Importar e analisar os GPOs no local com a análise da Política de Grupo no Microsoft Intune
Dica
Está à procura de análises de GPO no local? Existem ferramentas disponíveis no Microsoft Security Compliance Toolkit.
O Microsoft Intune tem muitas das mesmas configurações que seus GPOs locais. A análise da Política de Grupo é uma ferramenta no Microsoft Intune que:
- Importa e analisa os seus GPOs no local.
- Mostra as definições que os fornecedores de MDM baseados na cloud suportam, incluindo o Microsoft Intune.
- Mostra as configurações preteridas ou configurações não disponíveis.
- Pode migrar seus GPOs importados para uma política de catálogo de configurações que pode ser implantada em seus dispositivos.
Se a sua organização utilizar GPOs no local para gerir dispositivos Windows 10/11, a análise da Política de Grupo pode ajudar. Com a análise de Política de Grupo, é possível que o Intune possa substituir seus GPOs locais. Os dispositivos Windows 10/11 são inerentemente nativos da nuvem. Portanto, dependendo da configuração, esses dispositivos podem não exigir acesso a um Active Directory local.
Se você estiver pronto para remover a dependência do AD local, analisar seus GPOs com a análise de Política de Grupo é uma boa primeira etapa. Algumas configurações mais antigas não têm suporte ou não se aplicam a dispositivos Windows nativos da nuvem. Depois de analisar os GPOs, sabe as definições que ainda são válidas.
Esse recurso aplica-se a:
- Windows 11
- Windows 10
Este artigo mostra-lhe como exportar os GPOs no local, importar os GPOs para o Intune e rever a análise e os resultados. Para migrar ou transferir os GPOs importados para uma política do Intune, aceda a Criar uma política de Catálogo de Definições com os GPOs importados no Microsoft Intune.
Antes de começar
No centro de administração do Microsoft Intune, inicie sessão como administrador do Intune ou com uma função que tenha as linhas de base de Segurança e a permissão Configuração do Dispositivo . Confira mais informações sobre as funções internas em Controle de acesso baseado em função.
Exportar um GPO como um arquivo XML
Os passos seguintes podem ser diferentes no servidor, consoante a versão de GPMC que estiver a utilizar. Quando exportar o GPO, certifique-se de que exporta como um ficheiro XML.
Em seu computador local, abra o console
Group Policy Management
(GPMC.msc).No console de gerenciamento, expanda seu nome de domínio.
Expanda Objetos de política de grupo para ver todos os GPOs disponíveis.
Clique com o botão direito do mouse no GPO que deseja migrar e escolha Salvar relatório:
Selecione uma pasta de fácil acesso para sua exportação. Em Salvar como tipo, selecione Arquivo XML. Noutro passo, vai adicionar este ficheiro à análise de políticas de grupo no Intune.
Certifique-se de que o arquivo tenha menos de 4 MB e tenha uma codificação Unicode adequada. Se o arquivo exportado for maior que 4 MB, reduza o número de configurações no objeto de política de grupo.
Importe GPOs e execute análises
No centro de administração do Microsoft Intune, selecioneDispositivos>Gerir dispositivos>Análise da Política de Grupo.
Selecione Importar, selecione o ficheiro > XML guardado Seguinte.
Você pode selecionar vários arquivos ao mesmo tempo.
Verifique os tamanhos de seus arquivos XML de GPO individuais. Um único GPO não pode ser maior que 4 MB. Se um único GPO for superior a 4 MB, a importação falhará. Os ficheiros XML sem o fim unicode adequado também falham.
Em Etiquetas de âmbito, selecione a etiqueta de âmbito existente que pretende aplicar ao GPO importado. Se não selecionar uma etiqueta de âmbito existente, a etiqueta Âmbito predefinido é utilizada automaticamente:
Apenas os administradores incluídos nas etiquetas de âmbito que selecionar podem ver o GPO importado. Para obter mais informações sobre etiquetas de âmbito nos GPOs importados, aceda a Selecionar uma etiqueta de âmbito quando importar (neste artigo).
Selecione Avançar>Criar.
Quando seleciona Criar, o Intune analisa automaticamente o GPO no ficheiro XML.
Após a execução da análise, o GPO que você importou é listado com as seguintes informações:
Nome da Política de Grupo: o nome é gerado automaticamente usando as informações na configuração do GPO.
Destino do Active Directory: o destino é gerado automaticamente usando as informações de destino da UO (unidade organizacional) no GPO.
Suporte do MDM: mostra o percentual das configurações da política de grupo no GPO que tem a mesma configuração no Intune.
Observação
Sempre que a equipe do produto Microsoft Intune faz alterações no mapeamento no Intune, a porcentagem em Suporte MDM é atualizada automaticamente para refletir essas alterações.
Configurações Desconhecidas: Existem alguns CSPs que não podem ser analisados. Configurações Desconhecidas lista os GPOs que não podem ser analisados.
Direcionado ao AD: Sim significa que o GPO está vinculado a uma UO na política de grupo local. Não significa que o GPO não está vinculado a uma UO local.
Último importado: mostra a data da última importação.
Você pode Importar mais GPOs para análise, Atualizar a página e Filtrar a saída. Você também pode Exportar essa exibição para um arquivo
.csv
:Selecione o percentual de Suporte a MDM para um GPO listado. Informações mais detalhadas sobre o GPO são exibidas:
Nome da Configuração: o nome é gerado automaticamente usando as informações na configuração do GPO.
Categoria de Configuração de Política de Grupo: mostra a categoria de configuração para configurações ADMX, como Internet Explorer e Microsoft Edge. Nem todas as configurações têm uma categoria.
Suporte do MDM:
- Sim significa que existe uma definição correspondente disponível no Intune. Você pode definir essa configuração no Catálogo de Configurações.
- Não significa que não há nenhuma configuração correspondente disponível para provedores do MDM, incluindo o Intune.
- Outros valores: se importar definições mais antigas que já não são suportadas, a ferramenta sugere migrar para uma versão suportada mais recente. Para obter mais informações sobre cenários de migração, aceda a GPOs importados no Intune – O que precisa de saber.
Valor: mostra o valor importado do GPO. Diferentes valores são exibidos, como
true
,900
,Enabled
,false
e assim por diante.Escopo: mostra se o GPO importado é destinado a usuários ou dispositivos.
Versão Mínima do SO: mostra os números mínimos de build da versão do Sistema Operacional do Windows que a configuração do GPO se aplica. Pode mostrar
18362
(1903),17130
(1803) e outras versões do cliente Windows.Por exemplo, se uma configuração de política mostrar
18362
, a configuração oferecerá suporte ao build18362
e a builds mais recentes.Nome do CSP: Um Provedor de Serviços de Configuração (CSP) expõe as configurações do dispositivo Windows cliente. Essa coluna mostra o CSP que inclui a configuração. Por exemplo, pode ver Política, BitLocker, PassportforWork, etc.
A referência do CSP lista os CSPs disponíveis, mostra as edições suportadas do SO e muito mais.
Mapeamento CSP: mostra o caminho OMA-URI para a política local. Você pode usar o OMA-URI em um perfil de configuração de dispositivo personalizado. Por exemplo, poderá ver
./Device/Vendor/MSFT/BitLocker/RequireDeviceEnryption
.
Você pode criar uma política de Catálogo de Configurações para as que têm suporte para MDM. Para obter os passos específicos, aceda a Criar uma política de Catálogo de Definições com os GPOs importados no Microsoft Intune.
Selecionar uma etiqueta de âmbito ao importar
Quando importa um GPO, pode selecionar etiquetas de âmbito existentes. Se não selecionar uma etiqueta de âmbito, a etiqueta Âmbito predefinido é utilizada automaticamente. Apenas os administradores no âmbito da etiqueta Âmbito predefinido podem ver o GPO importado. Os administradores que não estão no âmbito da etiqueta Âmbito predefinido não veem o GPO importado.
Este comportamento aplica-se a qualquer etiqueta de âmbito que selecionar quando importa um GPO. Os administradores só veem os GPOs importados se tiverem uma das mesmas etiquetas de âmbito selecionadas durante a importação. Se um administrador não tiver a etiqueta de âmbito, não verá o GPO importado no relatório ou na lista de GPOs.
Por exemplo, os administradores têm Charlotte
etiquetas de âmbito , London
ou Boston
atribuídas à respetiva função:
- Um administrador com a etiqueta de âmbito "Charlotte" importa um GPO.
- Durante a importação, selecionam a etiqueta de âmbito "Charlotte". A etiqueta de âmbito "Charlotte" é aplicada ao GPO importado.
- Todos os administradores com a etiqueta de âmbito "Charlotte" podem ver o objeto importado.
- Os administradores com apenas as etiquetas de âmbito "Londres" ou apenas "Boston" não conseguem ver o objeto importado do administrador "Charlotte".
Para os administradores verem a análise ou migrarem o GPO importado para uma política do Intune, estes administradores têm de ter uma das mesmas etiquetas de âmbito selecionadas durante a importação.
Para obter mais informações sobre etiquetas de âmbito, aceda a RBAC e etiquetas de âmbito para TI distribuídas.
CSPs e políticas de grupo com suporte
A análise da Política de Grupo pode analisar os seguintes CSPs para suporte de MDM:
- CSP da Política
- CSP PassportForWork
- CSP do BitLocker
- CSP do Firewall
- CSP do AppLocker
- Política de Grupo Preferências
Se o GPO importado tiver definições que não estão nos CSPs e Políticas de Grupo suportados, as definições poderão estar listadas na coluna Definições Desconhecidas . Esse comportamento significa que as configurações foram identificadas em seu GPO.
Embora a análise da Política de Grupo possa analisar os CSPs, existem alguns aspetos que deve saber ao migrar os GPOs importados. Para obter mais informações, aceda a Migrar o GPO importado para uma política de Catálogo de Definições – O que precisa de saber.
Relatório de preparação para migração da Política de Grupo
No centro de administração do Microsoft Intune, selecioneRelatórios> Análise depolíticas do Grupo deGestão> de dispositivos:
A guia Resumo exibe um resumo do GPO e das políticas dele. Use estas informações para determinar o status das políticas em seu GPO:
Pronto para migração: a política tem uma configuração de correspondência no Intune e está pronta para ser migrada para o Intune.
Sem suporte: a política não tem uma configuração correspondente. Normalmente, as configurações de política que mostram esse status não são expostas aos provedores de MDM, o que inclui o Intune.
Preterido: a política pode aplicar-se a versões mais antigas do Windows, versões mais antigas do Microsoft Edge e a mais políticas que já não são utilizadas.
Observação
Quando a equipe de produto do Microsoft Intune atualiza a lógica de mapeamento, seus GPOs importados são atualizados automaticamente. Você não precisa reimportar seus GPOs.
Selecione o separador RelatóriosPreparação da migração da política de grupo>. Nesse relatório, você pode:
- Veja o número de definições no GPO que podem ser configuradas num perfil de configuração de dispositivo. Também mostra se as configurações podem estar em um perfil personalizado, não são suportado ou estão obsoletas.
- Filtre a saída do relatório usando os filtros Preparação para Migração, Tipo de perfil e Nome do CSP.
- Selecione Gerar relatório ou Gerar novamente para obter os dados atuais.
- Confira a lista de configurações em seu GPO.
- Use a barra de pesquisa para encontrar configurações específicas.
- Obtenha um carimbo de data/hora de quando o relatório foi gerado pela última vez.
Observação
Depois de adicionar ou remover os GPOs importados, os dados dos relatórios de Preparação para Migração podem levar cerca de 20 minutos para serem atualizados.
Problemas conhecidos
Atualmente, a ferramenta de análise da Política de Grupo só suporta definições não ADMX no idioma inglês. Se importar um GPO com definições em idiomas que não sejam o inglês, a percentagem de Suporte de MDM é imprecisa.
Enviar comentários sobre o produto
Você pode fornecer comentários sobre a Análise da Política de Grupo. No centro de administração do Microsoft Intune, selecioneDispositivos>Gerir dispositivos> Análise daPolítica> de GrupoObteve feedback.
Exemplos de áreas de comentários:
- Você recebeu erros durante a importação ou a análise do GPO e precisa de informações mais específicas.
- É fácil usar a análise de Política de Grupo para encontrar as políticas de grupo compatíveis no Microsoft Intune?
- Esta ferramenta irá ajudá-lo a mover algumas cargas de trabalho para o Intune? Em caso afirmativo, quais cargas de trabalho você está considerando?
Para saber mais sobre a experiência do cliente, os comentários são agregados e enviados à Microsoft. A introdução de um e-mail é opcional e pode ser utilizada para obter mais informações.
Privacidade e segurança
Qualquer utilização dos dados do cliente, como os GPOs que a sua organização utiliza, é agregada. Eles não serão vendidos a terceiros. Esses dados podem ser usados para decisões de negócios na Microsoft. Os dados do cliente são armazenados com segurança.
Você pode excluir GPOs importados a qualquer momento:
Aceda a Dispositivos>Gerir dispositivos>Análise da Política de Grupo.
Selecione o menu de > contexto Eliminar:
Próximas etapas
Confira também
Saiba mais sobre CSP (Provedores de Serviços de Configuração).