Параметры групповой политики и управления мобильными устройствами Group Policy and MDM settings

Используйте эти параметры групповой политики и управления мобильными устройствами (MDM) только на корпоративных устройствах, так как эти политики применяются ко всему устройству пользователя. Use these group policy and mobile device management (MDM) settings only on corporate-owned devices because these policies are applied to the user’s entire device. Применение политики MDM для отключения синхронизации параметров на личном устройстве пользователя может негативно отразиться на использовании этого устройства. Applying an MDM policy to disable settings sync for a personal, user-owned device will negatively impact the use of that device. Кроме того, политика также влияет на другие учетные записи пользователей на устройстве. Additionally, other user accounts on the device will also be affected by the policy.

Сотрудники предприятий, которым нужно включить или отключить перемещение данных на личных (неуправляемых) устройствах, могут воспользоваться порталом Azure, а не групповыми политиками или MDM. Enterprises that want to manage roaming for personal (unmanaged) devices can use the Azure portal to enable or disable roaming, rather than using Group Policy or MDM. В следующих таблицах описаны доступные параметры политики. The following tables describe the policy settings available.

Эта статья относится к устаревшему браузеру на основе HTML Microsoft, запущенному с Windows 10 за июль 2015. This article applies to the Microsoft Edge Legacy HTML-based browser launched with Windows 10 in July 2015. Статья не относится к новому браузеру на основе Microsoft Chromium, выпущенному 15 января 2020 г. The article does not apply to the new Microsoft Edge Chromium-based browser released on January 15, 2020. Дополнительные сведения о поведении синхронизации для нового Microsoft ребра см. в статье Microsoft ребра Sync. For more information on the Sync behavior for the new Microsoft Edge, see the article Microsoft Edge Sync.

Параметры MDM MDM settings

Параметры политики MDM применяются к Windows 10 и Windows 10 Mobile. The MDM policy settings apply to both Windows 10 and Windows 10 Mobile. Поддержка Windows 10 Mobile существует только для перемещения на основе учетной записи Майкрософт через учетную запись пользователя OneDrive. Windows 10 Mobile support exists only for Microsoft account based roaming via user’s OneDrive account. Дополнительные сведения о том, какие устройства поддерживаются для синхронизации на основе Azure AD, см. в разделе устройства и конечные точки . Refer to Devices and endpoints for details on what devices are supported for Azure AD-based syncing.

Имя Name	Описание Description
Разрешить подключение к учетной записи Майкрософт Allow Microsoft Account Connection	Позволяет проходить проверку подлинности с использованием учетной записи Майкрософт на устройстве Allows users to authenticate using a Microsoft account on the device
Разрешить синхронизацию моих параметров Allow Sync My Settings	Позволяет перемещать параметры Windows и данные приложений. Отключение этой политики приведет к отключению синхронизации и архивации на мобильных устройствах. Allows users to roam Windows settings and app data; Disabling this policy will disable sync as well as backups on mobile devices

Параметры групповой политики Group policy settings

Параметры групповой политики применяются к устройствам Windows 10, присоединенным к домену Active Directory. The group policy settings apply to Windows 10 devices that are joined to an Active Directory domain. Таблица содержит устаревшие параметры для управления настройками синхронизации. Они не действуют в службе Enterprise State Roaming для Windows 10, что указано в описании с помощью примечания «Не использовать». The table also includes legacy settings that would appear to manage sync settings, but that do not work for Enterprise State Roaming for Windows 10, which are noted with ‘Do not use’ in the description.

Эти параметры расположены в разделе Computer Configuration > Administrative Templates > Windows Components > Sync your settings . These settings are located at: Computer Configuration > Administrative Templates > Windows Components > Sync your settings

Windows не смогла применить ошибку параметров политики MDM при работе на гибридных устройствах gpupdate /force Azure AD

В этой статье обсуждается, что Windows не смогла применить сообщение об ошибке параметров политики MDM, возникающее при запуске команды на зарегистрированном устройстве Windows в gpupdate /force Microsoft Intune.

Оригинальная версия продукта: Microsoft Intune
Исходный номер КБ: 4456826

Симптомы

При запуске команды на гибридном устройстве Azure Active Directory (Azure AD) с Windows, зарегистрированном в Microsoft Intune, вы получите следующее gpupdate /force предупреждение:

Обновление компьютерной политики успешно завершено.

При обработке компьютерной политики столкнулись следующие предупреждения:

Windows не смогла применить параметры политики MDM. Параметры политики MDM могут иметь собственный файл журнала. Нажмите кнопку «Дополнительные сведения».
Обновление политики пользователя успешно завершено.

Дополнительные сведения просмотрите журнал событий или запустите GPRESULT/H GPReport.html из командной строки, чтобы получить доступ к сведениям о групповой политике.

Причина

Эта проблема возникает в том случае, если автоматическая регистрация MDM с объектом групповой политики AAD (GPO) применяется к устройству Windows. В этом случае при запуске команды он пытается зарегистрировать устройство в gpupdate /force MDM. Так как устройство уже было зарегистрировано, вы получаете предупреждение.

Это ожидаемое поведение. Можно смело игнорировать предупреждающие сообщения.

Дополнительная информация

Ниже приведен пример записи файлов, когда вы включаете ведение журнала отладки службы групповой политики, следуя шагам в трактате об устранении неполадок групповой политики сейчас с помощью анализа журналов %windir%\debug\usermode\Gpsvc.log GPSVC!:

ProcessGPOs(Machine): Политика MDM расширения обработки
CheckGPOs: Без изменений GPO, но с призывом в силу обновить флаг или расширение MDM Политика должна запустить принудительное обновление в переднем плане обработки
ProcessGPOList:++ Ввод для расширения политики MDM
ProcessGPOList: Передача флага обновления силы в политику расширения MDM
ProcessGPOList. Политика расширения MDM возвращается 0x8018000a.
ProcessGPOList: Политика расширения MDM не поддерживает ведение журнала rsop
ProcessGPOs(Machine): расширение MDM Policy ProcessGroupPolicy не удалось, состояние 0x8018000a .

Ошибка 0x8018000a означает, что устройство уже зарегистрировано.

Включение политик с поддержкой ADMX в системе MDM Enable ADMX-backed policies in MDM

Это пошаговая руководство по настройке политик ADMX в MDM. This is a step-by-step guide to configuring ADMX-backed policies in MDM.

Начиная с Windows 10 версии 1703, поддержка конфигурации политики управления мобильными устройствами (MDM) была расширена, чтобы разрешить доступ к выбранному набору административных шаблонов групповой политики (политики, поддерживаемые ADMX) для компьютеров Windows через поставщика службы конфигурации политики (CSP). Starting in Windows 10 version 1703, Mobile Device Management (MDM) policy configuration support was expanded to allow access of selected set of Group Policy administrative templates (ADMX-backed policies) for Windows PCs via the Policy configuration service provider (CSP). Настройка политик на ADMX в CSP политики отличается от обычного способа настройки традиционной политики MDM. Configuring ADMX-backed policies in Policy CSP is different from the typical way you configure a traditional MDM policy.

Сводка действий по в том, чтобы включить политику: Summary of steps to enable a policy:

• Найдите политику из списка политик, которые находятся на ADMX. Find the policy from the list ADMX-backed policies.
• Сведения о групповой политике можно найти в описании политики MDM. Find the Group Policy related information from the MDM policy description.
• Используйте редактор групповой политики, чтобы определить, существуют ли параметры, необходимые для включить политику. Use the Group Policy Editor to determine whether there are parameters necessary to enable the policy.
• Создание полезной нагрузки данных для SyncML. Create the data payload for the SyncML.

См. совет по поддержке: использование политик, поддерживаемых Office ADMX, с помощью политики Microsoft Intune и развертывание ADMX-Backed с помощью Microsoft Intune для сквозного использования Intune. See Support Tip: Ingesting Office ADMX-backed policies using Microsoft Intune and Deploying ADMX-Backed policies using Microsoft Intune for a walk-through using Intune.

Intune добавила ряд административных шаблонов, которые поддержали ADMX, в общедоступный предварительный просмотр. Intune has added a number of ADMX-backed administrative templates in public preview. Проверьте, доступны ли необходимые параметры политики в шаблоне перед использованием метода SyncML, описанного ниже. Check if the policy settings you need are available in a template before using the SyncML method described below. Дополнительные новости об административных шаблонах Intune. Learn more about Intune’s administrative templates.

Включить политику Enable a policy

См. в этой ссылке в CSP политики, в том числе для понимания политик, которые поощутят ADMX. See Understanding ADMX-backed policies in Policy CSP.

Найдите политику из списка политик, которые находятся на ADMX. Find the policy from the list ADMX-backed policies. Вам нужны следующие сведения, перечисленные в описании политики. You need the following information listed in the policy description.

• Английское имя GP GP English name
• Имя GP GP name
• Имя файла GP ADMX GP ADMX file name
• Путь GP GP path

Используйте редактор групповой политики, чтобы определить, нужны ли дополнительные сведения, чтобы включить политику. Use the Group Policy Editor to determine whether you need additional information to enable the policy. Запуск GPEdit.msc Run GPEdit.msc

Нажмите кнопку Начните, а затем в текстовом поле тип gpedit. Click Start, then in the text box type gpedit.

В статье Best match щелкните Изменить групповую политику, чтобы запустить ее. Under Best match, click Edit group policy to launch it.

В локальной компьютерной политике перейдите к политике, необходимой для настройки. In Local Computer Policy navigate to the policy you want to configure.

В этом примере перейдите к административным шаблонам > system > App-V. In this example, navigate to Administrative Templates > System > App-V.

Дважды щелкните Включить клиент App-V. Double-click Enable App-V Client.

Раздел Параметры пуст, что означает отсутствие параметров, необходимых для включить политику. The Options section is empty, which means there are no parameters necessary to enable the policy. Если раздел Options не пустой, выполните процедуру в Разделе Включить политику, которая требует параметров If the Options section is not empty, follow the procedure in Enable a policy that requires parameters

Создайте SyncML, чтобы включить политику, которая не требует параметров. Create the SyncML to enable the policy that does not require any parameter.

В этом примере настраивается включить клиент App-V для включения. In this example you configure Enable App-V Client to Enabled.

Полезной нагрузкой должна быть кодирована XML. The payload must be XML encoded. Чтобы не кодить, можно использовать CData, если MDM поддерживает его. To avoid encoding, you can use CData if your MDM supports it. Дополнительные сведения см. в разделах CDATA. For more information, see CDATA Sections. Если вы используете Intune, выберите Строку в качестве типа данных. If you are using Intune, select String as the data type.

Windows не удалось применить параметры mdm policy

Общие обсуждения

Есть несколько тысяч пользователей домена, у которых нет нижеописанных проблем нет. И есть с десяток товарищей, у которых проблема есть.

Не удалось успешно обновить политику пользователя. Обнаружены следующие ошибки:

Ошибка при обработке групповой политики. Windows не удалось применить основанные

на данных реестра параметры политики для объекта групповой политики «LDAP://CN=

xxx ,DC= xxx «. Параметры групповой политики не могут быть применены, пока не

будет исправлена эта ситуация. Сведения об имени и пути файла, вызвавшего эту о

шибку, содержатся в подробностях об этом событии.

При обработке политики пользователя возвращены следующие предупреждения:

Windows не удалось применить параметры «Scripts». Параметры «Scripts» могут имет

ь свой собственный файл журнала. Щелкните ссылку «Дополнительные сведения».

Не удалось успешно обновить политику компьютера. Обнаружены следующие ошибки:

Ошибка при обработке групповой политики. Windows не удалось применить основанные

на данных реестра параметры политики для объекта групповой политики «LDAP://CN=

DC= xxx ,DC= xxx «. Параметры групповой политики не могут быть применены, пока

не будет исправлена эта ситуация. Сведения об имени и пути файла, вызвавшего эт

у ошибку, содержатся в подробностях об этом событии

• Изменен тип Petko Krushev Microsoft contingent staff, Moderator 5 октября 2017 г. 9:32

Все ответы

только эти 2 политики не применяются?

дефолт домен и прочие проходят?

нет, уже сейчас не могу сказать. Почему блокируются то люди, и что можно предпринять(кроме переустановки) . Если этим пользователем зайти на другой комп, то все отлично:) Общее между машинами-все это ПК Lenovo, но таких(без таких проблем), крайне много на предприятии, помимо проблемных

Смотрите. До смены пароля люди нормально работают. После смены пароля начинаются проблемы.

Повторюсь, только у очень малого числа пользователей проблема наблюдается

пароль меняете в AD, руками пользователя на его ПК или еще каким-нибудь способом?
посмотрите с какого сервера подтягиваются политики, попытаемся найти связь.
Самая большая вероятность, что не успевает пройти репликация и ПК и пользователи получают ошибки от DC.

Нет, с репликацией между тремя DC проблем нет. Репликация корректно работает. У меня сейчас прямо нет доступа к проблемному клиенту.

Но с моего ПК(и с других беспроблемных, коих немеряно), вот эти политики <31b2f340-016d-11d2-945f-00c04fb984f9>(в \\dc1,2,3\sysvol и т.д)видны отлично, один и тот же номер в gpt.ini

На 99,9 уверен, что проблема в клиенте. У всех проблемных ПК общее следующее

1) ПК Леново, на которых не переустановаливалась ось, они так и пришли с ней на предприятие.

Я предполагаю, что разливались с неправильно подготовленного образа, но это лишь мое предположение-без доказательств.

2) Пароль меняет пользователь по политике, т.е. каждые N дней. После этого начинаются проблемы

Человек перезагружает ПК, блокируется(netwrix показывает, что именно с этой машины). После разблокировки отлично работает-можно зайти в нетлогон, пользоваться ресурсами. До применения GPO. Т.е каждые 90 минут(+-) или по команде gpupdate /force. ПК можно выводить из домена, вводить обратно, менять пароль на старый(админ с контроллера)-он стабильно блокируется. Голову сломал, как можно вылечить?