本表概述了與補丁作業系統相關的 ISM 控制。
| ISM控制 2025年3月 | 成熟度等級 | 控制項 | 測量 |
|---|---|---|---|
| ISM-1694 | 1, 2, 3 | 當供應商評估漏洞非關鍵且無有效漏洞時,會在發布後兩週內對網伺服器及網路裝置的漏洞進行修補、更新或其他廠商緩解措施。 | 使用 Windows Update for Business 及定義更新環,修補程式會在發布前兩週安裝完成。 |
| ISM-1695 | 1, 2 | 針對工作站、非網路伺服器及非網路裝置作業系統漏洞的修補程式、更新或其他廠商緩解措施,會在發布後一個月內完成。 | IT 管理員部署更新時,會在 Microsoft Configuration Manager 中設定指定日期的截止日期 |
| ISM-1696 | 3 | 當廠商評估漏洞為關鍵或存在有效漏洞時,會在發布後48小時內,針對工作站、非網路伺服器及非網路裝置的漏洞進行修補、更新或其他廠商緩解措施。 | IT 管理員部署更新時,會在 Microsoft Configuration Manager 中設定「盡快盡可能」 |
| ISM-1701 | 1, 2, 3 | 漏洞掃描器至少每天使用一次,以識別對網伺服器及網路裝置作業系統中缺失的漏洞補丁或更新。 | 裝置已接入 Defender for Endpoint。 Microsoft Defender 弱點管理將持續監控並偵測組織各裝置的風險。 |
| ISM-1702 | 1, 2, 3 | 漏洞掃描器至少每兩週使用一次,以識別工作站、非網路伺服器及非網路裝置作業系統中漏洞缺失的修補或更新。 | IT 管理員會設定 設定管理員 的軟體更新功能,至少每 14 天掃描一次系統缺失的補丁。 |
| ISM-1877 | 1, 2, 3 | 當廠商評估對向網際網路伺服器及網路裝置的漏洞為關鍵或存在有效漏洞時,會在發布後48小時內執行修補程式、更新或其他廠商緩解措施。 | 使用 Windows Update for Business 加速部署補丁的方法,修補程式會在 48 小時內安裝完成。 |
| ISM-1501 | 1, 2, 3 | 廠商不再支援的作業系統會被替換。 | 利用定義的環,WUfB 會自動將裝置更新到最新功能更新。 |
| ISM-1879 | 3 | 當廠商評估漏洞為關鍵或存在有效漏洞利用時,會在釋出後48小時內執行補丁、更新或其他廠商緩解措施。 | 利用定義的環,WUfB 會自動將裝置更新到最新功能更新。 |
| ISM-1900 | 3 | 漏洞掃描器至少每兩週使用一次,用以識別韌體漏洞的缺失修補或更新。 | 裝置將被導入 Defender for Endpoint。 Microsoft Defender 弱點管理將持續監控並偵測組織各裝置的風險。 |
| ISM-1902 | 3 | 當廠商評估漏洞非關鍵且無有效漏洞時,會在發布後一個月內,針對工作站、非網路伺服器及非網路裝置的漏洞進行補丁、更新或其他廠商緩解措施。 | IT 管理員會設定 設定管理員 的軟體更新功能,至少每 14 天掃描一次系統缺失的補丁。 |
| ISM-1903 | 3 | 當廠商評估韌體漏洞為關鍵或存在有效漏洞時,會在釋出後48小時內施行修補程式、更新或其他廠商緩解措施。 | Intune 的驅動程式與韌體部署方法部署最新的安全驅動程式與韌體版本。 |
| ISM-1904 | 3 | 當廠商評估漏洞非關鍵且無有效漏洞利用時,會在韌體漏洞發布後一個月內執行修補程式、更新或其他緩解措施。 | Intune 的驅動程式與韌體部署方法將用於部署最新的安全驅動程式與韌體版本。 |
| ISM-1697 | 3 | 當廠商評估漏洞非關鍵且無有效漏洞利用時,會在釋出後一個月內執行補丁、更新或其他廠商緩解措施。 | 將採用 Intune 驅動程式與韌體部署方法來修補驅動程式與韌體中的漏洞 |
| ISM-1703 | 3 | 漏洞掃描器至少每兩週使用一次,用以識別驅動程式漏洞缺失的補丁或更新。 | 裝置將被導入 Defender for Endpoint。 Microsoft Defender 弱點管理將持續監控並偵測組織各裝置的風險。 |
| ISM-17041 | 1, 2, 3 | 不再由廠商支援的辦公作業套件、網頁瀏覽器及其擴充功能、電子郵件客戶端、PDF 軟體、Adobe Flash Player 以及安全產品,這些都已被移除。 | Intune 應用程式部署方法用於移除不支援的應用程式與擴充功能2. |
| ISM-18071 | 1, 2, 3 | 至少每兩週使用自動化資產發現方法,以支援後續漏洞掃描活動的資產偵測。 | 使用掃描器進行資產發現並維護資產盤點2. |
| ISM-18081 | 1, 2, 3 | 使用具備最新漏洞資料庫的漏洞掃描器進行漏洞掃描活動。 | DVM 的漏洞資料庫會持續更新,因為 Microsoft 及其他公司會發現安裝在您網路上的軟體漏洞2. |
商務用 Windows Update
Windows Update for Business (WUfB) 讓 IT 管理員能透過直接連接這些端點與 Windows Update,讓組織的 Windows 裝置隨時掌握最新的安全與品質更新及 Windows 功能。 IT 管理員可利用 Microsoft Intune 與 WUfB 的整合,設定裝置的更新設定及延遲安裝。
Windows Update for Business 提供多種更新類型的管理政策:
- 功能更新:這些更新不僅包含安全性與品質的修訂,還有重大的功能新增與變更。 從 Windows 10 21H2 開始,功能更新每年於曆年下半年發布。 功能更新的發佈資訊可在此處記錄:Windows 10 - 發布資訊 |Microsoft Docs
- 品質更新:傳統作業系統更新,通常於每月第二個星期二發布 (但這些更新可隨時發布) 。 其中包括安全性、重要和驅動程式更新。 品質更新可累計。
- Windows 驅動程式:適用於受管理裝置的裝置驅動程式。
- Microsoft產品更新:匯報其他Microsoft產品,如 MSI 版本的 Microsoft 365 應用程式及 .NET (Dot Net) Framework。 這些更新可透過使用 Windows Update for Business 政策來啟用或停用。
Windows Update for Business Rings
WUfB 有環的概念。 環狀是針對特定裝置群組的 WUfB 設定與政策集合。 組織可使用所需的環數量,儘管大多數組織已決定使用比先前使用其他修補工具(如 Microsoft Endpoint Configuration Manager)時少的環數。 建議一開始的戒指數量介於3到5枚之間。
重要的 Windows Update for Business 設定與術語
WUfB 引入了一些管理者可能不熟悉的新概念與術語:
- 偵測:裝置會定期登入 Windows Update 服務,以確認是否有任何更新被提供。 這種檢查並判斷裝置是否有更新的過程稱為偵測。
- 延後:Windows Update for Business 提供延遲裝置更新的時間數。
- 截止日期:截止日期設定允許管理員指定安裝高品質更新前的天數。 在指定天數過後,更新將自動安裝。 截止時間倒數從提供更新的時間開始 (也就是透過裝置) 延期選項偵測到更新。
- 寬限期:寬限期設定允許管理員指定重啟前的天數來套用並安裝更新。 在指定天數過後,系統會自動重新啟動。 重啟倒數從成功安裝更新開始。
Windows Update for Business 設定時間軸範例
| 截止期限 | 寬限期價值 | 強制更新安裝時間 | 強制重啟 |
|---|---|---|---|
| 0 | 0 | 偵測後立即 | 安裝後立即 |
| 2 | 2 | 發現後兩天 | 更新安裝後兩天 |
Windows Update for Business Ring 設定
以下是 WUfB 環形配置範例,共有 5 個環。 每個環項中,會列出建議的延期、截止日期及寬限期。 為方便參考,已提供 每個環的完整配置 。
- 環 0 – 測試裝置:專用測試裝置 (關鍵應用程式 & 初期煙幕)
- 環 1 – 試點裝置:IT 管理員、早期採用者 (佔整體裝置的 1%)
- 環路2 – 快速裝置:隨機組合的裝置 (佔總裝置的9%)
- 環 3 – 廣泛裝置:廣泛部署 (佔總裝置的 90%)
- 環節四 – 關鍵設備:高階主管、業務關鍵設備等。
環 0:測試裝置
- 更新後 0 天安裝。
組織應配置一個「Ring 0」,由專用測試設備組成。
這些裝置即時獲得更新,且不會有任何延遲。 管理員可使用這些裝置進行最新更新的初步驗證,且功能仍能正常運作。
| 品質更新延後 | 功能更新延後 | 截止期限 | 寬限期價值 | 強制品質更新安裝時間 | 強制重啟 |
|---|---|---|---|---|---|
| 0 | 0 | 0 | 0 | 釋放與偵測後立即發生 | 強制更新安裝後立刻 |
完整該 Ring 的設定請參見 Windows Update for Business Ring 設定。
第一環:試播集
- 更新發布後兩天內安裝 (1% 的裝置)
IT 人員及部分早期採用者組成 Ring 1,通常約佔整體管理裝置的 1%。
除了最初使用 Ring 0 進行測試外,這個 Ring 也提供用戶日常工作中的第一線測試,以便在更多裝置收到更新前發現任何問題。
| 品質更新延後 | 功能更新延後 | 截止期限 | 寬限期價值 | 強制品質更新安裝時間 | 強制重啟 |
|---|---|---|---|---|---|
| 2 | 10 | 2 | 2 | 品質更新釋出及偵測後 4 天 | 強制更新安裝後兩天 |
完整該 Ring 的設定請參見 Windows Update for Business Ring 設定。
注意事項
排除用於故障排除與解決問題的特權存取工作站。 Broad Ring 是這些裝置的合適選擇。
環2:快速
- 在發布後 4 天安裝更新 (9% 的裝置)
隨機組合,包含組織 9% 端點的部分,應該加入環 2。
這些裝置設定在發布後 4 天內接收更新,讓更多使用者能進行更多測試,然後再廣泛部署到組織其他部門。
| 品質更新延後 | 功能更新延後 | 截止期限 | 寬限期價值 | 強制品質更新安裝時間 | 強制重啟 |
|---|---|---|---|---|---|
| 4 | 30 | 2 | 2 | 品質更新發布及偵測後 6 天 | 強制更新安裝後兩天 |
完整該 Ring 的設定請參見 Windows Update for Business Ring 設定。
第三圈:布羅德
- 在 90% 的裝置 (7 天後安裝更新)
剩餘的所有裝置都應該設定為環路 3 的一部分。
到了這個階段,組織已經有信心更新可以在各裝置上廣泛安裝。 Ring 3 設定更新會在發布後延後 7 天,然後自動安裝。
| 品質更新延後 | 功能更新延後 | 截止期限 | 寬限期價值 | 強制品質更新安裝時間 | 強制重啟 |
|---|---|---|---|---|---|
| 7 | 60 | 2 | 2 | 品質更新發布與偵測後 9 天 | 強制更新安裝後兩天 |
完整該 Ring 的設定請參見 Windows Update for Business Ring 設定。
環4:關鍵系統
- 更新後 14 天安裝
有些組織擁有少數關鍵設備,例如由高層管理人員使用的裝置。
對於這類裝置,組織可能想進一步延後安裝品質與功能更新,以減少潛在的干擾。 這些裝置會是環形系統 4 的一部分,專門針對這些關鍵裝置。
| 品質更新延後 | 功能更新延後 | 寬限期價值 | 截止期限 | 更新安裝時間 | 強制重啟 |
|---|---|---|---|---|---|
| 10 | 90 | 2 | 2 | 品質更新發布及偵測後 12 天 | 強制更新安裝後兩天 |
完整配置請參閱附錄中的 Windows Update for Business Ring 設定。
| ISM控制 2025年3月 | 成熟度等級 | Control | 測量 |
|---|---|---|---|
| 1694 | 1, 2, 3 | 當供應商評估漏洞非關鍵且無有效漏洞時,會在發布後兩週內對網伺服器及網路裝置的漏洞進行修補、更新或其他廠商緩解措施。 | 使用 Windows Update for Business 及定義更新環,修補程式會在發布前兩週安裝完成。 |
| 1501 | 1, 2, 3 | 廠商不再支援的作業系統會被替換。 | 利用定義的環,WUfB 會自動將裝置更新到最新功能更新。 |
加速品質更新
Intune 提供加速品質更新的功能,加速安裝品質更新,例如最新的週二補丁釋出或針對零日漏洞的帶外安全更新。 為了加快安裝速度,加速更新會利用現有服務,例如 Windows 推播通知服務 (WNS) 和推播通知通道,將訊息傳送到需要加速安裝的裝置。 此流程使裝置能盡快開始下載與安裝加速更新,而無需等待裝置檢查更新。
實作細節 – 加速品質更新
為了加快品質更新:
- 在「裝置>Windows>品質更新 Windows 10 及之後的預覽 ( 建立品質更新設定檔Windows 10)
- 請提供一個名字。 建議政策名稱與被加速的品質更新版本相符,以便查閱。
- 定義 Windows Update for Business 在裝置作業系統版本低於以下時加速安裝的高品質更新。
- 定義強制重啟裝置的天數
- 將設定檔指派給包含所有適用 Windows 裝置的群組
注意事項
如果強制重啟前的等待天數設為 0,裝置在收到更新後會立即重新啟動。 使用者不會有延遲重啟的選項。
| ISM控制 2025年3月 | 成熟度等級 | Control | 測量 |
|---|---|---|---|
| 1877 | 1, 2, 3 | 當廠商評估對向網際網路伺服器及網路裝置的漏洞為關鍵或存在有效漏洞時,會在發布後48小時內執行修補程式、更新或其他廠商緩解措施。 | 使用 Windows Update for Business 加速部署補丁的方法,修補程式會在 48 小時內安裝完成。 |
| 1879 | 3 | 當廠商評估漏洞為關鍵或存在有效漏洞利用時,會在釋出後48小時內執行補丁、更新或其他廠商緩解措施。 | 利用定義的環,WUfB 會自動將裝置更新到最新的功能更新。 |
注意事項
建議最終移除加速品質更新政策,通常是在確認補丁已成功部署到所有裝置,或被下個月的更新取代後。
傳遞最佳化
Delivery Optimization 是一種雲端管理解決方案,允許用戶端從網路 () 的其他節點等其他來源下載更新,除了傳統的網際網路伺服器外,。 透過 Intune 設定時,可為 Windows 裝置設定傳送優化(Delivery Optimization)設定,以降低下載更新二進位檔時的網路頻寬消耗。
實作細節 – 交付優化政策
- 建立交付優化政策,在裝置下>Windows>Configuration Profile 建立>配置>>檔平台 Windows 10 及以後>版本的配置檔類型範本>交付優化
- 請為保單命名
- 在 設定 頁面,依附錄中的交付優化政策設定使用值並建立政策。
- 將設定檔指派給包含所有適用 Windows 裝置的群組。
Intune 驅動程式與韌體更新管理
透過 Microsoft Intune 的 Windows 驅動程式更新管理,您可以監督、授權部署,並暫時停止驅動程式更新在您的受管理的 Windows 10 與 Windows 11 裝置上推送。 Intune 與 Windows Update for Business (WUfB) 部署服務 (DS) 一起,負責複雜的驅動程式更新政策下裝置的相關驅動程式更新識別流程。 這些更新依 Intune 與 WUfB-DS 分類,簡化區分適用於所有裝置的推薦更新與針對特定需求的可選更新的過程。 透過 Windows 驅動程式更新政策,您可以完全控制裝置上驅動程式更新的安裝。
您可以採取下列做法:
- 啟用自動批准的推薦驅動匯報:設定為自動批准的政策會立即啟用,並將每個新的推薦驅動更新版本部署到該政策所指派的裝置上。 推薦驅動程式通常代表驅動程式發佈者標記為必要的最新更新。 此外,未被指定為目前推薦版本的驅動程式會被歸類為其他驅動程式,並提供可選的更新。 隨後,當 OEM 發布更新驅動程式並被確認為目前推薦的驅動程式更新時,Intune 會自動將其加入政策,並將先前推薦的驅動程式移至其他驅動程式清單中。
- 設定政策要求手動核准所有更新:此政策確保管理員必須先批准驅動程式更新後才能部署。 對於帶有此政策的裝置,驅動程式更新會自動加入政策,但在核准前會保持不活躍狀態。
- 管理哪些驅動程式已核准部署:你可以編輯任何驅動程式更新政策,修改哪些驅動程式已核准部署。 你可以暫停任何單一驅動程式更新的部署,以停止其部署到新裝置,然後再重新核准暫停的更新,讓 Windows Update 能繼續在適用裝置上安裝。
透過 Intune 驅動程式與韌體管理功能部署驅動程式與韌體更新的步驟
步驟 1:建立驅動程式更新設定檔與部署環
當驅動程式政策更新政策建立時,IT 管理員可選擇自動更新與手動更新。
- 自動:自動核准所有推薦的驅動程式,並設定發現後多久開始提供。
-
手動:手動核准驅動程式,並選擇開始提供更新的日期。 使用此選項後,未經人工核准前不會提供任何驅動程式。
要建立一組部署環,我們建議使用以下設定組合:
- 審核方式:自動批准所有推薦的驅動更新
- (天後更新)
步驟2:檢視可用驅動程式
政策建立後,讓裝置掃描更新大約一天左右。 「待檢視驅動程式」欄位包含了可供人工審核的新推薦驅動更新數量。 在自動保單中,駕駛人會保持0分,因為推薦的駕駛人會自動核准。 這是新驅動程式被發現並等待是否批准或拒絕部署的良好指標。
步驟三:批准駕駛人
當 IT 管理員核准駕駛人時,還會提供未來的核准日期。 驅動程式一旦核准,Intune 管理的 Windows 裝置會在下一個政策同步週期中收到,通常每 8 小時一次。
| ISM控制 2025年3月 | 成熟度等級 | Control | 測量 |
|---|---|---|---|
| ISM-1697 | 3 | 當廠商評估漏洞非關鍵且無有效漏洞利用時,會在釋出後一個月內執行補丁、更新或其他廠商緩解措施。 | Intune 的驅動程式與韌體部署方法將用於核准並部署最新版本的驅動程式,以減輕漏洞 |
| ISM-1903 | 3 | 當廠商評估韌體漏洞為關鍵或存在有效漏洞時,會在釋出後48小時內施行修補程式、更新或其他廠商緩解措施。 | 當廠商評估韌體漏洞為關鍵時,IT 管理員會在 Intune 控制台批准新版本韌體 |
| ISM-1904 | 3 | 當廠商評估漏洞非關鍵且無有效漏洞利用時,會在韌體漏洞發布後一個月內執行修補程式、更新或其他緩解措施。 | Intune 的驅動程式與韌體部署方法部署最新的安全驅動程式與韌體版本。 |
監控更新安裝
注意事項
Update Compliance 自 2023 年 3 月起已停用。
使用更新合規 (日誌分析報告合規)
更新合規允許監控 Windows 10 或 Windows 11 專業版、教育版及企業版的品質與功能更新。 Update Compliance 會整合 Windows 用戶端的診斷資料,以報告 Windows 裝置更新狀態,並整合到 Log Analytics 工作區。 Update Compliance 會顯示所有已加入服務的裝置資訊,以協助判斷它們是否符合以下最新狀態:
- 安全更新:只要裝置安裝了最新的相關品質更新,就會持續更新品質更新。 高品質更新是每月累積的更新,針對特定版本的 Windows 用戶端。
- 功能更新:只要裝置安裝了最新的適用功能更新,該裝置就會持續更新。 更新合規在判斷更新適用性時會考慮服務通道。
欲了解更多關於為更新合規設置日誌分析工作空間的前置條件,請參閱「 開始更新合規 - Windows 部署」。
更新合規的裝置上線
- 建立更新合規解決方案後,請透過瀏覽您的 Log Analytics 工作區的解決方案標籤,取得您的商業 ID,然後選擇 WaaSUpdateInsights 解決方案。 CommercialID 是一種全球唯一識別碼,指派給特定的日誌分析工作空間。
- 將政策設定為與更新合規政策相符
- 在主控台上,將 CommercialID 的值改成你在第 1 步收集 (的唯一 CommercialID)
- 將設定檔指派給包含所有適用 Windows 裝置的群組。
使用更新合規報告
整合診斷資料以多個報告區塊呈現,這些報告可在更新合規中隨時取得。 收集的資料會在更新合規期內儲存28天。
需要注意合規報告部分
本節詳細列出所有 Windows 用戶端裝置及更新合規偵測到的更新問題。 本節的摘要圖塊會統計有問題的裝置數量,而該區塊中的刀片則會細分遇到的問題,例如作業系統版本不支援或安全更新缺失的裝置。 這些報告中出現的裝置需要管理員進行修復。 還有一份預設的查詢清單,提供數值但不屬於其他主要區塊,例如待重啟的裝置、設定暫停等。
安全更新狀態合規報告部分
本節列出使用該裝置所執行版本 Windows 最新安全更新的裝置比例。 選擇此區塊會顯示刀片,總結所有裝置安全更新的整體狀態,以及最新兩次安全更新的部署進度摘要。
功能更新狀態合規報告章節
本節列出適用於特定裝置的最新功能更新裝置比例。 選擇此區塊會提供刀片,總結所有裝置的整體功能更新狀態,以及您所在環境中不同版本 Windows 用戶端的部署狀態摘要。
交付優化狀態合規報告章節
本節總結在您的環境中使用傳送優化所節省的頻寬效益。 它詳細分析了跨裝置的傳遞優化配置,並總結了多種內容類型的頻寬節省與使用情況。
Windows 自動修補
軟體更新管理過程中最昂貴的部分之一,是確保實體與虛擬 () 裝置始終健康,能在每個軟體更新週期中接收並回報更新。 能夠衡量、快速偵測並修復持續變更管理流程出錯的方式非常重要;它有助於減輕客服工作單量過高、降低成本,並提升整體更新管理成果。
Windows 自動補丁是一項雲端服務,能自動化為您的組織提供 Windows、企業版 Microsoft 365 Apps、Microsoft Edge、Microsoft Teams、Surface 驅動程式/韌體、已發佈驅動程式/在 Windows Update 商店標示為強制的驅動程式/韌體、Windows 365 以及 Azure 虛擬桌面 (AVD) 的修補。 Windows 自動補丁為你的組織在部署 Windows 匯報時提供了額外層次,以減輕問題。 Windows 自動補丁部署環在裝置層級被隔離,也就是說,在 Windows 自動補丁裝置註冊過程中,我們會將裝置分配到其中一個部署環:測試環、優先環、快速環或廣泛環。
Windows 自動補丁隨 Windows 10/11 Enterprise E3 或更高版本提供。 使用 Autopatch 還有額外的 前提條件 ,包括一些網路 配置 ,這些都應納入推廣階段。
自動補丁註冊步驟
步驟一:準備度評估
準備度評估工具會檢查 Microsoft Intune 和 Microsoft Entra ID 的設定,以確保它能在租戶註冊時與 Windows 自動補丁相容。
為啟用準備度評估:
- 作為全球管理員,請前往 Intune
- 在左側窗格選擇 租戶管理 ,然後導覽到 Windows 自動補丁>租戶註冊。
重要事項
Microsoft 建議您使用權限最少的角色。 以全域管理員角色最小化使用者數量,有助於提升組織的安全。
準備度評估工具會檢查 Intune 設定,確認 Windows 10 或更新版的部署環,以及最低管理員要求與未授權管理員。 它也會檢查你的 Microsoft Entra 設定,包括共管理和授權。
準備度評估工具會提供一份報告,並告知需要解決的問題及需要 採取的步驟 ,以達到準備狀態。 問題解決後,你就可以進入下一步。
步驟二:驗證管理員聯絡人
此步驟的目的是確認貴組織在每個重點領域都有管理員,讓 Windows 自動補丁服務工程團隊未來能聯繫貴組織的管理員,討論你的支援請求,並擴充註冊過程中設定的最低管理員設定。
| 重點領域 | 描述 |
|---|---|
| 裝置 | 裝置登錄 |
| 裝置健康狀況 | |
| 更新 | Windows 品質更新 |
| Microsoft 365 Apps 企業版更新 | |
| Microsoft Edge 更新 | |
| Microsoft Teams 更新 |
請完成以下步驟以新增管理員聯絡人:
- 登入 Intune。
- 在 Windows 自動補丁區塊的租戶管理中,選擇管理員聯絡人。
- 選取 新增。
- 請輸入聯絡資訊,包括姓名、電子郵件、電話號碼及偏好語言。 對於客服工單,工單的主要聯絡人偏好的語言決定了電子郵件通訊所使用的語言。
- 選擇一個 重點領域 ,並輸入該聯絡人在指定領域內的知識與權限細節。
- 選擇 儲存 以新增聯絡人。
- 每個重點領域的重複。
注意事項
行政人員可能有多個重點領域,尤其是在較小的組織中。
步驟 3:裝置註冊
Windows 自動修補裝置註冊流程對終端使用者來說是透明的。
Windows 自動修補必須將你現有的裝置註冊到其服務中,才能代表你管理更新部署。 執行裝置註冊:
- IT 管理員會在註冊 Windows 自動修補裝置前,先審查 Windows 自動補丁裝置的先決條件
- IT 管理員會識別由 Windows 自動修補管理的裝置,並將其加入 Windows 自動修補裝置註冊 Microsoft Entra 群組
- 那麼 Windows 自動修補:
- 在註冊前進行設備準備測試 (先行檢查)
- 計算部署環的分布
- 根據先前計算,將裝置指派到部署環
- 將裝置分配到其他 Microsoft Entra 群組,以便管理
- 將裝置標記為啟用以供管理,以便套用更新部署政策
- IT 管理員接著監控裝置註冊趨勢及更新部署報告,詳細的裝置註冊工作流程 可在此處查閱。
Windows 自動修補裝置類型
任何包含Microsoft Entra裝置 ID (實體或虛擬) 的裝置,都可以加入 Windows 自動補丁裝置註冊 Microsoft Entra 群組。 這可以透過直接會員身份,或是加入另一個Microsoft Entra群組 (動態或指派) ,並巢狀到該群組,因此可以註冊到 Windows 自動補丁。 唯一例外是 Windows 365 雲端電腦,因為這些虛擬裝置必須透過 Windows 365 配置政策註冊 Windows 自動補丁。
Windows 365 自動修補
Windows 365 企業版讓 IT 管理員在建立 Windows 365 配置政策時,可以選擇用 Windows 自動修補服務註冊裝置。 此選項為管理員與使用者提供無縫體驗,確保您的雲端電腦始終保持最新狀態。 當 IT 管理員決定使用 Windows 自動補丁管理 Windows 365 雲端電腦時,Windows 365 配置政策建立過程會呼叫 Windows 自動補丁裝置註冊 API,代表 IT 管理員註冊裝置。要透過 Windows 365 配置政策註冊新的 Windows 365 雲端電腦,使用 Windows 自動修補:
- 去 Intune 看看。
- 在左側窗格,選擇 裝置。
- 請導覽至 Windows 365配置>。
- 選擇 配置政策>建立政策。
- 輸入保單名稱並選擇 加入類型。
- 選取 [下一步]。
- 選擇想要的圖片,然後選擇 「下一步」。
- 在 Microsoft 管理服務 區塊中,選擇 Windows 自動修補。 然後,選取 [下一步]。
- 請依此分配你的保單並選擇 下一步。
- 選取 [建立]。
現在,您新配置的 Windows 365 企業版雲端電腦將自動註冊並由 Windows 自動補丁管理。
Windows Autopatch on Azure 虛擬桌面
Windows 自動修補程式支援 Azure 虛擬桌面。 企業管理員可依實體機器的現有裝置註冊流程,將 Azure 虛擬桌面工作負載配置至 Windows Autopatch 管理。 Windows 自動修補在虛擬機上提供的服務範圍與對 實體裝置相同。 然而,除非另有說明,Windows 自動補丁會將任何 Azure 虛擬桌面的特定支援推遲至 Azure 支援。
自動補丁儀表板與報告
Autopatch 提供 摘要儀表板 及各種狀態與 歷史 () 報告, (所有註冊於 Autopatch 的裝置最多 90 天) ,並可匯出為 CSV 檔案。 要查看所有已註冊裝置的最新更新狀態:
- 登入 Intune。
- 前往報告、>Windows 自動修補>、Windows 品質更新匯報。
所有裝置報告包含:
| 資訊 | 描述 |
|---|---|
| 裝置名稱 | 裝置名稱。 |
| Microsoft Entra 裝置ID | 目前的 Microsoft Entra ID 會記錄該裝置的裝置 ID。 |
| 序號 | 目前的 Intune 會記錄該裝置的序號。 |
| 部署通道 | 目前為該裝置分配的 Windows 自動補丁部署環。 |
| 更新狀態 | 裝置目前的更新狀態 |
| 更新子版狀態 | 目前裝置的更新子版狀態 |
| 作業系統版本 | 目前安裝在裝置上的 Windows 版本。 |
| 作業系統版本 | 裝置上安裝的 Windows 最新版本。 |
| Intune 最後簽到時間 | 上次裝置登入 Intune 的時候。 |
| ISM控制 2025年3月 | 成熟度等級 | Control | 測量 |
|---|---|---|---|
| 1694 | 1, 2, 3 | 當供應商評估漏洞非關鍵且無有效漏洞時,會在發布後兩週內對網伺服器及網路裝置的漏洞進行修補、更新或其他廠商緩解措施。 | 對於已註冊 Windows 自動修補的裝置,更新會在兩週內安裝完成。 |
| 1877 | 1, 2, 3 | 當廠商評估對向網際網路伺服器及網路裝置的漏洞為關鍵或存在有效漏洞時,會在發布後48小時內執行修補程式、更新或其他廠商緩解措施。 | 自動補丁團隊讓組織有彈性,必要時能在48小時內完成截止日期。 |
| 1879 | 3 | 當廠商評估漏洞為關鍵或存在有效漏洞利用時,會在釋出後48小時內執行補丁、更新或其他廠商緩解措施。 | 自動補丁團隊讓組織有彈性,必要時能在48小時內完成截止日期。 |
使用 Microsoft Defender 弱點管理來識別漏洞
Microsoft Defender 弱點管理 (DVM) 提供資產可視化、智慧評估,以及適用於 Windows、macOS、Linux、Android、iOS 及網路裝置的內建修復工具。
作為前提,端點必須先導入 適用於端點的 Microsoft Defender。 使用獸醫博士還有其他 額外的先決條件 。 一旦上線,DVM 能評估漏洞是否適用於個別裝置,並提出建議的行動。
實作細節 – 將端點導入 適用於端點的 Microsoft Defender
- 建立一個新的 Windows 設定檔,使用某種範本>適用於端點的 Microsoft Defender (執行 Windows 10 或更新版) 的桌面裝置。
- 將 加速 遙測報告頻率設為 啟用。
- 將設定檔指派給包含所有適用 Windows 裝置的群組。
利用 Microsoft Defender 弱點管理發現漏洞
一旦裝置已接入 Defender for Endpoint,DVM 即可判斷是否有裝置可能暴露於漏洞,並針對每個識別出的弱點提供安全建議。
在 Microsoft 安全入口 網站的漏洞管理 > 清單中,會顯示跨越 Defender for Endpoint 的端點識別出的軟體產品,包括廠商名稱、發現的弱點、相關威脅及暴露裝置。
你也可以透過「裝置清單」頁面查看特定裝置的軟體清單。 選擇裝置名稱以開啟裝置頁面, (如 Computer1) ,然後選擇軟體清單標籤,查看該裝置上所有已知軟體的清單。 選擇特定的軟體條目以開啟包含更多資訊的飛出視窗。
開啟特定軟體頁面可獲得以下截圖所示的應用程式詳細資訊。 顯示的細節包括:
- 針對所識別的弱點與漏洞,提供相應的安全建議。
- 已發現漏洞的命名CVE。
- 安裝了軟體的裝置 (連同裝置名稱、網域、作業系統等) 。
- 軟體版本清單 (包括安裝該版本的裝置數量、發現的漏洞數量,以及已安裝裝置名稱) 。
使用 Microsoft Intune 修復漏洞
DVM 功能旨在透過修復請求工作流程,彌合資安與 IT 管理員之間的鴻溝。 DVM 修復動作可利用原生整合在 Intune 中產生修復任務。 此外,DVM API 也可用於與第三方工具協調修復流程與行動,視需要而定。 以下步驟說明使用 DVM 與 Intune 進行修復的工作流程:
使用此功能時,請啟用 Microsoft Intune 連線。
- 在 Microsoft Defender 入口網站。
- 前往 設定>端點>一般>進階功能。
- 往下滑,尋找 Microsoft Intune 連線。
- 預設情況下,切換功能是關閉的。 把 Microsoft Intune 連線切換開啟。
注意事項
在 DVM 建立修復請求時,啟用與 Microsoft Intune 的連線是建立對應 Intune 安全任務的必要條件。 若連線未啟用,建立 Intune 安全任務的選項將不會出現。
- 請前往 Microsoft Defender 入口網站的漏洞管理導覽選單,選擇「建議」選項。
- 選擇你想申請修復的安全建議,然後選擇 修復 選項。
- 請填寫表格,包括您申請的修復項目、適用的裝置群組、優先順序、截止日期及可選備註。
提交修復請求後,DVM 內會建立一個修復活動項目,可用於監控任何修復進度。 當管理員從安全建議頁面提交修復請求時,會建立一個可在修復頁面追蹤的安全任務,並在 Microsoft Intune 中建立修復工單。 這不會觸發修復或對裝置施加任何變更。
以下圖片展示了用 Intune 建立的安全任務:
- Intune 管理員選擇安全任務以查看該任務的詳細資訊。 管理員接著選擇接受,這會更新 Intune 和 Defender for Endpoint 的狀態為接受。
Intune 管理員會根據所提供的指引進行修復。 這些指引會依所需修復的類型而有所不同。 在有補救指引時,會提供連結,開啟 Intune 中相關設定的窗格。
關於 DVM 的更多資訊可參考 Patch Applications 章節。
| ISM控制 2025年3月 | 成熟度等級 | Control | 測量 |
|---|---|---|---|
| 1701 | 1, 2, 3 | 漏洞掃描器至少每天使用一次,以識別對網伺服器及網路裝置作業系統中缺失的漏洞補丁或更新。 | 裝置將被導入 Defender for Endpoint。 Microsoft Defender 弱點管理將持續監控並偵測組織各裝置的風險。 |
| 1703 | 3 | 漏洞掃描器至少每兩週使用一次,用以識別驅動程式漏洞缺失的補丁或更新。 | 裝置將被導入 Defender for Endpoint。 Microsoft Defender 弱點管理將持續監控並偵測組織各裝置的風險。 |
| 1900 | 3 | 漏洞掃描器至少每兩週使用一次,用以識別韌體漏洞的缺失修補或更新。 | 裝置將被導入 Defender for Endpoint。 Microsoft Defender 弱點管理將持續監控並偵測組織各裝置的風險。 |
依裝置作業系統版本的合規性
Intune 的合規政策提供判斷裝置是否符合或不合規的能力,基於該裝置是否符合一項或多項配置需求。 當存取受條件存取保護的企業資源時,會評估該裝置的合規狀態,以決定允許或拒絕存取該資源。
Intune 可以根據裝置目前的作業系統版本,判斷該裝置是否符合或不相容。 利用條件存取中的裝置合規授權控制,使用者只能存取符合或超過最低作業系統版本的裝置上的企業資源。
實作細節:Windows Update 合規政策
- 建立 Windows 合規政策,在裝置>中 Windows > 合規政策 > 建立政策>平台 > Windows 10 及以後版本。
- 請提供保單名稱。
- 選擇 裝置屬性,輸入最低作業系統版本,視為符合最低作業系統版本。
- 將設定檔指派給包含所有適用 Windows 裝置的群組。
已提供一套典型的合規政策,根據裝置的作業系統價值來評估。
注意事項
為 Windows 11 和 Windows 10 提供的最低作業系統版本數值,需隨時間遞增。
| ISM控制 2024年12月 | 成熟度等級 | Control | 測量 |
|---|---|---|---|
| 1407 | 3 | 使用最新版本或前一版本的作業系統。 | 使用不符合指定合規政策中作業系統版本的裝置的使用者,若與條件存取結合使用,將無法存取企業資源。 |
修補非網路連接系統
Microsoft 建議使用雲端服務,如 Microsoft Intune 和 Azure 更新管理員,來維護系統作業系統版本並修補漏洞。
然而,對於離線的系統與伺服器,Microsoft 建議使用 Microsoft Configuration Manager 的補丁管理功能。 更多細節請參閱 Microsoft Configuration Manager。
| ISM控制 2025年3月 | 成熟度等級 | Control | 測量 |
|---|---|---|---|
| ISM-1695 | 1, 2 | 針對工作站、非網路伺服器及非網路裝置作業系統漏洞的修補程式、更新或其他廠商緩解措施,會在發布後一個月內完成。 | IT 管理員部署更新時,會在 Microsoft Configuration Manager 中設定指定日期的截止日期 |
| ISM-1696 | 3 | 當廠商評估漏洞為關鍵或存在有效漏洞時,會在發布後48小時內,針對工作站、非網路伺服器及非網路裝置的漏洞進行修補、更新或其他廠商緩解措施。 | IT 管理員部署更新時,會在 Microsoft Configuration Manager 中設定「盡快盡可能」 |
| ISM-1702 | 1, 2, 3 | 漏洞掃描器至少每兩週使用一次,以識別工作站、非網路伺服器及非網路裝置作業系統中漏洞缺失的修補或更新。 | IT 管理員會設定 設定管理員 的軟體更新功能,至少每 14 天掃描一次系統缺失的補丁。 |
| ISM-1902 | 3 | 當廠商評估漏洞非關鍵且無有效漏洞時,會在發布後一個月內,針對工作站、非網路伺服器及非網路裝置的漏洞進行補丁、更新或其他廠商緩解措施。 | IT 管理員會在 Microsoft Configuration Manager 中設定所需日期的更新時,部署更新。 |