Monitorar perfis e linhas de base de segurança no Microsoft Intune

O Intune oferece várias opções para monitorar as linhas de base de segurança. Você pode:

• Monitorar uma linha de base de segurança e todos os dispositivos que correspondem (ou não) aos valores recomendados.
• Monitorar o perfil das linhas de base de segurança que se aplica aos seus usuários e dispositivos.
• Ver como as configurações de um perfil selecionado estão definidas em um dispositivo selecionado.

Você também pode exibir o Relatório de configuração do dispositivo para ver quais políticas baseadas na configuração do dispositivo se aplicam a dispositivos individuais, que incluem linhas de base de segurança.

Para obter mais informações sobre o recurso, confira Linhas de base de segurança no Intune.

Observação

Em maio de 2023, o Intune iniciou a implantação de um novo formato de linha de base de segurança que se aplica a novos tipos de linha de base, como Microsoft 365 Apps, e às versões mais recentes das linhas de base existentes, como a versão 112 da linha de base do Microsoft Edge. O novo formato atualiza as configurações de linha de base para tirar diretamente o nome e as opções de configuração do CSP (provedor de serviços de configuração) que a configuração de linha de base gerencia.

O Intune também introduziu um novo processo para ajudar você a migrar um perfil de linha de base de segurança existente para a versão mais recente da linha de base. Esse novo comportamento é um processo único que substitui o comportamento de atualização normal quando você passa da versão mais recente de um perfil mais antigo para uma versão mais recente que ficou disponível em maio de 2023 ou posterior.

As instâncias de linhas de base que usam esse novo formato também têm uma estrutura de relatório e monitoramento atualizada que se alinha a outras melhorias de relatório implementadas este ano em áreas de recursos do Intune. Os detalhes da exibição do relatório para o novo formato são apresentados neste artigo separadamente dos detalhes originais fornecidos para as linhas de base mais antigas, muitos dos conceitos discutidos para as exibições mais antigas permanecem relevantes.

Monitorar a linha de base e seus dispositivos

Dica

As informações a seguir se aplicam às versões de perfil lançadas em maio de 2023 ou posteriores. Para exibir informações sobre versões de perfil lançadas antes de maio de 2023, confira Monitorar perfis para versões de linha de base lançadas antes de maio de 2023, posteriormente neste artigo.

Ao selecionar um perfil de linha de base de segurança que você implantou, você pode obter informações sobre o estado de segurança dos dispositivos que receberam essa linha de base. Para exibir esses insights, entre no centro de administração Microsoft Intune, acesselinhas de base desegurança> do Ponto de Extremidade e selecione um tipo de linha de base de segurança como o Microsoft 365 Apps para a Linha de Base de Segurança Corporativa. Em seguida, no painel Perfis, selecione a instância de perfil para a qual você deseja exibir detalhes para abrir os perfis dashboard exibição.

Esta exibição dashboard inclui:

• Um resumo de alto nível do relatório padrão, dispositivo e marcar de usuário status.
• Uma opção Exibir relatório para detalhar para obter mais detalhes.
• Dois blocos de relatório adicionais:
  • Atribuição do dispositivo status
  • Por configuração status
• Uma lista Propriedades em que você pode examinar e editar a configuração da linha de base de segurança.

Exibição resumida

Este resumo é um gráfico simples que apresenta uma contagem de dispositivos que relatam um resultado status específico para a linha de base. A barra horizontal é dividida em cores das categorias disponíveis em proporção à contagem de dispositivos em cada categoria. Na captura de tela anterior, um único dispositivo processou a política e relatou sucesso. Como resultado, a barra representacional é totalmente verde.

Exibir relatório

Quando você seleciona o botão Exibir relatório, o Intune exibe uma exibição mais detalhada do dispositivo e do status de marcar do usuário para estas instâncias de linha de base. Quando você abrir o relatório pela primeira vez, ele ficará vazio até selecionar Gerar relatório, após o qual ele exibe informações.

A imagem anterior exibe os resultados do relatório de exibição inicial para a mesma linha de base do modo de exibição dashboard. Essa exibição mostra que há outros dois dispositivos que têm uma status de Atribuição de Pending, o que significa que eles ainda não retornaram status para esta linha de base.

Você pode filtrar essa exibição de relatório para valores específicos de atribuição status e selecionar Gerar novamente para atualizar os resultados visíveis. Você também pode classificar qualquer uma das colunas disponíveis.

Se você selecionar o nome de um dispositivo na coluna Nome do dispositivo, o Intune exibirá a exibição Configurações de Perfil em que você pode exibir que dispositivos status resultados para cada configuração na linha de base de segurança. Em seguida, na página Configurações de Perfil, você pode selecionar uma configuração para exibir mais detalhes, o que é útil quando um dispositivo relata um resultado para qualquer configuração diferente de Bem-sucedida.

Na imagem a seguir, detalhamos EAGLE003, o único dispositivo a mostrar êxito para a linha de base e selecionamos a configuração Gerenciamento de Complementos:

No painel Configurações De detalhes, podemos ver cada perfil atribuído a esse dispositivo que também configura essa mesma configuração.

Para este dispositivo, há apenas um perfil de origem que gerencia a configuração de gerenciamento de suplementos. Se houvesse outros perfis que configurassem essa configuração, esses perfis também seriam listados como um Perfil de Origem.

Se essa configuração estiver em conflito, essa exibição pode ajudá-lo a identificar os outros perfis para que você possa reconciliar uma configuração consistente ou atribuições de perfil de linha de base posteriores para remover o conflito.

Relatório status de atribuição de dispositivo

Selecione o bloco de atribuição do dispositivo status para exibir este relatório. Neste relatório:

• Os resultados são uma lista de dispositivos, semelhante ao relatório status dispositivo e marcar de usuário.
• A seleção de um dispositivo nesta página abre a exibição configurações de perfil de dispositivos, que é a mesma exibição que você pode ver no main relatório de detalhamento que você acessa no botão Exibir relatório. No entanto, os dispositivos que têm um status de Atribuição de Pending não têm resultados a serem exibidos.
• Selecionar uma configuração desse modo de exibição abre o painel Detalhes de Configuração, o mesmo que por meio do main detalhamento de relatório.

Por configuração status relatório

Selecione o bloco Per setting status para exibir este relatório. Este relatório exibe uma lista das configurações no perfil e, para cada um, a contagem de resultados de dispositivos para cada status, como quantos dispositivos relatam Sucesso, Erro ou Conflito.

Essa exibição não tem suporte para detalhamento. Em vez disso, para buscar configurações que estão em erro ou conflito, você pode usar os outros relatórios e exibir. Por exemplo, para encontrar mais sobre quaisquer dispositivos que possam ter relatado um Erro ou Conflito, você pode abrir o bloco status de atribuição do dispositivo e, para esse relatório, escopo do relatório status para mostrar apenas o status que você está investigando. Em seguida, com esse relatório, você pode continuar a detalhar para executar os detalhes relevantes.

Propriedades

Abaixo da seção de relatórios do dashboard, você pode encontrar a exibição propriedades de perfis. Em Propriedades que você pode:

• Exiba a configuração de cada página do perfil.
• Edite a configuração de perfis, como o nome amigável que você deu ao perfil, suas Atribuições e qualquer uma das configurações de perfil.

Monitorar perfis para versões de linha de base lançadas antes de maio de 2023

Dica

As informações a seguir se aplicam às versões de perfil lançadas antes de maio de 2023. Para exibir informações sobre versões de perfil lançadas após maio de 2023, consulte Monitorar a linha de base e seus dispositivos, anteriormente neste artigo.

Ao monitorar uma linha de base, você obtém insights sobre o estado de segurança de seus dispositivos com base nas recomendações da Microsoft. Para exibir esses insights, entre no centro de administração Microsoft Intune, acesselinhas de base desegurança> do Ponto de Extremidade e selecione um tipo de linha de base de segurança como a Linha de Base de Segurança para Windows 10 e posterior. Em seguida, no painel Versões, selecione a instância do perfil cujos detalhes deseja exibir para abrir seu painel Visão geral.

O painel Visão geral apresenta duas exibições de status para a linha de base selecionada:

• Gráfico Situação da linha de base de segurança – este gráfico exibe detalhes de alto nível sobre o status do dispositivo com relação à versão de linha de base. Os detalhes disponíveis:

  • Corresponde à linha de base padrão – este status identifica quando a configuração de um dispositivo corresponde à configuração de linha de base padrão (não modificada).
  • Corresponde às configurações personalizadas – este status identifica quando a configuração de um dispositivo corresponde à versão personalizada da linha de base implantada.
  • Desconfigurado – Esse status é um roll-up que representa três condições de status de um dispositivo: Erro, Pendente ou Conflito. Esses estados diferentes estão disponíveis em outras exibições, como a Situação da linha de base de segurança por categoria, uma exibição em lista que aparece abaixo deste gráfico.
  • Não aplicável – este status representa um dispositivo que não pode receber a política. Por exemplo, a política atualiza uma configuração específica para a versão mais recente do Windows, mas o dispositivo executa uma versão mais antiga (anterior) que não dá suporte a essa configuração.

• Situação da linha de base de segurança por categoria – uma exibição em lista que exibe o status do dispositivo por categoria. Nesta exibição em lista, os mesmos detalhes do gráfico Situação da linha de base de segurança estão disponíveis. No entanto, no lugar de Configurações Incorretas, há três colunas para os estados status que compõem a configuração incorreta:

  • Erro: houve falha na aplicação da política. A mensagem normalmente é exibida com um código de erro vinculado a uma explicação.
  • Conflito: duas configurações foram aplicadas ao mesmo dispositivo e o Intune não pode classificar o conflito. Um administrador deve verificar o problema.
  • Pendente: o dispositivo ainda não fez check-in no Intune para receber a política.

Ao detalhar as duas exibições anteriores, você pode ver os seguintes detalhes das exibições em lista de status da configuração e status do dispositivo:

• Bem-sucedido: a política foi aplicada.
• Erro: houve falha na aplicação da política. A mensagem normalmente é exibida com um código de erro vinculado a uma explicação.
• Conflito: duas configurações foram aplicadas ao mesmo dispositivo e o Intune não pode classificar o conflito. Um administrador deve verificar o problema.
• Pendente: o dispositivo ainda não fez check-in no Intune para receber a política.
• Não aplicável: o dispositivo não pode receber a política. Por exemplo, a política atualiza uma configuração específica para a versão mais recente do Windows, mas o dispositivo executa uma versão mais antiga (anterior) que não dá suporte a essa configuração.

Na exibição Versão, você pode selecionar Status do dispositivo. A exibição Status do dispositivo mostra uma lista dos dispositivos que recebem essa linha de base e inclui os seguintes detalhes:

• NOME PRINCIPAL DO USUÁRIO - O perfil do usuário associado à linha de base no dispositivo.
• SITUAÇÃO DA LINHA DE BASE DE SEGURANÇA – esta coluna exibe o estado do dispositivo:
  • Bem-sucedido: a política foi aplicada.
  • Erro: houve falha na aplicação da política. A mensagem normalmente é exibida com um código de erro vinculado a uma explicação.
  • Conflito: duas configurações foram aplicadas ao mesmo dispositivo e o Intune não pode classificar o conflito. Um administrador deve verificar o problema.
  • Pendente: o dispositivo ainda não fez check-in no Intune para receber a política.
  • Não aplicável: o dispositivo não pode receber a política. Por exemplo, a política atualiza uma configuração específica para a versão mais recente do Windows, mas o dispositivo executa uma versão mais antiga (anterior) sem suporte para essa configuração
• ÚLTIMO CHECK-IN – quando o status foi recebido do dispositivo pela última vez.

Dica

Demora até 24 horas para os dados serem exibidos após a primeira atribuição de uma linha de base. Alterações posteriores levam até seis horas para serem exibidas.

Monitorar o perfil

O monitoramento do perfil fornece informações sobre o estado de implantação de seus dispositivos, mas não sobre o estado de segurança com base nas recomendações da linha de base.

1. No Intune, selecioneLinhas de base desegurança> do Ponto de Extremidade Segurança, selecione um tipo de linha de base de segurança como a Linha de Base de Segurança para Windows 10 e, posteriormente,>selecione uma instância dessa linha de base>Propriedades.

2. Nas Propriedades da linha de base, expanda Configurações para detalhar e exibir todas as categorias de configurações e configurações individuais na linha de base, incluindo sua configuração para esta instância da linha de base.

   

3. Use as opções de Monitoramento para exibir o status da implantação do perfil em dispositivos individuais, o status de cada usuário e o status das configurações na instância da linha de base:

   

Resolver conflitos das linhas de base de segurança

Para ajudar a resolver um conflito ou erro de configurações em seus perfis de linha de base de segurança ou políticas de segurança de ponto de extremidade, exiba o Relatório de configuração do dispositivo para um dispositivo. Essa exibição de relatório ajuda a identificar onde seus perfis e políticas contêm configurações que geram um status de Conflito ou Erro.

Você também pode acessar informações sobre configurações em conflito ou erro por meio de dois caminhos de dentro Microsoft Intune centro de administração:

• Segurança do ponto de extremidade>Linhas de base de> segurançaselecionar um tipo> de linha de basePerfis>selecionar uma instância> de linha de baseDispositivo status.
• Dispositivos>Todos os dispositivos>selecione um dispositivo>Configuração do dispositivo>selecione uma Política >selecione uma configuração na lista de configurações que mostra um conflito ou erro.

Detalhar para identificar e resolver conflitos

1. Ao visualizar o relatório de configuração do dispositivo para um dispositivo, selecione uma política para detalhar para saber mais sobre o problema que resulta em um status de conflito ou erro.

   Quando você faz drill-in, o Intune exibe uma lista de configurações para essa política que inclui cada configuração que não foi definida como Não configurada e o status dessa configuração.

2. Para exibir os detalhes de uma configuração específica, selecione-a para abrir o painel Detalhes das configurações. Neste painel, você pode exibir:

   • Configuração – o nome da configuração.
   • Estado – o status da configuração no dispositivo.
   • Perfis de Origem – Uma lista de cada perfil conflitante que define a mesma configuração, mas com um valor diferente.

3. Para reconfigurar perfis conflitantes, selecione um registro na lista Perfil de Origem para abrir a Visão geral desse perfil. Selecione as Propriedades dos perfis e você poderá revisar e editar as configurações desse perfil para remover o conflito.

Exibir configurações de perfis que se aplicam a um dispositivo

Você pode selecionar um perfil para uma linha de base de segurança e fazer drill-in para exibir uma lista de configurações desse perfil conforme elas se aplicam a um dispositivo individual. Para detalhar:

• Segurança do ponto de extremidade>Todos os dispositivos>selecionar um dispositivo> A configuração > do dispositivo seleciona uma instância de política de linha de base.

Depois de detalhar, o centro de administração exibe uma lista das configurações desse perfil e o status das configurações. Os estados de status incluem:

• Êxito – A configuração no dispositivo corresponde ao valor configurado no perfil. Esse é o padrão das linhas de base e o valor recomendado, ou um valor personalizado especificado por um administrador quando o perfil foi configurado.
• Conflito – a configuração está em conflito com outra política, tem um erro ou está aguardando uma atualização.
• Erro - As configurações não foram aplicadas.

Solucionar problemas usando o status por configuração

Você implantou uma linha de base de segurança, mas o status da implantação mostra um erro. As etapas a seguir fornecem orientações sobre como solucionar o erro.

1. No Intune, selecioneLinhas de base de segurança do ponto de extremidade As linhas > de base de segurança> selecionam um perfil de linha de base>.

2. Selecione um perfil > em Monitorar>status por configuração.

3. A tabela mostra todas as configurações e o status de cada uma delas. Selecione a coluna Erro ou a coluna Conflito para ver a configuração que está causando o erro.

Informações de diagnóstico de MDM

Agora você sabe qual a configuração problemática. A próxima etapa é descobrir por que essa configuração está causando um erro ou conflito.

Em dispositivos com Windows 10/11, há um relatório de informações de diagnóstico interno do MDM. Este relatório inclui valores padrão, valores atuais, lista a política, mostra se foi implantada para o dispositivo ou para o usuário, e muito mais. Use esse relatório para ajudar a determinar por que a configuração está causando um conflito ou erro.

1. No dispositivo, acesse Configurações>Contas>Acessar conta corporativa ou de estudante.

2. Selecione a conta >Info>Advanced Diagnostic Report>Create report.

3. Escolha Exportar e abra o arquivo gerado.

4. Procure a configuração com erro ou conflito nas várias seções do relatório.

Por exemplo, examine a seção Fontes de configuração e recursos de destino inscritos ou a seção Políticas não gerenciadas. Você pode ter uma ideia de por que isso está causando um erro ou conflito.

Diagnosticar falhas de MDM no Windows 10 fornece mais informações sobre esse relatório interno.

Dica

• Algumas configurações também listam o GUID. Você pode procurar esse GUID no registro local (regedit) para quaisquer e valores definidos.
• Os logs do Visualizador de Eventos também podem incluir algumas informações de erro sobre a configuração problemática (Visualizador de eventos>Logs de Aplicativos e Serviços>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider>Administrador).

Próximas etapas

• Saiba mais sobre linhas de base de segurança
• Evitar conflitos
• Monitorar perfis de dispositivo
• Problemas comuns e resoluções.
• Solucionar problemas de políticas e perfis no Intune