CIS Microsoft Intune For Windows IntuneProfile

2024 年 7 月 5 日

CIS-Microsoft-Intune-For-Windows-IntuneProfile

此存储库包含适用于 Windows 10 和 Windows 11 的 JSON 格式的预构建 Microsoft Intune 配置文件，可以导入到 Microsoft Intune 中。 (https://intune.microsoft.com)。

使用 OMA-URI 实现

配置文件均使用 OMA-URI 配置。采用这种方法有几个原因：

• 每个配置都可以根据 CIS 提供的部分和名称来命名。例如：1.1.1

• 明确特定配置正在解决的 CIS 选项

• 当 CIS 建议发生变化时，可以轻松进行更改以与新建议保持一致

• OMA-URI 允许“描述”。此描述可用于记录与 CIS 不同的配置并提供差异的原因。如果您在您的环境中使用风险接受表 (RAF)，您还可以记下 RAF # 来解决差异。

这些配置文件中的许多 OMA-URI 均未由 CIS 发布。 OMA-URI 可以在此处找到：https://learn.microsoft.com/en-us/windows/client-management/mdm/ 通过查找相应的 ADMX 组策略文件并找到其 xml 元素 id 可以找到一些配置选项。这些是使用此处记录的 SyncML 语法指定的：https://learn.microsoft.com/en-us/windows/client-management/understanding-admx-backed-policies#enabling-a-policy 如果您需要实施您的自己的配置，打开 admx 文件（位于 C:windowspolicydefintions）并找到策略和要配置的相应元素并遵循语法。

输入

要导入配置文件：

1. 下载此 Powershell 脚本：IntuneConfiguration_ImportCustomConfig.ps1

2. 下载您选择的 JSON 配置文件（Win11 或 Win10）

3. 运行powershell脚本

4. 出现提示时输入 JSON 文件的位置

注意：要使用新的导入脚本，您可能需要“批准”请求的应用程序访问权限。这是在 Azure 门户中的“企业应用程序”->“管理员同意请求”下完成的

视窗11

2024 年 7 月 5 日添加了新脚本，包含多项审核结果。

Windows 10 CIS 差距/未实现的配置

Windows 10 模板存在一些缺陷，我已在我的环境中手动解决了这些缺陷。请参阅审核结果，看看是否有任何需要解决的问题。此配置当前在活动生产环境中运行，没有任何问题。

已知问题/故障排除

要验证已应用的配置：

• 在部署配置的计算机上打开事件查看器

• 打开“应用程序和服务日志”MicrosoftWindowsDeviceManagement-Enterprise-Diagnostics-ProviderAdmin”

• 检查任何带有“错误”的条目

• 忽略事件 ID 2545 (checkNewInstanceData) - 这似乎是一个 Intune 错误。请参阅 https://answers.microsoft.com/en-us/windows/forum/all/event-2545-microsoft-windows-devicemanagement/a7e0f8e9-685f-44d8-be69-58fd1f8a716e。截至 2024 年 1 月 23 日，我在部署中不再看到此情况。

• 忽略引用“./Device/Vendor/MSFT/Policy/ConfigOpoerations/ADMXInstall/Receiver/Properties/Policy/FakePolicy/Version”的错误。这是一个预期错误，通知您 Intune 工作正常。请参阅：https://www. reddit.com/r/Intune/comments/n8u51x/intune_fakepolicy_not_found_error/

• 应用空白值的用户权限分配策略的 Intune 修复失败。 （2.2.1 至 2.2.30）

• 可能会报告错误“0x87D1FDE8”（修复失败）。尽管存在此错误，空白策略仍被正确应用。

• 这似乎是 intune 报告的问题。请参阅此处提到的“原因”：https://learn.microsoft.com/en-us/troubleshoot/mem/intune/device-configuration/device-configuration-profile-reports-error-2016281112

• 由于空白是使用 指定的，因此 Intune 期望在响应中接收此值。但是，即使策略已成功应用，也仅将“空白”发送回 Intune，从而导致此“错误”。

• 这些空白策略可以重构为不使用 OMA-URI 的新策略（端点保护/用户权限）来防止此报告错误。

附加功能

Firefox 使用 OMA-URI 可能会很痛苦。我创建了一个样式表以使其变得更加容易，可以在上面的屏幕截图中看到。要安装，请进入“Extras”文件夹以获取说明。