Beveiligingsbasislijnen en -profielen bewaken in Microsoft Intune

  • Artikel

Intune biedt verschillende opties voor het bewaken van beveiligingsbasislijnen. U kunt:

  • Bewaak een beveiligingsbasislijn en apparaten die al dan niet overeenkomen met de aanbevolen waarden.
  • Bewaak het profiel voor beveiligingsbasislijnen dat van toepassing is op uw gebruikers en apparaten.
  • Weergeven hoe de instellingen van een geselecteerd profiel zijn ingesteld op een geselecteerd apparaat.

U kunt ook het rapport Apparaatconfiguratie bekijken om te zien welke beleidsregels op basis van apparaatconfiguratie van toepassing zijn op afzonderlijke apparaten, waaronder beveiligingsbasislijnen.

Zie Beveiligingsbasislijnen in Intune voor meer informatie over de functie.

Opmerking

In mei 2023 is Intune begonnen met de implementatie van een nieuwe indeling voor beveiligingsbasislijnen die van toepassing is op nieuwe basislijntypen, zoals Microsoft 365-apps, en op de nieuwere versies van bestaande basislijnen, zoals Microsoft Edge-basislijnversie 112. Met de nieuwe indeling worden de basislijninstellingen bijgewerkt, zodat de naam en configuratieopties rechtstreeks worden overgenomen van de configuratieserviceprovider (CSP) die door de basislijninstelling wordt beheerd.

Intune heeft ook een nieuw proces geïntroduceerd om u te helpen bij het migreren van een bestaand beveiligingsbasislijnprofiel naar de nieuwere basislijnversie. Dit nieuwe gedrag is een eenmalig proces dat het normale updategedrag vervangt wanneer u overstapt van de meest recente versie van een ouder profiel naar een nieuwere versie die beschikbaar kwam in mei 2023 of hoger.

Basislijnexemplaren die deze nieuwe indeling gebruiken, hebben ook een bijgewerkte rapport- en bewakingsstructuur die is afgestemd op andere rapportverbeteringen die dit jaar zijn geïmplementeerd in intune-functiegebieden. De details van de rapportweergave voor de nieuwe indeling worden in dit artikel afzonderlijk weergegeven van de oorspronkelijke details voor de oudere basislijnen. Veel van de concepten die voor de oudere weergaven worden besproken, blijven relevant.

De basislijn en uw apparaten bewaken

Tip

De volgende informatie is van toepassing op profielversies die zijn uitgebracht in mei 2023 of hoger. Zie Profielen bewaken voor basislijnversies die zijn uitgebracht vóór mei 2023 verderop in dit artikel voor informatie over profielversies die zijn uitgebracht vóór mei 2023.

Wanneer u een beveiligingsbasislijnprofiel selecteert dat u hebt geïmplementeerd, kunt u inzicht krijgen in de beveiligingsstatus van apparaten die die basislijn hebben ontvangen. Als u deze inzichten wilt bekijken, meldt u zich aan bij het Microsoft Intune-beheercentrum, gaat u naarEindpuntbeveiligingsbeveiligingsbasislijnen> en selecteert u een beveiligingsbasislijntype, zoals de Microsoft 365-apps voor Ondernemingsbeveiligingsbasislijn. Selecteer vervolgens in het deelvenster Profielen het profielexemplaren waarvoor u details wilt weergeven om de dashboardweergave profielen te openen.

Bekijk het dashboard voor een beveiligingsbasislijnprofiel.

Deze dashboardweergave bevat:

  • Een samenvatting op hoog niveau van het standaardrapport, de incheckstatus van het apparaat en de gebruiker.
  • Een optie Rapport weergeven om in te zoomen voor meer informatie.
  • Twee extra rapporttegels:
    • Status van apparaattoewijzing
    • Status per instelling
  • Een lijst eigenschappen waarin u de configuratie van de beveiligingsbasislijn kunt controleren en bewerken.

Overzichtsweergave

Deze samenvatting is een eenvoudige grafiek met het aantal apparaten dat een specifiek statusresultaat voor de basislijn rapporteert. De horizontale balk is onderverdeeld in kleuren uit de beschikbare categorieën in verhouding tot het aantal apparaten in elke categorie. In de voorgaande schermopname heeft één apparaat het beleid verwerkt en gemeld dat het is gelukt. Als gevolg hiervan is de representatiebalk volledig groen.

Rapport weergeven

Wanneer u de knop Rapport weergeven selecteert, wordt in Intune een gedetailleerdere weergave weergegeven van de incheckstatus apparaat en gebruiker voor deze basislijnexemplaren. Wanneer u het rapport voor de eerste keer opent, is het leeg totdat u Rapport genereren selecteert, waarna informatie wordt weergegeven.

Bekijk de rapportdetails voor de incheckstatus van apparaat en gebruiker.

In de voorgaande afbeelding worden de eerste rapportresultaten voor dezelfde basislijn weergegeven vanuit de dashboardweergave. In deze weergave ziet u dat er twee andere apparaten zijn met de toewijzingsstatusIn behandeling, wat betekent dat ze de status voor deze basislijn nog niet hebben geretourneerd.

U kunt deze rapportweergave filteren op specifieke toewijzingsstatuswaarden en opnieuw Genereren selecteren om de zichtbare resultaten bij te werken. U kunt ook alle beschikbare kolommen sorteren.

Als u de naam van een apparaat selecteert in de kolom Apparaatnaam , wordt in Intune de weergave Profielinstellingen weergegeven, waar u de resultaten van de apparaatstatus kunt bekijken voor elke instelling in de beveiligingsbasislijn. Vervolgens kunt u op de pagina Profielinstellingen een instelling selecteren om meer details weer te geven. Dit is handig wanneer een apparaat een resultaat rapporteert voor een andere instelling dan Geslaagd.

In de volgende afbeelding hebben we ingezoomd op EAGLE003, het enige apparaat waarop de basislijn is geslaagd, en vervolgens de instelling Invoegtoepassingsbeheer geselecteerd:

De gerapporteerde status van een apparaat weergeven voor elke instelling in de basislijn.

In het deelvenster Instellingen Details van instellingen kunnen we elk profiel zien dat is toegewezen aan dit apparaat dat ook deze instelling configureert.

Voor dit apparaat is er slechts één bronprofiel dat de instelling voor invoegtoepassingsbeheer beheert. Als er andere profielen zijn die deze instelling hebben geconfigureerd, worden deze profielen ook weergegeven als bronprofiel.

Als deze instelling conflicteert, kunt u met deze weergave de andere profielen identificeren, zodat u vervolgens een consistente configuratie of latere basislijnprofieltoewijzingen kunt afstemmen om het conflict te verwijderen.

Statusrapport apparaattoewijzing

Selecteer de tegel Status van apparaattoewijzing om dit rapport weer te geven. In dit rapport:

  • De resultaten zijn een lijst met apparaten, vergelijkbaar met het rapport Apparaat- en gebruikersstatus .
  • Als u een apparaat op deze pagina selecteert, wordt de weergave Profielinstellingen van apparaten geopend. Dit is dezelfde weergave die u kunt zien in het hoofdrapport dat u opent via de knop Rapport weergeven. Apparaten met de toewijzingsstatus In behandeling hebben echter geen resultaten om weer te geven.
  • Als u een instelling in deze weergave selecteert, wordt het deelvenster Details van instellingen geopend, net als via de hoofdanalyse van het rapport.

Statusrapport per instelling

Selecteer de tegel Status per instelling om dit rapport weer te geven. In dit rapport wordt een lijst weergegeven met de instellingen in het profiel en voor elk, het aantal resultaten van apparaten voor elke status, zoals het aantal apparaten dat geslaagd, fout of conflict rapporteert.

Deze weergave biedt geen ondersteuning voor inzoomen. In plaats daarvan kunt u de andere rapporten en weergaven gebruiken om instellingen te volgen die een fout of conflict veroorzaken. Als u bijvoorbeeld meer wilt weten over apparaten die mogelijk een fout of conflict hebben gerapporteerd, kunt u vervolgens de tegel Status van apparaattoewijzing openen en voor dat rapport de rapportstatus inschakelen om alleen de status weer te geven die u onderzoekt. Vervolgens kunt u met dat rapport verder inzoomen om de relevante details weer te geven.

Eigenschappen

Onder de sectie Rapporten van het dashboard vindt u de weergave Eigenschappen van profielen. Vanuit Eigenschappen kunt u het volgende doen:

  • Bekijk de configuratie van elke pagina van het profiel.
  • Bewerk de configuratie van de profielen, zoals de beschrijvende naam die u aan het profiel hebt gegeven, de bijbehorende toewijzingen en een van de profielinstellingen.

Bekijk de configuratie van de basislijnen, waar u kunt bewerken om wijzigingen aan te brengen.

Profielen bewaken voor basislijnversies die vóór mei 2023 zijn uitgebracht

Tip

De volgende informatie is van toepassing op profielversies die vóór mei 2023 zijn uitgebracht. Zie De basislijn en uw apparaten bewaken voor informatie over profielversies die na mei 2023 zijn uitgebracht.

Wanneer u een basislijn bewaakt, krijgt u inzicht in de beveiligingsstatus van uw apparaten op basis van de aanbevelingen van Microsoft. Als u deze inzichten wilt bekijken, meldt u zich aan bij het Microsoft Intune-beheercentrum, gaat u naar Eindpuntbeveiligingsbeveiligingsbasislijnen > en selecteert u een beveiligingsbasislijntype, zoals de beveiligingsbasislijn voor Windows 10 en hoger. Selecteer vervolgens in het deelvenster Versies het profielexemplaren waarvan u de details wilt weergeven om het deelvenster Overzicht te openen.

In het deelvenster Overzicht worden twee statusweergaven weergegeven voor de geselecteerde basislijn:

  • Houdingsdiagram beveiligingsbasislijn : in deze grafiek worden details op hoog niveau weergegeven over de apparaatstatus voor de basislijnversie. De beschikbare details:

    • Komt overeen met standaardbasislijn : deze status geeft aan wanneer een apparaatconfiguratie overeenkomt met de standaardconfiguratie (ongewijzigde) basislijn.
    • Komt overeen met aangepaste instellingen : deze status geeft aan wanneer een apparaatconfiguratie overeenkomt met de aangepaste versie van de basislijn die u hebt geïmplementeerd.
    • Onjuist geconfigureerd : deze status is een samengetelde status die drie statusvoorwaarden van een apparaat vertegenwoordigt: Fout, In behandeling of Conflict. Deze afzonderlijke statussen zijn beschikbaar in andere weergaven, zoals de beveiligingsbasislijnpostuur per categorie, een lijstweergave die onder deze grafiek wordt weergegeven.
    • Niet van toepassing : deze status vertegenwoordigt een apparaat dat het beleid niet kan ontvangen. Het beleid werkt bijvoorbeeld een instelling bij die specifiek is voor de nieuwste versie van Windows, maar op het apparaat wordt een oudere (eerdere) versie uitgevoerd die deze instelling niet ondersteunt.

  • Beveiligingsbasislijnpostuur per categorie : een lijstweergave waarin de apparaatstatus per categorie wordt weergegeven. In deze lijstweergave zijn dezelfde details beschikbaar als in de grafiek Beveiligingsbasislijnpostuur . In plaats van Onjuist geconfigureerd zijn er echter drie kolommen voor de statusstatussen die verkeerd geconfigureerd zijn:

    • Fout: het beleid is niet toegepast. Het bericht wordt meestal weergegeven met een foutcode die is gekoppeld aan een uitleg.
    • Conflict: er worden twee instellingen toegepast op hetzelfde apparaat en Intune kan het conflict niet oplossen. Een beheerder moet controleren.
    • In behandeling: het apparaat is nog niet ingecheckt bij Intune om het beleid te ontvangen.

Wanneer u inzoomt op de twee voorgaande weergaven, kunt u de volgende details bekijken voor de instellingsstatus en de lijstweergaven met apparaatstatussen:

  • Geslaagd: Beleid wordt toegepast.
  • Fout: het beleid is niet toegepast. Het bericht wordt meestal weergegeven met een foutcode die is gekoppeld aan een uitleg.
  • Conflict: er worden twee instellingen toegepast op hetzelfde apparaat en Intune kan het conflict niet oplossen. Een beheerder moet controleren.
  • In behandeling: het apparaat is nog niet ingecheckt bij Intune om het beleid te ontvangen.
  • Niet van toepassing: het apparaat kan het beleid niet ontvangen. Het beleid werkt bijvoorbeeld een instelling bij die specifiek is voor de nieuwste versie van Windows, maar op het apparaat wordt een oudere (eerdere) versie uitgevoerd die deze instelling niet ondersteunt.

In de versieweergave kunt u Apparaatstatus selecteren. In de weergave Apparaatstatus wordt een lijst weergegeven van de apparaten die deze basislijn ontvangen en bevat de volgende details:

  • USER PRINCIPAL NAME : het gebruikersprofiel dat is gekoppeld aan de basislijn op het apparaat.
  • BEVEILIGINGSBASISLIJNPOSTUUR : in deze kolom wordt de status van het apparaat weergegeven:
    • Geslaagd: Beleid wordt toegepast.
    • Fout: het beleid is niet toegepast. Het bericht wordt meestal weergegeven met een foutcode die is gekoppeld aan een uitleg.
    • Conflict: er worden twee instellingen toegepast op hetzelfde apparaat en Intune kan het conflict niet oplossen. Een beheerder moet controleren.
    • In behandeling: het apparaat is nog niet ingecheckt bij Intune om het beleid te ontvangen.
    • Niet van toepassing: het apparaat kan het beleid niet ontvangen. Met het beleid wordt bijvoorbeeld een instelling bijgewerkt die specifiek is voor de nieuwste versie van Windows, maar op het apparaat wordt een oudere (eerdere) versie uitgevoerd die deze instelling niet ondersteunt
  • Laatste CHECK-IN: wanneer de status voor het laatst is ontvangen van het apparaat.

Tip

Het duurt maximaal 24 uur voordat gegevens worden weergegeven nadat u voor het eerst een basislijn hebt toegewezen. Het duurt maximaal zes uur voordat wijzigingen later worden weergegeven.

Het profiel bewaken

Het bewaken van het profiel geeft inzicht in de implementatiestatus van uw apparaten, maar niet de beveiligingsstatus op basis van de basislijnaanbeveling.

  1. Selecteer in Intune Eindpuntbeveiliging>Beveiligingsbasislijnen, selecteer een beveiligingsbasislijntype zoals de beveiligingsbasislijn voor Windows 10 en selecteer later>een exemplaar van die basislijneigenschappen>.

  2. Vouw in de eigenschappen van de basislijn Instellingen uit om in te zoomen op alle instellingencategorieën en afzonderlijke instellingen in de basislijn, inclusief de configuratie voor dit exemplaar van de basislijn.

    Schermafbeelding van de instellingenweergave

  3. Gebruik de opties voor Controleren om de implementatiestatus van het profiel op afzonderlijke apparaten, de status voor elke gebruiker en de status voor de instellingen van het exemplaar van de basislijn weer te geven:

    Bekijk de verschillende controleopties voor een profiel voor beveiligingsbasislijnen

Conflicten voor beveiligingsbasislijnen oplossen

Bekijk het rapport Apparaatconfiguratie voor een apparaat om een conflict of fout op te lossen voor instellingen in uw beveiligingsbasislijnprofielen of eindpuntbeveiligingsbeleid. Met deze rapportweergave kunt u bepalen waar uw profielen en beleidsregels instellingen bevatten die de status Conflict of Fout veroorzaken.

U kunt ook informatie over instellingen in conflict of fout bereiken via twee paden vanuit Microsoft Intune beheercentrum:

  • Eindpuntbeveiliging>Beveiligingsbasislijnen>een basislijntype> selecterenProfielen>een basislijnexemplaren> selecterenApparaatstatus.
  • Apparaten>Alle apparaten>een apparaat> selecterenApparaatconfiguratie>selecteer een beleid>selecteer een instelling in de lijst met instellingen waarin een conflict of fout wordt weergegeven.

Inzoomen om conflicten te identificeren en op te lossen

  1. Terwijl u het rapport Apparaatconfiguratie voor een apparaat bekijkt, selecteert u een beleid om in te zoomen voor meer informatie over het probleem dat resulteert in een conflict of foutstatus.

    Wanneer u inzoomt, wordt in Intune een lijst met instellingen voor dat beleid weergegeven met elke instelling die niet is ingesteld als Niet geconfigureerd en de status van die instelling.

  2. Als u details over een specifieke instelling wilt weergeven, selecteert u deze om het detailvenster Instellingen te openen. In dit deelvenster kunt u het volgende bekijken:

    • Instelling: de naam van de instelling.
    • Status: de status van de instelling op het apparaat.
    • Bronprofielen: een lijst met elk conflicterend profiel dat dezelfde instelling configureert, maar met een andere waarde.

  3. Als u conflicterende profielen opnieuw wilt configureren, selecteert u een record in de lijst Bronprofiel om Overzicht voor dat profiel te openen. Selecteer de eigenschappen van de profielen en u kunt vervolgens de instellingen in dat profiel controleren en bewerken om het conflict te verwijderen.

Instellingen van profielen weergeven die van toepassing zijn op een apparaat

U kunt een profiel voor een beveiligingsbasislijn selecteren en inzoomen om een lijst met instellingen van dat profiel weer te geven terwijl deze van toepassing zijn op een afzonderlijk apparaat. Inzoomen:

  • Eindpuntbeveiliging>Alle apparaten>een apparaat> selecteren Apparaatconfiguratie >selecteert een exemplaar van het basisbeleid.

Nadat u hebt ingezoomd, wordt in het beheercentrum een lijst met de instellingen van dat profiel en de status van de instellingen weergegeven. Statusstatussen zijn onder andere:

  • Geslaagd : de instelling op het apparaat komt overeen met de waarde die is geconfigureerd in het profiel. Dit is de standaardwaarde en de aanbevolen waarde voor basislijnen, of een aangepaste waarde die is opgegeven door een beheerder toen het profiel is geconfigureerd.
  • Conflict : de instelling is in conflict met een ander beleid, heeft een fout of is in afwachting van een update.
  • Fout : de instellingen zijn niet toegepast.

Problemen oplossen met de status per instelling

U hebt een beveiligingsbasislijn geïmplementeerd, maar de implementatiestatus toont een fout. De volgende stappen bieden u enkele richtlijnen voor het oplossen van de fout.

  1. Selecteer in Intune Eindpuntbeveiliging>Beveiligingsbasislijnen> selecteert u een basislijnprofielen>.

  2. Selecteer een profiel > onder Statusper instellingbewaken>.

  3. In de tabel worden alle instellingen en de status van elke instelling weergegeven. Selecteer de kolom Fout of de kolom Conflict om de instelling te zien die de fout veroorzaakt.

Diagnostische MDM-gegevens

Nu ken je de problematische instelling. De volgende stap is om erachter te komen waarom deze instelling een fout of conflict veroorzaakt.

Op Windows 10/11-apparaten is er een ingebouwd mdm-rapport met diagnostische gegevens. Dit rapport bevat standaardwaarden, huidige waarden, een lijst met het beleid, laat zien of het is geïmplementeerd op het apparaat of de gebruiker, en meer. Gebruik dit rapport om te bepalen waarom de instelling een conflict of fout veroorzaakt.

  1. Ga op het apparaat naar Instellingen>Accounts>Toegang tot werk of school.

  2. Selecteer het account >Info>Advanced Diagnostic Report>Create report.

  3. Kies Exporteren en open het gegenereerde bestand.

  4. Zoek in het rapport naar de fout- of conflictinstelling in de verschillende secties van het rapport.

Kijk bijvoorbeeld in de sectie Geregistreerde configuratiebronnen en doelresources of de sectie Onbeheerd beleid . Misschien krijgt u een idee waarom dit een fout of conflict veroorzaakt.

MDM-fouten diagnosticeren in Windows 10 biedt meer informatie over dit ingebouwde rapport.

Tip

  • Sommige instellingen vermelden ook de GUID. U kunt zoeken naar deze GUID in het lokale register (regedit) voor ingestelde waarden.
  • De Logboeken logboeken kunnen ook foutinformatie bevatten over de problematische instelling (Logboeken>toepassingen en services microsoft>>Windows>DeviceManagement-Enterprise-Diagnostics-Provider>Beheer).

Volgende stappen