Intune aracılığıyla CSP'yi hedeflemek için OMA-URIs dağıtma ve şirket içiyle karşılaştırma

Bu makalede Windows Yapılandırma Hizmeti Sağlayıcılarının (CSP), Open Mobile Alliance – Tekdüzen Kaynaklar'ın (OMA-URI'ler) önemi ve özel ilkelerin Microsoft Intune ile Windows 10 tabanlı bir cihaza nasıl teslim alındığı açıklanmaktadır.

Intune, bu ilkeleri yapılandırmak için kullanışlı ve kullanımı kolay bir arabirim sağlar. Ancak, tüm ayarların Microsoft Intune yönetim merkezinde mevcut olması gerekmez. Bir Windows cihazında birçok ayar yapılandırılabilir olsa da, bunların tümünün yönetim merkezinde olması mümkün değildir. Ayrıca, ilerlemeler yapıldıkçe, yeni bir ayar eklenmeden önce belirli bir gecikme süresine sahip olmak olağan dışı değildir. Bu senaryolarda, Bir Windows Yapılandırma Hizmeti Sağlayıcısı (CSP) kullanan özel bir OMA-URI profili dağıtmak yanıttır.

CSP kapsamı

CSP'ler, mobil cihaz yönetimi (MDM) sağlayıcıları tarafından cihazdaki yapılandırma ayarlarını okumak, ayarlamak, değiştirmek ve silmek için kullanılan bir arabirimdir. Genellikle, Windows Kayıt Defteri'ndeki anahtarlar ve değerler aracılığıyla yapılır. CSP ilkeleri, bir ilkenin yapılandırılabildiği düzeyi tanımlayan bir kapsama sahiptir. Microsoft Intune yönetim merkezinde bulunan ilkelere benzer. Bazı ilkeler yalnızca cihaz düzeyinde yapılandırılabilir. Bu ilkeler, cihazda kimin oturum açtığından bağımsız olarak geçerlidir. Diğer ilkeler kullanıcı düzeyinde yapılandırılabilir. Bu ilkeler yalnızca o kullanıcı için geçerlidir. Yapılandırma düzeyi, MDM sağlayıcısı tarafından değil platform tarafından belirlenir. Özel bir ilke dağıttığınızda, kullanmak istediğiniz CSP'nin kapsamını bulmak için buraya bakabilirsiniz .

CSP'nin kapsamı önemlidir çünkü kullanmanız gereken OMA-URI dizesinin söz dizimini dikte eder. Örneğin:

Kullanıcı kapsamı

İlkeyi yapılandırmak için ./User/Vendor/MSFT/Policy/Config/AreaName/PolicyName. Sonucu almak için ./User/Vendor/MSFT/Policy/Result/AreaName/PolicyName.

Cihaz kapsamı

İlkeyi yapılandırmak için ./Device/Vendor/MSFT/Policy/Config/AreaName/PolicyName. Sonucu almak için ./Device/Vendor/MSFT/Policy/Result/AreaName/PolicyName.

OMA-URIs

OMA-URI, CSP tarafından desteklenen belirli bir yapılandırma ayarının yoludur.

OMA-URI: Windows 10 tabanlı bir cihaz için özel yapılandırmayı temsil eden bir dizedir. Söz dizimi istemcideki CSP'ler tarafından belirlenir. Her CSP ile ilgili ayrıntıları burada bulabilirsiniz.

Özel bir ilke: Dağıtılacak OMA-URIs içerir. Intune'de yapılandırılır.

Intune: Özel bir ilke oluşturulduktan ve istemci cihazlara atandıktan sonra, Intune OMA-URIs bu Windows istemcilerine gönderen teslim mekanizması olur. Intune bunu yapmak için Open Mobile Alliance Cihaz Yönetimi (OMA-DM) protokollerini kullanır. Bilgileri istemciye göndermek için XML tabanlı SyncML kullanan önceden tanımlanmış bir standarttır.

CSP'ler: OMA-URIs istemciye ulaştıktan sonra CSP bunları okur ve Windows platformunu buna göre yapılandırılır. Genellikle, bunu kayıt defteri değerlerini ekleyerek, okuyarak veya değiştirerek yapar.

Özetlemek gerekirse: OMA-URI yük, özel ilke kapsayıcıdır, Intune bu kapsayıcının teslim mekanizmasıdır, OMA-DM teslim için kullanılan protokoldür ve Windows CSP OMA-URI yükünde yapılandırılan ayarları okur ve uygular.

Diyagram, Windows CSP'nin OMA-URI ayarlarını uyguladığını gösterir.

Bu, Intune tarafından kullanıcı arabiriminde yerleşik olarak bulunan standart cihaz yapılandırma ilkelerini sunmak için kullanılan işlemle aynıdır. OMA-URIs Intune kullanıcı arabirimini kullandığında, kullanıcı dostu yapılandırma arabirimlerinin arkasına gizlenir. Bu, işlemi yönetici için daha kolay ve sezgisel hale getirir. Mümkün olduğunda yerleşik ilke ayarlarını kullanın ve özel OMA-URI ilkelerini yalnızca aksi durumda kullanılamayan seçenekler için kullanın.

Bu işlemi göstermek için, cihazda kilit ekranı görüntüsünü ayarlamak için yerleşik bir ilke kullanabilirsiniz. Ayrıca bir OMA-URI dağıtabilir ve ilgili CSP'yi hedefleyebilirsiniz. Her iki yöntem de aynı sonucu elde eder.

Microsoft Intune yönetim merkezinden OMA-URIs

Cihaz kısıtlamalarını gösteren ekran görüntüsü.

Özel ilke kullanma

Aynı ayar, aşağıdaki OMA-URI kullanılarak doğrudan ayarlanabilir:

./Vendor/MSFT/Policy/Config/DeviceLock/EnforceLockScreenAndLogonImage

Windows CSP başvurusunda belgelenmiştir. OMA-URI'yi belirledikten sonra, bunun için özel bir ilke oluşturun.

Satırı Düzenle ekranındaki OMA-URI Ayarlarının ekran görüntüsü.

Hangi yöntemi kullanırsanız kullanın, sonuç aynıdır.

Oturum açma ekranının ekran görüntüsü.

BitLocker kullanan başka bir örnek aşağıda verilmiştır.

Microsoft Intune yönetim merkezinden özel ilke kullanma

Uç nokta koruma ekranının ekran görüntüsü.

Özel ilke kullanma

CSP'nin OMA-URI yolunun ekran görüntüsü.

Özel OMA-URIs şirket içi dünyayla ilişkilendirme

MDM ilke yapılandırmanızı oluştururken başvuru olarak mevcut grup ilkesi ayarlarınızı kullanabilirsiniz. Kuruluşunuz cihazları yönetmek için MDM'ye geçmek istiyorsa, MDM yönetimine geçiş için nelerin gerekli olduğunu görmek için geçerli grup ilkesi ayarlarını analiz ederek hazırlanmanızı öneririz.

MDM Geçiş Çözümleme Aracı (MMAT), hedeflenen kullanıcı veya bilgisayar için hangi Grup İlkelerinin ayarlandığını belirler. Ardından, MDM eşdeğerlerinde her ilke ayarı için destek düzeyini listeleyen bir rapor oluşturur.

Buluta geçiş yapmadan önce ve sonra grup ilkesi yönleri

Aşağıdaki tabloda, MMAT kullanarak buluta geçiş yapmadan önce ve sonra grup ilkesi farklı yönleri gösterilmektedir.

Şirket içi Bulut
Grup İlkesi MDM
Etki Alanı Denetleyicileri MDM sunucusu (Intune hizmeti)
Sysvol klasörü Intune veritabanı/MSU'lar
GPO'ları işlemek için istemci tarafı uzantısı MDM ilkesini işlemek için CSP'ler
İletişim için kullanılan SMB protokolü İletişim için kullanılan HTTPS protokolü
.pol | .ini file (genellikle giriştir) SyncML, cihazların girişidir

İlke davranışıyla ilgili önemli notlar

İlke MDM sunucusunda değişirse, güncelleştirilmiş ilke cihaza gönderilir ve ayar yeni değere yapılandırılır. Ancak, ilke atamasını kullanıcıdan veya cihazdan kaldırmak ayarı varsayılan değere geri döndürmeyebilir. Atama kaldırıldıktan veya profil silindikten sonra kaldırılan Wi-Fi profilleri, VPN profilleri, sertifika profilleri ve e-posta profilleri gibi birkaç profil vardır. Bu davranış her CSP tarafından denetlendiğinden, ayarlarınızı doğru yönetmek için CSP'nin davranışını anlamaya çalışmanız gerekir. Daha fazla bilgi için bkz. Windows CSP başvurusu.

Hepsini bir araya getirin

Bir Windows cihazında CSP'yi hedeflemek üzere özel bir OMA-URI dağıtmak için özel bir ilke oluşturun. İlke, CSP'de değiştirmek istediğiniz değerle birlikte OMA-URI yolunun yolunu içermelidir (etkinleştirme, devre dışı bırakma, değiştirme veya silme).

Profil oluştur sayfasının ekran görüntüsü. Özel öğe vurgulanır.

Özel ilke oluşturmak için ad açıklaması alanlarını gösteren ekran görüntüsü.

Yapılandırma ayarları ve Satır Ekle sayfalarının ekran görüntüsü.

İlke oluşturulduktan sonra, etkili olması için ilkeyi bir güvenlik grubuna atayın.

Sorun giderme

Özel ilkelerin sorunlarını giderdiğinizde, sorunların çoğunun aşağıdaki kategorilere uygun olduğunu görürsünüz:

  • Özel ilke istemci cihazına ulaşmadı.
  • Özel ilke istemci cihazına ulaştı, ancak beklenen davranış gözlemlenmedi.

Beklendiği gibi çalışmayan bir ilkeniz varsa, ilkenin istemciye ulaşıp ulaşmadığını doğrulayın. Teslimini doğrulamak için denetlenecek iki günlük vardır.

MDM tanılama günlükleri

MDM tanılama günlüklerinin ekran görüntüsü.

Windows olay günlüğü

Windows Olay günlüğünün ekran görüntüsü.

Her iki günlük de dağıtmaya çalıştığınız özel ilkeye veya OMA-URI ayarına başvuru içermelidir. Bu başvuruyu görmüyorsanız, büyük olasılıkla ilke cihaza teslim edilmemiştir. İlkenin doğru yapılandırıldığını ve doğru gruba hedeflendiğini doğrulayın.

İlkenin istemciye ulaştığını doğrularsanız, istemcide DeviceManagement-Enterprise-Diagnostics-Provider > Admin Event log hata olup olmadığını denetleyin. İlkenin neden uygulanmadığı hakkında ek bilgi içeren bir hata girdisi görebilirsiniz. Nedenler farklılık gösterir, ancak özel ilkede yapılandırılan OMA-URI dizesinin söz diziminde sıklıkla bir sorun vardır. CSP başvuruyu bir kez daha denetleyin ve söz diziminin doğru olduğundan emin olun.