Použití standardních hodnot zabezpečení k zabezpečení zařízení s Windows, která spravujete v Microsoft Intune

Se standardními hodnotami zabezpečení Microsoft Intune můžete rychle nasadit doporučený stav zabezpečení na spravovaná zařízení s Windows pro standardní hodnoty zabezpečení Windows, které vám pomůžou zabezpečit a chránit vaše uživatele a zařízení.

I když jsou systémy Windows a Windows Server navržené tak, aby byly automaticky zabezpečené, mnoho organizací stále chce mít větší kontrolu nad konfigurací zabezpečení. Při procházení velkého počtu ovládacích prvků organizace často hledají pokyny ke konfiguraci různých funkcí zabezpečení. Microsoft poskytuje tyto pokyny ve formě standardních hodnot zabezpečení.

Tato funkce platí pro:

• Windows 10 verze 1809 a novější
• Windows 11

Přehled standardních hodnot zabezpečení Intune

Každý standardní plán zabezpečení je skupina předkonfigurovaných nastavení Windows, která vám pomůžou použít a vynutit podrobná nastavení zabezpečení, která doporučují příslušné týmy zabezpečení. Můžete také přizpůsobit každý směrný plán, který nasadíte, tak, aby vynucovat pouze ta nastavení a hodnoty, které požadujete. Při vytváření profilu standardních hodnot zabezpečení v Intune vytváříte šablonu, která se skládá z více konfiguračních profilů zařízení .

Nastavení v jednotlivých směrných hodnotách jsou nastavení konfigurace zařízení, která se nacházejí v různých zásadách Intune. Každé nastavení ve standardních hodnotách funguje s poskytovatelem konfiguračních služeb pro příslušný produkt, který je k dispozici na spravovaném zařízení s Windows.

Další informace o tom, proč a kdy byste mohli chtít nasadit standardní hodnoty zabezpečení, najdete v tématu Standardní hodnoty zabezpečení Windows v dokumentaci k zabezpečení Windows.

Standardní hodnoty zabezpečení nasadíte skupinám uživatelů nebo zařízení v Intune a nastavení platí pro zařízení s Windows 10 nebo 11. Například výchozí konfigurace standardních hodnot zabezpečení pro Windows 10 a novější automaticky povolí nástroj BitLocker pro vyměnitelné jednotky, automaticky vyžaduje heslo k odemknutí zařízení, automaticky zakáže základní ověřování a další. Pokud výchozí hodnota pro vaše prostředí nefunguje, přizpůsobte si směrný plán tak, aby se použila potřebná nastavení.

Poznámka

V květnu 2023 začala Intune zavádět nový formát standardních hodnot zabezpečení pro každou novou verzi nebo aktualizaci verze. Nový formát aktualizuje nastavení směrného plánu tak, aby přímo převzal jejich název a možnosti konfigurace od poskytovatele konfiguračních služeb (CSP), který spravuje nastavení směrného plánu.

Intune také zavedl nový proces, který vám pomůže migrovat stávající profil standardních hodnot zabezpečení na novější základní verzi. Toto nové chování je jednorázový proces, který nahrazuje normální chování aktualizace při přechodu z nejnovější verze staršího profilu na novější verzi, která byla k dispozici v květnu 2023 nebo novějším.

Výhody použití směrných plánů:
Standardní hodnoty zabezpečení vám můžou pomoct s komplexním zabezpečeným pracovním postupem při práci s Microsoftem 365. Mezi výhody patří:

• Ve výchozím nastavení jsou všechny standardní hodnoty zabezpečení nakonfigurované tak, aby splňovaly osvědčené postupy a doporučení pro nastavení, která mají vliv na zabezpečení. Intune spolupracuje se stejným týmem zabezpečení Windows, který vytváří standardní hodnoty zabezpečení zásad skupiny. Tato doporučení vycházejí z pokynů a rozsáhlých zkušeností.
• Pokud s Intune začínáte a nevíte, kde začít, standardní hodnoty zabezpečení vám poskytují výhodu. Zabezpečený profil můžete rychle vytvořit a nasadit s vědomím, že pomáháte chránit prostředky a data vaší organizace.
• Pokud v současné době používáte zásady skupiny, migrace do Intune pro účely správy je díky těmto směrným plánům jednodušší. Tyto směrné plány jsou nativně integrované do Intune a zahrnují moderní prostředí pro správu.

Výchozí nastavení pro více směrných plánů:
Samostatné typy směrných plánů, jako jsou standardní hodnoty zabezpečení MDM pro Windows a standardní hodnoty pro Microsoft Defender, můžou obsahovat stejná nastavení a používat pro tato nastavení různé výchozí hodnoty. Intune nedokáže určit, která konfigurace je pro vás nejvhodnější, a dokonce ani ve kterém prostředí nebo scénáři byste mohli chtít použít jedno výchozí doporučení směrného plánu místo jiného:

• Je důležité pochopit výchozí hodnoty ve směrných plánech, které používáte, a pak upravit každý směrný plán tak, aby vyhovoval potřebám vaší organizace.
• Ve výchozím nastavení je každý směrný plán předem nakonfigurovaný pomocí doporučení, která jsou specifická pro produkt, na který se vztahuje.
• V některých případech nemusí být konfigurace doporučená programem Microsoft Defender výchozí konfigurací pro podobná nastavení, pokud ji doporučuje Systém Windows. V takových situacích je důležité každé nastavení zkontrolovat, abyste pochopili jeho záměr na základě podrobností o poskytovateli konfiguračních služeb a většího rozsahu těchto dvou produktů.

Téměř ve všech scénářích jsou výchozí nastavení ve standardních hodnotách zabezpečení nejvíce omezující. Měli byste ověřit, že tato nastavení nejsou v konfliktu s jinými nastaveními nebo funkcemi zásad ve vašem prostředí.

Výchozí nastavení konfigurace brány firewall například nemusí sloučit pravidla zabezpečení připojení a pravidla místních zásad s pravidly MDM. Pokud tedy používáte optimalizaci doručení, měli byste tyto konfigurace před přiřazením standardních hodnot zabezpečení ověřit.

Poznámka

Microsoft nedoporučuje používat verze Preview standardních hodnot zabezpečení v produkčním prostředí. Nastavení ve standardních hodnotách preview se může v průběhu verze Preview měnit.

Dostupné standardní hodnoty zabezpečení

Následující instance standardních hodnot zabezpečení jsou k dispozici pro použití s Intune. Pomocí odkazů můžete zobrazit nastavení pro poslední instance jednotlivých směrných plánů.

• Standardní hodnoty zabezpečení pro Windows 10 a novější:
  • Verze 23H2
  • Listopad 2021
  • Prosinec 2020
  • Srpen 2020

• Standardní hodnoty pro Microsoft Defender for Endpoint:
  (Pokud chcete použít tento směrný plán, vaše prostředí musí splňovat požadavky pro používání Microsoft Defenderu for Endpoint).

  • Verze 24H1
  • Verze 6
  • Verze 5
  • Verze 4
  • Verze 3

  Poznámka

  Standardní hodnoty zabezpečení Microsoft Defenderu for Endpoint jsou optimalizované pro fyzická zařízení a v současné době se nedoporučuje používat na virtuálních počítačích ani koncových bodech VDI. Některá základní nastavení můžou mít vliv na vzdálené interaktivní relace ve virtualizovaných prostředích. Další informace najdete v tématu Zvýšení dodržování předpisů standardních hodnot zabezpečení microsoft defenderu for Endpoint v dokumentaci k Windows.

• Microsoft 365 Apps pro velké organizace:

  • Verze 2306 (standardní hodnoty Office)Vydaná v listopadu 2023
  • Květen 2023 (standardní hodnoty Office)

• Standardní hodnoty pro Microsoft Edge:

  • Microsoft Edge verze 117 – listopad 2023
  • Microsoft Edge verze 112 a novější – květen 2023
  • Microsoft Edge verze 85 a novější – září 2020
  • Microsoft Edge verze 80 a novější – duben 2020
  • Preview: Microsoft Edge verze 77 a novější – říjen 2019

• Standardní hodnoty zabezpečení windows 365:

  • Verze 24H1
  • Listopad 2021

Jakmile bude k dispozici nová verze profilu, nastavení v profilech založených na starších verzích se změní na jen pro čtení. Tyto starší profily můžete dál používat. Můžete také upravit názvy, popisy a přiřazení profilu, ale nepodporují změnu konfigurace nastavení a nemůžete vytvářet nové profily založené na starších verzích.

Až budete připraveni používat novější základní verzi, můžete vytvořit nové profily nebo aktualizovat stávající profily na novou verzi. Viz Změna standardní verze profilu v článku Správa profilů standardních hodnot zabezpečení .

O standardních verzích a instancích

Každá instance nové verze směrného plánu může přidat nebo odebrat nastavení nebo provést jiné změny. Například když budou v nových verzích Windows 10/11 k dispozici nová nastavení Windows, standardní hodnoty zabezpečení pro Windows 10 a novější můžou dostat novou instanci verze, která obsahuje nejnovější nastavení.

Seznam dostupných směrných plánů si můžete prohlédnout v Centru pro správu Microsoft Intune v částiStandardní hodnoty zabezpečenízabezpečení> koncových bodů. Seznam obsahuje:

• Název každé šablony standardních hodnot zabezpečení.
• Kolik profilů máte, které používají tento typ směrného plánu.
• Kolik samostatných instancí (verzí) základního typu je k dispozici.
• Datum posledního publikování , které určuje, kdy byla k dispozici nejnovější verze šablony směrného plánu.

Pokud chcete zobrazit další informace o standardních verzích, které používáte, vyberte typ směrného plánu, například Standardní hodnoty zabezpečení pro Windows 10 a novější , otevřete podokno Profily a pak vyberte Verze. Intune zobrazí podrobnosti o verzích tohoto směrného plánu, které používají vaše profily. Podrobnosti zahrnují nejnovější a aktuální základní verzi. Pokud chcete zobrazit podrobnější podrobnosti o profilech, které tuto verzi používají, můžete vybrat jednu verzi.

Můžete změnit verzi směrného plánu, která se používá s daným profilem. Když změníte verzi, nemusíte vytvářet nový základní profil, abyste mohli využívat aktualizované verze. Místo toho můžete vybrat základní profil a pomocí předdefinované možnosti změnit verzi instance pro tento profil na novou.

Vyhněte se konfliktům

Ve svém prostředí Intune můžete současně použít jeden nebo více dostupných směrných plánů. Můžete také použít několik instancí stejných standardních hodnot zabezpečení, které mají různá přizpůsobení.

Pokud používáte více standardních hodnot zabezpečení, zkontrolujte nastavení v každém z nich a zjistěte, kdy vaše různé konfigurace standardních hodnot představují konfliktní hodnoty pro stejné nastavení. Vzhledem k tomu, že můžete nasadit standardní hodnoty zabezpečení, které jsou navržené pro různé záměry, a několik instancí stejného směrného plánu, které zahrnují přizpůsobená nastavení, můžete vytvořit konflikty konfigurace pro zařízení, která je potřeba prošetřit a vyřešit.

Standardní hodnoty zabezpečení navíc často spravují stejná nastavení, která můžete nastavit pomocí profilů konfigurace zařízení nebo jiných typů zásad. Proto při hledání předcházení konfliktům nebo jejich řešení mějte na paměti další zásady a profily pro nastavení.

Informace, které vám můžou pomoct identifikovat a vyřešit konflikty, najdete tady:

• Řešení potíží se zásadami a profily v Intune
• Monitorování standardních hodnot zabezpečení

Q & A

Proč tato nastavení?

Bezpečnostní tým Microsoftu má roky zkušeností s přímou prací s vývojáři Windows a komunitou zabezpečení, aby tato doporučení vytvořil. Nastavení v tomto směrném plánu se považují za nejrelevantní možnosti konfigurace související se zabezpečením. V každém novém buildu Windows tým upravuje doporučení na základě nově vydaných funkcí.

Liší se doporučení standardních hodnot zabezpečení Windows pro zásady skupiny a Intune?

Stejný tým zabezpečení Microsoftu vybral a uspořádal nastavení pro každý směrný plán. Intune zahrnuje všechna relevantní nastavení ve standardních hodnotách zabezpečení Intune. Standardní hodnoty zásad skupiny mají určitá nastavení specifická pro místní řadič domény. Tato nastavení jsou z doporučení Intune vyloučená. Všechna ostatní nastavení jsou stejná.

Jsou standardní hodnoty zabezpečení Intune kompatibilní s CIS nebo NIST?

Přesně řečeno, ne. Bezpečnostní tým Microsoftu se poradí s organizacemi, jako je CIS, aby zkompiloval svá doporučení. Mezi standardními hodnotami standardu CIS a Microsoftu ale neexistuje mapování 1:1.

Jaké certifikace mají standardní hodnoty zabezpečení Microsoftu?

Microsoft nadále publikuje standardní hodnoty zabezpečení pro zásady skupiny (GPO) a sadu Nástrojů pro dodržování předpisů zabezpečení, jak tomu bylo již mnoho let. Tyto směrné plány používá mnoho organizací. Doporučení v těchto směrných plánech vycházejí ze spolupráce bezpečnostního týmu Microsoftu s podnikovými zákazníky a externími agenturami, včetně Ministerstva obrany (DoD), Národního institutu standardů a technologií (NIST) a dalších. S těmito organizacemi sdílíme naše doporučení a směrné plány. Tyto organizace mají také svá vlastní doporučení, která přesně odpovídají doporučením Microsoftu. S tím, jak se správa mobilních zařízení (MDM) stále rozšiřuje do cloudu, vytvořil Microsoft ekvivalentní doporučení MDM pro tyto standardní hodnoty zásad skupiny. Mnoho z těchto směrných plánů je integrovaných do Microsoft Intune a zahrnuje sestavy dodržování předpisů pro uživatele, skupiny a zařízení, která dodržují (nebo nedodržují) směrný plán.

Mnoho zákazníků používá jako výchozí bod základní doporučení Intune a pak si je přizpůsobí tak, aby splňovaly jejich požadavky na IT a zabezpečení. Šablona směrného plánu pro Windows 10 a novější od Microsoftu byla první směrnou hodnotou, která byla vydána. Tento směrný plán je vytvořený jako obecná infrastruktura, která umožňuje zákazníkům nakonec importovat další standardní hodnoty zabezpečení na základě CIS, NIST a dalších standardů.

Migrace z místních zásad skupiny Active Directory na čistě cloudové řešení pomocí Microsoft Entra ID s Microsoft Intune je cesta. Pokud chcete pomoct, použijte různé nástroje ze sady nástrojů pro dodržování předpisů zabezpečení , které vám pomůžou identifikovat cloudové možnosti ze standardních hodnot zabezpečení, které můžou nahradit vaše místní konfigurace objektů zásad zabezpečení.

Kde najdu podrobnosti o používání nebo konfiguraci nastavení, která jsou k dispozici ve standardních hodnotách zabezpečení?

Každý standardní plán zabezpečení spravuje konfigurace zařízení použitím možností, které najdete v poskytovateli konfiguračních služeb na zařízení. Například nastavení, která platí pro Microsoft Defender, jsou převzata z poskytovatele CSP programu Microsoft Defender. Vzhledem k tomu, že Intune je nástroj konfigurace pro tyto možnosti a neurčí jejich funkčnost ani rozsah, vlastní dokumentace CSP obsah pro konfiguraci jednotlivých možností.

V uživatelském rozhraní zásad standardních hodnot zabezpečení Intune intune poskytuje text informací převzatý ze zdrojového poskytovatele CSP a odkaz na daného poskytovatele CSP. V některých případech může být CSP součástí větší sady obsahu, která obsahuje proaktivní pokyny, které jsou nad rámec Intune, aby bylo možné zahrnout do našeho obsahu nebo ho duplikovat. Intune ale dokumentuje seznam nastavení v každé verzi standardních hodnot zabezpečení a jeho výchozí konfiguraci.

Další kroky

• Vytvoření profilů standardních hodnot zabezpečení

• Kontrola stavu a monitorování směrného plánu a profilu

• Podívejte se na nastavení v nejnovějších verzích dostupných směrných plánů:

  • Windows 10 a novější – standardní hodnoty zabezpečení MDM
  • Standardní hodnoty pro Microsoft Defender for Endpoint
  • Standardní hodnoty zabezpečení Microsoft 365 Apps for Enterprise (Office)
  • Standardní hodnoty zabezpečení pro Microsoft Edge
  • Standardní hodnoty zabezpečení windows 365