5 de julio de 2024
Este repositorio alberga perfiles de configuración de Microsoft Intune prediseñados en formato JSON para Windows 10 y Windows 11 que se pueden importar a Microsoft Intune. (https://intune.microsoft.com).
Todos los perfiles se configuran mediante OMA-URI. Hay algunas razones para este enfoque:
Cada configuración puede recibir un nombre según la sección y el nombre proporcionado por CIS. Por ejemplo: 1.1.1
Está claro a qué opción CIS se dirige una configuración particular.
Cuando las recomendaciones del CIS cambien, será fácil realizar cambios para alinearse con la nueva recomendación.
Los OMA-URI permiten una "descripción". Esta descripción se puede utilizar para observar configuraciones que difieren de CIS y proporcionar una razón para la diferencia. Si utiliza formularios de aceptación de riesgos (RAF) en su entorno, también puede anotar un número de RAF para abordar la diferencia.
CIS no publica muchos de los OMA-URI en estos perfiles de configuración. Los OMA-URI se encontraron aquí: https://learn.microsoft.com/en-us/windows/client-management/mdm/ Se encontraron algunas opciones de configuración al buscar los archivos de política de grupo ADMX correspondientes y ubicar sus identificadores de elementos xml. Estos se especifican utilizando la sintaxis SyncML como se documenta aquí: https://learn.microsoft.com/en-us/windows/client-management/understanding-admx-backed-policies#enabling-a-policy Si necesita implementar su configuraciones propias, abra el archivo admx (ubicado en C:windowspolicydefintions) y ubique la política y el elemento correspondiente que desea configurar y siga la sintaxis.
Para importar un perfil:
Descargue este script de Powershell: IntuneConfiguration_ImportCustomConfig.ps1
Descargue el archivo de configuración JSON de su elección (ya sea Win11 o Win10)
Ejecute el script de PowerShell
Ingrese la ubicación del archivo JSON cuando se le solicite
NOTA: Para utilizar el nuevo script de importación, es posible que deba "Aprobar" el acceso a la aplicación solicitada. Esto se hace en el Portal de Azure en Aplicaciones empresariales -> Solicitudes de consentimiento del administrador.
Nuevo script agregado el 5 de julio de 2024 con múltiples resultados de auditoría.
La plantilla de Windows 10 tiene algunas lagunas que he solucionado manualmente en mi entorno. Consulte los resultados de la auditoría para ver si hay algo que deba abordar. Esta configuración se ejecuta actualmente en un entorno de producción activo sin ningún problema.
Para verificar una configuración aplicada:
Abra el Visor de eventos en la máquina en la que se implementó la configuración.
Abra "Registros de aplicaciones y servicios"MicrosoftWindowsDeviceManagement-Enterprise-Diagnostics-ProviderAdmin"
Revise las entradas con "Error"
Ignore el identificador de evento 2545 (checkNewInstanceData): esto parece ser un error de Intune. Consulte https://answers.microsoft.com/en-us/windows/forum/all/event-2545-microsoft-windows-devicemanagement/a7e0f8e9-685f-44d8-be69-58fd1f8a716e. A partir del 23.01.2024, ya no veo esto en mi implementación.
Ignore la referencia de error "./Device/Vendor/MSFT/Policy/ConfigOpoerations/ADMXInstall/Receiver/Properties/Policy/FakePolicy/Version. Este es un error esperado que le informa que Intune está funcionando correctamente. Consulte: https://www.reddit.com/r/Intune/comments/n8u51x/intune_fakepolicy_not_found_error/
Errores de corrección de Intune para políticas de asignación de derechos de usuario que aplican un valor en blanco. (2.2.1 al 2.2.30)
Puede informar el error "0x87D1FDE8" (fallo de reparación). A pesar de este error, las políticas en blanco se aplican correctamente.
Esto parece ser un problema con los informes de Intune. Vea la "causa" mencionada aquí: https://learn.microsoft.com/en-us/troubleshoot/mem/intune/device-configuration/device-configuration-profile-reports-error-2016281112
Dado que los espacios en blanco se especifican mediante , Intune espera recibir este valor en la respuesta. Sin embargo, solo se envía "espacio en blanco" a Intune, lo que genera este "error" aunque la política se haya aplicado correctamente.
Estas políticas en blanco se pueden refactorizar en una nueva política (Protección de endpoints/Derechos de usuario) que no utilice OMA-URI para evitar este error de informe.
Firefox puede ser complicado trabajar con OMA-URI. Creé una hoja de estilo para hacerlo mucho más fácil y eso se puede ver en la captura de pantalla anterior. Para instalar, vaya a la carpeta "Extras" para obtener instrucciones.
