Sdílet prostřednictvím


Použití opakovaně použitelných skupin nastavení se zásadami Intune

Tato funkce je ve verzi Public Preview.

Intune podporuje opakovaně použitelné skupiny nastavení, které můžete přidat do zásad konfigurace a profilů, aby se zjednodušila správa běžných nastavení. Vhodné pro použití opakovaně použitelných skupin je, když potřebujete použít nastavení se stejnou konfigurací ve více než jednom profilu.

Když upravíte nastavení v opakovaně použitelné skupině, změny, které provedete, se automaticky použijí pro každý profil, který skupinu obsahuje. Když uložíte změny do skupiny opakovaně použitelných nastavení, Intune aktualizuje profily těmito novými konfiguracemi a nasadí aktualizovaný profil do zařízení na základě přiřazení profilu.

Následující profily podporují opakovaně použitelné skupiny:

Přehled opakovaně použitelných skupin nastavení

Každá opakovaně použitelná skupina nastavení je jeden objekt, který může obsahovat více nastavení. Po nakonfigurování jedné nebo více opakovaně použitelných skupin pro použití s konkrétním typem profilu vytvoříte nebo upravíte profil a skupiny přidáte. Profily můžou podporovat více skupin.

Pokud chcete spravovat skupiny opakovaně použitelných nastavení, použijte v Centru pro správu Microsoft Intune kartu Opakovaně použitelná nastavení, která je přidružená k zásadám a profilům, se kterými chcete skupinu použít. Na kartě můžete vytvořit skupinu, upravit nastavení ve skupině a zobrazit počet zásad, které dědí nastavení z každé skupiny. Každá opakovaně použitelná skupina nastavení se používá pouze se souvisejícím typem profilu.

Například na následujícím obrázku je karta Opakovaně použitelná nastavení, kterou byste použili ke správě opakovaně použitelných skupin pro profil pravidel brány Windows Firewall:

Snímek obrazovky znázorňující kartu Opakovaně použitelné nastavení pro zásady brány firewall v Centru pro správu Microsoft Intune

Po vytvoření opakovaně použitelných skupin použijete možnost na stránce nastavení konfigurace profilů k přidání skupin do daného profilu. Profily, které obsahují jednu nebo více opakovaně použitelných skupin, používají každé nastavení z každé zahrnuté skupiny, jako by nastavení bylo přímo nakonfigurováno v profilu.

Požadavky

Následující profily podporují použití opakovaně použitelných skupin nastavení:

Zásady zabezpečení koncového bodu

  • Firewall>Pravidla brány Windows Firewall:

    • Platformy: Windows
    • Verze Windows: Zařízení musí používat Windows 10 20H2 nebo novější nebo Windows 11
  • Zmenšení prostoru útoku>Ovládání zařízení:

    • Platformy: Windows

Správa oprávnění koncového bodu

  • Zásady pravidel zvýšení oprávnění windows

Poznámka

Opakovaně použitelné skupiny nastavení se v současné době nepodporují pro použití se správou zabezpečení pro Microsoft Defender for Endpoint.

Vytvoření opakovaně použitelné skupiny

Každá skupina opakovaně použitelných nastavení obsahuje podmnožinu nastavení z úplného profilu, pro který skupinu vytváříte. Pomocí následujících odkazů můžete zobrazit nastavení, která můžete nakonfigurovat ve skupině nastavení pro každý profil:

Vytvoření opakovaně použitelné skupiny nastavení:

  1. Otevřete Centrum pro správu Microsoft Intune, přejděte na zásadu, pro kterou chcete vytvořit opakovaně použitelnou skupinu, a pak vyberte kartu Opakovaně použitelné nastavení (Preview).

  2. Vyberte Přidat a otevřete pracovní postup Konfigurovat opakovaně použitelná nastavení (Preview).

  3. Na stránce Základy nakonfigurujte název. Popis je volitelný.

  4. Na stránce Nastavení konfigurace vyberte Přidat a pak nakonfigurujte nastavení pro tuto skupinu, jako kdybyste nastavení konfigurovali přímo v podporovaném profilu.

    Když v části Řízení zařízení vyberete Přidat , musíte zvolit typ nastavení skupiny, které chcete nakonfigurovat, a pak pokračovat výběrem možnosti Upravit instanci . Pokud přidáte více než jednu instanci, zkontrolujte konfiguraci typu shody pro skupinu.

    Existuje limit 100 instancí na skupinu. Jako doprovodné materiály použijte informační text v Centru pro správu pro každé nastavení ve skupině opakovaně použitelných nastavení. Pokud chcete zobrazit podrobnosti o nastavení z tohoto zdroje obsahu, použijte odkaz Další informace o nastavení.

    Tip

    Pečlivě pojmenujte každou opakovaně použitelnou skupinu, kterou vytvoříte, abyste ji později mohli identifikovat. To je důležité, protože každá opakovaně použitelná skupina, kterou vytvoříte pro libovolný typ zásad, je při přidávání opakovaně použitelných skupin do zásad viditelná, i když skupina obsahuje nastavení, která by se normálně neaplikovala na konfigurovaná zásada. Pokud máte například opakovaně použitelnou skupinu vytvořenou pro pravidla brány Windows Firewall, bude tato skupina viditelná a bude možné ji vybrat při přidávání opakovaně použitelných skupin do zásad řízení zařízení.

  5. Na stránce Zkontrolovat a přidat vyberte Přidat a uložte opakovaně použitelnou skupinu nastavení.

Úprava opakovaně použitelné skupiny

Když upravíte konfiguraci opakovaně použitelné skupiny, každý profil, který tuto skupinu používá, se automaticky aktualizuje, aby se nová konfigurace použila na zařízení.

  1. Otevřete Centrum pro správu Microsoft Intune, přejděte na zásadu, pro kterou chcete vytvořit opakovaně použitelnou skupinu, a pak vyberte kartu Opakovaně použitelné nastavení (Preview).

  2. Vyberte opakovaně použitelnou skupinu nastavení, kterou chcete upravit. Otevře se pracovní postup konfigurace, který se podobá pracovnímu postupu pro vytvoření nové opakovaně použitelné skupiny.

  3. Na stránce Základy můžete skupinu přejmenovat a na stránce Nastavení konfigurace můžete překonfigurovat nastavení. Na poslední stránce vyberte Uložit a uložte konfiguraci a aktualizujte profily, které používají skupinu nastavení.

Přidání opakovaně použitelných skupin do profilu pravidla brány Windows Firewall

Přidejte opakovaně použitelné skupiny nastavení do profilů při úpravách nebo vytváření profilu. Na stránce nastavení konfigurace profilů použijte možnost, která podporuje přidání jedné nebo více dříve vytvořených skupin.

Poznámka

Příchozí pravidla plně kvalifikovaného názvu domény se nativně nepodporují. K vygenerování příchozích položek IP pro pravidlo je ale možné použít skripty před hydratací . Další informace najdete v tématu Dynamická klíčová slova brány Windows Firewall v dokumentaci brány Windows Firewall.

  1. V Centru pro správu Microsoft Intune vytvořte nový profil nebo vyberte a upravte existující profil.

  2. Na stránce Nastavení konfigurace vyberte Přidat a přidejte nové pravidlo nebo upravte pravidlo , pokud chcete spravovat dříve vytvořené pravidlo.

  3. V podokně Konfigurovat instanci pravidla nakonfigurujteakci , která určí, jak toto pravidlo spravuje nastavení, jako jsou IP adresy nebo plně kvalifikované názvy domén. Akci můžete například nastavit tak, aby povolovala nebo blokovala. Tato konfigurace se vztahuje jak na nastavení, která přidáte přímo do tohoto pravidla, tak na nastavení, která jsou v každé opakovaně použitelné skupině přidané do tohoto pravidla.

    Uložte konfiguraci pravidla.

  4. U pravidla, které jste uložili, vyberte Nastavit opakovaně použitelná nastavení a otevřete podokno Vybrat opakovaně použitelná nastavení .

    Snímek obrazovky s pracovním postupem nastavení konfigurace pro konfiguraci opakovaně použitelné skupiny

  5. Vyberte jednu nebo více dostupných skupin, které chcete přidat do tohoto pravidla, a pak výběry uložte.

    Snímek obrazovky znázorňující podokno Vybrat opakovaně použitelné nastavení

  6. Po přidání opakovaně použitelných skupin do profilu uložte konfiguraci. Po uložení Intune zahrne nastavení z opakovaně použitelných skupin a nasadí profil do zařízení na základě přiřazení profilu.

Přidání opakovaně použitelných skupin do profilu ovládacího prvku zařízení

Přidejte opakovaně použitelné skupiny nastavení do profilů při úpravách nebo vytváření profilu. Opakovaně použitelné skupiny pro profily řízení zařízení podporují následující typy nastavení:

  • Tiskové zařízení
  • Vyměnitelné úložiště

Na stránce nastavení konfigurace profilů použijte možnost, která podporuje přidání jedné nebo více dříve vytvořených skupin.

  1. V Centru pro správu Microsoft Intune vytvořte nový profil nebo vyberte a upravte existující profil.

  2. Na stránce Nastavení konfigurace rozbalte kategorii Ovládací prvek zařízení a vyberte Přidat a přidejte nové pravidlo. Pokud chcete spravovat dříve vytvořené pravidlo, vyberte Upravit položku .

    • Pokud chcete přidat další pravidla, vyberte Přidat.
    • Výběrem možnosti Upravit položku otevřete podokno Konfigurovat položku pro další konfiguraci použití skupiny.
  3. V podokně Konfigurovat položku zadejte Název položky, nakonfigurujte následující a pak vyberte OK , aby se pravidlo uložilo:

    • Typ: Definuje akci pro vyměnitelné skupiny úložišť. Pokud dojde ke konfliktům typu pro stejné médium, použije se první typ definovaný v zásadách.
    • Možnosti: Definuje, jestli se má uživateli zařízení zobrazit oznámení. Dostupné možnosti závisí na vybraném typu.
    • Maska přístupu: Vyberte jednu nebo více z nich v možnostech Číst, Zapisovat a Spustit.
    • Sid: Místní uživatel Sid nebo uživatel Sid skupina nebo SID objektu AD, definuje, zda použít tuto zásadu pro konkrétního uživatele nebo skupinu uživatelů; Jedna položka může mít maximálně jeden identifikátor Sid a položka bez sid znamená, že se zásady použijí na počítač.
    • Sid počítače: Místní počítač Sid nebo počítač Sid skupina nebo Sid objektu AD, definuje, zda použít tuto zásadu pro konkrétní počítač nebo skupinu počítačů; Jedna položka může mít maximálně jeden Identifikátor ComputerSid a položka bez id počítače znamená, že se zásady aplikují na počítač. Pokud chcete použít Položku pro konkrétního uživatele a konkrétní počítač, přidejte do stejné položky sid i ComputerSid.

    Další informace o těchto možnostech najdete v následujících článcích v dokumentaci k Microsoft Defender for Endpoint:

  4. U pravidla, které jste uložili, vyberte Nastavit opakovaně použitelná nastavení pro Zahrnuté ID a Vyloučené ID podle svých potřeb. Oba výběry otevřou podokno Vybrat opakovaně použitelná nastavení .

    Snímek obrazovky znázorňující podokno Vybrat opakovaně použitelné nastavení pro profily ovládacích prvků zařízení

  5. Vyberte jednu nebo více dostupných skupin, které chcete přidat do tohoto pravidla, a pak výběry uložte. Následující příklad ukazuje konfiguraci s vybranou pouze jednou skupinou jako Vyloučené ID:

    Snímek obrazovky znázorňující výsledek výběru skupiny pouze pro vyloučené ID

  6. Po přidání opakovaně použitelných skupin do profilu dokončete konfiguraci zásad. Po uložení Intune zahrne nastavení z opakovaně použitelných skupin a nasadí profil do zařízení na základě přiřazení profilu. Do každého profilu je možné přidat maximálně 100 opakovaně použitelných skupin.

Pokud máte licenci E5, můžete pomocí Microsoft Defender for Endpoint zobrazit události řízení zařízení v sestavě Řízení zařízení a Rozšířené proaktivní vyhledávání. Viz Ochrana dat organizace pomocí řízení zařízení | Microsoft Docs v dokumentaci k Defenderu for Endpoint.

Použití opakovaně použitelných skupin pro Správce oprávnění koncového bodu

Informace o podpoře používání opakovaně použitelných skupin pro Správce oprávnění koncového bodu najdete v tématu Zásady pro Správce oprávnění koncového bodu.

Konflikty zásad

Nastavení zařízení, která můžete spravovat prostřednictvím opakovaně použitelných skupin nastavení, se použijí tak, že Intune stejné jako nastavení, která jsou přímo nakonfigurovaná v profilu. Pokud nastavení z opakovaně použitelných skupin zavádějí konflikty nebo překrývání, můžete tyto konflikty identifikovat a vyřešit pomocí stejného procesu řešení potíží.

Další informace najdete v doprovodných materiálech, které můžou být specifické pro typy profilů, které používáte. Obecné pokyny najdete v tématech Řešení potíží se zásadami a profily v Microsoft Intune a Běžné dotazy a odpovědi týkající se zásad a profilů zařízení v Microsoft Intune.

Další kroky

Přehled konfigurace zařízení