Управление профилями базовых конфигураций безопасности в Microsoft Intune
Чтобы защитить пользователей и устройства Windows, можно настроить и развернуть отдельные экземпляры базовых профилей безопасности Microsoft Intune для различных групп устройств и пользователей Windows. Существуют различные базовые показатели для разных продуктов, и каждый из них представляет собой группу предварительно настроенных параметров, которые представляют рекомендуемую конфигурацию безопасности от группы безопасности этих продуктов. Вы можете развернуть базовый план по умолчанию (без изменений) или настроить профили, чтобы настроить устройства с параметрами, которые требуются вашей организации.
Список доступных базовых показателей безопасности см. в статье Обзор базовых показателей безопасности.
Данная функция применяется к:
- Windows 10 версии 1809 и более поздних версий
- Windows 11
Обзор базовых показателей безопасности
При создании профиля базовой конфигурации безопасности в Intune создается шаблон, состоящий из нескольких параметров конфигурации устройств.
При наличии нескольких версий для базового плана безопасности для создания нового экземпляра этой базовой базы можно использовать только последнюю версию. Вы можете продолжать использовать экземпляры старых базовых показателей, созданных ранее, и изменять группы, которым они назначены. Однако устаревшие версии не поддерживают изменения конфигураций параметров. Вместо этого создайте новые базовые показатели, использующие последнюю версию базовых показателей, или обновите старые базовые показатели до последней версии, если необходимо ввести новые конфигурации для параметров.
Мы рекомендуем обновить старые базовые версии до последней, как только это будет целесообразно. Более новая версия может:
- Включите новые параметры, которые были недоступны в предыдущих версиях.
- Снимите с учета и удалите старые параметры, которые больше не поддерживаются.
- Измените конфигурацию по умолчанию для параметров в соответствии с текущими рекомендациями по безопасности для соответствующего продукта.
Ниже приведены типичные задачи при работе с базовыми конфигурации безопасности.
- Создание нового экземпляра профиля — настройте параметры, которые вы хотите использовать, и назначьте базовые показатели группам.
- Обновите базовую версию более старой версии до последней базовой версии . Измените базовую версию, используемую профилем.
- Удаление назначения базовых показателей — сведения о том, что происходит после остановки управления параметрами, установленными для базовых показателей безопасности.
Предварительные требования
Для использования Intune для развертывания базовых показателей безопасности требуется подписка Microsoft Intune плана 1.
Совет
Intune предоставляет простой в использовании пользовательский интерфейс для настройки и развертывания базовых показателей безопасности, но не создает и не определяет базовые показатели безопасности. За пределами Intune доступны другие варианты развертывания базовых показателей безопасности, например, доступные в наборе средств соответствия требованиям безопасности.
Для использования базовых показателей через Intune требуется активная подписка на управляемый продукт, если это применимо. Например, использование базового плана Microsoft Defender для конечной точки не предоставляет права на использование Microsoft Defender. Вместо этого базовый план предоставляет метод для настройки параметров и управления ими, которые присутствуют на устройствах, которые лицензируются для Microsoft Defender для конечной точки и управляются ими.
Чтобы управлять базовыми показателями в Intune, учетная запись должна обладать встроенной ролью Диспетчер политик и профилей.
Создание профиля для базовых показателей безопасности
Войдите в Центр администрирования Microsoft Intune.
Выберите Защита конечной точки>Базовые показатели безопасности, чтобы просмотреть список доступных базовых конфигураций.
Выберите базовые показатели, которые необходимо использовать, затем — Создать профиль.
На вкладке Основные укажите перечисленные ниже свойства.
Имя: введите имя для профиля базовых показателей безопасности. Например, введите Стандартный профиль для Defender для конечной точки.
Описание: введите текст, описывающий назначение этих базовых показателей. Описание предназначено для того, чтобы вы вводили любой текст. Оно необязательно, но рекомендуется.
Нажмите кнопку Далее , чтобы перейти к следующей вкладке. После перехода на новую вкладку можно выбрать имя вкладки, чтобы вернуться к ранее просмотреной вкладке.
На вкладке параметров конфигурации отображаются группы параметров, доступных в выбранной базовой конфигурации. Вы можете развернуть группу, чтобы просмотреть параметры в этой группе, а также значения по умолчанию для этих параметров в базовой конфигурации. Чтобы просмотреть определенные параметры, сделайте следующее:
- Выберите группу, чтобы развернуть ее и просмотреть доступные параметры.
- Аналитические сведения для параметра доступны рядом со значком лампочки. Аналитика параметров обеспечивает уверенность в конфигурациях, добавляя аналитические сведения, которые аналогичные организации успешно внедрили. Аналитика доступна для некоторых параметров, а не для всех параметров. Дополнительные сведения см. в разделе Общие сведения о параметрах.
- В строке поиска введите ключевые слова, чтобы отфильтровать отображаемые группы по условиям поиска.
Каждый параметр в базовом плане имеет предустановку конфигурации по умолчанию для этой базовой версии. Некоторые из них не будут настроены, а другие — для настройки определенных значений или условий на устройстве. Предустановки по умолчанию, найденные в базовом плане, представляют собой рекомендуемую конфигурацию безопасности от группы безопасности продуктов. При настройке базового плана:
- Обязательно просмотрите каждый параметр и при необходимости перенастройте предустановку по умолчанию, если вашей организации требуется другая конфигурация.
- Имейте в виду, что различные типы и версии базовых показателей могут включать параметры, которые находятся в других базовых планах, и каждый из них может рекомендовать другое значение по умолчанию для параметра.
На вкладке Теги области щелкните Выберите теги области, чтобы открыть панель Выбранные теги, в которой можно назначить теги области для профиля.
На вкладке Назначения выберите Выбрать группы для включения , а затем назначьте базовый план одной или нескольким группам. Используйте функцию Выберите группы для исключения для точной настройки назначения.
Примечание.
Базовые показатели безопасности должны назначаться группам пользователей или группам устройств в зависимости от области используемых параметров. Из-за этого при назначении параметров на основе пользователей и устройств может потребоваться несколько базовых показателей.
Подготовив базовую конфигурацию к развертыванию, перейдите на вкладку Просмотр и создание, чтобы просмотреть сведения о базовой конфигурации. Щелкните Создать, чтобы сохранить и развернуть профиль.
Как только вы создадите профиль, Intune отправляет его в назначенную группу, которая немедленно применяет его.
Совет
Если вы сохранили профиль, но не назначали его группам, это можно сделать позже, изменив его.
Создав профиль, его можно изменить, последовательно выбрав Безопасность конечной точки>Базовые конфигурации безопасности, затем укажите настроенный тип базовой конфигурации и выберите Профили. Выберите профиль из списка доступных профилей и щелкните Свойства. Можно изменять параметры на всех вкладках конфигурации, после чего нужно щелкнуть Просмотреть и сохранить, чтобы применить изменения.
Обновление профиля до последней версии
Сведения в этом разделе относятся к обновлению экземпляра базового плана, созданного до мая 2023 г., до версии этого же базового плана, выпущенной после мая 2023 г.
Примечание.
В мае 2023 г. Intune начал развертывание нового формата базовых показателей безопасности для каждого нового выпуска или обновления базовых показателей. Intune также представил новый процесс обновления для переноса существующего профиля базовых показателей безопасности в недавно выпущенный базовый план безопасности. Это новое поведение заменяет существующее поведение при переходе на базовую версию, выпущенную в мае 2023 г. или более поздней.
Предыдущее поведение остается доступным для использования при обновлении базовых показателей, которые еще не получили новую версию, которая использует новый формат. Инструкции см. в разделе Обновление базовых показателей, использующих предыдущий формат.
После выпуска новой версии базового плана после мая 2023 г. запланируйте обновление существующих профилей до новой версии. При переходе с более старого формата на новый базовый формат (с версии, выпущенной до мая 2023 г. на версию, выпущенную в мае 2023 г. или более поздней):
Все новые профили для базового типа, например Microsoft Edge, используют новый формат. Создание нового базового плана, использующего более старую версию базового плана, не поддерживается.
Базовые версии, выпущенные до мая 2023 г., не обновляются до нового формата. Вместо этого создайте новый профиль, использующий новый формат, и настройте параметры из старого базового плана в этом новом формате. Воссоздание профиля — это одноразовый процесс, который требуется для перемещения базового плана из старого формата в новый базовый формат.
Чтобы помочь вам в этом, Intune может экспортировать старый профиль в формат CSV, который определяет каждый параметр на основе имени параметра, отображаемого в новой версии профиля, а также его конфигурации.
После создания нового базового плана, который может заменить старую версию базового плана, старый профиль остается неизменным, и вы можете продолжать использовать его. Вы можете продолжить развертывание, переназначение и изменение параметров в старом базовом формате.
Совет
Поддержка изменения параметров в более старой базовой версии после обновления до новой версии является изменением по сравнению с прошлым поведением. Такое поведение возможно только при переходе с базовых версий, созданных до мая 2023 г., на версии, созданные в мае 2023 г. или более поздней, так как новый базовый формат существует параллельно со старым базовым форматом вместо замены. Позже при обновлении базового экземпляра, созданного в мае 2023 г. или более поздней, до более новой версии возвращается исходное поведение, при котором вы не можете изменить параметры в более старой версии.
Рекомендуется прекратить использование старого формата и как можно скорее развернуть профиль на основе последней версии. Старые профили не получают обновления, а более новые версии, выпущенные в мае 2023 г.:
- Используйте новый формат параметров в пользовательском интерфейсе Intune, который напрямую соответствует источнику поставщика служб конфигурации (CSP) для каждого параметра.
- Предварительно настроены конфигурации по умолчанию, которые рекомендуются соответствующими командами безопасности.
Обновление базового плана до нового формата
Чтобы обновить базовый план, созданный до мая 2023 г., до нового формата, необходимо создать новый экземпляр базовых показателей. Чтобы помочь в повторном создании исходной конфигурации базовых показателей, intune можно экспортировать текущую конфигурацию базовых показателей в виде файла .CSV. Экспорт включает:
- Каждый параметр из предыдущего базового плана определяется с помощью имени параметра, отображаемого в новом базовом плане. Хотя имя параметра не представлено дословно в .csv, вы можете найти путь к параметру, который содержит часть имени параметра.
- Настройка каждого параметра в более старой базовой конфигурации.
- Если конфигурация параметра из старого базового плана соответствует конфигурации по умолчанию из нового базового плана.
Используя сведения из экспорта, вы можете быстро перенастроить новый базовый план, чтобы использовать те же значения, что и старый экземпляр базовых показателей.
Войдите в Центр администрирования Microsoft Intune и перейдите в раздел Базовыепоказателибезопасности > конечных >точек.Выберите тип базового плана, а затем установите флажок для базового профиля (экземпляра), который вы хотите реплицировать в новом формате базовых показателей, а затем выберите Изменить версию. Intune отображает панель Изменение версии .
На следующем снимке экрана мы подробно рассмотрели базовые показатели безопасности для Microsoft Edge. В настоящее время у нас есть два профиля. Один из них — это новый профиль для Microsoft Edge версии 112, а другой — более старый профиль с сентября 2020 г. В старом профиле также отображается значок со стрелкой, указывающий на наличие новой версии для замены.
На панели Изменение версии есть инструкции по перемещению сведений о конфигурации из более старой базовой конфигурации в профиль, использующий новый формат. Область также определяет имя и версию выбранных базовых показателей, а также последнюю версию базового плана.
Выберите Экспорт параметров профиля , чтобы создать файл .csv со списком параметров в выбранном базовом плане, а также их текущие конфигурации, если они не заданы для базовых показателей по умолчанию. При выборе варианта экспорта сведений о базовых планах Intune подготавливает экспорт, а затем требует согласия на продолжение. Выберите Да , чтобы скачать экспорт файла .CSV.
После скачивания файла его можно открыть, чтобы просмотреть более старые базовые конфигурации текущей конфигурации.
В области Изменить версию также есть кнопка Создать новый профиль для выбранного базового плана, которая имеет ту же функцию, что и параметр Создать профиль , который чаще используется для создания новых экземпляров базовых показателей.
На следующем снимке экрана показан экспорт профиля Microsoft Edge версии 85, как показано в Microsoft Excel. Из новых базовых показателей Microsoft Edge 17 параметров, которые были найдены в старом профиле, изменился только один параметр: Включить изоляцию сайта для каждого сайта было задано значение Отключено в старом базовом плане. В более новой базовой конфигурации по умолчанию по умолчанию задано значение Включено:
На предыдущем рисунке содержатся три столбца сведений. Эти сведения идентифицируют параметры в новом профиле и конфигурацию для каждого из них, которая была в старом профиле.
DefinitionId — в этом столбце отображается имя реестра параметров. Информация после символа подчеркивания ( _ ) определяет имя параметров в том виде, в котором оно отображается в новом базовом профиле и формате, но без пробелов в имени. Это значение также является именем параметра CSP, которым управляет этот базовый параметр.
Например, измененный параметр Включить изоляцию сайта для каждого сайта отображается в этом экспорте как admx--microsoftedge_SitePerProcess. Последняя часть SitePerProcess помогает определить параметр.
defaultJson — этот столбец определяет конфигурацию по умолчанию для этого параметра, как показано в новом базовом формате. В нашем примере параметра для sitePerProcess CSP задано значение включено по умолчанию.
customizedJson — в последнем столбце отображается конфигурация каждого параметра из предыдущей версии профиля. Эти сведения помогут вам понять, какие параметры в новом профиле требуют изменения в соответствии с конфигурацией старых профилей. Наш пример параметра был установлен в значение Отключено. Все остальные параметры отображаются как NotApplicable, так как они не были изменены из конфигурации по умолчанию в более старой базовой версии, которую мы использовали.
Вы можете отметить, что обновленный базовый профиль Microsoft Edge содержит более 17 параметров, найденных в старом профиле. При экспорте базовых показателей эти новые параметры не определяются, так как они были недоступны в старой версии базовых показателей, которую вы просматриваете.
Позже при создании и настройке нового профиля можно использовать список из экспорта CSV- файла, чтобы убедиться, что каждый параметр из предыдущего профиля задается в новом профиле с той же конфигурацией.
Обновление базовых показателей, использующих предыдущий формат
Сведения в этом разделе относятся к обновлению существующего базового плана, созданного до мая 2023 г., до версии этого же базового плана, которая также была выпущена до мая 2023 г.
Примечание.
В мае 2023 г. Intune начал развертывание нового формата базовых показателей безопасности для каждого нового выпуска или обновления базовых показателей. Intune также представил новый процесс обновления для переноса существующего профиля базовых показателей безопасности в недавно выпущенный базовый план безопасности. Это новое поведение заменяет существующее поведение при переходе на базовую версию, выпущенную в мае 2023 г. или более поздней.
Следующие рекомендации предназначены для использования при обновлении базовых показателей до более новой версии, выпущенной до мая 2023 г. Если вы обновляете базовый план до версии, выпущенной в мае 2023 г. или более поздней, см. раздел Обновление профиля до последней версии.
Когда станет доступна новая версия для базового плана, запланируйте обновление существующих профилей до новой версии:
- Существующие профили не обновляются до новых версий автоматически.
- Параметры в профилях базовых конфигураций, не использующих последнюю версию, становятся доступны только для чтения. Вы можете продолжать использовать эти старые профили, в том числе изменять их имя, описание и назначения, но вы не можете изменять параметры для них или создавать новые профили на основе этих старых версий.
Рекомендуется протестировать обновление версии на копии существующих профилей перед обновлением действующих профилей.
При изменении версии профиля:
Выберите последний экземпляр той же базовой конфигурации. Типы базовых конфигураций заменять нельзя, например, задав для профиля базовую конфигурацию безопасности MDM вместо базовой конфигурации Defender для конечной точки.
Вы можете экспортировать и скачать CSV-файл, в котором перечислены изменения между двумя базовыми версиями.
Вы можете выбрать способ обновления профиля.
- Можно сохранить все настройки из исходной версии базовой конфигурации.
- Можно использовать значения по умолчанию для всех параметров в новой версии базовой конфигурации.
В процессе обновления нельзя изменять только некоторые параметры профиля.
В ходе преобразования происходит следующее:
Добавляются новые параметры, отсутствовавшие в предыдущей версии, которую вы использовали. Все новые параметры из новой версии используют значения по умолчанию.
Параметры, которые отсутствуют в новой версии базовой конфигурации, удаляются и больше не применяются в этом профиле базовой конфигурации безопасности.
Если какой-либо параметр больше не регулируется профилем базовой конфигурации, он не сбрасывается на устройстве. Этот параметр сохраняет на устройстве последнюю заданную конфигурацию, пока какой-нибудь другой процесс не переопределит его. Процессом, который способен изменять более нерегулируемые параметры, может быть другой профиль базовой конфигурации, параметры групповой политики или настройка, вручную выполняемая на устройстве.
После завершения преобразования до новой версии базовой конфигурации:
- Базовая конфигурация немедленно повторно развертывается в назначенных группах.
- Вы можете отредактировать эту базовую конфигурацию, чтобы изменить отдельные параметры.
Тестирование преобразования и обновленной базовой конфигурации
Перед обновлением профиля базовой конфигурации до новой версии создайте его копию, чтобы можно было протестировать новую версию профиля в группе устройств. См. раздел Создание дубликата базовой конфигурации безопасности далее в этой статье.
- При создании копии назначения групп не включаются. Это означает, что базовая копия не будет развернута на каких-либо устройствах во время создания копии или при обновлении до новой версии.
- После обновления профиля до последней версии можно изменить его параметры. Вы можете назначить обновленную копию группе устройств и отредактировать ее, чтобы изменить отдельные параметры профиля.
Изменение версии базовых показателей для профиля
Перед обновлением версии профиля, назначенного группам, протестируйте обновление версии на копии профиля, чтобы можно было проверить параметры новой базовой конфигурации в тестовой группе устройств.
Войдите в Центр администрирования Microsoft Intune.
Выберите Защита конечной точки>Базовые показатели безопасности и плитку типа базовых показателей с профилем, который требуется заменить.
Затем выберите Профили, установите флажок для профиля, который вы хотите заменить, и щелкните Изменить версию.
В окне изменения версии разверните раскрывающийся список Select a security baseline to update to (Выбрать новую базовую конфигурацию безопасности) и выберите версию экземпляра, которую вы планируете использовать.
Выберите Просмотреть обновление, чтобы скачать CSV-файл со сведениями об отличиях прежней и новой версии. Просмотрите файл, чтобы узнать, какие параметры были добавлены или удалены в обновленном профиле, а также их значения по умолчанию.
После этого перейдите к следующему шагу.
В разделе Select a method to update the profile (Выбрать метод обновления профиля) выберите один из двух вариантов:
- Accept baseline changes but keep my existing setting customizations (Принять изменения базовой конфигурации и сохранить существующие пользовательские настройки параметров). При выборе этого метода пользовательские настройки профиля базовой конфигурации сохраняются и применяются к новой версии.
- Accept baseline changes and discard existing setting customizations (Принять изменения базовой конфигурации и удалить существующие пользовательские настройки параметров). Этот метод предполагает полную перезапись исходного профиля. Обновленный профиль использует значения по умолчанию для всех параметров.
Выберите Отправить. Профиль будет обновлен до указанной версии базовой конфигурации, после чего она будет сразу развернута для назначенных групп.
Удаление назначения базовой конфигурации безопасности
Если параметр базовых показателей безопасности больше не применяется к устройству или для параметров в базовом плане задано значение Не настроено, эти параметры на устройстве могут не вернуться в предварительно управляемую конфигурацию в зависимости от параметров в базовом плане безопасности. Параметры основаны на CSP, и каждый CSP может обрабатывать удаление изменений по-разному.
Таким процессом, способным изменять параметры на устройстве, может быть другой или новый профиль базовой конфигурации, профиль конфигурации устройства, параметры групповой политики или настройка, вручную выполняемая на устройстве.
Дублирование базовых показателей безопасности
Вы можете создавать дубликаты базовых показателей безопасности. Дублирование базовой конфигурации удобно использовать в тех случаях, когда нужно назначить подмножеству устройств аналогичную, но отличающуюся базовую конфигурацию. Создав дубликат, вам не нужно вручную воссоздавать весь базовый план. Можно продублировать любой текущий базовый показатель, а затем внести только те изменения, которые требуются новому экземпляру. Можно изменить только конкретный параметр и группу, которым назначен базовый показатель.
При создании дубликата присвойте копии новое имя. Копия создается с теми же конфигурациями параметров и тегами области, что и исходная, но не имеет назначений. Чтобы добавить назначения, необходимо изменить новый базовый план.
Все базовые показатели безопасности поддерживают создание дубликатов.
После дублирования базового показателя проверьте и отредактируйте новый экземпляр, чтобы внести изменения в его конфигурацию.
Дублирование базового показателя
- Войдите в Центр администрирования Microsoft Intune.
- Последовательно выберите Безопасность конечной точки>Базовые показатели безопасности, выберите тип базового показателя для дублирования, а затем щелкните Профили.
- Щелкните правой кнопкой мыши профиль для дублирования и выберите Дублировать либо нажмите кнопку с многоточием (...) справа от базового показателя и щелкните Дублировать.
- В поле Новое имя укажите имя базового показателя, а затем нажмите кнопку Сохранить.
Нажмите кнопку Обновить, после чего в центре администрирования появится новый профиль базового показателя.
Изменение базового показателя
Выберите базовый показатель, а затем щелкните Свойства.
В этом представлении вы можете нажать кнопку Правка в следующих категориях для изменения профиля:
- Основы
- Задания
- Теги области
- параметры конфигурации;
Вы можете изменятьпараметры конфигурации профиля только в том случае, если он использует последнюю версию этой базовой конфигурации безопасности. Для профилей, использующих более старые версии, вы можете развернуть категорию Параметры, чтобы посмотреть конфигурацию параметров в профиле, но изменить их нельзя. Вы сможете изменять параметры профиля после его обновления до последней версии базовой конфигурации.
После внесения изменений нажмите кнопку Сохранить, чтобы сохранить изменения. Сначала необходимо сохранить изменения в одной категории, и только после этого приступать к изменениям в других категориях.
Старые базовые версии
Microsoft Intune обновляет версии встроенных базовых показателей безопасности в зависимости от изменяющихся потребностей типичной организации. Каждый новый выпуск приводит к обновлению версии до определенных базовых показателей. Ожидается, что клиенты будут использовать последнюю базовую версию в качестве отправной точки для своих профилей конфигурации устройств.
Если в вашем клиенте больше нет профилей, использующих более старые базовые показатели, Microsoft Intune выводит последнюю доступную версию базового плана.
Если у вас есть профиль, связанный с более старым базовым уровнем, этот старый базовый план по-прежнему отображается.
Совместно управляемые устройства
Базовые показатели безопасности на устройствах, управляемых Intune, аналогичны совместно управляемым устройствам с Configuration Manager. Совместно управляемые устройства используют Configuration Manager и Microsoft Intune для одновременного управления устройствами с Windows 10/11. Это позволяет вам присоединить ваши существующие инвестиции в Configuration Manager к преимуществам Intune. Статья Что такое совместное управление? является превосходным ресурсом в том случае, если вы используете Configuration Manager, а также хотите воспользоваться преимуществами облака.
При использовании совместно управляемых устройств необходимо переключить рабочую нагрузку конфигурации устройства (его параметры) на Intune. Дополнительные сведения предоставлены в разделе Конфигурация устройства.
Дальнейшие действия
Проверка состояния и мониторинг базовых показателей и профиля
Просмотрите параметры в последних доступных версиях базовых конфигураций:
- Windows 10 и более поздних версий — базовые показатели безопасности MDM
- Базовые показатели Microsoft Defender для конечной точки
- Приложения Microsoft 365 для бизнеса (базовые показатели Office)
- Microsoft Edge (версия 112 и более поздние версии)
- Базовые показатели системы безопасности для Windows 365