Создание политики каталога параметров с помощью импортированных объектов групповой политики в Microsoft Intune (общедоступная предварительная версия)

Вы можете импортировать локальные объекты групповой политики (GPO) и создать политику Intune с помощью этих импортированных параметров. Эту политику можно развернуть для пользователей и устройств, управляемых вашей организацией.

С аналитикой групповой политики вы импортируете локальные объекты групповой политики. Она анализирует импортированные объекты групповой политики и отображает параметры, которые также доступны в Microsoft Intune. Для доступных параметров вы можете создать Политику каталога параметров, а затем развернуть политику на управляемых устройствах.

Данная функция применяется к:

• Windows 11
• Windows 10

В этой статье показано, как создать политику из импортированных объектов групповой политики. Дополнительные сведения и обзор аналитики групповых политик см. в статье Анализ локальных объектов групповой политики (GPO) с помощью аналитики групповой политики в Microsoft Intune.

Подготовка к работе

• В Центре администрирования Microsoft Intune войдите как:

  • Администратор Intune

    ИЛИ

  • Роль с разрешением "Базовые показатели безопасности" и "Конфигурации устройств" или разрешением "Создать ".

  Дополнительные сведения о разрешениях, входящих в состав встроенных ролей Intune, см. в статье Встроенные роли администратора. Сведения о пользовательских ролях см. в разделе Назначение разрешений для пользовательских ролей.

• Импортируйте локальные объекты групповой политики и просмотрите результаты.

  Конкретные действия см. в статье Импорт и анализ локальных объектов групповой политики с помощью аналитики групповой политики в Intune.

• Только администраторы, ограниченные объектом групповой политики, могут создавать политику каталога параметров из этого импортированного объекта групповой политики. Теги области сначала применяются во время импорта объекта групповой политики и могут быть изменены. Если тег области не выбран или не был выбран во время импорта объекта групповой политики, автоматически используется тег области по умолчанию .

• Этот компонент находится в состоянии общедоступной предварительной версии. Дополнительные сведения о том, что это означает, см. в статье Общедоступная предварительная версия в Microsoft Intune.

Просмотр и перенос объектов групповой политики в политику для параметров каталога

После импорта объектов групповой политики просмотрите параметры, которые можно перенести. Помните, что некоторые параметры не имеют смысла в собственных облачных конечных точках, например, на устройствах Windows 10/11. После их просмотра можно перенести параметры в политику каталога параметров.

1. В Центре администрирования Microsoft Intune выберите Устройства>Управление устройствами>Аналитика групповой политики.

2. В списке отображаются импортированные объекты групповой политики. Рядом с объектом групповой политики в профиле Параметры каталога установите флажок Миграция. Вы можете выбрать один или несколько объектов групповой политики:

   

3. Чтобы просмотреть все параметры импортированного объекта групповой политики, выберите "Миграция":

   

4. На вкладке Параметры миграции выберите столбец Миграция для параметров, которые необходимо включить в профиль Параметры каталога:

   

   Чтобы выбрать параметры, можно использовать встроенные функции:

   • Выберите все элементы на этой странице: выберите этот параметр, если хотите, чтобы все параметры на существующей странице были включены в профиль Параметры каталога.

     

   • Поиск по имени параметра: введите имя параметра, чтобы найти нужные параметры:

     

   • Сортировка: сортировка параметров с помощью имен столбцов:

     

   Совет

   Если вы еще не сделали этого, проверьте параметры вашей групповой политики. Возможно, некоторые параметры не применяются к облачному управлению политиками или к собственным облачным конечным точкам, таким как устройства Windows 10/11. Не рекомендуется включать все параметры групповой политики, не проверив их.

   Нажмите кнопку Далее.

5. В разделе Конфигурация отображаются ваши параметры и их значения. Эти значения совпадают со значениями для локальной групповой политики. Просмотрите эти параметры и их значения.

   После создания политики Параметры каталога можно изменить любые значения.

   Нажмите кнопку Далее.

6. В сведениях о профиле введите следующие параметры:

   • Имя. Введите описательное имя для профиля Параметры каталога. Назначьте имена профилям, чтобы позже их можно было легко найти. Например, хорошим именем для профиля является Windows 10/11: импортируемые объекты групповой политики Microsoft Edge.
   • Описание: введите описание профиля. Этот необязательный параметр, но мы рекомендуем его использовать.

   Нажмите кнопку Далее.

7. В разделе Теги области при необходимости назначьте тег для фильтрации профиля по определенным ИТ-группам, таким как ИТ-команда США-NC или JohnGlenn_ITDepartment. Дополнительные сведения о тегах области см. в статье Использование ролей RBAC и тегов области для распределенной ИТ-службы.

8. В разделе Назначения выберите пользователей или группы, которые будут принимать ваш профиль. Дополнительные сведения о назначении профилей, включая советы и рекомендации, см. в разделеНазначение профилей пользователей и устройств в Intune.

   Нажмите кнопку Далее.

9. Проверьте параметры в окне Проверка и развертывание.

   При выборе Создать внесенные изменения сохраняются и назначается профиль. Политика отображается в списке Конфигурация>устройства управление устройствами>.

В следующий раз, когда устройство из ваших назначенных групп будет проверять наличие обновлений конфигурации, будут применены настроенные параметры.

Конфликтующие параметры можно обнаружить на раннем этапе

Возможно, у вас есть несколько объектов групповой политики, которые включают один и тот же параметр, и для этого параметра заданы разные значения. При создании политики и выборе параметров на вкладке Параметры для переноса все конфликтующие параметры отображают следующую ошибку:

Conflicts are detected for the following settings: <setting name>. Select only one version with the value you prefer in order to continue.

Чтобы устранить конфликт, снимите флажок конфликтующих параметров и продолжите миграцию.

Что необходимо знать

Функция Миграция принимает проанализированные данные из импортированного объекта групповой политики (GPO) и преобразует их в соответствующий параметр в каталоге Параметры, если этот параметр существует.

Миграция — это оптимальное решение.

При создании профиля каталога параметров включаются все параметры, которые могут быть включены в профиль. Импортированные параметры и параметры в каталоге Параметры могут иметь некоторые отличия.

• Некоторые параметры предоставляют лучшие возможности настройки в Endpoint Security

  При импорте параметров AppLocker или параметров правил брандмауэра параметр Миграция будет отключен и неактивен. Вместо этого настройте эти параметры с помощью рабочей нагрузки Endpoint Security в Центре администрирования Intune.

  Дополнительные сведения см. в статьях:

  • Политика брандмауэра в Endpoint Security
  • Политика управления приложениями в Endpoint Security.

  Если у вас есть объекты групповой политики, ориентированные на безопасность конечных точек, следует ознакомиться с функциями, доступными в Endpoint Security, включая базовые показатели безопасности и защиту от угроз на мобильных устройствах.

• Некоторые параметры не переносятся в точности и могут использовать другой параметр

  В некоторых сценариях некоторые параметры объекта групповой политики не переносятся на тот же параметр в каталоге параметров. В Intune отображается альтернативный параметр, имеющий аналогичный эффект.

  Это поведение можно увидеть при импорте объектов групповой политики, которые включают старые параметры административного шаблона Office или старые параметры Google Chrome. На следующем рисунке старый параметр Office не поддерживается. Таким образом, Intune предлагает переход на поддерживаемую версию:

  

• Некоторые параметры не удалось перенести

  Возможно, при переносе параметров могут возникнуть некоторые ошибки. При создании профиля в Уведомлениях отображаются параметры, выдающие ошибку:

  

  Ниже приведены некоторые распространенные причины, по которым параметр может показать ошибку:

  • Значение параметра имеет непредвиденный формат.
  • Дочерний параметр отсутствует в импортируемом объекте групповой политики и необходим для настройки родительского параметра.

Дальнейшие действия

• Анализ локальных объектов групповой политики с помощью аналитики групповой политики в Microsoft Intune
• Использование административных шаблонов Windows 10/11 для настройки параметров групповой политики в Microsoft Intune
• Использование каталога параметров для настройки параметров на устройствах с Windows и macOS