Distribuera OMA-URI:er för att rikta in sig på en CSP via Intune och en jämförelse med lokala
I den här artikeln beskrivs betydelsen av Windows Configuration Service Providers (CSPs), Open Mobile Alliance – Uniform Resources (OMA-URI:er) och hur anpassade principer levereras till en Windows 10-baserad enhet med Microsoft Intune.
Intune tillhandahåller ett praktiskt och lätthanterad gränssnitt för att konfigurera dessa principer. Alla inställningar är dock inte nödvändigtvis tillgängliga i administrationscentret för Microsoft Intune. Även om många inställningar kan konfigureras på en Windows-enhet är det inte möjligt att ha alla i administrationscentret. Eftersom framsteg görs är det inte heller ovanligt att ha en viss fördröjning innan en ny inställning läggs till. I dessa scenarier är det svaret att distribuera en anpassad OMA-URI-profil som använder en Windows Configuration Service Provider (CSP).
CSP-omfång
CSP:er är ett gränssnitt som används av MDM-leverantörer (mobile device management) för att läsa, ange, ändra och ta bort konfigurationsinställningar på enheten. Vanligtvis görs det via nycklar och värden i Windows-registret. CSP-principer har ett omfång som definierar på vilken nivå en princip kan konfigureras. Det liknar de principer som är tillgängliga i administrationscentret för Microsoft Intune. Vissa principer kan endast konfigureras på enhetsnivå. Dessa principer gäller oavsett vem som är inloggad på enheten. Andra principer kan konfigureras på användarnivå. Dessa principer gäller endast för den användaren. Konfigurationsnivån styrs av plattformen, inte av MDM-providern. När du distribuerar en anpassad princip kan du titta här för att hitta omfånget för den CSP som du vill använda.
Csp-omfånget är viktigt eftersom det dikterar syntaxen för oma-URI-strängen som du bör använda. Till exempel:
Användaromfång
./User/Vendor/MSFT/Policy/Config/AreaName/PolicyName för att konfigurera principen. ./User/Vendor/MSFT/Policy/Result/AreaName/PolicyName för att få resultatet.
Enhetens omfång
./Device/Vendor/MSFT/Policy/Config/AreaName/PolicyName för att konfigurera principen. ./Device/Vendor/MSFT/Policy/Result/AreaName/PolicyName för att få resultatet.
OMA-URI:er
OMA-URI är en sökväg till en specifik konfigurationsinställning som stöds av en CSP.
OMA-URI: Det är en sträng som representerar anpassad konfiguration för en Windows 10-baserad enhet. Syntaxen bestäms av CSP:erna på klienten. Du hittar information om varje CSP här.
En anpassad princip: Den innehåller DE OMA-URI:er som ska distribueras. Den har konfigurerats i Intune.
Intune: När en anpassad princip har skapats och tilldelats till klientenheter blir Intune den leveransmekanism som skickar OMA-URI:er till dessa Windows-klienter. Intune använder oma-DM-protokollet (Open Mobile Alliance Enhetshantering) för att göra detta. Det är en fördefinierad standard som använder XML-baserad SyncML för att skicka informationen till klienten.
CSP:er: När OMA-URI:erna har nått klienten läser CSP:en dem och konfigurerar Windows-plattformen därefter. Vanligtvis gör den detta genom att lägga till, läsa eller ändra registervärden.
Sammanfattnings: OMA-URI är nyttolasten, den anpassade principen är containern, Intune är leveransmekanismen för containern, OMA-DM är det protokoll som används för leverans och Windows CSP läser och tillämpar de inställningar som konfigureras i OMA-URI-nyttolasten.
Det här är samma process som används av Intune för att leverera standardprinciperna för enhetskonfiguration som redan är inbyggda i användargränssnittet. När OMA-URI:er använder Intune-användargränssnittet döljs de bakom användarvänliga konfigurationsgränssnitt. Det gör processen enklare och mer intuitiv för administratören. Använd de inbyggda principinställningarna när det är möjligt och använd endast anpassade OMA-URI-principer för alternativ som annars inte är tillgängliga.
För att demonstrera den här processen kan du använda en inbyggd princip för att ange låsskärmsbilden på en enhet. Du kan också distribuera en OMA-URI och rikta in dig på relevant CSP. Båda metoderna uppnår samma resultat.
OMA-URI:er från administrationscentret för Microsoft Intune
Använda en anpassad princip
Samma inställning kan anges direkt med hjälp av följande OMA-URI:
./Vendor/MSFT/Policy/Config/DeviceLock/EnforceLockScreenAndLogonImage
Den finns dokumenterad i Windows CSP-referensen. När du har fastställt OMA-URI skapar du en anpassad princip för den.
Oavsett vilken metod du använder är slutresultatet identiskt.
Här är ett annat exempel som använder BitLocker.
Använda en anpassad princip från administrationscentret för Microsoft Intune
Använda en anpassad princip
Relatera anpassade OMA-URI:er till den lokala världen
Du kan använda dina befintliga grupprincip inställningar som referens när du skapar din MDM-principkonfiguration. Om din organisation vill flytta till MDM för att hantera enheter rekommenderar vi att du förbereder genom att analysera de aktuella inställningarna för grupprincip för att se vad som krävs för att övergå till MDM-hantering.
MMAT (MDM Migration Analysis Tool) avgör vilka grupprinciper som har angetts för en målanvändare eller dator. Sedan genererar den en rapport som visar stödnivån för varje principinställning i MDM-motsvarigheter.
Aspekter av din grupprincip före och efter att du har migrerat till molnet
I följande tabell visas de olika aspekterna av din grupprincip både före och efter att du migrerat till molnet med hjälp av MMAT.
| Lokal | Moln |
|---|---|
| Grupprincip | MDM |
| Domänkontrollanter | MDM-server (Intune-tjänst) |
| Sysvol-mapp | Intune-databas/MSUs |
| Tillägg på klientsidan för att bearbeta grupprincipobjekt | CSP:er för att bearbeta MDM-principen |
| SMB-protokoll som används för kommunikation | HTTPS-protokoll som används för kommunikation |
.pol | .ini fil (det är vanligtvis indata) |
SyncML är indata för enheterna |
Viktig information om principbeteende
Om principen ändras på MDM-servern skickas den uppdaterade principen till enheten och inställningen konfigureras till det nya värdet. Om du tar bort tilldelningen av principen från användaren eller enheten kanske du inte återställer inställningen till standardvärdet. Det finns några profiler som tas bort när tilldelningen har tagits bort eller profilen tas bort, till exempel Wi-Fi-profiler, VPN-profiler, certifikatprofiler och e-postprofiler. Eftersom det här beteendet styrs av varje CSP bör du försöka förstå CSP:ns beteende för att hantera inställningarna korrekt. Mer information finns i Windows CSP-referens.
Färdigställa allt
Om du vill distribuera en anpassad OMA-URI för att rikta en CSP på en Windows-enhet skapar du en anpassad princip. Principen måste innehålla sökvägen till OMA-URI-sökvägen tillsammans med det värde som du vill ändra i CSP :n (aktivera, inaktivera, ändra eller ta bort).
När principen har skapats tilldelar du den till en säkerhetsgrupp så att den börjar gälla.
Felsöka
När du felsöker anpassade principer ser du att de flesta problem passar in i följande kategorier:
- Den anpassade principen nådde inte klientenheten.
- Den anpassade principen nådde klientenheten, men det förväntade beteendet observeras inte.
Om du har en princip som inte fungerar som förväntat kontrollerar du om principen ens har nått klienten. Det finns två loggar att kontrollera för att verifiera leveransen.
MDM-diagnostikloggar
Händelseloggen för Windows
Båda loggarna ska innehålla en referens till den anpassade princip- eller OMA-URI-inställning som du försöker distribuera. Om du inte ser den här referensen är det troligt att principen inte levererades till enheten. Kontrollera att principen är korrekt konfigurerad och att den är riktad till rätt grupp.
Om du kontrollerar att principen når klienten kontrollerar du DeviceManagement-Enterprise-Diagnostics-Provider > Admin Event log om det finns fel på klienten. Du kan se en felpost som innehåller ytterligare information om varför principen inte tillämpades. Orsakerna varierar, men det finns ofta ett problem i syntaxen för OMA-URI-strängen som har konfigurerats i den anpassade principen. Dubbelkolla CSP-referensen och kontrollera att syntaxen är korrekt.