СНГ Microsoft Intune для Windows IntuneProfile

5 июля 2024 г.

СНГ-Microsoft-Intune-For-Windows-IntuneProfile

В этом репозитории хранятся предварительно созданные профили конфигурации Microsoft Intune в формате JSON для Windows 10 и Windows 11, которые можно импортировать в Microsoft Intune. (https://intune.microsoft.com).

Реализовано с использованием OMA-URI.

Все профили настраиваются с использованием OMA-URI. Для такого подхода есть несколько причин:

• Каждой конфигурации можно дать имя в соответствии с разделом и именем, предоставленными CIS. НАПРИМЕР: 1.1.1

• Понятно, к какому варианту CIS обращается та или иная конфигурация.

• Когда рекомендации CIS изменятся, будет легко внести изменения, чтобы они соответствовали новым рекомендациям.

• OMA-URI допускают «описание». Это описание можно использовать для обозначения конфигураций, отличающихся от CIS, и объяснения причины различия. Если вы используете формы принятия риска (RAF) в своей среде, вы также можете указать номер RAF, чтобы устранить разницу.

Многие OMA-URI в этих профилях конфигурации не публикуются CIS. OMA-URI были найдены здесь: https://learn.microsoft.com/en-us/windows/client-management/mdm/ Некоторые параметры конфигурации были найдены путем поиска соответствующих файлов групповой политики ADMX и определения их идентификаторов элементов xml. Они указываются с использованием синтаксиса SyncML, как описано здесь: https://learn.microsoft.com/en-us/windows/client-management/understanding-admx-backed-policies#enabling-a-policy. Если вам нужно реализовать собственные конфигурации, откройте файл admx (расположенный в папке C:windowspolicydefintions), найдите политику и соответствующий элемент, который вы хотите настроить, и следуйте синтаксису.

Импорт

Чтобы импортировать профиль:

1. Загрузите этот сценарий Powershell: IntuneConfiguration_ImportCustomConfig.ps1.

2. Загрузите файл конфигурации JSON по вашему выбору (Win11 или Win10).

3. Запустите сценарий PowerShell

4. Введите местоположение файла JSON при появлении запроса.

ПРИМЕЧАНИЕ. Чтобы использовать новый сценарий импорта, вам может потребоваться «одобрить» запрошенный доступ к приложению. Это делается на портале Azure в разделе «Корпоративные приложения» -> «Запросы согласия администратора».

Windows 11

Новый скрипт добавлен 5 июля 2024 г. с несколькими результатами проверки.

Пробелы Windows 10 CIS/нереализованные конфигурации

В шаблоне Windows 10 есть несколько пробелов, которые я устранил вручную в своей среде. Пожалуйста, обратитесь к результатам аудита, чтобы узнать, есть ли что-то, на что вам следует обратить внимание. Эта конфигурация в настоящее время работает в активной производственной среде без каких-либо проблем.

Известные проблемы/Устранение неполадок

Чтобы проверить примененную конфигурацию:

• Откройте средство просмотра событий на компьютере, на котором была развернута конфигурация.

• Откройте «Журналы приложений и служб»MicrosoftWindowsDeviceManagement-Enterprise-Diagnostics-ProviderAdmin»

• Просмотрите все записи с надписью «Ошибка».

• Игнорировать событие с идентификатором 2545 (checkNewInstanceData) — похоже, это ошибка Intune. См. https://answers.microsoft.com/en-us/windows/forum/all/event-2545-microsoft-windows-devicemanagement/a7e0f8e9-685f-44d8-be69-58fd1f8a716e. По состоянию на 23 января 2024 г. я больше не вижу этого в своем развертывании.

• Игнорировать ссылку на ошибку "./Device/Vendor/MSFT/Policy/ConfigOpoerations/ADMXInstall/Receiver/Properties/Policy/FakePolicy/Version. Это ожидаемая ошибка, которая информирует вас о том, что Intune работает правильно. См.: https://www. reddit.com/r/Intune/comments/n8u51x/intune_fakepolicy_not_found_error/

• Ошибки исправления Intune для политик назначения прав пользователей, которые применяют пустое значение. (с 2.2.1 по 2.2.30)

• Может сообщить об ошибке «0x87D1FDE8» (ошибка исправления). Несмотря на эту ошибку, пустые политики применяются правильно.

• Похоже, это проблема с отчетами Intune. См. упомянутую здесь «причину»: https://learn.microsoft.com/en-us/troubleshoot/mem/intune/device-configuration/device-configuration-profile-reports-error-2016281112.

• Поскольку с помощью указываются пробелы, Intune ожидает получить это значение в ответе. Однако обратно в Intune отправляется только «пустое слово», что приводит к этой «ошибке», даже если политика была применена успешно.

• Эти пустые политики можно преобразовать в новую политику (защита конечных точек/права пользователя), которая не использует OMA-URI, чтобы предотвратить эту ошибку отчета.

Дополнительно

Firefox может быть затруднительным при работе с OMA-URI. Я создал таблицу стилей, чтобы сделать это намного проще, и это можно увидеть на скриншоте выше. Для установки перейдите в папку «Дополнительно» для получения инструкций.