使用 Windows 10/11 模板配置 Microsoft Intune 中的组策略设置
重要
从 2412 年 12 月版本开始,无法从 Intune 管理中心的“模板>管理模板”配置文件类型创建新的管理模板策略。 若要创建 ADMX 模板配置文件,请使用 设置目录。 有关此更改的详细信息,请参阅 Intune 中的 Windows 设备配置策略迁移到统一设置平台。
Microsoft Intune 中的管理模板包括数千个可以控制版本 Microsoft Edge 版本 77 及更高版本、Internet Explorer、Google Chrome、Microsoft Office 程序、远程桌面、OneDrive、密码、PIN 等功能的设置。 这些设置使管理员能够使用云创建组策略。
此功能适用于:
- Windows 11
- Windows 10
Intune模板是 100% 基于云的模板,内置于Intune (无需下载) ,并且不需要任何自定义,包括使用 OMA-URI。 它们提供一种直接的方式来查找和配置所需的设置:
Windows 设置类似于本地 Active Directory (AD) 中的组策略 (GPO) 设置。 这些设置内置于 Windows 中。 它们是 ADMX 支持的 、使用 XML 的设置。
Office、Microsoft Edge 和 Visual Studio 设置是 ADMX 引入的,并使用在本地环境中下载的相同管理模板文件。
可以导入自定义和第三方 ADMX 和 ADML 文件。 有关详细信息,请参阅 导入自定义或合作伙伴 ADMX 文件。
管理组织中的设备时,应创建应用于不同设备组的设置组。 此外,还需要可配置设置的简单视图。 可以使用 Microsoft Intune 中的管理模板来完成此任务。
作为移动设备管理 (MDM) 解决方案的一部分,使用这些模板设置来管理 Windows 客户端设备。
本文介绍为 Windows 客户端设备创建模板的步骤,并演示如何筛选Intune中的所有设置。 创建模板时,模板会创建设备配置配置文件。 然后,你可以将此配置文件分配或部署到组织中的 Windows 客户端设备。
准备工作
其中一些设置从 Windows 10 版本 1709(RS2/内部版本 15063)开始提供。 某些设置未包含在所有 Windows 版本中。 为了获得最佳体验,建议Windows 10 企业版版本 1903 (19H1/内部版本 18362) 或更高版本。
Windows 设置使用 Windows 策略 CSP。 CSP 适用于不同版本的 Windows,例如家庭版、专业版和企业版等。 要查看 CSP 是否适用于特定版本,请转到 Windows 策略 CSP。
可通过两种方式创建管理模板:使用模板或使用设置目录。 本文重点介绍如何使用“管理模板”模板。 设置目录提供了更多管理模板设置。
若要使用设置目录并了解如何使用Microsoft Copilot,请参阅使用设置目录配置设置。
ADMX 模板使用以下源:
- Azure 虚拟桌面终端服务器:Azure 虚拟桌面的管理模板
- FSLogix:FSLogix 的 FSLogix 组策略 模板文件
- Google Chrome:Chrome Enterprise 策略列表
- Microsoft 365 应用和 Office:Microsoft 365 应用版、Office 2019 和 Office 2016
- Microsoft Edge:Microsoft Edge 策略文件
- OneDrive:用于控制同步设置的 OneDrive 策略 - 策略列表
- Visual Studio:Visual Studio 管理模板 (ADMX)
- Windows:内置于 Windows 客户端 OS
- 适用于 Linux 的 Windows 子系统:适用于 Linux 的 Windows 子系统
创建模板
选择“设备”>“管理设备”>“配置”>“创建”>“新策略”。
输入以下属性:
- 平台:选择“Windows 10 及更高版本”。
- 配置文件类型:要使用设置的逻辑分组,请选择“模板”>“管理模板”。 若要查看所有设置,请选择“设置目录”。
选择“创建”。
在“基本信息”中,输入以下属性:
- 名称:为配置文件命名,以便以后可以轻松识别它们。 例如,一个好的配置文件名称为 ADMX:在 Microsoft Edge 中配置 xyz 设置的 Windows 10/11 管理模板。
- 说明:此设置是可选的,但建议使用。
选择 下一步。
添加设置:
重要
从 2412 年 12 月版本开始,无法从 Intune 管理中心的“模板>管理模板”配置文件类型创建新的管理模板策略。 若要创建 ADMX 模板配置文件,请使用 设置目录。 有关此更改的详细信息,请参阅 Intune 中的 Windows 设备配置策略迁移到统一设置平台。
若要查看所有设置的字母顺序列表,请转到 “配置设置” ,然后选择“ 所有设置 ”。 或者,配置适用于 (计算机配置) 设备的设置,或 ( 用户配置) :
选择“所有设置”时,将列出所有设置。 向下滚动以使用上一个和下一个箭头查看更多设置:
选择任意设置。 例如,对 Office 进行筛选,然后选择 “激活受限浏览”。 列出设置的详细描述。 选择 “启用” 或 “禁用”,或将设置保留为“ 未配置 ” (默认) 。 详细说明还会介绍选择“启用”、“禁用”或“未配置”时发生的情况。
提示
Intune 中的 Windows 设置与在本地组策略编辑器 (
gpedit
) 中看到的本地组策略路径相关联。选择“计算机配置”或“用户配置”时,将显示设置类别。 可以选择任何类别查看可用的设置。
例如,依次选择“计算机配置”>“Windows 组件”>“Internet Explorer”即可查看适用于 Internet Explorer 的所有设备设置:
选择“确定”,保存所做更改。
继续浏览设置列表,并在环境中配置所需的设置。 下面是一些示例:
- 使用“VBA 宏通知设置”设置,在不同的 Microsoft Office 程序(包括 Word 和 Excel)中处理 VBA 宏。
- 使用“允许文件下载”设置,允许或阻止从 Internet Explorer 下载。
- 使用“唤醒计算机时需要密码(接通电源)”,在从睡眠模式唤醒设备时提示用户输入密码。
- 使用“下载未签名的 ActiveX 控件”设置,阻止用户从 Internet Explorer 下载未签名的 ActiveX 控件。
- 使用 “关闭系统还原” 设置可允许或阻止用户在设备上运行系统还原。
- 使用“允许导入收藏夹”设置,允许或阻止用户将另一个浏览器中的收藏夹导入 Microsoft Edge。
- 等等...
选择 下一步。
在“作用域标记”(可选)中,分配一个标记以将配置文件筛选到特定 IT 组(如
US-NC IT Team
或JohnGlenn_ITDepartment
)。 有关详细信息,请参阅对分布式 IT 使用基于角色的访问控制 (RBAC) 和作用域标记。选择 下一步。
在 “分配”中,选择接收个人资料的用户或组。 有关详细信息,请参阅在 Intune 中分配用户和设备配置文件。
如果配置文件分配给用户组,则配置的 ADMX 设置将应用于用户注册并登录的任何设备。 如果配置文件分配给设备组,则配置的 ADMX 设置适用于登录到该设备的任何用户。 如果 ADMX 设置是计算机配置 ()
HKEY_LOCAL_MACHINE
或用户配置 (HKEY_CURRENT_USER
) ,则会发生此分配。 对于某些设置,分配给用户的计算机设置还可能会影响该设备上其他用户的体验。有关详细信息,请参阅分配策略时的用户组与设备组。
选择 下一步。
在“查看并创建”中查看设置。 选择“创建”时,将保存所做的更改并分配配置文件。 该策略也会显示在配置文件列表中。
下次设备检查配置更新时,将应用你配置的设置。
查找某些设置
这些模板提供数千个设置。 为了更容易查找特定设置,请使用内置功能:
在模板中,选择“设置”、“状态”、“设置类型”或“路径”列,对列表进行排序。 例如,选择“路径”列,然后使用下一个箭头查看
Microsoft Excel
路径中的设置。在模板中,请使用“搜索”框查找特定设置。 可以通过设置 或 路径进行搜索。 例如,选择“ 所有设置” 并搜索
copy
。 具有copy
的所有设置均会显示:在另一个示例中,搜索
microsoft word
。 随即便可看到可以为 Microsoft Word 程序设置的设置。 搜索explorer
查看可以添加到模板的 Internet Explorer 设置。还可以通过仅选择“计算机配置”或“用户配置”来缩小搜索范围。
例如,若要查看所有可用的 Internet Explorer 用户设置,请选择“ 用户配置 ”并搜索
Internet Explorer
。 仅显示适用于用户的 Internet Explorer 设置:
创建已知问题回滚策略
在已注册的设备上,可以使用管理模板创建已知问题回滚 (KIR) 策略,并将此策略部署到 Windows 设备。 请参阅使用 Microsoft Intune ADMX 策略引入到托管设备部署 KIR 激活。
有关 KIR 的详细信息,请参阅:
后续步骤
模板已创建,但可能尚未执行任何操作。 确保分配模板(也称为配置文件)并监视其状态。
另请参阅: