在 Configuration Manager 中建立設定基準
適用於:Configuration Manager (目前的分支)
Configuration Manager中的設定基準包含預先定義的設定專案,以及選擇性地包含其他設定基準。 建立設定基準之後,您可以將它部署至集合,讓該集合中的裝置下載設定基準,並評估其合規性。
提示
您無法指定Configuration Manager用戶端評估基準中設定專案的順序。 不具決定性。
設定基準
Configuration Manager中的設定基準可以包含組態專案的特定修訂,也可以設定為一律使用最新版的設定專案。 如需設定專案修訂的詳細資訊,請參閱 設定資料的管理工作。
您可以使用兩種方法來建立設定基準:
從檔案匯入組態資料。 若要啟動 [匯入設定資料精靈],請在 [資產與相容性] 工作區的 [設定專案] 或 [設定基準] 節點中,按一下 [匯入設定資料]。 如需詳細資訊,請參閱 匯入設定資料。
使用 [ 建立組態基準 ] 對話方塊來建立新的設定基準。
建立設定基準
若要使用 [建立組態基準] 對話方塊建立組態 基準 ,請使用下列程式:
在Configuration Manager主控台中,按一下 [資產與相容性>設定> ] [組態基準]。
在 [ 首頁] 索引標籤的 [ 建立] 群組中,按一下 [ 建立組態基準]。
在 [ 建立組態基準 ] 對話方塊中,輸入組態基準的唯一名稱和描述。 名稱最多可以使用 255 個字元,描述最多可以使用 512 個字元。
[ 組態資料 ] 清單會顯示此設定基準中包含的所有設定專案或設定基準。 按一下 [新增 ] 將新的設定專案或組態基準新增至清單。 您可以從下列專案中選擇:
設定專案
軟體匯報
設定基準
重要事項
您必須將每個設定基準限制為不超過 1000 個軟體更新。
使用 [變更目的] 清單來指定您在組態 資料 清單中選取之組態專案的行為。 您可以從下列專案中選取:
必要:如果用戶端裝置上未偵測到設定專案,則會將設定基準評估為不符合規範。 如果偵測到,則會評估其合規性
選擇性:只有在用戶端電腦上找到所參考的應用程式時,才會評估組態專案的合規性。 如果找不到應用程式,則設定基準不會標示為不符合規範 (僅適用于應用程式設定專案) 。
禁止:如果在用戶端電腦上偵測到設定專案, (只適用于應用程式設定專案) ,則會將設定基準評估為不符合規範。
注意事項
只有在您按一下 [建立組態專案精靈] 之 [一般] 頁面上的 [此組態專案包含應用程式設定] 選項時,才能使用 [變更目的] 清單。
使用 [變更修訂 ] 清單來選取設定專案的特定或最新修訂,以評估用戶端裝置上的合規性,或選取 [ 永遠使用最新 版本] 一律使用最新的修訂。 如需設定專案修訂的詳細資訊,請參閱 設定資料的管理工作。
若要從設定基準中移除設定專案,請選取組態專案,然後按一下 [ 移除]。
從 1806 版開始,如果您想要一 律為共同管理的用戶端套用此基準,請選取 。 核取時,即使受 Intune 管理的用戶端上也會套用此基準。 此例外狀況可用來設定組織所需的設定,但尚未在 Intune 中提供。
或者,按一下 [ 類別] 將類別指派給基準以進行搜尋和篩選。
按一下 [確定 ] 關閉 [ 建立組態基準 ] 對話方塊,並建立設定基準。
注意事項
修改現有的基準,例如設定 [一律為共同管理的用戶端套用此基準] 會遞增基準內容版本。 用戶端必須評估新版本,才能更新基準報告。
在合規性政策評估中包含自訂設定基準
您可以將自訂設定基準的評估新增為合規性政策評估規則。 當您建立或編輯設定基準時,可以選擇 將此基準評估為合規性政策評估的一部分。 新增或編輯合規性政策規則時,您有一個條件稱為在 合規性政策評估中包含已設定的基準。 對於共同管理的裝置,以及當您將 Intune 設定為取得Configuration Manager合規性評定結果作為整體合規性狀態的一部分時,此資訊會傳送至Microsoft Entra識別碼。 然後,您可以將它用於條件式存取您的Microsoft 365 Apps資源。 如需詳細資訊,請 參閱使用共同管理的條件式存取。
若要在合規性政策評估中包含自訂設定基準,請執行下列動作:
- 建立合規性政策並將其部署至 使用者 集合,並使用規則在合規性政策 評估中包含已設定的基準。
- 在部署至裝置集合的設定基準中,選取 [評估此基準作為合規性政策評估的一部分]。
重要事項
- 設定基準必須部署至 裝置 集合。 使用這些設定時,不會接受部署至 使用者 集合的基準。
- 以共同管理的裝置為目標時,請確定您符合 共同管理的必要條件。 共同管理的用戶端會在 Intune 管理其合規性原則工作負載時,忽略服務視窗以進行補救。
- 針對由 Configuration Manager 管理的裝置,用戶端會接受服務視窗進行合規性政策補救。 若要忽略服務視窗並立即補救,請選取 [軟體中心] 中的[檢查合規性]。
範例評估案例
當使用者是相容性原則的目標集合的一部分,且該合規性原則包含 合規性原則評估中包含已設定的基準時,會評估已選取 [將 此基準評估為合規性政策評估 選項的一部分] 的任何基準,其部署至使用者或使用者的裝置時,都會評估是否符合規範。 例如:
User1
是 的一User Collection 1
部分。User1
會使用Device1
和 中的Device Collection 1
Device Collection 2
。Compliance Policy 1
具有在合規性政策評估規則條件中包含已 設定的基準 ,並部署至User Collection 1
。Configuration Baseline 1
已 選取 [將此基準評估為合規性政策評估的一部分 ],並部署至Device Collection 1
。Configuration Baseline 2
已 選取 [將此基準評估為合規性政策評估的一部分 ],並部署至Device Collection 2
。
在此案例中,當 評估 使用 User1
Device1
時 Compliance Policy 1
, Configuration Baseline 1
也會評估 和 Configuration Baseline 2
。
User1
有時會使用Device2
。Device2
是 和Device Collection 3
的成員Device Collection 2
。Device Collection 3
已Configuration Baseline 3
部署到其中,但未選取 [評估此基準作為合規性政策評估的一部分 ]。
使用 Device2
時 User1
,只會 Configuration Baseline 2
在評估時 Compliance Policy 1
進行評估。
注意事項
如果合規性原則評估了之前從未在用戶端上評估過的新基準,則可能會報告不符合規範。 如果基準評估在評估相容性時仍在執行,就會發生這種情況。 若要解決此問題,請按一下 [軟體中心] 中的[檢查合規性]。
使用基準合規性政策評估的規則來建立和部署合規性政策
在 [ 資產與相容性 ] 工作區中,展開 [ 合規性設定],然後選取 [ 合規性原則] 節點。
按一下功能區中的 [ 建立合規性 政策],以顯示 [ 建立合規性政策精靈]。
在 [一般]頁面上,針對使用 Configuration Manager 用戶端管理的裝置選取 [合規性規則]。
- 裝置必須使用Configuration Manager用戶端進行管理,才能在合規性政策評估中包含自訂設定基準。
在 [支援的平臺] 頁面上選取您的 平臺 。
在 [ 規則] 頁面上,選取 [ 新增],然後選取 [ 在合規性政策評定中包含已設定的基準 ] 條件。
按一下 [確定],然後按一下 [ 下一步 ] 以進入 [摘要 ] 頁面。
確認您的選擇,然後按 [ 下一步 ],然後 按一下 [關閉]。
在 [ 合規性原則] 節點中,以滑鼠右鍵按一下您建立的原則,然後選取 [ 部署]。
選擇您的集合、警示產生設定,以及原則的合規性評估排程。
按一下 [確定 ] 以部署合規性政策。
選取設定基準,然後核取 [評估此基準作為合規性政策評估的一部分]
在 [ 資產與相容性 ] 工作區中,展開 [ 相容性設定],然後選取 [ 組態基準] 節點 。
以滑鼠右鍵按一下部署至裝置集合的現有基準,然後選取 [ 屬性]。 如有需要,您可以建立新的基準。
- 基準必須部署到裝置集合,而不是使用者集合。
啟用 [評估此基準做為合規性政策評估設定的一部分 ]。
- 對於具有 Intune 作為 裝置設定 授權單位的共同管理裝置,請確定 一律套用此基準,即使是共同管理的客戶 端也已選取。
按一下 [確定 ] 將變更儲存至您的設定基準。
自訂設定基準的記錄檔,作為合規性政策評估的一部分
- ComplianceHandler.log
- SettingsAgent.log
- DCMAgent.log
- CIAgent.log
後續步驟
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應