使用 Microsoft Intune 监视安全基线和配置文件

Intune 提供了用于监视安全基线的多个选项。 可以执行下列操作:

  • 监视安全基线,以及与建议值匹配(或不匹配)的任何设备。
  • 监视应用于用户和设备的安全基线配置文件。
  • 查看如何在所选设备上设置所选配置文件的设置。

还可以查看 设备配置报告,查看哪些基于设备配置的策略适用于各个设备,包括安全基线。

有关此功能的详细信息,请参阅 Intune 中的安全基线

注意

2023 年 5 月,Intune 开始推出新的安全基线格式,该格式适用于新的基线类型(如 Microsoft 365 应用)和现有基线的较新版本(如 Microsoft Edge 基线版本 112)。 新格式更新基线设置,以直接从配置服务提供程序获取其名称和配置选项, (由基线设置管理的 CSP) 。

Intune 还引入了一个新过程,可帮助你 将现有安全基线配置文件迁移到较新的基线版本。 此新行为是一次性过程,在从较旧配置文件的最新版本移动到 2023 年 5 月或更高版本中可用的较新版本时,将替换正常的更新行为。

使用此新格式的基线实例还具有更新的报表和监视结构,与今年在 Intune 功能领域推出的其他报表改进保持一致。 本文中介绍了 新格式 的报表视图详细信息与 为旧基线提供的原始详细信息,为旧视图讨论的许多概念仍然相关。

监视基线和设备

提示

以下信息适用于 2023 年 5 月或更高版本发布的配置文件版本。 若要查看 2023 年 5 月之前发布的配置文件版本的信息,请参阅本文后面的 监视 2023 年 5 月之前发布的基线版本的配置文件

选择已部署的安全基线配置文件时,可以深入了解接收该基线的设备的安全状态。 若要查看这些见解,请登录到 Microsoft Intune 管理中心,转到 “终结点安全>基线 ”,然后选择安全基线类型,例如 Microsoft 365 企业应用安全基线。 然后,从“ 配置文件 ”窗格中,选择要查看其详细信息的配置文件实例,以打开配置文件仪表板视图。

查看安全基线配置文件的仪表板。

此仪表板视图包括:

  • 默认报告 “设备和用户签入状态”的高级摘要。
  • 查看 报表 选项,可钻取更多详细信息。
  • 另外两个报表磁贴:
    • 设备分配状态
    • 按设置状态
  • 一个属性列表,可在其中查看和编辑安全基线的配置。

摘要视图

此摘要是一个简单的图表,显示报告基线特定状态结果的设备计数。 水平条根据每个类别中的设备计数按比例划分为可用类别中的颜色。 在前面的屏幕捕获中,单个设备已处理策略并报告成功。 因此,表示栏完全为绿色。

查看报表

选择“ 查看报告 ”按钮时,Intune 会显示此基线实例 的设备和用户签入状态 的更详细视图。 首次打开报表时,它将为空,直到选择“ 生成报表”,然后它会显示信息。

查看设备和用户签入状态的报告详细信息。

上图显示了仪表板视图中相同基线的初始 视图报表 结果。 此视图显示有另外两个设备的 分配状态“挂起”,这意味着它们尚未返回此基线的状态。

可以筛选此报表视图的特定 分配状态 值,然后选择“ 再次生成 ”以更新可见结果。 还可以对任何可用列进行排序。

如果从“ 设备名称 ”列中选择设备的名称,Intune 将显示 “配置文件设置” 视图,你可以在其中查看安全基线中每个设置的设备状态结果。 接下来,从“配置文件设置”页中选择一个设置来查看更多详细信息,当设备报告除 “成功”以外的任何设置的结果时,该设置非常有用。

在下图中,我们钻取EAGLE003,这是唯一显示基线成功的设备,并选择了“ 加载项管理”设置:

查看基线中每个设置的设备报告状态。

在“设置详细信息”窗格中,可以看到分配给此设备的每个配置文件,这些配置文件也配置了相同的设置。

对于此设备,只有一个源配置文件用于管理加载项管理设置。 如果有配置此设置的其他配置文件,这些配置文件也将列为源配置文件。

如果此设置存在冲突,此视图可帮助你识别其他配置文件,以便随后可以协调一致的配置,或之后的基线配置文件分配以消除冲突。

设备分配状态报告

选择“ 设备分配状态 ”磁贴以查看此报告。 在此报告中:

  • 结果是设备列表,类似于 设备和用户签入状态 报告。
  • 选择此页上的设备将打开“设备配置文件设置”视图,该视图与你可从“查看报表”按钮访问的主报表钻取中看到的视图相同。 但是,分配状态为“挂起”的设备不会显示结果。
  • 从此视图中选择设置将打开“设置详细信息”窗格,与通过主报表钻取相同。

按设置状态报告

选择“ 按设置状态 ”磁贴查看此报表。 此报表显示配置文件中的设置列表,以及每个状态的设备的结果计数,例如报告成功、错误或冲突的设备数量。

此视图不支持钻取。 相反,若要执行错误或冲突的设置,可以使用其他报表和视图。 例如,若要了解有关可能报告了错误或冲突的任何设备的详细信息,可以打开 “设备分配状态 ”磁贴,并针对该报表,将报告状态限定为仅显示正在调查的状态。 然后,使用该报表,可以继续钻取相关详细信息。

属性

在仪表板的“报表”部分下,可以找到“配置文件 属性” 视图。 在“属性”中,可以:

  • 查看配置文件的每个页面的配置。
  • 编辑 配置文件配置,例如你为配置文件指定的友好名称、其 分配以及任何配置文件设置。

查看基线配置,可在其中进行编辑以进行更改。

监视 2023 年 5 月之前发布的基线版本的配置文件

提示

以下信息适用于 2023 年 5 月之前发布的配置文件版本。 若要查看 2023 年 5 月之后发布的配置文件版本的信息,请参阅本文前面的 监视基线和设备

监视基线时,你根据 Microsoft 的建议深入了解设备的安全状态。 若要查看这些见解,请登录到 Microsoft Intune 管理中心,转到 “终结点安全>基线 ”,并选择安全基线类型,例如 Windows 10 及更高版本的安全基线。 然后,从“版本”窗格中,选择要查看详细信息的配置文件实例,以打开其“概述”窗格。

“概述”窗格显示所选基线的两个状态视图:

  • 安全基线状态图 - 此图表显示有关基线版本设备状态的概要详细信息。 可用详细信息:

    • 与默认基线匹配 - 此状态将在设备配置与默认(未修改)的基线配置相匹配时进行标识。
    • 与自定义设置匹配 - 此状态将在设备配置与你已部署的自定义版本的基线匹配时进行标识。
    • 错误配置 - 此状态是对设备中的以下三种状态条件的汇总:“错误”、“挂起”或“冲突”。 这些单独的状态可从其他视图中获得,如“安全基线状态(按类别)”,即此图表下显示的列表视图。
    • 不适用 - 此状态表示设备无法接收策略。 例如,策略会更新特定于 Windows 最新版本的设置,但设备运行的是不支持该设置的旧版本(早期版本)。
  • 安全基线状态(按类别) - 按类别显示设备状态的列表视图。 在此列表视图中,可以使用与“安全基线状态”表相同的详细信息。 但是,在错误 配置 中,有三列用于构成错误配置的状态状态:

    • 错误:无法应用策略。 此消息通常与链接到错误说明的错误代码一起显示。
    • 冲突:两个设置都应用于同一设备,Intune 无法解决冲突。 管理员应进行审核。
    • 挂起:设备尚未签入 Intune,无法接收策略。

当你钻取到上述两个视图时,可以查看设置状态和设备状态列表视图的以下详细信息:

  • 已成功:策略已应用。
  • 错误:无法应用策略。 此消息通常与链接到错误说明的错误代码一起显示。
  • 冲突:两个设置都应用于同一设备,Intune 无法解决冲突。 管理员应进行审核。
  • 挂起:设备尚未签入 Intune,无法接收策略。
  • 不适用:设备无法接收策略。 例如,策略会更新特定于 Windows 最新版本的设置,但设备运行的是不支持该设置的旧版本(早期版本)。

从“版本”视图中,可以选择“设备状态”。 “设备状态”视图显示接收此基线的设备列表,其中包含以下详细信息:

  • 用户主体名称 - 与设备上的基线关联的用户配置文件。
  • 安全基线状态 - 此列显示设备状态:
    • 已成功:策略已应用。
    • 错误:无法应用策略。 此消息通常与链接到错误说明的错误代码一起显示。
    • 冲突:两个设置都应用于同一设备,Intune 无法解决冲突。 管理员应进行审核。
    • 挂起:设备尚未签入 Intune,无法接收策略。
    • 不适用:设备无法接收策略。 例如,策略会更新特定于 Windows 最新版本的设置,但设备运行的是不支持该设置的旧版本(早期版本)
  • 上次签入 - 上次从设备接收状态的时间。

提示

首次分配基线后,最多 24 小时后会显示数据。 之后进行的更改最多六个小时后会显示。

监视配置文件

通过监视配置文件,可以根据基线建议深入了解设备部署状态,而不是安全状态。

  1. 在 Intune 中,选择“终结点安全>基线”选择安全基线类型(如 Windows 10 和更高版本>的安全基线),选择该基线>属性的实例。

  2. 在基线的 “属性” 中,展开 “设置” 以钻取并查看基线中的所有设置类别和单个设置,包括针对此基线实例的配置。

    显示“设置”视图的屏幕图像

  3. 使用“监视”选项可以查看各个设备上配置文件的部署状态、每个用户的状态,以及基线实例中设置的状态:

    查看安全基线配置文件的其他监视选项

解决安全基线冲突

若要帮助解决安全基线配置文件或终结点安全策略中设置的冲突或错误,请查看设备的 设备配置报告。 此报告视图可帮助识别配置文件和策略中包含的导致“冲突”或“错误”状态的设置。

还可以通过 Intune 管理中心内的两个路径访问有关冲突或错误设置的信息:Microsoft Intune 管理中心:

  • 终结点安全性>安全基线>选择基线类型>配置 文件>选择基线实例>设备状态
  • 设备”>“所有设备”>“选择设备”>“配置”>“选择策略”>“从显示冲突或错误的设置列表中选择设置”。

深入以识别并解决冲突

  1. 查看设备的 设备配置报告 时,请选择要深入钻取的策略,以了解有关导致冲突或错误状态的问题的更多信息。

    深入钻取时,Intune 将显示该策略的设置列表,其中包括未设置为“未配置”的每个设置,以及该设置的状态。

  2. 若要查看有关特定设置的详细信息,请选择该设置以打开“设置详细信息”窗格。 在此窗格中,可以查看:

    • 设置 - 设置的名称。
    • 状态 – 设备上设置的状态。
    • 源配置文件 – 配置相同设置但具有不同值的每个冲突配置文件列表。
  3. 若要重新配置冲突的配置文件,请从“源配置文件”列表中选择记录,以打开该配置文件的“概述”。 选择配置文件“属性”,然后可以查看和编辑该配置文件中的设置以删除冲突。

查看应用于设备的配置文件中的设置

可以选择安全基线的配置文件,并钻取以查看该配置文件中应用于单个设备的设置列表。 若要钻取::

  • 终结点安全性>所有设备>选择设备> 设备配置 >选择基线策略实例

钻取后,管理中心将显示该配置文件中的设置列表和设置状态。 状态状态包括:

  • 成功 – 设备上的设置与配置文件中配置的值相匹配。 这要么是基线默认值和建议值,要么是管理员在配置配置文件时指定的自定义值。
  • 冲突 - 此设置与另一个策略冲突,出现错误,或者正在等待更新。
  • 错误 - 无法应用设置。

使用每个设置状态排除故障

已部署安全基线,但部署状态显示错误。 下面逐步介绍了对错误进行故障排除。

  1. 在 Intune 中,选择“ 终结点安全性”>“安全基线> ”选择基线 >配置文件

  2. “监视>每个设置状态”下选择配置文件>。

  3. 此时,表中显示所有设置以及每个设置的状态。 选择“错误”列或“冲突”列,以查看导致错误出现的设置。

MDM 诊断信息

现在,你知道哪个设置有问题。 下一步是确定此设置为什么会导致错误或冲突出现。

Windows 10/11 设备上内置有 MDM 诊断信息报告。 此报告包含默认值、当前值,不仅会列出策略,还会显示是部署到设备还是部署到用户等。 使用此报告有助于确定设置为什么会导致冲突或错误出现。

  1. 在设备上,依次转到“设置”>“帐户”>“访问工作或学校”

  2. 选择帐户 >信息>高级诊断报告>创建报告

  3. 选择“导出”,再打开所生成的文件。

  4. 在报告的不同部分中查找错误或冲突设置。

例如,在“已注册的配置源和目标资源”部分或“非托管策略”部分中查找。 你可能会了解它导致错误或冲突的原因。

在 Windows 10 中诊断 MDM 故障详细介绍了此内置报告。

提示

  • 一些设置还列出了 GUID。 可以在本地注册表 (regedit) 中搜索此 GUID 是否是任何设定值。
  • 事件查看器日志可能还包括有问题设置的一些错误信息(依次转到“事件查看器”>“应用和服务日志”>“Microsoft”>“Windows”>“DeviceManagement-Enterprise-Diagnostics-Provider”>“管理员”)。

后续步骤