共用方式為

監視 Microsoft Intune 中的安全性基準和配置檔

Intune 提供數個選項來監視安全性基準。 您可以:

  • 監視安全性基準,以及任何符合建議值 (或不符合的裝置) 建議值。
  • 監視套用至使用者和裝置的安全性基準設定檔。
  • 檢視所選設定檔中的設定如何在所選裝置上設定。

您也可以檢視 裝置組態報告 ,以查看哪些裝置組態型原則適用於個別裝置,其中包括安全性基準。

如需此功能的詳細資訊,請參閱 Intune 中的安全性基準

注意事項

2023 年 5 月,Intune 開始推出新的安全性基準格式,適用於新的基準類型,例如 Microsoft 365 Apps,以及現有基準的較新版本,例如 Microsoft Edge 基準 112 版。 新的格式會更新基準設定,以直接從基準設定所管理的組態服務提供者 (CSP) 取得其名稱和組態選項。

Intune 也引進了新的程式,可協助您將 較舊的安全性基準配置檔移轉至較新的基準版本。 此新行為是一次性程式,當您從舊設定檔的最新版本移至2023年5月或之後可用的較新版本時,會取代一般更新行為。

使用此新格式的基準實例也有更新的報表和監視結構,可與今年在 Intune 功能區域中推出的其他報表改進保持一致。 本文中會針對 新格式 的報表檢視詳細資料,與 針對舊版基準線提供的原始詳細資料分開呈現,針對舊版檢視討論的許多概念仍是相關的。

監控基準和您的裝置

提示

下列資訊適用於 2023 年 5 月或之後發行的設定檔版本。 若要檢視 2023 年 5 月之前發行的設定檔版本資訊,請參閱 監視設定檔 2023 年 5 月之前發行的基準版本,請參閱本文稍後的內容。

當您選取已部署的安全性基準配置檔時,您可以深入瞭解收到該基準之裝置的安全性狀態。 若要檢視這些深入解析,請登入 Microsoft Intune 系統管理中心、移至 端點安全性>安全性基準,然後選取安全性基準類型,例如 Microsoft 365 Apps for Enterprise 安全性基準。 然後,從 [設定檔 ] 窗格中,選取您要檢視其詳細資料的設定檔執行個體,以開啟設定檔儀表板檢視。

檢視安全性基準設定檔的儀表板。

此儀表板檢視包括:

  • 預設報表、 裝置和使用者簽入狀態的高階摘要。
  • 檢視 報告 選項,以深入瞭解更多詳細資訊。
  • 兩個額外的報表磚:
    • 裝置指派狀態
    • 每個設定狀態
  • 屬性清單,您可以在其中檢閱和編輯安全性基準的設定。

摘要檢視

此摘要是一個簡單的圖表,顯示報告基準特定狀態結果的裝置計數。 水平條根據每個類別中的設備數量按比例從可用類別中劃分為顏色。 在上述螢幕擷取中,單一裝置已處理原則並報告成功。 因此,表示欄完全是綠色的。

檢視報告

當您選取 [ 檢視報表 ] 按鈕時,Intune 會顯示此基準執行個體的 裝置和使用者簽入狀態 的更詳細檢視。 當您第一次開啟報表時,報表會是空的,直到您選取 產生報表,之後會顯示資訊。

檢視裝置和使用者簽入狀態的報表詳細資料。

上圖顯示儀表板檢視中相同基準線的初始 檢視報告 結果。 此檢視顯示還有另外兩個裝置的 指派狀態擱置中,這表示它們尚未傳回此基準的狀態。

您可以篩選此報表檢視以取得特定的 指派狀態 值,然後 再次選取 產生 以 更新可見的結果。 您也可以排序任何可用的欄。

如果您從 [ 裝置名稱 ] 資料行選取裝置名稱,Intune 會顯示 [配置檔設定] 檢視,您可以在其中檢視安全性基準中每個設定的裝置狀態結果。 接下來,從 [設定檔設定] 頁面中,您可以選取設定以檢視更多詳細數據,這在裝置報告 [成功] 以外的任何設定的結果時很有用。

在下圖中,我們切入 EAGLE003,這是唯一顯示基準成功的裝置,然後選取 [附加元件管理] 設定:

檢視基準中每個設定的裝置報告狀態。

在設定 [設定詳細資料] 窗格中,我們可以看到指派給此裝置的每個設定檔,這些設定檔也設定了相同的設定。

對於此裝置,只有一個來源設定檔會管理附加元件管理設定。 如果有其他設定檔設定了此設定,則這些設定檔也會列為來源設定檔。

如果此設定發生衝突,此檢視可協助您識別其他設定檔,以便您可以協調一致的組態,或稍後的基準設定檔指派以移除衝突。

裝置指派狀態報告

選取 [裝置指派狀態 ] 磚以檢視此報表。 在本報告中:

  • 結果是裝置清單,類似於 裝置和使用者簽入狀態 報告。
  • 在此頁面上選取裝置會開啟該裝置的 [設定檔設定] 檢視,這與您可以從 [檢視報表] 按鈕存取的主要報表切入檢視相同的檢視。 不過,指派狀態為擱置的裝置不會顯示結果。
  • 從此檢視中選取設定會開啟 [設定詳細資料] 窗格,與透過主要報告鑽研相同。

每個設定狀態報告

選取 [ 每個設定狀態 ] 磚以檢視此報告。 此報告顯示設定檔中的設定清單,以及每個狀態的裝置結果計數,例如報告成功、錯誤或衝突的裝置數量。

此視圖不支援鑽研。 相反地,若要追查錯誤或衝突的設定,您可以使用其他報告和檢視。 例如,若要尋找可能已報告錯誤或衝突之任何裝置的詳細資訊,您可以開啟 [ 裝置指派狀態 ] 磚,並針對該報表,將報表狀態範圍設為只顯示您正在調查的狀態。 然後,透過該報告,您可以繼續深入瞭解相關詳細資料。

屬性

在儀表板的報表區段下方,您可以找到設定檔 屬性 檢視。 從屬性中,您可以:

  • 檢視設定檔每個頁面的設定。
  • 編輯 設定檔設定,例如您為設定檔提供的易記名稱、其 指派,以及任何設定檔設定。

檢視基準線組態,您可以在其中進行編輯以進行變更。

監控 2023 年 5 月之前發行的基準版本的設定檔

提示

下列資訊適用於2023年5月之前發行的設定檔版本。 若要檢視 2023 年 5 月之後發行的設定檔版本資訊,請參閱本文稍早的 監視基準和您的裝置

當您監視基準時,您可以根據 Microsoft 的建議深入瞭解裝置的安全性狀態。 若要檢視這些深入解析,請登入 Microsoft Intune 系統管理中心,移至 端點安全性>安全性基準,然後選取安全性基準類型,例如 Windows 10 和更新版本的安全性基準。 然後,從 版本 窗格中,選取您要檢視詳細資料的設定檔執行個體,以開啟其 概觀 窗格。

重要事項

2025 年 10 月 14 日,Windows 10 終止支援,不會收到品質和功能更新。 Windows 10 是 Intune 中允許的版本。 執行此版本的裝置仍然可以在 Intune 中註冊並使用符合資格的功能,但無法保證功能,而且可能會有所不同。

概觀 」窗格會顯示所選基準的兩個狀態檢視:

  • 安全性基準狀態 圖表 - 此圖表會顯示基準版本裝置狀態的高階詳細資料。 可用的詳細信息:

    • 符合預設基準 — 此狀態會識別裝置組態何時符合預設 (未修改的) 基準組態。
    • 符合自訂設定 — 此狀態會識別裝置組態何時符合您已部署的基準的自訂版本。
    • 設定錯誤 — 此狀態是彙總,代表裝置的三個狀態條件:錯誤擱置中衝突。 這些個別的狀態可從其他檢視取得,例如 依類別的安全性基準狀態,這是顯示在此圖表下方的清單檢視。
    • 不適用 - 此狀態代表無法接收原則的裝置。 例如,原則會更新最新版 Windows 特有的設定,但裝置會執行舊版 (舊版) 不支援該設定。

  • 類別的安全性基準狀態 - 依類別顯示裝置狀態的清單檢視。 在此清單檢視中,可以使用與 安全基準態勢 圖相同的詳細資訊。 但是,除了 配置錯誤 之外,還有三個列用於構成配置錯誤的狀態狀態:

    • 錯誤:此原則無法套用。 訊息通常會顯示錯誤碼並連結到說明。
    • 衝突:兩個設定會套用至相同的裝置,Intune 無法排序衝突。 系統管理員應該檢閱。
    • 擱置中:裝置尚未簽入 Intune 以接收原則。

當您切入至上述兩個檢視時,您可以檢視設定狀態和裝置狀態清單檢視的下列詳細資料:

  • 成功:已套用原則。
  • 錯誤:此原則無法套用。 訊息通常會顯示錯誤碼並連結到說明。
  • 衝突:兩個設定會套用至相同的裝置,Intune 無法排序衝突。 系統管理員應該檢閱。
  • 擱置中:裝置尚未簽入 Intune 以接收原則。
  • 不適用:裝置無法接收此原則。 例如,原則會更新最新版 Windows 特有的設定,但裝置會執行舊版 (舊版) 不支援該設定。

「版本」檢視中,您可以選取「裝置狀態」。 「裝置狀態」檢視會顯示接收此基準的裝置清單,並包含下列詳細資料:

  • 使用者主體名稱 - 與裝置上基準相關聯的使用者設定檔。
  • SECURITY BASELINE STATURE — 此列顯示裝置狀態:
    • 成功:已套用原則。
    • 錯誤:此原則無法套用。 訊息通常會顯示錯誤碼並連結到說明。
    • 衝突:兩個設定會套用至相同的裝置,Intune 無法排序衝突。 系統管理員應該檢閱。
    • 擱置中:裝置尚未簽入 Intune 以接收原則。
    • 不適用:裝置無法接收此原則。 例如,原則會更新最新版 Windows 特有的設定,但裝置會執行不支援該設定的舊版 (舊版)
  • 上次簽入 — 上次從裝置接收狀態的時間。

提示

首次指派基準後,資料最多需要 24 小時才能顯示。 稍後的變更最多需要 6 小時才會出現。

監控設定檔

監視設定檔可讓您深入瞭解裝置的部署狀態,但無法根據基準建議瞭解安全性狀態。

  1. 在 Intune 中,選取 [端點安全性>安全性基準],選取安全性基準類型,例如 Windows 10 的安全性基準,然後稍後>選取該基準>屬性實例。

  2. 在基準線的 [屬性] 中,展開 [ 設定 ] 以切入並檢視基準線中的所有設定類別和個別設定,包括此基準線執行個體的組態。

    顯示設定檢視的螢幕影像

  3. 使用 [監視] 選項,檢視個別裝置上設定檔的部署狀態、每個使用者的狀態,以及基準執行個體中設定的狀態:

    請參閱安全性基準設定檔的不同監視器選項

解決安全性基準的衝突

若要協助解決安全性基準設定檔或端點安全性原則中設定的衝突或錯誤,請檢視裝置的 裝置組態報告 。 此報告檢視可協助您識別設定檔和原則包含驅動衝突或錯誤狀態的設定的位置。

您也可以從 Microsoft Intune 系統管理中心內透過兩個路徑,取得衝突或錯誤設定的相關資訊:

  • 端點安全>安全性基準>選取基準線類型>設定檔>選取基準執行個體>裝置狀態
  • 設備>所有裝置>選取裝置>裝置設定>選取原則>從設定清單中選取顯示衝突或錯誤的設定

深入瞭解以識別和解決衝突

  1. 檢視裝置的 裝置設定報告 時,選取要切入的原則,以深入瞭解導致衝突或錯誤狀態的問題。

    當您切入時,Intune 會顯示該原則的設定清單,其中包含未設定為 [ 未設定] 的每個設定,以及該設定的狀態。

  2. 若要檢視特定設定的詳細數據,請選取它以開啟 [設定詳細資料 ] 窗格。 在此窗格中,您可以檢視:

    • 設定 — 設定的名稱。
    • 狀態 — 裝置上的設定狀態。
    • 來源設定檔 — 每個衝突設定檔的清單,這些設定檔設定相同的設定,但具有不同的值。

  3. 若要重新設定衝突的設定檔,請從 「來源設定檔」 清單中選取記錄,以開啟該設定檔的「 概觀 」。 選取設定檔 屬性 ,然後您可以檢閱和編輯該設定檔中的設定以移除衝突。

從套用至裝置的設定檔檢視設定

您可以選取安全性基準的設定檔,並深入瞭解以檢視該設定檔中套用至個別裝置的設定清單。 若要鑽研:

  • 端點安全>所有裝置>選取裝置> 裝置組態 >、選取基準原則執行個體

深入瞭解之後,系統管理中心會顯示該配置檔中的設定清單,以及設定狀態。 狀態狀態包括:

  • 成功 — 裝置上的設定符合設定檔中設定的值。 這是基準預設值和建議值,或管理員在配置設定檔時指定的自訂值。
  • 衝突 — 設定與其他政策衝突、發生錯誤或正在等待更新。
  • 錯誤 - 無法套用設定。

使用每個設定狀態進行疑難排解

您部署了安全性基準,但部署狀態顯示錯誤。 下列步驟為您提供一些疑難排解錯誤的指引。

  1. 在 Intune 中,選取 [端點安全性>安全性基準> ],選取基準 >配置檔

  2. [監控 Per-設定狀態] > 下選取設定檔>。

  3. 表格會顯示所有設定,以及每個設定的狀態。 選取 [錯誤] 資料行或 [衝突 ] 資料行,以查看造成錯誤的設定。

MDM 診斷資訊

現在您知道有問題的設定了。 下一步是找出此設定導致錯誤或衝突的原因。

在 Windows 裝置上,有內建的 MDM 診斷資訊報告。 此報告包括預設值、目前值、列出原則、顯示是否已部署至裝置或使用者等等。 使用此報告可協助判斷設定造成衝突或錯誤的原因。

  1. 在裝置上,移至 [設定>] [帳戶] [>存取公司或學校]。

  2. 選取帳戶>資訊>進階診斷報告>建立報告

  3. 選擇 Export (匯出),然後開啟產生的檔案。

  4. 在報表中,尋找報表不同區段中的錯誤或衝突設定。

例如,請查看 [ 已註冊的組態來源和目標資源 ] 區段或 [未受管理的原則 ] 區段。 您可能會了解它導致錯誤或衝突的原因。

如需診斷資訊記錄的詳細資訊,請參閱 收集 MDM 記錄

提示

  • 某些設定也會列出 GUID。 您可以在本機登錄中搜尋此 GUID, (註冊表編輯) 以取得任何設定值。
  • 事件檢視器記錄也可能包含事件檢視器>應用程式和服務記錄> (Windows>DeviceManagement-Enterprise-Diagnostics-Provider>管理員) Microsoft>有問題設定的一些錯誤資訊。

後續步驟

  • Last updated on