使用 Windows 10/11 模板配置 Microsoft Intune 中的组策略设置

重要

从 2412 年 12 月版本开始,无法从 Intune 管理中心的“模板>管理模板”配置文件类型创建新的管理模板策略。 若要创建 ADMX 模板配置文件,请使用 设置目录。 有关此更改的详细信息,请参阅 Intune 中的 Windows 设备配置策略迁移到统一设置平台

不会对以下 UI 体验进行更改:

  • “导入的管理模板 (预览) ”模板,用于自定义 ADMX 模板。

Microsoft Intune 中的管理模板包括数千个可以控制版本 Microsoft Edge 版本 77 及更高版本、Internet Explorer、Google Chrome、Microsoft Office 程序、远程桌面、OneDrive、密码、PIN 等功能的设置。 这些设置使管理员能够使用云创建组策略。

此功能适用于:

  • Windows 11
  • Windows 10

Intune模板是 100% 基于云的模板,内置于Intune (无需下载) ,并且不需要任何自定义,包括使用 OMA-URI。 它们提供一种直接的方式来查找和配置所需的设置:

  • Windows 设置类似于本地 Active Directory (AD) 中的组策略 (GPO) 设置。 这些设置内置于 Windows 中。 它们是 ADMX 支持的 、使用 XML 的设置。

  • Office、Microsoft Edge 和 Visual Studio 设置是 ADMX 引入的,并使用在本地环境中下载的相同管理模板文件。

  • 可以导入自定义和第三方 ADMX 和 ADML 文件。 有关详细信息,请参阅 导入自定义或合作伙伴 ADMX 文件

管理组织中的设备时,应创建应用于不同设备组的设置组。 此外,还需要可配置设置的简单视图。 可以使用 Microsoft Intune 中的管理模板来完成此任务。

作为移动设备管理 (MDM) 解决方案的一部分,使用这些模板设置来管理 Windows 客户端设备。

本文介绍为 Windows 客户端设备创建模板的步骤,并演示如何筛选Intune中的所有设置。 创建模板时,模板会创建设备配置配置文件。 然后,你可以将此配置文件分配或部署到组织中的 Windows 客户端设备。

准备工作

创建模板

  1. 登录到Microsoft Intune 管理中心

  2. 选择“设备”>“管理设备”>“配置”>“创建”>“新策略”。

  3. 输入以下属性:

    • 平台:选择“Windows 10 及更高版本”。
    • 配置文件类型:要使用设置的逻辑分组,请选择“模板”>“管理模板”。 若要查看所有设置,请选择“设置目录”
  4. 选择“创建”。

  5. 在“基本信息”中,输入以下属性:

    • 名称:为配置文件命名,以便以后可以轻松识别它们。 例如,一个好的配置文件名称为 ADMX:在 Microsoft Edge 中配置 xyz 设置的 Windows 10/11 管理模板
    • 说明:此设置是可选的,但建议使用。
  6. 选择 下一步

  7. 添加设置:

    重要

    从 2412 年 12 月版本开始,无法从 Intune 管理中心的“模板>管理模板”配置文件类型创建新的管理模板策略。 若要创建 ADMX 模板配置文件,请使用 设置目录。 有关此更改的详细信息,请参阅 Intune 中的 Windows 设备配置策略迁移到统一设置平台

    若要查看所有设置的字母顺序列表,请转到 “配置设置” ,然后选择“ 所有设置 ”。 或者,配置适用于 (计算机配置) 设备的设置,或 ( 用户配置) :

    显示如何在 Microsoft Intune 中使用 ADMX 模板策略选择“所有设置”的屏幕截图。

  8. 选择“所有设置”时,将列出所有设置。 向下滚动以使用上一个和下一个箭头查看更多设置:

    请参阅设置示例列表,并使用 Intune 管理中心和Microsoft Intune中的上一个和下一个按钮。

  9. 选择任意设置。 例如,对 Office 进行筛选,然后选择 “激活受限浏览”。 列出设置的详细描述。 选择 “启用”“禁用”,或将设置保留为“ 未配置 ” (默认) 。 详细说明还会介绍选择“启用”、“禁用”或“未配置”时发生的情况。

    提示

    Intune 中的 Windows 设置与在本地组策略编辑器 (gpedit) 中看到的本地组策略路径相关联。

  10. 选择“计算机配置”或“用户配置”时,将显示设置类别。 可以选择任何类别查看可用的设置。

    例如,依次选择“计算机配置”>“Windows 组件”>“Internet Explorer”即可查看适用于 Internet Explorer 的所有设备设置:

    在 Microsoft Intune 和 Intune 管理中心查看适用于 Internet Explorer 的所有设备设置

  11. 选择“确定”,保存所做更改。

    继续浏览设置列表,并在环境中配置所需的设置。 下面是一些示例:

    • 使用“VBA 宏通知设置”设置,在不同的 Microsoft Office 程序(包括 Word 和 Excel)中处理 VBA 宏
    • 使用“允许文件下载”设置,允许或阻止从 Internet Explorer 下载。
    • 使用“唤醒计算机时需要密码(接通电源)”,在从睡眠模式唤醒设备时提示用户输入密码。
    • 使用“下载未签名的 ActiveX 控件”设置,阻止用户从 Internet Explorer 下载未签名的 ActiveX 控件。
    • 使用 “关闭系统还原” 设置可允许或阻止用户在设备上运行系统还原。
    • 使用“允许导入收藏夹”设置,允许或阻止用户将另一个浏览器中的收藏夹导入 Microsoft Edge
    • 等等...
  12. 选择 下一步

  13. 在“作用域标记”(可选)中,分配一个标记以将配置文件筛选到特定 IT 组(如 US-NC IT TeamJohnGlenn_ITDepartment。 有关详细信息,请参阅对分布式 IT 使用基于角色的访问控制 (RBAC) 和作用域标记

    选择 下一步

  14. “分配”中,选择接收个人资料的用户或组。 有关详细信息,请参阅在 Intune 中分配用户和设备配置文件

    如果配置文件分配给用户组,则配置的 ADMX 设置将应用于用户注册并登录的任何设备。 如果配置文件分配给设备组,则配置的 ADMX 设置适用于登录到该设备的任何用户。 如果 ADMX 设置是计算机配置 () HKEY_LOCAL_MACHINE 或用户配置 (HKEY_CURRENT_USER) ,则会发生此分配。 对于某些设置,分配给用户的计算机设置还可能会影响该设备上其他用户的体验。

    有关详细信息,请参阅分配策略时的用户组与设备组

    选择 下一步

  15. “查看并创建”中查看设置。 选择“创建”时,将保存所做的更改并分配配置文件。 该策略也会显示在配置文件列表中。

下次设备检查配置更新时,将应用你配置的设置。

查找某些设置

这些模板提供数千个设置。 为了更容易查找特定设置,请使用内置功能:

  • 在模板中,选择“设置”、“状态”、“设置类型”或“路径”列,对列表进行排序。 例如,选择“路径”列,然后使用下一个箭头查看 Microsoft Excel 路径中的设置

  • 在模板中,请使用“搜索”框查找特定设置。 可以通过设置 或 路径进行搜索。 例如,选择“ 所有设置” 并搜索 copy。 具有 copy 的所有设置均会显示:

    搜索 copy 以显示 Microsoft Intune 和 Intune 管理中心的管理模板中的所有设备设置。

    在另一个示例中,搜索 microsoft word。 随即便可看到可以为 Microsoft Word 程序设置的设置。 搜索 explorer 查看可以添加到模板的 Internet Explorer 设置。

  • 还可以通过仅选择“计算机配置”或“用户配置”来缩小搜索范围

    例如,若要查看所有可用的 Internet Explorer 用户设置,请选择“ 用户配置 ”并搜索 Internet Explorer。 仅显示适用于用户的 Internet Explorer 设置:

    在 ADMX 模板中,选择“用户配置”,并在 Microsoft Intune 中搜索或筛选 Internet Explorer。

创建已知问题回滚策略

在已注册的设备上,可以使用管理模板创建已知问题回滚 (KIR) 策略,并将此策略部署到 Windows 设备。 请参阅使用 Microsoft Intune ADMX 策略引入到托管设备部署 KIR 激活

有关 KIR 的详细信息,请参阅:

后续步骤

模板已创建,但可能尚未执行任何操作。 确保分配模板(也称为配置文件)监视其状态

另请参阅: