Erstellen von Konfigurationsbaselines in Configuration Manager

Artikel
04/04/2023

Gilt für: Configuration Manager (Current Branch)

Konfigurationsbaselines in Configuration Manager vordefinierte Konfigurationselemente und optional andere Konfigurationsbaselines enthalten. Nachdem eine Konfigurationsbaseline erstellt wurde, können Sie sie in einer Sammlung bereitstellen, damit Geräte in dieser Sammlung die Konfigurationsbaseline herunterladen und ihre Konformität mit ihr bewerten.

Tipp

Es gibt keine Möglichkeit, die Reihenfolge anzugeben, in der der Configuration Manager Client die Konfigurationselemente in einer Baseline auswertet. Es ist nicht deterministisch.

Konfigurationsbaselines

Konfigurationsbaselines in Configuration Manager können bestimmte Revisionen von Konfigurationselementen enthalten oder so konfiguriert werden, dass immer die neueste Version eines Konfigurationselements verwendet wird. Weitere Informationen zu Überarbeitungen von Konfigurationselementen finden Sie unter Verwaltungstasks für Konfigurationsdaten.

Es gibt zwei Methoden, mit denen Sie Konfigurationsbaselines erstellen können:

Importieren von Konfigurationsdaten aus einer Datei. Klicken Sie zum Starten des Assistenten zum Importieren von Konfigurationsdaten im Arbeitsbereich Bestand und Kompatibilität im Knoten Konfigurationselemente oder Konfigurationsbaselines auf Konfigurationsdaten importieren. Weitere Informationen finden Sie unter Importieren von Konfigurationsdaten.
Verwenden Sie das Dialogfeld Konfigurationsbaseline erstellen , um eine neue Konfigurationsbaseline zu erstellen.

Erstellen einer Konfigurationsbaseline

Gehen Sie wie folgt vor, um mithilfe des Dialogfelds Konfigurationsbaseline erstellen eine Konfigurationsbaseline zu erstellen:

Klicken Sie in der Configuration Manager-Konsole auf Bestand undKompatibilitätseinstellungen>>Konfigurationsbaselines.
Klicken Sie auf der Registerkarte Start in der Gruppe Erstellen auf Konfigurationsbaseline erstellen.
Geben Sie im Dialogfeld Konfigurationsbaseline erstellen einen eindeutigen Namen und eine Beschreibung für die Konfigurationsbaseline ein. Sie können maximal 255 Zeichen für den Namen und 512 Zeichen für die Beschreibung verwenden.
In der Liste Konfigurationsdaten werden alle Konfigurationselemente oder Konfigurationsbaselines angezeigt, die in dieser Konfigurationsbaseline enthalten sind. Klicken Sie auf Hinzufügen , um der Liste ein neues Konfigurationselement oder eine Konfigurationsbaseline hinzuzufügen. Sie können aus den folgenden Elementen wählen:
- Konfigurationselemente
- Software Updates
- Konfigurationsbaselines
  
  Wichtig
  
  Sie müssen jede Konfigurationsbaseline auf maximal 1.000 Softwareupdates beschränken.
Verwenden Sie die Liste Zweck ändern , um das Verhalten eines Konfigurationselements anzugeben, das Sie in der Liste Konfigurationsdaten ausgewählt haben. Sie können aus den folgenden Elementen auswählen:
- Erforderlich: Die Konfigurationsbaseline wird als nicht konform ausgewertet, wenn das Konfigurationselement auf einem Clientgerät nicht erkannt wird. Wenn es erkannt wird, wird es auf Konformität ausgewertet.
- Optional: Das Konfigurationselement wird nur dann auf Kompatibilität ausgewertet, wenn die Anwendung, auf die es verweist, auf Clientcomputern gefunden wird. Wenn die Anwendung nicht gefunden wird, wird die Konfigurationsbaseline nicht als nicht konform markiert (gilt nur für Anwendungskonfigurationselemente).
- Unzulässig: Die Konfigurationsbaseline wird als nicht konform ausgewertet, wenn das Konfigurationselement auf Clientcomputern erkannt wird (gilt nur für Anwendungskonfigurationselemente).
Hinweis

Die Liste Zweck ändern ist nur verfügbar, wenn Sie auf der Seite Allgemein des Assistenten zum Erstellen von Konfigurationselementen auf die Option Dieses Konfigurationselement enthält Anwendungseinstellungen geklickt haben.
Verwenden Sie die Liste Revision ändern , um eine bestimmte oder die neueste Revision des Konfigurationselements auszuwählen, um die Konformität auf Clientgeräten zu bewerten, oder wählen Sie Immer Neueste verwenden aus, um immer die neueste Revision zu verwenden. Weitere Informationen zu Überarbeitungen von Konfigurationselementen finden Sie unter Verwaltungstasks für Konfigurationsdaten.
Um ein Konfigurationselement aus der Konfigurationsbaseline zu entfernen, wählen Sie ein Konfigurationselement aus, und klicken Sie dann auf Entfernen.
Wählen Sie ab Version 1806 aus, ob Sie diese Baseline immer auf gemeinsam verwaltete Clients anwenden möchten. Wenn diese Option aktiviert ist, gilt diese Baseline auch für Clients, die von Intune verwaltet werden. Diese Ausnahme kann verwendet werden, um Einstellungen zu konfigurieren, die für Ihre organization, aber noch nicht in Intune verfügbar sind.
Klicken Sie optional auf Kategorien , um der Baseline Kategorien zum Suchen und Filtern zuzuweisen.
Klicken Sie auf OK , um das Dialogfeld Konfigurationsbaseline erstellen zu schließen und die Konfigurationsbaseline zu erstellen.

Hinweis

Wenn Sie eine vorhandene Baseline ändern, z. B. diese Baseline immer für gemeinsam verwaltete Clients anwenden festlegen, wird die Inhaltsversion der Baseline erhöht. Clients müssen die neue Version auswerten, um die Baselineberichterstellung zu aktualisieren.

Einschließen benutzerdefinierter Konfigurationsbaselines als Teil der Konformitätsrichtlinienbewertung

Sie können die Auswertung von benutzerdefinierten Konfigurationsbaselines als Konformitätsrichtlinienbewertungsregel hinzufügen. Wenn Sie eine Konfigurationsbaseline erstellen oder bearbeiten, haben Sie die Möglichkeit, diese Baseline als Teil der Konformitätsrichtlinienbewertung auszuwerten. Beim Hinzufügen oder Bearbeiten einer Konformitätsrichtlinienregel haben Sie eine Bedingung namens Konfigurierte Baselines in die Konformitätsrichtlinienbewertung einschließen. Bei gemeinsam verwalteten Geräten und wenn Sie Intune so konfigurieren, dass Configuration Manager Ergebnisse der Konformitätsbewertung als Teil der allgemeinen Compliance-status erfasst werden, werden diese Informationen an Microsoft Entra ID gesendet. Sie können es dann für den bedingten Zugriff auf Ihre Microsoft 365 Apps Ressourcen verwenden. Weitere Informationen finden Sie unter Bedingter Zugriff mit Co-Verwaltung.

Gehen Sie wie folgt vor, um benutzerdefinierte Konfigurationsbaselines als Teil der Konformitätsrichtlinienbewertung einzuschließen:

Erstellen Sie eine Konformitätsrichtlinie für eine Benutzersammlung mit einer Regel, um konfigurierte Baselines in die Konformitätsrichtlinienbewertung einzuschließen, und stellen Sie sie bereit.
Wählen Sie Diese Baseline als Teil der Konformitätsrichtlinienbewertung in einer Konfigurationsbaseline aus, die für eine Gerätesammlung bereitgestellt wird.

Wichtig

Die Konfigurationsbaseline muss in einer Gerätesammlung bereitgestellt werden. Baselines, die für Benutzersammlungen bereitgestellt werden, werden nicht berücksichtigt, wenn diese Einstellungen verwendet werden.
Stellen Sie bei der Ausrichtung auf Gemeinsam verwaltete Geräte sicher, dass Sie die Voraussetzungen für die Co-Verwaltung erfüllen. Gemeinsam verwaltete Clients ignorieren Dienstfenster zur Behebung, wenn ihre Workload für Konformitätsrichtlinien von Intune verwaltet wird.
Bei Geräten, die von Configuration Manager verwaltet werden, berücksichtigt der Client das Dienstfenster für die Korrektur von Konformitätsrichtlinien. Um das Dienstfenster zu ignorieren und sofort zu korrigieren, wählen Sie Konformität überprüfen im Softwarecenter aus.

Beispielauswertungsszenario

Wenn ein Benutzer Teil einer Sammlung mit einer Konformitätsrichtlinie ist, die die Regelbedingung Konfigurierte Baselines in konformitätsrichtlinienbewertung einschließen enthält, werden alle Baselines mit der ausgewählten Option Diese Baseline als Teil der Konformitätsrichtlinienbewertung auswerten , die für den Benutzer oder das Gerät des Benutzers bereitgestellt werden, auf Konformität ausgewertet. Zum Beispiel:

User1 ist Teil von User Collection 1.
User1 verwendet Device1, was sich in Device Collection 1 und Device Collection 2befindet.
Compliance Policy 1 verfügt über die Bedingung Include configured baselines in compliance policy assessment rule (Konfigurierte Baselines in Konformitätsrichtlinienbewertungsregel einschließen ) und wird in User Collection 1bereitgestellt.
Configuration Baseline 1 hat Diese Baseline als Teil der Konformitätsrichtlinienbewertung auswerten ausgewählt und wird in Device Collection 1bereitgestellt.
Configuration Baseline 2 hat Diese Baseline als Teil der Konformitätsrichtlinienbewertung auswerten ausgewählt und wird in Device Collection 2bereitgestellt.

In diesem Szenario werden sowohl als auch ausgewertetConfiguration Baseline 2, wenn Compliance Policy 1User1 für die Verwendung von Device1ausgewertet Configuration Baseline 1 wird.

User1 verwendet Device2manchmal .
Device2ist ein Member von Device Collection 2 und Device Collection 3.
Device Collection 3 wurde Configuration Baseline 3 bereitgestellt, aber Diese Baseline als Teil der Konformitätsrichtlinienbewertung auswerten ist nicht ausgewählt.

Wenn User1 verwendet Device2wird, wird nur Configuration Baseline 2 ausgewertet, wenn Compliance Policy 1 ausgewertet wird.

Hinweis

Wenn die Konformitätsrichtlinie eine neue Baseline auswertet, die noch nie auf dem Client ausgewertet wurde, wird möglicherweise eine Nichtkonformität gemeldet. Dies tritt auf, wenn die Baselineauswertung noch ausgeführt wird, wenn die Konformität ausgewertet wird. Um dieses Problem zu umgehen, klicken Sie im Softwarecenter auf Kompatibilität überprüfen.

Erstellen und Bereitstellen einer Konformitätsrichtlinie mit einer Regel für die Bewertung der Baselinekonformitätsrichtlinie

Erweitern Sie im Arbeitsbereich Bestand und Kompatibilitätdie Option Kompatibilitätseinstellungen, und wählen Sie dann den Knoten Konformitätsrichtlinien aus.
Klicken Sie im Menüband auf Konformitätsrichtlinie erstellen , um den Assistenten zum Erstellen von Konformitätsrichtlinien aufzurufen.
Wählen Sie auf der Seite Allgemeindie Option Kompatibilitätsregeln für Geräte aus, die mit dem Configuration Manager Client verwaltet werden.
- Geräte müssen mit dem Configuration Manager-Client verwaltet werden, um benutzerdefinierte Konfigurationsbaselines als Teil der Konformitätsrichtlinienbewertung einzubeziehen.
Wählen Sie auf den Seiten Unterstützte Plattformen Ihre Plattformen aus.
Wählen Sie auf der Seite Regeln die Option Neu und dann die Bedingung Konfigurierte Baselines in Konformitätsrichtlinienbewertung einschließen aus.
Klicken Sie auf OK und dann auf Weiter , um zur Seite Zusammenfassung zu gelangen.
Überprüfen Sie Ihre Auswahl, und klicken Sie auf Weiter und dann auf Schließen.
Klicken Sie im Knoten Konformitätsrichtlinien mit der rechten Maustaste auf die richtlinie, die Sie erstellt haben, und wählen Sie Bereitstellen aus.
Wählen Sie Ihre Sammlung, Die Einstellungen für die Warnungsgenerierung und Ihren Zeitplan für die Konformitätsauswertung für die Richtlinie aus.
Klicken Sie auf OK , um die Konformitätsrichtlinie bereitzustellen.

Wählen Sie eine Konfigurationsbaseline aus, und aktivieren Sie "Diese Baseline als Teil der Konformitätsrichtlinienbewertung auswerten".

Erweitern Sie im Arbeitsbereich Bestand und Kompatibilitätdie Option Kompatibilitätseinstellungen, und wählen Sie dann den Knoten Konfigurationsbaselines aus .
Klicken Sie mit der rechten Maustaste auf eine vorhandene Baseline, die in einer Gerätesammlung bereitgestellt wird, und wählen Sie dann Eigenschaften aus. Bei Bedarf können Sie eine neue Baseline erstellen.
- Die Baseline muss in einer Gerätesammlung und nicht in einer Benutzersammlung bereitgestellt werden.
Aktivieren Sie die Einstellung Diese Baseline als Teil der Konformitätsrichtlinienbewertung auswerten .
- Stellen Sie für gemeinsam verwaltete Geräte mit Intune als Gerätekonfigurationsautorität sicher, dass diese Baseline auch für gemeinsam verwaltete Clients immer anwenden ausgewählt ist.
Klicken Sie auf OK , um die Änderungen an Ihrer Konfigurationsbaseline zu speichern.

Protokolldateien für benutzerdefinierte Konfigurationsbaselines im Rahmen der Konformitätsrichtlinienbewertung

ComplianceHandler.log
SettingsAgent.log
DCMAgent.log
CIAgent.log

Nächste Schritte

Konfigurationsdaten importieren

Freigeben über