Criar linhas de base de configuração no Configuration Manager

Aplica-se a: Gerenciador de Configurações (branch atual)

As linhas de base de configuração no Configuration Manager contêm itens de configuração predefinidos e, opcionalmente, outras linhas de base de configuração. Depois que uma linha de base de configuração for criada, você poderá implantá-la em uma coleção para que os dispositivos dessa coleção baixem a linha de base de configuração e avaliem a conformidade com ela.

Dica

Não é possível especificar a ordem que o cliente do Configuration Manager avalia os itens de configuração em uma linha de base. Não é determinista.

Linhas de base de configuração

As linhas de base de configuração no Configuration Manager podem conter revisões específicas de itens de configuração ou podem ser configuradas para sempre usar a versão mais recente de um item de configuração. Para obter mais informações sobre revisões de item de configuração, consulte Tarefas de gerenciamento para dados de configuração.

Há dois métodos que você pode usar para criar linhas de base de configuração:

  • Importar dados de configuração de um arquivo. Para iniciar o Assistente de Importação de Dados de Configuração, no nó Itens de Configuração ou Linhas de Base de Configuração no espaço de trabalho Ativos e Conformidade, clique em Importar Dados de Configuração. Para obter mais informações, consulte Importar dados de configuração.

  • Use a caixa de diálogo Criar Linha de Base de Configuração para criar uma nova linha de base de configuração.

Criar uma linha de base de configuração

Para criar uma linha de base de configuração usando a caixa de diálogo Criar Linha de Base de Configuração, use o seguinte procedimento:

  1. No console do Configuration Manager, clique em Assets and ComplianceCompliance > Configurações > Configuration Baselines.

  2. Na guia Página Inicial, no grupo Criar , clique em Criar Linha de Base de Configuração.

  3. Na caixa de diálogo Criar Linha de Base de Configuração, insira um nome exclusivo e uma descrição para a linha de base de configuração. Você pode usar no máximo 255 caracteres para o nome e 512 caracteres para a descrição.

  4. A lista de dados de configuração exibe todos os itens de configuração ou as linhas de base de configuração incluídas nesta linha de base de configuração. Clique em Adicionar para adicionar um novo item de configuração ou uma linha de base de configuração à lista. Você pode escolher entre os seguintes itens:

    • Itens de configuração

    • Atualizações de software

    • Linhas de base de configuração

      Importante

      Você deve limitar cada linha de base de configuração a não mais de 1000 atualizações de software.

  5. Use a lista Alterar Finalidade para especificar o comportamento de um item de configuração selecionado na lista de dados de configuração. Você pode selecionar entre os seguintes itens:

    • Obrigatório: a linha de base de configuração será avaliada como não compatível se o item de configuração não for detectado em um dispositivo cliente. Se for detectado, ele será avaliado para conformidade

    • Opcional: o item de configuração só será avaliado para conformidade se o aplicativo referenciado for encontrado em computadores cliente. Se o aplicativo não for encontrado, a linha de base de configuração não será marcada como não compatível (aplicável apenas a itens de configuração do aplicativo).

    • Proibido: a linha de base de configuração será avaliada como não compatível se o item de configuração for detectado em computadores cliente (aplicável apenas a itens de configuração de aplicativo).

    Observação

    A lista Alterar Finalidade estará disponível somente se você clicou na opção Este item de configuração contém configurações de aplicativo na página Geral do Assistente para Criar Item de Configuração.

  6. Use a lista Alterar Revisão para selecionar uma revisão específica ou mais recente do item de configuração para avaliar a conformidade em dispositivos cliente ou selecione Sempre Usar Mais Recente para sempre usar a revisão mais recente. Para obter mais informações sobre revisões de item de configuração, consulte Tarefas de gerenciamento para dados de configuração.

  7. Para remover um item de configuração da linha de base de configuração, selecione um item de configuração e clique em Remover.

  8. A partir da versão 1806, selecione se você deseja sempre aplicar essa linha de base para clientes co-gerenciados. Quando marcada, essa linha de base se aplicará mesmo aos clientes gerenciados pelo Intune. Essa exceção pode ser usada para definir configurações que são necessárias para sua organização, mas ainda não estão disponíveis no Intune.

  9. Opcionalmente, clique em Categorias para atribuir categorias à linha de base para pesquisa e filtragem.

  10. Clique em OK para fechar a caixa de diálogo Criar Linha de Base de Configuração e para criar a linha de base de configuração.

Observação

Modificar uma linha de base existente, como a configuração Sempre aplicar essa linha de base para clientes co-gerenciados, incrementará a versão de conteúdo da linha de base. Os clientes precisarão avaliar a nova versão para atualizar o relatório de linha de base.

Incluir linhas de base de configuração personalizadas como parte da avaliação da política de conformidade

Você pode adicionar a avaliação das linhas de base de configuração personalizadas como uma regra de avaliação de política de conformidade. Ao criar ou editar uma linha de base de configuração, você tem uma opção para Avaliar essa linha de base como parte da avaliação da política de conformidade. Ao adicionar ou editar uma regra de política de conformidade, você tem uma condição chamada Incluir linhas de base configuradas na avaliação da política de conformidade. Para dispositivos co-gerenciados e quando você configura o Intune para levar os resultados da avaliação de conformidade do Configuration Manager como parte do status geral de conformidade, essas informações são enviadas ao Azure AD. Em seguida, você pode usá-lo para o acesso condicional aos recursos Microsoft 365 Apps usuário. Para obter mais informações, consulte Acesso condicional com co-gerenciamento.

Para incluir linhas de base de configuração personalizadas como parte da avaliação da política de conformidade, faça o seguinte:

Importante

  • A linha de base de configuração deve ser implantada em uma coleção de dispositivos. As linhas de base implantadas em coleções de usuários não são advidas quando essas configurações são usadas.
  • Ao direcionar dispositivos que são co-gerenciados, certifique-se de atender aos pré-requisitos de co-gerenciamento. Os clientes co-gerenciados ignoram janelas de serviço para correção quando a carga de trabalho das políticas de conformidade é gerenciada pelo Intune.
  • Para dispositivos gerenciados pelo Configuration Manager, o cliente honra a janela de serviço para correção de política de conformidade. Para ignorar a janela de serviço e remediar imediatamente, selecione Verificar a conformidade no Centro de Software.

Cenário de avaliação de exemplo

Quando um usuário faz parte de uma coleção direcionada a uma política de conformidade que inclui a condição de regra Incluir linhas de base configuradas na avaliação da política de conformidade, todas as linhas de base com a opção Avaliar essa linha de base como parte da avaliação da política de conformidade selecionada que são implantadas no usuário ou no dispositivo do usuário são avaliadas para conformidade. Por exemplo:

  • User1 faz parte de User Collection 1.
  • User1 usa Device1, que está em Device Collection 1 e Device Collection 2.
  • Compliance Policy 1 tem a condição de regra Incluir linhas de base configuradas na avaliação da política de conformidade e é implantada para User Collection 1.
  • Configuration Baseline 1 tem Avaliar essa linha de base como parte da avaliação da política de conformidade selecionada e é implantada para Device Collection 1.
  • Configuration Baseline 2 tem Avaliar essa linha de base como parte da avaliação da política de conformidade selecionada e é implantada para Device Collection 2.

Nesse cenário, quando avalia Compliance Policy 1 o uso User1 Device1, ambos Configuration Baseline 1 são Configuration Baseline 2 avaliados também.

  • User1 às vezes usa Device2.
  • Device2é membro de Device Collection 2 e Device Collection 3.
  • Device Collection 3 foi Configuration Baseline 3 implantado nele, mas Avaliar essa linha de base como parte da avaliação da política de conformidade não está selecionada.

Quando User1 usa Device2, só é Configuration Baseline 2 avaliado quando Compliance Policy 1 avaliado.

Observação

Se a política de conformidade avaliar uma nova linha de base que nunca foi avaliada no cliente antes, ela poderá relatar a não conformidade. Isso ocorrerá se a avaliação da linha de base ainda estiver em execução quando a conformidade for avaliada. Para contornar esse problema, clique em Verificar a conformidade na Central de Software.

Criar e implantar uma política de conformidade com uma regra para avaliação da política de conformidade de linha de base

  1. No espaço de trabalho Ativos e Conformidade, expanda o Configurações conformidade e selecione o nó Polícias de Conformidade.

  2. Clique em Criar Política de Conformidade na faixa de opções para criar o Assistente de Política de Conformidade.

  3. Na página Geral , selecione Regras de conformidade para dispositivos gerenciados com o cliente do Configuration Manager.

    • Os dispositivos devem ser gerenciados com o cliente do Configuration Manager para incluir linhas de base de configuração personalizadas como parte da avaliação da política de conformidade.
  4. Selecione suas plataformas nas páginas Plataformas Com Suporte.

  5. Na página Regras , selecione Novo e selecione Incluir linhas de base configuradas na condição de avaliação da política de conformidade.

    Incluir linhas de base configuradas na condição de avaliação da política de conformidade

  6. Clique em OK e em Próximo para acessar a página Resumo .

  7. Verifique suas seleções e clique em Próximo e Em Fechar.

  8. No nó Políticas de Conformidade , clique com o botão direito do mouse na política criada e selecione Implantar.

  9. Escolha sua coleção, configurações de geração de alertas e seu cronograma de avaliação de conformidade para a política.

  10. Clique em OK para implantar a política de conformidade.

Selecione uma linha de base de configuração e marque "Avaliar essa linha de base como parte da avaliação da política de conformidade"

  1. No espaço de trabalho Ativos e Conformidade, expanda Conformidade Configurações e selecione o nó Linhas de Base de Configuração.

  2. Clique com o botão direito do mouse em uma linha de base existente implantada em um conjunto de dispositivos e selecione Propriedades. Se necessário, você pode criar uma nova linha de base.

    • A linha de base deve ser implantada em uma coleção de dispositivos, não em uma coleção de usuários.
  3. Habilita a configuração Avaliar essa linha de base como parte da avaliação da política de conformidade.

    • Para dispositivos co-gerenciados que têm o Intune como a autoridade de configuração de dispositivo, certifique-se de sempre aplicar essa linha de base mesmo para clientes co-gerenciados também está selecionado.
  4. Clique em OK para salvar as alterações na linha de base de configuração.

    Caixa de diálogo Propriedades da Linha de Base de Configuração

Arquivos de log para linhas de base de configuração personalizadas como parte da avaliação da política de conformidade

  • ComplianceHandler.log
  • SettingsAgent.log
  • DCMAgent.log
  • CIAgent.log

Próximas etapas

Importar dados de configuração