Überwachen von Sicherheitsbaselines und Sicherheitsbaselineprofilen in Microsoft Intune

  • Artikel

Intune bietet mehrere Optionen zum Überwachen von Sicherheitsbaselines. Sie können:

  • Eine Sicherheitsbaseline sowie alle Geräte überwachen, die den empfohlenen Werten entsprechen (oder nicht)
  • Das Sicherheitsbaselineprofil überwachen, das für Ihre Benutzer und Geräte gilt
  • Anzeigen der Konfiguration der Einstellungen eines ausgewählten Profils auf einem ausgewählten Gerät

Sie können auch den Bericht „Gerätekonfiguration“ anzeigen, um zu sehen, welche auf der Gerätekonfiguration basierenden Richtlinien für einzelne Geräte gelten, einschließlich Sicherheitsbaselines.

Weitere Informationen zu diesem Feature finden Sie unter Sicherheitsbaselines in Intune.

Hinweis

Im Mai 2023 hat Intune mit dem Rollout eines neuen Sicherheitsbaselineformats begonnen, das für neue Baselinetypen wie Microsoft 365 Apps und für die neueren Versionen vorhandener Baselines wie Microsoft Edge-Baselineversion 112 gilt. Das neue Format aktualisiert die Baselineeinstellungen so, dass der Name und die Konfigurationsoptionen direkt vom Konfigurationsdienstanbieter (Configuration Service Provider, CSP) stammen, der von der Baselineeinstellung verwaltet wird.

Intune hat außerdem einen neuen Prozess eingeführt, mit dem Sie ein vorhandenes Sicherheitsbaselineprofil zur neueren Baselineversion migrieren können. Dieses neue Verhalten ist ein einmaliger Prozess, der das normale Updateverhalten ersetzt, wenn Sie von der neuesten Version eines älteren Profils zu einer neueren Version wechseln, die im Mai 2023 oder höher verfügbar wurde.

Baselineinstanzen, die dieses neue Format verwenden, verfügen auch über eine aktualisierte Berichts- und Überwachungsstruktur, die an anderen Verbesserungen von Berichten ausgerichtet ist, die in diesem Jahr in allen Intune-Featurebereichen eingeführt wurden. Die Berichtsansichtsdetails für das neue Format werden in diesem Artikel getrennt von den ursprünglichen Details für die älteren Baselines vorgestellt. Viele der für die älteren Ansichten besprochenen Konzepte bleiben relevant.

Überwachen der Baseline und Ihrer Geräte

Tipp

Die folgenden Informationen gelten für Profilversionen, die im Mai 2023 oder höher veröffentlicht wurden. Informationen zu Profilversionen, die vor Mai 2023 veröffentlicht wurden, finden Sie unter Überwachen von Profilen für Baselineversionen, die vor Mai 2023 veröffentlicht wurden, weiter unten in diesem Artikel.

Wenn Sie ein sicherheitsbaseline-Profil auswählen, das Sie bereitgestellt haben, können Sie Einblicke in den Sicherheitsstatus von Geräten erhalten, die diese Baseline erhalten haben. Um diese Erkenntnisse anzuzeigen, melden Sie sich beim Microsoft Intune Admin Center an, wechseln Sie zuEndpunktsicherheitsbaselines>, und wählen Sie einen Sicherheitsbaselinetyp aus, z. B. den Microsoft 365 Apps for Enterprise Security Baseline. Wählen Sie dann im Bereich Profile das Profil instance aus, für das Sie Details anzeigen möchten, um die Profile Dashboard Ansicht zu öffnen.

Zeigen Sie die Dashboard für ein Sicherheitsbaselineprofil an.

Diese Dashboard Ansicht umfasst Folgendes:

  • Eine allgemeine Zusammenfassung des Standardberichts, Geräte- und Benutzer-Check-in-status.
  • Eine Berichtsansichtsoption , in der Sie weitere Details anzeigen können.
  • Zwei zusätzliche Berichtskacheln:
    • status für die Gerätezuweisung
    • Status pro Einstellung
  • Eine Eigenschaftenliste , in der Sie die Konfiguration der Sicherheitsbaseline überprüfen und bearbeiten können.

Überblickansicht

Diese Zusammenfassung ist ein einfaches Diagramm, das die Anzahl der Geräte darstellt, die ein bestimmtes status Ergebnis für die Baseline melden. Der horizontale Balken ist in Farben aus den verfügbaren Kategorien im Verhältnis zur Anzahl der Geräte in jeder Kategorie unterteilt. In der vorherigen Bildschirmaufnahme hat ein einzelnes Gerät die Richtlinie verarbeitet und einen Erfolg gemeldet. Daher ist der Darstellungsbalken vollständig grün.

Bericht anzeigen

Wenn Sie die Schaltfläche Bericht anzeigen auswählen, zeigt Intune eine ausführlichere Ansicht der status Geräte- und Benutzer-Check-in für diese Baselineinstanzen an. Wenn Sie den Bericht zum ersten Mal öffnen, ist er leer, bis Sie Bericht generieren auswählen, danach werden Informationen angezeigt.

Zeigen Sie die Berichtsdetails für das Einchecken von Geräten und Benutzern status an.

In der obigen Abbildung werden die anfänglichen Ergebnisse des View-Berichts für dieselbe Baseline aus der ansicht Dashboard angezeigt. Diese Ansicht zeigt, dass es zwei weitere Geräte gibt, die über eine Zuweisungs-statusPending verfügen, was bedeutet, dass sie noch keine status für diese Baseline zurückgegeben haben.

Sie können diese Berichtsansicht nach bestimmten Zuweisungs- status Werten filtern und erneut Generieren auswählen, um die sichtbaren Ergebnisse zu aktualisieren. Sie können auch jede der verfügbaren Spalten sortieren.

Wenn Sie den Namen eines Geräts in der Spalte Gerätename auswählen, zeigt Intune die Ansicht Profileinstellungen an, in der Sie anzeigen können, dass Geräte für jede Einstellung in der Sicherheitsbaseline Ergebnisse status. Als Nächstes können Sie auf der Seite Profileinstellungen eine Einstellung auswählen, um weitere Details anzuzeigen. Dies ist nützlich, wenn ein Gerät ein Ergebnis für eine andere Einstellung als Erfolgreich meldet.

In der folgenden Abbildung haben wir einen Drilldown für EAGLE003 durchgeführt, das einzige Gerät, das den Erfolg für die Baseline anzeigt, und dann die Einstellung Add-On-Verwaltung ausgewählt:

Zeigen Sie die gemeldeten status eines Geräts für jede Einstellung in der Baseline an.

Im Bereich Einstellungsdetails wird jedes Profil angezeigt, das diesem Gerät zugewiesen ist und die gleiche Einstellung ebenfalls konfiguriert.

Für dieses Gerät gibt es nur ein Quellprofil, das die Add-On-Verwaltungseinstellung verwaltet. Wenn es andere Profile gibt, die diese Einstellung konfiguriert haben, werden diese Profile auch als Quellprofil aufgeführt.

Wenn diese Einstellung in Konflikt geraten ist, kann diese Ansicht Ihnen helfen, die anderen Profile zu identifizieren, sodass Sie dann eine konsistente Konfiguration oder spätere Baselineprofilzuweisungen abgleichen können, um den Konflikt zu beheben.

Bericht zur Gerätezuweisung status

Wählen Sie die Kachel Gerätezuweisung status aus, um diesen Bericht anzuzeigen. In diesem Bericht:

  • Die Ergebnisse sind eine Liste von Geräten, ähnlich dem Bericht Geräte- und Benutzereinchecken status.
  • Wenn Sie auf dieser Seite ein Gerät auswählen, wird die Ansicht Profileinstellungen dieses Geräts geöffnet. Dabei handelt es sich um dieselbe Ansicht, die Sie im Standard Berichtsdrill-In sehen können, auf den Sie über die Schaltfläche Bericht anzeigen zugreifen. Geräte mit dem Zuweisungs-status Pending haben jedoch keine Ergebnisse, die angezeigt werden müssen.
  • Wenn Sie eine Einstellung in dieser Ansicht auswählen, wird der Bereich Einstellungsdetails geöffnet, genau wie über den Standard Berichts-Drill in.

Pro Einstellung status Bericht

Wählen Sie die Kachel Pro Einstellung status aus, um diesen Bericht anzuzeigen. Dieser Bericht zeigt eine Liste der Einstellungen im Profil und für jeden die Anzahl der Ergebnisse von Geräten für jede status an, z. B. wie viele Geräte Erfolg, Fehler oder Konflikt melden.

Diese Ansicht unterstützt keine Drill-Ins. Stattdessen können Sie die anderen Berichte und Anzeigen verwenden, um Einstellungen zu verfolgen, die sich in Einem Fehler oder Konflikt befinden. Wenn Sie z. B. weitere Informationen zu Geräten finden möchten, die möglicherweise einen Fehler oder Konflikt gemeldet haben, können Sie dann die Kachel Gerätezuweisung status öffnen und für diesen Bericht den Bericht status so festlegen, dass nur die status angezeigt werden, die Sie untersuchen. Anschließend können Sie mit diesem Bericht einen Drilldown durchführen, um die relevanten Details auszuführen.

Eigenschaften

Unterhalb des Berichtsabschnitts der Dashboard finden Sie die Ansicht Profile Eigenschaften. Über Eigenschaften haben Sie folgende Möglichkeiten:

  • Zeigen Sie die Konfiguration jeder Seite des Profils an.
  • Bearbeiten Sie die Profilkonfiguration, z. B. den Anzeigenamen, den Sie dem Profil gegeben haben, die zugehörigen Zuweisungen und alle Profileinstellungen.

Zeigen Sie die Baselinekonfiguration an, in der Sie Änderungen vornehmen können.

Überwachen von Profilen für Baselineversionen, die vor Mai 2023 veröffentlicht wurden

Tipp

Die folgenden Informationen gelten für Profilversionen, die vor Mai 2023 veröffentlicht wurden. Informationen zu Profilversionen, die nach Mai 2023 veröffentlicht wurden, finden Sie weiter oben in diesem Artikel unter Überwachen der Baseline und Ihrer Geräte.

Wenn Sie eine Baseline überwachen, erhalten Sie basierend auf den Empfehlungen von Microsoft Einblicke in den Sicherheitsstatus Ihrer Geräte. Um diese Erkenntnisse anzuzeigen, melden Sie sich beim Microsoft Intune Admin Center an, wechseln Sie zuEndpunktsicherheitsbaselines>, und wählen Sie einen Sicherheitsbaselinetyp aus, z. B. Sicherheitsbaseline für Windows 10 und höher. Wählen Sie dann im Bereich Versionen die Profilinstanz aus, für die Sie Details anzeigen möchten, um deren Übersicht zu öffnen.

Im Bereich Übersicht werden zwei Statusansichten für die ausgewählte Baseline angezeigt:

  • Status der Sicherheitsbaselines: Dieses Diagramm stellt allgemeine Details zum Gerätestatus für die Baselineversion dar. Diese Details sind verfügbar:

    • Entspricht der Standardbaseline: Dieser Status gibt an, ob eine Gerätekonfiguration mit der unveränderten Standardkonfiguration für die Baseline übereinstimmt.
    • Entspricht benutzerdefinierten Einstellungen: Dieser Status gibt an, ob eine Gerätekonfiguration mit der von Ihnen bereitgestellten, angepassten Version der Baseline übereinstimmt.
    • Falsch konfigurierte: Dieser Status stellt einen Rollup mit drei Statusbedingungen von einem Gerät dar: Fehler, Ausstehend oder Konflikt. Diese separaten Statuswerte sind in anderen Ansichten wie Sicherheitsbaselinestatus nach Kategorie verfügbar – eine Listenansicht, die unter diesem Diagramm angezeigt wird.
    • Nicht anwendbar: Dieser Status gibt an, dass ein Gerät die Richtlinie nicht empfangen kann. Das kann zum Beispiel der Fall sein, wenn die Richtlinie eine Einstellung für die aktuelle Windows-Version aktualisiert, auf dem Gerät jedoch eine frühere Version ausgeführt wird, diese Einstellung nicht unterstützt.

  • Sicherheitsbaselinestatus nach Kategorie: Diese Listenansicht zeigt den Gerätestatus nach Kategorie an. Sie enthält die gleichen Details wie das Diagramm Status der Sicherheitsbaselines. Anstelle von Misconfigured gibt es jedoch drei Spalten für die status Zustände, die Falsch konfiguriert sind:

    • Fehler: Die Richtlinie konnte nicht angewendet werden. Diese Meldung wird in der Regel mit einem Fehlercode angezeigt, der auf eine Erklärung verweist.
    • Konflikt: Auf dasselbe Gerät werden zwei Einstellungen angewendet, und Intune kann den Konflikt nicht lösen. Ein Administrator sollte das überprüfen.
    • Ausstehend: Das Gerät wurde noch nicht bei Intune eingecheckt, um die Richtlinie zu erhalten.

Wenn Sie die beiden vorherigen Ansichten aufrufen, können Sie folgende Details zu den Listenansichten für den Einstellungsstatus und den Gerätestatus anzeigen:

  • Erfolgreich: Die Richtlinie wird angewendet.
  • Fehler: Die Richtlinie konnte nicht angewendet werden. Diese Meldung wird in der Regel mit einem Fehlercode angezeigt, der auf eine Erklärung verweist.
  • Konflikt: Auf dasselbe Gerät werden zwei Einstellungen angewendet, und Intune kann den Konflikt nicht lösen. Ein Administrator sollte das überprüfen.
  • Ausstehend: Das Gerät wurde noch nicht bei Intune eingecheckt, um die Richtlinie zu erhalten.
  • Nicht anwendbar: Das Gerät kann die Richtlinie nicht empfangen. Das kann zum Beispiel der Fall sein, wenn die Richtlinie eine Einstellung für die aktuelle Windows-Version aktualisiert, auf dem Gerät jedoch eine frühere Version ausgeführt wird, diese Einstellung nicht unterstützt.

In der Ansicht Version können Sie die Option Gerätestatus auswählen. In der Ansicht „Gerätestatus“ wird eine Liste der Geräte angezeigt, die diese Baseline empfangen. Sie enthält folgende Details:

  • BENUTZERPRINZIPALNAME: Hier wird das Benutzerprofil angezeigt, das der Baseline auf dem Gerät zugeordnet ist.
  • STATUS DER SICHERHEITSBASELINES: Diese Spalte zeigt drei Gerätestatuswerte an:
    • Erfolgreich: Die Richtlinie wird angewendet.
    • Fehler: Die Richtlinie konnte nicht angewendet werden. Diese Meldung wird in der Regel mit einem Fehlercode angezeigt, der auf eine Erklärung verweist.
    • Konflikt: Auf dasselbe Gerät werden zwei Einstellungen angewendet, und Intune kann den Konflikt nicht lösen. Ein Administrator sollte das überprüfen.
    • Ausstehend: Das Gerät wurde noch nicht bei Intune eingecheckt, um die Richtlinie zu erhalten.
    • Nicht anwendbar: Das Gerät kann die Richtlinie nicht empfangen. Das kann zum Beispiel der Fall sein, wenn die Richtlinie eine Einstellung für die aktuelle Windows-Version aktualisiert, auf dem Gerät jedoch eine frühere Version ausgeführt wird, diese Einstellung nicht unterstützt.
  • Letztes Einchecken: Diese Option gibt an, wann der Status zuletzt vom Gerät empfangen wurde.

Tipp

Im Anschluss an die Zuweisung einer Baseline dauert es 24 Stunden, bis die Daten angezeigt werden. Änderungen, die danach vorgenommen werden, werden innerhalb von sechs Stunden angezeigt.

Überwachen des Profils

Das Überwachen des Profils bietet einen Einblick in den Bereitstellungsstatus Ihrer Geräte, aber nicht in den Sicherheitsstatus gemäß der Baselineempfehlungen.

  1. Wählen Sie in IntuneEndpunktsicherheitsbaselines> aus, wählen Sie einen Sicherheitsbaselinetyp wie Sicherheitsbaseline für Windows 10 aus, undwählen Sie später >eine instance dieser Baselineeigenschaften> aus.

  2. Erweitern Sie in den Eigenschaften der Baseline die Option Einstellungen, um einen Drilldown auszuführen, und zeigen Sie alle Einstellungskategorien und einzelnen Einstellungen in der Baseline an, einschließlich ihrer Konfiguration für diese instance der Baseline.

    Screenshot: Ansicht „Einstellungen“

  3. Verwenden Sie die Überwachungsoptionen, um den Bereitstellungsstatus des Profils auf einzelnen Geräten, den Status für jeden Benutzer und den Status für jede Einstellung in der Baseline anzuzeigen:

    Anzeigen der verschiedenen Überwachungsoptionen für ein Sicherheitsbaselineprofil

Beheben von Konflikten bei Sicherheitsbaselines

Zeigen Sie den Bericht „Gerätekonfiguration an, um Konflikte oder Fehler bei Einstellungen in Ihren Sicherheitsbaselineprofilen oder Endpunktsicherheitsrichtlinien zu beheben. Mithilfe dieser Berichtsansicht können Sie ermitteln, welche Profile und Richtlinien Einstellungen enthalten, die zum Status „Konflikt“ oder „Fehler“ führen.

Sie können informationen zu Einstellungen, die in Konflikt oder Fehler stehen, auch über zwei Pfade aus Microsoft Intune Admin Center abrufen:

  • Endpunktsicherheit>Sicherheitsbaselines>Auswählen eines Baselinetyps>Profile>Wählen Sie eine Baseline instance>Geräte status aus.
  • Geräte>Alle Geräte>Gerät auswählen>Gerätekonfiguration>Richtlinie auswählen>Einstellung aus der Liste der Einstellungen auswählen, die einen Konflikt oder Fehler anzeigt.

Anzeigen von Details zum Ermitteln und Beheben von Konflikten

  1. Im Bericht „Gerätekonfiguration für ein Gerät können Sie auf eine Richtlinie klicken, um mehr Details anzuzeigen und das Problem zu untersuchen, das zu einem Konflikt oder Fehler führt.

    Dadurch zeigt Intune eine Liste der Einstellungen für diese Richtlinie an, einschließlich aller Einstellungen, die nicht auf Nicht konfiguriert festgelegt wurden, sowie deren Status.

  2. Wenn Sie weitere Details zu einer bestimmten Einstellung anzeigen möchten, klicken Sie auf diese, um den Bereich Einstellungsdetails zu öffnen. In diesem Bereich können Sie Folgendes anzeigen:

    • Einstellung: der Name der Einstellung
    • Status: der Status der Einstellung auf dem Gerät
    • Quellprofil: eine Liste der in Konflikt stehenden Profile, die die gleiche Einstellung konfigurieren, aber andere Werte aufweisen.

  3. Wählen Sie einen Eintrag aus der Liste Quellprofil aus, um die Übersicht für dieses Profil zu öffnen und in Konflikt stehende Profile neu zu konfigurieren. Über die Eigenschaften eines Profils können Sie Einstellungen in diesem Profil überprüfen und bearbeiten, um den Konflikt zu beseitigen.

Anzeigen von für ein Gerät geltenden Profileinstellungen

Sie können ein Profil für eine Sicherheitsbaseline auswählen und einen Drilldown ausführen, um eine Liste der Einstellungen aus diesem Profil anzuzeigen, die für ein einzelnes Gerät gelten. So führen Sie einen Drilldown durch:

  • Endpunktsicherheit>Alle Geräte>Auswählen eines Geräts> Gerätekonfiguration >wählen Sie eine Baselinerichtlinie instance aus.

Nachdem Sie einen Drilldown ausgeführt haben, wird im Admin Center eine Liste der Einstellungen aus diesem Profil mit dem jeweiligen Einstellungsstatus angezeigt. Mögliche Statusangaben:

  • Erfolg: Die Einstellung auf dem Gerät entspricht dem Wert, der im Profil konfiguriert wurde. Dies ist entweder der standardmäßige und empfohlene Wert der Baseline oder ein benutzerdefinierter Wert, der bei der Konfiguration des Profils von einem Administrator angegeben wurde.
  • Konflikt: Die Einstellung steht in Konflikt mit einer anderen Richtlinie, weist einen Fehler auf, oder es steht ein Update aus.
  • Fehler: Die Einstellung konnte nicht angewendet werden.

Problembehandlung bei der Verwendung von Status pro Einstellung

Sie haben eine Sicherheitsbaseline bereitgestellt, aber der Bereitstellungsstatus zeigt einen Fehler an. Die folgenden Schritte bieten Ihnen eine Anleitung zur Problembehandlung.

  1. Wählen Sie in Intune Die OptionEndpunktsicherheitsbaselines> Auswählen eines Baselineprofils>> aus.

  2. Wählen Sie unter Überwachen>pro Einstellung status ein Profil > aus.

  3. Die Tabelle enthält alle Einstellungen und den Status jeder Einstellung. Wählen Sie die Spalte Fehler oder Konflikt aus, um die Einstellung anzuzeigen, die Ursache des Fehlers ist.

MDM-Diagnoseinformationen

Jetzt kennen Sie die problematische Einstellung. Der nächste Schritt ist, herauszufinden, warum diese Einstellung einen Fehler oder Konflikt verursacht.

Auf Windows 10/11-Geräten gibt es einen integrierten MDM-Diagnoseinformationsbericht. Dieser Bericht enthält Standardwerte, aktuelle Werte, listet die Richtlinie auf, zeigt an, ob sie für das Gerät oder den Benutzer bereitgestellt wird, und vieles mehr. Verwenden Sie diesen Bericht, um zu ermitteln, warum die Einstellung einen Konflikt oder Fehler verursacht hat.

  1. Navigieren Sie auf dem Gerät zu Einstellungen>Konten>Zugriff auf Geschäfts-, Schul- oder Unikonto.

  2. Wählen Sie das Konto >Info>Erweiterter Diagnosebericht>Bericht erstellen aus.

  3. Wählen Sie Exportieren aus, und öffnen Sie die generierte Datei.

  4. Suchen Sie in den verschiedenen Abschnitten des Berichts nach der Fehler- oder Konflikteinstellung.

Schauen Sie z.B. in den Abschnitt Registrierte Konfigurationsquellen und Zielressourcen oder Nicht verwaltete Richtlinien. Möglicherweise erhalten Sie eine Vorstellung davon, warum dies einen Fehler oder Konflikt verursacht.

Diagnostizieren von MDM-Fehlern in Windows 10 enthält weitere Informationen zu diesen integrierten Bericht.

Tipp

  • Einige Einstellungen werden auch in der GUID aufgelistet. Sie können für diese GUID in der lokalen Registrierung (Regedit) nach festgelegten Werten suchen.
  • Die Protokolle der Ereignisanzeige können auch einige Fehlerinformationen zu der problematischen Einstellung enthalten (Ereignisanzeige>Anwendungs- und Dienstprotokolle>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider>Admin ).

Nächste Schritte