Monitorar perfis e linhas de base de segurança no Microsoft Intune
O Intune oferece várias opções para monitorar as linhas de base de segurança. Você pode:
- Monitorar uma linha de base de segurança e todos os dispositivos que correspondem (ou não) aos valores recomendados.
- Monitorar o perfil das linhas de base de segurança que se aplica aos seus usuários e dispositivos.
- Ver como as configurações de um perfil selecionado estão definidas em um dispositivo selecionado.
Você também pode exibir o Relatório de configuração do dispositivo para ver quais políticas baseadas na configuração do dispositivo se aplicam a dispositivos individuais, que incluem linhas de base de segurança.
Para obter mais informações sobre o recurso, confira Linhas de base de segurança no Intune.
Observação
Em maio de 2023, o Intune iniciou a implementação de um novo formato de linha de base de segurança que se aplica a novos tipos de linha de base, como o Microsoft 365 Apps, e às versões mais recentes das linhas de base existentes, como a versão 112 da linha de base do Microsoft Edge. O novo formato atualiza as definições de linha de base para tirar diretamente o nome e as opções de configuração do fornecedor de serviços de configuração (CSP) que a definição de linha de base gere.
O Intune também introduziu um novo processo para o ajudar a migrar um perfil de linha de base de segurança existente para a versão de linha de base mais recente. Este novo comportamento é um processo único que substitui o comportamento de atualização normal quando passa da versão mais recente de um perfil mais antigo para uma versão mais recente que ficou disponível em maio de 2023 ou posterior.
As instâncias de linhas de base que utilizam este novo formato também têm uma estrutura de relatórios e monitorização atualizada que se alinha com outras melhorias de relatórios implementadas este ano em áreas de funcionalidades do Intune. Os detalhes da vista de relatório para o novo formato são apresentados neste artigo separadamente dos detalhes originais fornecidos para as linhas de base mais antigas, muitos dos conceitos discutidos para as vistas mais antigas permanecem relevantes.
Monitorar a linha de base e seus dispositivos
Dica
As seguintes informações aplicam-se às versões de perfil lançadas em maio de 2023 ou posterior. Para ver informações sobre as versões de perfil lançadas antes de maio de 2023, consulte Monitorizar perfis para versões de linha de base lançadas antes de maio de 2023, mais à frente neste artigo.
Quando seleciona um perfil de linha de base de segurança que implementou, pode obter informações sobre o estado de segurança dos dispositivos que receberam essa linha de base. Para ver estas informações, inicie sessão no centro de administração do Microsoft Intune, aceda aLinhas de base de Segurança de Segurança> de Ponto Finale selecione um tipo de linha de base de segurança como a Linha de Base de Segurança do Microsoft 365 Apps for Enterprise. Em seguida, no painel Perfis , selecione a instância de perfil para a qual pretende ver os detalhes para abrir a vista do dashboard de perfis.
Esta vista de dashboard inclui:
- Um resumo de alto nível do relatório predefinido, Estado de entrada do dispositivo e do utilizador.
- Uma opção Ver relatório para explorar para obter mais detalhes.
- Dois mosaicos de relatório adicionais:
- Estado da atribuição de dispositivos
- Por estado de definição
- Uma lista propriedades onde pode rever e editar a configuração da linha de base de segurança.
Exibição resumida
Este resumo é um gráfico simples que apresenta uma contagem de dispositivos que comunicam um resultado de estado específico para a linha de base. A barra horizontal é dividida em cores das categorias disponíveis em proporção à contagem de dispositivos em cada categoria. Na captura de ecrã anterior, um único dispositivo processou a política e reportou êxito. Como resultado, a barra de representação é totalmente verde.
Ver relatório
Quando seleciona o botão Ver relatório , o Intune apresenta uma vista mais detalhada do estado de entrada do dispositivo e do utilizador para estas instâncias de linha de base. Quando abrir o relatório pela primeira vez, este ficará vazio até selecionar Gerar relatório, após o qual apresenta informações.
A imagem anterior apresenta os resultados iniciais do relatório Ver para a mesma linha de base da vista do dashboard. Esta vista mostra que existem outros dois dispositivos com o estado Atribuiçãopendente, o que significa que ainda não devolveram o estado desta linha base.
Pode filtrar esta vista de relatório para valores de estado de Atribuição específicos e selecionar Gerar novamente para atualizar os resultados visíveis. Também pode ordenar qualquer uma das colunas disponíveis.
Se selecionar o nome de um dispositivo na coluna Nome do dispositivo, o Intune apresenta a vista Definições de Perfil onde pode ver os resultados do estado dos dispositivos para cada definição na linha de base de segurança. Em seguida, na página Definições do Perfil, pode selecionar uma definição para ver mais detalhes, o que é útil quando um dispositivo comunica um resultado para qualquer definição diferente de Com êxito.
Na imagem seguinte, vamos explorar EAGLE003, o único dispositivo a mostrar êxito para a linha de base e, em seguida, selecionámos a definição Gestão de Suplementos:
No painel Definições Detalhes da Definição, podemos ver cada perfil atribuído a este dispositivo que também configura esta mesma definição.
Para este dispositivo, existe apenas um perfil de origem que gere a definição Gestão de suplementos. Se houvesse outros perfis que configurassem esta definição, esses perfis também seriam listados como um Perfil de Origem.
Se esta definição estiver em conflito, esta vista pode ajudá-lo a identificar os outros perfis para que possa reconciliar uma configuração consistente ou atribuições de perfis de linha de base posteriores para remover o conflito.
Relatório de estado da atribuição de dispositivos
Selecione o mosaico Estado da atribuição de dispositivos para ver este relatório. Neste relatório:
- Os resultados são uma lista de dispositivos, semelhante ao relatório de estado de entrada do dispositivo e do utilizador .
- A seleção de um dispositivo nesta página é aberta na vista Definições de Perfil dos dispositivos, que é a mesma vista que pode ver a partir da desagregação de relatório principal a que acede a partir do botão Ver relatório. No entanto, os dispositivos com o estado Atribuição pendente não têm resultados para apresentar.
- Selecionar uma definição desta vista abre o painel Detalhes da Definição, tal como acontece através da exploração de relatórios principal.
Relatório de estado por definição
Selecione o mosaico Estado por definição para ver este relatório. Este relatório apresenta uma lista das definições no perfil e, para cada um, a contagem de resultados de dispositivos para cada estado, como quantos dispositivos reportam Êxito, Erro ou Conflito.
Esta vista não suporta a exploração. Em vez disso, para prosseguir as definições que estão em erro ou em conflito, pode utilizar os outros relatórios e ver. Por exemplo, para saber mais sobre quaisquer dispositivos que possam ter comunicado um Erro ou Conflito, pode abrir o mosaico Estado da atribuição de dispositivos e, nesse relatório, definir o âmbito do estado do relatório para mostrar apenas o estado que está a investigar. Em seguida, com esse relatório, pode continuar a pormenorizar para analisar os detalhes relevantes.
Propriedades
Abaixo da secção de relatórios do dashboard, pode encontrar a vista Propriedades dos perfis. Em Propriedades, pode:
- Ver a configuração de cada página do perfil.
- Edite a configuração dos perfis, como o nome amigável que atribuiu ao perfil, as Respetivas Atribuições e qualquer uma das definições de perfil.
Monitorizar perfis para versões de linha de base lançadas antes de maio de 2023
Dica
As seguintes informações aplicam-se às versões de perfil lançadas antes de maio de 2023. Para ver informações sobre as versões de perfil lançadas após maio de 2023, consulte Monitorizar a linha de base e os seus dispositivos, anteriormente neste artigo.
Ao monitorar uma linha de base, você obtém insights sobre o estado de segurança de seus dispositivos com base nas recomendações da Microsoft. Para ver estas informações, inicie sessão no centro de administração do Microsoft Intune, aceda aLinhas de base de Segurança de Ponto> Final e selecione um tipo de linha de base de segurança como a Linha de Base de Segurança para Windows 10 e posterior. Em seguida, no painel Versões, selecione a instância do perfil cujos detalhes deseja exibir para abrir seu painel Visão geral.
O painel Visão geral apresenta duas exibições de status para a linha de base selecionada:
Gráfico Situação da linha de base de segurança – este gráfico exibe detalhes de alto nível sobre o status do dispositivo com relação à versão de linha de base. Os detalhes disponíveis:
- Corresponde à linha de base padrão – este status identifica quando a configuração de um dispositivo corresponde à configuração de linha de base padrão (não modificada).
- Corresponde às configurações personalizadas – este status identifica quando a configuração de um dispositivo corresponde à versão personalizada da linha de base implantada.
- Desconfigurado – Esse status é um roll-up que representa três condições de status de um dispositivo: Erro, Pendente ou Conflito. Esses estados diferentes estão disponíveis em outras exibições, como a Situação da linha de base de segurança por categoria, uma exibição em lista que aparece abaixo deste gráfico.
- Não aplicável – este status representa um dispositivo que não pode receber a política. Por exemplo, a política atualiza uma configuração específica para a versão mais recente do Windows, mas o dispositivo executa uma versão mais antiga (anterior) que não dá suporte a essa configuração.
Situação da linha de base de segurança por categoria – uma exibição em lista que exibe o status do dispositivo por categoria. Nesta exibição em lista, os mesmos detalhes do gráfico Situação da linha de base de segurança estão disponíveis. No entanto, em vez de Configurado incorretamente , existem três colunas para os estados de estado que compõem Configurado incorretamente:
- Erro: houve falha na aplicação da política. A mensagem normalmente é exibida com um código de erro vinculado a uma explicação.
- Conflito: duas configurações foram aplicadas ao mesmo dispositivo e o Intune não pode classificar o conflito. Um administrador deve verificar o problema.
- Pendente: o dispositivo ainda não fez check-in no Intune para receber a política.
Ao detalhar as duas exibições anteriores, você pode ver os seguintes detalhes das exibições em lista de status da configuração e status do dispositivo:
- Bem-sucedido: a política foi aplicada.
- Erro: houve falha na aplicação da política. A mensagem normalmente é exibida com um código de erro vinculado a uma explicação.
- Conflito: duas configurações foram aplicadas ao mesmo dispositivo e o Intune não pode classificar o conflito. Um administrador deve verificar o problema.
- Pendente: o dispositivo ainda não fez check-in no Intune para receber a política.
- Não aplicável: o dispositivo não pode receber a política. Por exemplo, a política atualiza uma configuração específica para a versão mais recente do Windows, mas o dispositivo executa uma versão mais antiga (anterior) que não dá suporte a essa configuração.
Na exibição Versão, você pode selecionar Status do dispositivo. A exibição Status do dispositivo mostra uma lista dos dispositivos que recebem essa linha de base e inclui os seguintes detalhes:
- NOME PRINCIPAL DO USUÁRIO - O perfil do usuário associado à linha de base no dispositivo.
-
SITUAÇÃO DA LINHA DE BASE DE SEGURANÇA – esta coluna exibe o estado do dispositivo:
- Bem-sucedido: a política foi aplicada.
- Erro: houve falha na aplicação da política. A mensagem normalmente é exibida com um código de erro vinculado a uma explicação.
- Conflito: duas configurações foram aplicadas ao mesmo dispositivo e o Intune não pode classificar o conflito. Um administrador deve verificar o problema.
- Pendente: o dispositivo ainda não fez check-in no Intune para receber a política.
- Não aplicável: o dispositivo não pode receber a política. Por exemplo, a política atualiza uma configuração específica para a versão mais recente do Windows, mas o dispositivo executa uma versão mais antiga (anterior) sem suporte para essa configuração
- ÚLTIMO CHECK-IN – quando o status foi recebido do dispositivo pela última vez.
Dica
Demora até 24 horas para os dados serem exibidos após a primeira atribuição de uma linha de base. Alterações posteriores levam até seis horas para serem exibidas.
Monitorar o perfil
O monitoramento do perfil fornece informações sobre o estado de implantação de seus dispositivos, mas não sobre o estado de segurança com base nas recomendações da linha de base.
No Intune, selecioneLinhas de base de Segurança de Ponto> Final, selecione um tipo de linha de base de segurança como a Linha de Base de Segurança para Windows 10 e, mais tarde>,selecione uma instância dessa linha de base>Propriedades.
Nas Propriedades da linha de base, expanda Definições para desagregar e ver todas as categorias de definições e definições individuais na linha de base, incluindo a respetiva configuração para esta instância da linha de base.
Use as opções de Monitoramento para exibir o status da implantação do perfil em dispositivos individuais, o status de cada usuário e o status das configurações na instância da linha de base:
Resolver conflitos das linhas de base de segurança
Para ajudar a resolver um conflito ou erro de configurações em seus perfis de linha de base de segurança ou políticas de segurança de ponto de extremidade, exiba o Relatório de configuração do dispositivo para um dispositivo. Essa exibição de relatório ajuda a identificar onde seus perfis e políticas contêm configurações que geram um status de Conflito ou Erro.
Também pode obter informações sobre definições em conflito ou erro através de dois caminhos a partir do centro de administração do Microsoft Intune:
- Segurança de pontos finais>Linhas de base de segurança>selecionar um tipo> de linha de base> Perfisselecionar uma instância> de linha de baseEstado do dispositivo.
- Dispositivos>Todos os dispositivos>selecione um dispositivo>Configuração do dispositivo>selecione uma Política >selecione uma configuração na lista de configurações que mostra um conflito ou erro.
Detalhar para identificar e resolver conflitos
Ao visualizar o relatório de configuração do dispositivo para um dispositivo, selecione uma política para detalhar para saber mais sobre o problema que resulta em um status de conflito ou erro.
Quando você faz drill-in, o Intune exibe uma lista de configurações para essa política que inclui cada configuração que não foi definida como Não configurada e o status dessa configuração.
Para exibir os detalhes de uma configuração específica, selecione-a para abrir o painel Detalhes das configurações. Neste painel, pode ver:
- Configuração – o nome da configuração.
- Estado – o status da configuração no dispositivo.
- Perfis de Origem – Uma lista de cada perfil conflitante que define a mesma configuração, mas com um valor diferente.
Para reconfigurar perfis conflitantes, selecione um registro na lista Perfil de Origem para abrir a Visão geral desse perfil. Selecione as Propriedades dos perfis e você poderá revisar e editar as configurações desse perfil para remover o conflito.
Exibir configurações de perfis que se aplicam a um dispositivo
Pode selecionar um perfil para uma linha de base de segurança e pormenorizar para ver uma lista de definições desse perfil à medida que se aplicam a um dispositivo individual. Para explorar:
- Segurança >de Ponto FinalTodos os dispositivos>selecionar um dispositivo> Configuração do > dispositivo selecione uma instância de política de linha de base.
Depois de detalhar, o centro de administração exibe uma lista das configurações desse perfil e o status das configurações. Os estados de status incluem:
- Êxito – A configuração no dispositivo corresponde ao valor configurado no perfil. Esse é o padrão das linhas de base e o valor recomendado, ou um valor personalizado especificado por um administrador quando o perfil foi configurado.
- Conflito – a configuração está em conflito com outra política, tem um erro ou está aguardando uma atualização.
- Erro - As configurações não foram aplicadas.
Solucionar problemas usando o status por configuração
Você implantou uma linha de base de segurança, mas o status da implantação mostra um erro. As etapas a seguir fornecem orientações sobre como solucionar o erro.
No Intune, selecioneLinhas> de base de Segurança de ponto> final selecione perfis de linha de base>.
Selecione um perfil > em Monitorizar>por definição.
A tabela mostra todas as configurações e o status de cada uma delas. Selecione a coluna Erro ou a coluna Conflito para ver a configuração que está causando o erro.
Informações de diagnóstico de MDM
Agora você sabe qual a configuração problemática. A próxima etapa é descobrir por que essa configuração está causando um erro ou conflito.
Em dispositivos com Windows 10/11, há um relatório de informações de diagnóstico interno do MDM. Este relatório inclui valores padrão, valores atuais, lista a política, mostra se foi implantada para o dispositivo ou para o usuário, e muito mais. Use esse relatório para ajudar a determinar por que a configuração está causando um conflito ou erro.
No dispositivo, acesse Configurações>Contas>Acessar conta corporativa ou de estudante.
Selecione orelatório Criar Relatório > deDiagnóstico Avançadode Informações> da conta>.
Escolha Exportar e abra o arquivo gerado.
Procure a configuração com erro ou conflito nas várias seções do relatório.
Por exemplo, examine a seção Fontes de configuração e recursos de destino inscritos ou a seção Políticas não gerenciadas. Poderá ter uma ideia do motivo pelo qual está a causar um erro ou conflito.
Diagnosticar falhas de MDM no Windows 10 fornece mais informações sobre esse relatório interno.
Dica
- Algumas configurações também listam o GUID. Você pode procurar esse GUID no registro local (regedit) para quaisquer e valores definidos.
- Os logs do Visualizador de Eventos também podem incluir algumas informações de erro sobre a configuração problemática (Visualizador de eventos>Logs de Aplicativos e Serviços>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider>Administrador).