5 de julho de 2024
Este repositório abriga perfis de configuração pré-construídos do Microsoft Intune em formato JSON para Windows 10 e Windows 11 que podem ser importados para o Microsoft Intune. (https://intune.microsoft.com).
Todos os perfis são configurados usando OMA-URI. Existem algumas razões para esta abordagem:
Cada configuração pode ser nomeada de acordo com a seção e o nome fornecidos pelo CIS. EX: 1.1.1
Está claro qual opção do CIS uma configuração específica está abordando
Quando as recomendações do CIS mudarem, será fácil fazer alterações para alinhar com a nova recomendação
Os OMA-URIs permitem uma "descrição". Esta descrição pode ser usada para observar configurações que diferem do CIS e fornecer uma razão para a diferença. Se você usar Formulários de Aceitação de Risco (RAF) em seu ambiente, também poderá anotar um RAF # para resolver a diferença.
Muitos dos OMA-URIs nesses perfis de configuração não são publicados pelo CIS. Os OMA-URIs foram encontrados aqui: https://learn.microsoft.com/en-us/windows/client-management/mdm/ Algumas opções de configuração foram encontradas localizando os arquivos de política de grupo ADMX correspondentes e localizando seus ids de elemento xml. Eles são especificados usando a sintaxe SyncML conforme documentado aqui: https://learn.microsoft.com/en-us/windows/client-management/understanding-admx-backed-policies#enabling-a-policy Se você precisar implementar seu próprias configurações, abra o arquivo admx (localizado em C:windowspolicydefintions) e localize a política e o elemento correspondente que deseja configurar e siga a sintaxe.
Para importar um perfil:
Baixe este script Powershell: IntuneConfiguration_ImportCustomConfig.ps1
Baixe o arquivo de configuração JSON de sua escolha (Win11 ou Win10)
Execute o script do PowerShell
Insira o local do arquivo JSON quando solicitado
NOTA: Para usar o novo script de importação, pode ser necessário "Aprovar" o acesso solicitado ao aplicativo. Isso é feito no Portal do Azure em Aplicativos Empresariais -> Solicitações de consentimento do administrador
Novo script adicionado em 5 de julho de 2024 com vários resultados de auditoria.
O modelo do Windows 10 tem algumas lacunas que resolvi manualmente em meu ambiente. Consulte os resultados da auditoria para ver se há algo que você deva abordar. Esta configuração está atualmente em execução em um ambiente de produção ativo sem nenhum problema.
Para verificar uma configuração aplicada:
Abra o Visualizador de Eventos na máquina em que a configuração foi implantada
Abra "Logs de aplicativos e serviços"MicrosoftWindowsDeviceManagement-Enterprise-Diagnostics-ProviderAdmin"
Revise todas as entradas com "Erro"
Ignore a identificação do evento 2545 (checkNewInstanceData) – parece ser um bug do Intune. Consulte https://answers.microsoft.com/en-us/windows/forum/all/event-2545-microsoft-windows-devicemanagement/a7e0f8e9-685f-44d8-be69-58fd1f8a716e. A partir de 23/01/2024, não vejo mais isso em minha implantação.
Ignore a referência de erro "./Device/Vendor/MSFT/Policy/ConfigOpoerations/ADMXInstall/Receiver/Properties/Policy/FakePolicy/Version. Este é um erro esperado que informa que o Intune está funcionando corretamente. Consulte: https://www. reddit.com/r/Intune/comments/n8u51x/intune_fakepolicy_not_found_error/
Falhas de remediação do Intune para políticas de atribuição de direitos de usuário que aplicam um valor em branco. (2.2.1 a 2.2.30)
Pode reportar o erro "0x87D1FDE8" (Falha de remediação). Apesar desse erro, as políticas em branco são aplicadas corretamente.
Este parece ser um problema com os relatórios do Intune. Veja a "causa" mencionada aqui: https://learn.microsoft.com/en-us/troubleshoot/mem/intune/device-configuration/device-configuration-profile-reports-error-2016281112
Como os espaços em branco são especificados usando , o Intune espera receber esse valor na resposta. No entanto, apenas o "espaço em branco" é enviado de volta ao Intune, resultando neste "erro", mesmo que a política tenha sido aplicada com êxito.
Essas políticas em branco podem ser refatoradas em uma nova política (Proteção de endpoint/Direitos do usuário) que não usa OMA-URI para evitar esse erro de relatório.
O Firefox pode ser difícil de trabalhar com OMA-URIs. Criei uma folha de estilo para facilitar bastante e isso pode ser visto na imagem acima. Para instalar, vá até a pasta “Extras” para obter instruções.
