Freigeben über


Verwalten von Sicherheitsbaselineprofilen in Microsoft Intune

Um Ihre Benutzer und Windows-Geräte zu schützen, können Sie unterschiedliche Instanzen von Microsoft Intune-Sicherheitsbaselineprofilen konfigurieren und für verschiedene Gruppen von Windows-Geräten und -Benutzern bereitstellen. Es gibt unterschiedliche Baselines für verschiedene Produkte, und jede ist eine Gruppe von vorkonfigurierten Einstellungen, die den empfohlenen Sicherheitsstatus dieses Produktsicherheitsteams darstellen. Sie können eine (unveränderte) Standardbaseline bereitstellen oder Ihre Profile anpassen, um Geräte mit den Einstellungen zu konfigurieren, die Ihre Organisation benötigt.

Eine Liste der verfügbaren Sicherheitsbaselines finden Sie unter Übersicht über Sicherheitsbaselines.

Diese Funktion gilt für:

  • Windows 10, Version 1809 und höher
  • Windows 11

Übersicht über Sicherheitsbaselines

Wenn Sie in Intune ein Sicherheitsbaselineprofil erstellen, erstellen Sie damit eine Vorlage, die aus mehreren Einstellungen für die Gerätekonfiguration besteht.

Wenn mehrere Versionen für eine Sicherheitsbaseline vorhanden sind, kann nur die neueste Version verwendet werden, um eine neue Instanz dieser Baseline zu erstellen. Sie können weiterhin Instanzen älterer Baselines verwenden, die Sie zuvor erstellt haben, und die Gruppen bearbeiten, denen sie zugewiesen sind. Veraltete Versionen unterstützen jedoch keine Änderungen an ihren Einstellungskonfigurationen. Erstellen Sie stattdessen neue Baselines, die die neueste Baselineversion verwenden, oder aktualisieren Sie Ihre älteren Baselines auf diese neueste Version, wenn Sie neue Konfigurationen für Einstellungen einführen müssen.

Es wird empfohlen, ältere Baselineversionen auf die neueste Version zu aktualisieren, sobald dies praktisch ist. Eine neuere Version kann:

  • Schließen Sie neue Einstellungen ein, die in den älteren Versionen nicht verfügbar waren.
  • Alte Einstellungen, die nicht mehr unterstützt werden, werden außer Kraft gesetzt und entfernt.
  • Ändern Sie die Standardkonfiguration für Einstellungen so, dass sie den aktuellen Sicherheitsempfehlungen für das entsprechende Produkt entspricht.

Zu den üblichen Aufgaben beim Arbeiten mit Sicherheitsbaselines gehören:

Voraussetzungen

  • Die Verwendung von Intune zum Bereitstellen von Sicherheitsbaselines erfordert ein Microsoft Intune Plan 1-Abonnement.

    Tipp

    Intune bietet eine benutzerfreundliche Benutzeroberfläche zum Konfigurieren und Bereitstellen von Sicherheitsbaselines, erstellt aber keine Sicherheitsbaselines. Außerhalb von Intune sind andere Optionen zum Bereitstellen von Sicherheitsbaselines verfügbar, z. B. die optionen im Security Compliance Toolkit.

  • Die Verwendung von Baselines über Intune erfordert, dass Sie über ein aktives Abonnement für das verwaltete Produkt verfügen, falls zutreffend. Beispielsweise gewährt die Verwendung der Microsoft Defender für Endpunkt-Baseline keine Rechte für die Verwendung von Microsoft Defender. Stattdessen bietet die Baseline eine Methode zum Konfigurieren und Verwalten von Einstellungen, die auf Geräten vorhanden sind, die für Microsoft Defender für Endpunkt lizenziert und verwaltet werden.

  • Wenn Sie Baselines in Intune verwalten möchten, muss Ihr Konto über die integrierte Rolle Richtlinien- und Profilmanager verfügen.

Erstellen eines Profils für eine Sicherheitsbaseline

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Klicken Sie auf Endpunktsicherheit>Sicherheitsbaselines, um die Liste der verfügbaren Baselines abzurufen.

    Auswählen einer Sicherheitsbaseline zum Konfigurieren

  3. Wählen Sie die Baseline, die Sie verwenden möchten, und dann Profil erstellen aus.

  4. Geben Sie auf der Registerkarte Grundlagen die folgenden Eigenschaften an:

    • Name: Geben Sie einen Namen für Ihr Sicherheitsbaselineprofil ein. Geben Sie beispielsweise Standardprofil für Defender für Endpunkt ein.

    • Beschreibung: Geben Sie Text ein, der die Funktionsweise dieser Baseline beschreibt. Sie können einen beliebigen Text als Beschreibung eingeben. Dies ist optional, wird jedoch empfohlen.

    Wählen Sie Weiter aus, um zur nächsten Registerkarte zu wechseln. Nachdem Sie zu einer neuen Registerkarte wechseln, können Sie den Namen der Registerkarte auswählen, um zu einer zuvor angezeigten Registerkarte zurückzukehren.

  5. Zeigen Sie auf der Registerkarte "Konfigurationseinstellungen" die Gruppen von Einstellungen an, die in der von Ihnen ausgewählten Baseline verfügbar sind. Sie können eine Gruppe aufklappen, um die Einstellungen in dieser Gruppe und die Standardwerte für diese Einstellungen in der Baseline anzuzeigen. So finden Sie bestimmte Einstellungen

    • Wählen Sie eine Gruppe aus, um die verfügbaren Einstellungen aufzuklappen und zu überprüfen.
    • Die Erkenntnisse für eine Einstellung sind neben einem Glühbirnensymbol verfügbar. Einstellungserkenntnisse bieten Vertrauen in Konfigurationen, indem Erkenntnisse hinzugefügt werden, die von ähnlichen Organisationen erfolgreich übernommen wurden. Erkenntnisse sind für einige Einstellungen und nicht für alle Einstellungen verfügbar. Weitere Informationen finden Sie unter Einstellungserkenntnisse.
    • Geben Sie Stichwörter in die Suchleiste an, um die Ansicht so zu filtern, dass nur die Gruppen angezeigt werden, die Ihren Suchkriterien entsprechen.

    Jede Einstellung in einer Baseline verfügt über eine Standardkonfigurationsvoreinstellung für diese Baselineversion. Einige werden nicht konfiguriert, während andere so festgelegt sind, dass bestimmte Werte oder Bedingungen auf einem Gerät konfiguriert werden. Die Standardvoreinstellungen in einer Baseline stellen den empfohlenen Sicherheitsstatus dieses Produktsicherheitsteams dar. Beim Konfigurieren einer Baseline:

    • Überprüfen Sie unbedingt jede Einstellung, und konfigurieren Sie bei Bedarf eine Standardvoreinstellung neu, wenn Ihr Unternehmen eine andere Konfiguration erfordert.
    • Beachten Sie, dass verschiedene Baselinetypen und -versionen Einstellungen enthalten können, die in anderen Baselines zu finden sind, und jeder kann einen anderen Standardwert für eine Einstellung empfehlen.

    Erweitern einer Gruppe, um die Einstellungen dafür anzuzeigen

  6. Wählen Sie auf der Registerkarte Bereichstags den Befehl Bereichstags auswählen aus, um den Bereich Tags auswählen zu öffnen, in dem Sie dem Profil Bereichstags zuweisen.

  7. Wählen Sie auf der Registerkarte Zuweisungen die Option Einzuschließende Gruppen auswählen aus, und weisen Sie die Baseline einer oder mehreren Gruppen zu. Wählen Sie Auszuschließende Gruppen auswählen, um die Zuweisung anzupassen.

    Hinweis

    Sicherheitsbaselines müssen entweder Benutzergruppen oder Gerätegruppen zugewiesen werden, basierend auf dem Umfang der verwendeten Einstellungen. Aus diesem Grund sind beim Zuweisen von benutzer- und gerätebasierten Einstellungen möglicherweise mehrere Baselines erforderlich.

    Zuweisen eines Profils

  8. Wenn Sie die Baseline bereitstellen möchten, wechseln Sie zur Registerkarte Überprüfen + erstellen, um die Details der Baseline zu überprüfen. Klicken Sie auf Erstellen, um das Profil zu speichern und bereitzustellen.

    Sobald Sie das Profil erstellen, pusht Intune es an die zugewiesene Gruppe, die es sofort anwendet.

    Tipp

    Wenn Sie ein Profil speichern, ohne es zuvor Gruppen zuzuweisen, können Sie es später bearbeiten.

    Überprüfen der Baseline

  9. Nachdem Sie ein Profil erstellt haben, können Sie es bearbeiten, indem Sie zu Endpunktsicherheit>Sicherheitsbaselines wechseln, den konfigurierten Baselinetyp auswählen und auf Profile klicken. Wählen Sie das Profil in der Liste der verfügbaren Profile aus, und klicken Sie dann auf Eigenschaften. Sie können Einstellungen auf allen verfügbaren Konfigurationsregisterkarten bearbeiten und auf Überprüfen + speichern klicken, um Ihre Änderungen zu übernehmen.

Aktualisieren eines Profils auf die neueste Version

Die Informationen in diesem Abschnitt gelten für das Aktualisieren einer Baselineinstanz, die vor Mai 2023 erstellt wurde, auf eine Version derselben Baseline, die nach Mai 2023 veröffentlicht wurde.

Hinweis

Im Mai 2023 hat Intune mit dem Rollout eines neuen Sicherheitsbaselineformats für jedes neue Baselinerelease oder Update begonnen. Intune hat außerdem einen neuen Updateprozess für die Migration eines vorhandenen Sicherheitsbaselineprofils zu einer neu veröffentlichten Sicherheitsbaseline eingeführt. Dieses neue Verhalten ersetzt vorhandenes Verhalten beim Umstieg auf eine Im Mai 2023 oder höher veröffentlichte Baselineversion.

Das vorherige Verhalten kann weiterhin verwendet werden, wenn Baselines aktualisiert werden, die noch keine neue Version erhalten haben, die das neue Format verwendet. Eine Anleitung finden Sie unter Aktualisieren von Baselines, die das vorherige Format verwenden.

Nach Mai 2023, wenn eine neue Version für eine Baseline veröffentlicht wird, planen Sie, Ihre vorhandenen Profile auf die neue Version zu aktualisieren. Beim Wechsel von einem älteren Format auf das neue Baselineformat (von einer Version, die vor Mai 2023 veröffentlicht wurde, zu einer Version, die im Mai 2023 oder höher veröffentlicht wurde):

  • Alle neuen Profile für den Baselinetyp, z. B. Microsoft Edge, verwenden das neue Format. Das Erstellen einer neuen Baseline, die eine ältere Baselineversion verwendet, wird nicht unterstützt.

  • Baselineversionen, die vor Mai 2023 veröffentlicht wurden, führen kein Upgrade auf das neue Format durch. Erstellen Sie stattdessen ein neues Profil, das das neue Format verwendet, und konfigurieren Sie die Einstellungen aus der alten Baseline in diesem neuen Baselineformat. Die Neuerstellung des Profils ist ein einmaliger Prozess, der erforderlich ist, um eine Baseline vom alten Format in das neue Baselineformat zu verschieben.

    Um Sie bei diesem Prozess zu unterstützen, kann Intune das alte Profil in ein CSV-Format exportieren, das jede Einstellung basierend auf dem Namen der Einstellung identifiziert, wie sie in der neuen Profilversion angezeigt wird, zusammen mit ihrer Konfiguration.

  • Nachdem Sie eine neue Baseline erstellt haben, die Ihre ältere Baselineversion ersetzen kann, bleibt das ältere Profil unverändert, und Sie können es weiterhin verwenden. Sie können die Einstellungen weiterhin im älteren Baselineformat bereitstellen, neu zuweisen und bearbeiten.

    Tipp

    Die Unterstützung zum Bearbeiten von Einstellungen in einer älteren Baselineversion nach dem Aktualisieren auf eine neue Version ist eine Änderung des bisherigen Verhaltens. Dieses Verhalten ist nur möglich, wenn Sie von Baselineversionen, die vor Mai 2023 erstellt wurden, zu Versionen wechseln, die im Mai 2023 oder höher erstellt wurden, da das neue Baselineformat parallel zum älteren Baselineformat vorhanden ist, anstatt es zu ersetzen. Wenn Sie eine Baselineinstanz, die im Mai 2023 oder höher erstellt wurde, später auf eine neuere Version aktualisieren, wird das ursprüngliche Verhalten zurückgegeben, bei dem Sie einstellungen in der älteren Version nicht bearbeiten können.

    Es wird empfohlen, die Verwendung des älteren Formats einzustellen und so bald wie möglich ein Profil basierend auf der neuesten Version bereitzustellen. Die älteren Profile erhalten keine Updates, während die neueren Versionen im Mai 2023 veröffentlicht wurden:

    • Verwenden Sie das neue Einstellungsformat auf der Intune-Benutzeroberfläche, das für jede Einstellung direkt an der Quelle des Konfigurationsdienstanbieters (Configuration Service Provider, CSP) ausgerichtet ist.
    • Sind mit Standardkonfigurationen vorkonfiguriert, die von den relevanten Sicherheitsteams empfohlen werden.

Aktualisieren einer Baseline auf das neue Format

Um eine Baseline, die vor Mai 2023 erstellt wurde, auf das neue Format zu aktualisieren, müssen Sie eine neue Baselineinstanz erstellen. Um Sie bei der Neuerstellung der ursprünglichen Baselinekonfiguration zu unterstützen, können Sie in Intune Ihre aktuelle Baselinekonfiguration als .CSV-Datei exportieren lassen. Der Export umfasst Folgendes:

  • Jede Einstellung aus der älteren Baseline wird anhand des Namens der Einstellung identifiziert, wie er in der neuen Baseline angezeigt wird. Obwohl der Name der Einstellung im .csv nicht wortwörtlich dargestellt wird, können Sie den Pfad für die Einstellung finden, der einen Teil des Einstellungsnamens enthält.
  • Wie jede Einstellung in der älteren Baseline konfiguriert wurde.
  • Wenn die Konfiguration einer Einstellung aus der alten Baseline mit der Standardkonfiguration aus der neuen Baseline übereinstimmt.

Mit den Informationen aus dem Export können Sie die neue Baseline schnell neu konfigurieren, um die gleichen Werte wie die ältere Baselineinstanz zu verwenden.

  1. Melden Sie sich beim Microsoft Intune Admin Center an, und wechseln Sie zuEndpunktsicherheitsbaselines>. Wählen Sie den Baselinetyp aus, und aktivieren Sie dann das Kontrollkästchen für das Baselineprofil (Instanz), das Sie im neuen Baselineformat replizieren > möchten, und wählen Sie dann Version ändern aus. Intune zeigt den Bereich Version ändern an.

    Im folgenden Screenshot haben wir einen Drilldown für die Sicherheitsbaseline für Microsoft Edge durchgeführt. Wir haben zu diesem Zeitpunkt zwei Profile. Eines ist ein neues Profil für Microsoft Edge v112, das andere ist ein älteres Profil aus September 2020. Das ältere Profil zeigt auch ein Pfeilsymbol an, um anzugeben, dass es eine neuere Version gibt, um es zu ersetzen.

    Screenshot: Navigationspfad im Intune Admin Center zum Öffnen des Bereichs

  2. Im Bereich Version ändern finden Sie Anweisungen zum Verschieben der Konfigurationsdetails aus der älteren Baseline in ein Profil, das das neue Format verwendet. Im Bereich werden außerdem der Name und die Version der ausgewählten Baselines sowie die aktuelle Baselineversion angegeben.

    1. Wählen Sie Profileinstellungen exportieren aus, um eine .csv Datei zu erstellen, die die Einstellungen in der ausgewählten Baseline zusammen mit ihren aktuellen Konfigurationen auflistet, wenn sie nicht auf den Standardstandard der Baselines festgelegt sind. Wenn Sie die Option zum Exportieren der Baselinedetails auswählen, bereitet Intune den Export vor und fordert Sie dann auf, den Vorgang fortzusetzen. Wählen Sie Ja aus, um den .CSV Dateiexport herunterzuladen.

    2. Nachdem die Datei heruntergeladen wurde, können Sie sie öffnen, um die aktuelle Konfiguration der älteren Baselines anzuzeigen.

    Der Bereich Version ändern enthält auch eine Schaltfläche zum Erstellen eines neuen Profils für die ausgewählte Baseline, die dieselbe Funktion wie die Option Profil erstellen aufweist, die häufiger zum Erstellen neuer Baselineinstanzen verwendet wird.

    Die folgende Bildschirmaufnahme zeigt einen Export für die Microsoft Edge-Profilversion 85, wie in Microsoft Excel dargestellt. Von den neuen Einstellungen für Microsoft Edge-Baselines 17, die im älteren Profil gefunden wurden, wurde nur eine Einstellung geändert: Die Websiteisolation für jeden Standort aktivieren wurde in der älteren Baseline auf Deaktiviert festgelegt. In der neueren Baseline ist die Einstellung jetzt standardmäßig aktiviert:

    Screenshot, der einen Export des Microsoft Edge-Baselineprofils als .csv-Datei zeigt.

    In der obigen Abbildung gibt es drei Informationsspalten. Die Informationen identifizieren die Einstellungen im alten Profil und die Konfiguration für die einzelnen Einstellungen, die Sie im alten Profil hatten.

    • DefinitionId : In dieser Spalte wird der Registrierungsname der Einstellungen angezeigt. Die Informationen nach dem Unterstrich ( _ ) identifizieren den Einstellungsnamen, wie er im alten Baselineprofil und -format angezeigt wird, jedoch ohne Leerzeichen im Namen. Dieser Wert ist auch der Name der CSP-Einstellung, die von dieser Baselineeinstellung verwaltet wird.

      Beispielsweise wird unsere geänderte Einstellung Websiteisolation für jede Website aktivieren in diesem Export als admx--microsoftedge_SitePerProcess angezeigt. Der letzte Teil, SitePerProcess, hilft bei der Identifizierung der Einstellung.

    • defaultJson : Diese Spalte gibt die Standardkonfiguration für diese Einstellung an, wie im neuen Baselineformat zu sehen. Unsere Beispieleinstellung für den SitePerProcess-CSP ist standardmäßig auf aktiviert festgelegt.

    • customizedJson : In der letzten Spalte wird die Konfiguration jeder Einstellung aus der älteren Profilversion angezeigt. Diese Informationen helfen Ihnen zu verstehen, welche Einstellungen im neuen Profil geändert werden müssen, damit sie mit der Konfiguration der älteren Profile übereinstimmen. Unsere Beispieleinstellung wurde auf deaktiviert festgelegt. Alle anderen Einstellungen zeigen "NotApplicable" an, da sie in der älteren Baselineversion, die wir verwendet haben, nicht von der Standardkonfiguration geändert wurden.

    Möglicherweise beachten Sie, dass das aktualisierte Microsoft Edge-Baselineprofil über mehr als die 17 Einstellungen im älteren Profil verfügt. Der Baselineexport identifiziert diese neuen Einstellungen nicht, da sie in der älteren Baselineversion, die Sie überprüfen, nicht verfügbar waren.

    Wenn Sie später das neue Profil erstellen und konfigurieren, können Sie die Liste aus dem CSV-Export verwenden, um sicherzustellen, dass jede Einstellung aus dem vorherigen Profil im neuen Profil mit der gleichen Konfiguration festgelegt wird.

Aktualisieren von Baselines, die das vorherige Format verwenden

Die Informationen in diesem Abschnitt gelten für das Aktualisieren einer vorhandenen Baseline, die vor Mai 2023 erstellt wurde, auf eine Version derselben Baseline, die ebenfalls vor Mai 2023 veröffentlicht wurde.

Hinweis

Im Mai 2023 hat Intune mit dem Rollout eines neuen Sicherheitsbaselineformats für jedes neue Baselinerelease oder Update begonnen. Intune hat außerdem einen neuen Updateprozess für die Migration eines vorhandenen Sicherheitsbaselineprofils zu einer neu veröffentlichten Sicherheitsbaseline eingeführt. Dieses neue Verhalten ersetzt vorhandenes Verhalten beim Wechsel zu einer Baselineversion, die im Mai 2023 oder höher veröffentlicht wurde.

Die folgende Anleitung dient zum Aktualisieren einer Baseline auf eine neuere Version, die vor Mai 2023 veröffentlicht wurde. Wenn Sie eine Baseline auf eine Version aktualisieren, die im Mai 2023 oder höher veröffentlicht wurde, finden Sie weitere Informationen unter Aktualisieren eines Profils auf die neueste Version.

Wenn eine neue Version für eine Baseline verfügbar wird, planen Sie, Ihre vorhandenen Profile auf die neue Version zu aktualisieren:

  • Vorhandene Profile werden nicht automatisch aktualisiert.
  • Einstellungen in Baselineprofilen, die nicht die neueste Version verwenden, werden schreibgeschützt. Sie können diese älteren Profile weiterhin verwenden, einschließlich des Namens, der Beschreibung und der Zuweisungen, aber Sie können keine Einstellungen für sie bearbeiten oder neue Profile basierend auf diesen älteren Versionen erstellen.

Es wird empfohlen, das Update vor der Aktualisierung der Live-Profile mit einer Kopie der vorhandenen Profile zu testen.

Führen Sie zum Ändern der Profilversion die folgenden Schritte aus:

  • Wählen Sie die aktuelle Instanz derselben Baseline aus. Sie können nicht zwischen zwei verschiedenen Baselinetypen wechseln. Es ist also beispielsweise nicht möglich, für ein Profil von der Verwendung einer Baseline für Defender für Endpunkt zur Verwendung der MDM-Sicherheitsbaseline zu wechseln.

  • Sie können eine CSV-Datei exportieren und herunterladen, die die Änderungen zwischen den beiden beteiligten Baselineversionen auflistet.

  • Entscheiden Sie sich für eine Vorgehensweise zur Aktualisierung des Profils:

    • Es sollen alle von Ihnen vorgenommenen Anpassungen der ursprünglichen Baselineversion beibehalten werden.
    • In der neuen Baselineversion sollen für alle Einstellungen die Standardwerte verwendet werden.

    Es ist nicht möglich, während des Updates nur einige der Einstellungen in einem Profil zu ändern.

Während der Konvertierung:

  • Neue Einstellungen, die nicht in der von Ihnen verwendeten älteren Version vorhanden waren, werden hinzugefügt. Alle neuen Einstellungen aus der neuen Version verwenden ihre Standardwerte.

  • Nicht in der von Ihnen ausgewählten neuen Baselineversion enthaltene Einstellungen werden entfernt und von diesem Sicherheitsbaseline-Profil nicht mehr erzwungen.

    Wird eine Einstellung nicht mehr von einem Baselineprofil verwaltet, wird diese Einstellung auf dem Gerät nicht zurückgesetzt. Stattdessen bleibt die Einstellung auf dem Gerät auf ihre letzte Konfiguration festgelegt, bis ein anderer Prozess die Einstellung ändert. Beispiele für Prozesse, die eine Einstellung ändern können, nachdem Sie die Verwaltung eingestellt haben, sind ein anderes Baselineprofil, eine Gruppenrichtlinieneinstellung oder eine auf dem Gerät vorgenommene manuelle Konfiguration.

Nach Abschluss der Konvertierung zur neuen Baselineversion:

  • Die Baseline wird sofort erneut in den zugewiesenen Gruppen bereitgestellt.
  • Sie können die Baseline bearbeiten, um einzelne Einstellungen zu ändern.

Testen der Konvertierung und der aktualisierten Baseline

Bevor Sie ein Baselineprofil auf eine neue Version aktualisieren, sollten Sie eine Kopie des Profils erstellen, um die neue Profilversion mit einer Gruppe von Geräten zu testen. Weitere Informationen finden Sie unter Duplizieren einer Sicherheitsbaseline weiter unten in diesem Artikel.

  • Wenn Sie eine Kopie erstellen, sind Gruppenzuweisungen nicht enthalten. Dies bedeutet, dass Ihre Baselinekopie nicht auf geräten bereitgestellt wird, wenn Sie eine Kopie erstellen oder zu dem Zeitpunkt, zu dem Sie sie auf eine neue Version aktualisieren.
  • Nachdem Sie das Profil auf die neueste Version aktualisiert haben, können Sie die Profileinstellungen bearbeiten. Sie können die aktualisierte Kopie einer Gruppe von Geräten zuweisen und bearbeiten, um Änderungen an einzelnen Einstellungen im Profil vorzunehmen.

So ändern Sie die Baselineversion für ein Profil

Bevor Sie die Version eines Profils mit Gruppenzuweisungen aktualisieren, sollten Sie das Versionsupdate mit einer Kopie des Profils testen, um die Einstellungen der neuen Baseline mit einer Testgruppe von Geräten zu überprüfen.

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Klicken Sie auf Endpunktsicherheit>Sicherheitsbaselines, und wählen Sie dann die Kachel für den Baselinetyp mit dem Profil aus, das Sie ändern möchten.

  3. Wählen Sie anschließend Profile aus, und aktivieren Sie dann das Kontrollkästchen des Profils, das Sie bearbeiten möchten. Klicken Sie anschließend auf Version ändern.

    Screenshot, der die Auswahl einer Baseline zeigt.

  4. Klicken Sie im Bereich Version ändern auf das Dropdownmenü Hiermit wählen Sie eine Sicherheitsbaseline aus, auf die aktualisiert werden soll, und wählen Sie die gewünschte Versionsinstanz aus.

    Auswählen einer Version

  5. Klicken Sie auf Update überprüfen, um eine CSV-Datei herunterzuladen, die die Unterschiede zwischen der aktuellen Instanzversion des Profils und der von Ihnen ausgewählten neuen Version zeigt. Überprüfen Sie diese Datei, um zu verstehen, welche Einstellungen neu sind oder entfernt wurden und welche Standardwerte für diese Einstellungen im aktualisierten Profil enthalten sind.

    Wenn Sie fertig sind, fahren Sie mit dem nächsten Schritt fort.

  6. Wählen Sie eine der beiden Optionen für Methode zum Aktualisieren des Profils auswählen:

    • Baselineänderungen akzeptieren, aber meine vorhandenen Einstellungsanpassungen beibehalten: Bei Wahl dieser Option werden die Anpassungen, die Sie am Baselineprofil vorgenommen haben, beibehalten und auf die neue Version angewendet, die Sie verwenden möchten.
    • Baselineänderungen akzeptieren und vorhandene Einstellungsanpassungen verwerfen: Bei Wahl dieser Option wird Ihr ursprüngliches Profil vollständig überschrieben. Das aktualisierte Profil verwendet die Standardwerte für alle Einstellungen.
  7. Wählen Sie Senden aus. Das Profil wird auf die ausgewählte Baselineversion aktualisiert. Nach der Konvertierung wird die Baseline zugewiesenen Gruppen sofort wieder bereitgestellt.

Aufheben der Zuweisung einer Sicherheitsbaseline

Wenn eine Sicherheitsbaselineeinstellung nicht mehr für ein Gerät gilt oder Einstellungen in einer Baseline auf Nicht konfiguriert festgelegt sind, werden diese Einstellungen auf einem Gerät je nach den Einstellungen in der Sicherheitsbaseline möglicherweise nicht auf eine vorab verwaltete Konfiguration zurückgesetzt. Die Einstellungen basieren auf CSPs, und jeder CSP kann das Entfernen von Änderungen unterschiedlich handhaben.

Andere Prozesse, die später die Einstellungen auf dem Gerät ggf. ändern, sind eine andere oder neue Sicherheitsbaseline, ein Gerätekonfigurationsprofil, Gruppenrichtlinienkonfigurationen oder die manuelle Bearbeitung der Einstellungen auf dem Gerät.

Duplizieren einer Sicherheitsbaseline

Sie können Duplikate Ihrer Sicherheitsbaselines erstellen. Das Duplizieren einer Baseline kann nützlich sein, wenn Sie einem Teil der Geräte eine ähnliche, aber doch unterschiedliche Baseline zuweisen möchten. Wenn Sie ein Duplikat erstellen, müssen Sie nicht die gesamte Baseline manuell neu erstellen. Stattdessen können Sie jede der aktuellen Baselines duplizieren und dann nur die Änderungen vornehmen, die für die neue Instanz erforderlich sind. Sie können z. B. nur eine bestimmte Einstellung und die Gruppe ändern, der die Baseline zugewiesen wird.

Wenn Sie ein Duplikat erstellen, geben Sie der Kopie einen neuen Namen. Die Kopie wird mit den gleichen Einstellungskonfigurationen und Bereichstags wie das Original erstellt, weist jedoch keine Zuweisungen auf. Sie müssen die neue Baseline bearbeiten, um Zuweisungen hinzuzufügen.

Alle Sicherheitsbaselines unterstützen das Erstellen eines Duplikats.

Nachdem Sie eine Baseline dupliziert haben, überprüfen und bearbeiten Sie die neue Instanz, um Änderungen an der Konfiguration vorzunehmen.

So duplizieren Sie eine Baseline

  1. Melden Sie sich beim Microsoft Intune Admin Center an.
  2. Navigieren Sie zu Endpunktsicherheit>Sicherheitsbaselines, wählen Sie den Typ der Baseline aus, die Sie duplizieren möchten, und wählen Sie dann Profile aus.
  3. Klicken Sie mit der rechten Maustaste auf das Profil, das Sie duplizieren möchten, und wählen Sie Duplizieren aus, oder wählen Sie die Auslassungspunkte (...) rechts neben der Baseline aus, und wählen Sie dann Duplizieren aus.
  4. Geben Sie einen neuen Namen für die Basislinie an, und wählen Sie dann Speichern aus.

Nach einer Aktualisierung wird das neue Baselineprofil in Admin Center angezeigt.

So bearbeiten Sie eine Baseline

  1. Wählen Sie die Baseline aus, und wählen Sie dann Eigenschaften aus.

  2. Wählen Sie in dieser Ansicht für die folgenden Kategorien die Option Bearbeiten aus, um das Profil zu ändern:

    • Grundlagen
    • Aufgaben
    • Bereichstags
    • Konfigurationseinstellungen

    Sie können die Konfigurationseinstellungen eines Profils nur bearbeiten, wenn dieses Profil die neueste Version der Sicherheitsbaseline verwendet. Bei Profilen, die eine ältere Version nutzen, können Sie zwar die Einstellungen erweitern, um deren Konfiguration anzuzeigen, Sie können diese jedoch nicht ändern. Nachdem Sie ein Profil auf die neueste Baselineversion aktualisiert haben, können Sie die Profileinstellungen bearbeiten.

  3. Nachdem Sie Änderungen vorgenommen haben, wählen Sie Speichern aus, um Ihre Änderungen zu speichern. Speichern Sie Änderungen an einer Kategorie, damit Sie Änderungen an weiteren Kategorien vornehmen können.

Ältere Baselineversionen

Microsoft Intune aktualisiert die Versionen der integrierten Sicherheitsbaselines abhängig von den sich ändernden Anforderungen einer typischen Organisation. Jedes neue Release führt zu einem Versionsupdate für eine bestimmte Baseline. Es wird erwartet, dass Kunden die neueste Baselineversion als Ausgangspunkt für ihre Gerätekonfigurationsprofile verwenden.

Wenn keine Profile mehr vorhanden sind, die eine ältere Baseline verwenden, die in Ihrem Mandanten aufgeführt ist, listet Microsoft Intune die neueste verfügbare Baselineversion auf.

Wenn Sie über ein Profil verfügen, das einer älteren Baseline zugeordnet ist, wird diese ältere Baseline weiterhin aufgeführt.

Gemeinsam verwaltete Geräte

Sicherheitsbaselines für von Intune verwaltete Geräten ähneln denen mit Configuration Manager gemeinsam verwalteter Geräte. Gemeinsam verwaltete Geräte verwenden Konfigurations-Manager und Microsoft Intune, um die Windows 10/11-Geräte gleichzeitig zu verwalten. Sie können Ihre vorhandene Configuration Manager-Investition in der Cloud mit den Vorteilen von Intune verbinden. Der Artikel Was ist gemeinsame Verwaltung? ist eine großartige Ressource, wenn Sie Configuration Manager verwenden und auch die Vorteile der Cloud genießen möchten.

Wenn Sie gemeinsam verwaltete Geräte verwenden, müssen Sie die Gerätekonfiguration-Workload (ihre Einstellungen) auf Intune verlagern. Im Abschnitt Gerätekonfiguration finden Sie weitere Informationen.

Nächste Schritte