CIS Microsoft Intune Untuk Windows IntuneProfile

5 Juli 2024

CIS-Microsoft-Intune-Untuk-Windows-IntuneProfile

Repositori ini menampung profil konfigurasi Microsoft Intune bawaan dalam format JSON untuk Windows 10 dan Windows 11 yang dapat diimpor ke Microsoft Intune. (https://intune.microsoft.com).

Diimplementasikan menggunakan OMA-URI

Semua profil dikonfigurasi menggunakan OMA-URI. Ada beberapa alasan untuk pendekatan ini:

• Setiap konfigurasi dapat diberi nama sesuai bagian dan nama yang diberikan oleh CIS. Misalnya: 1.1.1

• Jelas opsi CIS apa yang ditangani oleh konfigurasi tertentu

• Ketika rekomendasi CIS berubah, akan mudah untuk melakukan perubahan agar selaras dengan rekomendasi baru

• OMA-URI memungkinkan adanya "deskripsi". Deskripsi ini dapat digunakan untuk mencatat konfigurasi yang berbeda dari CIS dan memberikan alasan perbedaannya. Jika Anda menggunakan Formulir Penerimaan Risiko (RAF) di lingkungan Anda, Anda juga dapat mencatat # RAF untuk mengatasi perbedaan tersebut.

Banyak OMA-URI dalam profil konfigurasi ini tidak dipublikasikan oleh CIS. OMA-URI ditemukan di sini: https://learn.microsoft.com/en-us/windows/client-management/mdm/ Beberapa opsi konfigurasi ditemukan dengan menemukan file Kebijakan Grup ADMX yang sesuai dan menemukan id elemen xmlnya. Ini ditentukan menggunakan sintaks SyncML seperti yang didokumentasikan di sini: https://learn.microsoft.com/en-us/windows/client-management/understanding-admx-backed-policies#enabling-a-policy Jika Anda perlu menerapkan konfigurasi sendiri, buka file admx (terletak di C:windowspolicydefintions) dan temukan kebijakan dan elemen terkait yang ingin Anda konfigurasikan dan ikuti sintaksnya.

Pengimporan

Untuk mengimpor profil:

1. Unduh Skrip Powershell ini: IntuneConfiguration_ImportCustomConfig.ps1

2. Unduh file konfigurasi JSON pilihan Anda (baik Win11 atau Win10)

3. Jalankan skrip PowerShell

4. Masukkan lokasi file JSON saat diminta

CATATAN: Untuk menggunakan skrip Impor baru, Anda mungkin perlu "Menyetujui" akses aplikasi yang diminta. Hal ini dilakukan di Portal Azure pada Aplikasi Perusahaan -> Permintaan persetujuan admin

jendela 11

Skrip baru ditambahkan 5 Juli 2024 dengan beberapa hasil audit.

Kesenjangan CIS Windows 10 / Konfigurasi yang Tidak Diimplementasikan

Templat Windows 10 memiliki beberapa celah yang telah saya atasi secara manual di lingkungan saya. Silakan lihat hasil Audit untuk mengetahui apakah ada hal yang perlu Anda atasi. Konfigurasi ini sedang berjalan di lingkungan produksi aktif tanpa masalah apa pun.

Masalah/Pemecahan Masalah yang Diketahui

Untuk memverifikasi konfigurasi yang diterapkan:

• Buka Peraga Peristiwa di mesin tempat konfigurasi diterapkan

• Buka "Log Aplikasi dan Layanan"MicrosoftWindowsDeviceManagement-Enterprise-Diagnostics-ProviderAdmin"

• Tinjau entri apa pun dengan "Kesalahan"

• Abaikan id peristiwa 2545 (checkNewInstanceData) - ini tampaknya merupakan bug Intune. Lihat https://answers.microsoft.com/en-us/windows/forum/all/event-2545-microsoft-windows-devicemanagement/a7e0f8e9-685f-44d8-be69-58fd1f8a716e. Mulai 23.01.2024, saya tidak lagi melihat ini dalam penerapan saya.

• Abaikan referensi kesalahan "./Device/Vendor/MSFT/Policy/ConfigOpoerations/ADMXInstall/Receiver/Properties/Policy/FakePolicy/Version. Ini adalah kesalahan yang diharapkan dan memberi tahu Anda bahwa Intune berfungsi dengan benar. Lihat: https://www.reddit.com/r/Intune/comments/n8u51x/intune_fakepolicy_not_found_error/

• Kegagalan remediasi yang selaras untuk kebijakan Penetapan Hak Pengguna yang menerapkan nilai kosong. (2.2.1 hingga 2.2.30)

• Dapat melaporkan kesalahan "0x87D1FDE8" (Kegagalan Remediasi). Meskipun ada kesalahan ini, kebijakan kosong diterapkan dengan benar.

• Tampaknya ini merupakan masalah dengan pelaporan intune. Lihat "penyebab" yang disebutkan di sini: https://learn.microsoft.com/en-us/troubleshoot/mem/intune/device-configuration/device-configuration-profile-reports-error-2016281112

• Karena bagian kosong ditentukan menggunakan , Intune mengharapkan untuk menerima nilai ini dalam respons. Namun, hanya "kosong" yang dikirim kembali ke Intune, yang mengakibatkan "kesalahan" ini meskipun kebijakan berhasil diterapkan.

• Kebijakan kosong ini dapat difaktorkan ulang menjadi kebijakan baru (Perlindungan titik akhir/Hak Pengguna) yang tidak menggunakan OMA-URI untuk mencegah kesalahan pelaporan ini.

Ekstra

Firefox bisa jadi menyusahkan untuk bekerja dengan OMA-URI. Saya membuat stylesheet untuk membuatnya lebih mudah dan itu bisa dilihat pada gambar di atas. Untuk menginstal, masuk ke folder "Ekstra" untuk mendapatkan petunjuk.