Partilhar via

Implantar OMA-URIs para direcionar um CSP por meio do Intune e uma comparação com o local

  • Artigo

Este artigo descreve a importância dos CSPs (Provedores de Serviços de Configuração) do Windows, OMA-URIs (Open Mobile Alliance – Uniform Resources) e como as políticas personalizadas são entregues a um dispositivo baseado no Windows 10 com Microsoft Intune.

O Intune fornece uma interface conveniente e fácil de usar para configurar essas políticas. No entanto, nem todas as configurações estão necessariamente disponíveis no centro de administração Microsoft Intune. Embora muitas configurações possam ser configuradas em um dispositivo Windows, não é viável ter todas elas no centro de administração. Além disso, à medida que os avanços são feitos, não é incomum ter um certo grau de atraso antes que uma nova configuração seja adicionada. Nesses cenários, a implantação de um perfil OMA-URI personalizado que usa um CSP (Provedor de Serviços de Configuração) do Windows é a resposta.

Escopo do CSP

Os CSPs são uma interface usada por provedores de MDM (gerenciamento de dispositivo móvel) para ler, definir, modificar e excluir definições de configuração no dispositivo. Normalmente, isso é feito por meio de chaves e valores no Registro do Windows. As políticas CSP têm um escopo que define o nível no qual uma política pode ser configurada. É semelhante às políticas disponíveis no centro de administração Microsoft Intune. Algumas políticas podem ser configuradas somente no nível do dispositivo. Essas políticas se aplicam independentemente de quem está conectado ao dispositivo. Outras políticas podem ser configuradas no nível do usuário. Essas políticas se aplicam apenas a esse usuário. O nível de configuração é ditado pela plataforma, não pelo provedor de MDM. Ao implantar uma política personalizada, você pode procurar aqui para encontrar o escopo do CSP que deseja usar.

O escopo do CSP é importante porque ditará a sintaxe da cadeia de caracteres OMA-URI que você deve usar. Por exemplo:

Escopo do usuário

./User/Vendor/MSFT/Policy/Config/AreaName/PolicyName para configurar a política. ./User/Vendor/MSFT/Policy/Result/AreaName/PolicyName para obter o resultado.

Escopo do dispositivo

./Device/Vendor/MSFT/Policy/Config/AreaName/PolicyName para configurar a política. ./Device/Vendor/MSFT/Policy/Result/AreaName/PolicyName para obter o resultado.

OMA-URIs

O OMA-URI é um caminho para uma definição de configuração específica com suporte de um CSP.

O OMA-URI: É uma cadeia de caracteres que representa a configuração personalizada para um dispositivo baseado no Windows 10. A sintaxe é determinada pelos CSPs no cliente. Você pode encontrar detalhes sobre cada CSP aqui.

Uma política personalizada: contém os OMA-URIs a serem implantados. Ele é configurado no Intune.

Intune: depois que uma política personalizada é criada e atribuída a dispositivos cliente, o Intune se torna o mecanismo de entrega que envia os OMA-URIs para esses clientes Windows. O Intune usa o protocolo OMA-DM (Open Mobile Alliance Device Management) para fazer isso. É um padrão predefinido que usa SyncML baseado em XML para enviar as informações para o cliente.

CSPs: depois que os OMA-URIs chegam ao cliente, o CSP os lê e configura a plataforma Windows adequadamente. Normalmente, ele faz isso adicionando, lendo ou alterando valores do Registro.

Para resumir: o OMA-URI é a carga, a política personalizada é o contêiner, o Intune é o mecanismo de entrega para esse contêiner, o OMA-DM é o protocolo usado para entrega e o CSP do Windows lê e aplica as configurações definidas na carga do OMA-URI.

O diagrama mostra que o CSP do Windows aplica as configurações de OMA-URI.

Esse é o mesmo processo usado pelo Intune para fornecer as políticas de configuração de dispositivo padrão que já estão incorporadas à interface do usuário. Quando os OMA-URIs usam a interface do usuário do Intune, eles ficam ocultos atrás de interfaces de configuração amigáveis. Isso torna o processo mais fácil e intuitivo para o administrador. Use as configurações de política internas sempre que possível e use políticas OMA-URI personalizadas somente para opções que, de outra forma, não estariam disponíveis.

Para demonstrar esse processo, você pode usar uma política interna para definir a imagem da tela de bloqueio em um dispositivo. Você também pode implantar um OMA-URI e direcionar o CSP relevante. Ambos os métodos geram o mesmo resultado.

OMA-URIs do centro de administração Microsoft Intune

A captura de tela mostra as restrições do dispositivo.

Usar uma política personalizada

A mesma configuração pode ser definida diretamente usando o seguinte OMA-URI:

./Vendor/MSFT/Policy/Config/DeviceLock/EnforceLockScreenAndLogonImage

Ele está documentado na referência do CSP do Windows. Depois de determinar o OMA-URI, crie uma política personalizada para ele.

Captura de tela das configurações de OMA-URI na tela Editar linha.

Não importa qual método você use, o resultado final é idêntico.

Captura de tela da tela de entrada.

Aqui está outro exemplo que usa o BitLocker.

Usar uma política personalizada do centro de administração Microsoft Intune

Captura de tela da tela Proteção de endpoint.

Usando uma política personalizada

Captura de tela do caminho OMA-URI para o CSP.

Relacionar OMA-URIs personalizados ao mundo local

Você pode usar os ajustes de Política de Grupo existentes como referência ao criar a configuração de política de MDM. Se sua organização quiser migrar para o MDM para gerenciar dispositivos, recomendamos que você se prepare analisando as configurações atuais da Política de Grupo para ver o que é necessário para fazer a transição para o gerenciamento do MDM.

A Ferramenta de Análise de Migração MDM (MMAT) determina quais Políticas de Grupo foram definidas para um usuário ou computador de destino. Em seguida, ele gera um relatório que lista o nível de suporte para cada configuração de política em equivalentes de MDM.

Aspectos da Política de Grupo antes e depois de migrar para a nuvem

A tabela a seguir mostra os diferentes aspectos da Política de Grupo antes e depois de migrar para a nuvem usando o MMAT.

No local Nuvem
Política de Grupo MDM
Controladores de Domínio Servidor MDM (serviço Intune)
Pasta Sysvol Banco de dados do Intune/MSUs
Extensão do lado do cliente para processar GPO CSPs para processar a política de MDM
Protocolo SMB usado para comunicação Protocolo HTTPS usado para comunicação
.pol | .ini arquivo (geralmente é a entrada) SyncML é a entrada para os dispositivos

Observações importantes sobre o comportamento da política

Se a política for alterada no servidor MDM, a política atualizada será enviada para o dispositivo e o ajuste será definido para o novo valor. No entanto, remover a atribuição da política do usuário ou dispositivo pode não reverter a configuração para o valor padrão. Há alguns perfis que são removidos depois que a atribuição é removida ou o perfil é excluído, como perfis de Wi-Fi, perfis de VPN, perfis de certificado e perfis de email. Como esse comportamento é controlado por cada CSP, você deve tentar entender o comportamento do CSP para gerenciar suas configurações corretamente. Para obter mais informações, consulte Referência do CSP do Windows.

Colocar tudo isso junto

Para implantar um OMA-URI personalizado para direcionar um CSP em um dispositivo Windows, crie uma política personalizada. A política deve conter o caminho para o caminho OMA-URI junto com o valor que você deseja alterar no CSP (habilitar, desabilitar, modificar ou excluir).

Captura de tela da página Criar um perfil. O item Personalizado é destacado.

A captura de tela mostra os campos de descrição do nome para criar uma política personalizada.

Captura de tela das páginas Definições de configuração e Adicionar linha.

Depois que a política for criada, atribua-a a um grupo de segurança para que ela entre em vigor.

Solucionar problemas

Ao solucionar problemas de políticas personalizadas, você descobrirá que a maioria dos problemas se encaixa nas seguintes categorias:

  • A política personalizada não chegou ao dispositivo cliente.
  • A política personalizada chegou ao dispositivo cliente, mas o comportamento esperado não é observado.

Se você tiver uma política que não está funcionando conforme o esperado, verifique se a política chegou ao cliente. Há dois logs a serem verificados para verificar sua entrega.

Logs de diagnóstico do MDM

Captura de tela dos logs de diagnóstico do MDM.

O log de eventos do Windows

Captura de tela do log de eventos do Windows.

Ambos os logs devem conter uma referência à política personalizada ou à configuração de OMA-URI que você está tentando implantar. Se você não vir essa referência, é provável que a política não tenha sido entregue ao dispositivo. Verifique se a política está configurada corretamente e se está direcionada para o grupo correto.

Se você verificar se a política está chegando ao cliente, verifique se há erros no DeviceManagement-Enterprise-Diagnostics-Provider > Admin Event log cliente. Você pode ver uma entrada de erro que contém informações adicionais sobre o motivo pelo qual a política não foi aplicada. As causas variam, mas frequentemente há um problema na sintaxe da cadeia de caracteres OMA-URI configurada na política personalizada. Verifique novamente a referência do CSP e verifique se a sintaxe está correta.