使用基准确保 Windows 桌面设备的安全。Workspace ONE UEM 将行业推荐的设置纳入一个配置中,从而简化设备的安全保护。

按照最佳做法配置您的设备是一个非常耗时的过程。Workspace ONE UEM 将最佳实践和行业推荐的设置整合到名为基准的配置中。这些配置可显著减少设置和配置 Windows 设备所需的时间。

云端微服务

基准 使用云端的微服务来处理策略目录。如果您是内部部署客户,请确保您的环境可以与该微服务进行通信。

基准需要与设备服务建立持续连接

使用基准的所有已注册 Windows 桌面设备都要求与 Workspace ONE UEM 设备服务 (DS) 服务器的连接不能中断。设备需要这种持续连接,基准状态才能保持最新状态。

如果您使用代理设置或具有某些防火墙设置,这些配置可能会中断 Windows 10 设备与 DS 服务器之间的连接。例如,如果设备使用 VPN 或受限网络访问资源,则此设置会中断与 DS 服务器的连接。这些设备上的基准存在过期风险。

基准 类型

  • 自定义 - 如果已有组策略对象 (GPO) 备份文件,则可使用这些策略创建自定义基准。创建自定义基准时,您可以将其他策略添加到现有 GPO。
  • CIS Windows 10 基准 - 此基准会应用 CIS 基准推荐的配置设置。为确保基准仅使用最佳设置和配置,VMware 已通过 CIS(Internet 安全中心)认证,可提供行业热门基准(如适用于 Windows 10 的 CIS 基准)。
  • Windows 10 安全基准 - 此基准会应用 Microsoft 推荐的配置设置。

基准 基于您的设备的 Windows 操作系统版本。稍后可以在编辑时更改任何基准的操作系统版本。在配置过程中,您可以选择要使用的基准并自定义任何基准策略。您还可以在配置过程中添加所需的任何其他策略。这些策略是 Microsoft ADMX 策略。

分配基准后会发生什么?

Workspace ONE UEM 中注册设备后,您可以将设备添加到某个智能组,并为该组分配一个基准。设备重新启动后,设备将接收并应用基准中的所有设置和配置。设备会在发布基准时按照定义的签入间隔检查基准配置。将基准推送到设备时,Workspace ONE UEM 会存储设备设置的快照。您可以使用分配对话框的排除选项卡限制基准的分配。您可以指定要从分配中排除的智能组。

基准管理

您可以从基准列表视图管理基准。您可以在此处编辑和删除现有基准。如果删除已推送到设备的基准,则设备设置将恢复为根据 Workspace ONE UEM 存储的快照发布基准之前的设置。

您可以在设备详细信息页面中查看对设备应用了哪些基准。

基准合规状态

确保您的设备遵循含基准合规状态的基准。从 基准详细信息页面查看,基准合规状态显示设备何时合规、处于中间、不合规或不可用。基准合规状态仅适用于使用 UI 创建的基准。
注: 无法查看使用 ZIP 软件包创建的自定义基准的合规状态。

中间设备 85% 到 99% 合规。使用此值可查看设备何时不合规。不可用状态表示 Workspace ONE UEM console 没有设备的合规性示例。只需打开基准并再次发布,即可强制创建一个示例。