Biztonsági alapkonfigurációk és profilok monitorozása a Microsoft Intune

Az Intune számos lehetőséget kínál a biztonsági alapkonfigurációk monitorozására. Képes vagy:

• Monitorozza a biztonsági alapkonfigurációt, valamint azokat az eszközöket, amelyek megfelelnek (vagy nem egyeznek) az ajánlott értékekkel.
• Monitorozza a felhasználókra és eszközökre vonatkozó biztonsági alapkonfigurációk profilját.
• Megtekintheti, hogy a kiválasztott profil beállításai hogyan vannak beállítva egy kiválasztott eszközön.

Az Eszközkonfigurációs jelentés megtekintéséhez azt is megtekintheti, hogy mely eszközkonfiguráció-alapú szabályzatok vonatkoznak az egyes eszközökre, amelyek biztonsági alapkonfigurációkat is tartalmaznak.

A funkcióval kapcsolatos további információkért lásd: Biztonsági alapkonfigurációk az Intune-ban.

Megjegyzés:

2023 májusában az Intune megkezdte egy új biztonsági alapkonfiguráció-formátum kiadását, amely az új alapkonfigurációtípusokra, például a Microsoft 365-alkalmazások és a meglévő alapkonfigurációk újabb verzióira, például a Microsoft Edge alapkonfigurációjának 112-es verziójára vonatkozik. Az új formátum frissíti az alapkonfiguráció beállításait, hogy azok neve és konfigurációs beállításai közvetlenül az alapkonfiguráció-beállítás által kezelt konfigurációs szolgáltatótól (CSP) származhassanak.

Az Intune egy új folyamatot is bevezetett, amellyel egy meglévő biztonsági alapkonfiguráció-profilt migrálhat az újabb alapkonfigurációs verzióra. Ez az új viselkedés egy egyszeri folyamat, amely felváltja a normál frissítési viselkedést, amikor egy régebbi profil legújabb verziójáról egy újabb verzióra vált, amely 2023 májusában vagy később vált elérhetővé.

Az új formátumot használó alapkonfiguráció-példányok jelentés- és monitorozási struktúrája is frissült, amely igazodik az Intune szolgáltatásterületein az idén bevezetett jelentésfejlesztésekhez. Az új formátum jelentésnézetének részleteit ebben a cikkben a régebbi alapkonfigurációkhoz megadott eredeti részletektől elkülönítve mutatjuk be, a régebbi nézetekre vonatkozó számos fogalom továbbra is releváns marad.

Az alapkonfiguráció és az eszközök monitorozása

Tipp

A következő információk a 2023 májusában vagy később kiadott profilverziókra vonatkoznak. A 2023 májusa előtt kiadott profilverziókkal kapcsolatos információkért lásd a cikk későbbi, 2023 májusa előtt kiadott alapverziók profiljainak figyelése című szakaszát.

Az üzembe helyezett biztonsági alapkonfigurációs profil kiválasztásakor betekintést nyerhet az alapkonfigurációt kapott eszközök biztonsági állapotába. Az elemzések megtekintéséhez jelentkezzen be a Microsoft Intune Felügyeleti központba, lépjen a Végpontbiztonsági biztonsági>alapkonfigurációk területre, és válasszon ki egy biztonsági alapkonfigurációtípust, például a vállalati biztonsági alapkonfiguráció Microsoft 365-alkalmazások. Ezután a Profilok panelen válassza ki azt a profilpéldányt, amelynek a részleteit meg szeretné tekinteni a profilok irányítópult nézetének megnyitásához.

Ez az irányítópult-nézet a következőket tartalmazza:

• Az alapértelmezett jelentés magas szintű összegzése, eszköz- és felhasználó-bejelentkezési állapot.
• További részletekért tekintse meg a jelentés megtekintésére szolgáló lehetőséget.
• Két további jelentéscsempét:
  • Eszközhozzárendelés állapota
  • Beállításonkénti állapot
• A Tulajdonságok lista, ahol áttekintheti és szerkesztheti a biztonsági alapkonfiguráció konfigurációját.

Összefoglaló nézet

Ez az összefoglalás egy egyszerű diagram, amely az alapkonfiguráció egy adott állapoteredményét jelentéssel rendelkező eszközök számát mutatja. A vízszintes sáv a rendelkezésre álló kategóriákból származó színekre van felosztva az egyes kategóriákban lévő eszközök számával arányban. Az előző képernyőfelvételen egyetlen eszköz dolgozza fel a szabályzatot, és sikeresnek jelentette a hibát. Ennek eredményeképpen a reprezentációs sáv teljesen zöld.

Jelentés megtekintése

Amikor a Jelentés megtekintése gombra kattint, az Intune részletesebb nézetet jelenít meg az alapkonfigurációs példányok eszköz- és felhasználói bejelentkezési állapotáról . Amikor első alkalommal nyitja meg a jelentést, az üres lesz, amíg ki nem választja a Jelentés létrehozása lehetőséget, majd megjeleníti az információkat.

Az előző képen az irányítópult nézet azonos alapkonfigurációjának jelentéseredményeinek megtekintése látható. Ez a nézet azt mutatja, hogy két másik eszköz is Függőben állapotú hozzárendelési állapottal rendelkezik, ami azt jelenti, hogy még nem adott vissza állapotot ehhez az alaptervhez.

Ezt a jelentésnézetet szűrheti adott hozzárendelési állapotértékekre , majd a Létrehozás újra lehetőséget választva frissítheti a látható eredményeket. Az elérhető oszlopok bármelyikét rendezheti is.

Ha kiválasztja egy eszköz nevét az Eszköznév oszlopban, az Intune megjeleníti a Profilbeállítások nézetet, ahol megtekintheti, hogy az eszközök állapoteredményei a biztonsági alapkonfiguráció egyes beállításainál megjelennek-e. Ezután a Profilbeállítások lapon kiválaszthat egy beállítást a további részletek megtekintéséhez, ami akkor hasznos, ha egy eszköz a Sikeres beállítástól eltérő beállítás eredményét jelenti.

Az alábbi képen részleteztük a EAGLE003, az alapkonfiguráció sikerességét mutató egyetlen eszközt, majd kiválasztottuk a Bővítménykezelés beállítást:

A Beállítások Beállításainak részletei panelen láthatja az ehhez az eszközhöz rendelt profilokat, amelyek ugyanezt a beállítást is konfigurálják.

Ehhez az eszközhöz csak egy forrásprofil kezeli a bővítménykezelési beállítást. Ha más profilok is konfigurálták ezt a beállítást, akkor ezek a profilok is forrásprofilként jelennek meg.

Ha ez a beállítás ütközik, ez a nézet segíthet azonosítani a többi profilt, így egyeztetheti a konzisztens konfigurációt, vagy később az alapprofil-hozzárendeléseket az ütközés eltávolításához.

Eszköz-hozzárendelés állapotjelentése

A jelentés megtekintéséhez válassza az Eszköz-hozzárendelés állapota csempét. Ebben a jelentésben:

• Az eredmények az eszközök listája, hasonlóan az Eszköz és a felhasználó bejelentkezési állapotjelentéséhez .
• Ha kiválaszt egy eszközt ezen a lapon, megnyílik az eszközök Profilbeállítások nézete, amely megegyezik a Jelentés megtekintése gombra kattintva elérhető fő jelentés részletezési nézetével. A Függőben állapotú hozzárendelési állapotú eszközöknek azonban nem jelennek meg az eredmények.
• Ha kiválaszt egy beállítást ebből a nézetből, megnyílik a Beállítások részletei panel, ugyanúgy, mint a fő jelentés részletezésén keresztül.

Beállításonkénti állapotjelentés

A jelentés megtekintéséhez válassza a Beállításonkénti állapot csempét. Ez a jelentés megjeleníti a profil beállításainak listáját, és az egyes állapotokhoz tartozó eszközök eredményeinek számát, például azt, hogy hány eszköz jelent sikert, hibát vagy ütközést.

Ez a nézet nem támogatja a behatolást. Ehelyett a hibás vagy ütköző beállítások követéséhez használhatja a többi jelentést és nézetet. Ha például szeretne többet megtudni azokról az eszközökről, amelyek hibát vagy ütközést jelentettek, megnyithatja az Eszközhozzárendelés állapota csempét, és a jelentéshez a jelentés állapotának hatókörét úgy állíthatja be, hogy csak a vizsgált állapot jelenjen meg. Ezután a jelentéssel folytathatja a részletezéseket a vonatkozó részletek lefuttatásához.

Tulajdonságok

Az irányítópult jelentések szakasza alatt található a profilok Tulajdonságok nézete. A Tulajdonságok között a következőkre van lehetőség:

• Tekintse meg a profil egyes lapjainak konfigurációját.
• Szerkessze a profil konfigurációját, például a profil rövid nevét, a hozzárendeléseit és a profilbeállítások bármelyikét.

A 2023 májusa előtt kiadott alapverziók profiljainak monitorozása

Tipp

A következő információk a 2023 májusa előtt kiadott profilverziókra vonatkoznak. A 2023 májusa után kiadott profilverziókkal kapcsolatos információkért lásd a cikk korábbi, Alapterv és eszközeinek figyelése című szakaszát.

Az alapkonfiguráció monitorozása során a Microsoft javaslatai alapján betekintést nyerhet az eszközök biztonsági állapotába. Az elemzések megtekintéséhez jelentkezzen be a Microsoft Intune Felügyeleti központba, lépjen a Végpontbiztonsági>biztonsági alapkonfigurációk területre, és válasszon ki egy biztonsági alapkonfigurációtípust, például a biztonsági alapkonfigurációt Windows 10 és újabb verziókhoz. Ezután a Verziók panelen válassza ki azt a profilpéldányt, amelynek a részleteit meg szeretné tekinteni az Áttekintés panel megnyitásához.

Az Áttekintés panel két állapotnézetet jelenít meg a kiválasztott alaptervhez:

• Biztonsági alapkonfiguráció állapotdiagramja – Ez a diagram az alapverzió eszközállapotának magas szintű részleteit jeleníti meg. Az elérhető részletek:

  • Alapértelmezett alapkonfigurációnak megfelelő – Ez az állapot azonosítja, ha egy eszközkonfiguráció megegyezik az alapértelmezett (nem módosított) alapkonfigurációval.
  • Egyéni beállításoknak megfelelő – Ez az állapot azonosítja, ha egy eszközkonfiguráció megegyezik az üzembe helyezett alapkonfiguráció testreszabott verziójával.
  • Helytelenül konfigurált – Ez az állapot egy összesítés, amely egy eszköz három állapotfeltételét jelöli: Hiba, Függőben vagy Ütközés. Ezek a különálló állapotok más nézetekből is elérhetők, például a Biztonsági alapkonfiguráció kategória szerint nézetből, amely a diagram alatt jelenik meg.
  • Nem alkalmazható – Ez az állapot olyan eszközt jelöl, amely nem tudja fogadni a szabályzatot. A szabályzat például frissít egy, a Windows legújabb verziójára jellemző beállítást, de az eszköz egy régebbi (korábbi) verziót futtat, amely nem támogatja ezt a beállítást.

• Biztonsági alapkonfiguráció állapota kategória szerint – Az eszköz állapotát kategória szerint megjelenítő listanézet. Ebben a listanézetben ugyanazok a részletek érhetők el, mint a Biztonsági alapkonfiguráció állapotdiagram . A Helytelenül konfigurált helyett azonban három oszlop található a Helytelenül konfigurált állapotállapotokhoz:

  • Hiba: A szabályzat alkalmazása nem sikerült. Az üzenet általában egy magyarázatra hivatkozó hibakóddal jelenik meg.
  • Ütközés: Két beállítás van alkalmazva ugyanarra az eszközre, és az Intune nem tudja rendezni az ütközést. A rendszergazdának át kell tekintenie.
  • Függőben: Az eszköz még nem jelentkezett be az Intune-nal a szabályzat fogadásához.

Ha az előző két nézetet részletezi, az alábbi részleteket tekintheti meg a beállítási állapotról és az eszközállapot-listanézetről:

• Sikeres: A szabályzat alkalmazva van.
• Hiba: A szabályzat alkalmazása nem sikerült. Az üzenet általában egy magyarázatra hivatkozó hibakóddal jelenik meg.
• Ütközés: Két beállítás van alkalmazva ugyanarra az eszközre, és az Intune nem tudja rendezni az ütközést. A rendszergazdának át kell tekintenie.
• Függőben: Az eszköz még nem jelentkezett be az Intune-nal a szabályzat fogadásához.
• Nem alkalmazható: Az eszköz nem tudja fogadni a szabályzatot. A szabályzat például frissít egy, a Windows legújabb verziójára jellemző beállítást, de az eszköz egy régebbi (korábbi) verziót futtat, amely nem támogatja ezt a beállítást.

A Verzió nézetben kiválaszthatja az Eszköz állapota lehetőséget. Az Eszközállapot nézetben megjelenik azoknak az eszközöknek a listája, amelyek megkapják ezt az alapkonfigurációt, és az alábbi részleteket tartalmazzák:

• EGYSZERŰ FELHASZNÁLÓNÉV – Az eszközön az alapkonfigurációhoz társított felhasználói profil.
• BIZTONSÁGI ALAPKONFIGURÁCIÓ ÁLLAPOTA – Ez az oszlop az eszközök állapotát jeleníti meg:
  • Sikeres: A szabályzat alkalmazva van.
  • Hiba: A szabályzat alkalmazása nem sikerült. Az üzenet általában egy magyarázatra hivatkozó hibakóddal jelenik meg.
  • Ütközés: Két beállítás van alkalmazva ugyanarra az eszközre, és az Intune nem tudja rendezni az ütközést. A rendszergazdának át kell tekintenie.
  • Függőben: Az eszköz még nem jelentkezett be az Intune-nal a szabályzat fogadásához.
  • Nem alkalmazható: Az eszköz nem tudja fogadni a szabályzatot. A szabályzat például a Windows legújabb verziójára vonatkozó beállítást frissít, de az eszköz egy régebbi (korábbi) verziót futtat, amely nem támogatja ezt a beállítást
• Utolsó BEJELENTKEZÉS – Azt, hogy mikor érkeztek utoljára állapotok az eszközről.

Tipp

Az alapterv hozzárendelése után akár 24 óra is eltelhet, amíg az adatok megjelennek. A későbbi módosítások megjelenése akár hat órát is igénybe vehet.

A profil monitorozása

A profil monitorozása betekintést nyújt az eszközök üzembehelyezési állapotába, az alapkonfigurációra vonatkozó javaslatok alapján azonban nem.

1. Az Intune-ban válassza a Végpontbiztonsági>biztonsági alapkonfigurációk lehetőséget, válasszon ki egy biztonsági alapkonfigurációtípust, például a biztonsági alapkonfigurációt Windows 10, majd később>válassza ki az alapkonfiguráció>tulajdonságainak egy példányát.

2. Az alapterv Tulajdonságai területen bontsa ki a Beállítások elemet a részletezéshez, és tekintse meg az alapkonfiguráció összes beállításkategóriáját és egyéni beállítását, beleértve az alapkonfiguráció ezen példányának konfigurációját is.

   

3. A Monitorozás beállításaival megtekintheti a profil üzembehelyezési állapotát az egyes eszközökön, az egyes felhasználók állapotát és az alapkonfiguráció példányának beállításait:

   

Biztonsági alapkonfigurációk ütközéseinek feloldása

A biztonsági alapkonfigurációs profilok vagy a végpontbiztonsági szabályzatok beállításaival kapcsolatos ütközések vagy hibák elhárításához tekintse meg az eszköz eszközkonfigurációs jelentését . Ez a jelentésnézet segít azonosítani, hogy a profilok és szabályzatok hol tartalmaznak olyan beállításokat, amelyek Ütközés vagy Hiba állapotot eredményeznek.

Az ütköző vagy hibás beállításokkal kapcsolatos információkat két elérési úton is elérheti Microsoft Intune Felügyeleti központban:

• Végpontbiztonság>Biztonsági alapkonfigurációk>alaptervtípus> kiválasztásaProfilok>alapkonfigurációs példány> kiválasztásaEszköz állapota.
• Eszközök>Minden eszköz>eszköz> kiválasztásaEszközkonfiguráció>válasszon ki egy szabályzatot>válasszon ki egy beállítást a beállítások listájából, amely ütközést vagy hibát jelez.

Részletezés az ütközések azonosításához és feloldásához

1. Az eszköz eszközkonfigurációs jelentésének megtekintésekor válasszon ki egy részletezendő szabályzatot, hogy többet tudjon meg az ütközést vagy hibaállapotot eredményező problémáról.

   A behatoláskor az Intune megjeleníti a szabályzat beállításait, amelyek tartalmazzák a nem konfigurált beállításokat, valamint a beállítás állapotát.

2. Egy adott beállítás részleteinek megtekintéséhez válassza ki azt a Beállítások részletei panel megnyitásához. Ezen a panelen a következőt tekintheti meg:

   • Setting (Beállítás) – A beállítás neve.
   • State (Állapot) – Az eszközön lévő beállítás állapota.
   • Forrásprofilok – Az ütköző profilok listája, amelyek ugyanazt a beállítást konfigurálják, de más értékkel.

3. Az ütköző profilok újrakonfigurálásához válasszon ki egy rekordot a Forrásprofil listából a profil Áttekintés elemének megnyitásához. Válassza ki a profilok Tulajdonságait , majd az ütközés eltávolításához tekintse át és szerkessze a profil beállításait.

Eszközre vonatkozó profilok beállításainak megtekintése

Kiválaszthat egy profilt egy biztonsági alapkonfigurációhoz, és behatolással megtekintheti az adott profil beállításainak listáját az egyes eszközökre való alkalmazásuk során. Részletezés:

• Végpontbiztonság>Minden eszköz>eszköz> kiválasztása Az eszközkonfiguráció kiválaszt egy alapkonfigurációs> szabályzatpéldányt.

A részletezés után a felügyeleti központ megjeleníti az adott profil beállításainak listáját és a beállítások állapotát. Az állapotállapotok a következők:

• Succeeded (Sikeres ) – Az eszközön lévő beállítás megegyezik a profilban konfigurált értékkel. Ez vagy az alapkonfigurációk alapértelmezett és ajánlott értéke, vagy egy rendszergazda által a profil konfigurálásakor megadott egyéni érték.
• Ütközés – A beállítás ütközik egy másik szabályzattal, hibába ütközik, vagy frissítésre vár.
• Hiba – A beállítások nem alkalmazhatók.

Hibaelhárítás beállításonkénti állapottal

Üzembe helyezett egy biztonsági alapkonfigurációt, de az üzembe helyezés állapota hibát jelez. Az alábbi lépések útmutatást nyújtanak a hiba elhárításához.

1. Az Intune-ban válassza a Végpontbiztonság>Biztonsági alapkonfigurációk> lehetőséget, és válasszon ki egy alapkonfigurációt> Profilok.

2. Válasszon ki egy profilt > a Monitor>per-setting állapot alatt.

3. A táblázatban az összes beállítás és az egyes beállítások állapota látható. Válassza a Hiba vagy az Ütközés oszlopot a hibát okozó beállítás megtekintéséhez.

MDM diagnosztikai információk

Most már ismeri a problémás beállítást. A következő lépés annak kiderítése, hogy ez a beállítás miért okoz hibát vagy ütközést.

A Windows 10/11-eszközökön beépített MDM diagnosztikai információs jelentés található. Ez a jelentés alapértelmezett értékeket, aktuális értékeket tartalmaz, listázza a szabályzatot, megmutatja, hogy az eszközre vagy a felhasználóra lett-e telepítve, és így tovább. Ezzel a jelentéssel meghatározhatja, hogy a beállítás miért okoz ütközést vagy hibát.

1. Az eszközön nyissa meg a Beállítások>Fiókok>Hozzáférés munkahelyi vagy iskolai rendszerhez lehetőséget.

2. Válassza ki az Info>Advanced Diagnostic ReportCreate report (Speciális diagnosztikai jelentés >létrehozása) fiókot>.

3. Válassza az Exportálás lehetőséget, és nyissa meg a létrehozott fájlt.

4. A jelentésben keresse meg a hiba- vagy ütközésbeállítást a jelentés különböző szakaszaiban.

Tekintse meg például a Regisztrált konfigurációs források és célerőforrások vagy a Nem felügyelt szabályzatok szakaszt . Előfordulhat, hogy képet kap arról, hogy ez miért okoz hibát vagy ütközést.

Az MDM-hibák diagnosztizálása a Windows 10-ben további információt nyújt erről a beépített jelentésről.

Tipp

• Egyes beállítások a GUID azonosítót is felsorolják. Ezt a GUID azonosítót a helyi beállításjegyzékben (regedit) keresheti meg bármilyen beállított értékre.
• A eseménymegtekintő naplók tartalmazhatnak néhány hibainformációt is a problémás beállítással kapcsolatban (Eseménymegjelenítő>alkalmazások és szolgáltatások naplói>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider>Rendszergazda).

Következő lépések

• Tudnivalók a biztonsági alapkonfigurációkról
• Ütközések elkerülése
• Eszközprofilok monitorozása
• Gyakori problémák és megoldásaik.
• Szabályzatok és profilok hibaelhárítása az Intune-ban