Поделиться через

Создание профиля конфигурации устройства в Microsoft Intune

Профили конфигурации устройств позволяют добавлять и настраивать параметры устройства, а затем отправлять их на устройства в организации. При создании политик можно воспользоваться одним из следующих вариантов.

  • Базовые показатели. На устройствах Windows эти базовые показатели включают предварительно настроенные параметры безопасности. Если вы хотите создать политику безопасности с помощью рекомендаций групп безопасности Майкрософт, используйте базовые показатели безопасности.

    Дополнительные сведения см. в разделе Базовые показатели безопасности.

  • Каталог параметров. На устройствах Apple, Android и Windows можно использовать каталог параметров для настройки функций и параметров устройств. Каталог параметров объединяет все доступные настройки в едином месте. Например, вы можете просмотреть все параметры, которые применяются к BitLocker, и создать политику, ориентированную исключительно на BitLocker. На устройствах macOS каталог параметров используется для настройки параметров браузера Microsoft Edge версии 77.

    Дополнительные параметры постоянно добавляются в каталог параметров. Для получения дополнительных сведений перейдите в Каталог параметров.

  • Шаблоны. На устройствах можно использовать встроенные шаблоны. Каждый шаблон включает логическую группу параметров, которые настраивают функцию или концепцию, например VPN, электронную почту, устройства киоска и многое другое. Если вы знакомы с созданием политик конфигурации устройств в Microsoft Intune, вы уже используете эти шаблоны.

    Для получения дополнительных сведений, включая доступные шаблоны, перейдите в раздел Применение функций и настроек на ваших устройствах с помощью профилей устройств.

В этой статье:

  • Перечислены шаги по созданию профиля.
  • Показано, как добавить тег области для "фильтрации" политик.
  • Описывает правила применимости на клиентских устройствах с Windows и показывает, как создать правило.
  • Содержит дополнительные сведения о времени цикла обновления регистрации, когда устройства получают профили и любые обновления профилей.

Данная функция применяется к:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows

Предварительные требования

Создание профиля

В Центре администрирования Intune выберите Устройства. Возможны следующие варианты:

Снимок экрана: выбор устройств для настройки и управления в Microsoft Intune.

  • Обзор: Списки состояние некоторых профилей и дополнительные сведения о профилях, назначенных пользователям и устройствам.

  • Монитор: Списки все отчеты о мониторинге устройств. Используйте эти отчеты для проверка сбои назначения политики конфигурации, неполные регистрации пользователей, несоответствующие устройства, сбои установки обновлений и многое другое.

  • По платформе. Разверните этот параметр, чтобы получить список поддерживаемых платформ, таких как Android и Linux. При выборе платформы можно создавать и просматривать политики и профили для выбранной платформы.

    В этом представлении также могут отображаться функции, специфичные для платформы. Например, выберите Windows. Вы увидите функции Windows, такие как скрипты и исправления и аналитика групповой политики.

  • Управление устройствами. Разверните этот параметр, чтобы просмотреть политики, которые можно создать, например политики соответствия и конфигурации.

При создании профиля (Настройка>устройства управление устройствами>Создать>>политику) выберите свою платформу:

  • Администратор устройств Android
  • Android (AOSP)
  • Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 10 и более поздние версии
  • Windows 8.1 и более поздние версии

Затем выберите тип профиля. В зависимости от выбранной платформы типы профилей различаются. Различные профили описаны в следующих статьях:

  • Каталог параметров — содержит список всех доступных параметров для Android Enterprise, iOS/iPadOS, macOS и Windows. Вы можете выполнять поиск и фильтрацию по определенным параметрам и областям, таким как OneDrive или Microsoft Edge.

Например, если выбрать Windows для платформы, параметры будут выглядеть примерно так, как в следующем профиле:

Снимок экрана, на котором показано, как создать политику и профиль конфигурации устройств с Windows в Microsoft Intune.

Теги области

После добавления параметров можно также добавить тег области к профилю. Теги области отфильтровывают профили для отдельных ИТ-групп, таких как US-NC IT Team или JohnGlenn_ITDepartment. И используются в распределенных ИТ-системах.

Дополнительные сведения о тегах области и о том, что вы можете сделать, см. в разделе Использование RBAC и тегов области для распределенных ИТ.

Правила применимости

Применимо к:

  • Windows

Правила применимости позволяют администраторам назначать целевыми устройствами те, которые находятся в группе, соответствующей определенным критериям. Например, вы создадите профиль ограничений устройств, который применяется к группе Все устройства Windows . Кроме того, следует назначать профиль только устройствам, работающим под управлением Windows Enterprise.

Чтобы выполнить эту задачу, создайте правило применимости. Эти правила полезны в следующих случаях:

  • В Колледже Bellows вы хотите выбрать все устройства Windows под управлением Windows 11 версии 24H2.
  • Вы хотите ориентироваться на всех пользователей в отделе кадров в Contoso, но вам нужны только устройства Windows Professional или Enterprise.

Для реализации этих сценариев:

  • Создайте группу устройств, которая включает все устройства в Bellows College. В профиле добавьте правило применимости, которое применяется, если минимальная версия ОС — 10.0.26100, а максимальная версия — 10.0.26200. Назначьте этот профиль для группы устройств Bellows College.

    При назначении профиль применяется к устройствам между введенной вами минимальной и максимальной версией. Состояние устройств, которые не находятся между минимальной и максимальной версиями, отображается как Неприменимо.

  • Создайте группу пользователей, включающую всех пользователей в отделе кадров Contoso. В профиле добавьте правило применимости, чтобы оно применялось к устройствам под управлением Windows Professional или Enterprise. Назначьте этот профиль группе пользователей отдела кадров.

    При назначении профиля он применяется к устройствам под управлением Windows Professional или Enterprise. Состояние устройств с другими выпусками отображается как Неприменимо.

  • При наличии двух профилей с одинаковыми параметрами применяется профиль без правила применимости.

    Например, ProfileA предназначен для группы устройств Windows, включает BitLocker и не имеет правила применимости. ProfileB предназначен для той же группы устройств Windows, включает BitLocker и имеет правило применимости, позволяющее применять профиль только к выпуску Windows Enterprise.

    При назначении обоих профилей применяется ProfileA, так как у него нет правила применимости.

При назначении профиля группам правила применимости действуют как фильтры и предназначены только для устройств, соответствующих установленным критериям.

Добавление правила

Чтобы создать правило применимости, выполните следующие действия.

  1. В политике выберите Правила применимости. Можно выбрать Правило и Свойство.

    Снимок экрана: добавление правила применимости в профиль конфигурации устройства с Windows в Microsoft Intune.

  2. В поле Правило выберите, следует ли включать или исключать пользователей или группы. Доступны следующие параметры:

    • Назначить профиль, если: включает пользователей или группы, соответствующие введенным условиям.
    • Не назначать профиль, если: исключает пользователей или группы, соответствующие введенным условиям.

  3. В поле Свойство выберите фильтр. Доступны следующие параметры:

    • Выпуск ОС. В списке отметьте выпуски клиента Windows, которые вы хотите включить в правило или исключить из него.

    • Версия ОС. Введите минимальное и максимальное значение номера версии клиента Windows, которые вы хотите включить в правило или исключить из него. Оба значения являются обязательными.

      Например, можно ввести 10.0.16299.0 (RS3 или 1709) для минимальной версии и 10.0.17134.0 (RS4 или 1803) для максимальной версии. Можно также указать конкретные значения: 10.0.16299.001 для минимальной версии и 10.0.17134.319 для максимальной версии.

      Дополнительные номера версий см. в разделе Сведения о выпуске клиента Windows.

  4. Нажмите кнопку Добавить, чтобы сохранить изменения.

Время цикла обновления политики

Intune использует разные циклы обновления для проверки наличия обновлений в профилях конфигурации. Если устройство зарегистрировано недавно, проверка выполняется чаще. Циклы обновления политики и профиля содержат оценочное время обновления.

Пользователи могут в любое время открыть приложение Корпоративного портала и синхронизировать устройство, чтобы моментально проверить обновления профиля.

Рекомендации

При создании профилей учитывайте следующие рекомендации:

  • Назовите свои политики, чтобы знать, что они собой представляют и что они делают. Все политики соответствия и профили конфигурации имеют необязательное свойство — Описание. В свойстве Описание необходимо добавить нужные сведения, чтобы другие пользователи знали, что выполняет эта политика.

    Ниже приведены некоторые примеры профилей конфигурации.

    Имя профиля: профиль конфигурации OneDrive для всех пользователей Windows
    Описание профиля: профиль OneDrive, включающий минимальные и базовые параметры для всех пользователей Windows. Создано [email protected], чтобы запретить пользователям делиться организационными данными с личными учетными записями OneDrive.

    Имя профиля: профиль VPN для всех пользователей iOS/iPadOS
    Описание профиля: профиль VPN, который содержит минимальные и базовые параметры для подключения к VPN Contoso для всех пользователей iOS/iPadOS. Создано [email protected], чтобы пользователи автоматически проходили проверку подлинности в VPN, вместо того, чтобы запрашивать у них имя пользователя и пароль.

  • Создайте профиль для конкретной задачи, например настройка параметров Microsoft Edge, включение параметров антивирусной защиты Microsoft Defender, блокировка взломанных устройств iOS/iPadOS и т. д.

  • Создайте профили, которые применяются к определенным группам, таким как "Маркетинг", "Продажи", "ИТ-администраторы", либо профили по расположению или учебной системе. Используйте встроенные функции, в том числе:

  • Разделяйте политики пользователей и политики устройств.

    Например, каталог параметров Intune содержит тысячи параметров. Эти параметры показывают, применяется ли параметр к пользователям или устройствам. При создании политики назначьте параметры пользователей группе пользователей, а параметры устройства — группе устройств.

    На следующем рисунке показан пример некоторых параметров, которые могут применяться к пользователям, к устройствам или к обоим:

    Снимок экрана, на котором показан шаблон администратора Intune, который применяется к пользователям и устройствам в Microsoft Intune.

  • Используйте Microsoft Copilot в Intune, чтобы оценить политики, узнать больше о параметре политики & его влиянии на пользователей & безопасности, а также сравнить политики между двумя устройствами.

    Дополнительные сведения см. в статье Microsoft Copilot в Intune.

  • Каждый раз при создании ограничительной политики вам потребуется донести ее смысл до пользователей. Например, если вы изменяете требование к секретному коду с четырех (4) на шесть (6) символов, сообщите пользователям об этом до назначения политики.

Связанные материалы

  • Last updated on