在 Microsoft Intune 中監視安全性基準和配置檔

  • 發行項

Intune 提供數個選項來監視安全性基準。 您可以:

  • 監視安全性基準,以及符合 (或不符合建議值) 任何裝置。
  • 監視適用於使用者和裝置的安全性基準配置檔。
  • 檢視所選取設定檔中的設定如何在選取的裝置上設定。

您也可以檢視 裝置設定報告 ,以查看哪些裝置設定型原則適用於個別裝置,包括安全性基準。

如需此功能的詳細資訊,請參閱 Intune 中的安全性基準

注意事項

在 2023 年 5 月,Intune 開始推出適用於新基準類型的新安全性基準格式,例如 Microsoft 365 Apps,以及較新版本的現有基準,例如 Microsoft Edge 基準版本 112。 新格式會更新基準設定,以直接從設定服務提供者取得其名稱和組態選項, (CSP) 由基準設定所管理。

Intune 也引進了新的程式,可協助您 將現有的安全性基準配置檔移轉至較新的基準版本。 這個新行為是一次性程式,當您從最新版的舊版配置檔移至 2023 年 5 月或更新版本推出的新版本時,會取代一般更新行為。

使用此新格式的基準實例也有更新的報表和監視結構,可配合今年在Intune功能區域推出的其他報表改善。 本文會與針對較舊基準提供的原始詳細數據分開呈現新格式的報表檢視詳細數據,針對較舊檢視所討論的許多概念仍然相關。

監視基準和您的裝置

提示

下列資訊適用於 2023 年 5 月或更新版本發行的配置檔版本。 若要檢視 2023 年 5 月之前發行的配置檔版本資訊,請參閱本文稍後的 監視 2023 年 5 月之前發行的基準版本配置檔

當您選取已部署的安全性基準配置檔時,可以深入瞭解收到該基準之裝置的安全性狀態。 若要檢視這些深入解析,請登入 Microsoft Intune 系統管理中心,移至 [端點安全>性基準],然後選取安全性基準類型,例如企業安全性基準 Microsoft 365 Apps。 然後,從 [ 配置檔 ] 窗格中,選取您要檢視詳細數據的配置檔實例,以開啟配置檔儀表板檢視。

檢視安全性基準配置檔的儀錶板。

此儀表板檢視包括:

  • 默認報表裝置 和使用者簽入狀態的高階摘要。
  • 若要深入瞭解詳細數據,請使用 [ 檢視報 表] 選項。
  • 另外兩個報表磚:
    • 裝置指派狀態
    • 每個設定狀態
  • 您可以在其中檢閱和編輯安全性基準組態的 [屬性 ] 清單。

摘要檢視

此摘要是一個簡單的圖表,會顯示報告基準特定狀態結果的裝置計數。 水平橫條會依每個類別中的裝置計數比例,從可用的類別分割成色彩。 在上述螢幕擷取中,單一裝置已處理原則並回報成功。 因此,表示法列是完全綠色的。

檢視報表

當您選取 [ 檢視報表] 按鈕時,Intune 會顯示此基準實例之 裝置和使用者簽入狀態 的更詳細檢視。 當您第一次開啟報表時,它將會是空的,直到您選取 [ 產生報表],然後它才會顯示資訊。

檢視裝置和使用者簽入狀態的報告詳細數據。

上圖顯示儀表板檢視中相同基準的初始 檢視報 表結果。 此檢視顯示另外兩部裝置的 [指 派] 狀態 為 [ 擱置中],這表示它們尚未傳回此基準的狀態。

您可以篩選此報表檢視以取得特定的 [ 指派狀態 ] 值,然後選取 [ 再次產生 ] 以更新可見的結果。 您也可以排序任何可用的數據行。

如果您從 [裝置名稱] 資料行中選取裝置 名稱 ,Intune 會顯示 [配置檔設定 ] 檢視,您可以在其中檢視安全性基準中每個設定的裝置狀態結果。 接下來,您可以從 [配置檔設定] 頁面選取設定來檢視更多詳細數據,這在裝置針對 [ 成功] 以外的任何設定報告結果時很有用。

在下圖中,我們已在EAGLE003上鑽研,這是顯示基準成功的唯一裝置,然後選取 [附加元件 管理] 設定:

檢視基準中每個設定的裝置報告狀態。

在 [設定詳細數據] 窗格中,我們可以看到指派給此裝置的每個配置檔也會設定此相同設定。

針對此裝置,只有一個管理附加元件管理設定的來源配置檔。 如果有其他配置檔已設定此設定,這些配置檔也會列為來源配置檔。

如果此設定發生衝突,此檢視可協助您識別其他配置檔,以便協調一致的設定,或稍後的基準配置檔指派來移除衝突。

裝置指派狀態報告

選取 [裝置指派狀態 ] 圖格以檢視此報告。 在此報告中:

  • 結果是裝置清單,類似於 裝置和使用者簽入狀態 報告。
  • 選取此頁面上的裝置會開啟 [裝置設定檔設定] 檢視,這是您可以從 [檢視報表] 按鈕存取的主報表鑽研中看到的相同檢視。 不過,指派狀態為 [擱置] 的裝置不會顯示結果。
  • 從此檢視中選取設定會開啟 [設定詳細數據] 窗格,就像透過主要報表鑽研一樣。

每個設定狀態報告

選取 [ 每一設定狀態 ] 圖格以檢視此報告。 此報表會顯示配置檔中的設定清單,以及每個設定的每個設定、每個狀態的裝置結果計數,例如有多少裝置報告成功、錯誤或衝突。

此檢視不支持鑽研。 相反地,若要執行發生錯誤或衝突的設定,您可以使用其他報表和檢視。 例如,若要深入瞭解任何可能已回報錯誤或衝突的裝置,您可以接著開啟 [ 裝置指派狀態 ] 圖格,然後針對該報表,將報表狀態的範圍設定為只顯示您正在調查的狀態。 然後,使用該報表,您可以繼續鑽研以向下執行相關詳細數據。

屬性

在儀錶板的 [報表] 區段下方,您可以找到配置檔的 [ 屬性] 檢視 。 您可以從 [屬性] 中:

  • 檢視配置檔每個頁面的組態。
  • 編輯 配置檔組態,例如您為配置檔提供的易記名稱、其 [指 ] 和任何配置檔設定。

檢視基準組態,您可以在其中編輯以進行變更。

監視 2023 年 5 月之前發行的基準版本配置檔

提示

下列資訊適用於 2023 年 5 月之前發行的配置檔版本。 若要檢視 2023 年 5 月之後發行的配置檔版本資訊,請參閱本文稍早的 監視基準和您的裝置

當您監視基準時,您可以根據 Microsoft 的建議,深入瞭解裝置的安全性狀態。 若要檢視這些深入解析,請登入 Microsoft Intune 系統管理中心,移至 [端點安全>性基準],然後選取安全性基準類型,例如 Windows 10 及更新版本的安全性基準。 然後,從 [ 版本] 窗格中,選取您要檢視詳細數據的配置檔實例,以開啟其 [ 概觀 ] 窗格。

[ 概觀] 窗格會顯示所選基準的兩個狀態檢視:

  • 安全性基準狀態 圖表 - 此圖表會顯示基準版本裝置狀態的高階詳細數據。 可用的詳細資料:

    • 符合預設基準 – 當裝置設定符合預設 (未修改) 基準設定時,此狀態會識別。
    • 符合自訂設定 – 此狀態會識別裝置設定符合您已部署之基準的自定義版本。
    • 設定錯誤 – 此狀態是代表裝置三個狀態條件的匯總: 錯誤擱置衝突。 這些不同的狀態可從其他檢視中取得,例如依 類別區分的安全性基準狀態、此圖表下方顯示的清單檢視。
    • 不適用 - 此狀態代表無法接收原則的裝置。 例如,原則會更新最新版 Windows 的特定設定,但裝置會執行舊版 (不支援該設定的舊版) 版本。

  • 依類別分類的安全性基準狀態 - 依類別顯示裝置狀態的清單檢視。 在此清單檢視中,可以使用 與安全性基準狀態 圖表相同的詳細數據。 不過,取代 [ 設定錯誤] 時,狀態狀態有三個數據行構成設定錯誤:

    • 錯誤:此原則無法套用。 訊息通常會顯示錯誤碼並連結到說明。
    • 衝突:兩個設定會套用至相同的裝置,Intune 無法排序衝突。 系統管理員應該檢閱。
    • 擱置中:裝置尚未簽入 Intune 以接收原則。

當您鑽研到上述兩個檢視時,您可以檢視下列設定狀態和裝置狀態清單檢視的詳細資料:

  • 成功:套用原則。
  • 錯誤:此原則無法套用。 訊息通常會顯示錯誤碼並連結到說明。
  • 衝突:兩個設定會套用至相同的裝置,Intune 無法排序衝突。 系統管理員應該檢閱。
  • 擱置中:裝置尚未簽入 Intune 以接收原則。
  • 不適用:裝置無法接收此原則。 例如,原則會更新最新版 Windows 的特定設定,但裝置會執行舊版 (不支援該設定的舊版) 版本。

從 [ 版本] 檢視中,您可以選取 [ 裝置狀態]。 [裝置狀態] 檢視會顯示接收此基準的裝置清單,並包含下列詳細資料:

  • 用戶主體名稱 - 與裝置上的基準相關聯的使用者配置檔。
  • 安全性基準狀態 - 此資料列會顯示裝置狀態:
    • 成功:套用原則。
    • 錯誤:此原則無法套用。 訊息通常會顯示錯誤碼並連結到說明。
    • 衝突:兩個設定會套用至相同的裝置,Intune 無法排序衝突。 系統管理員應該檢閱。
    • 擱置中:裝置尚未簽入 Intune 以接收原則。
    • 不適用:裝置無法接收此原則。 例如,原則會更新最新版 Windows 的特定設定,但裝置會執行舊版 (舊版) 不支援該設定
  • 上次簽入 - 上次從裝置收到狀態的時間。

提示

第一次指派基準之後,最多需要 24 小時才會顯示數據。 稍後的變更最多需要六小時才會出現。

監視配置檔

監視配置檔可讓您深入瞭解裝置的部署狀態,但不會根據基準建議提供安全性狀態。

  1. 在 Intune 中,選取 [端點安全>性基準],選取安全性基準類型,例如 Windows 10 的安全性基準,然後選>取該基準屬性的實例>。

  2. 在基準的 [ 屬性 ] 中,展開 [ 設定] 以鑽研並檢視基準中的所有設定類別和個別設定,包括此基準實例的組態。

    顯示設定檢視的螢幕影像

  3. 使用 [監視] 選項來檢視個別裝置上設定檔的部署狀態、每個使用者的狀態,以及基準實例的設定狀態:

    請參閱安全性基準配置檔的不同監視選項

解決安全性基準的衝突

若要協助解決安全性基準配置檔或端點安全策略中設定的衝突或錯誤,請檢視裝置的 裝置設定報告 。 此報表檢視可協助您識別設定檔和原則包含可驅動 [衝突] 或 [錯誤] 狀態的設定。

您也可以透過 Microsoft Intune 系統管理中心內的兩個路徑,取得衝突或錯誤設定的相關信息:

  • 端點安全性>安全性>基準選取基準類型>配置 檔>選取基準實例>裝置狀態
  • 設備>所有裝置>選取裝置>裝置設定>選取原則>從顯示衝突或錯誤的設定清單中選取設定

鑽研以識別和解決衝突

  1. 檢視 裝置的裝置設定報告 時,請選取要鑽研的原則,以深入瞭解導致衝突或錯誤狀態的問題。

    當您鑽研時,Intune 會顯示該原則的設定清單,其中包含未設定為 [未設定] 的每個設定,以及該設定的狀態。

  2. 若要檢視特定設定的詳細數據,請選取它以開啟 [ 設定詳細數據 ] 窗格。 在這裡窗格中,您可以檢視:

    • 設定 – 設定的名稱。
    • 狀態 – 裝置上設定的狀態。
    • 來源設定檔 – 每個衝突配置檔的清單,這些配置檔會設定相同的設定,但具有不同的值。

  3. 若要重新設定衝突的配置檔,請從 [來源配置 檔] 清單中選取記錄,以開啟該配置檔 的 [概觀 ]。 選取設定檔 [ 屬性 ],然後您可以檢閱和編輯該配置檔中的設定,以移除衝突。

從套用至裝置的配置檔檢視設定

您可以選取安全性基準的配置檔,然後鑽研以檢視該配置檔套用至個別裝置時的設定清單。 若要鑽研:

  • 端點安全性>所有裝置>選取裝置> 裝置設定 >選取基準原則實例

鑽研之後,系統管理中心會顯示來自該配置檔的設定清單和設定狀態。 狀態狀態包括:

  • 成功 – 裝置上的設定符合配置文件中設定的值。 這是基準預設值和建議值,或是設定配置檔時由系統管理員指定的自定義值。
  • 衝突 – 設定與另一個原則衝突、發生錯誤,或擱置更新。
  • 錯誤 - 無法套用設定。

使用個別設定狀態進行疑難解答

您已部署安全性基準,但部署狀態顯示錯誤。 下列步驟提供針對錯誤進行疑難解答的一些指引。

  1. 在 Intune 中,選取 [端點安全>性基準]> 選取基準 >配置檔

  2. 選取 [監視個別設定狀態]> 下的配置檔>。

  3. 下表顯示所有設定,以及每個設定的狀態。 選取 [ 錯誤] 資料 行或 [ 衝突 ] 資料行,以查看造成錯誤的設定。

MDM 診斷資訊

現在您知道有問題的設定。 下一個步驟是找出此設定造成錯誤或衝突的原因。

在 Windows 10/11 裝置上,有內建的 MDM 診斷信息報告。 此報表包含預設值、目前值、列出原則、顯示是否已部署至裝置或使用者等等。 使用此報告來協助判斷設定造成衝突或錯誤的原因。

  1. 在裝置上,移至 [ 設定>帳戶>存取公司或學校]

  2. 選取帳戶 > [信息>進階診斷報告>建立報告]

  3. 選擇 [ 匯出],然後開啟產生的檔案。

  4. 在報表中,在報表的不同區段中尋找錯誤或衝突設定。

例如,查看已註冊的 組態來源和目標資源 一節或 Unmanaged 原則 一節。 您可能會瞭解造成錯誤或衝突的原因。

診斷 Windows 10 中的 MDM 失敗提供此內建報表的詳細資訊。

提示

  • 某些設定也會列出 GUID。 您可以在本機登錄 (regedit) 中搜尋此 GUID,以尋找任何設定的值。
  • 事件檢視器 記錄可能也包含事件查看器>應用程式和服務>記錄 (Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider>管理員) 之問題設定的一些錯誤資訊。

後續步驟