Udostępnij za pośrednictwem

Wdrażanie identyfikatorów OMA-URI w celu kierowania dostawcy CSP za pośrednictwem usługi Intune oraz porównanie z lokalnymi

  • Artykuł

W tym artykule opisano znaczenie dostawców usług konfiguracji systemu Windows (CSP), Open Mobile Alliance — Uniform Resources (OMA-URI) oraz sposób dostarczania zasad niestandardowych do urządzenia z systemem Windows 10 za pomocą usługi Microsoft Intune.

Usługa Intune udostępnia wygodny i łatwy w użyciu interfejs do konfigurowania tych zasad. Jednak nie wszystkie ustawienia są zawsze dostępne w centrum administracyjnym usługi Microsoft Intune. Chociaż wiele ustawień można potencjalnie skonfigurować na urządzeniu z systemem Windows, nie jest możliwe ich użycie w centrum administracyjnym. Ponadto, w miarę rozwoju, nie jest niczym niezwykłym, aby mieć pewien stopień opóźnienia przed dodaniu nowego ustawienia. W tych scenariuszach wdrażanie niestandardowego profilu OMA-URI korzystającego z dostawcy usług konfiguracji systemu Windows (CSP) jest odpowiedzią.

Zakres CSP

Dostawcy CSP to interfejs używany przez dostawców zarządzania urządzeniami przenośnymi (MDM) do odczytywania, ustawiania, modyfikowania i usuwania ustawień konfiguracji na urządzeniu. Zazwyczaj odbywa się to za pomocą kluczy i wartości w rejestrze systemu Windows. Zasady programu CSP mają zakres, który definiuje poziom, na którym można skonfigurować zasady. Jest ona podobna do zasad dostępnych w centrum administracyjnym usługi Microsoft Intune. Niektóre zasady można skonfigurować tylko na poziomie urządzenia. Te zasady mają zastosowanie niezależnie od tego, kto jest zalogowany na urządzeniu. Inne zasady można skonfigurować na poziomie użytkownika. Te zasady dotyczą tylko tego użytkownika. Poziom konfiguracji jest dyktowany przez platformę, a nie przez dostawcę zarządzania urządzeniami przenośnymi. Podczas wdrażania zasad niestandardowych możesz znaleźć tutaj zakres dostawcy CSP, którego chcesz użyć.

Zakres dostawcy CSP jest ważny, ponieważ będzie dyktował składnię ciągu OMA-URI, którego należy użyć. Na przykład:

Zakres użytkownika

./User/Vendor/MSFT/Policy/Config/AreaName/PolicyName w celu skonfigurowania zasad. Aby uzyskać wynik, ./User/Vendor/MSFT/Policy/Result/AreaName/PolicyName.

Zakres urządzenia

./Device/Vendor/MSFT/Policy/Config/AreaName/PolicyName w celu skonfigurowania zasad. ./Device/Vendor/MSFT/Policy/Result/AreaName/PolicyName, aby uzyskać wynik.

Identyfikatory URI OMA

Identyfikator OMA-URI to ścieżka do określonego ustawienia konfiguracji obsługiwanego przez dostawcę CSP.

Identyfikator OMA-URI: jest to ciąg reprezentujący konfigurację niestandardową dla urządzenia z systemem Windows 10. Składnia jest określana przez dostawców CSP na kliencie. Szczegółowe informacje o każdym programie CSP można znaleźć tutaj.

Zasady niestandardowe: zawiera on identyfikatory OMA-URI do wdrożenia. Jest ona skonfigurowana w usłudze Intune.

Intune: po utworzeniu i przypisaniu zasad niestandardowych do urządzeń klienckich usługa Intune staje się mechanizmem dostarczania, który wysyła identyfikatory OMA-URI do tych klientów systemu Windows. W tym celu usługa Intune używa protokołu Open Mobile Alliance Zarządzanie urządzeniami (OMA-DM). Jest to wstępnie zdefiniowany standard, który wypycha informacje do klienta przy użyciu języka SyncML opartego na języku XML.

Dostawcy CSP: po dotarciu do klienta OMA-URI dostawca CSP odczytuje je i odpowiednio konfiguruje platformę systemu Windows. Zazwyczaj jest to wykonywane przez dodawanie, odczytywanie lub zmienianie wartości rejestru.

Podsumowując: Identyfikator OMA-URI jest ładunkiem, zasady niestandardowe to kontener, usługa Intune jest mechanizmem dostarczania dla tego kontenera, OMA-DM jest protokołem używanym do dostarczania, a dostawca CSP systemu Windows odczytuje i stosuje ustawienia skonfigurowane w ładunku OMA-URI.

Diagram pokazuje, że dostawca CSP systemu Windows stosuje ustawienia OMA-URI.

Jest to ten sam proces, który jest używany przez usługę Intune do dostarczania standardowych zasad konfiguracji urządzeń, które są już wbudowane w interfejs użytkownika. Gdy interfejsy OMA-URI korzystają z interfejsu użytkownika usługi Intune, są ukryte za przyjaznymi dla użytkownika interfejsami konfiguracji. Ułatwia to i bardziej intuicyjne działanie administratora. Używaj wbudowanych ustawień zasad, jeśli to możliwe, i używaj niestandardowych zasad OMA-URI tylko dla opcji, które w przeciwnym razie są niedostępne.

Aby zademonstrować ten proces, możesz użyć wbudowanych zasad, aby ustawić obraz ekranu blokady na urządzeniu. Można również wdrożyć identyfikator OMA-URI i określić docelowy odpowiedni dostawca CSP. Obie metody osiągną ten sam wynik.

Identyfikatory OMA-URI z centrum administracyjnego usługi Microsoft Intune

Zrzut ekranu przedstawia ograniczenia dotyczące urządzeń.

Używanie zasad niestandardowych

To samo ustawienie można ustawić bezpośrednio przy użyciu następującego identyfikatora OMA-URI:

./Vendor/MSFT/Policy/Config/DeviceLock/EnforceLockScreenAndLogonImage

Jest on udokumentowany w dokumentacji dostawcy CSP systemu Windows. Po określeniu identyfikatora OMA-URI utwórz dla niego zasady niestandardowe.

Zrzut ekranu przedstawiający ustawienia OMA-URI na ekranie Edytowanie wiersza.

Niezależnie od używanej metody wynik końcowy jest identyczny.

Zrzut ekranu przedstawiający ekran logowania.

Oto kolejny przykład korzystający z funkcji BitLocker.

Używanie zasad niestandardowych z centrum administracyjnego usługi Microsoft Intune

Zrzut ekranu przedstawiający ekran programu Endpoint Protection.

Używanie zasad niestandardowych

Zrzut ekranu przedstawiający ścieżkę OMA-URI do dostawcy usług kryptograficznych.

Powiązanie niestandardowych identyfikatorów OMA-URI ze światem lokalnym

Istniejące ustawienia zasad grupy można użyć jako odwołania podczas tworzenia konfiguracji zasad zarządzania urządzeniami przenośnymi. Jeśli organizacja chce przejść do zarządzania urządzeniami przenośnymi, zalecamy przygotowanie się przez przeanalizowanie bieżących ustawień zasad grupy, aby sprawdzić, co jest wymagane do przejścia do zarządzania urządzeniami przenośnymi.

Narzędzie MDM Migration Analysis Tool (MMAT) określa, które zasady grupy zostały ustawione dla docelowego użytkownika lub komputera. Następnie generuje raport zawierający listę poziomów obsługi dla każdego ustawienia zasad w odpowiednikach rozwiązania MDM.

Aspekty zasad grupy przed i po migracji do chmury

W poniższej tabeli przedstawiono różne aspekty zasad grupy zarówno przed, jak i po przeprowadzeniu migracji do chmury przy użyciu programu MMAT.

Lokalne Chmura
Zasady grupy MDM
Kontrolery domeny Serwer MDM (usługa Intune)
Folder Sysvol Baza danych usługi Intune/jednostki MSU
Rozszerzenie po stronie klienta do przetwarzania obiektu zasad grupy Dostawcy CSP do przetwarzania zasad zarządzania urządzeniami przenośnymi
Protokół SMB używany do komunikacji Protokół HTTPS używany do komunikacji
.pol | .ini plik (zazwyczaj jest to dane wejściowe) SyncML to dane wejściowe dla urządzeń

Ważne uwagi dotyczące zachowania zasad

Jeśli zasady zmienią się na serwerze MDM, zaktualizowane zasady zostaną wypchnięte na urządzenie, a ustawienie zostanie skonfigurowane do nowej wartości. Jednak usunięcie przypisania zasad z użytkownika lub urządzenia może nie przywrócić ustawienia do wartości domyślnej. Istnieje kilka profilów usuniętych po usunięciu przypisania lub usunięcie profilu, takich jak profile sieci Wi-Fi, profile sieci VPN, profile certyfikatów i profile poczty e-mail. Ponieważ to zachowanie jest kontrolowane przez każdego dostawcę CSP, należy spróbować zrozumieć zachowanie dostawcy CSP, aby prawidłowo zarządzać ustawieniami. Aby uzyskać więcej informacji, zobacz Dokumentacja dostawcy CSP systemu Windows.

Zebranie wszystkich elementów

Aby wdrożyć niestandardowy identyfikator OMA-URI w celu kierowania dostawcy usług kryptograficznych na urządzeniu z systemem Windows, utwórz zasady niestandardowe. Zasady muszą zawierać ścieżkę do ścieżki OMA-URI wraz z wartością, którą chcesz zmienić w programie CSP (włącz, wyłącz, zmodyfikuj lub usuń).

Zrzut ekranu przedstawiający stronę Tworzenie profilu. Element niestandardowy jest wyróżniony.

Zrzut ekranu przedstawia pola opisu nazwy w celu utworzenia zasad niestandardowych.

Zrzut ekranu przedstawiający ustawienia konfiguracji i strony Dodaj wiersz.

Po utworzeniu zasad przypisz je do grupy zabezpieczeń, aby zaczęły obowiązywać.

Rozwiązywanie problemów

Podczas rozwiązywania problemów z zasadami niestandardowymi okaże się, że większość problemów należy do następujących kategorii:

  • Zasady niestandardowe nie dotarły do urządzenia klienckiego.
  • Zasady niestandardowe dotarły do urządzenia klienckiego, ale oczekiwane zachowanie nie jest obserwowane.

Jeśli masz zasady, które nie działają zgodnie z oczekiwaniami, sprawdź, czy zasady dotarły nawet do klienta. Istnieją dwa dzienniki do sprawdzenia w celu zweryfikowania jego dostarczania.

Dzienniki diagnostyczne rozwiązania MDM

Zrzut ekranu przedstawiający dzienniki diagnostyczne rozwiązania MDM.

Dziennik zdarzeń systemu Windows

Zrzut ekranu przedstawiający dziennik zdarzeń systemu Windows.

Oba dzienniki powinny zawierać odwołanie do niestandardowych zasad lub ustawienia OMA-URI, które próbujesz wdrożyć. Jeśli nie widzisz tego odwołania, prawdopodobnie zasady nie zostały dostarczone do urządzenia. Sprawdź, czy zasady są poprawnie skonfigurowane i są przeznaczone dla właściwej grupy.

Jeśli sprawdzisz, czy zasady docierają do klienta, sprawdź, czy DeviceManagement-Enterprise-Diagnostics-Provider > Admin Event log na kliencie występują błędy. Może zostać wyświetlony wpis o błędzie zawierający dodatkowe informacje o tym, dlaczego zasady nie zostały zastosowane. Przyczyny będą się różnić, ale często występuje problem ze składnią ciągu OMA-URI skonfigurowanego w zasadach niestandardowych. Sprawdź dokładnie odwołanie dostawcy CSP i upewnij się, że składnia jest poprawna.