Экспортируйте свои политики Intune для последующего использования на другом клиенте.

Опубликовано: 3 Марта, 2023
Экспортируйте свои политики Intune для последующего использования на другом клиенте.

С тех пор, как Microsoft объявила, что групповая политика переходит в фазу завершения своей жизни, я неохотно начал использовать Intune в качестве замены. Это имеет смысл, потому что он работает вместе с подписками Microsoft 365, которые сейчас используют мои клиенты. Мы были активными пользователями групповой политики, так что это будет долгий процесс. Поскольку мои клиенты все больше и больше переходят в облако, я искал способ восстановить часть автоматизации, которая у нас была в локальной среде. Как консультант, моя команда и я поддерживаем многих клиентов, каждый из которых находится в своем клиенте, и просто неэффективно каждый раз заново создавать политики. Я хотел бы иметь возможность создать набор стандартных, иметь их наготове, а затем импортировать их в новые клиентские арендаторы. Недавно я наткнулся на репозиторий GitHub, который действительно помог мне в достижении этой цели.

Если у вас та же цель, то Дэвид Фалькус — тот человек, которого вы хотите знать. У него всего два репозитория на GitHub, но они отличные. Тот, который я использую, называется Microsoft Graph PowerShell Intune Samples. Дэвид также очень отзывчив. Было несколько ошибок, на которые я обратил его внимание, и он сразу же ответил обновлениями. Я не разработчик, поэтому я очень благодарен ему за предоставленные образцы. Как ИТ-специалист широкого профиля, я довольно хорошо умею модифицировать существующие скрипты, и эти примеры служат отличной отправной точкой. Вот ссылка на Дэвида, чтобы вы могли подписаться на него. LinkedIn показывает Дэвида как старшего менеджера программ в Microsoft.

Лицензионные требования

Чтобы иметь возможность импортировать и экспортировать политики, мы должны немного поговорить о лицензировании. Как вы знаете, нельзя упоминать слово «Майкрософт» без обсуждения лицензирования. В этом случае вам потребуется план Microsoft 365 Business или один из других планов Office 365, который включает как минимум Intune и Azure AD план 1. EMS — это обычный способ добавления этих функций в планы Office 365, но новые планы Microsoft 365 с акцентом на безопасность включают их в пакеты.

Если используемая вами учетная запись не имеет надлежащего разрешения или у арендатора нет необходимой лицензии, вы получите сообщение, подобное этому.

Как скачать политики Intune

По сути, существует две категории политик Intune: соответствие или конфигурация. Для каждого требуется свой сценарий PowerShell. Мы собираемся получить эти сценарии PowerShell отсюда.

Вы также можете загрузить сценарии для экспорта и импорта политик одновременно. Вот те, которые вы захотите скачать, но посмотрите и другие. Для целей этой статьи загрузите сценарии CompliancePolicy_Export.ps1, CompliancePolicy_Import_FromJSON.ps1 и DeviceConfiguration_Export.ps1, DeviceConfiguration_Import_FromJSON.ps1. Сохраните их в каком-нибудь месте, на которое позже можно будет легко ссылаться с помощью команды. Для этого я создаю папку ac: emp.

Теперь давайте загрузим наши политики. Откройте Windows PowerShell ISE от имени администратора. Выберите «Открыть» в меню, перейдите к месту, где вы сохранили сценарии, и откройте его. Как вы можете видеть на скриншоте, я переименовал свои, чтобы их было легче читать.

После загрузки нажмите зеленую стрелку, чтобы запустить скрипт.

Вам сразу же будет предложено ввести имя пользователя, с которым вы хотите пройти аутентификацию. Введите UPN (основное имя пользователя), адрес электронной почты учетной записи администратора.

Следующее, что делает сценарий, — добавляет для вас модуль Azure AD PowerShell. После этого он запросит путь, по которому вы хотите, чтобы файл экспорта находился. Он будет экспортировать ваши политики в виде файла.json. JSON — это файл JavaScript. Вы будете использовать этот файл позже, чтобы импортировать свою политику в следующий клиент.

Возможно, вы заметили или не заметили, что я использовал множественное число для обозначения политики — политики. Это связано с тем, что сценарий загружает сразу все ваши политики соответствия. К счастью, он создает отдельные файлы JSON для каждой из ваших политик. Как видно на скриншоте ниже, у меня в этом тенанте две такие политики. Один называется Win10 Defender On, а другой просто iPhone. Обе политики теперь загружены и сохранены в указанной папке.

Однако взгляните на имена этих файлов. Довольно уродливые. Я имею в виду полезный, конечно, как хороший справочный материал, который поможет вам вспомнить, когда вы загрузили политику, и, следовательно, напоминание о том, чтобы, возможно, загрузить новую копию когда-нибудь в будущем, чтобы зафиксировать вашу последнюю конфигурацию политики. Но с целью импорта, как я сделал выше, я делаю копию, а затем даю копии более простое имя. Ты поблагодаришь меня позже.

Теперь нам нужно выполнить ту же процедуру, чтобы экспортировать наши политики конфигурации. В результате снова должен получиться файл JSON для каждой из ваших политик.

А как насчет тех файлов CSV, которые также были сгенерированы? Это файлы Excel, содержащие настройки вашей политики. По сути, это то же самое, что и файл JSON, только в другом формате. Считайте это документальным материалом.

Как импортировать политики Intune в другой клиент

Итак, теперь, когда мы экспортировали наши эталонные политики, мы готовы импортировать их в другой арендатор.

Как и выше, вас сразу же попросят ввести учетные данные для учетной записи администратора. Убедитесь, что вы используете тот, у которого есть разрешение на Azure AD.

Затем сценарий импортирует модуль Azure AD и запросит имя и расположение файла JSON, который вы хотите импортировать.

У меня есть две политики соответствия, которые я хочу импортировать. Этот скрипт импортирует их по одному, что меня устраивает. После успешного импорта вы увидите подробную информацию об импортированных настройках.

Рядом со знаком «:» для каждого элемента указаны параметры политики, которые были импортированы. Это позволяет вам перепроверить свою работу. Чтобы импортировать следующую политику соответствия, просто выполните ту же процедуру.

Как отмечалось выше, у меня также есть несколько политик соответствия устройств, которые я экспортировал. Чтобы импортировать их, я собираюсь использовать сценарий импорта конфигурации устройства. На этот раз я, к счастью, все еще аутентифицирован для клиента, и у меня загружен модуль Azure AD, поэтому я могу ускорить процесс. Все, что мне нужно сделать, это указать файл JSON, который я хочу импортировать.

Как и при импорте политик соответствия, сценарий политик устройства выведет на экран список параметров из вашего JSON-файла, который он импортировал.

Использование импортированных политик

Процесс импорта политик в клиент не запускает их в работу. Он просто добавляет их в список политик. Вы должны сделать следующий шаг, назначив их группам, к которым вы хотите, чтобы они применялись.

Вы можете назначить эти политики с помощью другого скрипта или сделать это вручную. Если ваши клиенты такие же, как мои, то группы часто достаточно уникальны для бизнеса, поэтому на данный момент я предпочитаю ручной метод назначения каждой политики соответствующей группе.

Если вы хотите использовать скрипт для их назначения, он доступен в том же репозитории, который мы использовали. Вам будет предложено ввести имя группы, которой вы хотите его назначить.

Чтобы назначить их вручную, используйте консоль Intune, выберите политику, нажмите «Назначения», выберите группу и, наконец, сохраните свой выбор.

Если вы новичок в Intune, но знакомы с групповой политикой, вас может удивить то, что Intune не различает пользователей и устройства. Вы помните, что при использовании групповой политики пользовательская политика должна была быть назначена группе пользователей, а компьютерная политика должна была быть назначена группам, содержащим компьютеры. В Intune политику, настраивающую устройство Windows 10, можно назначить группе пользователей. Azure AD — это другое животное, и вы будете регулярно сталкиваться с такими различиями.

Также полезно знать, что здесь нельзя создать группу. Сначала необходимо создать группу пользователей или устройств, к которым вы хотите применить политику. Вы можете сделать это либо в Intune, либо в Azure AD. Результатом будет новая группа в Azure AD независимо от того, где вы ее создали. Для тех, кто давно использует Intune, это новинка. До перехода Intune в Azure у него, к сожалению, были свои группы. Этого больше нет. Теперь это все Azure AD!

Гитхаб в помощь

Я очень рад, что обнаружил этот репозиторий GitHub. Подобные предварительно созданные сценарии сделают внедрение Intune разумным процессом для ИТ-администраторов. Процесс использования скриптов прост. Следует соблюдать осторожность, чтобы они не активировались немедленно, и вы можете автоматизировать их дальше, если хотите. Я надеюсь, что однажды такие скрипты переместятся из GitHub в репозиторий скриптов в Azure AD. Это было бы довольно мило и избавило бы нас от необходимости искать помощь, необходимую для управления несколькими клиентами.

Облачные вычисления

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Вопросы безопасности для облачных вычислений (часть 5) — быстрая эластичность
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 6)
9 Марта, 2023
Начало работы с VMware vCloud Director (часть 1)
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 4) — объединение ресурсов
9 Марта, 2023
Сценарии развертывания облачной сетевой инфраструктуры Microsoft с Windows Server 8 (часть 1) — традиционный центр обработки данных
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 3) — широкий доступ к сети
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 5)
9 Марта, 2023
System Center 2012 и управление облаком
9 Марта, 2023