Поделиться через

Развертывание OMA-URIs для назначения CSP через Intune и сравнение с локальными

  • Статья

В этой статье описывается важность поставщиков служб конфигурации Windows (CSPs), Open Mobile Alliance — универсальные ресурсы (OMA-URIs) и способ доставки пользовательских политик на устройство под управлением Windows 10 с помощью Microsoft Intune.

Intune предоставляет удобный и простой интерфейс для настройки этих политик. Однако не все параметры обязательно доступны в Центре администрирования Microsoft Intune. Хотя на устройстве Windows может быть настроено множество параметров, их нельзя использовать в центре администрирования. Кроме того, как делаются улучшения, это не необычно иметь определенную степень задержки перед добавлением нового параметра. В этих сценариях развертывание пользовательского профиля OMA-URI, использующего поставщика служб конфигурации Windows (CSP), является ответом.

Область CSP

Поставщики служб csps — это интерфейс, используемый поставщиками управления мобильными устройствами (MDM) для чтения, задания, изменения и удаления параметров конфигурации на устройстве. Как правило, он выполняется с помощью разделов и значений в реестре Windows. Политики CSP имеют область, которая определяет уровень, на котором можно настроить политику. Это похоже на политики, доступные в Центре администрирования Microsoft Intune. Некоторые политики можно настроить только на уровне устройства. Эти политики применяются независимо от того, кто вошел в систему на устройстве. Другие политики можно настроить на уровне пользователя. Эти политики применяются только к тому пользователю. Уровень конфигурации определяется платформой, а не поставщиком MDM. При развертывании настраиваемой политики можно найти область CSP, которую вы хотите использовать.

Область CSP важна, так как она будет диктовать синтаксис строки OMA-URI, которую следует использовать. Например:

Область пользователя

./User/Vendor/MSFT/Policy/Config/AreaName/PolicyName/PolicyName для настройки политики. ./User/Vendor/MSFT/Policy/Result/AreaName/PolicyName/PolicyName, чтобы получить результат.

Область устройства

./Device/Vendor/MSFT/Policy/Config/AreaName/PolicyName/PolicyName для настройки политики. ./Device/Vendor/MSFT/Policy/Result/AreaName/PolicyName/PolicyName, чтобы получить результат.

OMA-URIs

OMA-URI — это путь к определенному параметру конфигурации, поддерживаемому CSP.

OMA-URI: это строка, представляющая настраиваемую конфигурацию для устройства под управлением Windows 10. Синтаксис определяется csps на клиенте. Дополнительные сведения о каждом поставщике служб CSP см . здесь.

Настраиваемая политика: она содержит OMA-URI для развертывания. Он настроен в Intune.

Intune: после создания и назначения пользовательской политики клиентским устройствам Intune становится механизмом доставки, который отправляет OMA-URI этим клиентам Windows. Intune использует протокол Open Mobile Alliance Управление устройствами (OMA-DM) для этого. Это предварительно определенный стандарт, который использует XML-код SyncML для отправки информации клиенту.

ПОСТАВЩИКИ служб. После доступа к клиенту OMA-URIs поставщик служб CSP считывает их и настраивает платформу Windows соответствующим образом. Как правило, это делается путем добавления, чтения или изменения значений реестра.

Чтобы свести к сводные данные: OMA-URI — это полезные данные, настраиваемая политика — это контейнер, Intune — это механизм доставки этого контейнера, OMA-DM — это протокол, используемый для доставки, и windows CSP считывает и применяет параметры, настроенные в полезных данных OMA-URI.

На схеме показаны параметры OMA-URI windows CSP.

Это тот же процесс, используемый Intune для доставки стандартных политик конфигурации устройств, которые уже встроены в пользовательский интерфейс. Если OMA-URIs использует пользовательский интерфейс Intune, они скрыты за пользовательскими интерфейсами конфигурации. Это упрощает процесс и более интуитивно понятный для администратора. Используйте встроенные параметры политики по возможности и используйте пользовательские политики OMA-URI только для параметров, которые в противном случае недоступны.

Чтобы продемонстрировать этот процесс, можно использовать встроенную политику, чтобы задать изображение экрана блокировки на устройстве. Вы также можете развернуть OMA-URI и нацелить соответствующий CSP. Оба метода дают одинаковый результат.

OMA-URIs из Центра администрирования Microsoft Intune

Снимок экрана: ограничения устройства.

Использование настраиваемой политики

Этот же параметр можно задать непосредственно с помощью следующего OMA-URI:

./Vendor/MSFT/Policy/Config/DeviceLock/EnforceLockScreenAndLogonImage

Он задокументирован в справочнике по Windows CSP. После определения OMA-URI создайте для него настраиваемую политику.

Снимок экрана: параметры OMA-URI на экране

Независимо от используемого метода конечный результат идентичен.

Снимок экрана: экран входа.

Ниже приведен еще один пример, использующий BitLocker.

Использование настраиваемой политики из Центра администрирования Microsoft Intune

Снимок экрана: экран Endpoint Protection.

Использование настраиваемой политики

Снимок экрана: путь OMA-URI к CSP.

Связывание пользовательских OMA-URI с локальным миром

Существующие параметры групповой политики можно использовать в качестве ссылки при создании конфигурации политики MDM. Если ваша организация хочет перейти на MDM для управления устройствами, рекомендуется подготовиться, проанализировав текущие параметры групповой политики, чтобы узнать, что необходимо для перехода к управлению MDM.

Средство анализа миграции MDM (MMAT) определяет, какие групповые политики заданы для целевого пользователя или компьютера. Затем он создает отчет, который содержит уровень поддержки каждого параметра политики в эквивалентах MDM.

Аспекты групповой политики до и после миграции в облако

В следующей таблице показаны различные аспекты групповой политики до и после миграции в облако с помощью MMAT.

Локально Облако
Групповая политика MDM
Контроллеры доменов Сервер MDM (служба Intune)
Папка Sysvol База данных Intune/MSUs
Расширение на стороне клиента для обработки групповой политики ПОСТАВЩИКИ служб для обработки политики MDM
Протокол SMB, используемый для связи Протокол HTTPS, используемый для связи
.pol | .ini файл (обычно это входные данные) SyncML — это входные данные для устройств

Важные заметки о поведении политики

Если политика изменяется на сервере MDM, обновленная политика отправляется на устройство, а параметр настраивается для нового значения. Однако удаление назначения политики от пользователя или устройства может не вернуть значение по умолчанию. После удаления назначения есть несколько профилей, например профилей Wi-Fi, профилей VPN, профилей сертификатов и профилей электронной почты. Так как это поведение контролируется каждым поставщиком служб CSP, следует попытаться понять поведение CSP для правильного управления параметрами. Дополнительные сведения см . в справочнике по Windows CSP.

Сборка

Чтобы развернуть пользовательский OMA-URI для целевого CSP на устройстве Windows, создайте настраиваемую политику. Политика должна содержать путь к пути OMA-URI вместе со значением, которое необходимо изменить в CSP (включить, отключить, изменить или удалить).

Снимок экрана: страница

Снимок экрана: поля описания имени для создания настраиваемой политики.

Снимок экрана: параметры конфигурации и страницы

После создания политики назначьте ее группе безопасности, чтобы она влалась.

Устранение неполадок

При устранении неполадок с пользовательскими политиками вы найдете, что большинство проблем соответствуют следующим категориям:

  • Пользовательская политика не достигла клиентского устройства.
  • Пользовательская политика достигла клиентского устройства, но ожидаемое поведение не наблюдается.

Если у вас есть политика, которая не работает должным образом, убедитесь, что политика даже достигла клиента. Существует два журнала для проверки доставки.

Журналы диагностики MDM

Снимок экрана: журналы диагностики MDM.

Журнал событий Windows

Снимок экрана: журнал событий Windows.

Оба журнала должны содержать ссылку на настраиваемую политику или параметр OMA-URI, который вы пытаетесь развернуть. Если эта ссылка не отображается, скорее всего, политика не была доставлена на устройство. Убедитесь, что политика настроена правильно и нацелена на правильную группу.

Если вы убедитесь, что политика достигает клиента, проверьте DeviceManagement-Enterprise-Diagnostics-Provider > Admin Event log на клиенте наличие ошибок. Может появилась запись об ошибке, содержащая дополнительные сведения о том, почему политика не применялась. Причины будут отличаться, но часто возникает проблема в синтаксисе строки OMA-URI, настроенной в настраиваемой политике. Дважды проверьте ссылку CSP и убедитесь, что синтаксис правильный.