分享方式:


使用安全性基準來協助保護您使用 Microsoft Intune 管理的 Windows 裝置

透過Microsoft Intune 的安全性基準,您可以快速地將建議的安全性狀態部署到受控 Windows 裝置,以取得 Windows 安全性基準,以協助您保護使用者和裝置的安全。

雖然 Windows 和 Windows Server 是設計為現成安全,但許多組織仍然想要更細微地控制其安全性設定。 為了流覽大量控件,組織通常會尋求設定各種安全性功能的指引。 Microsoft以安全性基準的形式提供此指引。

本功能適用於:

  • Windows 10 1809 版和更新版本
  • Windows 11

Intune 安全性基準概觀

每個安全性基準都是一組預先設定的 Windows 設定,可協助您套用並強制執行相關安全性小組建議的細微安全性設定。 您也可以自定義您部署的每個基準,只強制執行所需的設定和值。 當您在 Intune 中建立安全性基準設定檔時,您會建立由多個 裝置組 態設定檔組成的範本。

每個基準中的設定都是裝置組態設定,就像在各種 Intune 原則中找到的設定一樣。 基準中的每個設定都適用於受控 Windows 裝置上相關產品的設定服務提供者。

若要深入瞭解部署安全性基準的原因和時機,請參閱 Windows 安全性檔中的 Windows 安全性基準

您會將安全性基準部署到 Intune 中的使用者或裝置群組,而這些設定會套用至執行 Windows 10 或 11 的裝置。 例如, Windows 10 和更新版本安全性基準 的預設設定會自動啟用卸載式磁碟驅動器的 BitLocker、自動需要密碼來解除鎖定裝置、自動停用基本身份驗證等等。 當預設值不適用於您的環境時,請自定義基準以套用所需的設定。

注意事項

在 2023 年 5 月,Intune 開始針對每個新的基準版本或版本更新推出新的安全性基準格式。 新格式會更新基準設定,以直接從設定服務提供者取得其名稱和組態選項, (CSP) 由基準設定所管理。

Intune 也引進了新的程式,可協助您將現有的安全性基準配置檔移轉至較新的基準版本。 這個新行為是一次性程式,當您從最新版的舊版配置檔移至 2023 年 5 月或更新版本推出的新版本時,會取代一般更新行為。

使用基準的優點
安全性基準可協助您在使用 Microsoft 365 時擁有端對端安全工作流程。 其中一些優點包括:

  • 根據預設,每個安全性基準都會設定為符合影響安全性之設定的最佳做法和建議。 Intune 會與建立組策略安全性基準的相同 Windows 安全性小組合作。 這些建議是以指引和廣泛的體驗為基礎。
  • 如果您不熟悉 Intune,而且不確定要從何處開始,安全性基準可讓您獲得優勢。 您可以快速建立和部署安全的配置檔,知道您正在協助保護組織的資源和數據。
  • 如果您目前使用組策略,使用這些基準移轉至 Intune 進行管理會比較容易。 這些基準原生內建於 Intune 中,並包含新式管理體驗。

跨多個基準的預設設定
個別的基準類型,例如適用於 Windows 的 MDM 安全性基準和 Microsoft Defender 的基準,可能會包含相同的設定,並針對這些設定使用不同的預設值。 Intune 無法判斷哪一個設定最適合您,或甚至是您可能想要使用一個比較另一個基準預設建議的環境或案例:

  • 請務必瞭解您所使用基準中的預設值,然後修改每個基準以符合組織需求。
  • 根據預設,每個基準都會使用其所套用產品專屬的建議預先設定。
  • 在某些情況下,Microsoft Defender 建議的組態,在 Windows 建議時,可能不是類似設定的預設組態。 在這種情況下,請務必檢閱每個設定,以便根據設定服務提供者詳細數據,以及這兩個產品的較大範圍來瞭解其意圖。

在幾乎所有情況下,安全性基準中的預設設定最為嚴格。 您應該確認這些設定不會與您環境中的其他原則設定或功能衝突。

例如,防火牆組態的預設設定可能不會將連線安全性規則和本機原則規則與 MDM 規則合併。 因此,如果您使用傳遞優化,則應該先驗證這些設定,再指派安全性基準。

注意事項

Microsoft不建議在生產環境中使用預覽版的安全性基準。 預覽基準中的設定可能會在預覽過程中變更。

可用的安全性基準

下列安全性基準實例可用於Intune。 使用連結來檢視每個基準最近實例的設定。

當配置檔的新版本可供使用時,以舊版為基礎的配置檔中的設定會變成只讀。 您可以繼續使用這些較舊的配置檔。 您也可以編輯配置檔名稱、描述和指派,但它們不支援變更其設定組態,而且您無法根據舊版建立新的配置檔。

當您準備好使用較新的基準版本時,可以建立新的配置檔,或將現有的配置檔更新為新版本。 請參閱管理安全性基準配置檔一文中的變更配置檔的基準版本。

關於基準版本和實例

基準的每個新版本實例都可以新增或移除設定,或導入其他變更。 例如,當新版本的 Windows 10/11 提供新的 Windows 設定時, Windows 10 和更新版本的安全性基準 可能會收到包含最新設定的新版本實例。

您可以在 Microsoft Intune 系統管理中心的[端點安全>性基準] 底下,檢視可用的基準清單。 清單包括:

  • 每個安全性基準範本的名稱。
  • 您有多少設定檔使用該類型的基準。
  • 有多少個別實例 (基準類型的版本) 可用。
  • 上次 發佈 日期,可識別基準範本的最新版本何時可供使用。

若要檢視您所使用基準版本的詳細資訊,請選取基準類型,例如 Windows 10 和更新版本的安全性基準 ,以開啟其 [配置檔 ] 窗格,然後選取 [ 版本]。 Intune 會顯示配置檔所使用之基準版本的詳細數據。 詳細數據包括最新和目前的基準版本。 您可以選取單一版本,以檢視有關使用該版本之配置檔的更深入詳細數據。

您可以選擇變更與指定設定檔搭配使用的基準 版本 。 當您變更版本時,不需要建立新的基準配置檔來利用更新的版本。 相反地,您可以選取基準配置檔,並使用內建選項,將該配置檔的實例版本變更為新的。

避免衝突

您可以同時在 Intune 環境中使用一或多個可用的基準。 您也可以使用具有不同自定義專案之相同安全性基準的多個實例。

當您使用多個安全性基準時,請檢閱每個安全性基準中的設定,以識別不同的基準組態何時針對相同的設定導入衝突的值。 因為您可以部署專為不同意圖而設計的安全性基準,並部署包含自定義設定之相同基準的多個實例,所以您可能會為必須調查並解決的裝置建立組態衝突。

此外,安全性基準通常會管理您可能使用 裝置組態配置檔 或其他類型的原則所設定的相同設定。 因此,在尋求避免或解決衝突時,請留意並考慮設定的其他原則和配置檔。

如需可協助您識別和解決衝突的資訊,請參閱:

Q & A

為何要進行這些設定?

Microsoft安全性小組多年來一直與 Windows 開發人員和安全性社群合作,以建立這些建議。 此基準中的設定會被視為最相關的安全性相關組態選項。 在 Windows 的每個新組建中,小組會根據新發行的功能調整其建議。

組策略與 Intune 的 Windows 安全性基準建議是否有差異?

相同的Microsoft安全性小組會選擇並組織每個基準的設定。 Intune 包含 Intune 安全性基準中的所有相關設定。 組策略基準中有一些專屬於內部部署域控制器的設定。 這些設定會從 Intune 的建議中排除。 所有其他設定都相同。

Intune 安全性基準 CIS 或 NIST 是否符合規範?

嚴格來說,否。 Microsoft安全性小組會洽詢 CIS 等組織,以編譯其建議。 不過,「符合 CIS 標準」與「Microsoft基準」之間沒有一對一的對應。

Microsoft的安全性基準有哪些認證?

Microsoft會繼續發佈組策略的安全性基準, (GPO) 和安全 性合規性工具組,如同多年來一樣。 許多組織會使用這些基準。 這些基準中的建議來自Microsoft安全性小組與企業客戶和外部機構的業務開發,包括美國國防部 (DoD) 、美國國家標準技術局 (NIST) 等等。 我們會與這些組織分享我們的建議和基準。 這些組織也有自己的建議,可密切反映Microsoft的建議。 隨著行動裝置管理 (MDM) 持續成長至雲端,Microsoft這些組策略基準建立了對等的 MDM 建議。 許多這些基準都內建在 Microsoft Intune 中,並包含遵循 (或未遵循基準) 使用者、群組和裝置的合規性報告。

許多客戶會使用 Intune 基準建議作為起點,然後自定義這些建議以符合其 IT 和安全性需求。 Microsoft的 Windows 10 和更新版本基準範本是第一個要發行的基準。 此基準建置為一般基礎結構,可讓客戶最終根據 CIS、NIST 和其他標準匯入其他安全性基準。

使用 Microsoft Entra ID 搭配 Microsoft Intune 從內部部署 Active Directory 組策略移轉至純雲端解決方案是一段旅程。 為了提供協助,請使用 安全性合規性工具組 中的各種工具,協助您從可取代內部部署 GPO 設定的安全性基準中識別雲端式選項。

哪裡可以找到有關使用或設定安全性基準中可用設定的詳細數據?

每個安全性基準都會套用在裝置上設定服務提供者中找到的選項來管理裝置設定。 例如,套用至 Microsoft Defender 的設定取自第 1 Microsoft Defender CSP。 因為 Intune 是這些選項的設定工具,而且不會決定其功能或範圍,所以 CSP 檔會擁有如何設定每個選項的內容。

在 Intune 安全性基準原則 UI 中,Intune 會提供從來源 CSP 取得的資訊文字,並提供該 CSP 的連結。 在某些情況下,CSP 可能是較大內容集的一部分,其中包含超出 Intune 範圍的主動式指引,以在我們的內容中包含或重複。 不過,Intune 會記錄每個安全性基準版本及其預設組態中的設定清單。

後續步驟