CIS Windows 用 Microsoft Intune IntuneProfile

2024 年 7 月 5 日

CIS-Microsoft-Intune-For-Windows-IntuneProfile

このリポジトリには、Microsoft Intune にインポートできる、Windows 10 および Windows 11 用の事前に構築された Microsoft Intune 構成プロファイルが JSON 形式で格納されています。 (https://intune.microsoft.com)。

OMA-URIを使用して実装

プロファイルはすべて OMA-URI を使用して構成されます。このアプローチにはいくつかの理由があります。

• 各構成には、CIS によって提供されるセクションと名前に従って名前を付けることができます。例: 1.1.1

• 特定の構成がどの CIS オプションに対応しているかは明らかです

• CIS の推奨事項が変更された場合、新しい推奨事項に合わせて変更を加えるのは簡単です。

• OMA-URI では「説明」が可能です。この説明は、CIS とは異なる構成に注目し、その違いの理由を説明するために使用できます。ご使用の環境でリスク受諾フォーム (RAF) を使用している場合は、相違点に対処するために RAF # をメモすることもできます。

これらの構成プロファイル内の OMA-URI の多くは、CIS によって公開されていません。 OMA-URI はここで見つかりました: https://learn.microsoft.com/en-us/windows/client-management/mdm/ 一部の構成オプションは、対応する ADMX グループ ポリシー ファイルを検索し、その XML 要素 ID を見つけることで見つかりました。これらは、ここで説明されているように、SyncML 構文を使用して指定されます: https://learn.microsoft.com/en-us/windows/client-management/ Understanding-admx-backed-policies#enabling-a-policy独自の構成を行うには、admx ファイル (C:windowspolicydefintions にあります) を開き、構成するポリシーと対応する要素を見つけて、構文に従います。

インポート中

プロファイルをインポートするには:

1. この Powershell スクリプトをダウンロードします: IntuneConfiguration_ImportCustomConfig.ps1

2. 選択した JSON 構成ファイルをダウンロードします (Win11 または Win10)。

3. PowerShell スクリプトを実行する

4. プロンプトが表示されたら、JSON ファイルの場所を入力します

注: 新しいインポート スクリプトを使用するには、要求されたアプリ アクセスを「承認」する必要がある場合があります。これは、Azure Portal の [エンタープライズ アプリケーション] -> [管理者の同意リクエスト] で実行できます。

Windows 11

複数の監査結果を含む新しいスクリプトが 2024 年 7 月 5 日に追加されました。

Windows 10 CIS ギャップ / 未実装の構成

Windows 10 テンプレートにはいくつかのギャップがあり、私の環境では手動で修正しました。監査結果を参照して、対処すべき点があるかどうかを確認してください。この構成は現在、アクティブな運用環境で問題なく実行されています。

既知の問題/トラブルシューティング

適用された構成を確認するには:

• 構成が展開されたマシン上でイベント ビューアを開きます。

• 「アプリケーションとサービス ログ」MicrosoftWindowsDeviceManagement-Enterprise-Diagnostics-ProviderAdmin" を開きます。

• 「エラー」のあるエントリを確認します。

• イベント ID 2545 (checkNewInstanceData) を無視します - これは Intune のバグであると思われます。 https://answers.microsoft.com/en-us/windows/forum/all/event-2545-microsoft-windows-devicemanagement/a7e0f8e9-685f-44d8-be69-58fd1f8a716e を参照してください。 2024.01.23 の時点で、私の環境ではこれが表示されなくなりました。

• 「./Device/Vendor/MSFT/Policy/ConfigOpoerations/ADMXInstall/Receiver/Properties/Policy/FakePolicy/Version」を参照するエラーを無視します。これは、Intune が適切に動作していることを通知する予期されたエラーです。参照: https://www. reddit.com/r/Intune/comments/n8u51x/intune_fakepolicy_not_found_error/

• 空白の値を適用するユーザー権利の割り当てポリシーの Intune 修復の失敗。 (2.2.1 ～ 2.2.30)

• エラー「0x87D1FDE8」(修復失敗) が報告される場合があります。このエラーにもかかわらず、空のポリシーは適切に適用されます。

• これは、Intune レポートに関する問題であるようです。ここで言及されている「原因」を参照してください: https://learn.microsoft.com/en-us/troubleshoot/mem/intune/device-configuration/device-configuration-profile-reports-error-2016281112

• 空白は を使用して指定されるため、Intune は応答でこの値を受け取ることを期待します。ただし、Intune には "空白" のみが返されるため、ポリシーが正常に適用された場合でも、この "エラー" が発生します。

• これらの空のポリシーを、OMA-URI を使用しない新しいポリシー (エンドポイント保護/ユーザー権利) にリファクタリングして、このレポート エラーを防ぐことができます。

エクストラ

Firefox で OMA-URI を操作するのは面倒な場合があります。上のスクリーンショットに示されているように、非常に簡単にするためにスタイルシートを作成しました。インストールするには、「Extras」フォルダーに移動して手順を参照してください。