Mae Intune yn cynnwys llawer o bolisïau y gellir eu cyfuno i greu’r sefyllfa a ddymunir. Defnyddir y polisïau hyn i gymhwyso gosodiadau ffurfweddu i grwpiau defnyddwyr neu ddyfeisiau, gan gynnwys cyfyngiadau dyfais, diweddariadau meddalwedd, a llawer mwy.
Dylid enwi polisïau’r ddyfais yn briodol, wedi’u rhagddodi â rhif yr ALl neu’r Ysgol i nodi i bwy mae’n perthyn a beth mae’n ei wneud. Mae tagiau cwmpas wedi’u cyflwyno fel mai dim ond y gweinyddwyr priodol sy’n gallu eu gweld a’u golygu.
Mae’r polisïau hyn yn cynnwys rheolau a gosodiadau y mae’n rhaid i ddyfeisiau eu bodloni er mwyn ystyried eu bod yn cydymffurfio, megis nodi bod rhaid i ddyfais gael fersiwn benodol o OS yn y man lleiaf gyda’r wal dân a gwrthfeirws cyfredol wedi’i alluogi.
Mae angen polisi cydymffurfio ar gyfer pob math o ddyfais – Windows, iPad, a Mac. Heb bolisi cydymffurfio, bydd y ddyfais hefyd yn cael ei marcio fel un nad yw’n cydymffurfio. Efallai y bydd gan ddyfeisiau nad ydynt yn cydymffurfio fynediad cyfyngedig i adnoddau’r cwmni, ac yn dibynnu ar y camau gweithredu a nodir yn y polisi, gellir eu cloi neu eu hymddeol.
Cyfrifoldeb yr awdurdod lleol (neu’r ysgol) yw penderfynu ar y gofynion cydymffurfio a ffurfweddu’r polisïau priodol.
Mae’r polisïau hyn yn rheoli nodweddion a gosodiadau ar ddyfeisiau, gan gynnwys cyfyngiadau dyfeisiau (fel analluogi mynediad i’r camera), ffurfweddu apiau (megis symud ffolderi hysbys ar gyfer OneDrive yn awtomatig ar ddyfeisiau Windows), defnyddio cysylltiadau Wi-Fi, a llawer mwy.
Argymhellir creu proffil ffurfweddu newydd ar gyfer gosodiadau ‘digyswllt’ - er enghraifft, gallai gosodiadau ar gyfer OneDrive i gyd fynd yn yr un proffil ond dylai gosodiad i newid y papur wal fynd mewn un ar wahân. Mae hyn yn creu mwy o hyblygrwydd wrth gyflwyno gosodiadau i grwpiau lluosog â gofynion gwahanol.
Gwybodaeth
Er bod gosodiadau mewn proffil ffurfweddu yn cael eu hetifeddu nid oes unrhyw ymdeimlad o gyn-sail, felly os yw gosodiad yn cael ei gyflwyno i’r un grŵp â gwerthoedd gwahanol, yna bydd gwrthdaro yn digwydd. Gellir ymchwilio i wrthdaro trwy’r ddewislen Monitor yn Intune.
Yn Intune for Education, gellir cymhwyso gosodiadau dyfeisiau trwy fynd i Groups, dewis y grŵp targed o’r hierarchaeth, a thoglo’r rheolaethau a ddymunir.
Mae Intune for Education yn cynnig is-set symlach o osodiadau ar gyfer dyfeisiau Windows ac iOS, ond gellir ffurfweddu gosodiadau mwy cynhwysfawr ar gyfer polisïau hen a newydd yn Intune.
Bydd newid gosodiadau dyfeisiau yn Intune for Education yn torri’r etifeddiad, a bydd y sgrin yn dangos neges i nodi hyn. Mae hyn yn arwain at greu proffil newydd yn Intune ac ychwanegir y neilltuad eithriedig i’r grŵp yn neilltuad y rhiant-grŵp.
Set bolisi yw grŵp o bolisïau, apiau a phroffiliau ffurfweddu. Yn hytrach na neilltuo polisïau ac apiau unigol i sawl grŵp o ddyfeisiau/defnyddwyr, mae set bolisi yn eich galluogi i ddewis sawl gwrthrych gwahanol a’u neilltuo i gyd unwaith o un lle. Gellir newid set bolisi wrth i’ch anghenion newid, gan ychwanegu neu ddileu eitemau a neilltuadau, yn hytrach na gorfod diweddaru pob polisi neu ap unigol. Mae hyn yn symleiddio neilltuo set safonol o eitemau ffurfweddu i sawl ysgol, fel gosodiadau ysgolion cynradd, ac yn ei gwneud hi’n haws adolygu a rheoli’r neilltuadau.
Mae Intune yn darparu 3 gosodiad i ryddhau a chynnal diweddariadau Windows trwy’r gwasanaeth Windows Update for Business (WUfB), sy’n helpu i gadw dyfeisiau’n gyfredol ac yn ddiogel ar draws y wefan.
Defnyddir Update Rings neu gylchoedd diweddaru i reoli sut a phryd mae Windows Updates yn chwilio am ac yn diweddaru’r dyfeisiau gydag unrhyw ddiweddariadau ansawdd a nodweddion coll.
Gallwch oedi, dadosod neu ddileu’r polisi hwn (Pause, Uninstall, Delete).
Bydd oedi yn atal dyfeisiau rhag derbyn diweddariadau am hyd at 35 diwrnod. Bydd y polisi yn ailddechrau ar ôl y cyfnod hwn neu gellir ei ailddechrau’n uniongyrchol unrhyw bryd cyn hynny.
Bydd dadosod yn dileu’r diweddariad nodwedd neu ansawdd diweddaraf.
Bydd dileu yn atal gorfodi gosodiadau o’r cylch diweddaru trwy gael gwared ar y polisi o Intune fel nad yw’n berthnasol mwyach. Fodd bynnag, nid yw hyn yn addasu unrhyw osodiadau ar ddyfais y mae’r polisi eisoes wedi’i gymhwyso iddo.
Gallwch hefyd ddefnyddio cylchoedd diweddaru i uwchraddio dyfeisiau Windows 10 cymwys i Windows 11 trwy alluogi’r togl 'Upgrade Windows 10 devices to Latest Windows 11 release'. Os byddwch chi’n penderfynu newid hyn i 'No' maes o law, yna bydd unrhyw ddyfais sydd eisoes ar Windows 11 neu yn y broses o uwchraddio yn parhau i wneud hynny. Hefyd, rhagofyniad defnyddio’r nodwedd hon yw cael Telemetreg wedi’i droi ymlaen, y gellir ei osod yn y polisi ‘Device restriction’ dan Reporting and Telemetry. Gwnewch yn siŵr bod y gosodiad 'Share usage data setting' wedi’i osod i 'Required' yn y man lleiaf.
Defnyddir diweddaru nodweddion i reoli pa fersiwn o Windows yr hoffech osod eich dyfeisiau arni er mwyn ei hatal rhag diweddaru i fersiwn fwy newydd. Mae’r gosodiad hwn yn gweithio gyda’r polisi cylchoedd diweddaru i sicrhau nad yw dyfeisiau’n derbyn fersiwn ddiweddarach na’r hyn a nodir. Gellir creu polisïau lluosog i dargedu grwpiau gwahanol o ddyfeisiau at ddibenion fel cadw dyfeisiau ar fersiwn flaenorol wrth brofi fersiwn newydd ar grŵp arall o ddyfeisiau.
Ni fydd dyfeisiau yn gosod nac yn diweddaru i fersiwn fwy newydd o Windows heibio’r hyn a osodir yn y polisi hwn. Er enghraifft, os oes fersiwn 24H1 wedi’i rhyddhau a bod eich polisi wedi’i osod i 23H2, bydd dyfeisiau’n aros yn 23H2. Rhaid i chi ddiwygio’r polisi i’r fersiwn fwy newydd i ganiatáu diweddaru.
Mae diweddariadau ansawdd yn ddefnyddiol i ryddhau diweddariadau diogelwch i’ch dyfeisiau yn gyflym heb orfod aros i’r ddyfais wirio am ddiweddariadau. Mae hyn yn annibynnol ar bolisïau diweddaru eraill, gan anwybyddu unrhyw ohirio, ac mae’n ddefnyddiol ar gyfer cyflymu clytiau wythnosol neu ddiweddariadau critigol ar gyfer ‘gwall diwrnod sero’.
Bydd diweddariad ansawdd yn berthnasol dim ond os yw’r fersiwn o Windows sydd wedi’i gosod ar hyn o bryd yn llai na’r hyn a ddewisir yn y polisi, sy’n golygu nad yw unrhyw ddyfais sydd eisoes â’r fersiwn hon neu fersiwn ddiweddarach wedi’i chymhwyso yn cael y diweddariad eto.
Dim ond y 3 diweddariad ansawdd diwethaf sydd ar gael, wedi’u gwahaniaethu yn ôl dyddiad i’ch galluogi i sicrhau bod y fersiwn gywir yn cael ei chymhwyso. Er bod y diweddariadau hyn yn berthnasol i bob fersiwn o Windows 10 neu ddiweddarach, er hwylustod dewis, dim ond y diweddariadau cyfatebol ar gyfer y fersiwn o Windows sydd ar y ddyfais fydd yn cael eu gosod. Er enghraifft, os yw dyfais ar Windows 11 22H2, dim ond diweddariadau ansawdd ar gyfer 22H2 fydd yn cael eu gwneud.
Defnyddiwch y polisi hwn yn ofalus, gan y bydd dyfeisiau’n cael eu gorfodi i osod heb unrhyw rybudd ymlaen llaw i ddefnyddwyr terfynol.
Mae’r polisïau hyn yn defnyddio WUfB i nodi gyrwyr priodol ar gyfer y dyfeisiau y maent yn cael eu cymhwyso iddynt. Mae dau opsiwn ar gyfer polisi diweddaru gyrwyr:
Cymeradwyo a defnyddio diweddariadau gyrwyr â llaw – mae angen i yrwyr a argymhellir gael eu hadolygu a’u cymeradwyo cyn iddynt gael eu gosod. Rhaid gwneud hyn ar gyfer unrhyw yrwyr newydd, gan gynnwys rhai sy’n disodli rhai sydd eisoes wedi’u cymeradwyo.
Cymeradwyo pob diweddariad gyrrwr a argymhellir yn awtomatig – gosod yr holl yrwyr a argymhellir yn awtomatig. Mae unrhyw fersiynau mwy newydd o’r gyrwyr yn cael eu gosod yn awtomatig.
Rhagofyniad defnyddio’r nodwedd hon yw switsio’r Delemetreg ymlaen, y gellir ei osod yn y polisi ‘Device restriction policy’ o dan ‘Reporting and Telemetry’. Gwnewch yn siŵr bod y gosodiad 'Share usage data setting' wedi’i osod i 'Required yn y man lleiaf.
Polisïau diweddaru Apple
Mae polisïau diweddaru ar gael ar gyfer dyfeisiau iOS/iPadOS a MacOS cofrestredig. Gallwch greu polisi i bennu pa ddiweddariadau y dylid eu gosod a phryd (wrth fewngofnodi nesaf, neu yn ystod/y tu allan i gyfnod a drefnwyd).
Polisïau diweddaru MacOS Gellir defnyddio’r rhain i nodi pa gamau i’w cymryd gyda phob math o ddiweddariad, yn hytrach na pha fersiwn. Er enghraifft, gallech ddewis gosod diweddariadau critigol ar unwaith (gan anwybyddu’r amserlen) ond dim ond lawrlwytho cadarnwedd fel y gall y defnyddiwr ei gosod wrth ei bwysau. Manage macOS software update policies in Intune | Microsoft Learn
Ar gyfer dyfeisiau sy’n rhedeg ar MacOS 14 neu iPadOS 17, a fersiynau diweddarach, gellir defnyddio dull rheoli dyfeisiau datganiadol (DDM) hefyd i bennu gosodiadau diweddaru. Mae hyn yn caniatáu gosod fersiynau diweddaru penodol ar gyfer dyfeisiau MacOS ac iPadOS, ond ni ellir ei ddefnyddio i osod y diweddariad diweddaraf yn awtomatig (rhaid ei osod yn ôl rhif y fersiwn). Managed software updates with the settings catalog | Microsoft Learn
Gwybodaeth
Wrth roi diweddariadau meddalwedd ar iPad a rennir, ni fydd yn gosod nes bod y ddyfais wedi’i phlygio i mewn ac nad oes unrhyw ddefnyddwyr wedi’u mewngofnodi.
Sgriptiau
Gellir defnyddio sgriptiau i gymhwyso ffurfweddau personol pellach i ddyfeisiau.
Ar gyfer Windows, gall Intune ddefnyddio sgriptiau Powershell. Unwaith y bydd y sgript wedi rhedeg, nid yw’n cael ei weithredu eto oni bai bod newid yn y sgript. Os bydd y sgript yn methu, mae Intune yn ceisio eto hyd at 3 gwaith. Gellir defnyddio sgriptiau Powershell hefyd ar gyfer adfer, sy’n canfod sefyllfa benodol ac yn ailgymhwyso’r sgript os yw’r sefyllfa honno’n ffug. Use PowerShell scripts on Windows 10/11 devices in Intune | Microsoft Learn
Ar gyfer MacOS, gall Intune ddefnyddio sgriptiau ‘cragen’. Gellir gosod y rhain i redeg ar amserlen, a sawl gwaith os yw’r sgript yn methu, i sicrhau bod y ffurfweddiad cywir wedi’i osod ar y ddyfais. Use shell scripts on macOS devices in Intune | Microsoft Learn
I enwi dyfais yn ôl polisi, gallwch ddefnyddio gosodiadau OMA-URI mewn polisi personol. Mae hyn yn caniatáu i dempled enwi gael ei nodi fel enw lletywr DNS y ddyfais, hyd at 63 o nodau.
Y gosodiad OMA-URI ar gyfer hyn yw ./DevDetail/Ext/Microsoft/DNSComputerName.
I ddefnyddio’r un templed enwi i bob dyfais yr ysgol, targedwch y polisi hwn ar y grŵp dyfeisiau ysgol. Fel arall, gellir neilltuo polisïau lluosog i grwpiau dyfeisiau gwahanol i bennu confensiynau enwi gwahanol, a allai fod yn ddefnyddiol i wahaniaethu rhwng dyfeisiau athrawon a myfyrwyr, er enghraifft.
Mae nifer cyfyngedig o facros ar gael i’w defnyddio yn y polisi hwn i gynhyrchu enw dyfais. Rydym yn argymell defnyddio %SERIAL% (sy’n cyflwyno rhif cyfresol y ddyfais) gan ei fod yn unigryw. Ni allwch nodi union enw, nac unrhyw beth sy’n gofyn am ddilyniant megis tagiau asedau – gellir gosod y rhain â llaw ar bob dyfais yn Intune neu yn y cofnod Autopilot dyfeisiau.
Mae’n hawdd ychwanegu gweinyddwyr at y grŵp gweinyddwyr lleol (neu unrhyw grŵp defnyddwyr lleol) ar ddyfeisiau trwy Intune > Endpoint Security > Account Protection.
Rydym yn argymell defnyddio’r grŵp Intune Admins presennol ar gyfer gweinyddwyr dyfeisiau lleol, ond gallwch hefyd greu grŵp defnyddwyr newydd yn y Porth Rheoli Defnyddwyr i ychwanegu gweinyddwyr dethol.
Dim ond un polisi diogelu cyfrif y gellir ei gymhwyso fesul grŵp defnyddwyr lleol. Nid yw neilltuo polisïau lluosog yn cyfuno’r gosodiadau a bydd yn methu.
Rydym yn argymell creu polisi i ffurfweddu gosodiadau cleientiaid OneDrive. Mae hyn yn creu profiad gwell i’r defnyddiwr terfynol.
Y gosodiadau a argymhellir yw:
Symud ffolderi hysbys Windows yn dawel i OneDrive
Mewngofnodi defnyddwyr yn dawel i’r ap cysoni OneDrive gyda’u manylion Windows
Defnyddio ffeiliau OneDrive ar alw
Mae apiau Microsoft 365 wedi’u rhagosod ar Windows 11 SE ac yn defnyddio proses actifadu tanysgrifiad seiliedig ar y defnyddiwr yn ddiofyn.
Rydym yn argymell bod hyn yn cael ei newid i ddefnyddio’r drwydded seiliedig ar ddyfais sydd ar gael ar gyfer dyfeisiau a reolir gan Intune gan ddefnyddio’r catalog gosodiadau:
Microsoft Office 2016 (Machine) > Use a device-based license for Office 365 Proplus = Enabled
Gall dyfeisiau a rennir a dyfeisiau â chysylltiad defnyddwyr fanteisio ar allu mewngofnodi untro trwy ddefnyddio ategyn SSO Microsoft Enterprise ar gyfer dyfeisiau Apple.
Mae hyn yn dibynnu ar osod ap Microsoft Authenticator ar y ddyfais er nad oes rhaid ei ddefnyddio. Pan fydd defnyddwyr yn mewngofnodi i iPad gyda’r estyniad SSO wedi’i ffurfweddu, yna bydd angen mewngofnodi i ap Microsoft unwaith, a bydd apiau eraill wedyn yn mewngofnodi’n awtomatig.
Nid yw mewngofnodi i iPad gydag Apple ID yn mewngofnodi’n awtomatig i gynhyrchion nad ydynt rhai Apple fel Office, gan fod y rhain yn defnyddio cyfrif Entra ID, er bod yr enw defnyddiwr yr un fath.
Ar gyfer rhai senarios, gallech ystyried cloi eich dyfeisiau Windows mewn modd math 'ciosg' gan ddefnyddio Assigned Access.
Mae Assigned Access yn caniatáu i chi gloi'r ddyfais mewn un ap (modd ciosg) neu gyfyngu mynediad i apiau penodol (profiad defnyddiwr cyfyngedig), y gellir eu ffurfweddu'n hawdd gan ddefnyddio polisïau Intune.
Gall darparu profiad defnyddiwr cyfyngedig fod yn ddefnyddiol mewn llawer o sefyllfaoedd, pan fo’r defnyddwyr angen mynediad i nifer gyfyngedig o apiau yn unig, a hynny heb orfod ffurfweddu polisïau cymhleth App Locker neu WDAC. Gallwch hefyd gyfuno hyn â pholisïau eraill, megis cael gwared ar fynediad i chwilio neu'r cleient OneDrive, i gyfyngu'r profiad ymhellach a chloi'r ddyfais.
