在 Configuration Manager 中创建配置基线
适用于: Configuration Manager(current branch)
Configuration Manager 中的配置基线包含预定义的配置项目和其他配置基线(可选)。 创建配置基线后,可以将其部署到集合,以便该集合中的设备下载配置基线并评估其符合性。
提示
无法指定Configuration Manager客户端在基线中评估配置项目的顺序。 这是不确定的。
配置基线
Configuration Manager 中的配置基线可以包含配置项目的特定修订,也可以配置为始终使用最新版本的配置项目。 有关配置项修订的详细信息,请参阅 配置数据的管理任务。
有两种方法可用于创建配置基线:
从文件导入配置数据。 若要启动导入配置数据向导,请在“资产和符合性”工作区的“配置项目”或“配置基线”节点中,单击“导入配置数据”。 有关详细信息,请参阅 导入配置数据。
使用“ 创建配置基线 ”对话框创建新的配置基线。
创建配置基线
若要使用“创建配置基线”对话框 创建配置基线 ,请使用以下过程:
在Configuration Manager控制台中,单击“资产和符合性>设置>配置基线”。
在“ 开始 ”选项卡上的“ 创建 ”组中,单击“ 创建配置基线”。
在“ 创建配置基线 ”对话框中,输入配置基线的唯一名称和说明。 名称最多可以使用 255 个字符,最多可以使用 512 个字符作为说明。
配置数据列表显示此配置基线中包含的所有配置项目或配置基线。 单击“ 添加 ”,将新的配置项目或配置基线添加到列表中。 可以从以下项中进行选择:
配置项目
软件汇报
配置基线
重要
必须将每个配置基线限制为不超过 1000 个软件更新。
使用 “更改用途” 列表可以指定在“ 配置”数据 列表中选择的配置项目的行为。 可以从以下项中进行选择:
必需:如果未在客户端设备上检测到配置项目,则会将配置基线评估为不符合。 如果检测到它,则会对其进行合规性评估
可选:仅当在客户端计算机上找到配置项目引用的应用程序时,才会评估配置项目的符合性。 如果未找到应用程序,则配置基线不会标记为不符合 (仅适用于) 应用程序配置项。
禁止:如果在客户端计算机上检测到配置项目 (仅适用于应用程序配置项) ,则配置基线评估为不符合。
注意
只有在“创建配置项目向导”的“常规”页上单击了“此配置项目包含应用程序设置”选项时,“更改目的”列表才可用。
使用 “更改修订” 列表选择要在客户端设备上评估符合性的配置项目的特定或最新修订,或者选择“ 始终使用最新 ”以始终使用最新版本。 有关配置项修订的详细信息,请参阅 配置数据的管理任务。
若要从配置基线中删除配置项目,请选择一个配置项目,然后单击“ 删除”。
从版本 1806 开始,选择是否要 始终将此基线应用于共同管理的客户端。 选中后,此基线甚至将应用于由 Intune 管理的客户端。 此异常可用于配置组织所需的设置,但在Intune中尚不可用。
(可选)单击“ 类别 ”,将类别分配给基线进行搜索和筛选。
单击“ 确定 ”关闭“ 创建配置基线 ”对话框,并创建配置基线。
注意
修改现有基线(例如设置 始终将此基线应用于共同管理的客户端)将增加基线内容版本。 客户端需要评估新版本才能更新基线报告。
在合规性策略评估中包括自定义配置基线
可以将自定义配置基线的评估添加为合规性策略评估规则。 创建或编辑配置基线时,可以选择评估 此基线作为合规性策略评估的一部分。 添加或编辑符合性策略规则时,有一个名为“ 在合规性策略评估中包含配置的基线”的条件。 对于共同管理的设备,将Intune配置为将Configuration Manager合规性评估结果作为总体符合性状态的一部分时,此信息将发送到Microsoft Entra ID。 然后,可以使用它对Microsoft 365 应用版资源进行条件访问。 有关详细信息,请参阅 通过共同管理进行条件访问。
若要在合规性策略评估中包括自定义配置基线,请执行以下操作:
- 创建合规性策略并将其部署到 用户 集合,其规则是 “在合规性策略评估中包含配置的基线”。
- 在部署到设备集合的配置基线中,选择“评估此基线”作为合规性策略评估的一部分。
重要
- 配置基线必须部署到 设备 集合。 使用这些设置时,不会遵循部署到 用户 集合的基线。
- 面向共同管理的设备时,请确保满足 共同管理先决条件。 当Intune管理其符合性策略工作负载时,共同管理的客户端会忽略服务时段进行修正。
- 对于由 Configuration Manager 管理的设备,客户端遵循服务时段进行合规性策略修正。 若要忽略服务窗口并立即修正,请在软件中心中选择“检查符合性”。
评估方案示例
如果用户是目标集合的集合的一部分,该集合包含规则条件“ 在合规性策略评估中包括配置的基线”,则会评估部署到用户或用户设备的 符合性策略评估选项中包含“评估此基线” 的任何基线。 例如:
-
User1
是 的一User Collection 1
部分。 -
User1
使用Device1
,它位于 和Device Collection 2
中Device Collection 1
。 -
Compliance Policy 1
具有“ 在合规性策略评估中包括配置的基线 ”规则条件,并且已部署到User Collection 1
。 -
Configuration Baseline 1
已将此 基线评估为合规性策略评估的一部分 ,并且已部署到Device Collection 1
。 -
Configuration Baseline 2
已将此 基线评估为合规性策略评估的一部分 ,并且已部署到Device Collection 2
。
在此方案中,当 Compliance Policy 1
评估是否 User1
使用 Device1
时, Configuration Baseline 1
也会评估 和 Configuration Baseline 2
。
-
User1
有时使用Device2
。 -
Device2
是 和Device Collection 3
的成员Device Collection 2
。 -
Device Collection 3
已Configuration Baseline 3
部署到该基线,但未选择 “评估此基线”作为合规性策略评估的一部分 。
使用 Device2
时User1
,仅在Configuration Baseline 2
求值时Compliance Policy 1
得到求值。
注意
如果符合性策略评估了以前从未在客户端上评估过的新基线,则它可能会报告不符合性。 如果在评估符合性时基线评估仍在运行,则会发生这种情况。 若要解决此问题,请在软件中心单击“检查符合性”。
使用基线合规性策略评估规则创建和部署合规性策略
在 “资产和符合性” 工作区中,展开 “符合性设置”,然后选择“ 符合性策略” 节点。
单击功能区中的“ 创建符合性策略 ”,打开 “创建符合性策略向导”。
在“常规”页上,为使用 Configuration Manager 客户端管理的设备选择“符合性规则”。
- 必须使用 Configuration Manager 客户端管理设备,才能在合规性策略评估中包含自定义配置基线。
在 “支持 的平台”页上选择你的平台。
在 “规则 ”页上,选择“ 新建”,然后选择“ 在合规性策略评估中包括配置的基线 ”条件。
单击 “确定”,然后单击 “下一步 ”转到 “摘要 ”页。
验证所选内容,然后单击“ 下一步 ”,然后单击 “关闭”。
在 “符合性策略” 节点中,右键单击创建的策略,然后选择“ 部署”。
选择策略的集合、警报生成设置和合规性评估计划。
单击“ 确定” 部署符合性策略。
选择配置基线,检查“将此基线评估为合规性策略评估的一部分”
在 “资产和符合性” 工作区中,展开 “符合性设置”,然后选择“ 配置基线 ”节点。
右键单击部署到设备集合的现有基线,然后选择“ 属性”。 如果需要,可以创建新的基线。
- 基线必须部署到设备集合,而不是用户集合。
启用“ 评估此基线”作为合规性策略评估设置的一部分 。
- 对于Intune作为设备配置机构的共同托管设备,请确保也始终应用此基线,即使对共同管理的客户端也是如此。
单击“ 确定 ”,将更改保存到配置基线。
作为合规性策略评估的一部分的自定义配置基线的日志文件
- ComplianceHandler.log
- SettingsAgent.log
- DCMAgent.log
- CIAgent.log