在公開預覽 Microsoft Intune 中使用匯入的 GPO 建立設定目錄原則 ()
您可以匯入內部部署 群組原則 物件 (GPO) ,並使用這些匯入的設定建立 Intune 原則。 此原則可以部署至組織所管理的用戶和裝置。
使用 群組原則 Analytics,您可以匯入內部部署 GPO。 它會分析您匯入的 GPO,並顯示 Microsoft Intune 中也可用的設定。 針對可用的設定,您可以建立 [ 設定目錄] 原則,然後將原則部署到受管理的裝置。
本功能適用於:
- Windows 11
- Windows 10
本文說明如何從匯入的 GPO 建立原則。 如需 群組原則 分析的詳細資訊和概觀,請移至使用 Microsoft Intune 中的 群組原則 分析, (GPO) 分析您的內部部署組策略物件。
開始之前
在 Microsoft Intune 系統管理中心,以下列方式登入:
Intune 系統管理員
OR
具有 安全性基準 許可權和 裝置設定/建立權 限的角色
如需內建 Intune 角色所包含許可權的詳細資訊,請移至內建系統管理員角色。 如需自定義角色的資訊,請移至 將許可權指派給自定義角色。
匯入內部部署 GPO,並檢閱結果。
如需特定步驟,請移至使用 Intune 中的 群組原則 分析匯入和分析內部部署 GPO。
只有限定範圍為 GPO 的系統管理員可以從該匯入的 GPO 建立設定目錄原則。 範圍標籤會先在匯入 GPO 期間套用,而且可以編輯。 如果在 GPO 匯入期間未選取或未選取範圍標籤,則會自動使用 預設 範圍標籤。
此功能目前是公開預覽版。 如需其意義的詳細資訊,請移至 Microsoft Intune 中的公開預覽。
檢閱 GPO 並將其遷移至設定目錄原則
匯 入 GPO 之後,請檢閱可移轉的設定。 請記住,某些設定在雲端原生端點上沒有意義,例如 Windows 10/11 裝置。 檢閱之後,您可以將設定移轉至 [設定目錄] 原則。
在 [Microsoft Intune 系統管理中心] 中,選取 [裝置>管理裝置>群組原則 分析]。
清單中會顯示您匯入的 GPO。 在 [設定類別目錄] 設定檔中您想要的 GPO 旁邊,選取 [ 移轉 ] 複選框。 您可以選取 GPO 或許多 GPO:
![顯示如何在 Microsoft Intune 中選取匯入 GPO 旁之 [移轉] 複選框的螢幕快照。](media/group-policy-analytics-migrate/select-migrate-checkbox-imported-gpo.png)
若要查看匯入 GPO 中的所有設定,請選取 [移轉]:
![此螢幕快照顯示如何選取 [移轉] 按鈕,以在 Microsoft Intune 中查看匯入 GPO 中的所有設定。](media/group-policy-analytics-migrate/select-migrate-see-all-settings.png)
在 [ 要移轉的 設定] 索引標籤中,選取您要包含在 [設定目錄] 設定檔中之設定的 [ 移 轉] 資料行:
![此螢幕快照顯示要移轉的設定,以及如何在 Microsoft Intune 中選取 [移轉] 複選框。](media/group-policy-analytics-migrate/settings-to-migrate-tab.png)
為了協助您挑選設定,您可以使用內建功能:
在此頁面上全部選取:如果您想要將現有頁面上的所有設定包含在 [設定目錄] 設定檔中,請選取此選項。
![此螢幕快照顯示如何使用此頁面上的 [全部選取] 按鈕,將所有頁面設定包含在 Microsoft Intune 中的 [群組原則 Analytics 移轉] 功能中。](media/group-policy-analytics-migrate/select-all-on-this-page.png)
依設定名稱搜尋:輸入設定名稱以尋找您想要的設定:
排序:使用資料行名稱排序您的設定:
![顯示如何使用 [移轉]、[設定名稱]、[組策略設定] 類別、[MDM 支援]、[值]、[範圍]、[最低 OS 版本] 和 [CSP 名稱] 排序設定的螢幕快照,群組原則 分析在 Microsoft Intune 中移轉功能。](media/group-policy-analytics-migrate/sort-using-column-names.png)
提示
如果您還沒有這麼做,請檢閱您的 群組原則 設定。 某些設定可能不適用於雲端式原則管理,或不適用於雲端原生端點,例如 Windows 10/11 裝置。 不建議您在不檢閱所有 群組原則 設定的情況下包含這些設定。
選取 [下一步]。
在 [ 組態] 中,會顯示您的設定及其值。 這些值與內部部署 群組原則 中的值相同。 檢閱這些設定及其值。
建立 [設定目錄] 原則之後,您可以變更任何值。
選取 [下一步]。
在 [配置檔資訊] 中,輸入下列設定:
- 名稱:輸入設定類別目錄配置檔的描述性名稱。 為您的設定檔命名,以方便之後能夠輕鬆識別。 例如,良好的配置檔名稱是 Windows 10/11:已匯入Microsoft Edge GPO。
- 描述:輸入設定檔的描述。 這是選擇性設定,但建議進行。
選取[下一步]。
在 [範圍卷標] 中,選擇性地指派標籤來篩選配置檔給特定IT群組,例如US-NC IT 小組或JohnGlenn_ITDepartment。 如需範圍標籤的詳細資訊,請移至 使用分散式IT的 RBAC 角色和範圍標籤。
在 [指派] 中,選取將接收您設定檔的使用者或群組。 如需指派配置檔的詳細資訊,包括建議和指引,請移至在 Intune 中指派使用者和裝置配置檔。
選取 [下一步]。
在 [ 檢閱 + 部署] 中,檢閱您的設定。
當您選取 [建立] 時,系統會儲存您的變更,然後指派設定檔。 原則會顯示在 [裝置>管理裝置>] 組態清單中。
![顯示如何在 Microsoft Intune 中選取匯入 GPO 旁之 [移轉] 複選框的螢幕快照。](media/group-policy-analytics-migrate/select-migrate-checkbox-imported-gpo.png#lightbox)
![此螢幕快照顯示如何選取 [移轉] 按鈕,以在 Microsoft Intune 中查看匯入 GPO 中的所有設定。](media/group-policy-analytics-migrate/select-migrate-see-all-settings.png#lightbox)
![此螢幕快照顯示如何使用此頁面上的 [全部選取] 按鈕,將所有頁面設定包含在 Microsoft Intune 中的 [群組原則 Analytics 移轉] 功能中。](media/group-policy-analytics-migrate/select-all-on-this-page.png#lightbox)
![顯示如何使用 [移轉]、[設定名稱]、[組策略設定] 類別、[MDM 支援]、[值]、[範圍]、[最低 OS 版本] 和 [CSP 名稱] 排序設定的螢幕快照,群組原則 分析在 Microsoft Intune 中移轉功能。](media/group-policy-analytics-migrate/sort-using-column-names.png#lightbox)
下次指派群組內的任何裝置檢查組態更新時,就會套用您設定的設定。
早期偵測到衝突的設定
您可能會有多個 GPO 包含相同的設定,而且設定設為不同的值。 當您建立原則,並在 [ 要移 轉的設定] 索引標籤中選取您的設定時,任何衝突的設定都會顯示下列錯誤:
Conflicts are detected for the following settings: <setting name>. Select only one version with the value you prefer in order to continue.
若要解決衝突,請取消選取衝突的設定,然後繼續移轉。
您需要知道的事項
移轉功能會將已匯入 群組原則 物件中剖析的數據 (GPO) ,並在設定存在時,將其轉譯為 [設定目錄] 中的相關設定。
移轉 是最好的工作。
當您建立設定類別目錄設定檔時,可以包含在配置檔中的任何設定都會包含在內。 匯入的設定和 [設定目錄] 中的設定可能會有一些差異。
某些設定在端點安全性中有較佳的設定體驗
如果您匯入 AppLocker 設定或防火牆規則設定,則 [移轉] 選項會停用並呈現灰色。相反地,請使用 Intune 系統管理中心的端點安全性工作負載來設定這些設定。
如需詳細資訊,請移至:
如果您有著重於端點安全性的 GPO,則應該查看 端點安全性中可用的功能,包括安全性基準和行動威脅防禦。
某些設定不會完全移轉,而且可能會使用不同的設定
在某些情況下,某些 GPO 設定不會移轉至 [設定目錄] 中完全相同的設定。 Intune 顯示具有類似效果的替代設定。
如果您匯入的 GPO 包含較舊的 Office 系統管理範本設定或較舊的 Google Chrome 設定,則可以看到此行為。 在下圖中,不支援較舊的 Office 設定。 因此,Intune 建議移轉至支援的版本:
某些設定無法移轉
在移轉設定時,可能會發生一些錯誤。 建立設定檔時,傳回錯誤的設定會顯示在 [通知] 中:
設定可能顯示錯誤的一些常見原因包括:
- 設定值為非預期的格式。
- 匯入的 GPO 遺漏子設定,因此必須設定父設定。