Övervaka säkerhetsbaslinjer och profiler i Microsoft Intune

Intune har flera alternativ för att övervaka säkerhetsbaslinjer. Du kan:

  • Övervaka en säkerhetsbaslinje och alla enheter som matchar (eller inte matchar) de rekommenderade värdena.
  • Övervaka profilen för säkerhetsbaslinjer som gäller för dina användare och enheter.
  • Visa hur inställningarna från en vald profil anges på en vald enhet.

Du kan också visa rapporten Enhetskonfiguration för att se vilka enhetskonfigurationsbaserade principer som gäller för enskilda enheter, inklusive säkerhetsbaslinjer.

Mer information om funktionen finns i Säkerhetsbaslinjer i Intune.

Obs!

I maj 2023 började Intune distribuera ett nytt säkerhetsbaslinjeformat som gäller för nya baslinjetyper, till exempel Microsoft 365-appar, och för de nyare versionerna av befintliga baslinjer, till exempel Microsoft Edge-baslinjeversion 112. Det nya formatet uppdaterar baslinjeinställningarna för att direkt ta namn och konfigurationsalternativ från konfigurationstjänstleverantören (CSP) som baslinjeinställningen hanterar.

Intune introducerade också en ny process som hjälper dig att migrera en befintlig säkerhetsbaslinjeprofil till den nyare baslinjeversionen. Det här nya beteendet är en engångsprocess som ersätter det normala uppdateringsbeteendet när du går från den senaste versionen av en äldre profil till en nyare version som blev tillgänglig i maj 2023 eller senare.

Baslinjeinstanser som använder det här nya formatet har också en uppdaterad rapport- och övervakningsstruktur som överensstämmer med andra rapportförbättringar som har distribuerats i år i Intune-funktionsområden. Rapportvyinformationen för det nya formatet presenteras i den här artikeln separat från den ursprungliga informationen för de äldre baslinjerna. Många av de begrepp som diskuteras för de äldre vyerna är fortfarande relevanta.

Övervaka baslinjen och dina enheter

Tips

Följande information gäller för profilversioner som släpptes i maj 2023 eller senare. Information om profilversioner som släpptes före maj 2023 finns i Övervaka profiler för baslinjeversioner som släpptes före maj 2023, senare i den här artikeln.

När du väljer en säkerhetsbaslinjeprofil som du har distribuerat kan du få insikter om säkerhetstillståndet för enheter som tog emot baslinjen. Om du vill visa dessa insikter loggar du in på administrationscentret för Microsoft Intune, går tillSäkerhetsbaslinjer för slutpunktssäkerhet> och väljer en typ av säkerhetsbaslinje som Microsoft 365-applikationer för företagssäkerhetsbaslinje. I fönstret Profiler väljer du sedan den profilinstans som du vill visa information för för att öppna instrumentpanelsvyn för profiler.

Visa instrumentpanelen för en säkerhetsbaslinjeprofil.

Den här instrumentpanelsvyn innehåller:

  • En övergripande sammanfattning av standardrapporten, enhetens och användarens incheckningsstatus.
  • Ett visa rapportalternativ för att öka detaljnivån för mer information.
  • Ytterligare två rapportpaneler:
    • Status för enhetstilldelning
    • Status per inställning
  • En egenskapslista där du kan granska och redigera säkerhetsbaslinjens konfiguration.

Sammanfattningsvy

Den här sammanfattningen är ett enkelt diagram som visar antalet enheter som rapporterar ett specifikt statusresultat för baslinjen. Det vågräta fältet är indelat i färger från tillgängliga kategorier i proportion till antalet enheter i varje kategori. I föregående skärmdump har en enda enhet bearbetat principen och rapporterat att den lyckades. Därför är representationsfältet helt grönt.

Visa rapport

När du väljer knappen Visa rapport visar Intune en mer detaljerad vy över status för enhets- och användarincheckning för dessa baslinjeinstanser. När du öppnar rapporten för första gången är den tom tills du väljer Generera rapport, varefter den visar information.

Visa rapportinformationen för Status för enhets- och användarkontroll.

Föregående bild visar de första visa rapportresultaten för samma baslinje från instrumentpanelsvyn. Den här vyn visar att det finns två andra enheter som har tilldelningsstatusenVäntar, vilket innebär att de ännu inte har returnerat status för den här baslinjen.

Du kan filtrera den här rapportvyn efter specifika tilldelningsstatusvärden och välja Generera igen för att uppdatera de synliga resultaten. Du kan också sortera någon av de tillgängliga kolumnerna.

Om du väljer namnet på en enhet i kolumnen Enhetsnamn visar Intune vyn Profilinställningar där du kan visa enheternas statusresultat för varje inställning i säkerhetsbaslinjen. På sidan Profilinställningar kan du sedan välja en inställning för att visa mer information, vilket är användbart när en enhet rapporterar ett resultat för andra inställningar än Lyckades.

I följande bild går vi in på EAGLE003, den enda enheten som visar framgång för baslinjen, och väljer sedan inställningen Tilläggshantering:

Visa en enhets rapporterade status för varje inställning i baslinjen.

I fönstret Inställningsinformation för inställningar kan vi se varje profil som är tilldelad till den här enheten som också konfigurerar samma inställning.

För den här enheten finns det bara en källprofil som hanterar inställningen Tilläggshantering. Om det fanns andra profiler som konfigurerade den här inställningen skulle dessa profiler också visas som en källprofil.

Om den här inställningen är i konflikt kan den här vyn hjälpa dig att identifiera de andra profilerna så att du sedan kan stämma av en konsekvent konfiguration eller senare baslinjeprofiltilldelningar för att ta bort konflikten.

Statusrapport för enhetstilldelning

Välj panelen Enhetstilldelningsstatus för att visa den här rapporten. I den här rapporten:

  • Resultatet är en lista över enheter som liknar rapporten Status för enhets- och användarkontroll .
  • Om du väljer en enhet på den här sidan öppnas vyn Profilinställningar för enheter, vilket är samma vy som du kan se från huvudrapportens detaljnivå som du kommer åt från knappen Visa rapport. Enheter som har tilldelningsstatusen Väntar har dock inte resultat att visa.
  • Om du väljer en inställning i den här vyn öppnas fönstret Inställningsinformation, samma som via huvudrapportens detaljnivå.

Statusrapport per inställning

Välj panelen Status per inställning för att visa den här rapporten. Den här rapporten visar en lista över inställningarna i profilen och för varje, antalet resultat från enheter för varje status, till exempel hur många enheter som rapporterar Lyckat, Fel eller Konflikt.

Den här vyn har inget stöd för att öka detaljnivån. Om du vill använda inställningar som är felaktiga eller motstridiga kan du i stället använda de andra rapporterna och vyn. Om du till exempel vill veta mer om enheter som kan ha rapporterat ett fel eller en konflikt kan du öppna panelen Enhetstilldelningsstatus . För den rapporten omfångsbegränsar du rapportstatusen så att endast den status som du undersöker visas. Med den rapporten kan du sedan fortsätta att öka detaljnivån för att köra ned relevant information.

Egenskaper

Under rapportavsnittet på instrumentpanelen hittar du profilvyn Egenskaper . Från Egenskaper kan du:

  • Visa konfigurationen för varje sida i profilen.
  • Redigera profilkonfigurationen, till exempel det eget namn som du gav profilen, dess tilldelningar och någon av profilinställningarna.

Visa baslinjekonfigurationen, där du kan redigera för att göra ändringar.

Övervaka profiler för baslinjeversioner som släpptes före maj 2023

Tips

Följande information gäller för profilversioner som släpptes före maj 2023. Information om profilversioner som släpptes efter maj 2023 finns i Övervaka baslinjen och dina enheter tidigare i den här artikeln.

När du övervakar en baslinje får du insikt i säkerhetstillståndet för dina enheter baserat på Microsofts rekommendationer. Om du vill visa dessa insikter loggar du in på administrationscentret för Microsoft Intune, går tillSäkerhetsbaslinjer för slutpunktssäkerhet> och väljer en säkerhetsbaslinjetyp som säkerhetsbaslinje för Windows 10 och senare. I fönstret Versioner väljer du sedan den profilinstans som du vill visa information för för att öppna fönstret Översikt .

Fönstret Översikt visar två statusvyer för den valda baslinjen:

  • Diagram över säkerhetsbaslinjestatus – Det här diagrammet visar information på hög nivå om enhetsstatus för baslinjeversionen. Den tillgängliga informationen:

    • Matchar standardbaslinjen – Den här statusen identifierar när en enhetskonfiguration matchar standardbaslinjekonfigurationen (oförändrad).
    • Matchar anpassade inställningar – Den här statusen identifierar när en enhetskonfiguration matchar den anpassade versionen av baslinjen som du har distribuerat.
    • Felkonfigurerad – Den här statusen är en sammanslagning som representerar tre statusvillkor från en enhet: Fel, Väntar eller Konflikt. Dessa separata tillstånd är tillgängliga från andra vyer, till exempel säkerhetsbaslinjestatus efter kategori, en listvy som visas under det här diagrammet.
    • Inte tillämpligt – Den här statusen representerar en enhet som inte kan ta emot principen. Principen uppdaterar till exempel en inställning som är specifik för den senaste versionen av Windows, men enheten kör en äldre (tidigare) version som inte stöder den inställningen.
  • Säkerhetsbaslinjestatus efter kategori – En listvy som visar enhetsstatus efter kategori. I den här listvyn är samma information som diagrammet Säkerhetsbaslinjestatus tillgängligt. I stället för Felkonfigurerad finns det dock tre kolumner för statustillstånden som utgör Felkonfigurerade:

    • Fel: Det gick inte att tillämpa principen. Meddelandet visas vanligtvis med en felkod som länkar till en förklaring.
    • Konflikt: Två inställningar tillämpas på samma enhet och Intune kan inte reda ut konflikten. En administratör bör granska.
    • Väntar: Enheten har inte checkat in med Intune för att ta emot principen ännu.

När du ökar detaljnivån för de två föregående vyerna kan du visa följande information för inställningsstatusen och vyerna för enhetsstatuslistan:

  • Lyckades: Principen tillämpas.
  • Fel: Det gick inte att tillämpa principen. Meddelandet visas vanligtvis med en felkod som länkar till en förklaring.
  • Konflikt: Två inställningar tillämpas på samma enhet och Intune kan inte reda ut konflikten. En administratör bör granska.
  • Väntar: Enheten har inte checkat in med Intune för att ta emot principen ännu.
  • Ej tillämpligt: Enheten kan inte ta emot principen. Principen uppdaterar till exempel en inställning som är specifik för den senaste versionen av Windows, men enheten kör en äldre (tidigare) version som inte stöder den inställningen.

I vyn Version kan du välja Enhetsstatus. Vyn Enhetsstatus visar en lista över de enheter som tar emot den här baslinjen och innehåller följande information:

  • ANVÄNDARENS HUVUDNAMN – Användarprofilen som är associerad med baslinjen på enheten.
  • SÄKERHETSBASLINJESTATUS – Den här kolumnen visar enhetens tillstånd:
    • Lyckades: Principen tillämpas.
    • Fel: Det gick inte att tillämpa principen. Meddelandet visas vanligtvis med en felkod som länkar till en förklaring.
    • Konflikt: Två inställningar tillämpas på samma enhet och Intune kan inte reda ut konflikten. En administratör bör granska.
    • Väntar: Enheten har inte checkat in med Intune för att ta emot principen ännu.
    • Ej tillämpligt: Enheten kan inte ta emot principen. Principen uppdaterar till exempel en inställning som är specifik för den senaste versionen av Windows, men enheten kör en äldre (tidigare) version som inte stöder den inställningen
  • Senaste INCHECKNING – När status senast togs emot från enheten.

Tips

Det tar upp till 24 timmar innan data visas när du har tilldelat en baslinje. Senare ändringar tar upp till sex timmar att visas.

Övervaka profilen

Övervakning av profilen ger inblick i distributionstillståndet för dina enheter, men inte säkerhetstillståndet baserat på baslinjerekommendationerna.

  1. I Intune väljer duSäkerhetsbaslinjer för slutpunktssäkerhet>, väljer en typ av säkerhetsbaslinje som säkerhetsbaslinje för Windows 10 och väljer senare>en instans av baslinjeegenskaperna>.

  2. I Egenskaper för baslinjen expanderar du Inställningar för att öka detaljnivån och visa alla inställningskategorier och enskilda inställningar i baslinjen, inklusive deras konfiguration för den här instansen av baslinjen.

    Skärmbild som visar inställningsvyn

  3. Använd alternativen för Övervaka för att visa distributionsstatus för profilen på enskilda enheter, status för varje användare och status för inställningarna från instansen av baslinjen:

    Se de olika övervakningsalternativen för en säkerhetsbaslinjeprofil

Lösa konflikter för säkerhetsbaslinjer

Om du vill lösa en konflikt eller ett fel för inställningarna i säkerhetsbaslinjeprofilerna eller slutpunktssäkerhetsprinciperna kan du visa enhetskonfigurationsrapporten för en enhet. Den här rapportvyn hjälper dig att identifiera var dina profiler och principer innehåller inställningar som ger statusen Konflikt eller Fel.

Du kan också komma åt information om inställningar i konflikt eller fel via två sökvägar inifrån administrationscentret för Microsoft Intune:

  • Slutpunktssäkerhet>Säkerhetsbaslinjer>välj en baslinjetyp>Profiler>välj en baslinjeinstans>Enhetsstatus.
  • Enheter>Alla enheter>välj en enhet>Enhetskonfiguration>välj en princip>välj en inställning i listan med inställningar som visar en konflikt eller ett fel.

Öka detaljnivån för att identifiera och lösa konflikter

  1. När du visar enhetskonfigurationsrapporten för en enhet väljer du en princip för att öka detaljnivån för att lära dig mer om problemet som resulterar i en konflikt eller felstatus.

    När du ökar detaljnivån visar Intune en lista med inställningar för den principen som innehåller varje inställning som inte har angetts som Inte konfigurerad och status för den inställningen.

  2. Om du vill visa information om en specifik inställning väljer du den för att öppna fönstret Inställningarsinformation . I det här fönstret kan du visa:

    • Inställning – namnet på inställningen.
    • Tillstånd – status för inställningen på enheten.
    • Källprofiler – en lista över varje profil i konflikt som konfigurerar samma inställning men med ett annat värde.
  3. Om du vill konfigurera om profiler i konflikt väljer du en post i listan Källprofil för att öppna Översikt för profilen. Välj profilegenskaperna så kan du granska och redigera inställningarna i profilen för att ta bort konflikten.

Visa inställningar från profiler som gäller för en enhet

Du kan välja en profil för en säkerhetsbaslinje och visa en lista med inställningar från profilen när de gäller för en enskild enhet. Så här ökar du detaljnivån:

  • Slutpunktssäkerhet>Alla enheter>välj en enhet> Enhetskonfiguration >väljer en principinstans för baslinje.

När du har detaljgranskat visar administrationscentret en lista över inställningarna från profilen och inställningsstatusen. Statustillstånd är:

  • Lyckades – inställningen på enheten matchar värdet som konfigurerats i profilen. Detta är antingen standardvärdet för baslinjerna och det rekommenderade värdet, eller ett anpassat värde som angetts av en administratör när profilen konfigurerades.
  • Konflikt – inställningen står i konflikt med en annan princip, har ett fel eller väntar på en uppdatering.
  • Fel – Det gick inte att tillämpa inställningarna.

Felsöka med status per inställning

Du har distribuerat en säkerhetsbaslinje, men distributionsstatusen visar ett fel. Följande steg ger dig vägledning om hur du felsöker felet.

  1. I Intune väljer duSäkerhetsbaslinjer för slutpunktssäkerhet>> och väljer en baslinjeprofiler>.

  2. Välj en profil > under Övervaka>per inställningsstatus.

  3. Tabellen visar alla inställningar och status för varje inställning. Välj kolumnen Fel eller kolumnen Konflikt för att se vilken inställning som orsakar felet.

MDM-diagnostikinformation

Nu känner du till den problematiska inställningen. Nästa steg är att ta reda på varför den här inställningen orsakar ett fel eller en konflikt.

På Windows 10/11-enheter finns det en inbyggd MDM-diagnostikinformationsrapport. Den här rapporten innehåller standardvärden, aktuella värden, listar principen, visar om den har distribuerats till enheten eller användaren med mera. Använd den här rapporten för att avgöra varför inställningen orsakar en konflikt eller ett fel.

  1. På enheten går du till Inställningar>Konton>Åtkomst till arbete eller skola.

  2. Väljrapporten Skapa rapport för avanceraddiagnostikrapport> för kontoinformation>>.

  3. Välj Exportera och öppna den genererade filen.

  4. Leta efter fel- eller konfliktinställningen i de olika avsnitten i rapporten i rapporten i rapporten.

Titta till exempel i avsnittet Registrerade konfigurationskällor och målresurser eller avsnittet Ohanterade principer . Du kan få en uppfattning om varför det orsakar ett fel eller en konflikt.

Diagnostisera MDM-fel i Windows 10 innehåller mer information om den här inbyggda rapporten.

Tips

  • Vissa inställningar visar även GUID:et. Du kan söka efter detta GUID i det lokala registret (regedit) efter angivna värden.
  • Loggbokens loggar kan också innehålla viss felinformation om den problematiska inställningen (Loggbokens>program- och tjänstloggar>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider>Admin).

Nästa steg