройка через групповые политики) можно найти в папке дистрибутивом каждого провайдера в подкаталоге Misc.

    2. Набор файлов шаблонов групповых политик теперь состоит из файлов двух типов

    Расположение файла на контроллере домена

    Независимый от языка локализации ADMX-файл (.admx)

    %systemroot%\sysvol\domain\policies\PolicyDefinitions

    Ориентированный на конкретный язык ADMX-файл (.adml)

    %systemroot%\sysvol\domain\policies\PolicyDefinitions\[MUIculture] Например, ADMX-файл для английского (U.S. English) языка будет храниться в папке %systemroot%\sysvol\domain\policies\PolicyDefinitions\en-us.

    ADMX файлы находятся в каталоге \Indeed-Id Admin Pack\\Misc\GroupPolicyTemplates\, а ADML файлы расположены в подкаталоге en-US. Каждому ADMX файлу соответствует свой ADML файл с таким же именем.

    Набор и назначение пар ADMX+ADML файлов соответствует набору файлов в формате ADM из предыдущих версий. Плюс, в будущем будут добавляться новые файлы для новых групповых политик.

    3. Файлы административных шаблонов групповых политик в новом формате (ADMX и ADML) необходимо скопировать в каталог %systemroot%\sysvol\domain\policies\PolicyDefinitionsна одном из контроллеров домена (каталог PolicyDefinitionsнеобходимо создать, если он отсутствует):

    • В каталог \PolicyDefinitions необходимо скопировать файл IndeedID.BaseFile.admx(обязательно) + набор из необходимы admx файлов, которые планируются к использованию.
    • В каталог \PolicyDefinitions\en-US (для англоязычной локализации сервера) или \PolicyDefinitions\ru-RU(для русскоязычной локализации сервера) необходимо из каталога \Indeed-Id Admin Pack\\Misc\GroupPolicyTemplates\en-USдистрибутива скопировать файлы IndeedID.BaseFile.adml (обязательно) + набор ADML файлов аналогичный скопированным ADMX.

    4. После этого групповые политики Indeed-Id будут видны в редакторе Group Policy Management в разделе ADMX files

    Рассмотрим небольшой пример

    Задача:
    Необходимо добавить шаблоны групповых политик для настройки автоматической идентификации, работы с тестовыми серверами и Indeed Paste. Контроллер домена с англоязычной локализацией.

    Решение:
    1. На контроллере домена находим каталог %systemroot%\sysvol\domain\policies\

    2. Создаем или открываем, если он уже существует, каталог PolicyDefinitions

    3. Если в каталоге PolicyDefinitions отсутствует подкаталог en-US, создаем его. en-US — так как версия сервера англоязычная.

    4. Открываем дистрибутив Indeed-Id и переходим в каталог \Indeed-Id Admin Pack\6.0.0\Misc\GroupPolicyTemplates\

    5. Находим следующие файлы ADMX: IndeedID.BaseFile.admx, IndeedID.AutoIdentification.admx, IndeedID.TestServers.admx, IndeedID.Paste.admx

    6. Копируем их в каталог %systemroot%\sysvol\domain\policies\PolicyDefinitions на контроллер домена

    7. Находим следующие файлы ADML: IndeedID.BaseFile.adml, IndeedID.AutoIdentification.adml, IndeedID.TestServers.adml, IndeedID.Paste.adml

    8. Копируем их в каталог %systemroot%\sysvol\domain\policies\PolicyDefinitions\en-US на контроллер домена

    Пошаговое руководство. Использование облака для настройки групповой политики на устройствах Windows 10/11 с шаблонами ADMX и Microsoft Intune

    Это пошаговое руководство было создано как технический семинар для Microsoft Ignite. Он содержит больше предварительных требований, чем обычные пошаговые руководства, так как сравнивает использование и настройку политик ADMX в Intune и локальной среде.

    Административные шаблоны групповой политики, также известные как шаблоны ADMX, включают параметры, которые можно настроить на клиентских устройствах Windows, включая компьютеры. Параметры шаблона ADMX доступны различными службами. Эти параметры используются поставщиками мобильных Управление устройствами (MDM), включая Microsoft Intune. Например, можно включить идеи оформления в PowerPoint, задать домашнюю страницу в Microsoft Edge и многое другое.

    Общие сведения о шаблонах ADMX в Intune, включая встроенные в Intune шаблоны ADMX, см. в статье Использование шаблонов ADMX Windows 10/11 в Microsoft Intune.

    Дополнительные сведения о политиках ADMX см. в статье Основные сведения о политиках, поддерживаемых ADMX.

    Эти шаблоны встроены в Microsoft Intune и доступны в виде профилей административных шаблонов. В этом профиле вы настраиваете параметры, которые хотите включить, а затем «назначаете» этот профиль своим устройствам.

    В этом пошаговом руководстве описано следующее:

    • Ознакомьтесь с центром администрирования Microsoft Intune.
    • Создание групп пользователей и групп устройств.
    • Сравните параметры в Intune с локальными параметрами ADMX.
    • Создайте различные административные шаблоны и настройте параметры, предназначенные для разных групп.

    К концу этого задания вы можете использовать Intune и Microsoft 365 для управления пользователями и развертывания административных шаблонов.

    Данная функция применяется к:

    • Windows 11
    • Windows 10 версии 1709 и более поздних

    Административный шаблон можно создать одним из двух способов: с помощью шаблона или с помощью каталога параметров. В этой статье рассматривается использование шаблона Административные шаблоны. Каталог параметров содержит больше доступных параметров административного шаблона. Инструкции по использованию каталога параметров см. в разделе Настройка параметров с помощью каталога параметров.

    Предварительные требования

    Снимок экрана, на котором показано, как задать для центра MDM значение Microsoft Intune в состоянии клиента.

    • Подписка Microsoft 365 E3 или E5, которая включает Intune и Microsoft Entra ID P1 или P2. Если у вас нет подписки E3 или E5, попробуйте ее бесплатно. Дополнительные сведения о том, что вы получаете с различными лицензиями Microsoft 365, см. в статье Преобразование предприятия с помощью Microsoft 365.
    • Microsoft Intune настраивается как центр MDM Intune. Дополнительные сведения см. в статье Настройка центра управления мобильными устройствами.
    • На контроллере домена локальная служба Active Directory:
    • Скопируйте следующие шаблоны Office и Microsoft Edge в Центральный магазин (папка sysvol):
      • Административные шаблоны Office
      • Файл политики административных шаблонов > Microsoft Edge
    • Создайте групповую политику, чтобы отправить эти шаблоны на компьютер администратора Windows 10/11 Enterprise в том же домене, что и контроллер домена. В этом пошаговом руководстве выполните следующее:
      • Групповая политика, созданная с помощью этих шаблонов, называется OfficeandEdge. Это имя отображается на изображениях.
      • Компьютер администратора Windows 10/11 Enterprise, который мы используем, называется компьютером Администратор.

      В некоторых организациях администратор домена имеет две учетные записи:

      • Типичная доменная рабочая учетная запись
      • Другая учетная запись администратора домена, используемая только для задач администратора домена, таких как групповая политика

      Цель этого Администратор компьютера — войти с помощью учетной записи администратора домена и получить доступ к средствам, предназначенным для управления групповой политикой.

      Снимок экрана: приложения средств администрирования Windows, включая приложение

    • На этом компьютере Администратор:
      • Войдите с учетной записью администратора домена.
      • Добавьте средства управления RSAT: групповая политика:
        1. Откройте приложение >ПараметрыСистема>Необязательные функции>Добавить функцию. Если вы используете версию старше Windows 10 22H2, перейдите в раздел Параметры>Приложения Приложения>& функции>Дополнительные функции>Добавить функцию.
        2. Выберите RSAT: групповая политика Средства> управленияДобавить. Подождите, пока Windows добавит эту функцию. После завершения он в конечном итоге отобразится в приложении «Администрирование Windows».
      • Убедитесь, что у вас есть доступ к Интернету и права администратора для подписки Microsoft 365, которая включает центр администрирования Intune.

    Открытие Центра администрирования Intune

    1. Откройте веб-браузер chromium, например Microsoft Edge версии 77 и более поздних версий.
    2. Перейдите в Центр администрирования Microsoft Intune. Войдите с помощью следующей учетной записи: Пользователь. Введите учетную запись администратора подписки клиента Microsoft 365.
      Пароль. Введите пароль.

    Этот центр администрирования ориентирован на управление устройствами и включает службы Azure, такие как Microsoft Entra ID и Intune. Вы можете не увидеть Microsoft Entra ID и Intune фирменной символики, но вы используете их.

    Вы также можете открыть Центр администрирования Intune из Центр администрирования Microsoft 365:

    Снимок экрана: все центры администрирования в Центр администрирования Microsoft 365.

    1. Перейдите по адресу https://admin.microsoft.com.
    2. Войдите с учетной записью администратора подписки клиента Microsoft 365.
    3. Выберите Показать все>центры администрирования Управление конечными>точками. Откроется Центр администрирования Intune.

    Создание групп и добавление пользователей

    Локальные политики применяются в порядке LSDOU : локальные, сайты, домены и подразделения. В этой иерархии политики подразделений перезаписывают локальные политики, политики домена перезаписывают политики сайта и т. д.

    В Intune политики применяются к создаваемым пользователям и группам. Иерархии не существует. Например:

    • Если две политики обновляют один и тот же параметр, то возникнет конфликт.
    • Если конфликтуют две политики соответствия требованиям, применяется самая строгая политика.
    • Если два профиля конфигурации конфликтуют, параметр не применяется.

    На следующих шагах вы создадите группы безопасности и добавьте пользователей в эти группы. Вы можете добавить пользователя в несколько групп. Например, пользователь обычно имеет несколько устройств, таких как Surface Pro для работы и мобильное устройство Android для личного использования. Кроме того, человек обычно получает доступ к ресурсам организации с этих нескольких устройств.

    Снимок экрана: создание динамического запроса и добавление выражений в административный шаблон Microsoft Intune.

    1. В Центре администрирования Intune выберите Группы>Новая группа.
    2. Введите следующие параметры.
      • Тип группы: выберите Безопасность.
      • Имя группы: введите все устройства Windows 10 учащихся.
      • Тип членства: выберите Назначено.
    3. Выберите Участники и добавьте некоторые устройства. Добавление устройств является необязательным. Цель состоит в том, чтобы попрактиковаться в создании групп и научиться добавлять устройства. Если вы используете это пошаговое руководство в рабочей среде, помните о том, что вы делаете.
    4. Выберите>Создайте , чтобы сохранить изменения. Не видите свою группу? Выберите Обновить.
    5. Выберите Создать группу и введите следующие параметры:
      • Тип группы: выберите Безопасность.
      • Имя группы: введите все устройства Windows.
      • Тип членства: выберите Динамическое устройство.
      • Динамические члены устройства. Выберите Добавить динамический запрос и настройте запрос:
        • Свойство: выберите deviceOSType.
        • Оператор: выберите Равно.
        • Значение: введите Windows.
        1. Выберите Добавить выражение. Выражение отображается в синтаксисе правила: Когда пользователи или устройства соответствуют введенным критериям, они автоматически добавляются в динамические группы. В этом примере устройства автоматически добавляются в эту группу, если операционная система — Windows. Если вы используете это пошаговое руководство в рабочей среде, будьте осторожны. Цель состоит в том, чтобы попрактиковаться в создании динамических групп.
        2. Сохранить>Создайте , чтобы сохранить изменения.
    6. Создайте группу Все преподаватели со следующими параметрами:
      • Тип группы: выберите Безопасность.
      • Имя группы: введите Все преподаватели.
      • Тип членства: выберите Динамический пользователь.
      • Динамические члены-пользователи. Выберите Добавить динамический запрос и настройте запрос:
        • Свойство: выберите отдел.
        • Оператор: выберите Равно.
        • Значение: введите Преподаватели.
          1. Выберите Добавить выражение. Выражение отображается в синтаксисе правила. Когда пользователи или устройства соответствуют введенным критериям, они автоматически добавляются в динамические группы. В этом примере пользователи автоматически добавляются в эту группу, когда их отдел является Преподавателем. Вы можете ввести отдел и другие свойства при добавлении пользователей в организацию. Если вы используете это пошаговое руководство в рабочей среде, будьте осторожны. Цель состоит в том, чтобы попрактиковаться в создании динамических групп.
          2. Сохранить>Создайте , чтобы сохранить изменения.

    Тезисы

    • Динамические группы — это функция в Microsoft Entra ID P1 или P2. Если у вас нет Microsoft Entra ID P1 или P2, вы имеете лицензию на создание только назначенных групп. Дополнительные сведения о динамических группах см. по следующим причинам:
      • Динамическое членство в группах в Microsoft Entra ID (часть 1)
      • Динамическое членство в группах в Microsoft Entra ID (часть 2)
      • Все учащиеся
      • Все устройства Android
      • Все устройства iOS/iPadOS
      • Маркетинг
      • Управление персоналом
      • все сотрудники Шарлотты;
      • Все сотрудники Redmond
      • ИТ-администраторы западного побережья
      • ИТ-администраторы восточного побережья

      Созданные пользователи и группы также отображаются в Центр администрирования Microsoft 365, Microsoft Entra ID в портал Azure и Microsoft Intune в портал Azure. Вы можете создавать группы и управлять ими во всех этих областях для подписки клиента. Если ваша цель — управление устройствами, используйте центр администрирования Microsoft Intune.

      Проверка членства в группе

      1. В центре администрирования Intune выберите Пользователи>Все пользователи> выберите имя любого существующего пользователя.
      2. Просмотрите некоторые сведения, которые можно добавить или изменить. Например, просмотрите свойства, которые можно настроить, например должность, отдел, город, расположение офиса и многое другое. Эти свойства можно использовать в динамических запросах при создании динамических групп.
      3. Выберите Группы , чтобы просмотреть членство этого пользователя. Вы также можете удалить пользователя из группы.
      4. Выберите некоторые другие параметры, чтобы просмотреть дополнительные сведения и доступные действия. Например, просмотрите назначенную лицензию, устройства пользователя и многое другое.

      Что я только что сделал?

      В Центре администрирования Intune вы создали новые группы безопасности и добавили в них существующих пользователей и устройства. Мы используем эти группы на последующих шагах в этом руководстве.

      Создание шаблона в Intune

      В этом разделе мы создадим административный шаблон в Intune, рассмотрим некоторые параметры в управлении групповая политика и сравним тот же параметр в Intune. Цель — отобразить параметр в групповой политике и тот же параметр в Intune.

      1. В Центре администрирования Intune выберитеПункт Создание конфигурации>устройств>.
      2. Укажите следующие свойства:
        • Платформа: выберите Windows 10 и более поздних версий.
        • Тип профиля: выберите Административные шаблоны.
      3. Нажмите Создать.
      4. В разделе Основные укажите следующие свойства.
        • Имя. Введите описательное имя для профиля. Назначьте имена профилям, чтобы позже их можно было легко найти. Например, введите шаблон Администратор — Windows 10 устройствах учащихся.
        • Описание. Введите описание профиля. Этот необязательный параметр, но мы рекомендуем его использовать.
      5. Нажмите кнопку Далее.
      6. В разделе Параметры конфигурациивсе параметры отображают список всех параметров в алфавитном порядке. Вы также можете фильтровать параметры, применяемые к устройствам (конфигурация компьютера), и параметры, применяемые к пользователям (конфигурация пользователя): Снимок экрана: применение параметров шаблона ADMX к пользователям и устройствам в Microsoft Intune.
      7. Разверните узел Конфигурация> компьютераMicrosoft Edge>, выберите Параметры SmartScreen. Обратите внимание на путь к политике и все доступные параметры: Снимок экрана: просмотр параметров политики SmartScreen Microsoft Edge в шаблонах ADMX в Microsoft Intune.
      8. В поиске введите download. Обратите внимание, что параметры политики фильтруются: Снимок экрана: фильтрация параметров политики SmartScreen Microsoft Edge в шаблоне ADMX Microsoft Intune.

      Открытие управления групповая политика

      В этом разделе мы покажем политику в Intune и соответствующую политику в Редактор управления групповая политика.

      Сравнение политики устройств
      1. На компьютере Администратор откройте приложение «Управление групповая политика«. Это приложение устанавливается с rsat: групповая политика Management Tools, которые являются необязательным компонентом, который вы добавляете в Windows. Предварительные требования (в этой статье) перечисляют действия по его установке.
      2. Разверните узел Домены> , выберите свой домен. Например, выберите contoso.net .
      3. Щелкните правой кнопкой мыши политику >OfficeandEdgeИзменить. Откроется приложение Редактор управления групповая политика. Снимок экрана, на котором показано, как щелкнуть правой кнопкой мыши локальную групповую политику Office и Microsoft Edge ADMX и выбрать команду Изменить.OfficeandEdge — это групповая политика, включающая шаблоны ADMX Office и Microsoft Edge. Эта политика описана в разделе Предварительные требования (в этой статье).
      4. Разверните разделПолитики>конфигурации> компьютера Административные>шаблоны> панель управления Персонализация. Обратите внимание на доступные параметры. Снимок экрана, на котором показано, как развернуть конфигурацию компьютера в локальной групповая политика управление Редактор и перейти к разделу Персонализация.Дважды щелкните Запретить включение камеры с экрана блокировки и просмотрите доступные параметры: Снимок экрана: просмотр параметров конфигурации локального компьютера в групповой политике.
      5. В Центре администрирования Intune перейдите к шаблону Администратор — Windows 10 шаблону устройств учащихся.
      6. Выберите Конфигурация> компьютера панель управления>Персонализация. Обратите внимание на доступные параметры: Снимок экрана: путь к параметру политики персонализации в Microsoft Intune.Тип параметра — Device, а путь — /Control Panel/Personalization . Этот путь аналогичен тому, что вы только что видели в Редактор управления групповая политика. Если открыть параметр Запретить включение камеры блокировки, вы увидите те же параметры Не настроено, Включено и Отключено, что и в групповая политика Управление Редактор.
      Сравнение политики пользователей
      1. В шаблоне администратора выберите Конфигурация> компьютераВсе параметры и найдите inprivate browsing . Обратите внимание на путь. Выполните то же самое для конфигурации пользователя. Выберите Все параметры и найдите inprivate browsing .
      2. В Редактор управления групповая политика найдите соответствующие параметры пользователя и устройства:
        • Устройство: разверните разделПолитики>конфигурации> компьютераАдминистративные шаблоны>Компоненты> WindowsИнтернет Обозреватель>Привимение>Отключить просмотр InPrivate.
        • Пользователь: разверните раздел Политики конфигурации>пользователей>Административные шаблоны>Компоненты> WindowsИнтернет Обозреватель>Отключите>просмотр InPrivate.

      Снимок экрана: отключение просмотра InPrivate в Интернете Обозреватель с помощью шаблона ADMX.

      Чтобы просмотреть встроенные политики Windows, можно также использовать GPEdit (изменение приложения групповой политики ).

      Сравнение политики Microsoft Edge
      1. В Центре администрирования Intune перейдите к шаблону Администратор — Windows 10 шаблону устройств учащихся.
      2. Разверните раздел Конфигурация> компьютераMicrosoft Edge>Startup, домашняя страница и страница новой вкладки. Обратите внимание на доступные параметры. Выполните то же самое для конфигурации пользователя.
      3. В Редактор управления групповая политика найдите следующие параметры:
        • Устройство: развернитераздел Политики>конфигурации> компьютераАдминистративные шаблоны>Microsoft Edge>Startup, домашняя страница и страница новой вкладки.
        • Пользователь: разверните Раздел Политики конфигурации>пользователей>Административные шаблоны>Microsoft Edge>Startup, домашняя страница и страница новой вкладки

      Что я только что сделал?

      Вы создали административный шаблон в Intune. В этом шаблоне мы рассмотрели некоторые параметры ADMX и те же параметры ADMX в групповая политика Management.

      Добавление параметров в шаблон администратора учащихся

      В этом шаблоне мы настроим некоторые параметры Обозреватель Интернета для блокировки устройств, к которым предоставлен доступ нескольким учащимся.

      1. В шаблоне Администратор — Windows 10 устройства учащихся разверните узел Конфигурация компьютера, выберите Все параметры и выполните поиск по запросу Отключить просмотр InPrivate: Снимок экрана, на котором показано, как отключить политику просмотра устройств InPrivate в административном шаблоне в Microsoft Intune.
      2. Выберите параметр Отключить просмотр InPrivate . В этом окне обратите внимание на описание и значения, которые можно задать. Эти параметры похожи на те, которые отображаются в групповой политике.
      3. Выберите Включено>ОК , чтобы сохранить изменения.
      4. Кроме того, настройте следующие параметры Обозреватель Интернета. Не забудьте нажать кнопку ОК , чтобы сохранить изменения.
        • Разрешить перетаскивание или копирование и вставку файлов
          • Тип: Устройство
          • Путь: \Windows Components\Internet Обозреватель\Internet панель управления\Security Page\Internet Zone
          • Значение: Отключено
        • Предотвращение игнорирования ошибок сертификата
          • Тип: Устройство
          • Путь: \Компоненты Windows\Internet Обозреватель\Internet панель управления
          • Значение: Включено
        • Отключение изменения параметров домашней страницы
          • Тип: User
          • Путь: \Компоненты Windows\Internet Обозреватель
          • Значение: Включено
          • Домашняя страница: введите URL-адрес, например contoso.com .
      5. Очистите фильтр поиска. Обратите внимание, что настроенные параметры перечислены в верхней части: Снимок экрана: настроенные параметры ADMX перечислены в верхней части Microsoft Intune.

      Назначение шаблона

      Снимок экрана, на котором показано, как выбрать профиль административного шаблона в списке Профили конфигурации устройств в Microsoft Intune.

      1. В шаблоне нажимайте кнопку Далее , пока не перейдете к разделу Назначения. Выберите Выбрать группы, чтобы включить:
      2. Отобразится список существующих пользователей и групп. Выберите созданную ранее > группу Все устройства учащихся Windows 10Выберите. Если вы используете это пошаговое руководство в рабочей среде, рассмотрите возможность добавления пустых групп. Цель состоит в том, чтобы попрактиковаться в назначении шаблона.
      3. Нажмите кнопку Далее. В разделе Просмотр и создание выберите Создать , чтобы сохранить изменения.

      Как только профиль сохраняется, он применяется к устройствам, когда они проверка с Intune. Если устройства подключены к Интернету, это может произойти немедленно. Дополнительные сведения о времени обновления политики см. в статье Сколько времени требуется устройствам для получения политики, профиля или приложения.

      При назначении строгих или ограничительных политик и профилей не блокируйте себя. Рассмотрите возможность создания группы, исключенной из политик и профилей. Идея заключается в том, чтобы иметь доступ к устранению неполадок. Отслеживайте эту группу, чтобы убедиться, что она используется по назначению.

      Что я только что сделал?

      В Центре администрирования Intune вы создали профиль конфигурации устройства с административным шаблоном и назначили этот профиль созданной группе.

      Создание шаблона OneDrive

      В этом разделе вы создадите шаблон администратора OneDrive в Intune для управления некоторыми параметрами. Эти параметры выбираются, так как они часто используются организациями.

      1. Создайте другой профиль (Созданиеконфигурации>устройств>).
      2. Укажите следующие свойства:
        • Платформа: выберите Windows 10 и более поздних версий.
        • Тип профиля: выберите Административные шаблоны.
      3. Нажмите Создать.
      4. В разделе Основные укажите следующие свойства.
        • Имя: введите шаблон Администратор — политики OneDrive, которые применяются ко всем пользователям Windows 10.
        • Описание. Введите описание профиля. Этот необязательный параметр, но мы рекомендуем его использовать.
      5. Нажмите кнопку Далее.
      6. В разделе Параметры конфигурации настройте следующие параметры. Не забудьте нажать кнопку ОК , чтобы сохранить изменения:
        • Конфигурация компьютера:
          • Автоматически выполнять вход пользователей в клиент синхронизации OneDrive с помощью учетных данных Windows
            • Тип: Устройство
            • Значение: Включено
          • Использовать функцию «Файлы из OneDrive по запросу»
            • Тип: Устройство
            • Значение: Включено
        • Конфигурация пользователя:
          • Запретить пользователям синхронизировать личные учетные записи OneDrive
            • Тип: User
            • Значение: Включено

      Ваши настройки будут выглядеть следующим образом:

      Снимок экрана: создание административного шаблона OneDrive в Microsoft Intune.

      Назначение шаблона

      1. В шаблоне нажимайте кнопку Далее , пока не перейдете к разделу Назначения. Выберите Выбрать группы, чтобы включить:
      2. Отобразится список существующих пользователей и групп. Выберите группу Все устройства Windows, созданную ранее>. Если вы используете это пошаговое руководство в рабочей среде, рассмотрите возможность добавления пустых групп. Цель состоит в том, чтобы попрактиковаться в назначении шаблона.
      3. Нажмите кнопку Далее. В разделе Просмотр и создание выберите Создать , чтобы сохранить изменения.

      На этом этапе вы создали некоторые административные шаблоны и назначили их созданным группам. Следующим шагом является создание административного шаблона с помощью Windows PowerShell и microsoft API Graph для Intune.

      Необязательно. Создание политики с помощью PowerShell и API Graph

      В этом разделе используются следующие ресурсы. Мы устанавливаем эти ресурсы в этом разделе.

      • пакет SDK Intune PowerShell
      • API Microsoft Graph для Intune
      1. На Администратор компьютере откройте Windows PowerShell с правами администратора:
        1. В строке поиска введите powershell.
        2. Щелкните правой кнопкой мыши Windows PowerShell>Запустить от имени администратора.

        Снимок экрана: запуск Windows PowerShell от имени администратора.

        1. Введите: get-ExecutionPolicy Запишите, для чего задано значение политики, которое может быть ограничено. Завершив выполнение пошагового руководства, присвойте ему исходное значение.
        2. Введите: Set-ExecutionPolicy -ExecutionPolicy Unrestricted
        3. Введите Y , чтобы изменить его.

        Политика выполнения PowerShell помогает предотвратить выполнение вредоносных сценариев. Дополнительные сведения см. в разделе О политиках выполнения.

        • Запрос на установку поставщика NuGet
        • Запрос на установку модулей из ненадежного репозитория

        Это может занять несколько минут. По завершении отобразится запрос, аналогичный следующему:

        Снимок экрана: запрос Windows PowerShell после установки модуля.

      2. В веб-браузере перейдите по адресу https://github.com/Microsoft/Intune-PowerShell-SDK/releasesи выберите файлIntune-PowerShell-SDK_v6.1907.00921.0001.zip .
        1. Выберите Сохранить как и выберите папку, которую вы запомните. c:\psscripts хороший выбор.
        2. Откройте папку, щелкните правой кнопкой мыши .zip файл >Извлечь все>извлечения. Структура папок выглядит примерно так: Снимок экрана: структура папок пакета SDK для PowerShell Intune после извлечения.
      3. На вкладке Вид проверка расширения имен файлов: Снимок экрана: выбор расширений имен файлов на вкладке представления в проводнике Windows.
      4. В папке и перейдите к c:\psscripts\Intune-PowerShell-SDK_v6.1907.00921.0001\drop\outputs\build\Release\net471 . Щелкните правой кнопкой мыши каждый .dll >Свойства>Разблокировать. Снимок экрана, на котором показано, как разблокировать библиотеки DLL.
      5. В приложении Windows PowerShell введите:

        Import-Module c:\psscripts\Intune-PowerShell-SDK_v6.1907.00921.0001\drop\outputs\build\Release\net471\Microsoft.Graph.Intune.psd1 
        1. Введите: Update-MSGraphEnvironment -SchemaVersion ‘beta’
        2. Введите: Connect-MSGraph -AdminConsent
        3. При появлении запроса войдите с той же учетной записью администратора Microsoft 365. Эти командлеты создают политику в организации клиента. Пользователь. Введите учетную запись администратора подписки клиента Microsoft 365.
          Пароль. Введите пароль.
        4. Выберите Принять.
        $configuration = Invoke-MSGraphRequest -Url https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations -Content '' -HttpMethod POST 
        $settingDefinitions = Invoke-MSGraphRequest -Url https://graph.microsoft.com/beta/deviceManagement/groupPolicyDefinitions -HttpMethod GET 
        $desiredSettingDefinition = $settingDefinitions.value | ?
        $configuredSetting = Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues" -Content ("") -HttpMethod POST 
        Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues('$($configuredSetting.id)')" -Content ("") -HttpMethod PATCH 
        $configuredSetting = Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues('$($configuredSetting.id)')" -HttpMethod GET 

        Просмотр политики

        1. В центре > администрирования IntuneОбновлениеконфигурации>устройств>.
        2. Выберите параметры профиля >конфигурации теста.
        3. В раскрывающемся списке выберите Все продукты.

        Вы увидите, что параметр Автоматический вход пользователей в клиент приложение синхронизации OneDrive с учетными данными Windows настроен.

        Рекомендации по политике

        При создании политик и профилей в Intune необходимо учитывать ряд рекомендаций и рекомендаций. Дополнительные сведения см. в статье Рекомендации по политике и профилированию.

        Очистка ресурсов

        Если вы больше не нужны, вы можете:

        • Удалите созданные группы:
          • Все устройства Windows 10 учащихся
          • Все устройства с Windows
          • Все преподаватели
          • шаблон Администратор — устройства Windows 10 учащихся
          • шаблон Администратор — политики OneDrive, применяемые ко всем пользователям Windows 10
          • Конфигурация тестирования
          Set-ExecutionPolicy -ExecutionPolicy Restricted 

          Дальнейшие действия

          В этом руководстве вы ознакомились с центром администрирования Microsoft Intune, использовали построитель запросов для создания динамических групп и создали административные шаблоны в Intune для настройки параметров ADMX. Вы также сравнили использование шаблонов ADMX локально и в облаке с Intune. В качестве бонуса вы использовали командлеты PowerShell для создания административного шаблона.

          Дополнительные сведения об административных шаблонах в Intune см. по следующему разделу:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *