Bereitstellen OMA-URIs für einen CSP über Intune und einen Vergleich mit der lokalen Umgebung

Dieser Artikel beschreibt die Bedeutung von Windows Configuration Service Providers (CSPs), Open Mobile Alliance – Uniform Resources (OMA-URIs) und wie benutzerdefinierte Richtlinien an ein Windows 10-basiertes Gerät mit Microsoft Intune übermittelt werden.

Intune bietet eine komfortable und benutzerfreundliche Schnittstelle zum Konfigurieren dieser Richtlinien. Allerdings sind nicht unbedingt alle Einstellungen im Microsoft Intune Admin Center verfügbar. Obwohl viele Einstellungen potenziell auf einem Windows-Gerät konfiguriert werden können, ist es nicht möglich, alle einstellungen im Admin Center zu verwenden. Außerdem ist es bei fortschritten nicht ungewöhnlich, dass es eine gewisse Verzögerung gibt, bevor eine neue Einstellung hinzugefügt wird. In diesen Szenarien ist die Bereitstellung eines benutzerdefinierten OMA-URI-Profils, das einen Windows-Konfigurationsdienstanbieter (Configuration Service Provider, CSP) verwendet, die Antwort.

CSP-Bereich

CSPs sind eine Schnittstelle, die von MDM-Anbietern (Mobile Device Management) verwendet wird, um Konfigurationseinstellungen auf dem Gerät zu lesen, festzulegen, zu ändern und zu löschen. In der Regel erfolgt dies über Schlüssel und Werte in der Windows-Registrierung. CSP-Richtlinien verfügen über einen Bereich, der die Ebene definiert, auf der eine Richtlinie konfiguriert werden kann. Sie ähnelt den Richtlinien, die im Microsoft Intune Admin Center verfügbar sind. Einige Richtlinien können nur auf Geräteebene konfiguriert werden. Diese Richtlinien gelten unabhängig davon, wer beim Gerät angemeldet ist. Andere Richtlinien können auf Benutzerebene konfiguriert werden. Diese Richtlinien gelten nur für diesen Benutzer. Die Konfigurationsebene wird von der Plattform vorgegeben, nicht vom MDM-Anbieter. Wenn Sie eine benutzerdefinierte Richtlinie bereitstellen, können Sie hier nach dem Umfang des CSP suchen, den Sie verwenden möchten.

Der Umfang des CSP ist wichtig, da er die Syntax der OMA-URI-Zeichenfolge vorgibt, die Sie verwenden sollten. Zum Beispiel:

Benutzerbereich

./User/Vendor/MSFT/Policy/Config/AreaName/PolicyName zum Konfigurieren der Richtlinie. ./User/Vendor/MSFT/Policy/Result/AreaName/PolicyName, um das Ergebnis zu erhalten.

Gerätebereich

./Device/Vendor/MSFT/Policy/Config/AreaName/PolicyName zum Konfigurieren der Richtlinie. ./Device/Vendor/MSFT/Policy/Result/AreaName/PolicyName, um das Ergebnis zu erhalten.

OMA-URIs

Der OMA-URI ist ein Pfad zu einer bestimmten Konfigurationseinstellung, die von einem CSP unterstützt wird.

Der OMA-URI: Hierbei handelt es sich um eine Zeichenfolge, die eine benutzerdefinierte Konfiguration für ein Windows 10-basiertes Gerät darstellt. Die Syntax wird durch die CSPs auf dem Client bestimmt. Details zu den einzelnen CSP finden Sie hier.

Eine benutzerdefinierte Richtlinie: Sie enthält die bereitzustellende OMA-URIs. Sie wird in Intune konfiguriert.

Intune: Nachdem eine benutzerdefinierte Richtlinie erstellt und Clientgeräten zugewiesen wurde, wird Intune zum Übermittlungsmechanismus, der die OMA-URIs an diese Windows-Clients sendet. Intune verwendet hierfür das OMA-DM-Protokoll (Open Mobile Alliance Geräteverwaltung). Dabei handelt es sich um einen vordefinierten Standard, der XML-basiertes SyncML verwendet, um die Informationen an den Client zu pushen.

CSPs: Nachdem die OMA-URIs den Client erreicht haben, liest der CSP sie vor und konfiguriert die Windows-Plattform entsprechend. In der Regel erfolgt dies durch Hinzufügen, Lesen oder Ändern von Registrierungswerten.

Kurz gesagt: Der OMA-URI ist die Nutzlast, die benutzerdefinierte Richtlinie ist der Container, Intune der Übermittlungsmechanismus für diesen Container ist, OMA-DM ist das Protokoll, das für die Übermittlung verwendet wird, und der Windows-CSP liest und wendet die Einstellungen an, die in der OMA-URI-Nutzlast konfiguriert sind.

Diagramm: Windows CSP wendet OMA-URI-Einstellungen an.

Dies ist der gleiche Prozess, der von Intune verwendet wird, um die Standardgerätekonfigurationsrichtlinien bereitzustellen, die bereits in die Benutzeroberfläche integriert sind. Wenn OMA-URIs die Intune-Benutzeroberfläche verwenden, sind sie hinter benutzerfreundlichen Konfigurationsschnittstellen verborgen. Dadurch wird der Prozess für den Administrator einfacher und intuitiver. Verwenden Sie nach Möglichkeit die integrierten Richtlinieneinstellungen, und verwenden Sie benutzerdefinierte OMA-URI-Richtlinien nur für Optionen, die andernfalls nicht verfügbar sind.

Um diesen Vorgang zu veranschaulichen, können Sie eine integrierte Richtlinie verwenden, um das Sperrbildschirmbild auf einem Gerät festzulegen. Sie können auch einen OMA-URI bereitstellen und den relevanten CSP als Ziel verwenden. Beide Methoden erzielen das gleiche Ergebnis.

OMA-URIs aus dem Microsoft Intune Admin Center

Screenshot: Geräteeinschränkungen

Verwenden einer benutzerdefinierten Richtlinie

Dieselbe Einstellung kann direkt mithilfe des folgenden OMA-URI festgelegt werden:

./Vendor/MSFT/Policy/Config/DeviceLock/EnforceLockScreenAndLogonImage

Dies ist in der Windows CSP-Referenz dokumentiert. Nachdem Sie den OMA-URI ermittelt haben, erstellen Sie eine benutzerdefinierte Richtlinie dafür.

Screenshot der OMA-URI-Einstellungen auf dem Bildschirm

Unabhängig davon, welche Methode Sie verwenden, ist das Endergebnis identisch.

Screenshot des Anmeldebildschirms.

Hier ist ein weiteres Beispiel, das BitLocker verwendet.

Verwenden einer benutzerdefinierten Richtlinie aus dem Microsoft Intune Admin Center

Screenshot des Endpoint Protection-Bildschirms.

Verwenden einer benutzerdefinierten Richtlinie

Screenshot des OMA-URI-Pfads zum CSP.

Verknüpfen von benutzerdefinierten OMA-URIs mit der lokalen Welt

Sie können Ihre vorhandenen Gruppenrichtlinie-Einstellungen als Referenz verwenden, wenn Sie Ihre MDM-Richtlinienkonfiguration erstellen. Wenn Ihr organization zu MDM wechseln möchte, um Geräte zu verwalten, empfehlen wir Ihnen, die aktuellen Gruppenrichtlinie-Einstellungen zu analysieren, um zu ermitteln, was für den Übergang zur MDM-Verwaltung erforderlich ist.

Das MDM Migration Analysis Tool (MMAT) bestimmt, welche Gruppenrichtlinien für einen Zielbenutzer oder -computer festgelegt wurden. Anschließend wird ein Bericht generiert, der die Unterstützungsebene für jede Richtlinieneinstellung in MDM-Entsprechungen auflistet.

Aspekte Ihrer Gruppenrichtlinie vor und nach der Migration in die Cloud

In der folgenden Tabelle werden die verschiedenen Aspekte Ihrer Gruppenrichtlinie sowohl vor als auch nach der Migration zur Cloud mithilfe der MMAT aufgeführt.

Lokal Cloud
Gruppenrichtlinien MDM
Domänencontroller MDM-Server (Intune-Dienst)
Sysvol-Ordner Intune-Datenbank/MSUs
Clientseitige Erweiterung zum Verarbeiten des Gruppenrichtlinienobjekts CSPs zum Verarbeiten der MDM-Richtlinie
Für die Kommunikation verwendete SMB-Protokoll Für die Kommunikation verwendetes HTTPS-Protokoll
.pol | .ini -Datei (normalerweise die Eingabe) SyncML ist die Eingabe für die Geräte.

Wichtige Hinweise zum Richtlinienverhalten

Wenn sich die Richtlinie auf dem MDM-Server ändert, wird die aktualisierte Richtlinie per Push an das Gerät übertragen, und die Einstellung wird auf den neuen Wert konfiguriert. Wenn Sie jedoch die Zuweisung der Richtlinie für den Benutzer oder das Gerät entfernen, wird die Einstellung möglicherweise nicht auf den Standardwert rückgängig machen. Es gibt einige Profile, die entfernt werden, nachdem die Zuweisung entfernt oder das Profil gelöscht wurde, z. B. Wi-Fi Profile, VPN-Profile, Zertifikatprofile und E-Mail-Profile. Da dieses Verhalten von jedem CSP gesteuert wird, sollten Sie versuchen, das Verhalten des CSP zu verstehen, um Ihre Einstellungen ordnungsgemäß zu verwalten. Weitere Informationen finden Sie unter Windows CSP-Referenz.

Alles zusammensetzen

Um einen benutzerdefinierten OMA-URI für einen CSP auf einem Windows-Gerät bereitzustellen, erstellen Sie eine benutzerdefinierte Richtlinie. Die Richtlinie muss den Pfad zum OMA-URI-Pfad zusammen mit dem Wert enthalten, den Sie im CSP ändern möchten (Aktivieren, Deaktivieren, Ändern oder Löschen).

Screenshot der Seite

Screenshot: Felder für die Namensbeschreibung zum Erstellen einer benutzerdefinierten Richtlinie

Screenshot der Seiten

Nachdem die Richtlinie erstellt wurde, weisen Sie sie einer Sicherheitsgruppe zu, damit sie wirksam wird.

Troubleshooting

Wenn Sie probleme mit benutzerdefinierten Richtlinien behandeln, werden Sie feststellen, dass die meisten Probleme in die folgenden Kategorien passen:

  • Die benutzerdefinierte Richtlinie hat das Clientgerät nicht erreicht.
  • Die benutzerdefinierte Richtlinie hat das Clientgerät erreicht, aber das erwartete Verhalten wird nicht beobachtet.

Wenn Sie über eine Richtlinie verfügen, die nicht wie erwartet funktioniert, überprüfen Sie, ob die Richtlinie den Client überhaupt erreicht hat. Es gibt zwei Protokolle, die überprüft werden müssen, um die Übermittlung zu überprüfen.

MDM-Diagnoseprotokolle

Screenshot der MDM-Diagnoseprotokolle.

Das Windows-Ereignisprotokoll

Screenshot des Windows-Ereignisprotokolls.

Beide Protokolle sollten einen Verweis auf die benutzerdefinierte Richtlinie oder OMA-URI-Einstellung enthalten, die Sie bereitstellen möchten. Wenn dieser Verweis nicht angezeigt wird, wurde die Richtlinie wahrscheinlich nicht an das Gerät übermittelt. Stellen Sie sicher, dass die Richtlinie ordnungsgemäß konfiguriert ist und auf die richtige Gruppe ausgerichtet ist.

Wenn Sie überprüfen, ob die Richtlinie den Client erreicht, überprüfen Sie auf dem Client auf DeviceManagement-Enterprise-Diagnostics-Provider > Admin Event log Fehler. Möglicherweise wird ein Fehlereintrag angezeigt, der zusätzliche Informationen darüber enthält, warum die Richtlinie nicht angewendet wurde. Die Ursachen variieren, aber es gibt häufig ein Problem in der Syntax der OMA-URI-Zeichenfolge, die in der benutzerdefinierten Richtlinie konfiguriert ist. Überprüfen Sie den CSP-Verweis, und stellen Sie sicher, dass die Syntax korrekt ist.