使用设置目录在 Windows、iOS/iPadOS 和 macOS 设备上配置设置
设置目录列出了可在一个位置配置的所有设置。 此功能简化了创建策略的方式以及查看所有可用设置的方式。 例如,可以使用设置目录创建包含所有 BitLocker 设置的 BitLocker 策略。
还可以 在 Intune 中使用 Microsoft Copilot。 将 Copilot 功能与设置目录结合使用时,可以使用 Copilot:
- 详细了解每个设置,在分析时产生 什么 影响,并发现潜在的冲突。
- 汇总现有策略,并获取对用户和安全的影响分析。
如果想要在精细级别配置设置,类似于使用本地组策略对象 (GPO) ,则设置目录是一种自然过渡到基于云的策略。
创建策略时,可以从头开始。 仅添加要控制和管理的设置。
若要管理和保护组织中的设备,请将设置目录用作移动设备管理 (MDM) 解决方案的一部分。 将不断将更多设置添加到设置目录。 有关设置的当前列表,请参阅 IntunePMFiles/DeviceConfig GitHub 存储库。
此功能适用于:
iOS/iPadOS
包括直接从 Apple 特定于配置文件的有效负载密钥生成的设备设置。 正在不断添加更多设置和密钥。 若要了解详细信息,请参阅 Apple 网站上的 特定于配置文件的有效负载密钥 。
Apple 的声明性设备管理 (DDM) 内置于设置目录中。 在使用 用户注册注册的 iOS/iPadOS 15+ 设备上的设置目录中配置设置时,会自动使用 DDM。 如果 DDM 不起作用,这些设备将使用 Apple 的标准 MDM 协议。 所有其他 iOS/iPadOS 设备将继续使用 Apple 的标准 MDM 协议。
macOS
包括直接从 Apple 特定于配置文件的有效负载密钥生成的设备设置。 正在不断添加更多设置和密钥。 若要详细了解配置文件特定的有效负载密钥,请参阅 Apple 网站上的 特定于配置文件的有效负载密钥 。
设置目录中提供了 Apple 的声明性设备管理 (DDM) 。 可以使用 DDM 来管理软件更新、密码限制等。
还可以使用设置目录配置较新版本的 Microsoft Edge 和其他功能,而不是使用属性列表 (plist) 文件。 有关更多信息,请参阅:
可以继续使用 首选项文件 来:
- 配置早期版本的 Microsoft Edge。
- 配置不在设置目录中的 Microsoft Edge 浏览器设置。
Windows 10/11
有数千个设置,包括以前不可用的设置。 这些设置直接从 Windows 配置服务提供程序 (CSP) 生成。 还可以配置管理模板,并提供更多可用的管理模板设置。 当 Windows 向 MDM 提供程序添加或公开更多设置时,这些设置将添加到 Microsoft Intune 中供你配置。
提示
- 有关设置目录中的设置列表,请参阅 IntunePMFiles/DeviceConfig GitHub 存储库。
- 若要查看已配置的 Microsoft Edge 策略,请打开 Microsoft Edge 并转到
edge://policy
。
本文介绍创建策略的步骤,演示如何在 Intune 中搜索和筛选设置,并演示如何使用 Copilot。
创建策略时,策略会创建设备配置文件。 然后,可以将此配置文件分配或部署到贵组织中的设备。
有关可以使用设置目录配置的功能的信息,请参阅 可以使用 Intune 中的设置目录完成的任务。
创建策略
使用设置目录配置文件类型创建策略。
选择“设备”>“管理设备”>“配置”>“创建”>“新策略”。
输入以下属性:
- 平台:选择 iOS/iPadOS、 macOS 或 Windows 10 及更高版本。
- 配置文件类型:选择 “设置目录”。
选择“创建”。
在“基本信息”中,输入以下属性:
- 名称:为配置文件命名,以便以后可以轻松识别它们。 例如,一个好的配置文件名称是 macOS: Microsoft Edge 设置 或 Win10: BitLocker 设置(适用于所有 Win10 设备)。
- 说明:输入配置文件的说明。 此设置是可选的,但建议设置。
选择 下一步。
在“配置设置”中,选择“添加设置”。 在设置选取器中,选择一个类别以查看所有可用设置。
例如,选择“ Windows 10 及更高版本”,然后选择“ 身份验证 ”以查看此类别中的所有设置:
例如,选择“macOS”。 Microsoft Edge - 所有类别列出了可以配置的所有设置。 其他类别包括已过时或适用于旧版本的设置:
提示
在 macOS 上,将暂时删除类别。 若要查找特定设置,请使用“Microsoft Edge - 全部”类别,或搜索设置名称。 有关设置名称的列表,请参阅 Microsoft Edge - 策略。
使用工具提示中的 “了解详细信息” 链接可查看设置是否已过时并查看支持的版本。
选择要配置的任何设置。 或者,选择“选择所有这些设置”:
添加设置后,关闭设置选取器。 将显示所有设置,并使用默认值(例如 “阻止” 或 “允许”)进行配置。 这些默认值与 OS 中的默认值相同。 如果不想配置设置,请选择减号 (
-
) :选择减号时:
- Intune 不会更改或更新此设置。 减号与“未配置”相同。 如果设为“未配置”,则不再管理此设置。
- 此设置将从策略中删除。 下次打开策略时,不会显示该设置。 但可以重新添加它。
- 设备下次签入时,该设置不再处于锁定状态。 另一个策略或设备用户可以更改策略。
提示
在 Windows 设置工具提示中,“了解详细信息”链接到 CSP。
当设置允许多个值时,建议单独添加每个值。 例如,可以在 “蓝牙>服务允许列表” 设置中输入多个值。 在单独的行上输入每个值:
可以在单个字段中添加多个值,但可能会遇到字符限制。
选择 下一步。
在“作用域标记”(可选)中,分配一个标记以将配置文件筛选到特定 IT 组(如
US-NC IT Team
或JohnGlenn_ITDepartment
)。 有关范围标记的详细信息,请参阅将 RBAC 角色和范围标记用于分布式 IT。选择 下一步。
在“分配”中,选择将接收配置文件的用户或组。 有关详细信息,请参阅 分配用户和设备配置文件。
选择 下一步。
在“查看并创建”中查看设置。 选择“创建”时,将保存所做的更改并分配配置文件。 该策略也会显示在配置文件列表中。
下次设备检查配置更新时,将应用你配置的设置。
查找一些设置并详细了解每个设置
设置目录中提供数千个设置。 若要查找所需的设置,请使用搜索和筛选功能。
如果使用 Copilot,则可以获取有关每个设置的 AI 生成的信息。
创建新策略或更新现有策略时,内置搜索和筛选功能可帮助你查找设置。
若要在策略中查找特定设置,可以使用 “添加设置>搜索”。 可以按类别(例如
browser
;搜索关键字,如office
或google
),然后搜索特定设置。例如,搜索
internet explorer
。 具有internet explorer
的所有设置均会显示。 选择一个类别以查看可用的设置:在策略中,使用“添加设置”>“添加筛选器”。 选择键、运算符和值。
筛选 OS 版本时,可以筛选适用于特定 Windows 版本的设置:
注意
对于 Edge、Office 和 OneDrive 设置,操作系统版本不能确定设置是否适用。 因此,如果筛选到特定版本(如 Windows 专业版),则不会显示 Edge、Office 和 OneDrive 设置。
还可以 按设备或用户范围筛选设置。 有关详细信息,请参阅本文) 中的 设备范围与用户范围设置 (:
复制配置文件
选择 复制 以创建现有配置文件的副本。 需要与原始配置文件类似的配置文件时,复制很有用。 副本包含与原始配置文件相同的设置配置和范围标记,但未附加分配。
为新配置文件命名后,可以对其进行编辑以调整设置并添加分配。
- 转到“设备”>“管理设备”>“配置”。
- 找到要复制的配置文件。 右键单击该配置文件或选择省略号上下文菜单 (
…
)。 - 选择“复制”。
- 输入策略的新名称和说明。
- 单击“保存”以保存更改。
导入和导出配置文件
此功能适用于:
- Windows 11
- Windows 10
创建设置目录策略时,可以将策略导出到文件 .json
。 然后,可以导入此文件以创建新策略。 如果要创建类似于现有策略的策略,此功能非常有用。 例如,导出策略,导入它以创建新策略,然后对新策略进行更改。
转到“设备”>“管理设备”>“配置”。
若要导出现有策略,请选择 Windows 设置目录策略,然后选择省略号/上下文菜单 (
…
) >导出 JSON:若要导入以前导出的设置目录策略,请选择“ 创建>导入策略”:
选择导出的 JSON 文件并命名新策略。 单击“保存”以保存更改。
冲突和报告
将同一设置更新为不同的值(包括使用设置目录配置的策略)时,会发生冲突。 在 Intune 管理中心中,可以检查现有策略的状态。 数据几乎实时自动刷新。
有一些内置功能可以帮助你排查冲突,包括按设置的状态报告。
如果使用 Copilot,可以使用内置提示获取有关现有策略的详细信息,包括其影响。
在 Intune 管理中心,可以使用内置报告功能来帮助查找和解决冲突。
在 Intune 管理中心,选择“ 设备>管理设备>配置”。 在列表中,选择使用设置目录创建的策略。 “配置文件类型”列显示“设置目录”:
选择策略时,将显示设备状态。 它显示了策略状态和策略属性的摘要。 你还可以在“配置设置”部分中更改或更新策略:
选择“查看报表”。 报表将显示详细信息,包括设备名称、策略状态等。 还可以筛选部署状态并将报表 导出 到
.csv
文件:还可以使用每个设置状态查看每个 设置的状态,该状态是策略中每个设置影响的设备数。
可以执行下列操作:
- 查看设置已成功应用、冲突或错误的设备数。
- 选择“符合”、“冲突”或“错误”状态下的设备数, 查看处于该状态的用户或设备列表。
- 搜索、排序、筛选、导出和转到下一页/上一页。
在管理中心选择“设备”>“监视”>“分配失败”。 如果设置目录策略由于错误或冲突而无法部署,则会在此列表中显示。 你也可以导出到
.csv
文件。选择策略以查看设备。 然后,选择特定设备以查看失败的设置,并可能显示错误代码。
有关解决冲突的详细信息,请参阅:
设置目录与模板
创建策略时,有两种策略类型可供选择: “设置目录” 和 “模板”:
模板包括一组逻辑设置,例如展台、VPN、Wi-Fi 等。 如果要使用这些分组来配置设置,请使用此选项。
设置目录列出了所有可用的设置。 如果要查看所有可用的防火墙设置或所有可用的 BitLocker 设置,请使用此选项。 如果要查找特定设置,也使用此选项。
设备范围与用户范围设置
选择设置时,某些设置在设置名称中具有 (User)
或 (Device)
标记,例如 Allow EAP Cert SSO (User)
或 Grouping (Device)
。 看到这些标记时,策略仅影响用户范围或设备范围。
有关用户范围和设备范围的详细信息,请参阅 策略 CSP。
分配策略时会使用设备和用户组。 设备和用户范围描述如何强制实施策略。
范围分配行为
从 Intune 部署策略时,可以将用户范围或设备范围分配给任何类型的目标组。 每个用户的策略行为取决于设置的范围:
- 用户范围的策略写入
HKEY_CURRENT_USER (HKCU)
。 - 设备范围的策略写入
HKEY_LOCAL_MACHINE (HKLM)
。
当设备签入 Intune 时,设备始终显示 deviceID
。 设备可能提供,也可能不显示 userID
,具体取决于签入时间和用户是否已登录。
以下列表包括范围、分配和预期行为的一些可能组合:
- 如果将设备范围策略分配给设备,则该设备上的所有用户都应用了该设置。
- 如果将设备范围的策略分配给用户,则一旦该用户登录并发生 Intune 同步,设备范围设置将应用于设备上的所有用户。
- 如果将用户范围策略分配给设备,则该设备上的所有用户都应用了该设置。 此行为类似于环回设置为合并。
- 如果将用户范围策略分配给用户,则只有该用户应用了该设置。
- 用户范围和设备范围中提供了一些设置。 如果其中一个设置同时分配给用户和设备范围,则用户范围优先于设备范围。
如果在初始签入期间没有 用户配置单元 ,可以看到一些用户范围设置标记为 不适用。 此行为发生在用户出现之前设备活动的早期阶段。