Superviser les bases de référence de la sécurité et les profils dans Microsoft Intune

Intune propose plusieurs options pour superviser les bases de référence de sécurité. Vous pouvez :

• superviser une base de référence de sécurité réelle et tous les appareils qui correspondent (ou non) aux valeurs recommandées ;
• superviser le profil des bases de référence de la sécurité qui s’applique à vos utilisateurs et appareils ;
• afficher la manière dont les paramètres d’un profil sélectionné sont définis sur un appareil sélectionné.

Vous pouvez également afficher le Rapport de configuration d’appareil pour afficher les stratégies basées sur la configuration des appareils qui s’appliquent à des appareils individuels, ce qui inclut des bases de référence de sécurité.

Pour plus d’informations sur la fonctionnalité, consultez Bases de référence de sécurité dans Intune.

Remarque

En mai 2023, Intune a commencé le déploiement d’un nouveau format de base de référence de sécurité qui s’applique aux nouveaux types de base de référence, tels que les Microsoft 365 Apps, et aux versions plus récentes des bases de référence existantes, comme la base de référence Microsoft Edge version 112. Le nouveau format met à jour les paramètres de la base de référence pour prendre directement leur nom et leurs options de configuration à partir du fournisseur de services de configuration (CSP) que le paramètre de base de référence gère.

Intune a également introduit un nouveau processus pour vous aider à migrer un profil de base de référence de sécurité existant vers la version de base de référence plus récente. Ce nouveau comportement est un processus unique qui remplace le comportement de mise à jour normal lorsque vous passez de la version la plus récente d’un profil plus ancien à une version plus récente qui est devenue disponible en mai 2023 ou version ultérieure.

Les instances de base qui utilisent ce nouveau format ont également un rapport mis à jour et une structure de surveillance qui s’aligne sur d’autres améliorations de rapport déployées cette année dans les domaines de fonctionnalités Intune. Les détails de l’affichage de rapport pour le nouveau format sont présentés dans cet article séparément des détails d’origine fournis pour les anciennes bases de référence. La plupart des concepts abordés pour les vues plus anciennes restent pertinents.

Superviser la base de référence et vos appareils

Conseil

Les informations suivantes s’appliquent aux versions de profil publiées en mai 2023 ou version ultérieure. Pour afficher des informations sur les versions de profil publiées avant mai 2023, consultez Surveiller les profils pour les versions de base publiées avant mai 2023, plus loin dans cet article.

Quand vous sélectionnez un profil de base de référence de sécurité que vous avez déployé, vous pouvez obtenir des informations sur l’état de sécurité des appareils qui ont reçu cette base de référence. Pour afficher ces insights, connectez-vous au centre d’administration Microsoft Intune, accédez à Base deréférence de sécurité> des points de terminaison et sélectionnez un type de base de référence de sécurité tel que le Microsoft 365 Apps pour la base de référence de sécurité d’entreprise. Ensuite, dans le volet Profils, sélectionnez le profil instance dont vous souhaitez afficher les détails pour ouvrir la vue du tableau de bord des profils.

Cette vue de tableau de bord comprend les éléments suivants :

• Résumé général du rapport par défaut, status de l’appareil et de l’utilisateur case activée.
• Option Afficher le rapport pour plus d’informations.
• Deux vignettes de rapport supplémentaires :
  • Status d’affectation d’appareil
  • Par paramètre status
• Liste Propriétés dans laquelle vous pouvez examiner et modifier la configuration de la base de référence de sécurité.

Vue récapitulative

Ce résumé est un graphique simple qui présente le nombre d’appareils qui signalent un résultat status spécifique pour la base de référence. La barre horizontale est divisée en couleurs des catégories disponibles, proportionnellement au nombre d’appareils dans chaque catégorie. Dans la capture d’écran précédente, un seul appareil a traité la stratégie et signalé une réussite. Par conséquent, la barre de représentation est entièrement verte.

Afficher le rapport

Lorsque vous sélectionnez le bouton Afficher le rapport, Intune affiche une vue plus détaillée des status appareil et utilisateur case activée pour ces instances de base. Lorsque vous ouvrez le rapport pour la première fois, il est vide jusqu’à ce que vous sélectionnez Générer le rapport, après quoi il affiche des informations.

L’image précédente affiche les résultats initiaux de l’affichage du rapport pour la même ligne de base à partir de la vue du tableau de bord. Cette vue montre que deux autres appareils ont une status d’affectationen attente, ce qui signifie qu’ils n’ont pas encore retourné status pour cette base de référence.

Vous pouvez filtrer cette vue de rapport pour des valeurs d’status d’affectation spécifiques, puis sélectionner à nouveau Générer pour mettre à jour les résultats visibles. Vous pouvez également trier les colonnes disponibles.

Si vous sélectionnez le nom d’un appareil dans la colonne Nom de l’appareil, Intune affiche la vue Paramètres du profil dans laquelle vous pouvez afficher les résultats des appareils status pour chaque paramètre de la base de référence de sécurité. Ensuite, dans la page Paramètres du profil, vous pouvez sélectionner un paramètre pour afficher plus de détails, ce qui est utile lorsqu’un appareil signale un résultat pour un paramètre autre que Réussi.

Dans l’image suivante, nous avons découvert EAGLE003, le seul appareil à montrer la réussite de la ligne de base, puis sélectionné le paramètre Gestion des modules complémentaires :

Dans le volet Paramètres Détails du paramètre, nous pouvons voir chaque profil affecté à cet appareil qui configure également ce même paramètre.

Pour cet appareil, il n’existe qu’un seul profil source qui gère le paramètre de gestion des modules complémentaires. Si d’autres profils ont configuré ce paramètre, ces profils sont également répertoriés en tant que profil source.

Si ce paramètre a été en conflit, cette vue peut vous aider à identifier les autres profils afin que vous puissiez ensuite rapprocher une configuration cohérente ou des affectations de profil de base ultérieures pour supprimer le conflit.

Rapport de status d’affectation d’appareil

Sélectionnez la vignette Affectation d’appareil status pour afficher ce rapport. Dans ce rapport :

• Les résultats sont une liste d’appareils, similaire au rapport status case activée de l’appareil et de l’utilisateur.
• La sélection d’un appareil dans cette page ouvre la vue Paramètres du profil des appareils, qui est la même que celle que vous pouvez voir dans l’extraction de rapport main auquel vous accédez à partir du bouton Afficher le rapport. Toutefois, les appareils dont le status d’affectation est En attente n’ont pas de résultats à afficher.
• La sélection d’un paramètre dans cette vue ouvre le volet Détails des paramètres, identique à celui de l’main d’exploration de rapport.

Par paramètre status rapport

Sélectionnez la vignette Par paramètre status pour afficher ce rapport. Ce rapport affiche la liste des paramètres dans le profil et, pour chacun, le nombre de résultats des appareils pour chaque status, comme le nombre d’appareils qui signalent une réussite, une erreur ou un conflit.

Cette vue ne prend pas en charge l’extraction. Au lieu de cela, pour rechercher des paramètres en erreur ou en conflit, vous pouvez utiliser les autres rapports et affichages. Par exemple, pour en savoir plus sur les appareils susceptibles d’avoir signalé une erreur ou un conflit, vous pouvez ensuite ouvrir la vignette Affectation d’appareil status et, pour ce rapport, étendre le rapport status pour afficher uniquement les status que vous examinez. Ensuite, avec ce rapport, vous pouvez continuer à explorer pour afficher les détails pertinents.

Propriétés

Sous la section rapports du tableau de bord, vous trouverez la vue Propriétés des profils. À partir de Propriétés, vous pouvez :

• Affichez la configuration de chaque page du profil.
• Modifiez la configuration des profils, comme le nom convivial que vous avez donné au profil, ses affectations et l’un des paramètres du profil.

Surveiller les profils pour les versions de référence publiées avant mai 2023

Conseil

Les informations suivantes s’appliquent aux versions de profil publiées avant mai 2023. Pour afficher des informations sur les versions de profil publiées après mai 2023, consultez Surveiller la base de référence et vos appareils, plus haut dans cet article.

Quand vous supervisez une base de référence, vous obtenez un aperçu de l’état de sécurité de vos appareils selon les recommandations de Microsoft. Pour afficher ces insights, connectez-vous au centre d’administration Microsoft Intune, accédez à Bases de référence de sécurité> des points de terminaison et sélectionnez un type de base de référence de sécurité comme base de référence de sécurité pour Windows 10 et versions ultérieures. Ensuite, dans le volet Versions, sélectionnez l’instance de profil dont vous souhaitez afficher les détails pour ouvrir son volet Vue d’ensemble.

Le volet Vue d’ensemble contient deux vues d’état pour la base de référence sélectionnée :

• Graphique de posture de base de référence de sécurité : ce graphique présente des détails généraux sur l’état de l’appareil pour la version de base de référence. Les détails indisponibles sont les suivants :

  • Correspond à la base de référence par défaut : cet état indique qu’une configuration d’appareil correspond à la configuration de la base de référence par défaut (non modifiée).
  • Correspond aux paramètres personnalisés : cet état indique qu’une configuration d’appareil correspond à la version personnalisée de la base de référence que vous avez déployée.
  • Incorrectement configuré : ce statut est un cumul qui représente trois conditions d’état d’un appareil : Erreur, En attente ou Conflit. Ces états distincts sont disponibles à partir d’autres vues, telles que la posture de base de référence de sécurité par catégorie, une vue de liste qui apparaît sous ce graphique.
  • Non applicable : cet état représente un appareil qui ne peut pas recevoir la stratégie. Par exemple, la stratégie met à jour un paramètre spécifique vers la version la plus récente de Windows, mais l’appareil exécute une version antérieure qui ne prend pas en charge ce paramètre.

• Posture de base de référence de sécurité par catégorie : vue de liste qui indique l’état de l’appareil par catégorie. Cette liste présente les mêmes détails que ceux de la posture de base de référence de sécurité. Toutefois, à la place de Mal configuré, il existe trois colonnes pour les états status qui composent La configuration incorrecte :

  • Erreur : impossible d’appliquer la stratégie. Ce message s’affiche généralement avec un code d’erreur qui établit un lien vers une explication.
  • Conflit : deux paramètres sont appliqués au même appareil et Intune ne peut pas résoudre le conflit. Un administrateur doit examiner le problème.
  • En attente : l’appareil n’a pas vérifié auprès d’Intune pour recevoir la stratégie.

Lorsque vous explorez les deux vues précédentes, vous pouvez afficher les informations suivantes pour les vues d’état des paramètres et de liste d’états des appareils :

• Réussite : la stratégie est appliquée.
• Erreur : impossible d’appliquer la stratégie. Ce message s’affiche généralement avec un code d’erreur qui établit un lien vers une explication.
• Conflit : deux paramètres sont appliqués au même appareil et Intune ne peut pas résoudre le conflit. Un administrateur doit examiner le problème.
• En attente : l’appareil n’a pas vérifié auprès d’Intune pour recevoir la stratégie.
• Non applicable : l’appareil ne peut pas recevoir la stratégie. Par exemple, la stratégie met à jour un paramètre spécifique vers la version la plus récente de Windows, mais l’appareil exécute une version antérieure qui ne prend pas en charge ce paramètre.

À partir de la vue Version, vous pouvez sélectionner État de l’appareil. La vue État de l’appareil présente la liste des appareils qui reçoivent cette base de référence, et contient les informations suivantes :

• NOM D’UTILISATEUR PRINCIPAL : profil utilisateur associé à la ligne de base sur l’appareil.
• POSTURE DE BASE DE RÉFÉRENCE DE LA SÉCURITÉ : cette colonne affiche l’état de l’appareil :
  • Réussite : la stratégie est appliquée.
  • Erreur : impossible d’appliquer la stratégie. Ce message s’affiche généralement avec un code d’erreur qui établit un lien vers une explication.
  • Conflit : deux paramètres sont appliqués au même appareil et Intune ne peut pas résoudre le conflit. Un administrateur doit examiner le problème.
  • En attente : l’appareil n’a pas vérifié auprès d’Intune pour recevoir la stratégie.
  • Non applicable : l’appareil ne peut pas recevoir la stratégie. Par exemple, la stratégie met à jour un paramètre spécifique vers la version la plus récente de Windows, mais l’appareil exécute une version antérieure qui ne prend pas en charge ce paramètre.
• Dernier archivage : indique quand l’état de l’appareil a été reçu pour la dernière fois.

Conseil

L’affichage des données peut prendre jusqu’à 24 heures après l’affectation initiale d’une base de référence. L’affichage des modifications ultérieures prend jusqu’à six heures.

Superviser le profil

La supervision du profil permet d’obtenir un aperçu de l’état du déploiement de vos appareils, mais pas de l’état de la sécurité conformément aux recommandations de la base de référence.

1. Dans Intune, sélectionnez Bases deréférence de sécurité de la sécurité> des points de terminaison, sélectionnez un type de base de référence de sécurité comme base de référence de sécurité pour Windows 10, puis>sélectionnez un instance de cette base de référence>Propriétés.

2. Dans propriétés de la ligne de base, développez Paramètres pour explorer et afficher toutes les catégories de paramètres et les paramètres individuels de la base de référence, y compris leur configuration pour cette instance de la base de référence.

   

3. Utilisez les options de Supervision pour afficher l’état de déploiement du profil sur des appareils individuels, l’état de chaque utilisateur et l’état des paramètres à partir de l’instance de la base de référence :

   

Résoudre les conflits liés aux bases de référence de sécurité

Pour résoudre un conflit ou une erreur pour les paramètres de vos profils de base de référence de sécurité ou stratégies de sécurité de point de terminaison, consultez le Rapport de configuration de l’appareil pour un appareil. Cet affichage de rapport vous aide à identifier où vos profils et stratégies contiennent des paramètres qui génèrent un état de conflit ou d’erreur.

Vous pouvez également accéder à des informations sur les paramètres en conflit ou en erreur par le biais de deux chemins à partir de Microsoft Intune centre d’administration :

• Sécurité des points> de terminaisonBases de référence de> sécuritésélectionner un type> de base de référenceProfils>sélectionnez une base de référence instance>Appareil status.
• Appareils>Tous les appareils>sélectionner un appareil>Configuration de l’appareil>sélectionner une Stratégie>sélectionnez un paramètre dans la liste des paramètres qui indiquent un Conflit ou une Erreur.

Explorer pour identifier et résoudre les conflits

1. Lors de l’affichage du Rapport de configuration de l’appareil pour un appareil, sélectionnez une stratégie à explorer pour en savoir plus sur le problème qui provoque un conflit ou un état d’erreur.

   Lorsque vous effectuez l’extraction, Intune affiche une liste de paramètres pour cette stratégie qui inclut chaque paramètre qui n’a pas été défini comme Non configuréet l’état de ce paramètre.

2. Pour afficher les détails d’un paramètre spécifique, sélectionnez-le pour ouvrir le volet Détails des paramètres. Dans ce volet, vous pouvez afficher :

   • Paramètre : nom du paramètre.
   • État : état du paramètre sur l’appareil.
   • Profils sources – Liste de chaque profil en conflit qui configure le même paramètre mais avec une valeur différente.

3. Pour reconfigurer des profils en conflit, sélectionnez un enregistrement dans la liste Profil source pour ouvrir la vue d’ensemble pour ce profil. Sélectionnez les profils Propriétés, puis passez en revue et modifiez les paramètres de ce profil pour supprimer le conflit.

Afficher les paramètres des profils qui s’appliquent à un appareil

Vous pouvez sélectionner un profil pour une base de référence de sécurité et explorer pour afficher la liste des paramètres de ce profil à mesure qu’ils s’appliquent à un appareil individuel. Pour explorer :

• Sécurité >des points de terminaisonTous les appareils>sélectionner un appareil> La configuration > de l’appareil sélectionne une stratégie de base instance.

Une fois l’exploration terminée, le Centre d’administration affiche une liste des paramètres de ce profil et le statut des paramètres. Les états de statut sont les suivants :

• Réussite – Le paramètre sur l’appareil correspond à la valeur configurée dans le profil. Il s’agit de la valeur par défaut des bases de référence et de la valeur recommandée, ou d’une valeur personnalisée spécifiée par un administrateur lors de la configuration du profil.
• Conflit : le paramètre est en conflit avec une autre stratégie, contient une erreur ou est en attente de mise à jour.
• Erreur – Les paramètres n’ont pas pu être appliqués.

Résoudre les problèmes à l’aide de l’état par paramètre

Vous avez déployé une base de référence de la sécurité, mais l’état du déploiement indique une erreur. Les étapes suivantes vous guident dans la résolution de l’erreur.

1. Dans Intune, sélectionnez Sécurité> des points determinaison Bases de référence> sécurité sélectionnez une base de référence >Profils.

2. Sélectionnez un profil > sous Surveiller>par paramètre status.

3. Le tableau montre tous les paramètres et l’état de chacun d’eux. Sélectionnez la colonne Erreur ou la colonne Conflit pour voir le paramètre à l’origine de l’erreur.

Informations de diagnostic de la gestion des appareils mobiles

À présent, vous connaissez le paramètre qui pose problème. L’étape suivante consiste à déterminer pourquoi ce paramètre entraîne une erreur ou un conflit.

Sur les appareils Windows 10/11, il existe un rapport d’informations de diagnostic de gestion des appareils mobiles intégré. Ce rapport inclut les valeurs par défaut, les valeurs actuelles, la stratégie, une indication de son déploiement ou non sur l’appareil ou l’utilisateur, etc. Utilisez-le pour déterminer pourquoi le paramètre entraîne un conflit ou une erreur.

1. Sur l’appareil, accédez à Paramètres>Comptes>Accès Professionnel ou Scolaire.

2. Sélectionnez lerapport Infos> sur > le compte >Rapport de diagnostic avancéCréer.

3. Choisissez Exporter et ouvrez le fichier généré.

4. Dans le rapport, recherchez le paramètre en état d’erreur ou de conflit dans les différentes sections.

Par exemple, examinez la section Sources de configuration et ressources cibles inscrites ou la section Stratégies non gérées. Vous pouvez avoir une idée de la raison pour laquelle cela provoque une erreur ou un conflit.

Diagnostiquer les échecs de gestion des appareils mobiles dans Windows 10 fournit plus d’informations sur ce rapport intégré.

Conseil

• Certains paramètres listent également le GUID. Vous pouvez rechercher ce GUID dans le Registre local (regedit) pour toutes les valeurs définies.
• Les journaux de l’observateur d’événements peuvent également inclure des informations d’erreur sur le paramètre qui pose problème (Observateur d’événements>Journaux des applications et des services>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider>Admin).

Prochaines étapes

• En savoir plus sur les bases de référence de sécurité
• Éviter les conflits
• Surveiller les profils d’appareils
• Solutions aux problèmes courants.
• Résoudre les problèmes de stratégies et profils dans Intune