Freigeben über

Überwachen von Sicherheitsbaselines und Sicherheitsbaselineprofilen in Microsoft Intune

  • Artikel

Intune bietet mehrere Optionen zum Überwachen von Sicherheitsbaselines. Sie können:

  • Eine Sicherheitsbaseline sowie alle Geräte überwachen, die den empfohlenen Werten entsprechen (oder nicht)
  • Das Sicherheitsbaselineprofil überwachen, das für Ihre Benutzer und Geräte gilt
  • Anzeigen der Konfiguration der Einstellungen eines ausgewählten Profils auf einem ausgewählten Gerät

Sie können auch den Bericht „Gerätekonfiguration“ anzeigen, um zu sehen, welche auf der Gerätekonfiguration basierenden Richtlinien für einzelne Geräte gelten, einschließlich Sicherheitsbaselines.

Weitere Informationen zu diesem Feature finden Sie unter Sicherheitsbaselines in Intune.

Hinweis

Im Mai 2023 hat Intune mit dem Rollout eines neuen Sicherheitsbaselineformats begonnen, das für neue Baselinetypen wie Microsoft 365 Apps und für die neueren Versionen vorhandener Baselines wie Microsoft Edge-Baselineversion 112 gilt. Das neue Format aktualisiert die Baselineeinstellungen so, dass der Name und die Konfigurationsoptionen direkt vom Konfigurationsdienstanbieter (Configuration Service Provider, CSP) stammen, der von der Baselineeinstellung verwaltet wird.

Intune hat außerdem einen neuen Prozess eingeführt, mit dem Sie ein vorhandenes Sicherheitsbaselineprofil zur neueren Baselineversion migrieren können. Dieses neue Verhalten ist ein einmaliger Prozess, der das normale Updateverhalten ersetzt, wenn Sie von der neuesten Version eines älteren Profils zu einer neueren Version wechseln, die im Mai 2023 oder höher verfügbar wurde.

Baselineinstanzen, die dieses neue Format verwenden, verfügen auch über eine aktualisierte Berichts- und Überwachungsstruktur, die an anderen Verbesserungen von Berichten ausgerichtet ist, die in diesem Jahr in allen Intune-Featurebereichen eingeführt wurden. Die Berichtsansichtsdetails für das neue Format werden in diesem Artikel getrennt von den ursprünglichen Details für die älteren Baselines vorgestellt. Viele der für die älteren Ansichten besprochenen Konzepte bleiben relevant.

Überwachen der Baseline und Ihrer Geräte

Tipp

Die folgenden Informationen gelten für Profilversionen, die im Mai 2023 oder höher veröffentlicht wurden. Informationen zu Profilversionen, die vor Mai 2023 veröffentlicht wurden, finden Sie unter Überwachen von Profilen für Baselineversionen, die vor Mai 2023 veröffentlicht wurden, weiter unten in diesem Artikel.

Wenn Sie ein sicherheitsbaseline-Profil auswählen, das Sie bereitgestellt haben, können Sie Einblicke in den Sicherheitsstatus von Geräten erhalten, die diese Baseline erhalten haben. Um diese Erkenntnisse anzuzeigen, melden Sie sich beim Microsoft Intune Admin Center an, wechseln Sie zuEndpunktsicherheitsbaselines>, und wählen Sie einen Sicherheitsbaselinetyp wie microsoft 365 Apps for Enterprise Security Baseline aus. Wählen Sie dann im Bereich Profile die Profilinstanz aus, für die Sie Details anzeigen möchten, um die Dashboardansicht für Profile zu öffnen.

Zeigen Sie das Dashboard für ein Sicherheitsbaselineprofil an.

Diese Dashboardansicht enthält Folgendes:

  • Eine allgemeine Zusammenfassung des Standardberichts , Geräte- und Benutzer-Check-in-Status.
  • Eine Berichtsansichtsoption , in der Sie weitere Details anzeigen können.
  • Zwei zusätzliche Berichtskacheln:
    • Gerätezuweisungsstatus
    • Status pro Einstellung
  • Eine Eigenschaftenliste , in der Sie die Konfiguration der Sicherheitsbaseline überprüfen und bearbeiten können.

Überblickansicht

Diese Zusammenfassung ist ein einfaches Diagramm, das die Anzahl der Geräte darstellt, die ein bestimmtes Statusergebnis für die Baseline melden. Der horizontale Balken ist in Farben aus den verfügbaren Kategorien im Verhältnis zur Anzahl der Geräte in jeder Kategorie unterteilt. In der vorherigen Bildschirmaufnahme hat ein einzelnes Gerät die Richtlinie verarbeitet und einen Erfolg gemeldet. Daher ist der Darstellungsbalken vollständig grün.

Bericht anzeigen

Wenn Sie die Schaltfläche Bericht anzeigen auswählen, zeigt Intune eine ausführlichere Ansicht des Status des Geräte- und Benutzer-Check-ins für diese Baselineinstanzen an. Wenn Sie den Bericht zum ersten Mal öffnen, ist er leer, bis Sie Bericht generieren auswählen, danach werden Informationen angezeigt.

Zeigen Sie die Berichtsdetails für den Check-In-Status des Geräts und des Benutzers an.

In der obigen Abbildung werden die anfänglichen Ergebnisse des Berichts anzeigen für dieselbe Baseline aus der Dashboardansicht angezeigt. Diese Ansicht zeigt, dass es zwei weitere Geräte gibt, die den ZuweisungsstatusAusstehend haben, was bedeutet, dass sie den Status für diese Baseline noch nicht zurückgegeben haben.

Sie können diese Berichtsansicht nach bestimmten Zuweisungsstatuswerten filtern und erneut Generieren auswählen, um die sichtbaren Ergebnisse zu aktualisieren. Sie können auch jede der verfügbaren Spalten sortieren.

Wenn Sie den Namen eines Geräts in der Spalte Gerätename auswählen, zeigt Intune die Ansicht Profileinstellungen an , in der Sie die Gerätestatusergebnisse für jede Einstellung in der Sicherheitsbaseline anzeigen können. Als Nächstes können Sie auf der Seite Profileinstellungen eine Einstellung auswählen, um weitere Details anzuzeigen. Dies ist nützlich, wenn ein Gerät ein Ergebnis für eine andere Einstellung als Erfolgreich meldet.

In der folgenden Abbildung untersuchen wir EAGLE003, das einzige Gerät, auf dem der Erfolg für die Baseline angezeigt wird, und haben dann die Einstellung Add-On-Verwaltung ausgewählt:

Zeigen Sie den gemeldeten Status eines Geräts für jede Einstellung in der Baseline an.

Im Bereich Einstellungsdetails wird jedes Profil angezeigt, das diesem Gerät zugewiesen ist und die gleiche Einstellung ebenfalls konfiguriert.

Für dieses Gerät gibt es nur ein Quellprofil, das die Add-On-Verwaltungseinstellung verwaltet. Wenn es andere Profile gibt, die diese Einstellung konfiguriert haben, werden diese Profile auch als Quellprofil aufgeführt.

Wenn diese Einstellung in Konflikt steht, kann diese Ansicht Ihnen helfen, die anderen Profile zu identifizieren, sodass Sie dann eine konsistente Konfiguration oder spätere Baselineprofilzuweisungen abstimmen können, um den Konflikt zu beheben.

Bericht zum Gerätezuweisungsstatus

Wählen Sie die Kachel Gerätezuweisungsstatus aus, um diesen Bericht anzuzeigen. In diesem Bericht:

  • Die Ergebnisse sind eine Liste von Geräten, ähnlich dem Statusbericht Geräte- und Benutzereincheckstatus .
  • Wenn Sie auf dieser Seite ein Gerät auswählen, wird die Ansicht Profileinstellungen des Geräts geöffnet. Dabei handelt es sich um dieselbe Ansicht, die Sie im Hauptberichtsdriller anzeigen sehen können, auf den Sie über die Schaltfläche Bericht anzeigen zugreifen. Geräte mit dem Zuweisungsstatus "Ausstehend" haben jedoch keine Ergebnisse, die angezeigt werden müssen.
  • Wenn Sie in dieser Ansicht eine Einstellung auswählen, wird der Bereich Einstellungsdetails geöffnet, genau wie beim Hauptberichts-Drill in.

Statusbericht pro Einstellung

Wählen Sie die Kachel Pro Einstellungsstatus aus, um diesen Bericht anzuzeigen. Dieser Bericht zeigt eine Liste der Einstellungen im Profil und für jeden die Anzahl der Ergebnisse von Geräten für jeden Status an, z. B. wie viele Geräte Erfolg, Fehler oder Konflikt melden.

Diese Ansicht unterstützt keine Drill-Ins. Stattdessen können Sie die anderen Berichte und Anzeigen verwenden, um Einstellungen zu verfolgen, die sich in Einem Fehler oder Konflikt befinden. Wenn Sie z. B. weitere Informationen zu Geräten finden möchten, die möglicherweise einen Fehler oder Konflikt gemeldet haben, können Sie dann die Kachel Gerätezuweisungsstatus öffnen und für diesen Bericht den Berichtsstatus so festlegen, dass nur der Von Ihnen untersuchte Status angezeigt wird. Anschließend können Sie mit diesem Bericht einen Drilldown durchführen, um die relevanten Details auszuführen.

Eigenschaften

Unterhalb des Berichtsabschnitts des Dashboards finden Sie die Ansicht Eigenschaften der Profile. Über Eigenschaften haben Sie folgende Möglichkeiten:

  • Zeigen Sie die Konfiguration jeder Seite des Profils an.
  • Bearbeiten Sie die Profilkonfiguration, z. B. den Anzeigenamen, den Sie dem Profil gegeben haben, die zugehörigen Zuweisungen und alle Profileinstellungen.

Zeigen Sie die Baselinekonfiguration an, in der Sie Änderungen vornehmen können.

Überwachen von Profilen für Baselineversionen, die vor Mai 2023 veröffentlicht wurden

Tipp

Die folgenden Informationen gelten für Profilversionen, die vor Mai 2023 veröffentlicht wurden. Informationen zu Profilversionen, die nach Mai 2023 veröffentlicht wurden, finden Sie weiter oben in diesem Artikel unter Überwachen der Baseline und Ihrer Geräte.

Wenn Sie eine Baseline überwachen, erhalten Sie basierend auf den Empfehlungen von Microsoft Einblicke in den Sicherheitsstatus Ihrer Geräte. Um diese Erkenntnisse anzuzeigen, melden Sie sich beim Microsoft Intune Admin Center an, wechseln Sie zuEndpunktsicherheits-Sicherheitsbaselines>, und wählen Sie einen Sicherheitsbaselinetyp wie sicherheitsbaseline für Windows 10 und höher aus. Wählen Sie dann im Bereich Versionen die Profilinstanz aus, für die Sie Details anzeigen möchten, um deren Übersicht zu öffnen.

Im Bereich Übersicht werden zwei Statusansichten für die ausgewählte Baseline angezeigt:

  • Status der Sicherheitsbaselines: Dieses Diagramm stellt allgemeine Details zum Gerätestatus für die Baselineversion dar. Diese Details sind verfügbar:

    • Entspricht der Standardbaseline: Dieser Status gibt an, ob eine Gerätekonfiguration mit der unveränderten Standardkonfiguration für die Baseline übereinstimmt.
    • Entspricht benutzerdefinierten Einstellungen: Dieser Status gibt an, ob eine Gerätekonfiguration mit der von Ihnen bereitgestellten, angepassten Version der Baseline übereinstimmt.
    • Falsch konfigurierte: Dieser Status stellt einen Rollup mit drei Statusbedingungen von einem Gerät dar: Fehler, Ausstehend oder Konflikt. Diese separaten Statuswerte sind in anderen Ansichten wie Sicherheitsbaselinestatus nach Kategorie verfügbar – eine Listenansicht, die unter diesem Diagramm angezeigt wird.
    • Nicht anwendbar: Dieser Status gibt an, dass ein Gerät die Richtlinie nicht empfangen kann. Das kann zum Beispiel der Fall sein, wenn die Richtlinie eine Einstellung für die aktuelle Windows-Version aktualisiert, auf dem Gerät jedoch eine frühere Version ausgeführt wird, diese Einstellung nicht unterstützt.

  • Sicherheitsbaselinestatus nach Kategorie: Diese Listenansicht zeigt den Gerätestatus nach Kategorie an. Sie enthält die gleichen Details wie das Diagramm Status der Sicherheitsbaselines. Anstelle von Misconfigured gibt es jedoch drei Spalten für die Statuszustände, aus denen Falsch konfiguriert besteht:

    • Fehler: Die Richtlinie konnte nicht angewendet werden. Diese Meldung wird in der Regel mit einem Fehlercode angezeigt, der auf eine Erklärung verweist.
    • Konflikt: Auf dasselbe Gerät werden zwei Einstellungen angewendet, und Intune kann den Konflikt nicht lösen. Ein Administrator sollte das überprüfen.
    • Ausstehend: Das Gerät wurde noch nicht bei Intune eingecheckt, um die Richtlinie zu erhalten.

Wenn Sie die beiden vorherigen Ansichten aufrufen, können Sie folgende Details zu den Listenansichten für den Einstellungsstatus und den Gerätestatus anzeigen:

  • Erfolgreich: Die Richtlinie wird angewendet.
  • Fehler: Die Richtlinie konnte nicht angewendet werden. Diese Meldung wird in der Regel mit einem Fehlercode angezeigt, der auf eine Erklärung verweist.
  • Konflikt: Auf dasselbe Gerät werden zwei Einstellungen angewendet, und Intune kann den Konflikt nicht lösen. Ein Administrator sollte das überprüfen.
  • Ausstehend: Das Gerät wurde noch nicht bei Intune eingecheckt, um die Richtlinie zu erhalten.
  • Nicht anwendbar: Das Gerät kann die Richtlinie nicht empfangen. Das kann zum Beispiel der Fall sein, wenn die Richtlinie eine Einstellung für die aktuelle Windows-Version aktualisiert, auf dem Gerät jedoch eine frühere Version ausgeführt wird, diese Einstellung nicht unterstützt.

In der Ansicht Version können Sie die Option Gerätestatus auswählen. In der Ansicht „Gerätestatus“ wird eine Liste der Geräte angezeigt, die diese Baseline empfangen. Sie enthält folgende Details:

  • BENUTZERPRINZIPALNAME: Hier wird das Benutzerprofil angezeigt, das der Baseline auf dem Gerät zugeordnet ist.
  • STATUS DER SICHERHEITSBASELINES: Diese Spalte zeigt drei Gerätestatuswerte an:
    • Erfolgreich: Die Richtlinie wird angewendet.
    • Fehler: Die Richtlinie konnte nicht angewendet werden. Diese Meldung wird in der Regel mit einem Fehlercode angezeigt, der auf eine Erklärung verweist.
    • Konflikt: Auf dasselbe Gerät werden zwei Einstellungen angewendet, und Intune kann den Konflikt nicht lösen. Ein Administrator sollte das überprüfen.
    • Ausstehend: Das Gerät wurde noch nicht bei Intune eingecheckt, um die Richtlinie zu erhalten.
    • Nicht anwendbar: Das Gerät kann die Richtlinie nicht empfangen. Das kann zum Beispiel der Fall sein, wenn die Richtlinie eine Einstellung für die aktuelle Windows-Version aktualisiert, auf dem Gerät jedoch eine frühere Version ausgeführt wird, diese Einstellung nicht unterstützt.
  • Letztes Einchecken: Diese Option gibt an, wann der Status zuletzt vom Gerät empfangen wurde.

Tipp

Im Anschluss an die Zuweisung einer Baseline dauert es 24 Stunden, bis die Daten angezeigt werden. Änderungen, die danach vorgenommen werden, werden innerhalb von sechs Stunden angezeigt.

Überwachen des Profils

Das Überwachen des Profils bietet einen Einblick in den Bereitstellungsstatus Ihrer Geräte, aber nicht in den Sicherheitsstatus gemäß der Baselineempfehlungen.

  1. Wählen Sie in Intune Endpunktsicherheitsbaselines> aus, wählen Sie einen Sicherheitsbaselinetyp wie sicherheitsbaseline für Windows 10 aus, undwählen Siespäter > eine Instanz dieserBaselineeigenschaften> aus.

  2. Erweitern Sie unter Eigenschaften der Baseline die Option Einstellungen , um einen Drilldown auszuführen, und zeigen Sie alle Einstellungskategorien und einzelnen Einstellungen in der Baseline an, einschließlich ihrer Konfiguration für diese Instanz der Baseline.

    Screenshot: Ansicht „Einstellungen“

  3. Verwenden Sie die Überwachungsoptionen, um den Bereitstellungsstatus des Profils auf einzelnen Geräten, den Status für jeden Benutzer und den Status für jede Einstellung in der Baseline anzuzeigen:

    Anzeigen der verschiedenen Überwachungsoptionen für ein Sicherheitsbaselineprofil

Beheben von Konflikten bei Sicherheitsbaselines

Zeigen Sie den Bericht „Gerätekonfiguration an, um Konflikte oder Fehler bei Einstellungen in Ihren Sicherheitsbaselineprofilen oder Endpunktsicherheitsrichtlinien zu beheben. Mithilfe dieser Berichtsansicht können Sie ermitteln, welche Profile und Richtlinien Einstellungen enthalten, die zum Status „Konflikt“ oder „Fehler“ führen.

Sie können auch Informationen zu Einstellungen in Konflikt oder Fehler über zwei Pfade im Microsoft Intune Admin Center abrufen:

  • Endpunktsicherheit>Sicherheitsbaselines>Auswählen eines Baselinetyps>Profile>Auswählen einer Baselineinstanz>Gerätestatus.
  • Geräte>Alle Geräte>Gerät auswählen>Gerätekonfiguration>Richtlinie auswählen>Einstellung aus der Liste der Einstellungen auswählen, die einen Konflikt oder Fehler anzeigt.

Anzeigen von Details zum Ermitteln und Beheben von Konflikten

  1. Im Bericht „Gerätekonfiguration für ein Gerät können Sie auf eine Richtlinie klicken, um mehr Details anzuzeigen und das Problem zu untersuchen, das zu einem Konflikt oder Fehler führt.

    Dadurch zeigt Intune eine Liste der Einstellungen für diese Richtlinie an, einschließlich aller Einstellungen, die nicht auf Nicht konfiguriert festgelegt wurden, sowie deren Status.

  2. Wenn Sie weitere Details zu einer bestimmten Einstellung anzeigen möchten, klicken Sie auf diese, um den Bereich Einstellungsdetails zu öffnen. In diesem Bereich können Sie Folgendes anzeigen:

    • Einstellung: der Name der Einstellung
    • Status: der Status der Einstellung auf dem Gerät
    • Quellprofil: eine Liste der in Konflikt stehenden Profile, die die gleiche Einstellung konfigurieren, aber andere Werte aufweisen.

  3. Wählen Sie einen Eintrag aus der Liste Quellprofil aus, um die Übersicht für dieses Profil zu öffnen und in Konflikt stehende Profile neu zu konfigurieren. Über die Eigenschaften eines Profils können Sie Einstellungen in diesem Profil überprüfen und bearbeiten, um den Konflikt zu beseitigen.

Anzeigen von für ein Gerät geltenden Profileinstellungen

Sie können ein Profil für eine Sicherheitsbaseline auswählen und einen Drilldown ausführen, um eine Liste der Einstellungen aus diesem Profil anzuzeigen, die für ein einzelnes Gerät gelten. So führen Sie einen Drilldown durch:

  • Endpunktsicherheit>Alle Geräte>Auswählen eines Geräts> Die Gerätekonfiguration >wählt eine Baselinerichtlinieninstanz aus.

Nachdem Sie einen Drilldown ausgeführt haben, wird im Admin Center eine Liste der Einstellungen aus diesem Profil mit dem jeweiligen Einstellungsstatus angezeigt. Mögliche Statusangaben:

  • Erfolg: Die Einstellung auf dem Gerät entspricht dem Wert, der im Profil konfiguriert wurde. Dies ist entweder der standardmäßige und empfohlene Wert der Baseline oder ein benutzerdefinierter Wert, der bei der Konfiguration des Profils von einem Administrator angegeben wurde.
  • Konflikt: Die Einstellung steht in Konflikt mit einer anderen Richtlinie, weist einen Fehler auf, oder es steht ein Update aus.
  • Fehler: Die Einstellung konnte nicht angewendet werden.

Problembehandlung bei der Verwendung von Status pro Einstellung

Sie haben eine Sicherheitsbaseline bereitgestellt, aber der Bereitstellungsstatus zeigt einen Fehler an. Die folgenden Schritte bieten Ihnen eine Anleitung zur Problembehandlung.

  1. Wählen Sie in Intune Die OptionEndpunktsicherheitsbaselines> Auswählen eines Baselineprofils>> aus.

  2. Wählen Sie unter Status "Pro Einstellung überwachen>" ein Profil> aus.

  3. Die Tabelle enthält alle Einstellungen und den Status jeder Einstellung. Wählen Sie die Spalte Fehler oder Konflikt aus, um die Einstellung anzuzeigen, die Ursache des Fehlers ist.

MDM-Diagnoseinformationen

Jetzt kennen Sie die problematische Einstellung. Der nächste Schritt ist, herauszufinden, warum diese Einstellung einen Fehler oder Konflikt verursacht.

Auf Windows 10/11-Geräten gibt es einen integrierten MDM-Diagnoseinformationsbericht. Dieser Bericht enthält Standardwerte, aktuelle Werte, listet die Richtlinie auf, zeigt an, ob sie für das Gerät oder den Benutzer bereitgestellt wird, und vieles mehr. Verwenden Sie diesen Bericht, um zu ermitteln, warum die Einstellung einen Konflikt oder Fehler verursacht hat.

  1. Navigieren Sie auf dem Gerät zu Einstellungen>Konten>Zugriff auf Geschäfts-, Schul- oder Unikonto.

  2. Wählen Sie das Konto >Info>Erweiterter Diagnosebericht>Bericht erstellen aus.

  3. Wählen Sie Exportieren aus, und öffnen Sie die generierte Datei.

  4. Suchen Sie in den verschiedenen Abschnitten des Berichts nach der Fehler- oder Konflikteinstellung.

Schauen Sie z.B. in den Abschnitt Registrierte Konfigurationsquellen und Zielressourcen oder Nicht verwaltete Richtlinien. Möglicherweise erhalten Sie eine Vorstellung davon, warum dies einen Fehler oder Konflikt verursacht.

Diagnostizieren von MDM-Fehlern in Windows 10 enthält weitere Informationen zu diesen integrierten Bericht.

Tipp

  • Einige Einstellungen werden auch in der GUID aufgelistet. Sie können für diese GUID in der lokalen Registrierung (Regedit) nach festgelegten Werten suchen.
  • Die Protokolle der Ereignisanzeige können auch einige Fehlerinformationen zu der problematischen Einstellung enthalten (Ereignisanzeige>Anwendungs- und Dienstprotokolle>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider>Admin ).

Nächste Schritte