通过 Intune 自定义配置文件实现禁用 UAC
通过 Intune 自定义配置文件实现禁用 UAC
持续关注 gOxiA Blog 的朋友们可能已经注意到近期的主题都与 Intune 有关,移动设备管理需求剧增,传统 ITPro 是该抓紧时间了解“现代桌面”管理了。如果您跟随 gOxiA 也在学习 Intune,那么不要错过这篇日志。在企业 IT 桌面环境下很多组织都将 UAC 禁用,以避免影响到客户体验,或业务应用程序的运行,虽然 gOxiA 并不建议禁用 UAC(启用 UAC 极大的提高了用户运行环境的安全性,避免无意中触发不必要的变更操作,导致系统环境受损,影响正常运行。)但如果你希望能够通过 Intune 来禁用 UAC 也还是可以实现的。
还记得之前我们讲过的设备配置文件吗?它与我们传统的客户端管理中使用的组策略(GPO)类似,但支持更多中配置文件类型,有类似于 GPO 的管理模板类型,也有设备限制类型,也有针对应用的如电子邮件类型,自定义类型则利用 CSP(策略配置服务提供程序)接口提供了强大的可定制的,灵活的配置能力。本例我们将使用自定义配置文件来创建 UAC 设置。
跟随向导为配置文件起个易于识别的名称,然后添加 OMA-URI 设置。格式参考 https://docs.microsoft.com/zh-cn/windows/configuration/provisioning-packages/how-it-pros-can-use-configuration-service-providers,这里我们会使用 Policy CSP 的 LocalPoliciesSecurityOptions 中的配置项,涉及三个:
OMA-URI:./Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_UseAdminApprovalMode
数据类型:整型
值:0
OMA-URI:./Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForAdministrators
数据类型:整型
值:0
OMA-URI:./Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_RunAllAdministratorsInAdminApprovalMode
数据类型:整型
值:0
OMA-URI 创建完毕后,将配置文件分配给“所有设备”即可。
通过 Intune 配置文件的管理模板为 Edge 浏览器限制访问 URL
通过 Intune 配置文件的管理模板为 Edge 浏览器限制访问 URL
在互联网上不是每一个网站都是健康或安全的,为了避免最终用户无意或有意的访问那些不良网站,组织 IT 人员需要有一种机制来管理它们,确保用户不能访问那些受限的网站。在过去的传统环境下,通常会配置出口网关进行相关网站的限制访问,移动为先的今天大部分的用户或设备都具备可移动性,过去传统的管理方式已经不能满足现在的应用场景。
如果你的组织已经开始使用 Intune 来管理设备,则可以通过设备配置文件来实现 URL 访问的限制。实际上我们将利用的是 Microsoft Edge 的 URL 列表策略,通过 Intune 设备配置通过互联网推送给终端设备,实现对用户特定 URL 的限制访问。
在开始实践前建议先阅读这篇文档“基于 URL 列表的策略的筛选器格式”,这将帮助我们了解如何准确的添加要限制的 URL。此外确保组织的设备已经部署了 Microsoft Edge,它是一款基于 Chromium 的新浏览器,在今年1月份已正式发布,gOxiA 之前写过一篇介绍的日志 – “微软发布基于 Chromium 的正式版 Microsoft Edge 浏览器”可以参考。
满足以上条件,就可以开始创建设备配置文件,为此登录 Microsoft Endpoint Manager,在左侧点击“设备”,然后点击“配置文件”,并创建新的配置文件,之后请选择 Windows 10 平台,配置文件类型使用管理模板。在接下来的向导中为我们的配置文件创建一个易于识别的名字,下一步之后就会看到策略配置页面,是不是很像我们过去常用的组策略?!
在“计算机配置”下选择“Microsoft Edge”,然后在搜索框中输入“URL”进行显示筛选,你会看到列表中有一个名为“阻止访问 URL 列表”的设置项,我们将通过它来实现阻止用户访问特定的URL,另外你还会看到另一个设置项“定义允许的 URL 列表”,这两个其实就实现了所谓的 URL 黑白名单,你也可以根据实际的场景需求选择性配置。
在“阻止访问 URL 列表”中勾选“已启用”,然后手动添加 URL。
在策略生效后,用户访问这些被限制的 URL 时就会收到如下图一样的页面信息,如果希望查看当前 Edge 的策略,可以在地址栏输入”edge://policy”。
如果希望了解更多的 Edge 策略支持,可以阅读这篇文档。https://docs.microsoft.com/zh-cn/deployedge/microsoft-edge-policies#urlblocklist
通过 Intune 为 Windows 10 设备自动配置邮件账户
通过 Intune 为 Windows 10 设备自动配置邮件账户
使用 Autopilot 我们实现了 OOBE 的自动化配置,为用户自动安装了应用程序,并下发了设备配置文件。当设备就绪,用户登录到 Windows 桌面,启动 Windows 10 内置的邮件程序,或 Outlook 后,将会提示使用当前登录账户配置这些邮件应用程序,虽然这样的设计已经非常便利,但对于一些用户来说,他们可能需要更人性化的配置方案,实现打开应用自动完成账户配置的过程。
利用 Intune 我们可以通过创建配置文件来实现这一需求,对于 Windows 10 内置的邮件应用可以创建单独类型的配置文件,为此访问 Microsoft Endpoint Manager 管理中心,定位到“设备 > 配置文件”,点击“创建配置文件”,然后选择“平台”为“Windows 10和更高版本”,“配置文件”选择“电子邮件”,然后点击窗格底部的“创建”。
在接下来的向导任务中,为这个配置文件起一个易于识别的名称,然后点击“下一页”。在“配置设置”页面下我们输入“电子邮件服务器”的地址,如:outlook.office365.com;“账户名”是显示在邮件应用中的配置名称;AAD用户名属性和电子邮件地址属性都可以使用“用户主体名称”,或者根据需要配置。此外我们还可以配置要同步的电子邮件数量,以及同步计划。如果您的组织允许使用Windows 10内置的联系人、日历和任务应用同步和管理 Office 365 Exchange Online的内容,则可以启用同步这些内容。具体参考如下图所示。
接下来要配置的就是将这个配置文件分配给谁,可以是指定的组或者是所有用户,或所有设备。
当配置文件下发后,用户打开 Windows 10 的邮件应用就会根据当前登录账号自动配置邮箱,如下图会遇到修复账户的提示,只需要点击修复即可。
Outlook via Exchange
对于 Outlook 我们可以创建管理模板配置文件(Administrative template profile)来实现基于 Exchange 服务的 Outlook 自动配置。仍然是创建一个配置文件,平台为“Windows 10 和更高版本”,配置文件选择为“管理模板”。接下来会发现这个管理模板就像经典的组策略一样,其实它就是沿用了 GPO 的概念和机制。我们只需要先选中“用户配置 > 所有设置”,然后搜索“smtp”就能看到两个配置项,这里我们选择“基于 Active Directory 主 SMTP 地址自动配置配置文件”,然后将其设置为“已启用”。
下发该配置文件后,当用户首次打开 Outlook 就会自动使用当前登录账户创建 Outlook 配置文件。
