Мониторинг базовых показателей безопасности и профилей в Microsoft Intune
В Intune доступно несколько вариантов мониторинга базовых показателей безопасности. Варианты действий:
- Отслеживать базовые показатели безопасности и любые устройства, которые соответствуют (или не соответствуют) рекомендуемым значениям.
- Отслеживать профиль базовых показателей безопасности, который применяется для пользователей и устройств.
- Просматривать параметры выбранного профиля на выбранном устройстве.
Вы также можете просмотреть отчет о конфигурации устройства, чтобы узнать, какие политики на основе конфигурации устройств применяются к отдельным устройствам, включая базовые показатели безопасности.
Дополнительные сведения об этой функции см. в статье о базовых показателях безопасности в Intune.
Примечание.
В мае 2023 г. Intune начал развертывание нового формата базовых показателей безопасности, который применяется к новым типам базовых показателей, таким как приложения Microsoft 365, и к более новым версиям существующих базовых показателей, таким как базовые показатели Microsoft Edge версии 112. Новый формат обновляет базовые параметры, чтобы напрямую принимать их имя и параметры конфигурации от поставщика служб конфигурации (CSP), которым управляет базовый параметр.
Intune также представил новый процесс, помогающий перенести существующий профиль базовых показателей безопасности в более новую версию базовых показателей. Это новое поведение является одноразовым процессом, который заменяет обычное поведение обновления при переходе с последней версии старого профиля на более новую версию, которая стала доступна в мае 2023 г. или более поздней.
Базовые экземпляры, использующие этот новый формат, также имеют обновленную структуру отчетов и мониторинга, которая соответствует другим улучшениям отчетов, развернутым в этом году в областях функций Intune. Сведения о представлении отчета для нового формата представлены в этой статье отдельно от исходных сведений, предоставленных для старых базовых показателей. Многие понятия, обсуждаемые для более старых представлений, остаются актуальными.
Мониторинг базовых показателей и устройств
Совет
Следующие сведения относятся к версиям профилей, выпущенным в мае 2023 г. или более поздней версии. Сведения о версиях профилей, выпущенных до мая 2023 г., см. в статье Мониторинг профилей базовых версий, выпущенных до мая 2023 г. далее в этой статье.
Выбрав развернутый профиль базовых показателей безопасности, вы можете получить аналитические сведения о состоянии безопасности устройств, которые получили этот базовый план. Чтобы просмотреть эти аналитические сведения, войдите в Центр администрирования Microsoft Intune, перейдите в разделБазовые показатели безопасности >конечных точеки выберите тип базовых показателей безопасности, например Базовые показатели безопасности приложений Microsoft 365 для предприятий. Затем в области Профили выберите экземпляр профиля, сведения о котором нужно просмотреть, чтобы открыть представление панели мониторинга профилей.
Это представление панели мониторинга включает:
- Общие сведения о состоянии регистрации устройства и пользователя по умолчанию.
- Параметр Просмотреть отчет для детализации для получения дополнительных сведений.
- Две дополнительные плитки отчета:
- Состояние назначения устройства
- Состояние параметра
- Список свойств , в котором можно просмотреть и изменить конфигурацию базовых показателей безопасности.
Сводное представление
Эта сводка представляет собой простую диаграмму с количеством устройств, которые сообщают о конкретном результате состояния для базового плана. Горизонтальная полоса делится на цвета из доступных категорий пропорционально количеству устройств в каждой категории. В предыдущем снимке экрана одно устройство обработало политику и сообщило об успешном выполнении. В результате репрезентативная панель полностью зеленая.
Просмотр отчета
При нажатии кнопки Просмотреть отчет Intune отображает более подробное представление состояния регистрации устройства и пользователя для этих базовых экземпляров. При первом открытии отчета он будет пустым, пока вы не наберете кнопку Создать отчет, после чего в нем отображаются сведения.
На предыдущем изображении отображаются начальные результаты отчета Просмотр для того же базового плана в представлении панели мониторинга. В этом представлении показано, что есть два других устройства с состоянием Назначенияв ожидании, что означает, что они еще не вернули состояние для этого базового плана.
Вы можете отфильтровать это представление отчета по определенным значениям состояния назначения и выбрать Создать еще раз , чтобы обновить видимые результаты. Вы также можете отсортировать любой из доступных столбцов.
Если выбрать имя устройства в столбце Имя устройства , Intune отобразит представление Параметры профиля , где можно просмотреть результаты состояния устройств для каждого параметра в базовой конфигурации безопасности. Затем на странице Параметры профиля можно выбрать параметр для просмотра дополнительных сведений, что полезно, когда устройство сообщает результат для любого параметра, отличного от Успешно.
На следующем рисунке мы детализируем EAGLE003, единственное устройство, которое показывает успешное выполнение базового плана, а затем выберите параметр Управление надстройками:
На панели Параметры параметров можно увидеть каждый профиль, назначенный этому устройству, который также настраивает этот же параметр.
Для этого устройства существует только один исходный профиль, который управляет параметром надстройки. Если существуют другие профили, которые настроили этот параметр, эти профили также будут перечислены в качестве исходного профиля.
Если этот параметр конфликтует, это представление поможет определить другие профили, чтобы затем согласовать согласованную конфигурацию или более поздние назначения базовых профилей, чтобы удалить конфликт.
Отчет о состоянии назначения устройства
Выберите плитку Состояние назначения устройства , чтобы просмотреть этот отчет. В этом отчете:
- Результаты — это список устройств, аналогичный отчету о состоянии регистрации устройства и пользователя .
- При выборе устройства на этой странице открывается представление Параметры профиля устройств, которое является тем же представлением, которое можно увидеть из основного детализации отчета, к которому вы обращаетесь с помощью кнопки Просмотреть отчет. Однако на устройствах с состоянием Назначения в ожидании не отображаются результаты.
- При выборе параметра в этом представлении откроется панель Сведения о настройке, как и при главном детализации отчета.
Отчет о состоянии параметра
Выберите плитку Состояние параметра за , чтобы просмотреть этот отчет. В этом отчете отображается список параметров в профиле, а для каждого из них — количество результатов от устройств для каждого состояния, например количество устройств, сообщаемых об успешном выполнении, ошибке или конфликте.
Это представление не поддерживает детализацию. Вместо этого для реализации параметров, которые находятся в состоянии ошибки или конфликта, можно использовать другие отчеты и представление. Например, чтобы узнать больше о любых устройствах, которые могли сообщить об ошибке или конфликте, можно открыть плитку Состояние назначения устройства и в этом отчете область состояния отчета, чтобы отобразить только состояние, которое вы изучаете. Затем с помощью этого отчета можно продолжить детализацию, чтобы запустить соответствующие сведения.
Свойства
Под разделом отчетов панели мониторинга можно найти представление "Свойства профилей". В разделе Свойства вы можете:
- Просмотрите конфигурацию каждой страницы профиля.
- Измените конфигурацию профилей, например понятное имя, присвоенное профилем, его назначения и любые параметры профиля.
Профили мониторинга базовых версий, выпущенных до мая 2023 г.
Совет
Следующие сведения относятся к версиям профилей, выпущенным до мая 2023 г. Сведения о версиях профилей, выпущенных после мая 2023 г., см. в статье Мониторинг базовых показателей и устройств ранее в этой статье.
Контролируя базовые показатели, вы получаете представление о состоянии безопасности ваших устройств на основе рекомендаций Майкрософт. Чтобы просмотреть эти аналитические сведения, войдите в Центр администрирования Microsoft Intune, перейдите в разделБазовые показатели безопасности >конечных точеки выберите тип базовых показателей безопасности, например Базовые показатели безопасности для Windows 10 и более поздних версий. Затем в области Версии выберите экземпляр профиля, сведения о котором необходимо просмотреть, чтобы открыть область Обзор.
В области Обзор отображаются два представления состояния для выбранных базовых показателей.
Состояние базовых показателей системы безопасности — на этой диаграмме представлены общие сведения о состоянии устройств для версии базовых показателей. Доступные сведения:
- Соответствует базовой конфигурации по умолчанию — это состояние указывает, что конфигурация устройств соответствует базовой конфигурации по умолчанию (без изменений).
- Соответствует настроенным параметрам — это состояние указывает, что конфигурация устройств соответствует настроенной версии базовых показателей, которую вы развернули.
- Неправильная конфигурация — это сводное состояние, представляющее три статуса устройства: Ошибка, Ожидание или Конфликт. Эти отдельные состояния доступны из других представлений, таких как Состояние базовой конфигурации безопасности по категориям, представления в виде списка, которое отображается под данной диаграммой.
- Неприменимо — это состояние указывает, что устройство не может получить политику. Например, политика обновляет параметр, относящийся к последней версии Windows, но на устройстве выполняется более старая (ранняя) версия, которая не поддерживает этот параметр.
Состояние базовых показателей безопасности по категориям — представление в виде списка, на котором отображается состояние устройств по категориям. В этом представлении списка доступны те же сведения, что и на диаграмме Состояние базовых показателей системы безопасности. Однако вместо Неправильно настроено есть три столбца для состояний состояния, которые составляют Неправильно настроено:
- Ошибка: политику не удалось применить. Сообщения обычно отображаются с кодом ошибки, которая указывает на объяснение.
- Конфликт: два параметра применяются для одного устройства, и Intune не может отсортировать конфликт. Необходимо обратиться к администратору.
- Ожидание: устройство еще не подключено в Intune для получения политики.
При детализации двух предыдущих представлений можно просмотреть следующие сведения, относящиеся к состоянию параметров и представлению списка состояния устройств:
- Успешно: политика применена.
- Ошибка: политику не удалось применить. Сообщения обычно отображаются с кодом ошибки, которая указывает на объяснение.
- Конфликт: два параметра применяются для одного устройства, и Intune не может отсортировать конфликт. Необходимо обратиться к администратору.
- Ожидание: устройство еще не подключено в Intune для получения политики.
- Неприменимо: устройство не может получить политику. Например, политика обновляет параметр, относящийся к последней версии Windows, но на устройстве выполняется более старая (ранняя) версия, которая не поддерживает этот параметр.
В представлении Версия можно выбрать Состояние устройства. В представлении "Состояние устройства" отображается список устройств, к которым применяются эти базовые показатели, а также следующие сведения:
- ИМЯ СУБЪЕКТА-ПОЛЬЗОВАТЕЛЯ — профиль пользователя, связанный с базовыми показателями на устройстве.
-
СОСТОЯНИЕ БАЗОВОЙ КОНФИГУРАЦИИ БЕЗОПАСНОСТИ — в этом столбце отображается состояние устройств:
- Успешно: политика применена.
- Ошибка: политику не удалось применить. Сообщения обычно отображаются с кодом ошибки, которая указывает на объяснение.
- Конфликт: два параметра применяются для одного устройства, и Intune не может отсортировать конфликт. Необходимо обратиться к администратору.
- Ожидание: устройство еще не подключено в Intune для получения политики.
- Неприменимо: устройство не может получить политику. Например, политика обновляет параметр, относящийся к последней версии Windows, но на устройстве выполняется более старая (ранняя) версия, которая не поддерживает этот параметр.
- Последняя запись после изменения — время последнего получения состояния от устройства.
Совет
После первого назначения базовых показателей отображение данных занимает до 24 часов. Для последующих изменений необходимо до 6 часов.
Мониторинг профиля
Мониторинг профиля представляет полезные сведения о состоянии развертывания ваших устройств, но не о состоянии безопасности на основе рекомендаций базовых показателей.
В Intune выберитеБазовые показатели безопасности>конечных точек, выберите тип базовых показателей безопасности, например Базовые показатели безопасности для Windows 10 и более поздних версий>, выберите экземпляр этих>базовых свойств.
В разделе Свойства базового плана разверните узел Параметры , чтобы детализировать и просмотреть все категории параметров и отдельные параметры в базовом плане, включая их конфигурацию для этого экземпляра базового плана.
С помощью параметров в разделе Монитор можно просмотреть состояние развертывания профиля на отдельных устройствах, каждого пользователя и каждого параметра в экземпляре базовых показателей.
Разрешение конфликтов для базовых показателей безопасности
Чтобы устранить конфликт или ошибку в параметрах профилей базовой конфигурации безопасности или политиках безопасности конечных точек, обратитесь к отчету о конфигурации устройства. Это представление отчета поможет выяснить, в каких профилях и политиках имеются параметры, вызывающие состояние конфликта или ошибки.
Вы также можете получить сведения о параметрах в конфликте или ошибке по двум путям из Центра администрирования Microsoft Intune:
- Безопасность конечных> точекБазовые показатели> безопасностиВыбор базового типа>Профили>Выбор базового экземпляра>Состояние устройства.
- Устройства>Все устройства>выберите устройство>Конфигурация устройства>выберите политику>выберите параметр из списка параметров, отображающий конфликт или ошибку.
Детализация для выявления и разрешения конфликтов
При просмотре отчета о конфигурации устройства выберите политику для детализации, чтобы узнать больше о проблеме, которая приводит к конфликту или состоянию ошибки.
При детализации Intune отображает список параметров для этой политики, включающий каждый параметр, который не был задан как Не настроен, и состояние этого параметра.
Чтобы просмотреть сведения об определенном параметре, выберите его. Откроется область Сведения о параметрах. В этой области можно просмотреть:
- "Параметр" — имя параметра;
- "Состояние" — состояние параметра на устройстве;
- "Исходные профили" — список всех конфликтующих профилей, в которых этот же параметр задается с другим значением.
Для изменения конфигурации конфликтующих профилей выберите запись из списка Исходные профили, чтобы открыть обзор для этого профиля. Выберите Свойства профиля, а затем просмотрите и измените параметры в этом профиле, чтобы устранить конфликт.
Просмотр параметров из профилей, применяемых к устройству
Вы можете выбрать профиль для базового плана безопасности и детализировать, чтобы просмотреть список параметров из этого профиля, как они применяются к отдельному устройству. Детализация:
- Безопасность конечных> точекВсе устройства>Выбор устройства> Конфигурация > устройства выберите экземпляр базовой политики.
После детализации центр администрирования отобразит список параметров из этого профиля и состояние параметров. Статусные состояния включают в себя:
- Успешно — параметр на устройстве соответствует значению, настроенному в профиле. Это либо базовый показатель по умолчанию и рекомендуемое значение, либо пользовательское значение, заданное администратором при настройке профиля.
- Конфликт — параметр конфликтует с другой политикой, содержит ошибку или ожидает обновления.
- Ошибка - Не удалось применить параметры.
Устранение неполадок с помощью состояния для отдельных параметров
Вы развернули базовые показатели безопасности, но состояние развертывания отображает ошибку. Следующие шаги дают вам некоторые рекомендации по устранению ошибки.
В Intune выберите Базовыепоказатели безопасности> конечных >точек, выберите базовые> профили.
Выберите профиль > в разделе Состояние монитора>для каждого параметра.
В таблице показаны все параметры и их состояние. Выберите столбец Ошибка или столбец Конфликт, чтобы увидеть параметр, вызвавший ошибку.
Диагностическая информация MDM
Теперь вы определили проблемный параметр. Далее необходимо выяснить, почему этот параметр вызывает ошибку или конфликт.
На устройствах с Windows 10/11 имеется встроенный отчет с диагностической информацией MDM. Этот отчет включает значения по умолчанию, текущие значения, список политик, показывает, развернута ли она на устройстве или у пользователя, и многое другое. Используйте этот отчет, чтобы определить, почему этот параметр является причиной конфликта или ошибки.
На устройстве откройте Настройка>Учетные записи>Доступ к учетной записи места работы или учебного заведения.
Выберите отчет "Сведения обучетной записи>>"Для создания отчета>расширенной диагностики.
Выберите Экспорт и откройте созданный файл.
В отчете найдите параметр ошибки или конфликта в разных разделах отчета.
Например, посмотрите раздел Enrolled configuration sources and target resources (Зарегистрированные источники конфигурации и целевые ресурсы) или раздел Unmanaged policies (Неуправляемые политики). Вы можете получить представление о том, почему это вызывает ошибку или конфликт.
Статья Diagnose MDM failures in Windows 10 (Диагностика сбоев MDM в Windows 10) предоставляет дополнительные сведения об этом встроенном отчете.
Совет
- Некоторые параметры также перечислены в GUID. Вы можете искать этот GUID в локальном реестре (regedit) для любых установленных значений.
- Журналы просмотра событий могут также содержать некоторую информацию об ошибках в проблемной настройке (Просмотр событий>Журналы приложений и служб>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider>Администратор).