Lý thuyết cần nắm
Configuration Profiles — "Group Policy" cho thế giới cloud
6.1 Các loại Configuration Profiles trong Intune
| Profile Type | Mô tả | Platform | Ví dụ ứng dụng |
|---|---|---|---|
| Device Restrictions | Giới hạn tính năng thiết bị (camera, Bluetooth, app store...) | Windows, iOS, Android | Block camera trong phòng họp, chặn USB |
| Wi-Fi | Đẩy cấu hình Wi-Fi tự động | All | Corp Wi-Fi với certificate auth (WPA2-Enterprise) |
| VPN | Cấu hình VPN client tự động | All | Always-On VPN với IKEv2 |
| Certificate (PKCS/SCEP) | Deploy certificates cho device/user | All | Wi-Fi auth cert, S/MIME cert |
| Cấu hình Exchange/EXO tự động | iOS, Android | Native mail app config | |
| Endpoint Protection | Windows Defender settings | Windows | Firewall rules, Defender AV config |
| Administrative Templates (ADMX) | Tương đương ADMX GPO settings | Windows | Office settings, Edge policies |
| Settings Catalog | Tất cả settings trong một, thay thế ADMX mới | Windows, macOS | Modern thay thế ADMX |
| Custom (OMA-URI) | Custom XML/settings không có trong UI | Windows | CSP settings chưa có template |
Settings Catalog vs ADMX Templates: Microsoft đang chuyển sang Settings Catalog (mới hơn, nhiều settings hơn). ADMX Templates vẫn hoạt động nhưng Settings Catalog là hướng đi tương lai. Nếu có option trong Settings Catalog → dùng Settings Catalog.
6.2 Profile Assignment — Gán Profile cho Devices
Profiles được gán đến Users hoặc Devices (không phải OU như GPO). Gán theo:
Entra Groups
Security Group hoặc M365 Group
All Users
Áp cho toàn tenant
All Devices
Không phụ thuộc user
Exclude Groups
Loại trừ nhóm cụ thể
6.3 Monitoring Profile Status
Mỗi profile deployment có 4 trạng thái quan trọng:
| Status | Ý nghĩa | Hành động |
|---|---|---|
| ✓ Succeeded | Profile đã áp dụng thành công | Không cần làm gì |
| ⟳ Pending | Device chưa check-in (offline hoặc mới enroll) | Đợi device online, trigger sync |
| ✗ Error | Lỗi áp dụng (conflict, unsupported setting) | Xem error code, kiểm tra logs |
| ! Not Applicable | Setting không áp dụng với OS version/edition | Kiểm tra OS requirements |
Thực hành
Tạo Device Restriction profile và giám sát deployment
Lab 6.1 — Tạo Device Restriction Profile (Block USB)
Thực hành tại: intune.microsoft.com → Devices → Configuration
- Tạo Profile mới
Devices → Configuration → + Create → New Policy → Platform: Windows 10 and later → Profile type: Settings catalog - Đặt tên
Name:WIN-BlockUSBStorage· Description: Block removable storage devices - Thêm Settings
+ Add settings → tìm "Removable storage" → chọn: All Removable Storage classes: Deny all access → Enable - Assign
Assignments → Include: chọn groupSG-Engineering→ Next → Create - Monitor
Sau 15 phút → vào profile → Device and user check-in status → xem Success/Pending count
Kết quả đầu ra
- Profile status: Succeeded trên device đã enrolled
- Cắm USB drive vào Windows → "Access is denied"
- Event Log:
System → DriverFrameworks-UserMode → Event ID 2003
Lab 6.2 — Administrative Template (ADMX) — Cấu hình Edge
- Tạo ADMX Profile
Configuration → + Create → Windows 10 and later → Templates → Administrative Templates - Cấu hình Edge settings
Microsoft Edge → Startup, homepage and new tab page → Configure the home button URL → Enabled → URL:https://intranet.contoso.com - Block Password Manager
Microsoft Edge → Password manager and protection → Enable saving passwords to the password manager → Disabled
Lab 6.3 — Trigger Manual Sync và Monitor
# Trigger Intune sync từ device (Windows)
Start-Process "ms-device-enrollment:phase4"
# Hoặc dùng PowerShell trực tiếp trigger MDM sync
$session = New-CimSession
$params = @{ProviderName="MDM_ConfigSetting";ClassName="MDM_ConfigSetting"}
Invoke-CimMethod -Namespace "root/cimv2/mdm/dmmap" -ClassName "MDM_DMSessionActions" -MethodName "LaunchDeviceRegistrationDiscovery" -Arguments @{} -CimSession $session
# Xem profile assignment status qua Graph
Connect-MgGraph -Scopes "DeviceManagementConfiguration.Read.All"
Get-MgDeviceManagementDeviceConfiguration | Select-Object DisplayName, Id | Format-Table
Tình huống thực tế
Techcombank — Bảo mật 2.500 endpoint thay thế 300 GPO
Financial sector · Yêu cầu tuân thủ PCI-DSS và NHNN
Bối cảnh: Techcombank đang migrate từ GPO on-prem sang Intune Configuration Profiles. Có 300 GPO cần convert. Ưu tiên: bảo mật endpoint theo yêu cầu PCI-DSS.
Profiles được triển khai
- Block USB (Removable Storage deny)
- BitLocker mandatory encryption
- Windows Defender AV realtime scan
- Edge: disable password save, force HTTPS
- Screen lock: 5 phút idle timeout
- Disable Bluetooth trong phòng data center
Monitoring Dashboard
- Intune → Reports → Device compliance report
- Endpoint Analytics: startup performance
- Windows Update compliance report
- Alert khi profile error > 5% devices
- Monthly audit: GPO vs Intune coverage
Kết quả: Sau 6 tháng: 285/300 GPO đã được replicate vào Intune Profiles. 15 GPO còn lại dùng Custom OMA-URI. Audit PCI-DSS: compliance rate 98.7%.