通过 Intune 部署 OMA-URI 以面向 CSP,并比较本地
本文介绍 Windows 配置服务提供商(CSP)、开放移动联盟 - 统一资源(OMA-URI)的重要性,以及如何使用 Microsoft Intune 将自定义策略传送到基于 Windows 10 的设备。
Intune 提供了一个方便且易于使用的接口来配置这些策略。 但是,并非所有设置都必须在 Microsoft Intune 管理中心内可用。 尽管可以在 Windows 设备上配置许多设置,但在管理中心内拥有所有这些设置是不可行的。 此外,随着改进的进行,在添加新设置之前,有一定程度的滞后并不罕见。 在这些方案中,部署使用 Windows 配置服务提供程序(CSP)的自定义 OMA-URI 配置文件是答案。
CSP 范围
CSP 是移动设备管理(MDM)提供程序用来读取、设置、修改和删除设备上的配置设置的接口。 通常,它通过 Windows 注册表中的键和值完成。 CSP 策略具有一个范围,用于定义策略可配置的级别。 这类似于 Microsoft Intune 管理中心中可用的策略。 某些策略只能在设备级别配置。 无论谁登录到设备,这些策略都适用。 可以在用户级别配置其他策略。 这些策略仅适用于该用户。 配置级别由平台而不是 MDM 提供程序决定。 部署自定义策略时, 可在此处 查找要使用的 CSP 范围。
CSP 的范围非常重要,因为它将指示应使用的 OMA-URI 字符串的语法。 例如:
用户范围
./User/Vendor/MSFT/Policy/Config/AreaName/PolicyName 以配置策略。 ./User/Vendor/MSFT/Policy/Result/AreaName/PolicyName 以获取结果。
设备范围
./Device/Vendor/MSFT/Policy/Config/AreaName/PolicyName,用于配置策略。 ./Device/Vendor/MSFT/Policy/Result/AreaName/PolicyName 以获取结果。
OMA-URI
OMA-URI 是 CSP 支持的特定配置设置的路径。
OMA-URI:它是表示基于 Windows 10 设备的自定义配置的字符串。 语法由客户端上的 CSP 确定。 可在此处找到有关每个 CSP 的详细信息。
自定义策略:它包含要部署的 OMA-URI。 它在 Intune 中配置。
Intune:创建自定义策略并将其分配给客户端设备后,Intune 将成为将 OMA-URI 发送到这些 Windows 客户端的传递机制。 Intune 使用开放移动联盟设备管理 (OMA-DM) 协议执行此操作。 它是一个预定义的标准,它使用基于 XML 的 SyncML 将信息推送到客户端。
CSP:OMA-URI 到达客户端后,CSP 会读取它们并相应地配置 Windows 平台。 通常,它通过添加、读取或更改注册表值来执行此操作。
总结:OMA-URI 是有效负载,自定义策略是容器,Intune 是该容器的传递机制,OMA-DM 是用于传递的协议,Windows CSP 读取并应用在 OMA-URI 有效负载中配置的设置。
这是 Intune 用于提供已内置到 UI 中的标准设备配置策略的相同过程。 当 OMA-URI 使用 Intune UI 时,它们隐藏在用户友好的配置接口后面。 这样,管理员就越容易、更直观地处理该过程。 尽可能使用内置策略设置,并将自定义 OMA-URI 策略仅用于其他不可用的选项。
若要演示此过程,可以使用内置策略在设备上设置锁屏图像。 还可以部署 OMA-URI 并面向相关的 CSP。 这两种方法可以得到相同的结果。
Microsoft Intune 管理中心中的 OMA-URI
使用自定义策略
可以使用以下 OMA-URI 直接设置相同的设置:
./Vendor/MSFT/Policy/Config/DeviceLock/EnforceLockScreenAndLogonImage
它记录在 Windows CSP 参考中。 确定 OMA-URI 后,为其创建自定义策略。
无论使用哪种方法,最终结果都是相同的。
下面是使用 BitLocker 的另一个示例。
从 Microsoft Intune 管理中心使用自定义策略
使用自定义策略
将自定义 OMA-URI 与本地世界相关联
生成 MDM 策略配置时,可以使用现有的组策略设置作为参考。 如果组织想要迁移到 MDM 来管理设备,建议通过分析当前的组策略设置来准备转换到 MDM 管理所需的内容。
MDM 迁移分析工具(MMAT)确定为目标用户或计算机设置了哪些组策略。 然后,它会生成一个报告,其中列出了 MDM 等效项中每个策略设置的支持级别。
迁移到云前后组策略的各个方面
下表显示了使用 MMAT 迁移到云前后组策略的不同方面。
| 本地 | 云 |
|---|---|
| 组策略 | MDM |
| 域控制器 | MDM 服务器 (Intune 服务) |
| Sysvol 文件夹 | Intune 数据库/MSU |
| 用于处理 GPO 的客户端扩展 | 用于处理 MDM 策略的 CSP |
| 用于通信的 SMB 协议 | 用于通信的 HTTPS 协议 |
.pol | .ini 文件 (通常是输入) |
SyncML 是设备的输入 |
有关策略行为的重要说明
如果 MDM 服务器上的策略发生更改,则会将更新的策略推送到设备,并将该设置配置为新值。 但是,从用户或设备中删除策略分配可能不会将设置还原为默认值。 删除分配或删除配置文件后,会删除一些配置文件,例如 Wi-Fi 配置文件、VPN 配置文件、证书配置文件和电子邮件配置文件。 由于此行为由每个 CSP 控制,因此应尝试了解 CSP 的行为以正确管理设置。 有关详细信息,请参阅 Windows CSP 参考。
将其放在一起
若要部署自定义 OMA-URI 以面向 Windows 设备上的 CSP,请创建自定义策略。 策略必须包含 OMA-URI 路径的路径以及要在 CSP 中更改的值(启用、禁用、修改或删除)。
创建策略后,将其分配给安全组,使其生效。
疑难解答
对自定义策略进行故障排除时,你会发现大多数问题都适合以下类别:
- 自定义策略未到达客户端设备。
- 自定义策略确实到达客户端设备,但未观察到预期行为。
如果策略未按预期工作,请验证策略是否已到达客户端。 有两个日志可以检查以验证其传递。
MDM 诊断日志
Windows 事件日志
这两个日志应包含对尝试部署的自定义策略或 OMA-URI 设置的引用。 如果未看到此引用,则可能是策略未传递到设备。 验证策略是否已正确配置,并针对正确的组。
如果验证策略是否已到达客户端,请检查 DeviceManagement-Enterprise-Diagnostics-Provider > Admin Event log 客户端是否存在错误。 你可能会看到一个错误条目,其中包含有关策略未应用的原因的其他信息。 原因会有所不同,但在自定义策略中配置的 OMA-URI 字符串的语法中经常出现问题。 仔细检查 CSP 引用,并确保语法正确。