Windows CSP：拯救你的简单技巧

如今，大多数 (66%) 公司已开始向云过渡或共同管理。目标是对公司的企业进行数字化转型。

虽然基本网络概念可能相似，但云是不同的野兽。它使用不同的协议和管理工具。还有许多新的缩写词需要学习。对于那些正在或将要使用某种类型的移动设备管理 (MDM) 管理 Windows 10 设备的人来说，了解配置服务提供程序 (CSP) 是一个需要学习的重要概念。

CSP 代表配置服务提供商。 Windows CSP 用于提供托管配置设置或管理 Windows 10 设备（或任何 MDM 托管设备）上的功能。

组策略与 MDM 策略：比较和对比

使用 Windows Server Active Directory 管理本地域的人员熟悉组策略管理控制台 (GPMC)。 GPMC 用于创建组策略对象 (GPO)，以将配置设置定位并传递给指定的加入域的设备。

这些 Windows 设备内置了组策略服务，本质上充当组策略客户端。然后在 GPMC 和组策略编辑器中创建所需的设置，然后通过服务的客户端扩展 (CSE) 调用，这些扩展包含在托管设备的 Windows 操作系统中。

移动设备管理 (MDM)

移动设备管理 (MDM) 工具（例如 Intune）用于管理移动设备和加入 Azure AD 的计算机。 Windows 10 计算机包含 MDM 引擎，然后该引擎调用配置服务提供商 (CSP) 来执行操作。

那么，我们来总结一下两位管理员的经验：

• 管理员 1：打开 GPMC，创建具有策略设置的 GPO。这些由组策略引擎接收，其中客户端扩展 (CSE) 将处理这些设置。
• 管理员 2：打开 Intune（或其他 MDM 服务）并创建包含设置的配置文件。这些配置文件由 MDM 引擎接收，CSP 将在其中处理设置。

为了通过 MDM 管理 Windows 设备，它必须注册 MDM。这会“预热”内置 MDM 客户端以接收 CSP 指令。最终目标是让客户的 CSP 负责读取、设置、修改和删除该设备上的配置设置。 MDM 系统和 MDM 客户端协同工作，基于称为开放移动联盟设备管理 (OMA-DM) 的协议交换设置配置和命令。

深入研究 Windows CSP

不同版本的 Windows 有不同的 CSP。这是有道理的，因为 Windows 10 企业版具有 Windows 10 专业版中不包含的功能。此外，每个版本都提供了新的 Windows CSP 设置。请参阅此处的可用 Windows CSP 列表。例如，Windows 10 有一个名为 BitLocker 的 CSP。 BitLocker CSP 具有各种设置，具体取决于 Windows 10 版本和版本。下面的示例来自 Microsoft 对 BitLocker CSP 的解释。

与上面的示例类似，每个 CSP 都有指向 CSP 中每个配置设置的完整路径。这由 CSP 的开放移动联盟统一资源标识符 (OMA-URI) 表示。 URI 相对于设备的根节点。在上面的示例中，根节点是 BitLocker，支持的设置从中分支出来。上面树中的每个标签代表一个节点。

在另一个示例中，假设我们想要通过 MDM 配置 Windows 10 自动检测代理设置。在这种情况下，节点路径将是：

./Vendor/MSFT/NetworkProxy/ 自动检测

因此，CSP 中包含的每个设置都有一个路径。每个设置都有某种等待为其分配值的数据类型。随着新版本的发布，引入了新节点，有些甚至被弃用。这些节点可以添加到现有的 CSP，或者可以创建新的 CSP 以适应新的设置。例如，Windows 1909 向上面所示的 BitLocker CSP 引入了以下节点：

• 配置恢复密码轮换，
• 旋转恢复密码，
• 旋转恢复密码状态，

版本 1903 引入了一个名为 EnrollmentStatusTracking 的新 CSP。 Microsoft 在此处记录了每个版本的所有新节点和折旧节点。

MDM 内置 CSP 设置

对于 MDM，Intune 并不是唯一的游戏。这是因为 Windows CSP 不依赖于任何一家供应商。您只需要 Intune、Workspace One 或 MobileIron 等 MDM 提供程序即可使用 MDM 及其 CSP 配置 Windows 10 计算机。

这真的没关系。

不过，在本文中，我们将使用 Intune。

Intune 菜单中提供了许多可用的设置。如前所述，您创建配置文件来提供配置的设置。使用 Intune 菜单创建配置文件时，首先选择目标设备的平台操作系统。

然后，您选择配置文件类型。下面显示了下拉菜单中的部分列表。

选择配置设置类型后，系统将显示可供配置的可用设置列表。下面我们选择“设备限制”以阻止访问某些控制面板设置。

自定义 OMA-URI

并非所有 CSP 设置都是可单击的并且可以很好地内置到 Intune 中。但这并不意味着您无法通过 Intune 管理这些设置。您可以使用自定义 OMA-URI，它最终将配置 CSP 来管理设置和功能。

像 Intune 这样的 MDM 服务可能没有可点击的功能，但该设置最终可以通过自定义 OMA-URI 进行配置，这将在端点上配置 CSP。

为此，您必须选择“自定义”作为配置文件类型，如下所示。

请注意，我们现在必须配置自定义 OMA-URI 设置。这些设置将指导策略管理所需的设置或功能。这些设置如下：

• 名称：名称供您参考，帮助您识别。使用您想要的任何名称。
• 描述：输入配置文件用途的简短摘要以及任何其他相关详细信息。
• OMA-URI：OMA-URI 设置对于每个平台都是唯一的，无论是 Android、iOS、Windows 等。它还区分大小写，因此请注意正确输入设置路径。要配置 Windows 10 设备的设置，您可以键入路径：

供应商/MSFT/策略/配置/区域名称/策略名称

• 数据类型：数据类型将根据 OMA-URI 设置而有所不同。选项包括字符串、字符串（XML 文件）、日期和时间、整数、浮点、布尔值和 Base 64（文件）
• 值：您可以在此处关联要强制执行的 OMA-URI 值。

下面是一个例子：

在极少数情况下，您也许可以将组策略的一些导出设置导出到 XML 文件中，然后将其导入到 Intune 中。但它们必须与 CSP 相关联。在此示例中，我们导入了组策略中配置的 AppLocker 设置并制作了自定义配置文件。

概括

如果您要熟悉使用 MDM 管理 Windows 10，则应该了解 MDM 服务、其引擎和 CSP 之间的关系。

CSP 无法完成管理员可能想做的所有事情。

例如：

• 没有 CSP 来管理非 Microsoft 浏览器。
• 没有 CSP 来管理 Java 设置。
• 没有 CSP 来执行需要本地管理员权限的应用程序的提升。
• 没有 CSP 将组策略和组策略首选项的某些设置“提升并转移”到 MDM 空间。

如果您计划成为使用 MDM 的高级管理员来管理 Windows 10 设备，我们邀请您查看 PolicyPak，这是一种现代桌面管理解决方案，使您能够轻松配置、部署和管理本地、MDM 和云 Windows 的策略环境。

PolicyPak MDM 版本可以补充您的 MDM 解决方案，不仅可以提供完整的设置覆盖范围，还可以管理第三方应用程序、实施浏览器策略并以传统上只能通过应用程序白名单实现的方式锁定桌面。

CSP 将带您走上一段路。 PolicyPak 可以帮您完成剩下的工作，并与 Intune 和所有其他 MDM 提供商无缝协作。