Windows용 CIS Microsoft Intune IntuneProfile

2024년 7월 5일

CIS-Microsoft-Intune-For-Windows-IntuneProfile

이 리포지토리에는 Microsoft Intune으로 가져올 수 있는 Windows 10 및 Windows 11용 JSON 형식의 사전 구축된 Microsoft Intune 구성 프로필이 포함되어 있습니다. (https://intune.microsoft.com).

OMA-URI를 사용하여 구현됨

프로필은 모두 OMA-URI를 사용하여 구성됩니다. 이 접근 방식에는 몇 가지 이유가 있습니다.

• 각 구성의 이름은 CIS에서 제공하는 섹션 및 이름에 따라 지정할 수 있습니다. 예: 1.1.1

• 특정 구성이 어떤 CIS 옵션을 다루고 있는지 명확합니다.

• CIS 권장 사항이 변경되면 새로운 권장 사항에 맞게 쉽게 변경할 수 있습니다.

• OMA-URI는 "설명"을 허용합니다. 이 설명은 CIS와 다른 구성을 기록하고 차이점에 대한 이유를 제공하는 데 사용될 수 있습니다. 귀하의 환경에서 위험 수락 양식(RAF)을 사용하는 경우 RAF 번호를 기록하여 차이점을 해결할 수도 있습니다.

이러한 구성 프로필의 OMA-URI 중 상당수는 CIS에서 게시되지 않습니다. OMA-URI는 https://learn.microsoft.com/en-us/windows/client-management/mdm/에서 찾을 수 있습니다. 일부 구성 옵션은 해당 ADMX 그룹 정책 파일을 찾고 해당 xml 요소 ID를 찾아서 찾을 수 있습니다. 이는 https://learn.microsoft.com/en-us/windows/client-management/understanding-admx-backed-policies#enabling-a-policy에 설명된 대로 SyncML 구문을 사용하여 지정됩니다. 자체 구성을 사용하려면 admx 파일(C:windowspolicydefintions에 있음)을 열고 구성하려는 정책과 해당 요소를 찾아 구문을 따르세요.

가져오기

프로필을 가져오려면:

1. Powershell 스크립트 다운로드: IntuneConfiguration_ImportCustomConfig.ps1

2. 원하는 JSON 구성 파일(Win11 또는 Win10)을 다운로드합니다.

3. 파워셸 스크립트 실행

4. 메시지가 표시되면 JSON 파일의 위치를 ​​입력하세요.

참고: 새로운 가져오기 스크립트를 사용하려면 요청된 앱 액세스를 "승인"해야 할 수도 있습니다. 이 작업은 Azure Portal의 엔터프라이즈 애플리케이션 -> 관리자 동의 요청에서 수행됩니다.

윈도우 11

여러 감사 결과와 함께 2024년 7월 5일에 새 스크립트가 추가되었습니다.

Windows 10 CIS 격차/구현되지 않은 구성

Windows 10 템플릿에는 내 환경에서 수동으로 해결한 몇 가지 차이점이 있습니다. 감사 결과를 참조하여 해결해야 할 사항이 있는지 확인하시기 바랍니다. 이 구성은 현재 활성 프로덕션 환경에서 아무런 문제 없이 실행되고 있습니다.

알려진 문제/문제 해결

적용된 구성을 확인하려면 다음 안내를 따르세요.

• 구성이 배포된 머신에서 이벤트 뷰어를 엽니다.

• "응용 프로그램 및 서비스 로그"MicrosoftWindowsDeviceManagement-Enterprise-Diagnostics-ProviderAdmin"을 엽니다.

• "오류"가 있는 항목을 검토하세요.

• 이벤트 ID 2545(checkNewInstanceData)를 무시합니다. 이는 Intune 버그인 것 같습니다. https://answers.microsoft.com/en-us/windows/forum/all/event-2545-microsoft-windows-devicemanagement/a7e0f8e9-685f-44d8-be69-58fd1f8a716e를 참조하세요. 2024.01.23 현재 배포에서는 더 이상 이 내용이 표시되지 않습니다.

• "./Device/Vendor/MSFT/Policy/ConfigOpoerations/ADMXInstall/Receiver/Properties/Policy/FakePolicy/Version을 참조하는 오류를 무시합니다. 이는 Intune이 제대로 작동하고 있음을 알리는 예상되는 오류입니다. 참조: https://www. reddit.com/r/Intune/comments/n8u51x/intune_fakepolicy_not_found_error/

• 빈 값을 적용하는 사용자 권한 할당 정책에 대한 Intune 수정 실패. (2.2.1~2.2.30)

• "0x87D1FDE8"(수정 실패) 오류가 보고될 수 있습니다. 이 오류에도 불구하고 빈 정책은 제대로 적용됩니다.

• 이는 Intune 보고에 문제가 있는 것 같습니다. 여기에 언급된 "원인"을 참조하세요: https://learn.microsoft.com/en-us/troubleshoot/mem/intune/device-configuration/device-configuration-profile-reports-error-2016281112

• 를 사용하여 공백을 지정하므로 Intune은 응답에서 이 값을 수신할 것으로 예상합니다. 그러나 "공백"만 Intune으로 다시 전송되므로 정책이 성공적으로 적용되었더라도 이 "오류"가 발생합니다.

• 이러한 빈 정책은 이 보고 오류를 방지하기 위해 OMA-URI를 사용하지 않는 새 정책(엔드포인트 보호/사용자 권한)으로 리팩터링될 수 있습니다.

엑스트라

Firefox는 OMA-URI를 사용하는 데 어려움을 겪을 수 있습니다. 훨씬 쉽게 만들기 위해 스타일시트를 만들었고 위의 스크린샷에서 볼 수 있습니다. 설치하려면 "Extras" 폴더로 이동하여 지침을 확인하세요.