在 Microsoft Intune 中管理安全性基準配置檔
為了協助保護您的使用者和 Windows 裝置,您可以設定和部署不同實例的 Microsoft Intune 安全性基準配置檔到不同的 Windows 裝置和使用者群組。 不同產品的基準不同,而且每個都是一組預先設定的設定,代表該產品安全性小組的建議安全性狀態。 您可以部署預設 (未經修改) 基準或自定義配置檔,以使用組織所需的設定來設定裝置。
如需可用的安全性基準清單,請參閱 安全性基準概觀。
本功能適用於:
- Windows 10 1809 版和更新版本
- Windows 11
安全性基準概觀
當您在 Intune 中建立安全性基準設定檔時,您會建立包含多個 裝置 組態設定的範本。
當安全性基準有多個版本存在時,只能使用最新的版本來建立該基準的新實例。 您可以繼續使用先前建立的舊版基準實例,並編輯其指派的群組。 不過,過期的版本不支援變更其設定組態。 相反地,請建立使用最新基準版本的新基準,或如果您需要引進設定的新組態,請將較舊的基準更新為該最新版本。
建議您在實際執行此動作時,立即將較舊的基準版本更新為最新版本。 較新的版本可以:
- 包含舊版中無法使用的新設定。
- 淘汰並移除不再支援的舊設定。
- 變更設定的預設組態,以符合適用產品的目前安全性建議。
使用安全性基準時的常見工作包括:
- 建立新的配置檔實例 – 設定您想要使用的設定,並將基準指派給群組。
- 將舊版基準更新為最新的基準版本 – 變更配置檔使用的基準版本。
- 拿掉基準指派 - 了解當您停止使用安全性基準管理設定時會發生什麼事。
必要條件
使用 Intune 部署安全性基準需要Microsoft Intune 方案 1 訂用帳戶。
提示
Intune 可讓您輕鬆地使用使用者介面來設定和部署安全性基準,但不會建立或定義安全性基準。 在 Intune 外部,還有其他可用來部署安全性基準的選項,例如安全 性合規性工具組提供的選項。
透過 Intune 使用基準需要您在適用時擁有受控產品的使用中訂用帳戶。 例如,使用適用於端點的 Microsoft Defender 基準並不會授與使用 Microsoft Defender 的許可權。 相反地,基準會提供一種方法來設定和管理裝置上存在的設定,這些裝置是由適用於端點的 Microsoft Defender 所授權及管理。
若要在 Intune 中管理基準,您的帳戶必須具有原則 和配置檔管理員 內建角色。
建立安全性基準的配置檔
選 取 [端點安全>性基準] 以檢視可用的基準清單。
選取您想要使用的基準,然後選取 [ 建立配置檔]。
在 [ 基本] 索引標籤上 ,指定下列屬性:
名稱:輸入安全性基準配置檔的名稱。 例如,輸入 適用於端點的 Defender 的標準配置檔。
描述:輸入一些描述此基準用途的文字。 描述可讓您輸入任何您想要的文字。 這是選擇性的,但建議使用。
選 取 [下一步 ] 以移至下一個索引標籤。進入新的索引標籤之後,您可以選取索引標籤名稱,以返回先前檢視的索引標籤。
在 [組態設定] 索引標籤上,檢視您選取的基準中可用的 [ 設定 ] 群組。 您可以展開群組來檢視該群組中的設定,以及基準中這些設定的預設值。 若要尋找特定設定:
- 選取群組以展開並檢閱可用的設定。
- 設定的深入解析可在燈泡圖示旁邊取得。 設定深入解析可藉由新增類似組織成功採用的深入解析,來提供對設定的信賴度。 深入解析適用於某些設定,而非所有設定。 如需詳細資訊,請 參閱設定深入解析。
- 使用 搜尋 列,並指定關鍵詞來篩選檢視,只顯示包含搜尋準則的群組。
基準中的每個設定都有該基準版本的預設組態預設值。 有些將不會設定,有些則設定為在裝置上設定特定值或條件。 在基準中找到的預設預設值代表該產品安全性小組的建議安全性狀態。 設定基準時:
- 請務必檢閱每個設定,並在必要時重新設定預設預設預設值,當您的業務需要不同的設定時。
- 請注意,不同的基準類型和版本可以包含在其他基準中找到的設定,而且每個設定可能會建議不同的預設值。
在 [ 範圍卷標] 索引 標籤上, 選取 [選取範圍卷標 ] 以開啟 [ 選取卷 標] 窗格,將範圍卷標指派給配置檔。
在 [ 指派] 索引標籤 上, 選取 [選取要包含的群組 ],然後將基準指派給一或多個群組。 使用 [選取要排除的群組 ] 來微調指派。
注意事項
安全性基準必須根據所使用設定的範圍指派給使用者群組或裝置群組。 因此,指派使用者和裝置型設定時,可能需要多個基準。
當您準備好要部署基準時,請前進到 [ 檢閱 + 建立] 索引標籤,並檢閱基準的詳細數據。 選 取 [建立 ] 以儲存和部署配置檔。
一旦您建立配置檔,Intune 就會將它推送至指派的群組,以立即套用它。
提示
如果您儲存配置檔但未先將它指派給群組,則稍後可以編輯配置檔來執行此動作。
建立配置文件之後,請移至 [端點安全>性基準]、選取您設定的基準類型,然後選取 [配置檔],以進行編輯。 從可用的設定檔清單中選取設定檔,然後選取 [ 屬性]。 您可以從所有可用的組態索引標籤編輯設定,然後選取 [ 檢閱 + 儲存] 以認可您的變更。
將配置檔更新為最新版本
本節中的資訊適用於將 2023 年 5 月之前建立的基準實例更新為 2023 年 5 月之後發行的相同基準版本。
注意事項
2023 年 5 月,Intune 開始針對每個新的基準版本或更新推出新的安全性基準格式。 Intune 也引進了新的更新程式,可將現有的安全性基準配置檔移轉至新發行的安全性基準。 這個新行為會在 移至 2023 年 5 月或更新版本發行的基準版本時,取代現有的行為。
更新尚未收到使用新格式之新版本的基準時,先前的行為仍可供使用。 如需指引,請 參閱更新使用先前格式的基準。
在 2023 年 5 月之後,當基準的新版本發行時,請規劃將現有的配置檔更新為新版本。 從較舊的格式移至新的基準格式時, (從 2023 年 5 月之前發行的版本移至 2023 年 5 月或更新版本的版本,) :
基準類型的所有新配置檔,例如Microsoft Edge,都會使用新的格式。 不支援建立使用較舊基準版本的新基準。
2023 年 5 月之前發行的基準版本不會升級為新格式。 相反地,請建立使用新格式的新配置檔,並以該新基準格式設定舊基準的設定。 重新建立配置檔是一次性程式,需要將基準從舊格式移至新的基準格式。
為了協助您進行此程式,Intune 可以將舊配置檔匯出為 CSV 格式,以根據新設定檔版本中顯示的設定名稱及其組態來識別每個設定。
建立可取代舊版基準的新基準之後,較舊的配置檔會保持不變,您可以繼續使用它。 您可以繼續以較舊的基準格式部署、重新指派及編輯設定。
提示
在更新為新版本之後,支援在較舊的基準版本中編輯設定,是與過去行為不同。 只有在從 2023 年 5 月之前建立的基準版本移至 2023 年 5 月或更新版本建立的版本時,才能使用此行為,因為新的基準格式與舊版基準格式並存存在,而不是取代它。 稍後,將 2023 年 5 月或更新版本中建立的基準實例更新為較新版本時,您無法在舊版中編輯設定的原始行為會傳回。
建議您儘快停止使用較舊的格式,並根據最新版本部署配置檔。 在 2023 年 5 月發行較新版本時,較舊的配置檔不會收到更新:
- 使用 Intune UI 中的新設定格式,此格式會直接對齊設定服務提供者 (CSP) 每個設定的來源。
- 預先設定了相關安全性小組建議的預設設定。
將基準更新為新格式
若要將 2023 年 5 月之前建立的基準更新為新格式,您必須建立新的基準實例。 為了協助您重新建立原始基準設定,您可以讓 Intune 將目前的基準設定匯出為 .CSV 檔案。 匯出包括:
- 較舊基準中的每個設定都是使用新基準中顯示的設定名稱來識別。 雖然設定的名稱不會在 .csv 中逐字呈現,但您可以找到設定的路徑,其中包含設定名稱的一部分。
- 如何設定舊版基準中的每個設定。
- 如果來自舊基準的設定符合新基準的預設組態。
透過導出的資訊,您可以快速地重新設定新的基準,以使用與舊版基準實例相同的值。
登入 Microsoft Intune 系統管理中心,然後移至 [端點安全>性基準>]選取基準類型,然後選取您要以新基準格式複寫的基準配置檔 (實例) 複選框,然後選取 [變更版本]。 Intune 會顯示 [ 變更版本] 窗格。
在下列螢幕快照中,我們已鑽研到 Microsoft Edge 的安全性基準。 我們目前有兩個配置檔。 其中一個是 Microsoft Edge v112 的新配置檔,另一個是 2020 年 9 月的舊版配置檔。 較舊的配置檔也會顯示箭號圖示,表示有較新的版本可以取代它。
在 [ 變更版本] 窗格中,有指示可將設定詳細數據從較舊的基準移至使用新格式的配置檔。 此窗格也會識別選取的基準名稱和版本,以及最新的基準版本。
選取 [匯出配置檔設定 ] 以建立 .csv 檔案,以列出所選基準中的設定,以及其目前的組態,如果未設定為基準預設值。 當您選取匯出基準詳細數據的選項時,Intune 會準備匯出,然後要求您同意繼續。 選取 [是 ] 以下載 .CSV 檔案匯出。
下載文件之後,您可以開啟它來檢視舊版基準目前的組態。
[ 變更版本] 窗格也包含為選取的基準 建立 新配置檔的按鈕,其功能與 [ 建立配置檔 ] 選項相同,常用於建立新的基準實例。
下列螢幕快照顯示 Microsoft Edge 配置檔 85 版的匯出,如 Microsoft Excel 中所檢視。 在舊版配置檔中找到的新Microsoft Edge 基準 17 設定中,只有一個設定已變更:在較舊的基準中,為每個月臺啟用網站隔離設定為 [已停用]。 在較新的基準中,設定現在預設為 Enabled:
在上圖中,有三個信息數據行。 此資訊會識別舊配置檔中的設定,以及您在舊配置檔中擁有的每個設定。
DefinitionId – 此資料行會顯示設定登錄名稱。 底線之後的資訊 ( _ ) 會識別設定名稱,如同它出現在舊的基準配置檔和格式中,但名稱中沒有空格。 此值也是這個基準設定所管理的 CSP 設定名稱。
例如,我們修改的 [ 為每個網站啟用網站隔離 ] 設定會在此匯出中顯示為 admx--microsoftedge_SitePerProcess。 最後一個部分 SitePerProcess 有助於識別設定。
defaultJson – 此數據行會識別此設定的預設組態,如新的基準格式所示。 SitePerProcess CSP 的範例設定預設為啟用。
customizedJson – 最後一個數據行會顯示舊版配置檔版本中每個設定的設定。 此資訊可協助您瞭解新配置檔中的哪些設定需要修改,才能符合舊版配置檔的組態。 我們的範例設定已設定為停 用。 所有其他設定都會顯示 「NotApplicable」,因為這些設定並未從我們一直使用的舊版基準版本中的預設組態進行修改。
您可能會注意到更新Microsoft Edge 基準配置檔的設定超過舊版配置檔中的 17 個設定。 基準匯出不會識別這些新設定,因為在您正在檢閱的舊版基準版本中無法使用這些設定。
稍後,當您建立並設定新的配置檔時,可以使用 CSV 匯出中的清單,以確保先前設定檔中的每個設定都以相同的組態設定在新的設定檔中。
更新使用先前格式的基準
本節中的資訊適用於將 2023 年 5 月之前建立的現有基準更新為 2023 年 5 月之前也發行的相同基準版本。
注意事項
在 2023 年 5 月,Intune 開始針對每個新的基準版本或更新推出新的安全性基準格式。 Intune 也引進了新的更新程式,可將現有的安全性基準配置檔移轉至新發行的安全性基準。 這個新行為會在移至 2023 年 5 月或更新版本發行的基準版本時,取代現有的行為。
下列指引適用於將基準更新為 2023 年 5 月之前發行的較新版本時。 如果您要將基準更新為 2023 年 5 月或更新版本發行的版本,請參閱 將配置檔更新為最新版本。
當基準的新版本可供使用時,請規劃將現有的配置檔更新為新版本:
- 現有的配置檔不會自動升級至新版本。
- 不使用最新版本的基準配置檔中的設定會變成只讀。 您可以繼續使用這些較舊的配置檔,包括編輯其名稱、描述和指派,但您無法編輯它們的設定,或根據舊版建立新的配置檔。
建議您在更新即時配置檔之前,先在現有配置檔的複本上 測試版本 更新。
當您變更設定檔版本時:
您可以選取相同基準的最新實例。 您無法在兩種不同的基準類型之間變更,例如將配置檔從使用適用於端點的 Defender 基準變更為使用 MDM 安全性基準。
您可以匯出和下載 CSV 檔案,其中列出所涉及的兩個基準版本之間的變更。
您可以選擇如何更新設定檔:
- 您可以保留原始基準版本中的所有自訂專案。
- 您可以選擇使用新基準版本中所有設定的預設值。
在更新期間,您無法選擇只變更配置檔中的某些設定。
在轉換期間:
系統會新增不在您所使用舊版中的新設定。 新版本中的任何新設定都會使用其預設值。
不在您選取之新基準版本中的設定會移除,且不再由此安全性基準配置檔強制執行。
當設定不再由基準配置檔管理時,該設定不會在裝置上重設。 相反地,裝置上的設定會保持設定為其最後一個組態,直到某些其他程式管理變更設定為止。 當您停止管理設定之後,可以變更設定的程式範例包括不同的基準配置檔、組策略設定,或在裝置上進行的手動設定。
轉換成新基準版本完成之後:
- 基準會立即重新部署至指派的群組。
- 您可以編輯基準來變更個別設定。
測試轉換和更新的基準
將基準配置檔更新為新版本之前,請先建立其複本,以便在一組裝置上測試新版的配置檔。 請參閱本文稍後的 重複安全性基準 。
- 當您建立複本時,不會包含群組指派,這表示您的基準複本不會在您建立複本時或更新為新版本時部署到任何裝置。
- 將設定檔更新為最新版本之後,您可以編輯其設定。 您可以將更新的複本指派給一組裝置,並加以編輯,以在配置檔中引入個別設定的變更。
變更配置檔的基準版本
更新指派給群組的配置檔版本之前,請先在配置檔複本上 測試版本更新 ,以便驗證裝置測試群組上的新基準設定。
選 取 [端點安全>性基準],然後選取具有您要變更之配置檔之基準類型的圖格。
接下來,選 取 [配置檔],然後選取您要編輯之配置檔的複選框,然後選取 [ 變更版本]。
在 [ 變更版本] 窗格上,使用 [ 選取要更新的安全性基準 ] 下拉式清單,然後選取您要使用的版本實例。
選 取 [檢閱更新 ] 以下載 CSV 檔案,以顯示配置檔目前實例版本與您選取的新版本之間的差異。 檢閱此檔案,讓您瞭解哪些設定是新的或移除的,以及這些設定的預設值在更新的配置檔中。
準備就緒時,請繼續進行下一個步驟。
針對 [ 選取要更新設定檔的方法] 選擇兩個選項之一:
- 接受基準變更,但保留我現有的設定自定義 - 此選項會保留您對基準配置檔所做的自定義,並將其套用至您已選取要使用的新版本。
- 接受基準變更並捨棄現有的設定自定義 - 此選項會完全覆寫原始配置檔。 更新的配置檔會使用所有設定的預設值。
選取 [提交]。 配置檔會更新為選取的基準版本,在轉換完成之後,基準會立即重新部署至指派的群組。
拿掉安全性基準指派
當安全性基準設定不再套用至裝置,或將基準中的設定設定為 [未設定] 時,視安全性基準中的設定而定,裝置上的這些設定可能不會還原為預先管理的組態。 這些設定是以 CSP 為基礎,而且每個 CSP 可以以不同的方式處理變更移除。
稍後可能會變更裝置上設定的其他程式包括不同或新的安全性基準、裝置組態配置檔、組策略組態,或手動編輯裝置上的設定。
複製安全性基準
您可以建立安全性基準的重複專案。 當您想要將類似但不同的基準指派給裝置子集時,複製基準會很有用。 藉由建立重複專案,您不需要手動重新建立整個基準。 相反地,您可以複製任何目前的基準,然後只導入新實例所需的變更。 您可能只會變更特定設定,以及指派基準的群組。
當您建立重複專案時,請為複本提供新名稱。 複本的設定組態和範圍標籤與原始複本相同,但沒有任何指派。 您必須編輯新的基準,才能新增指派。
所有安全性基準都支援建立重複專案。
複製基準之後,請檢閱和編輯新的實例,以變更其組態。
若要複製基準
- 登入 Microsoft Intune 系統管理中心。
- 移至 [端點安全>性基準],選取您想要複製的基準類型,然後選取 [ 配置檔]。
- 以滑鼠右鍵按下您要複製的配置檔,然後選取 [ 重複],或選取 [...] () 基 線右側的省略號,然後選取 [ 複製]。
- 提供基準 的新名稱 ,然後選取 [ 儲存]。
重新 整理之後,新的基準配置檔會出現在系統管理中心。
編輯基準
選取基準,然後選取 [ 屬性]。
在這裡檢視中,您可以針對下列類別選取 [編輯 ],以修改設定檔:
- 基本功能
- 作業
- 範圍標籤
- 組態設定
只有當設定檔使用該安全性基準的最新版本時,您才能 編輯 配置檔組態 設定 。 對於使用舊版的配置檔,您可以展開 [ 設定 ] 以檢視配置檔中的設定,但無法加以修改。 將設定檔更新為最新的基準版本之後,您將能夠編輯配置檔設定。
進行變更之後,請選取 [儲存] 以儲存您的編輯。 您必須先將編輯儲存到一個類別,才能導入其他類別的編輯。
較舊的基準版本
Microsoft Intune 會根據一般組織的變更需求,更新內建安全性基準的版本。 每個新版本都會產生特定基準的版本更新。 預期客戶會使用最新的基準版本作為其裝置組態配置檔的起點。
當租使用者中不再有任何使用舊版基準的配置檔時,Microsoft Intune 會列出可用的最新基準版本。
如果您有與較舊基準相關聯的配置檔,則會繼續列出該較舊的基準。
共同管理的裝置
受 Intune 管理裝置上的安全性基準類似於使用 Configuration Manager 共同管理的裝置。 共同管理的裝置會使用 Configuration Manager 和 Microsoft Intune 同時管理 Windows 10/11 裝置。 它可讓您將現有的 Configuration Manager 投資雲端連結至 Intune 的優點。 如果您使用 Configuration Manager,共同管理概觀是絕佳的資源,而且也想要雲端的優點。
使用共同管理的裝置時,您必須將 裝置 設定工作負載 (其設定) 切換至 Intune。 裝置設定工作負載 提供詳細資訊。