在 Microsoft Intune 中管理安全基线配置文件
为了帮助保护用户和 Windows 设备,可以配置 Microsoft Intune 安全基线配置文件的不同实例并将其部署到不同的 Windows 设备和用户组。 不同产品有不同的基线,每个基线都是一组预配置设置,表示产品安全团队建议的安全状况。 可以部署默认 (未经修改) 基线,或自定义配置文件,以使用组织所需的设置配置设备。
有关可用安全基线的列表,请参阅 安全基线概述。
此功能适用于:
- Windows 10 版本 1809 及更高版本
- Windows 11
安全基线概述
在 Intune 中创建安全基线配置文件时,将创建包含多个“设备配置”设置的模板。
如果存在安全基线的多个版本,则只能使用最新版本来创建该基线的新实例。 可以继续使用以前创建的旧基线实例,并编辑它们分配到的组。 但是,过时的版本不支持更改其设置配置。 相反,请创建使用最新基线版本的新基线,或者如果需要为设置引入新配置,请将旧基线更新为最新版本。
建议尽快将较旧的基线版本更新为最新版本。 较新版本可以:
- 包括旧版本中不可用的新设置。
- 停用并删除不再受支持的旧设置。
- 更改设置的默认配置,使其与适用产品的当前安全建议保持一致。
使用安全基线时的常见任务包括:
- 创建新的配置文件实例 – 配置要使用的设置,并将基线分配给组。
- 将较旧版本的基线更新为最新的基线版本 - 更改配置文件正在使用的基线版本。
- 删除基线分配 - 了解停止使用安全基线来管理设置时会发生什么。
先决条件
使用 Intune 部署安全基线需要Microsoft Intune 计划 1 订阅。
提示
Intune 提供了一个易于使用的用户界面来配置和部署安全基线,但不会创建或定义安全基线。 在 Intune 之外,可以使用其他用于部署安全基线的选项,例如 安全合规性工具包提供的选项。
通过 Intune 使用基线需要为托管产品提供活动订阅(如果适用)。 例如,使用 Microsoft Defender for Endpoint 基线不会授予使用 Microsoft Defender 的权限。 相反,基线提供了一种方法来配置和管理设备上存在的设置,这些设置由 Microsoft Defender for Endpoint 授权和管理。
要在 Intune 中管理基线,帐户必须具有内置的策略和配置文件管理员角色。
为安全基线创建配置文件
选择“终结点安全性”>“安全基线”以查看可用基线列表。
依次选择要使用的基线和“创建配置文件”。
在“基本信息”选项卡上,指定以下属性:
名称:输入安全基线配置文件的名称。 例如,输入“Defender for Endpoint 的标准配置文件”。
描述:输入一些文本来描述此基线的用途。 可以在“说明”中视需要输入任意文本。 此属性不是必填项,但建议填写。
选择“ 下一步 ”转到“下一个”选项卡。转到新选项卡后,可以选择选项卡名称以返回到以前查看的选项卡。
在“配置”设置选项卡上,查看所选基线中可用的“设置”组。 可以展开组以查看该组的设置,以及这些设置在基线中的默认值。 若要查找特定设置:
- 选择一个组以展开并查看可用的设置。
- 设置的见解位于灯泡图标旁边。 设置见解通过添加类似组织成功采用的见解来增强配置的信心。 见解可用于某些设置,而不是所有设置。 有关详细信息,请参阅 设置见解。
- 使用“搜索”栏并指定用于筛选视图以仅显示包含搜索条件的组的关键字。
基线中的每个设置都有该基线版本的默认配置预设。 一些将不进行配置,而另一些则设置为在设备上配置特定值或条件。 在基线中找到的默认预设表示产品安全团队的建议安全态势。 配置基线时:
- 请务必查看每个设置,并在业务需要其他配置时根据需要重新配置默认预设。
- 请注意,不同的基线类型和版本可以包括在其他基线中找到的设置,并且每种设置可能建议为设置使用不同的默认值。
在“作用域标记”选项卡上,选择“选择作用域标记”以打开“选择标记”窗格,将作用域标记分配给配置文件。
在“ 分配 ”选项卡上,选择“ 选择要包含的组 ”,然后将基线分配给一个或多个组。 使用“选择要排除的组”对分配进行相应调整。
注意
安全基线必须根据所使用的设置范围分配给用户组或设备组。 因此,在分配基于用户和基于设备的设置时,可能需要多个基线。
准备好部署基线后,请转到“查看 + 创建”选项卡以查看基线的详细信息。 选择“创建”以保存并部署配置文件。
创建配置文件后,Intune 会立即将其推送到分配的组,后者会立即应用该配置文件。
提示
如果在保存配置文件之前,未先将配置文件分配给组,可以稍后编辑配置文件以执行此操作。
创建配置文件后,通过转到“终结点安全性”>“安全基线”对其进行编辑,选择已配置的基线类型,然后选择“配置文件”。 从可用的配置文件列表中选择配置文件,然后选择“属性”。 可以编辑所有可用的配置选项卡中的设置,并选择“查看 + 保存”以提交所做的更改。
将配置文件更新到最新版本
本部分中的信息适用于将 2023 年 5 月之前创建的基线实例更新为 2023 年 5 月之后发布的同一基线版本。
注意
2023 年 5 月,Intune 开始为每个新的基线版本或更新推出新的安全基线格式。 Intune 还引入了新的更新过程,用于将现有安全基线配置文件迁移到新发布的安全基线。 在 移动到 2023 年 5 月或更高版本发布的基线版本时,此新行为将替换现有行为。
更新尚未收到使用新格式的新版本的基线时,以前的行为仍可供使用。 有关指导,请参阅 更新使用以前格式的基线。
2023 年 5 月之后,当发布基线的新版本时,计划将现有配置文件更新为新版本。 从旧格式移动到新的基线格式时, (从 2023 年 5 月之前发布的版本迁移到 2023 年 5 月或更高版本的版本) :
基线类型的所有新配置文件(如 Microsoft Edge)都使用新格式。 不支持创建使用旧基线版本的新基线。
2023 年 5 月之前发布的基线版本不会升级到新格式。 请改为创建使用新格式的新配置文件,并使用新基线格式配置旧基线中的设置。 配置文件的重新创建是一次性过程,需要将基线从旧格式移动到新的基线格式。
为了帮助你完成此过程,Intune 可以将旧配置文件导出为 CSV 格式,该格式根据新配置文件版本中出现的设置名称及其配置标识每个设置。
创建可替换旧基线版本的新基线后,旧配置文件将保持不变,你可以继续使用它。 可以继续部署、重新分配和编辑旧基线格式的设置。
提示
更新到新版本后,支持在较旧基线版本中编辑设置是过去行为的更改。 仅当从 2023 年 5 月之前创建的基线版本移动到 2023 年 5 月或更高版本创建的版本时,此行为才可行,因为新的基线格式与较旧的基线格式并存,而不是替换它。 稍后,将 2023 年 5 月或更高版本创建的基线实例更新为较新版本时,将返回无法在旧版本中编辑设置的原始行为。
建议计划停止使用旧格式,并尽快部署基于最新版本的配置文件。 较新版本在 2023 年 5 月发布时,较旧的配置文件不会接收更新:
- 在 Intune UI 中使用与配置服务提供程序直接一致的新设置格式, (CSP) 每个设置的源。
- 使用相关安全团队建议的默认配置进行预配置。
将基线更新为新格式
若要将 2023 年 5 月之前创建的基线更新为新格式,必须创建新的基线实例。 为了帮助你重新创建原始基线配置,可以将 Intune 将当前基线配置导出为 .CSV 文件。 导出包括:
- 使用新基线中显示的设置名称来标识旧基线中的每个设置。 虽然设置名称未在 .csv 中逐字显示,但你可以找到设置的路径,其中包含部分设置名称。
- 如何配置旧基线中的每个设置。
- 如果旧基线中的设置配置与新基线中的默认配置匹配。
使用导出中的信息,可以快速重新配置新基线,以使用与旧基线实例相同的值。
登录到 Microsoft Intune 管理中心,转到 “终结点安全>基线>”选择基线类型,然后选择要以新基线格式复制的基线配置文件 (实例) 的复选框,然后选择“ 更改版本”。 Intune 显示“ 更改版本 ”窗格。
在以下屏幕截图中,我们钻取了 Microsoft Edge 的安全基线。 我们目前有两个配置文件。 一个是 Microsoft Edge v112 的新配置文件,另一个是 2020 年 9 月的较旧配置文件。 较旧的配置文件还显示箭头图标,指示有一个更新的版本来替换它。
在“ 更改版本 ”窗格中,提供了将配置详细信息从旧基线移动到使用新格式的配置文件的说明。 窗格还标识所选基线名称和版本,以及最新的基线版本。
选择 “导出配置文件设置” 以创建一个 .csv 文件,该文件列出所选基线中的设置及其当前配置(如果这些设置未设置为基线默认值)。 选择导出基线详细信息的选项时,Intune 会准备导出,然后要求你同意继续。 选择“ 是 ”下载 .CSV 文件导出。
下载文件后,可以打开它以查看较旧的基线当前配置。
“ 更改版本 ”窗格还包括一个按钮,用于为所选基线 创建新 配置文件,该按钮的功能与更常用于创建新基线实例的 “创建配置文件” 选项相同。
以下屏幕截图显示了 Microsoft Edge 配置文件版本 85 的导出,如 Microsoft Excel 中所示。 在较旧配置文件中找到的新 Microsoft Edge 基线 17 个设置中,只有一个设置已更改:在旧基线中为每个 站点启用站点隔离 已设置为 “禁用 ”。 在较新的基线中,设置现在默认为 “已启用”:
在上图中,有三列信息。 该信息标识新配置文件中的设置,以及旧配置文件中每个设置的配置。
DefinitionId – 此列显示设置注册表名称。 下划线 ( _ ) 后的信息标识新基线配置文件和格式中显示的设置名称,但名称中没有空格。 此值也是此基线设置所管理的 CSP 设置的名称。
例如,我们修改的 “为每个站点启用站点隔离” 设置在此导出中显示为 admx--microsoftedge_SitePerProcess。 最后一部分 SitePerProcess 有助于标识设置。
defaultJson – 此列标识此设置的默认配置,如新基线格式所示。 默认情况下,SitePerProcess CSP 的示例设置设置为“启用”。
customizedJson – 最后一列显示旧配置文件版本中每个设置的配置。 此信息可帮助你了解新配置文件中的哪些设置需要修改才能与旧配置文件的配置相匹配。 示例设置已设置为 “禁用”。 所有其他设置都显示“NotApplicable”,因为它们未从我们一直使用的旧基线版本中的默认配置进行修改。
你可能会注意到,更新的 Microsoft Edge 基线配置文件包含的 17 个设置超出了旧配置文件中的 17 个设置。 基线导出不会识别这些新设置,因为这些设置在正在查看的旧基线版本中不可用。
稍后,在创建和配置新配置文件时,可以使用 CSV 导出中的列表来确保在具有相同配置的新配置文件中设置上一个配置文件中的每个设置。
更新使用以前格式的基线
本部分中的信息适用于将 2023 年 5 月之前创建的现有基线更新为 2023 年 5 月之前发布的同一基线版本。
注意
2023 年 5 月,Intune 开始为每个新的基线版本或更新推出新的安全基线格式。 Intune 还引入了新的更新过程,用于将现有安全基线配置文件迁移到新发布的安全基线。 在移动到 2023 年 5 月或更高版本发布的基线版本时,此新行为将替换现有行为。
以下指南适用于将基线更新到 2023 年 5 月之前发布的较新版本。 如果要将基线更新到 2023 年 5 月或更高版本发布的版本,请参阅 将配置文件更新到最新版本。
当基线的新版本可用时,计划将现有配置文件更新为新版本:
- 现有配置文件不会自动升级到新版本。
- 不使用最新版本的基线配置文件中的设置将变为只读。 可以继续使用这些较旧的配置文件,包括编辑其名称、说明和分配,但不能编辑它们的设置或基于这些旧版本创建新配置文件。
建议在更新实时配置文件之前,对现有配置文件的副本进行版本更新测试。
更改配置文件版本时:
选择相同基线的最新实例。 无法在两种不同的基线类型之间进行更改,如将配置文件从使用 Defender for Endpoint 基线更改为使用 MDM 安全基线。
可以导出和下载 CSV 文件,该文件列出了所涉及的两个基线版本之间的更改。
选择如何更新配置文件:
- 可以保留原始基线版本的所有自定义项。
- 可以选择对新基线版本中的所有设置使用默认值。
在更新过程中,不能选择仅更改配置文件中的某些设置。
转换期间:
将添加正在使用的旧版本中没有的新设置。 新版本中的任何新设置都使用其默认值。
你选择的新基线版本中未包含的设置将被删除,并且此安全基线配置文件不再强制执行该设置。
如果某个设置不再由基线配置文件管理,那么该设置不会在设备上重置。 相反,设备上的设置仍设置为其最近一次的配置,直到某个其他进程管理这些设置并对其进行更改。 在停止管理某个设置后可以更改该设置的进程示例包括不同的基线配置文件、组策略设置或在设备上进行的手动配置。
新基线版本转换完成后:
- 基线会立即重新部署到分配的组。
- 可以编辑基线以更改个别设置。
测试转换和更新后的基线
在将基线配置文件更新为新版本之前,请创建该配置文件的副本,以便可以在一组设备上测试该配置文件的新版本。 请参阅本文后面的复制安全基线。
- 创建副本时,不包括组分配,这意味着基线副本在创建副本时或将其更新到新版本时不会部署到任何设备。
- 将配置文件更新到最新版本后,可以编辑其设置。 可以将更新后的副本分配给一组设备,并对其进行编辑,以将更改引入到配置文件中的各个设置。
更改配置文件的基线版本的具体步骤
在更新分配给组的配置文件的版本之前,对配置文件副本进行版本更新测试,以便可以在设备的测试组上验证新的基线设置。
选择“终结点安全性”>“安全基线”,然后选择具有要更改的配置文件的基线类型的磁贴。
接下来,选择“配置文件”,然后选中要编辑的配置文件对应的复选框,选择“更改版本”。
在“更改版本”窗格中,使用“选择要更新到的安全基线”下拉列表,然后选择要使用的版本实例。
选择“查看更新”,下载显示配置文件当前实例版本与所选新版本之间的差异的 CSV 文件。 审阅此文件,以了解哪些设置是新的或已删除的,以及这些设置在更新后的配置文件中的默认值是什么。
准备就绪后,继续执行下一步骤。
为“选择更新配置文件的方法”选择两个选项之一:
- 接受基线更改但保留我现有的设置自定义项 - 此选项保留对基线配置文件所设置的自定义项,并将其应用于你选择使用的新版本。
- 接受基线更改并放弃现有设置自定义项 - 此选项将完全覆盖原始配置文件。 更新后的配置文件对所有设置使用默认值。
选择“提交”。 配置文件更新到所选的基线版本,转换完成后,基线将立即重新部署到已分配的组。
删除安全基线分配
当安全基线设置不再应用于设备,或者基线中的设置设置为 “未配置”时,设备上的这些设置可能不会还原为预托管配置,具体取决于安全基线中的设置。 这些设置基于 CSP,并且每个 CSP 可以按不同方式处理更改删除。
可在稍后更改设备设置的其他进程包括其他或新的安全基线、设备配置文件、组策略配置或设备设置的手动编辑。
复制安全基线
可以创建安全基线的副本。 复制基线在以下情景中非常有用:希望将相似但不同的基线分配到设备的子集。 通过创建重复项,无需手动重新创建整个基线。 相反,可以复制任何当前基线,然后仅引入新实例所需的更改。 你只能更改特定设置和分配了基线的组。
创建副本时,请为副本提供新名称。 复制时使用与原始相同的设置配置和范围标记,但没有任何分配。 必须编辑新基线才能添加工作分配。
所有安全基线都支持创建副本。
复制基线后,请查看并编辑新的实例以更改其配置。
若要复制基线
- 登录到 Microsoft Intune 管理中心。
- 转到“终结点安全性”>“安全基线”,选择要复制的基线类型,然后选择“配置文件”。
- 右键单击要复制的配置文件,然后选择“复制”,或选择基线右侧的省略号(…),然后选择“复制”。
- 为基线提供“新名称”,然后选择“保存”。
刷新后,新的基准配置文件将出现在管理中心。
若要编辑基线
选择基线,然后选择“属性”。
在此视图中,可以为以下类别选择“编辑”以修改配置文件:
- 基本信息
- 作业
- 作用域标记
- 配置设置
仅当配置文件使用最新版本的安全基线时,才能编辑配置文件的配置设置。 对于使用旧版本的配置文件,可以展开“设置”以查看配置文件中的配置设置,但不能修改这些设置。 将配置文件更新为最新基线版本后,可以编辑配置文件设置。
更改后,选择“保存”,保存编辑。 先保存对一个类别的编辑,然后才能引入对其他类别的编辑。
较旧的基线版本
Microsoft Intune 根据典型组织不断变化的需求更新内置安全基线的版本。 每个新版本都会导致对特定基线进行版本更新。 预期客户将使用最新的基线版本作为其设备配置文件的起点。
如果租户中不再有任何使用旧基线的配置文件,Microsoft Intune 会列出可用的最新基线版本。
如果某个配置文件与较旧的基线相关联,则会继续列出该旧基线。
共同管理的设备
Intune 托管设备上的安全基线类似于使用 Configuration Manager 的共同管理设备。 共同管理设备同时使用 Configuration Manager 和 Microsoft Intune 来管理 Windows 10/11 设备。 这样一来,可以通过云附加现有 Configuration Manager 投资,以充分发挥 Intune 的优势。 如果使用的是 Configuration Manager,且希望获取云优势,最好参考共同管理概述资源。
使用共同管理设备时,必须将“设备配置”工作负载(其设置)切换为“Intune”。 有关详细信息,请参阅设备配置工作负载。