分享方式:

在 Configuration Manager 中建立設定基準

  • 文章

適用於:Configuration Manager (目前的分支)

Configuration Manager 中的設定基準包含預先定義的設定專案,以及選擇性地包含其他設定基準。 建立設定基準之後,您可以將它部署至集合,讓該集合中的裝置下載設定基準,並評估其合規性。

提示

無法指定 Configuration Manager 客戶端評估基準中設定項目的順序。 不具決定性。

設定基準

Configuration Manager 中的設定基準可以包含組態專案的特定修訂,也可以設定為一律使用最新版的設定專案。 如需設定專案修訂的詳細資訊,請參閱 設定數據的管理工作

您可以使用兩種方法來建立設定基準:

  • 從檔案匯入組態數據。 若要啟動 [匯入設定數據精靈],請在 [資產與兼容性] 工作區的 [設定專案] 或 [設定基準] 節點中,按兩下 [匯入設定數據]。 如需詳細資訊,請參閱 匯入設定數據

  • 使用 [ 建立組態基準 ] 對話框來建立新的設定基準。

建立設定基準

若要使用 [建立組態基準] 對話框建立組態 基準 ,請使用下列程式:

  1. 在 Configuration Manager 控制台中,按兩下 [資產與相容性>設定]> [組態基準]

  2. 在 [ 首頁] 索引標籤的 [ 建立] 群組中,按兩下 [ 建立組態基準]

  3. 在 [ 建立組態基準 ] 對話框中,輸入組態基準的唯一名稱和描述。 名稱最多可以使用 255 個字元,描述最多可以使用 512 個字元。

  4. [ 組態資料 ] 列表會顯示此設定基準中包含的所有設定專案或設定基準。 按兩下 [新增 ] 將新的設定專案或組態基準新增至清單。 您可以從下列項目中選擇:

    • 設定專案

    • 軟體 匯報

    • 設定基準

      重要事項

      您必須將每個設定基準限制為不超過1000個軟體更新。

  5. 使用 [變更目的] 列表來指定您在組態 資料 清單中選取之組態項目的行為。 您可以從下列項目中選取:

    • 必要:如果客戶端裝置上未偵測到設定專案,則會將設定基準評估為不符合規範。 如果偵測到,則會評估其合規性

    • 選擇性:只有在用戶端計算機上找到所參考的應用程式時,才會評估組態專案的合規性。 如果找不到應用程式,則設定基準不會標示為不符合規範 (僅適用於應用程式設定專案) 。

    • 禁止:如果在用戶端計算機上偵測到設定專案, (只適用於應用程式設定專案) ,則會將設定基準評估為不符合規範。

    注意事項

    只有在您按兩下 [建立組態專案精靈] 之 [一般] 頁面上的 [此組態專案包含應用程式設定] 選項時,才能使用 [變更目的] 清單。

  6. 使用 [變更修訂 ] 列表來選取設定專案的特定或最新修訂,以評估用戶端裝置上的合規性,或選取 [ 永遠使用最新 版本] 一律使用最新的修訂。 如需設定專案修訂的詳細資訊,請參閱 設定數據的管理工作

  7. 若要從設定基準中移除設定專案,請選取組態專案,然後按兩下 [ 移除]

  8. 從 1806 版開始,如果您想要一 律為共同管理的用戶端套用此基準,請選取 。 核取時,即使用戶端是由 Intune 管理,也會套用此基準。 此例外狀況可能用來設定組織所需的設定,但尚未在 Intune 中提供。

  9. 或者,按兩下 [ 類別] 將類別指派給基準以進行搜尋和篩選。

  10. 按兩下 [確定 ] 關閉 [ 建立組態基準 ] 對話框,並建立設定基準。

注意事項

修改現有的基準,例如設定 [一律為共同管理的用戶端套用此基準] 會遞增基準內容版本。 客戶端必須評估新版本,才能更新基準報告。

在合規性政策評估中包含自定義設定基準

您可以將自訂設定基準的評估新增為合規性政策評估規則。 當您建立或編輯設定基準時,可以選擇 將此基準評估為合規性政策評估的一部分。 新增或編輯合規性政策規則時,您有一個條件稱為在 合規性政策評估中包含已設定的基準。 對於共同管理的裝置,以及當您將 Intune 設定為取得 Configuration Manager 合規性評定結果作為整體合規性狀態的一部分時,此資訊會傳送至 Microsoft Entra ID。 然後,您可以將它用於條件式存取您的 Microsoft 365 Apps 資源。 如需詳細資訊,請 參閱使用共同管理的條件式存取

若要在合規性政策評估中包含自訂設定基準,請執行下列動作:

重要事項

  • 設定基準必須部署至 裝置 集合。 使用這些設定時,不會接受部署至 使用者 集合的基準。
  • 以共同管理的裝置為目標時,請確定您符合 共同管理的必要條件。 當共同管理的用戶端相容性原則工作負載由 Intune 管理時,會忽略服務視窗進行補救。
  • 針對由 Configuration Manager 管理的裝置,用戶端會接受服務視窗進行合規性政策補救。 若要忽略服務視窗並立即補救,請選取 [軟體中心] 中的 [檢查合規性]

範例評估案例

當使用者是相容性原則的目標集合的一部分,且該合規性原則包含 合規性原則評估中包含已設定的基準時,會評估已選取 [將 此基準評估為合規性政策評估 選項的一部分] 的任何基準,其部署至使用者或使用者的裝置時,都會評估是否符合規範。 例如:

  • User1 是的一 User Collection 1部分。
  • User1 會使用 Device1與中的 Device Collection 1Device Collection 2
  • Compliance Policy 1 具有在合規性政策評估規則條件中包含已 設定的基準 ,並部署至 User Collection 1
  • Configuration Baseline 1選擇[將此基準評估為合規性政策評估的一部分 ],並部署至 Device Collection 1
  • Configuration Baseline 2選擇[將此基準評估為合規性政策評估的一部分 ],並部署至 Device Collection 2

在這裡案例中,當評估 使用 User1Device1Compliance Policy 1Configuration Baseline 1也會評估 和 Configuration Baseline 2

  • User1 有時會使用 Device2
  • Device2是和Device Collection 3的成員Device Collection 2
  • Device Collection 3Configuration Baseline 3 部署到其中,但未選取 [評估此基準作為合規性政策評估的一部分 ]。

使用 Device2User1,只會Configuration Baseline 2在評估時Compliance Policy 1進行評估。

注意事項

如果合規性原則評估了之前從未在用戶端上評估過的新基準,則可能會報告不符合規範。 如果基準評估在評估相容性時仍在執行,就會發生這種情況。 若要解決此問題,請按兩下 [軟體中心] 中的 [檢查合規性]

使用基準合規性政策評估的規則來建立和部署合規性政策

  1. 在 [ 資產與兼容性 ] 工作區中,展開 [ 兼容性設定],然後選取 [ 合規性原則] 節點。

  2. 按兩下功能區中的 [ 建立合規性 政策],以顯示 [ 建立合規性政策精靈]

  3. 在 [一般] 頁面上,針對使用 Configuration Manager 用戶端管理的裝置選取 [合規性規則]

    • 裝置必須使用 Configuration Manager 客戶端進行管理,才能在合規性政策評估中包含自定義設定基準。

  4. 在 [支持的平臺] 頁面上選取您的 平臺

  5. 在 [ 規則] 頁面上,選取 [ 新增],然後選取 [ 在合規性政策評定中包含已設定的基準 ] 條件。

    在合規性政策評估條件中包含已設定的基準

  6. 按兩下 [確定],然後按兩下一 ] 以進入 [摘要 ] 頁面。

  7. 確認您的選擇,然後按 [ 下一步 ],然後 按下 [關閉]

  8. 在 [ 合規性原則] 節點中,以滑鼠右鍵按兩下您建立的原則,然後選取 [ 部署]

  9. 選擇您的集合、警示產生設定,以及原則的合規性評估排程。

  10. 按兩下 [確定 ] 以部署合規性政策。

選取設定基準,然後核取 [評估此基準作為合規性政策評估的一部分]

  1. 在 [ 資產與兼容性 ] 工作區中,展開 [ 兼容性設定],然後選取 [ 組態基準] 節點

  2. 以滑鼠右鍵按兩下部署至裝置集合的現有基準,然後選取 [ 屬性]。 如有需要,您可以建立新的基準。

    • 基準必須部署到裝置集合,而不是使用者集合。

  3. 啟用 [評估此基準做為合規性政策評估設定的一部分 ]。

    • 對於 Intune 為裝置設定授權單位的共同管理裝置,請確定一律套用此基準,即使是共同管理的客戶端也已選取。

  4. 按兩下 [確定 ] 將變更儲存至您的設定基準。

    [組態基準屬性] 對話框

自定義設定基準的記錄檔,作為合規性政策評估的一部分

  • ComplianceHandler.log
  • SettingsAgent.log
  • DCMAgent.log
  • CIAgent.log

後續步驟

匯入設定資料