使用 Microsoft Intune 中的群組原則分析匯入和分析內部部署 GPO

Microsoft Intune 有許多與內部部署 GPO 相同的設定。 群組原則分析是 Microsoft Intune 中的工具，可：

• 匯入並分析您的內部部署 GPO。
• 顯示雲端式 MDM 提供者支援的設定，包括 Microsoft Intune。
• 顯示任何已淘汰的設定，或無法使用的設定。
• 可以將 匯入的 GPO 移轉至 可部署至裝置的設定目錄原則。

如果您的組織使用內部部署 GPO 來管理 Windows 裝置，則群組原則分析可以提供協助。 透過群組原則分析，Intune 可能會取代您的內部部署 GPO。 Windows 裝置本質上是雲端原生的。 因此，根據您的設定，這些裝置可能不需要存取內部部署的 Active Directory。

如果您已準備好移除內部部署 AD 的相依性，則使用群組原則分析分析 GPO 是良好的第一步。 不支援某些較舊的設定，或不適用於雲端原生 Windows 裝置。 分析 GPO 之後，您就會知道仍然有效的設定。

本功能適用於：

• Windows

本文說明如何匯出內部部署 GPO、將 GPO 匯入 Intune，以及檢閱分析和結果。 若要將匯入的 GPO 移轉或轉移至 Intune 原則，請移至 使用 Microsoft Intune 中匯入的 GPO 建立設定目錄原則。

開始之前

在 Microsoft Intune 系統管理中心中，以 Intune 系統管理員身分登入，或使用具有 安全性基準 和 裝置設定 許可權的角色登入。 如需內建角色的詳細資訊，請參閱 角色型存取控制。

將 GPO 匯出為 XML 檔案

下列步驟在您的伺服器上可能會有所不同，視您使用的 GPMC 版本而定。 匯出 GPO 時，請務必匯出為 XML 檔案。

1. 在您的內部部署電腦上，開啟主控台 (Group Policy Management GPMC.msc) 。

2. 在管理主控台中，展開您的 網域名稱。

3. 展開 [群組原則物件] 以查看所有可用的 GPO。

4. 以滑鼠右鍵按一下您要移轉的 GPO，然後選擇 [儲存報表]：

   

5. 選取一個易於存取的資料夾進行匯出。 在 另存新檔類型 中，選取 XML 檔案。 在另一個步驟中，您可以將此檔案新增至 Intune 中的群組原則分析。

請確定檔案小於 4 MB 且具有正確的 Unicode 編碼。 如果匯出的檔案大於 4 MB，請減少群組原則物件中的設定數目。

匯入 GPO 並執行分析

1. 在 Microsoft Intune 系統管理中心中，選取 [裝置]>[管理裝置>] [群組原則分析]。

2. 選取 匯入，選取您儲存的 XML 檔案 >下一步。

   您可以同時選取多個檔案。

   檢查個別 GPO XML 檔案的大小。 單一 GPO 不能大於 4 MB。 如果單一 GPO 大於 4 MB，則匯入會失敗。 沒有適當 Unicode 結尾的 XML 檔案也會失敗。

3. 在 [範圍標籤] 中，選取您要套用至匯入 GPO 的現有範圍標籤。 如果您未選取現有的範圍標籤，則會自動使用 [預設 範圍] 標籤：

   

   只有包含在您選取的範圍標籤中的系統管理員才能看到匯入的 GPO。 如需匯入 GPO 上範圍標籤的詳細資訊，請移至本文) 匯 入 (時選取範圍標籤 。

4. 選取 [下一步>建立]。

   當您選取 [建立] 時，Intune 會自動分析 XML 檔案中的 GPO。

5. 分析執行之後，您匯入的 GPO 會列出下列資訊：

   • 群組原則名稱：名稱會使用 GPO 中的資訊自動產生。

   • Active Directory 目標：目標是使用 GPO 中的組織單位 (OU) 目標資訊自動產生。

   • MDM 支援：顯示 GPO 中在 Intune 中具有相同設定的群組原則設定百分比。

     注意事項

     每當 Microsoft Intune 產品小組對 Intune 中的對應進行變更時，MDM 支援下的百分比會自動更新，以反映這些變更。

   • 未知設定：有些 CSP 無法分析。 未知的設定 會列出無法分析的 GPO。

   • 以 AD 為目標： 是 表示 GPO 連結至內部部署群組原則中的 OU。 否 表示 GPO 未連結至內部部署 OU。

   • 上次匯入：顯示上次匯入的日期。

   您可以 匯入 更多 GPO 進行分析、 重新整理 頁面，以及 篩選 輸出。 您也可以將此檢視 匯出 至 .csv 檔案：

   

6. 選取列出的 GPO 的 MDM 支援 百分比。 顯示 GPO 的詳細資訊：

   • 設定名稱：名稱是使用 GPO 設定中的資訊自動產生的。

   • 群組原則設定類別：顯示 ADMX 設定的設定類別，例如 Internet Explorer 和 Microsoft Edge。 並非所有設定都有設定類別。

   • MDM 支援：

     • 是 表示 Intune 中有可用的相符設定。 您可以在設定目錄中設定此設定。
     • 否 表示 MDM 提供者沒有可用的相符設定，包括 Intune。
     • 其他值：如果您匯入不再支援的舊設定，則工具會建議移轉至較新的支援版本。 如需移轉案例的詳細資訊，請移至 Intune 中匯入的 GPO - 您需要知道的事項。

   • 值：顯示從 GPO 匯入的值。 它顯示不同的值，例如 true、 、 900Enabled、 false等。

   • 範圍：顯示匯入的 GPO 是以使用者為目標還是以裝置為目標。

   • 最低 OS 版本：顯示 GPO 設定套用的最低 Windows OS 版本組建編號。 它可以顯示 18362 (1903) 、 17130 (1803) 和其他 Windows 用戶端版本。

     例如，如果原則設定顯示 18362，則設定支援組建 18362 和較新的組建。

   • CSP 名稱：CSP (設定服務提供者) 會在 Windows 用戶端中公開裝置組態設定。 此資料行會顯示包含設定的 CSP。 例如，您可以看到 Policy、BitLocker、PassportforWork 等等。

     CSP 參考會列出可用的 CSP、顯示支援的 OS 版本等等。

   • CSP 對應：顯示內部部署原則的 OMA-URI 路徑。 您可以在 自訂裝置組態配置檔中使用 OMA-URI。 例如，您可能會看到 ./Device/Vendor/MSFT/BitLocker/RequireDeviceEnryption。

7. 對於具有 MDM 支援的設定，您可以使用這些設定建立設定目錄原則。 如需特定步驟，請移至 使用 Microsoft Intune 中匯入的 GPO 建立設定目錄原則。

匯入時選取範圍標籤

當您匯入 GPO 時，您可以選取現有的範圍標籤。 如果您未選取範圍標籤，則會自動使用 [預設 範圍] 標籤。 只有範圍限定為 預設 範圍標籤的系統管理員才能看到匯入的 GPO。 未限定為 預設範圍標籤 的系統管理員不會看到匯入的 GPO。

此行為適用於您在匯入 GPO 時選取的任何範圍標籤。 系統管理員只有在匯入期間選取其中一個相同的範圍標籤時，才會看到匯入的 GPO。 如果系統管理員沒有範圍標籤，則他們不會在報告或 GPO 清單中看到匯入的 GPO。

例如，系統管理員已 Charlotte將 、 London或 範圍 Boston 標籤指派給其角色：

• 具有 “Charlotte” 範圍標籤的系統管理員會匯入 GPO。
• 在匯入期間，他們會選取「Charlotte」範圍標籤。 「Charlotte」 範圍標籤會套用至匯入的 GPO。
• 所有具有「Charlotte」範圍標籤的管理員都可以看到匯入的物件。
• 只有「倫敦」或只有「波士頓」範圍標籤的管理員無法看到從「夏洛特」管理員匯入的物件。

若要讓系統管理員查看分析或將匯入的 GPO 移轉至 Intune 原則，這些系統管理員必須在匯入期間選取其中一個相同的範圍標籤。

如需範圍標籤的詳細資訊，請移至 分散式 IT 的 RBAC 和範圍標籤。

支援的 CSP 和群組原則

群組原則分析可以剖解析下列 CSP 以取得 MDM 支援：

• 原則 CSP
• PassportForWork CSP
• BitLocker CSP
• 防火牆 CSP
• AppLocker CSP
• 群組原則喜好設定

如果您匯入的 GPO 具有不在支援的 CSP 和群組原則中的設定，則設定可能會列在 [ 未知設定 ] 資料行中。 此行為表示已在您的 GPO 中識別設定。

雖然群組原則分析可以剖析 CSP，但在移轉匯入的 GPO 時，您應該知道一些事項。 如需詳細資訊，請移至 將匯入的 GPO 移轉至設定目錄原則 - 您需要知道的事項。

群組原則移轉整備報告

1. 在 Microsoft Intune 系統管理中心中，選取 [報告] [>裝置管理>] 群組原則分析：

   

2. 在 [摘要 ] 索引標籤中，會顯示 GPO 及其原則的摘要。 使用此資訊來判斷 GPO 中原則的狀態：

   • 已準備好移轉：原則在 Intune 中具有相符的設定，而且已準備好移轉至 Intune。

   • 不支援：原則沒有相符的設定。 一般而言，顯示此狀態的原則設定不會公開給 MDM 提供者，包括 Intune。

   • 已取代：原則可以套用至舊版 Windows 版本、舊版 Microsoft Edge 版本，以及更多不再使用的原則。

     注意事項

     當 Microsoft Intune 產品小組更新對應邏輯時，您匯入的 GPO 會自動更新。 您不需要重新匯入 GPO。

3. 選取 [報表] 索引標籤 > [群組原則移轉整備程度]。 在此報告中，您可以：

   • 查看 GPO 中可在裝置組態配置檔中設定的設定數目。 它也會顯示設定是否可以在自訂設定檔中、不受支援或已被取代。
   • 使用 [移轉整備程度]、[ 設定檔類型] 和 [CSP 名稱] 篩選來篩選報表輸出。
   • 選取 [產生報表] 或 [再次產生] 以取得目前的資料。
   • 請參閱 GPO 中的設定清單。
   • 使用搜尋欄尋找特定設定。
   • 取得上次產生報表的時間戳記。

   注意事項

   新增或移除匯入的 GPO 之後，可能需要大約 20 分鐘的時間來更新移轉整備報告資料。

已知問題

目前，群組原則分析工具僅支援英文的非 ADMX 設定。 如果您匯入具有英文以外語言設定的 GPO，則您的 MDM 支援 百分比不正確。

傳送產品意見反應

您可以提供群組原則分析的意見反應。 在 Microsoft Intune 系統管理中心中，選取 [裝置>] [管理裝置>] [群組原則分析>][取得意見反應]。

反饋區域示例：

• 您在 GPO 匯入或分析期間收到錯誤，而且您需要更具體的資訊。
• 使用群組原則分析在 Microsoft Intune 中尋找支援的群組原則有多容易？
• 此工具是否可協助您將某些工作負載移至 Intune？ 如果是，您正在考慮哪些工作負載？

若要取得客戶體驗的相關資訊，會彙總意見反應，並傳送至 Microsoft。 輸入電子郵件是可選的，可用來取得更多資訊。

隱私權和安全性

客戶資料的任何使用，例如貴組織使用的 GPO，都會彙總。 它不會出售給任何第三方。 此數據可用於在 Microsoft 內做出業務決策。 您的客戶資料會安全儲存。

您可以隨時刪除匯入的 GPO：

1. 移至裝置>管理裝置>群組原則分析。

2. 選取內容功能表 >刪除：

   

後續步驟

• 使用您在 Microsoft Intune 中匯入的 GPO 建立設定目錄原則

另請參閱

深入瞭解 CSP) (設定服務提供者 。