Delen via

OMA-URI's implementeren om een CSP te richten via Intune en een vergelijking met on-premises

  • Artikel

In dit artikel wordt de betekenis beschreven van Windows Configuration Service Providers (CSP's), Open Mobile Alliance – Uniform Resources (OMA-URI's) en hoe aangepaste beleidsregels worden geleverd aan een Windows 10-apparaat met Microsoft Intune.

Intune biedt een handige en gebruiksvriendelijke interface voor het configureren van dit beleid. Niet alle instellingen zijn echter noodzakelijkerwijs beschikbaar in het Microsoft Intune-beheercentrum. Hoewel veel instellingen mogelijk op een Windows-apparaat kunnen worden geconfigureerd, is het niet haalbaar om ze allemaal in het beheercentrum te hebben. Ook, naarmate er vooruitgang wordt geboekt, is het niet ongebruikelijk om een zekere mate van vertraging te hebben voordat een nieuwe instelling wordt toegevoegd. In deze scenario's is het implementeren van een aangepast OMA-URI-profiel dat gebruikmaakt van een Windows Configuration Service Provider (CSP) het antwoord.

CSP-bereik

CSP's zijn een interface die wordt gebruikt door MDM-providers (Mobile Device Management) voor het lezen, instellen, wijzigen en verwijderen van configuratie-instellingen op het apparaat. Normaal gesproken wordt dit gedaan via sleutels en waarden in het Windows-register. CSP-beleid heeft een bereik dat het niveau definieert waarop een beleid kan worden geconfigureerd. Dit is vergelijkbaar met de beleidsregels die beschikbaar zijn in het Microsoft Intune-beheercentrum. Sommige beleidsregels kunnen alleen op apparaatniveau worden geconfigureerd. Deze beleidsregels zijn van toepassing, ongeacht wie is aangemeld bij het apparaat. Andere beleidsregels kunnen worden geconfigureerd op gebruikersniveau. Deze beleidsregels zijn alleen van toepassing op die gebruiker. Het configuratieniveau wordt bepaald door het platform, niet door de MDM-provider. Wanneer u een aangepast beleid implementeert, kunt u hier zoeken naar het bereik van de CSP die u wilt gebruiken.

Het bereik van de CSP is belangrijk omdat hiermee de syntaxis van de OMA-URI-tekenreeks wordt bepaald die u moet gebruiken. Bijvoorbeeld:

Gebruikersbereik

./User/Vendor/MSFT/Policy/Config/AreaName/PolicyName om het beleid te configureren. ./User/Vendor/MSFT/Policy/Result/AreaName/PolicyName om het resultaat op te halen.

Apparaatbereik

./Device/Vendor/MSFT/Policy/Config/AreaName/PolicyName om het beleid te configureren. ./Device/Vendor/MSFT/Policy/Result/AreaName/PolicyName om het resultaat op te halen.

OMA-URI's

De OMA-URI is een pad naar een specifieke configuratie-instelling die wordt ondersteund door een CSP.

De OMA-URI: het is een tekenreeks die een aangepaste configuratie vertegenwoordigt voor een Windows 10-apparaat. De syntaxis wordt bepaald door de CSP's op de client. Hier vindt u meer informatie over elke CSP.

Een aangepast beleid: het bevat de OMA-URI's die moeten worden geïmplementeerd. Deze is geconfigureerd in Intune.

Intune: Nadat een aangepast beleid is gemaakt en toegewezen aan clientapparaten, wordt Intune het leveringsmechanisme waarmee de OMA-URI's naar die Windows-clients worden verzonden. Intune gebruikt hiervoor het OMA-DM-protocol (Open Mobile Alliance Apparaatbeheer). Het is een vooraf gedefinieerde standaard die gebruikmaakt van SyncML op basis van XML om de informatie naar de client te pushen.

CSP's: Nadat de OMA-URI's de client bereiken, leest de CSP deze en configureert het Windows-platform dienovereenkomstig. Dit doet u meestal door registerwaarden toe te voegen, te lezen of te wijzigen.

Samenvattend: de OMA-URI is de nettolading, het aangepaste beleid is de container, Intune is het leveringsmechanisme voor die container, OMA-DM is het protocol dat wordt gebruikt voor levering, en de Windows CSP leest en past de instellingen die zijn geconfigureerd in de OMA-URI-nettolading.

Diagram met de Windows CSP waarop OMA-URI-instellingen worden toegepast.

Dit is hetzelfde proces dat door Intune wordt gebruikt om het standaardbeleid voor apparaatconfiguraties te leveren dat al is ingebouwd in de gebruikersinterface. Wanneer OMA-URI's de Intune-gebruikersinterface gebruiken, worden deze verborgen achter gebruiksvriendelijke configuratie-interfaces. Het maakt het proces eenvoudiger en intuïtiever voor de beheerder. Gebruik waar mogelijk de ingebouwde beleidsinstellingen en gebruik aangepaste OMA-URI-beleidsregels alleen voor opties die anders niet beschikbaar zijn.

Als u dit proces wilt demonstreren, kunt u een ingebouwd beleid gebruiken om de afbeelding van het vergrendelingsscherm op een apparaat in te stellen. U kunt ook een OMA-URI implementeren en de relevante CSP targeten. Beide methoden bereiken hetzelfde resultaat.

OMA-URI's vanuit het Microsoft Intune-beheercentrum

Schermopname van de apparaatbeperkingen.

Een aangepast beleid gebruiken

Dezelfde instelling kan rechtstreeks worden ingesteld met behulp van de volgende OMA-URI:

./Vendor/MSFT/Policy/Config/DeviceLock/EnforceLockScreenAndLogonImage

Het wordt beschreven in de Windows CSP-verwijzing. Nadat u de OMA-URI hebt bepaald, maakt u er een aangepast beleid voor.

Schermopname van OMA-URI-instellingen in het scherm Rij bewerken.

Ongeacht welke methode u gebruikt, het eindresultaat is identiek.

Schermopname van het aanmeldingsscherm.

Hier volgt een ander voorbeeld waarin BitLocker wordt gebruikt.

Een aangepast beleid gebruiken vanuit het Microsoft Intune-beheercentrum

Schermopname van het scherm Endpoint Protection.

Een aangepast beleid gebruiken

Schermopname van het OMA-URI-pad naar de CSP.

Aangepaste OMA-URI's relateren aan de on-premises wereld

U kunt uw bestaande groepsbeleidsinstellingen als referentie gebruiken tijdens het bouwen van uw MDM-beleidsconfiguratie. Als uw organisatie wil overstappen op MDM voor het beheren van apparaten, raden we u aan de huidige groepsbeleidsinstellingen voor te bereiden om te zien wat er nodig is om over te stappen op MDM-beheer.

Het MDM Migration Analysis Tool (MMAT) bepaalt welke groepsbeleidsregels zijn ingesteld voor een doelgebruiker of computer. Vervolgens wordt er een rapport gegenereerd waarin het ondersteuningsniveau voor elke beleidsinstelling in MDM-equivalenten wordt vermeld.

Aspecten van uw groepsbeleid voor en na de migratie naar de cloud

In de volgende tabel ziet u de verschillende aspecten van uw groepsbeleid, zowel vóór als nadat u naar de cloud migreert met behulp van de MMAT.

On-premises Cloud
Groepsbeleid MDM
Domeincontrollers MDM-server (Intune-service)
Sysvol-map Intune-database/MKU's
Extensie aan clientzijde voor het verwerken van groepsbeleidsobject CSP's voor het verwerken van het MDM-beleid
SMB-protocol dat wordt gebruikt voor communicatie HTTPS-protocol dat wordt gebruikt voor communicatie
.pol | .ini bestand (dit is meestal de invoer) SyncML is de invoer voor de apparaten

Belangrijke opmerkingen over het gedrag van beleid

Als het beleid op de MDM-server wordt gewijzigd, wordt het bijgewerkte beleid naar het apparaat gepusht en wordt de instelling geconfigureerd voor de nieuwe waarde. Als u de toewijzing van het beleid echter verwijdert van de gebruiker of het apparaat, wordt de instelling mogelijk niet teruggezet naar de standaardwaarde. Er zijn enkele profielen die worden verwijderd nadat de toewijzing is verwijderd of het profiel wordt verwijderd, zoals Wi-Fi-profielen, VPN-profielen, certificaatprofielen en e-mailprofielen. Omdat dit gedrag wordt beheerd door elke CSP, moet u proberen om inzicht te hebben in het gedrag van de CSP om uw instellingen correct te beheren. Zie Windows CSP-naslaginformatie voor meer informatie.

Alles samenvoegen

Als u een aangepaste OMA-URI wilt implementeren om een CSP te richten op een Windows-apparaat, maakt u een aangepast beleid. Het beleid moet het pad naar het OMA-URI-pad bevatten, samen met de waarde die u wilt wijzigen in de CSP (inschakelen, uitschakelen, wijzigen of verwijderen).

Schermopname van de pagina Een profiel maken. Het aangepaste item is gemarkeerd.

Schermopname van de naambeschrijvingsvelden voor het maken van een aangepast beleid.

Schermopname van de configuratie-instellingen en rijpagina's toevoegen.

Nadat het beleid is gemaakt, wijst u het toe aan een beveiligingsgroep, zodat het van kracht wordt.

Problemen oplossen

Wanneer u aangepaste beleidsregels oplost, ziet u dat de meeste problemen in de volgende categorieën passen:

  • Het aangepaste beleid heeft het clientapparaat niet bereikt.
  • Het aangepaste beleid heeft het clientapparaat bereikt, maar het verwachte gedrag wordt niet waargenomen.

Als u een beleid hebt dat niet werkt zoals verwacht, controleert u of het beleid zelfs de client heeft bereikt. Er zijn twee logboeken om de levering te controleren.

Diagnostische logboeken voor MDM

Schermopname van de diagnostische logboeken van MDM.

Het Windows-gebeurtenislogboek

Schermopname van het Windows-gebeurtenislogboek.

Beide logboeken moeten een verwijzing bevatten naar het aangepaste beleid of de OMA-URI-instelling die u wilt implementeren. Als u deze verwijzing niet ziet, is het waarschijnlijk dat het beleid niet aan het apparaat is geleverd. Controleer of het beleid juist is geconfigureerd en is gericht op de juiste groep.

Als u controleert of het beleid de client bereikt, controleert u de DeviceManagement-Enterprise-Diagnostics-Provider > Admin Event log client op fouten. Mogelijk ziet u een foutbericht met aanvullende informatie over waarom het beleid niet van toepassing is. De oorzaken variëren, maar er is vaak een probleem in de syntaxis van de OMA-URI-tekenreeks die is geconfigureerd in het aangepaste beleid. Controleer de CSP-verwijzing en controleer of de syntaxis juist is.