Tillämpa funktioner och inställningar på dina enheter med enhetsprofiler i Microsoft Intune

Microsoft Intune innehåller inställningar och funktioner som du kan aktivera eller inaktivera på olika enheter i organisationen. De här inställningarna och funktionerna läggs till i konfigurationsprofiler.

När du konfigurerar enhetsfunktioner med hjälp av konfigurationsprofilen kan du hjälpa slutanvändarna att bli produktiva på sina enheter snabbare.

Du kan skapa profiler för olika enheter och olika plattformar, inklusive Android, iOS/iPadOS, macOS och Windows. Det finns vissa konfigurationsinställningar som är unika för varje plattform. Det är också vanligt att ha många enhetsprofiler för varje plattform, allt från antivirusinställningar till anpassade inställningar.

När profilerna är klara använder du Intune för att tillämpa eller "tilldela" profilen till användargrupper eller enhetsgrupper.

Viktigt

Microsoft Intune upphör stödet för hantering av Android-enhetsadministratörer på enheter med åtkomst till Google Mobile Services (GMS) den 31 december 2024. Efter det datumet är enhetsregistrering, teknisk support, felkorrigeringar och säkerhetskorrigeringar otillgängliga. Om du för närvarande använder hantering av enhetsadministratörer rekommenderar vi att du växlar till ett annat Android-hanteringsalternativ i Intune innan supporten upphör. Mer information finns i Avsluta stöd för Android-enhetsadministratör på GMS-enheter.

Som en del av din MDM-lösning (hantering av mobila enheter) använder du dessa konfigurationsprofiler för att utföra olika uppgifter. Några profilexempel är:

  • Tillåt eller förhindra åtkomst till Bluetooth på enheten.
  • Skapa en WiFi- eller VPN-profil som ger olika enheter åtkomst till företagets nätverk.
  • Hantera programuppdateringar, inklusive när de installeras.
  • Kör en Android-enhet som dedikerad kioskenhet som kan köra en app eller köra många appar.
  • På iOS/iPadOS- och macOS-enheter kan användarna använda AirPrint-skrivare i din organisation.

Tips

Om du hanterar lokala enheter med hjälp av Microsoft Configuration Manager kan du använda samhantering för att koppla dina lokala enheter i molnet. Med samhantering hanterar du Windows-klientenheter med Configuration Manager och Microsoft Intune.

Du kan skapa de enhetsprofiler och principer som du behöver i Intune baserat på principer som du för närvarande har i Configuration Manager. Mer information om samhantering finns i Förstå samhantering med hjälp av Microsoft Configuration Manager. Relaterad information finns i Förbereda Intune för samhantering.

Använda mallar eller inställningskatalogen

I Intune har du för de flesta plattformar två principtyper när du skapar en enhetskonfigurationsprofil: Mallar eller inställningskatalogen.

I inställningskatalogen visas alla inställningar som du kan konfigurera och allt på ett och samma ställe. Mallar innehåller en logisk gruppering av inställningar som konfigurerar en funktion eller ett koncept, till exempel e-post, kioskenheter och enhetens inbyggda programvara.

Intune har många mallar som innehåller grupper av inställningar som fokuserar på olika delar av enhetshantering, inklusive åtkomst till resurser (VPN, Wi-Fi), säkerhet (antivirus, brandvägg, certifikat) och grupprincip-objekt (ADMX administrativa mallar).

Du kan skapa en baslinje med profiler som alla enheter måste ha, eller så kan du konfigurera specifika funktioner baserat på organisationens behov och säkerhetsnivåer. Mer information finns i Skyddsnivåer och konfigurationsnivåer i Microsoft Intune.

Den här artikeln ger en översikt över de olika typer av profiler som du kan skapa. Använd dessa profiler för att tillåta eller förhindra vissa funktioner på enheterna.

Administrativa mallar och grupprinciper

Administrativa mallar innehåller hundratals inställningar som du kan konfigurera för Internet Explorer, Microsoft Edge, OneDrive, fjärrskrivbord, Word, Excel och andra Office-appar. De här mallarna ger administratörer en förenklad vy över inställningar som liknar grupprinciper, och de är 100 % molnbaserade.

grupprincip analys analyserar dina lokala grupprincipobjekt. Det är ett verktyg som hjälper dig att avgöra hur dina grupprincipobjekt översätts i molnet. Utdata visar inaktuella inställningar och inställningar som är tillgängliga (eller inte tillgängliga) för MDM-leverantörer, inklusive Microsoft Intune.

Den här funktionen stöder:

  • Windows 11
  • Windows 10

Certifikat

Du använder certifikat i Intune för att autentisera dina användare så att de kan komma åt program och företagsresurser via VPN-, Wi-Fi- eller e-postprofiler. När du använder certifikat för att autentisera dessa anslutningar behöver slutanvändarna inte ange användarnamn och lösenord.

Certifikat används också för signering och kryptering av e-post med hjälp av S/MIME. Vanliga typer av certifikat som används i Intune är betrodda rotcertifikat, SCEP-certifikat (Simple Certificate Enrollment Protocol) och PKCS-certifikat (Public Key Cryptography Standards).

Den här funktionen stöder:

  • Android-enhetsadministratör
  • Android (AOSP)
  • Android enterprise
  • iOS/iPadOS
  • macOS
  • Windows 11
  • Windows 10
  • Windows 8.1

Anpassad profil

Med anpassade inställningar kan administratörer tilldela enhetsinställningar som inte är inbyggda i Intune. På Android-enheter kan du ange OMA-URI-värden. För iOS/iPadOS-enheter kan du importera en konfigurationsfil som du skapade i Apple Configurator.

Den här funktionen stöder:

  • Android-enhetsadministratör
  • Android enterprise
  • iOS/iPadOS
  • macOS
  • Windows 11
  • Windows 10

Leveransoptimering

Leveransoptimering ger en bättre upplevelse av leveransprogramuppdateringar. De här inställningarna ersätter inställningarna för> Uppdateringar Windows 10 uppdateringsring.

Använd de här inställningarna för att styra hur programuppdateringar laddas ned till enheter i din organisation. Du kan till exempel låta användarna få sina egna uppdateringar eller hämta uppdateringar med hjälp av molntjänsterna för leveransoptimering i en enhetsprofil.

Den här funktionen stöder:

  • Windows 11
  • Windows 10

Härledda autentiseringsuppgifter

Om din organisation använder smartkort för autentisering, signering eller kryptering kan du använda härledda autentiseringsuppgifter. I Intune kan du konfigurera och distribuera ett certifikat som härleds från en användares smartkort. Härledda autentiseringsuppgifter används ofta för Wi-Fi & VPN-anslutningar, app & e-postautentisering eller S/MIME-signering & kryptering.

Intune stöder flera utfärdare av härledda autentiseringsuppgifter. Varje plattform har också en egen uppsättning inställningar.

Den här funktionen stöder:

  • Android enterprise
  • iOS/iPadOS

Enhetsfunktioner

Enhetsfunktioner styr funktioner på iOS/iPadOS- och macOS-enheter, till exempel AirPrint, meddelanden och meddelanden på låsskärmen.

Den här funktionen stöder:

  • iOS/iPadOS
  • macOS

BIOS-konfiguration och DFCI

Med BIOS-konfiguration kan administratörer lösenordsskydda åtkomsten till BIOS och skapa en konfigurationsfil med hjälp av ett OEM-verktyg med de BIOS-inställningar de vill ha. Sedan lägger de till den här konfigurationsfilen i Intune-principen.

Med konfigurationsgränssnittet för inbyggd programvara (DFCI) kan administratörer aktivera eller inaktivera UEFI-inställningar (BIOS) med hjälp av Intune. Använd de här inställningarna för att förbättra säkerheten på den inbyggda programvarans nivå, vilket vanligtvis är mer motståndskraftigt mot skadliga attacker.

Den här funktionen stöder:

  • Windows 11
  • Windows 10

Enhetsbegränsningar

Enhetsbegränsningar styr säkerhet, maskinvara, datadelning och fler inställningar på enheterna. Skapa till exempel en enhetsbegränsningsprofil som hindrar iOS/iPadOS-enhetsanvändare från att använda enhetens kamera.

Det finns också inställningar som hanterar åtkomst till appbutiker, hindrar användare från att visa företagsdokument i ohanterade appar, kräver ett lösenord för att låsa upp enheten eller kräver att enheter endast använder specifika Wi-Fi nätverk.

Den här funktionen stöder:

  • Android-enhetsadministratör
  • Android (AOSP)
  • Android enterprise
  • iOS/iPadOS
  • macOS
  • Windows 11
  • Windows 10
  • Windows 10 Team

Domänanslutning

Domänanslutning konfigurerar lokal Active Directory domäninformation. Den här informationen distribueras till Microsoft Entra hybrid-anslutna enheter när de etableras med Hjälp av Windows Autopilot och Intune. Den här profilen talar om för enheter vilken domän och organisationsenhet som ska anslutas.

Den här funktionen stöder:

  • Windows 11
  • Windows 10

Versionsuppgradering och lägesväxel

Windows 10/11-utgåvan uppgraderar automatiskt enheter som kör vissa versioner av Windows-klienten till en nyare utgåva.

Den här funktionen stöder:

  • Windows 11
  • Windows 10

Education

Utbildningsinställningar – Windows 10 konfigurera alternativ för appen Windows Take a Test. När du konfigurerar de här alternativen kan inga andra appar köras på enheten förrän testet är klart.

Utbildningsinställningar – iOS/iPadOS använder appen iOS/iPadOS Classroom för att vägleda inlärning och kontrollera elevernas enheter i klassrummet. Du kan konfigurera iPad-enheter så att många elever kan dela en enda enhet.

E-post

Email inställningar skapar, tilldelar och övervakar Exchange ActiveSync e-postinställningar på enheterna. Email profiler hjälper till med konsekvens, minskar supportsamtalen och ger slutanvändarna åtkomst till företagets e-post på sina personliga enheter, utan någon nödvändig konfiguration från deras sida.

Den här funktionen stöder:

  • Android-enhetsadministratör
  • Android enterprise
  • iOS/iPadOS
  • Windows 11
  • Windows 10

Slutpunktsskydd

Viktigt

Den här mallen är inaktuell i augusti 2024-tjänstversionen (2408). Befintliga principer fortsätter att fungera. Men du kan inte skapa nya principer med den här mallen.

Använd i stället inställningskatalogen för att skapa nya principer som konfigurerar nyttolasterna FileVault, Firewall och System Policy Control (Gatekeeper). Mer information finns i katalogen för macOS-inställningar.

Endpoint Protection konfigurerar BitLocker- och Microsoft Defender-inställningar för Windows-klientenheter. På macOS-enheter kan du även konfigurera brandväggen, gatewayen och andra resurser.

Information om hur du registrerar Microsoft Defender för Endpoint med Microsoft Intune finns i Konfigurera slutpunkter med hjälp av MDM-verktyg (Mobile Enhetshantering).

Den här funktionen stöder:

  • macOS
  • Windows 11
  • Windows 10

eSIM-mobilnät

Med eSIM-mobilprofiler kan administratörer konfigurera mobila dataplaner på dina hanterade enheter för internet- och dataåtkomst. När du har fått aktiveringskoder från mobiloperatören använder du Intune för att importera dessa aktiveringskoder och tilldelar sedan till dina eSIM-kompatibla enheter.

Den här funktionen stöder:

  • Windows 11
  • Windows 10 Fall Creators Update och senare

Tillägg

Viktigt

Den här mallen är inaktuell i augusti 2024-tjänstversionen (2408). Befintliga principer fortsätter att fungera. Men du kan inte skapa nya principer med den här mallen.

Använd i stället inställningskatalogen för att skapa nya principer som konfigurerar nyttolasten systemtillägg. Mer information finns i katalogen för macOS-inställningar.

Med macOS-systemtillägg och kerneltillägg kan administratörer lägga till funktioner eller program som utökar de inbyggda funktionerna i operativsystemet. Konfigurera de här inställningarna för att lita på alla tillägg från en specifik utvecklare eller partner eller tillåta specifika tillägg.

Den här funktionen stöder:

  • macOS

Kiosk

Profil för inställningar för helskärmsläge konfigurerar en enhet för att köra en app eller köra många appar. Du kan också anpassa andra funktioner i helskärmsläge, inklusive en Start-meny och en webbläsare.

Den här funktionen stöder:

  • Windows 11 (endast helskärmsläge för enskilda appar)
  • Windows 10

Helskärmsinställningar är också tillgängliga som enhetsbegränsningar för Android, Android Enterprise och iOS/iPadOS.

MX-profil (Zebra)

Mobilitetstillägg (MX) utökar de inbyggda Intune-inställningarna för att anpassa eller lägga till fler inställningar som är specifika för Zebra-enheter. Zebra-enheter används ofta på fabriksgolv och i detaljhandelsmiljöer. Om du har hundratals eller tusentals Zebra-enheter kan du använda Intune för att konfigurera och hantera dessa enheter.

Den här funktionen stöder:

  • Android-enhetsadministratör

Microsoft Defender för Endpoint

Microsoft Defender för Endpoint integreras med Intune för att övervaka och skydda enheter. Du anger risknivåer och avgör vad som händer om enheterna överskrider den nivån. När du kombinerar med villkorlig åtkomst kan du förhindra skadlig aktivitet i din organisation.

Den här funktionen stöder:

  • Windows 11
  • Windows 10

Nätverksgräns

Nätverksgränsen skapar en lista över webbplatser som din organisation litar på. Den här funktionen används med Microsoft Defender Application Guard och Microsoft Edge för att skydda dina enheter.

Den här funktionen stöder:

  • Windows 11
  • Windows 10

OEMConfig

OemConfig är en standard på Android Enterprise-enheter . Det gör att OEM-tillverkare (originalutrustningstillverkare) och EMM:er (enterprise mobility management) kan skapa och stödja OEM-specifika funktioner på ett standardiserat sätt.

Med OEMConfig skapar en OEM-tillverkare ett schema som definierar OEM-specifika hanteringsfunktioner och bäddar in den i en app som laddats upp till Google Play. Intune läser schemat från appen och låter Intune administratörer konfigurera inställningarna i schemat.

Den här funktionen stöder:

  • Android Enterprise (OEMConfig)

Inställningsfil

Inställningsfiler på macOS-enheter innehåller information om appar. Du kan till exempel använda inställningsfiler för att styra webbläsarinställningar, anpassa appar med mera.

Den här funktionen stöder:

  • macOS

Tips

macOS-inställningar läggs kontinuerligt till i inställningskatalogen. Vissa av de här inställningarna kan ersätta inställningsfiler. Mer information finns i Uppgifter som du kan slutföra med hjälp av inställningskatalogen i Intune.

Katalog för inställningar

I inställningskatalogen visas alla tillgängliga inställningar som du kan konfigurera och allt på ett och samma ställe. Det är inte en mall eller en logisk gruppering av inställningar. Inställningskatalogen liknar konfigurationen av lokala grupprincip-objekt (GPO), men är molnbaserad.

I Windows finns det tusentals tillgängliga inställningar, inklusive många inställningar som inte finns i mallarna. När du vill ha en fullständig lista över alla inställningar använder du inställningskatalogen för att skapa principen. Om du vill använda en logisk gruppering av inställningar fortsätter du att använda mallarna.

Uppgifter som du kan utföra med hjälp av Intune-inställningskatalogen är en bra resurs.

Den här funktionen stöder:

  • iOS/iPadOS
  • macOS
  • Windows 11
  • Windows 10

Delad enhet för flera användare

Windows 10/11 och Windows Holographic for Business innehåller inställningar för att hantera enheter med flera användare. Dessa enheter kallas delade enheter eller delade datorer. När en användare loggar in på enheten väljer du om användaren kan ändra vilolägesalternativen eller spara filer på enheten. Om du vill spara utrymme i ett annat exempel kan du skapa en profil som tar bort inaktiva autentiseringsuppgifter från Windows HoloLens-enheter.

Med dessa delade enhetsinställningar för flera användare kan administratörer styra vissa av enhetsfunktionerna och hantera dessa delade enheter med hjälp av Intune.

Den här funktionen stöder:

  • Windows 11
  • Windows 10
  • Windows Holographic for Business

Shell-skript

På Linux-enheter kan du lägga till befintliga Bash-skript för att anpassa inställningar och funktioner på dessa enheter. Det här konceptet liknar att skapa en anpassad enhetskonfigurationsprofil och distribuera principen till dina enheter. Med Linux använder du befintliga Bash-skript för att konfigurera funktioner och inställningar som inte är inbyggda i Intune.

På macOS-enheter kan du lägga till befintliga shell-skript och sedan distribuera skripten till dina macOS-enheter.

På Windows-enheter kan du använda Intune-hanteringstillägget för att ladda upp dina PowerShell-skript i Intune och sedan köra skripten på dina enheter. Se även vad som krävs för att använda tillägget, hur du lägger till dem i Intune och annan viktig information.

Den här funktionen stöder:

  • Linux
  • macOS
  • Windows 11
  • Windows 10

Uppdatera principer

Uppdateringsprinciper för iOS/iPadOS visar hur du skapar och tilldelar iOS/iPadOS-principer för att installera programuppdateringar på dina iOS/iPadOS-enheter. Du kan också granska installationsstatusen.

Information om uppdateringsprinciper på Windows-enheter finns i Leveransoptimering.

Den här funktionen stöder:

  • iOS/iPadOS

VPN

VPN-inställningar tilldelar VPN-profiler till användare och enheter i din organisation, så att de enkelt och säkert kan ansluta till nätverket.

Virtuella privata nätverk (VPN) ger användarna säker fjärråtkomst till företagets nätverk. Enheter använder en VPN-anslutningsprofil för att starta en anslutning med VPN-servern.

Den här funktionen stöder:

  • Android-enhetsadministratör
  • Android enterprise
  • iOS/iPadOS
  • macOS
  • Windows 11
  • Windows 10
  • Windows 8.1

Wi-Fi

Wi-Fi-inställningar tilldelar trådlösa nätverksinställningar till användare och enheter. När du tilldelar en WiFi-profil får användarna åtkomst till företagets WiFi utan att behöva konfigurera den själva.

Den här funktionen stöder:

  • Android-enhetsadministratör
  • Android (AOSP)
  • Android enterprise
  • iOS/iPadOS
  • macOS
  • Windows 11
  • Windows 10
  • Windows 8.1 (endast import)

Windows-hälsoövervakning

Med Windows-hälsoövervakning kan Endpoint Analytics samla in och analysera dina händelsedata. Du kan använda dessa data för att få insikter om dina Windows-enheter, inklusive programuppdateringar och startprestanda.

Den här funktionen stöder:

  • Windows 11
  • Windows 10

Kabelanslutna nätverk

Med kabelanslutna nätverk kan du skapa och hantera kabelanslutna 802.1x-anslutningar för macOS- och Windows-skrivbordsdatorer och -enheter. I din profil väljer du nätverksgränssnittet, väljer de godkända EAP-typerna och anger inställningarna för serverförtroende, inklusive PKCS- och SCEP-certifikat.

När du tilldelar profilen får användarna åtkomst till företagets kabelanslutna nätverk utan att behöva konfigurera den själva.

Den här funktionen stöder:

  • macOS
  • Windows 11
  • Windows 10

Zebra Mobility Extensions (MX)

Med Zebra Mobility Extensions (MX) kan administratörer använda och hantera Zebra-enheter i Intune. Du skapar StageNow-profiler med dina inställningar och använder sedan Intune för att tilldela och distribuera dessa profiler till dina Zebra-enheter. StageNow-loggarna och vanliga problem är en bra resurs för att felsöka profiler och se några potentiella problem när du använder StageNow.

Den här funktionen stöder:

  • Android-enhetsadministratör (mobilitetstillägg)

Hantera och felsöka

Hantera dina profiler för att kontrollera statusen för enheter och de tilldelade profilerna. Du kan också lösa konflikter genom att se de inställningar som orsakar en konflikt och de profiler som innehåller de här inställningarna.

Vanliga frågor och beteenden med principer och profiler hjälper administratörer att arbeta med profiler. Den beskriver vad som händer när du tar bort en profil, vad som gör att meddelanden skickas till enheter med mera.

Nästa steg

Välj en profil och kom igång.