使用Microsoft Intune (公共预览版中导入的 GPO 创建设置目录策略)
可以导入本地组策略对象 (GPO),并使用这些导入的设置创建 Intune 策略。 此策略可以部署到组织管理的用户和设备。
使用组策略分析,导入本地 GPO。 它会分析导入的 GPO,并显示在 Microsoft Intune 中也可用的设置。 对于可用设置,可以创建设置目录策略,然后将该策略部署到托管设备。
此功能适用于:
- Windows 11
- Windows 10
本文介绍如何从导入的 GPO 创建策略。 有关 组策略 Analytics 的详细信息和概述,请转到在 Microsoft Intune 中使用组策略分析 (GPO) 分析本地组策略对象。
开始之前
在 Microsoft Intune 管理中心,以以下身份登录:
Intune管理员
或
具有 安全基线 权限和设备 配置/创建 权限的角色
有关内置Intune角色中包含的权限的详细信息,请转到内置管理员角色。 有关自定义角色的信息,请转到 为自定义角色分配权限。
导入本地 GPO 并查看结果。
有关具体步骤,请转到使用 Intune 中的组策略分析导入和分析本地 GPO。
只有限定为 GPO 的管理员才能从该导入的 GPO 创建设置目录策略。 作用域标记在导入 GPO 期间首先应用,并且可以进行编辑。 如果在 GPO 导入过程中未选择或未选择范围标记,则会自动使用 默认 范围标记。
此功能目前提供公共预览版。 有关其含义的详细信息,请转到 Microsoft Intune 中的公共预览版。
查看 GPO 并将其迁移到设置目录策略
导入 GPO 后,请查看可迁移的设置。 请记住,某些设置在云本机终结点上没有意义,例如 Windows 10/11 设备。 查看这些设置后,可以将设置迁移到设置目录策略。
在Microsoft Intune管理中心,选择“设备>管理设备>组策略分析”。
在列表中,将显示导入的 GPO。 在设置目录配置文件中所需的 GPO 旁边,选择“迁移”复选框。 可以选择一个 GPO 或多个 GPO:
若要查看导入的 GPO 中的所有设置,请选择“迁移”:
在“要迁移的设置”选项卡中,为要包含在设置目录配置文件中的设置选择“迁移”列:
若要帮助选取设置,可使用内置功能:
提示
如果尚未执行此操作,请查看组策略设置。 某些设置可能不适用于基于云的策略管理,或者不适用于云本机终结点,例如 Windows 10/11 设备。 不建议在不查看所有组策略设置的情况下包含它们。
选择“下一步”。
在“配置”中,将显示设置及其值。 这些值与本地组策略中的值相同。 查看这些设置及其值。
创建设置目录策略后,可以更改任何值。
选择“下一步”。
在配置文件信息中,输入以下设置:
- “名称”:输入设置目录配置文件的描述性名称。 为配置文件命名,以便稍后可以轻松地识别它们。 例如,一个好的配置文件名称为 Windows 10/11:导入的 Microsoft Edge GPO。
- 说明:输入配置文件的说明。 此设置是可选的,但建议进行。
选择 下一步。
在 “作用域标记”中,可以选择为特定 IT 组(例如 US-NC IT 团队或JohnGlenn_ITDepartment)分配用于筛选配置文件的标记。 有关范围标记的详细信息,请转到 为分布式 IT 使用 RBAC 角色和范围标记。
在“分配”中,选择将接收配置文件的用户或组。 有关分配配置文件的详细信息,包括建议和指导,请转到 在 Intune 中分配用户和设备配置文件。
选择“下一步”。
在“查看并创建”中查看设置。
选择“创建”时,将保存所做的更改并分配配置文件。 该策略显示在 “设备>管理设备>”配置 列表中。
下次分配的组中的任何设备检查配置更新时,将应用已配置的设置。
早期检测到冲突设置
可能有多个 GPO 包含相同设置,并且该设置被设置为不同的值。 创建策略并在“ 要迁移的设置” 选项卡中选择设置时,任何冲突的设置都显示以下错误:
Conflicts are detected for the following settings: <setting name>. Select only one version with the value you prefer in order to continue.
若要解决冲突,请取消选中冲突设置,然后继续迁移。
须知内容
迁移功能从导入的组策略对象 (GPO) 中获取分析的数据,并将其转换为设置目录中的相关设置(如果该设置存在)。
迁移是最好的努力。
创建设置目录配置文件时,将包含配置文件中的任何设置。 导入的设置和设置目录中的设置可能存在一些差异。
某些设置在终结点安全中具有更好的配置体验
如果导入 AppLocker 设置或防火墙规则设置,则会禁用“迁移”选项并灰显。相反,请在 Intune 管理中心使用 Endpoint Security 工作负载配置这些设置。
有关详细信息,请转到:
如果 GPO 侧重于终结点安全性,则应查看 Endpoint Security 中可用的功能,包括安全基线和移动威胁防御。
某些设置未准确迁移,并且可能使用其他设置
在某些情况下,某些 GPO 设置不会迁移到设置目录中完全相同的设置。 Intune显示具有类似效果的备用设置。
如果导入的 GPO 包含较旧的 Office 管理模板设置或较旧的 Google Chrome 设置,则可以看到此行为。 在下图中,不支持较旧的 Office 设置。 因此,Intune建议迁移到受支持的版本:
某些设置无法迁移
迁移设置时,可能会发生一些错误。 创建配置文件时,会在通知中显示返回错误的设置:
设置可能显示错误的一些常见原因包括:
- 设置值的格式不正确。
- 导入的 GPO 中缺少子设置,需要配置父设置。