Udostępnij za pośrednictwem


Używanie grup ustawień wielokrotnego użytku z zasadami Intune

Ta funkcja jest dostępna w publicznej wersji zapoznawczej.

Intune obsługuje grupy ustawień wielokrotnego użytku, które można dodać do zasad konfiguracji i profilów, aby uprościć zarządzanie typowymi ustawieniami. Dobrym momentem na użycie grup wielokrotnego użytku jest użycie ustawień z tą samą konfiguracją w więcej niż jednym profilu.

Podczas edytowania ustawień w grupie wielokrotnego użytku wprowadzone zmiany są automatycznie stosowane do każdego profilu, który zawiera grupę. Podczas zapisywania zmian w grupie ustawień wielokrotnego użytku Intune aktualizuje profile przy użyciu tych nowych konfiguracji i wdraża zaktualizowany profil na urządzeniach na podstawie przypisań profilu.

Następujące profile obsługują grupy wielokrotnego użytku:

Omówienie grup ustawień wielokrotnego użytku

Każda grupa ustawień wielokrotnego użytku jest pojedynczym obiektem, który może zawierać wiele ustawień. Po skonfigurowaniu co najmniej jednej grupy wielokrotnego użytku do użycia z określonym typem profilu należy utworzyć lub edytować profil w celu dodania grup. Profile mogą obsługiwać wiele grup.

Aby zarządzać grupami ustawień wielokrotnego użytku, w centrum administracyjnym Microsoft Intune użyj karty Ustawienia wielokrotnego użytku skojarzonej z zasadami i profilami, z których chcesz używać grupy. Na karcie można utworzyć grupę, edytować ustawienia w grupie i wyświetlić liczbę zasad dziedziczących ustawienia z każdej grupy. Każda grupa ustawień wielokrotnego użytku jest używana tylko z powiązanym typem profilu.

Na przykład na poniższej ilustracji przedstawiono kartę Ustawienia wielokrotnego użytku, która służy do zarządzania grupami wielokrotnego użytku dla profilu Reguły zapory systemu Windows:

Zrzut ekranu przedstawiający kartę Ustawienia wielokrotnego użytku dla zasad zapory w centrum administracyjnym Microsoft Intune.

Po utworzeniu grup wielokrotnego użytku użyj opcji na stronie ustawień konfiguracji profilów, aby dodać grupy do tego profilu. Profile, które obejmują co najmniej jedną grupę wielokrotnego użytku, używają każdego ustawienia z każdej dołączonej grupy tak, jakby ustawienia zostały bezpośrednio skonfigurowane w profilu.

Wymagania wstępne

Następujące profile obsługują korzystanie z grup ustawień wielokrotnego użytku:

Zasady zabezpieczeń punktu końcowego

  • Zapora>Reguły zapory systemu Windows:

    • Platformy: Windows
    • Wersje systemu Windows: urządzenia muszą działać Windows 10 20H2 lub nowszym lub Windows 11
  • Zmniejszanie obszaru podatnego> na atakiKontrola urządzenia:

    • Platformy: Windows

Zarządzanie uprawnieniami punktu końcowego

  • Zasady reguł podniesienia uprawnień systemu Windows

Uwaga

Grupy ustawień wielokrotnego użytku nie są obecnie obsługiwane do użycia z usługą Security Management dla Ochrona punktu końcowego w usłudze Microsoft Defender.

Tworzenie grupy wielokrotnego użytku

Każda grupa ustawień wielokrotnego użytku zawiera podzestaw ustawień z pełnego profilu, dla której tworzysz grupę. Użyj następujących linków, aby wyświetlić ustawienia, które można skonfigurować w grupie ustawień dla każdego profilu:

Aby utworzyć grupę ustawień wielokrotnego użytku:

  1. Otwórz centrum administracyjne Microsoft Intune, przejdź do zasad, dla których chcesz utworzyć grupę wielokrotnego użytku, a następnie wybierz kartę Ustawienia wielokrotnego użytku (wersja zapoznawcza).

  2. Wybierz pozycję Dodaj , aby otworzyć przepływ pracy Konfigurowanie ustawień wielokrotnego użytku (wersja zapoznawcza ).

  3. Na stronie Podstawy skonfiguruj nazwę. Opis jest opcjonalny.

  4. Na stronie Ustawienia konfiguracji wybierz pozycję Dodaj , a następnie skonfiguruj ustawienia dla tej grupy tak, jakby konfigurować ustawienia bezpośrednio w obsługiwanym profilu.

    W obszarze Kontrola urządzenia po wybraniu pozycji Dodaj należy wybrać typ ustawień grupy do skonfigurowania, a następnie wybrać pozycję Edytuj wystąpienie , aby kontynuować. Jeśli dodasz więcej niż jedno wystąpienie, zapoznaj się z konfiguracją Typ dopasowania dla grupy.

    Istnieje limit 100 wystąpień na grupę. Użyj tekstu informacji w centrum administracyjnym dla każdego ustawienia w grupie ustawień wielokrotnego użytku jako wskazówek. Skorzystaj z linku Dowiedz się więcej , aby uzyskać ustawienie, aby wyświetlić szczegółowe informacje o ustawieniu z tego źródła zawartości ustawień.

    Porada

    Ostrożnie nadaj nazwę każdej utworzonej grupie wielokrotnego użytku, aby mieć pewność, że będzie można ją później zidentyfikować. Jest to ważne, ponieważ każda utworzona grupa wielokrotnego użytku dla dowolnego typu zasad jest widoczna podczas dodawania grup wielokrotnego użytku do zasad, nawet jeśli grupa zawiera ustawienia, które normalnie nie miałyby zastosowania do skonfigurowanych zasad. Jeśli na przykład masz grupę wielokrotnego użytku utworzoną dla reguł zapory systemu Windows, ta grupa będzie widoczna i może zostać wybrana podczas dodawania grup wielokrotnego użytku do zasad kontroli urządzeń.

  5. Na stronie Przeglądanie i dodawanie wybierz pozycję Dodaj , aby zapisać grupę ustawień wielokrotnego użytku.

Modyfikowanie grupy wielokrotnego użytku

Podczas edytowania konfiguracji grupy wielokrotnego użytku każdy profil, który używa tej grupy, automatycznie aktualizuje, aby zastosować nową konfigurację do urządzeń.

  1. Otwórz centrum administracyjne Microsoft Intune, przejdź do zasad, dla których chcesz utworzyć grupę wielokrotnego użytku, a następnie wybierz kartę Ustawienia wielokrotnego użytku (wersja zapoznawcza).

  2. Wybierz grupę ustawień wielokrotnego użytku, którą chcesz edytować. Spowoduje to otwarcie przepływu pracy konfiguracji podobnego do przepływu pracy na potrzeby tworzenia nowej grupy wielokrotnego użytku.

  3. Na stronie Podstawy można zmienić nazwę grupy, a na stronie Ustawienia konfiguracji można ponownie skonfigurować ustawienia. Na ostatniej stronie wybierz pozycję Zapisz , aby zapisać konfigurację i zaktualizować profile korzystające z grupy ustawień.

Dodawanie grup wielokrotnego użytku do profilu reguły zapory systemu Windows

Dodaj grupy ustawień wielokrotnego użytku do profilów podczas edytowania lub tworzenia profilu. Na stronie Ustawienia konfiguracji profilów użyj opcji, która obsługuje dodawanie co najmniej jednej wcześniej utworzonej grupy.

Uwaga

Reguły FQDN dla ruchu przychodzącego nie są obsługiwane natywnie. Istnieje jednak możliwość użycia skryptów wstępnego nawodnienia do generowania przychodzących wpisów IP dla reguły. Aby uzyskać więcej informacji, zobacz Dynamiczne słowa kluczowe Zapory systemu Windows w dokumentacji zapory systemu Windows.

  1. W centrum administracyjnym Microsoft Intune utwórz nowy profil lub wybierz i edytuj istniejący profil.

  2. Na stronie Ustawienia konfiguracji wybierz pozycję Dodaj , aby dodać nową regułę, lub Edytuj regułę , aby zarządzać wcześniej utworzoną regułą.

  3. W okienku Konfigurowanie wystąpienia dla reguły skonfiguruj akcję, aby określić, w jaki sposób ta reguła zarządza ustawieniami, takimi jak adresy IP lub nazwy FQDN. Na przykład możesz ustawić opcję Akcja , aby zezwalała na działanie lub blokowała. Ta konfiguracja dotyczy zarówno ustawień dodawanych bezpośrednio do tej reguły, jak i ustawień, które znajdują się w każdej grupie wielokrotnego użytku dodawanej do tej reguły.

    Zapisz konfigurację reguły.

  4. Dla zapisanej reguły wybierz pozycję Ustaw ustawienia wielokrotnego użytku , aby otworzyć okienko Wybierz ustawienia wielokrotnego użytku .

    Zrzut ekranu przedstawiający przepływ pracy ustawień konfiguracji do konfigurowania grupy wielokrotnego użytku.

  5. Wybierz co najmniej jedną z dostępnych grup, aby dodać je do tej reguły, a następnie zapisz wybrane opcje.

    Zrzut ekranu przedstawiający okienko Wybierz ustawienia wielokrotnego użytku.

  6. Po dodaniu grup wielokrotnego użytku do profilu zapisz konfigurację. Po zapisaniu Intune zawiera ustawienia z grup wielokrotnego użytku i wdraża profil na urządzeniach na podstawie przypisań profilu.

Dodawanie grup wielokrotnego użytku do profilu kontroli urządzeń

Dodaj grupy ustawień wielokrotnego użytku do profilów podczas edytowania lub tworzenia profilu. Grupy wielokrotnego użytku dla profilów kontroli urządzeń obsługują następujące typy ustawień:

  • Urządzenie drukarki
  • Magazyn wymienny

Na stronie Ustawienia konfiguracji profilów użyj opcji, która obsługuje dodawanie co najmniej jednej wcześniej utworzonej grupy.

  1. W centrum administracyjnym Microsoft Intune utwórz nowy profil lub wybierz i edytuj istniejący profil.

  2. Na stronie Ustawienia konfiguracji rozwiń kategorię Kontrola urządzenia i wybierz pozycję Dodaj , aby dodać nową regułę, lub Edytuj wpis , aby zarządzać wcześniej utworzoną regułą.

    • Wybierz pozycję Dodaj, aby dodać więcej reguł.
    • Wybierz pozycję Edytuj wpis , aby otworzyć okienko Konfigurowanie wpisu w celu dalszej konfiguracji użycia grupy.
  3. W okienku Konfigurowanie wpisu nadaj wpisowi nazwę, a następnie skonfiguruj następujące polecenie, a następnie wybierz przycisk OK , aby zapisać regułę:

    • Typ: definiuje akcję dla wymiennych grup magazynów. W przypadku konfliktów typu dla tego samego nośnika jest stosowany pierwszy typ zdefiniowany w zasadach.
    • Opcje: określa, czy ma zostać wyświetlone powiadomienie dla użytkownika urządzenia. Dostępne opcje zależą od wybranego typu.
    • Maska dostępu: wybierz co najmniej jedną z opcji Odczyt, Zapis, Wykonanie.
    • Sid: Identyfikator Sid użytkownika lokalnego, grupa sid użytkownika lub identyfikator Sid obiektu usługi AD określa, czy te zasady mają być stosowane w określonej grupie użytkowników lub użytkowników; Jeden wpis może mieć maksymalnie jeden identyfikator Sid, a wpis bez identyfikatora Sid oznacza, że stosuje zasady na maszynie.
    • Identyfikator Sid komputera: Identyfikator Sid komputera lokalnego lub grupa sid komputera lub identyfikator Sid obiektu usługi AD określa, czy te zasady mają być stosowane do określonej maszyny lub grupy maszyn; jeden wpis może mieć maksymalnie jeden ComputerSid i wpis bez żadnych ComputerSid oznacza, że stosuje zasady na komputerze. Jeśli chcesz zastosować wpis do określonego użytkownika i konkretnej maszyny, dodaj identyfikator Sid i ComputerSid do tego samego wpisu.

    Aby uzyskać więcej informacji na temat tych opcji, zobacz następujące artykuły w dokumentacji Ochrona punktu końcowego w usłudze Microsoft Defender:

  4. Dla zapisanej reguły wybierz pozycję Ustaw ustawienia wielokrotnego użytku dla pozycji Dołączony identyfikator i Wykluczony identyfikator , aby spełnić twoje potrzeby. Oba zaznaczenia otwierają okienko Wybierz ustawienia wielokrotnego użytku .

    Zrzut ekranu przedstawiający okienko Wybieranie ustawień wielokrotnego użytku dla profilów sterowania urządzeniami.

  5. Wybierz co najmniej jedną z dostępnych grup, aby dodać je do tej reguły, a następnie zapisz wybrane opcje. Poniżej przedstawiono konfigurację z wybraną tylko jedną grupą dla wykluczonego identyfikatora:

    Zrzut ekranu przedstawiający wynik wybrania grupy tylko dla wykluczonego identyfikatora.

  6. Po dodaniu grup wielokrotnego użytku do profilu wykonaj konfigurację zasad. Po zapisaniu Intune zawiera ustawienia z grup wielokrotnego użytku i wdraża profil na urządzeniach na podstawie przypisań profilu. Dla każdego profilu można dodać maksymalnie 100 grup wielokrotnego użytku.

Jeśli masz licencję E5, możesz użyć Ochrona punktu końcowego w usłudze Microsoft Defender, aby wyświetlić zdarzenia sterowania urządzeniami w raporcie Kontrola urządzenia i Zaawansowane wyszukiwanie zagrożeń. Zobacz Ochrona danych organizacji za pomocą kontroli urządzenia | Microsoft Docs w dokumentacji usługi Defender for Endpoint.

Używanie grup wielokrotnego użytku dla programu Endpoint Privilege Manager

Aby uzyskać informacje o obsłudze korzystania z grup wielokrotnego użytku dla programu Endpoint Privilege Manager, zobacz Zasady dotyczące programu Endpoint Privilege Manager

Informacje o konfliktach zasad

Ustawienia urządzenia, które można zarządzać za pomocą grup ustawień wielokrotnego użytku, są stosowane przez Intune takie same jak ustawienia, które są bezpośrednio skonfigurowane w profilu. Jeśli konflikty lub nakładanie się są wprowadzane przez ustawienia grup wielokrotnego użytku, możesz użyć tego samego procesu rozwiązywania problemów, aby zidentyfikować i rozwiązać te konflikty.

Aby uzyskać więcej informacji, zapoznaj się ze wskazówkami, które mogą być specyficzne dla używanych typów profilów. Aby uzyskać ogólne wskazówki, zobacz Rozwiązywanie problemów z zasadami i profilami w Microsoft Intune oraz Typowe pytania i odpowiedzi dotyczące zasad i profilów urządzeń w Microsoft Intune.

Następne kroki

Omówienie konfiguracji urządzenia