Monitorowanie punktów odniesienia zabezpieczeń i profilów w Microsoft Intune

  • Artykuł

Usługa Intune oferuje kilka opcji monitorowania punktów odniesienia zabezpieczeń. Można:

  • Monitoruj punkt odniesienia zabezpieczeń i wszystkie urządzenia zgodne (lub niezgodne) z zalecanymi wartościami.
  • Monitorowanie profilu punktów odniesienia zabezpieczeń, który ma zastosowanie do użytkowników i urządzeń.
  • Wyświetl sposób ustawiania ustawień z wybranego profilu na wybranym urządzeniu.

Możesz również wyświetlić raport Konfiguracja urządzenia , aby zobaczyć, które zasady oparte na konfiguracji urządzeń mają zastosowanie do poszczególnych urządzeń, które obejmują punkty odniesienia zabezpieczeń.

Aby uzyskać więcej informacji na temat tej funkcji, zobacz Punkty odniesienia zabezpieczeń w usłudze Intune.

Uwaga

W maju 2023 r. usługa Intune rozpoczęła wdrażanie nowego formatu punktu odniesienia zabezpieczeń, który ma zastosowanie do nowych typów punktów odniesienia, takich jak Aplikacje Microsoft 365, oraz do nowszych wersji istniejących punktów odniesienia, takich jak punkt odniesienia przeglądarki Microsoft Edge w wersji 112. Nowy format aktualizuje ustawienia punktu odniesienia, aby bezpośrednio przyjmować ich opcje nazwy i konfiguracji od dostawcy usług konfiguracji (CSP) zarządzanego przez ustawienie punktu odniesienia.

Usługa Intune wprowadziła również nowy proces ułatwiający migrację istniejącego profilu punktu odniesienia zabezpieczeń do nowszej wersji punktu odniesienia. To nowe zachowanie jest jednorazowym procesem, który zastępuje normalne zachowanie aktualizacji po przejściu z najnowszej wersji starszego profilu do nowszej wersji, która stała się dostępna w maju 2023 r. lub nowszym.

Wystąpienia linii bazowych korzystające z tego nowego formatu mają również zaktualizowaną strukturę raportów i monitorowania, która jest zgodna z innymi ulepszeniami raportów wdrożonymi w tym roku w obszarach funkcji usługi Intune. Szczegóły widoku raportu dla nowego formatu są prezentowane w tym artykule oddzielnie od oryginalnych szczegółów podanych dla starszych punktów odniesienia, wiele pojęć omówionych dla starszych widoków pozostaje istotnych.

Monitorowanie punktu odniesienia i urządzeń

Porada

Poniższe informacje dotyczą wersji profilów wydanych w maju 2023 r. lub nowszych. Aby wyświetlić informacje dotyczące wersji profilów wydanych przed majem 2023 r., zobacz Monitorowanie profilów dla wersji bazowych wydanych przed majem 2023 r., w dalszej części tego artykułu.

Po wybraniu wdrożonego profilu punktu odniesienia zabezpieczeń możesz uzyskać wgląd w stan zabezpieczeń urządzeń, które otrzymały ten punkt odniesienia. Aby wyświetlić te szczegółowe informacje, zaloguj się do centrum administracyjnego Microsoft Intune, przejdź dopozycji Punkty odniesienia zabezpieczeńzabezpieczeń> punktu końcowego i wybierz typ punktu odniesienia zabezpieczeń, taki jak Aplikacje Microsoft 365 dla punktu odniesienia zabezpieczeń przedsiębiorstwa. Następnie w okienku Profile wybierz wystąpienie profilu, dla którego chcesz wyświetlić szczegóły, aby otworzyć widok pulpitu nawigacyjnego profilów.

Wyświetl pulpit nawigacyjny profilu punktu odniesienia zabezpieczeń.

Ten widok pulpitu nawigacyjnego obejmuje:

  • Ogólne podsumowanie raportu domyślnego, stan zaewidencjonowania urządzenia i użytkownika.
  • Aby uzyskać więcej szczegółów, opcja Wyświetl raport umożliwia przejście do szczegółów.
  • Dwa dodatkowe kafelki raportu:
    • Stan przypisania urządzenia
    • Stan na ustawienie
  • Lista właściwości , na której można przeglądać i edytować konfigurację punktu odniesienia zabezpieczeń.

Widok podsumowania

To podsumowanie jest prostym wykresem, który przedstawia liczbę urządzeń, które zgłaszają określony wynik stanu punktu odniesienia. Poziomy pasek jest podzielony na kolory z dostępnych kategorii proporcjonalnie do liczby urządzeń w każdej kategorii. W poprzednim przechwytywaniu ekranu pojedyncze urządzenie przetworzło zasady i zgłosiło powodzenie. W rezultacie pasek reprezentacji jest całkowicie zielony.

Wyświetlanie raportu

Po wybraniu przycisku Wyświetl raport usługa Intune wyświetla bardziej szczegółowy widok stanu zaewidencjonowania urządzenia i użytkownika dla tych wystąpień punktu odniesienia. Po pierwszym otwarciu raportu będzie on pusty do momentu wybrania pozycji Generuj raport, po którym zostaną wyświetlone informacje.

Wyświetl szczegóły raportu dotyczące stanu zaewidencjonowania urządzenia i użytkownika.

Na powyższym obrazie są wyświetlane początkowe wyniki widoku raportu dla tego samego punktu odniesienia z widoku pulpitu nawigacyjnego. Ten widok pokazuje, że istnieją dwa inne urządzenia ze stanem PrzypisaniaOczekujące, co oznacza, że nie zwróciły jeszcze stanu dla tego punktu odniesienia.

Możesz filtrować ten widok raportu pod kątem określonych wartości stanu przypisania , a następnie wybrać pozycję Generuj ponownie , aby zaktualizować widoczne wyniki. Możesz również posortować dowolną z dostępnych kolumn.

Jeśli wybierzesz nazwę urządzenia z kolumny Nazwa urządzenia , usługa Intune wyświetli widok Ustawienia profilu , w którym można wyświetlić wyniki stanu urządzeń dla każdego ustawienia w punkcie odniesienia zabezpieczeń. Następnie na stronie Ustawienia profilu możesz wybrać ustawienie, aby wyświetlić więcej szczegółów, co jest przydatne, gdy urządzenie zgłosi wynik dla dowolnego ustawienia innego niż Powodzenie.

Na poniższej ilustracji przejdziemy do szczegółów na EAGLE003, jedynym urządzeniu, które pokazuje powodzenie punktu odniesienia, a następnie wybraliśmy ustawienie Zarządzanie dodatkami:

Wyświetl raportowany stan urządzeń dla każdego ustawienia w punkcie odniesienia.

W okienku Ustawienia szczegółów ustawień możemy zobaczyć każdy profil przypisany do tego urządzenia, który również konfiguruje to samo ustawienie.

W przypadku tego urządzenia istnieje tylko jeden profil źródłowy, który zarządza ustawieniem Dodatek do zarządzania. Jeśli istnieją inne profile, które skonfigurowały to ustawienie, te profile również byłyby wyświetlane jako profil źródłowy.

Jeśli to ustawienie było w konflikcie, ten widok może pomóc w zidentyfikowaniu innych profilów, dzięki czemu można uzgodnić spójną konfigurację lub późniejsze przypisania profilu punktu odniesienia, aby usunąć konflikt.

Raport o stanie przypisania urządzenia

Wybierz kafelek Stan przypisania urządzenia , aby wyświetlić ten raport. W tym raporcie:

  • Wyniki to lista urządzeń podobna do raportu o stanie ewidencjonowania urządzenia i użytkownika .
  • Wybranie urządzenia na tej stronie spowoduje otwarcie widoku ustawień profilu urządzeń, który jest tym samym widokiem, który można zobaczyć z poziomu głównego szczegółu raportu, do którego uzyskujesz dostęp za pomocą przycisku Wyświetl raport. Jednak urządzenia ze stanem Przypisania Oczekujące nie mają wyników do wyświetlenia.
  • Wybranie ustawienia z tego widoku powoduje otwarcie okienka Szczegóły ustawienia, tak samo jak w przypadku głównego przechodzenia do szczegółów raportu.

Raport o stanie dla każdego ustawienia

Wybierz kafelek Stan na ustawienie , aby wyświetlić ten raport. Ten raport zawiera listę ustawień w profilu i dla każdego z nich liczbę wyników z urządzeń dla każdego stanu, na przykład liczbę urządzeń zgłaszanych jako powodzenie, błąd lub konflikt.

Ten widok nie obsługuje przechodzenia do szczegółów. Zamiast tego, aby realizować ustawienia, które są w błędzie lub w konflikcie, możesz użyć innych raportów i widoku. Aby na przykład dowiedzieć się więcej o wszystkich urządzeniach, które mogły zgłaszać błąd lub konflikt, możesz otworzyć kafelek Stan przypisania urządzenia , a dla tego raportu określić zakres stanu raportu, aby wyświetlić tylko badany stan. Następnie za pomocą tego raportu można kontynuować przechodzenie do szczegółów w celu uruchomienia odpowiednich szczegółów.

Właściwości

Poniżej sekcji raportów pulpitu nawigacyjnego można znaleźć widok właściwości profilów. Z właściwości można:

  • Wyświetl konfigurację każdej strony profilu.
  • Edytuj konfigurację profilów, na przykład przyjazną nazwę nadaną profilowi, jego przypisania i dowolne ustawienia profilu.

Wyświetl konfigurację punktów odniesienia, w której można edytować, aby wprowadzać zmiany.

Monitorowanie profilów dla wersji punktu odniesienia wydanych przed majem 2023 r.

Porada

Poniższe informacje dotyczą wersji profilów wydanych przed majem 2023 r. Aby wyświetlić informacje dotyczące wersji profilów wydanych po maju 2023 r., zobacz Monitorowanie punktu odniesienia i urządzeń, wcześniej w tym artykule.

Podczas monitorowania punktu odniesienia uzyskujesz wgląd w stan zabezpieczeń urządzeń na podstawie zaleceń firmy Microsoft. Aby wyświetlić te szczegółowe informacje, zaloguj się do centrum administracyjnego Microsoft Intune, przejdź dopozycji Punkty odniesienia zabezpieczeń>punktu końcowegoi wybierz typ punktu odniesienia zabezpieczeń, taki jak punkt odniesienia zabezpieczeń dla Windows 10 i nowszych. Następnie w okienku Wersje wybierz wystąpienie profilu, dla którego chcesz wyświetlić szczegóły, aby otworzyć okienko Przegląd .

W okienku Przegląd zostaną wyświetlone dwa widoki stanu dla wybranego punktu odniesienia:

  • Wykres stanu punktu odniesienia zabezpieczeń — ten wykres zawiera szczegółowe informacje o stanie urządzenia w wersji bazowej. Dostępne szczegóły:

    • Dopasowuje domyślny plan bazowy — ten stan określa, kiedy konfiguracja urządzeń jest zgodna z domyślną (niezmodyfikowaną) konfiguracją punktu odniesienia.
    • Dopasowuje ustawienia niestandardowe — ten stan określa, kiedy konfiguracja urządzeń jest zgodna z dostosowaną wersją wdrożonego punktu odniesienia.
    • Nieprawidłowa konfiguracja — ten stan to zestawienie reprezentujące trzy warunki stanu z urządzenia: Błąd, Oczekiwanie lub Konflikt. Te oddzielne stany są dostępne z innych widoków, takich jak stan punktu odniesienia zabezpieczeń według kategorii, widok listy, który znajduje się poniżej tego wykresu.
    • Nie dotyczy — ten stan reprezentuje urządzenie, które nie może odbierać zasad. Na przykład zasady aktualizują ustawienie specyficzne dla najnowszej wersji systemu Windows, ale na urządzeniu jest uruchamiana starsza (wcześniejsza) wersja, która nie obsługuje tego ustawienia.

  • Stan punktu odniesienia zabezpieczeń według kategorii — widok listy, który wyświetla stan urządzenia według kategorii. W tym widoku listy są dostępne te same szczegóły co wykres stan punktu odniesienia zabezpieczeń . Jednak zamiast błędnie skonfigurowanych istnieją trzy kolumny stanów stanu, które składają się na błędnie skonfigurowane:

    • Błąd: Nie można zastosować zasad. Komunikat zazwyczaj jest wyświetlany z kodem błędu, który łączy się z wyjaśnieniem.
    • Konflikt: dwa ustawienia są stosowane do tego samego urządzenia, a usługa Intune nie może rozwiązać konfliktu. Administrator powinien dokonać przeglądu.
    • Oczekujące: urządzenie nie zostało jeszcze zaewidencjonowane w usłudze Intune w celu odebrania zasad.

Podczas przechodzenia do szczegółów dwóch poprzednich widoków można wyświetlić następujące szczegóły dotyczące stanu ustawienia i widoków listy stanu urządzenia:

  • Powodzenie: zasady są stosowane.
  • Błąd: Nie można zastosować zasad. Komunikat zazwyczaj jest wyświetlany z kodem błędu, który łączy się z wyjaśnieniem.
  • Konflikt: dwa ustawienia są stosowane do tego samego urządzenia, a usługa Intune nie może rozwiązać konfliktu. Administrator powinien dokonać przeglądu.
  • Oczekujące: urządzenie nie zostało jeszcze zaewidencjonowane w usłudze Intune w celu odebrania zasad.
  • Nie dotyczy: urządzenie nie może odbierać zasad. Na przykład zasady aktualizują ustawienie specyficzne dla najnowszej wersji systemu Windows, ale na urządzeniu jest uruchamiana starsza (wcześniejsza) wersja, która nie obsługuje tego ustawienia.

W widoku Wersja możesz wybrać pozycję Stan urządzenia. Widok Stan urządzenia wyświetla listę urządzeń, które otrzymują ten punkt odniesienia, i zawiera następujące szczegóły:

  • GŁÓWNA NAZWA UŻYTKOWNIKA — profil użytkownika skojarzony z punktem odniesienia na urządzeniu.
  • STAN PUNKTU ODNIESIENIA ZABEZPIECZEŃ — w tej kolumnie jest wyświetlany stan urządzeń:
    • Powodzenie: zasady są stosowane.
    • Błąd: Nie można zastosować zasad. Komunikat zazwyczaj jest wyświetlany z kodem błędu, który łączy się z wyjaśnieniem.
    • Konflikt: dwa ustawienia są stosowane do tego samego urządzenia, a usługa Intune nie może rozwiązać konfliktu. Administrator powinien dokonać przeglądu.
    • Oczekujące: urządzenie nie zostało jeszcze zaewidencjonowane w usłudze Intune w celu odebrania zasad.
    • Nie dotyczy: urządzenie nie może odbierać zasad. Na przykład zasady aktualizują ustawienie specyficzne dla najnowszej wersji systemu Windows, ale na urządzeniu jest uruchomiona starsza (wcześniejsza) wersja, która nie obsługuje tego ustawienia
  • Ostatnie zaewidencjonowanie — kiedy stan został ostatnio odebrany z urządzenia.

Porada

Wyświetlenie danych po pierwszym przypisaniu punktu odniesienia zajmuje do 24 godzin. Późniejsze zmiany mogą potrwać do sześciu godzin.

Monitorowanie profilu

Monitorowanie profilu zapewnia wgląd w stan wdrożenia urządzeń, ale nie stan zabezpieczeń na podstawie zaleceń punktu odniesienia.

  1. W usłudze Intune wybierz pozycjęPunkty odniesienia zabezpieczeń>punktu końcowego, wybierz typ punktu odniesienia zabezpieczeń, taki jak punkt odniesienia zabezpieczeń dla Windows 10, a następnie>wybierz wystąpienie tych właściwości punktu odniesienia>.

  2. W obszarze Właściwości punktu odniesienia rozwiń węzeł Ustawienia , aby przejść do szczegółów i wyświetlić wszystkie kategorie ustawień i poszczególne ustawienia w punkcie odniesienia, w tym ich konfigurację dla tego wystąpienia punktu odniesienia.

    Obraz ekranu przedstawiający widok ustawień

  3. Użyj opcji Monitor , aby wyświetlić stan wdrożenia profilu na poszczególnych urządzeniach, stan każdego użytkownika i stan ustawień z wystąpienia punktu odniesienia:

    Zobacz różne opcje monitorowania profilu punktów odniesienia zabezpieczeń

Rozwiązywanie konfliktów dotyczących punktów odniesienia zabezpieczeń

Aby rozwiązać konflikt lub błąd ustawień w profilach punktów odniesienia zabezpieczeń lub zasadach zabezpieczeń punktu końcowego, wyświetl raport Konfiguracja urządzenia dla urządzenia. Ten widok raportu pomaga określić, gdzie twoje profile i zasady zawierają ustawienia, które powodują stan Konfliktu lub Błędu.

Informacje o ustawieniach powodujących konflikt lub błąd można również uzyskać za pośrednictwem dwóch ścieżek z poziomu centrum administracyjnego Microsoft Intune:

  • Zabezpieczenia> punktu końcowegoPunkty odniesienia> zabezpieczeńwybieranie typu> punktu odniesieniaProfile>wybieranie wystąpienia> punktu odniesieniaStan urządzenia.
  • Urządzeń>Wszystkie urządzenia>wybieranie urządzenia>Konfiguracja> urządzeniawybieranie zasad>wybierz ustawienie z listy ustawień pokazujące konflikt lub błąd.

Przechodzenie do szczegółów w celu identyfikowania i rozwiązywania konfliktów

  1. Podczas wyświetlania raportu konfiguracji urządzenia wybierz zasady do przeglądania szczegółowego, aby dowiedzieć się więcej o problemie, który powoduje konflikt lub stan błędu.

    Podczas przechodzenia do szczegółów usługa Intune wyświetla listę ustawień dla tych zasad, które obejmują każde ustawienie, które nie zostało ustawione jako Nieskonfigurowane, oraz stan tego ustawienia.

  2. Aby wyświetlić szczegóły dotyczące określonego ustawienia, wybierz je, aby otworzyć okienko Szczegóły ustawień . W tym okienku można wyświetlić następujące dane:

    • Ustawienie — nazwa ustawienia.
    • State — stan ustawienia na urządzeniu.
    • Profile źródłowe — lista każdego profilu powodującego konflikt, który konfiguruje to samo ustawienie, ale z inną wartością.

  3. Aby ponownie skonfigurować profile powodujące konflikt, wybierz rekord z listy Profil źródłowy , aby otworzyć pozycję Przegląd dla tego profilu. Wybierz profile Właściwości , a następnie możesz przejrzeć i edytować ustawienia w tym profilu, aby usunąć konflikt.

Wyświetlanie ustawień z profilów mających zastosowanie do urządzenia

Możesz wybrać profil punktu odniesienia zabezpieczeń i przejść do szczegółów, aby wyświetlić listę ustawień z tego profilu w miarę ich stosowania do poszczególnych urządzeń. Aby przejść do szczegółów:

  • Zabezpieczenia> punktu końcowegoWszystkie urządzenia>wybieranie urządzenia> Konfiguracja > urządzenia wybierz wystąpienie zasad punktu odniesienia.

Po przejściu do szczegółów centrum administracyjne wyświetli listę ustawień z tego profilu i stan ustawień. Stany stanu obejmują:

  • Powodzenie — ustawienie na urządzeniu jest zgodne z wartością skonfigurowaną w profilu. Jest to domyślna i zalecana wartość punktu odniesienia lub wartość niestandardowa określona przez administratora podczas konfigurowania profilu.
  • Konflikt — ustawienie jest w konflikcie z innymi zasadami, ma błąd lub oczekuje na aktualizację.
  • Błąd — nie można zastosować ustawień.

Rozwiązywanie problemów z używaniem stanu na ustawienie

Wdrożono punkt odniesienia zabezpieczeń, ale stan wdrożenia pokazuje błąd. Poniższe kroki zawierają wskazówki dotyczące rozwiązywania problemów z błędem.

  1. W usłudze Intune wybierz pozycjęPunkty odniesienia>zabezpieczeń> punktu końcowego, wybierając profile punktu odniesienia>.

  2. Wybierz profil > w obszarze Monitoruj>stan na ustawienie.

  3. W tabeli przedstawiono wszystkie ustawienia i stan każdego ustawienia. Wybierz kolumnę Błąd lub kolumnę Konflikt , aby wyświetlić ustawienie powodujące błąd.

Informacje diagnostyczne dotyczące zarządzania urządzeniami przenośnymi

Teraz znasz problematyczne ustawienie. Następnym krokiem jest ustalenie, dlaczego to ustawienie powoduje błąd lub konflikt.

Na urządzeniach Windows 10/11 jest wbudowany raport z informacjami diagnostycznymi mdm. Ten raport zawiera wartości domyślne, bieżące wartości, listę zasad, pokazuje, czy zostały wdrożone na urządzeniu lub w użytkowniku i nie tylko. Użyj tego raportu, aby określić, dlaczego ustawienie powoduje konflikt lub błąd.

  1. Na urządzeniu przejdź do pozycji Ustawienia>Konta>Dostęp do pracy lub szkoły.

  2. Wybierzraport Tworzenia zaawansowanego raportu>diagnostycznegoinformacji o> koncie>.

  3. Wybierz pozycję Eksportuj i otwórz wygenerowany plik.

  4. W raporcie poszukaj ustawienia błędu lub konfliktu w różnych sekcjach raportu.

Zobacz na przykład sekcję Zarejestrowane źródła konfiguracji i zasoby docelowe lub Zasady niezarządzane . Możesz zorientować się, dlaczego powoduje to błąd lub konflikt.

Diagnozowanie błędów zarządzania urządzeniami przenośnymi w Windows 10 zawiera więcej informacji na temat tego wbudowanego raportu.

Porada

  • Niektóre ustawienia zawierają również listę identyfikatorów GUID. Możesz wyszukać ten identyfikator GUID w rejestrze lokalnym (regedit) dla dowolnych ustawionych wartości.
  • Dzienniki Podgląd zdarzeń mogą również zawierać pewne informacje o błędach dotyczące problematycznego ustawienia (Dzienniki> aplikacji i usług przeglądarki> zdarzeńMicrosoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider>Administracja).

Następne kroki