5. Juli 2024
Dieses Repository enthält vorgefertigte Microsoft Intune-Konfigurationsprofile im JSON-Format für Windows 10 und Windows 11, die in Microsoft Intune importiert werden können. (https://intune.microsoft.com).
Die Profile werden alle mit OMA-URI konfiguriert. Für diesen Ansatz gibt es mehrere Gründe:
Jede Konfiguration kann entsprechend dem von CIS bereitgestellten Abschnitt und Namen benannt werden. ZB: 1.1.1
Es ist klar, welche CIS-Option eine bestimmte Konfiguration anspricht
Wenn sich die CIS-Empfehlungen ändern, ist es einfach, Änderungen vorzunehmen, um sie an die neue Empfehlung anzupassen
OMA-URIs ermöglichen eine „Beschreibung“. Diese Beschreibung kann verwendet werden, um Konfigurationen zu kennzeichnen, die sich von CIS unterscheiden, und eine Begründung für den Unterschied anzugeben. Wenn Sie in Ihrer Umgebung Risikoakzeptanzformulare (RAF) verwenden, können Sie auch eine RAF-Nummer notieren, um den Unterschied zu beheben.
Viele der OMA-URIs in diesen Konfigurationsprofilen werden nicht von CIS veröffentlicht. Die OMA-URIs wurden hier gefunden: https://learn.microsoft.com/en-us/windows/client-management/mdm/ Einige Konfigurationsoptionen wurden durch die Suche nach entsprechenden ADMX-Gruppenrichtliniendateien und das Auffinden ihrer XML-Element-IDs gefunden. Diese werden mithilfe der SyncML-Syntax angegeben, wie hier dokumentiert: https://learn.microsoft.com/en-us/windows/client-management/understanding-admx-backed-policies#enabling-a-policy Wenn Sie Ihre implementieren müssen Um eigene Konfigurationen zu erstellen, öffnen Sie die ADMX-Datei (unter C:windowspolicydefintions), suchen Sie die Richtlinie und das entsprechende Element, das Sie konfigurieren möchten, und befolgen Sie die Syntax.
So importieren Sie ein Profil:
Laden Sie dieses Powershell-Skript herunter: IntuneConfiguration_ImportCustomConfig.ps1
Laden Sie die JSON-Konfigurationsdatei Ihrer Wahl herunter (entweder Win11 oder Win10).
Führen Sie das Powershell-Skript aus
Geben Sie den Speicherort der JSON-Datei ein, wenn Sie dazu aufgefordert werden
HINWEIS: Um das neue Importskript zu verwenden, müssen Sie möglicherweise den angeforderten App-Zugriff „genehmigen“. Dies erfolgt im Azure-Portal unter Unternehmensanwendungen -> Administrator-Einwilligungsanfragen
Neues Skript hinzugefügt am 5. Juli 2024 mit mehreren Prüfergebnissen.
Die Windows 10-Vorlage weist einige Lücken auf, die ich in meiner Umgebung manuell behoben habe. Sehen Sie sich bitte die Audit-Ergebnisse an, um zu sehen, ob es etwas gibt, das Sie ansprechen sollten. Diese Konfiguration läuft derzeit problemlos in einer aktiven Produktionsumgebung.
So überprüfen Sie eine angewendete Konfiguration:
Öffnen Sie die Ereignisanzeige auf dem Computer, auf dem die Konfiguration bereitgestellt wurde
Öffnen Sie „Anwendungs- und Dienstprotokolle“MicrosoftWindowsDeviceManagement-Enterprise-Diagnostics-ProviderAdmin“
Überprüfen Sie alle Einträge mit „Fehler“
Ignorieren Sie die Ereignis-ID 2545 (checkNewInstanceData) – dies scheint ein Intune-Fehler zu sein. Siehe https://answers.microsoft.com/en-us/windows/forum/all/event-2545-microsoft-windows-devicemanagement/a7e0f8e9-685f-44d8-be69-58fd1f8a716e. Ab dem 23.01.2024 sehe ich dies in meiner Bereitstellung nicht mehr.
Ignorieren Sie den Fehler, der auf „./Device/Vendor/MSFT/Policy/ConfigOpoerations/ADMXInstall/Receiver/Properties/Policy/FakePolicy/Version“ verweist. Dies ist ein erwarteter Fehler, der Sie darüber informiert, dass Intune ordnungsgemäß funktioniert. Siehe: https://www. reddit.com/r/Intune/comments/n8u51x/intune_fakepolicy_not_found_error/
Intune-Korrekturfehler für Benutzerrechtezuweisungsrichtlinien, die einen leeren Wert anwenden. (2.2.1 bis 2.2.30)
Kann den Fehler „0x87D1FDE8“ (Remediation Failure) melden. Trotz dieses Fehlers werden die leeren Richtlinien ordnungsgemäß angewendet.
Dies scheint ein Problem mit der Intune-Berichterstellung zu sein. Siehe die hier erwähnte „Ursache“: https://learn.microsoft.com/en-us/troubleshoot/mem/intune/device-configuration/device-configuration-profile-reports-error-2016281112
Da mit Leerzeichen angegeben werden, erwartet Intune, diesen Wert in der Antwort zu erhalten. Allerdings wird nur „leer“ an Intune zurückgesendet, was zu diesem „Fehler“ führt, obwohl die Richtlinie erfolgreich angewendet wurde.
Diese leeren Richtlinien können in eine neue Richtlinie (Endpunktschutz/Benutzerrechte) umgestaltet werden, die OMA-URI nicht verwendet, um diesen Berichtsfehler zu verhindern.
Die Arbeit mit OMA-URIs in Firefox kann mühsam sein. Um es viel einfacher zu machen, habe ich ein Stylesheet erstellt, das im Screenshot oben zu sehen ist. Gehen Sie zur Installation in den Ordner „Extras“, um Anweisungen zu erhalten.
