创建基准,用于将设备配置为行业建议的设置和配置。Workspace ONE UEM 根据行业热门标准(包括 CIS 基准和 Microsoft 的 Windows 10 安全基准)来调整 基准

前提条件

基准要求设备在 Workspace ONE UEM 中注册并安装 Workspace ONE Intelligent Hub

如果要发布自定义基准,则必须将 LGPO.exe 添加到要向其分配基准的所有设备。您必须在 C:\ProgramData\Airwatch\LGPO\LGPO.exe 中安装 EXE。如果您使用的是 CIS 基准或 Windows 10 安全基准,则无需添加此文件。

过程

  1. 导航到设备 > 配置文件与资源 > 基准并选择新建
  2. 输入基准名称描述,然后选择管理基准的智能组。然后选择下一步
  3. 选择基准:
    设置 说明
    CIS Windows 10 基准 此基准应用 CIS 基准推荐的配置设置。

    选择要应用的操作系统版本和基准级别。

    Windows 10 安全基准 此基准应用 Microsoft 推荐的配置设置。

    选择要应用的操作系统版本和基准级别。

    自定义基准 上载具有 GPO 备份的 ZIP 文件。您必须在 Workspace ONE UEM 外部创建此基准。备份必须小于 5MB 且至少具有一个 GPO 文件夹。
  4. 选择下一步
  5. 根据需要自定义基准。您可以更改在基准中配置的任何现有 ADMX 策略。
    根据 GPO 基准创建自定义基准时,无法自定义现有 ADMX 策略。

    在创建用户权限 ADMX 策略时,请务必使用 SID。有关更多信息,请参阅https://support.microsoft.com/en-us/help/243330/well-known-security-identifiers-in-windows-operating-systems

  6. 选择下一步
  7. 将任何其他策略添加到基准。这些策略来自 Microsoft ADMX 文件。搜索任何策略以添加并配置策略。
  8. 选择下一步
  9. 查看摘要,然后选择保存并分配。摘要包含任何自定义或添加的策略。
  10. 在分配过程中,请输入包含要为其分配基准的 Windows 10 设备的智能组。您可以使用排除标签页重新定义获取基准的设备。输入要从分配中排除的智能组。
    排除将覆盖分配。如果设备位于排除的智能组中,则该设备不会收到基准。如果该设备已具有先前分配中的基准,则将从设备中移除该基准。

结果

Workspace ONE UEM 会将基准分配给智能组中的所有设备(排除的智能组中的设备除外)。

后续步骤

您必须重新启动设备才能使基准生效。