2024 年 7 月 5 日
此儲存庫包含適用於 Windows 10 和 Windows 11 的 JSON 格式的預先建置 Microsoft Intune 設定文件,可以匯入到 Microsoft Intune 中。 (https://intune.microsoft.com)。
設定檔均使用 OMA-URI 設定。採用這種方法有幾個原因:
每個配置都可以根據 CIS 提供的部分和名稱來命名。例如:1.1.1
明確特定配置正在解決的 CIS 選項
當 CIS 建議發生變化時,可以輕鬆進行更改以與新建議保持一致
OMA-URI 允許「描述」。此描述可用於記錄與 CIS 不同的配置並提供差異的原因。如果您在您的環境中使用風險接受表 (RAF),您也可以記下 RAF # 來解決差異。
這些設定檔中的許多 OMA-URI 均未由 CIS 發布。 OMA-URI 可在此處找到:https://learn.microsoft.com/en-us/windows/client-management/mdm/ 透過尋找對應的ADMX 群組策略檔案並找到其xml 元素id 可以找到一些設定選項。這些是使用此處記錄的SyncML 語法指定的:https://learn.microsoft.com/en-us/windows/client-management/understanding-admx-backed-policies#enabling-a-policy 如果您需要實施您的自己的配置,打開 admx 檔案(位於 C:windowspolicydefintions)並找到策略和要配置的相應元素並遵循語法。
若要導入設定檔:
下載此 Powershell 腳本:IntuneConfiguration_ImportCustomConfig.ps1
下載您選擇的 JSON 設定檔(Win11 或 Win10)
運行powershell腳本
出現提示時輸入 JSON 檔案的位置
注意:要使用新的匯入腳本,您可能需要「批准」請求的應用程式存取權限。這是在 Azure 入口網站中的「企業應用程式」->「管理員同意請求」下完成的
2024 年 7 月 5 日新增了新腳本,包含多項審核結果。
Windows 10 範本存在一些缺陷,我已在我的環境中手動解決了這些缺陷。請參閱審核結果,看看是否有任何需要解決的問題。此配置目前在活動生產環境中運行,沒有任何問題。
若要驗證已套用的設定:
在部署配置的電腦上開啟事件檢視器
開啟“應用程式與服務日誌”MicrosoftWindowsDeviceManagement-Enterprise-Diagnostics-ProviderAdmin”
檢查任何帶有“錯誤”的條目
忽略事件 ID 2545 (checkNewInstanceData) - 這似乎是一個 Intune 錯誤。請參閱 https://answers.microsoft.com/en-us/windows/forum/all/event-2545-microsoft-windows-devicemanagement/a7e0f8e9-685f-44d8-be69-58fd1f8a716e。截至 2024 年 1 月 23 日,我在部署中不再看到此情況。
忽略引用「./Device/Vendor/MSFT/Policy/ConfigOpoerations/ADMXInstall/Receiver/Properties/Policy/FakePolicy/Version」的錯誤。 . reddit.com/r/Intune/comments/n8u51x/intune_fakepolicy_not_found_error/
應用空白值的使用者權限分配策略的 Intune 修復失敗。 (2.2.1 至 2.2.30)
可能會報告錯誤“0x87D1FDE8”(修復失敗)。儘管存在此錯誤,空白策略仍被正確應用。
這似乎是 intune 報告的問題。請參閱此處提及的「原因」:https://learn.microsoft.com/en-us/troubleshoot/mem/intune/device-configuration/device-configuration-profile-reports-error-2016281112
由於空白是使用 指定的,因此 Intune 期望在回應中接收此值。但是,即使策略已成功應用,也僅將「空白」傳回 Intune,從而導致此「錯誤」。
這些空白策略可以重構為不使用 OMA-URI 的新策略(端點保護/使用者權限)來防止此報告錯誤。
Firefox 使用 OMA-URI 可能會很痛。我創建了一個樣式表以使其變得更加容易,可以在上面的螢幕截圖中看到。若要安裝,請進入“Extras”資料夾以取得說明。
