在 Configuration Manager 中建立設定基準
適用於:Configuration Manager (目前的分支)
Configuration Manager 中的設定基準包含預先定義的設定專案,以及選擇性地包含其他設定基準。 建立設定基準之後,您可以將它部署至集合,讓該集合中的裝置下載設定基準,並評估其合規性。
提示
無法指定 Configuration Manager 客戶端評估基準中設定項目的順序。 不具決定性。
設定基準
Configuration Manager 中的設定基準可以包含特定的設定專案修訂,也可以設定為一律使用最新版的組態專案。 如需設定專案修訂的詳細資訊,請參閱 設定數據的管理工作。
您可以使用兩種方法來建立設定基準:
從檔案匯入組態數據。 若要啟動 [匯入設定數據精靈],請在 [資產與兼容性] 工作區的 [設定專案] 或 [設定基準] 節點中,按兩下 [匯入設定數據]。 如需詳細資訊,請參閱 匯入設定數據。
使用 [ 建立組態基準 ] 對話框來建立新的設定基準。
建立設定基準
若要使用 [建立組態基準] 對話框建立組態 基準 ,請使用下列程式:
在 Configuration Manager 控制台中,按兩下 [資產與相容性>設定] [>組態基準]。
在 [ 首頁] 索引標籤的 [ 建立] 群組中,按兩下 [ 建立組態基準]。
在 [ 建立組態基準 ] 對話框中,輸入組態基準的唯一名稱和描述。 名稱最多可以使用 255 個字元,描述最多可以使用 512 個字元。
[ 組態資料 ] 列表會顯示此設定基準中包含的所有設定專案或設定基準。 按兩下 [新增 ] 將新的設定專案或組態基準新增至清單。 您可以從下列項目中選擇:
設定專案
軟體 匯報
設定基準
重要事項
您必須將每個設定基準限制為不超過1000個軟體更新。
使用 [變更目的] 列表來指定您在組態 資料 清單中選取之組態項目的行為。 您可以從下列項目中選取:
必要:如果客戶端裝置上未偵測到設定專案,則會將設定基準評估為不符合規範。 如果偵測到,則會評估其合規性
選擇性:只有在用戶端計算機上找到所參考的應用程式時,才會評估組態專案的合規性。 如果找不到應用程式,則設定基準不會標示為不符合規範 (僅適用於應用程式設定專案) 。
禁止:如果在用戶端計算機上偵測到設定專案, (只適用於應用程式設定專案) ,則會將設定基準評估為不符合規範。
注意事項
只有在您按兩下 [建立組態專案精靈] 之 [一般] 頁面上的 [此組態專案包含應用程式設定] 選項時,才能使用 [變更目的] 清單。
使用 [變更修訂 ] 列表來選取設定專案的特定或最新修訂,以評估用戶端裝置上的合規性,或選取 [ 永遠使用最新 版本] 一律使用最新的修訂。 如需設定專案修訂的詳細資訊,請參閱 設定數據的管理工作。
若要從設定基準中移除設定專案,請選取組態專案,然後按兩下 [ 移除]。
從 1806 版開始,如果您想要一 律為共同管理的用戶端套用此基準,請選取 。 核取時,此基準即使在由 Intune 管理的用戶端上也會套用。 此例外狀況可能用來設定貴組織所需的設定,但尚未在 Intune 中提供。
或者,按兩下 [ 類別] 將類別指派給基準以進行搜尋和篩選。
按兩下 [確定 ] 關閉 [ 建立組態基準 ] 對話框,並建立設定基準。
注意事項
修改現有的基準,例如設定 [一律為共同管理的用戶端套用此基準] 會遞增基準內容版本。 客戶端必須評估新版本,才能更新基準報告。
在合規性政策評估中包含自定義設定基準
您可以將自訂設定基準的評估新增為合規性政策評估規則。 當您建立或編輯設定基準時,可以選擇 將此基準評估為合規性政策評估的一部分。 新增或編輯合規性政策規則時,您有一個條件稱為在 合規性政策評估中包含已設定的基準。 對於共同管理的裝置,以及當您設定 Intune 將 Configuration Manager 合規性評定結果作為整體合規性狀態的一部分時,此資訊會傳送至 Microsoft Entra ID。 然後,您可以將它用於 Microsoft 365 Apps 資源的條件式存取。 如需詳細資訊,請 參閱使用共同管理的條件式存取。
若要在合規性政策評估中包含自訂設定基準,請執行下列動作:
- 建立合規性政策並將其部署至 使用者 集合,並使用規則在合規性政策 評估中包含已設定的基準。
- 在部署至裝置集合的設定基準中,選取 [評估此基準作為合規性政策評估的一部分]。
重要事項
- 設定基準必須部署至 裝置 集合。 使用這些設定時,不會接受部署至 使用者 集合的基準。
- 以共同管理的裝置為目標時,請確定您符合 共同管理的必要條件。 共同管理的用戶端會在合規性政策工作負載由 Intune 管理時,忽略服務視窗進行補救。
- 針對由 Configuration Manager 管理的裝置,用戶端會接受服務視窗進行合規性政策補救。 若要忽略服務視窗並立即補救,請選取 [軟體中心] 中的 [檢查合規性]。
範例評估案例
當使用者是相容性原則的目標集合的一部分,且該合規性原則包含 合規性原則評估中包含已設定的基準時,會評估已選取 [將 此基準評估為合規性政策評估 選項的一部分] 的任何基準,其部署至使用者或使用者的裝置時,都會評估是否符合規範。 例如:
-
User1
是的一User Collection 1
部分。 -
User1
會使用Device1
與中的Device Collection 1
Device Collection 2
。 -
Compliance Policy 1
具有在合規性政策評估規則條件中包含已 設定的基準 ,並部署至User Collection 1
。 -
Configuration Baseline 1
已 選擇[將此基準評估為合規性政策評估的一部分 ],並部署至Device Collection 1
。 -
Configuration Baseline 2
已 選擇[將此基準評估為合規性政策評估的一部分 ],並部署至Device Collection 2
。
在這裡案例中,當評估 使用 User1
Device1
時Compliance Policy 1
,Configuration Baseline 1
也會評估 和 Configuration Baseline 2
。
-
User1
有時會使用Device2
。 -
Device2
是和Device Collection 3
的成員Device Collection 2
。 -
Device Collection 3
已Configuration Baseline 3
部署到其中,但未選取 [評估此基準作為合規性政策評估的一部分 ]。
使用 Device2
時User1
,只會Configuration Baseline 2
在評估時Compliance Policy 1
進行評估。
注意事項
如果合規性原則評估了之前從未在用戶端上評估過的新基準,則可能會報告不符合規範。 如果基準評估在評估相容性時仍在執行,就會發生這種情況。 若要解決此問題,請按兩下 [軟體中心] 中的 [檢查合規性]。
使用基準合規性政策評估的規則來建立和部署合規性政策
在 [ 資產與兼容性 ] 工作區中,展開 [ 兼容性設定],然後選取 [ 合規性原則] 節點。
按兩下功能區中的 [ 建立合規性 政策],以顯示 [ 建立合規性政策精靈]。
在 [一般] 頁面上,針對使用 Configuration Manager 用戶端管理的裝置選取 [合規性規則]。
- 裝置必須使用 Configuration Manager 客戶端進行管理,才能在合規性政策評估中包含自定義設定基準。
在 [支持的平臺] 頁面上選取您的 平臺 。
在 [ 規則] 頁面上,選取 [ 新增],然後選取 [ 在合規性政策評定中包含已設定的基準 ] 條件。
按兩下 [確定],然後按兩下一 步 ] 以進入 [摘要 ] 頁面。
確認您的選擇,然後按 [ 下一步 ],然後 按下 [關閉]。
在 [ 合規性原則] 節點中,以滑鼠右鍵按兩下您建立的原則,然後選取 [ 部署]。
選擇您的集合、警示產生設定,以及原則的合規性評估排程。
按兩下 [確定 ] 以部署合規性政策。
選取設定基準,然後核取 [評估此基準作為合規性政策評估的一部分]
在 [ 資產與兼容性 ] 工作區中,展開 [ 兼容性設定],然後選取 [ 組態基準] 節點 。
以滑鼠右鍵按兩下部署至裝置集合的現有基準,然後選取 [ 屬性]。 如有需要,您可以建立新的基準。
- 基準必須部署到裝置集合,而不是使用者集合。
啟用 [評估此基準做為合規性政策評估設定的一部分 ]。
- 對於 Intune 為裝置設定授權單位的共同管理裝置,請確定一律套用此基準,即使是共同管理的客戶端也已選取。
按兩下 [確定 ] 將變更儲存至您的設定基準。
自定義設定基準的記錄檔,作為合規性政策評估的一部分
- ComplianceHandler.log
- SettingsAgent.log
- DCMAgent.log
- CIAgent.log