基本八個修補程式應用程式
本文詳細說明如何達成澳大利亞網路安全中心 (ACSC) 基本八個成熟度模型來修補應用程式的方法。
ISM 控件和修補應用程式成熟度層級
下表概述 Maturity Level 2 (ML2) 與 Maturity Level 3 (ML3) 與 ISM 之間的對應。
| ISM 控件 2024 年 6 月 | 成熟度層級 | Control | 測量 |
|---|---|---|---|
| ISM-0304 | 3 | 除了 Office 生產力套件、網頁瀏覽器及其延伸模組、電子郵件用戶端、PDF 軟體、Adobe Flash Player,以及廠商不再支援的安全性產品之外,也會移除其他應用程式。 | 使用 Intune 的應用程式管理方法,會移除不支援的應用程式。 |
| ISM-1690 | 1, 2, 3 | 當廠商將弱點評估為不具關鍵性,而且沒有有效的惡意探索存在時,在線服務中弱點的修補程式、更新或其他廠商防護功能會在發行后兩周內套用。 | Microsoft會定期更新和修補 Intune 服務,以確保沒有任何有效的惡意探索存在。 |
| ISM-1691 | 1, 2 | Office 生產力套件、網頁瀏覽器及其延伸模組、電子郵件用戶端、PDF 軟體和安全性產品弱點的修補程式、更新或其他廠商防護功能,會在發行后兩周內套用。 | 使用商務用 Windows Update 和定義的更新通道,會在發行 2 周時安裝修補程式。 針對電子郵件用戶端、PDF 軟體和安全性產品安裝最新的修補程式,會使用Intune 應用程式部署方法。 |
| ISM-1692 | 3 | Office 生產力套件、網頁瀏覽器及其擴充功能、電子郵件用戶端、PDF 軟體和安全性產品中弱點的修補程式、更新或其他廠商防護功能,會在發行后 48 小時內套用,當供貨商將弱點評估為嚴重性,或存在工作惡意探索時。 | Microsoft Defender 弱點方法可用來識別弱點。 Intune 應用程式部署方法可用來在發行后 48 小時內部署修補程式。 |
| ISM-1693 | 2, 3 | Office 生產力套件、網頁瀏覽器及其延伸模組、電子郵件用戶端、PDF 軟體和安全性產品以外的應用程式弱點修補程式、更新或其他廠商防護功能,會在發行后一個月內套用。 | Intune 應用程式部署方法可用來在發行后一個月內部署應用程式修補程式。 |
| ISM-1698 | 1, 2, 3 | 弱點掃描儀會至少每天用來識別在線服務中遺漏的修補程式或弱點更新。 | 裝置已上線至適用於端點的Defender。 Microsoft Defender 弱點管理會持續監視和偵測組織裝置上的風險。 |
| ISM-1699 | 1, 2, 3 | 弱點掃描器會至少每周使用,以識別 Office 生產力套件、網頁瀏覽器及其延伸模組、電子郵件用戶端、PDF 軟體和安全性產品中弱點的遺漏修補程式或更新。 | 裝置已上線至適用於端點的Defender。 Microsoft Defender 弱點管理會持續監視和偵測組織裝置上的風險。 |
| ISM-1700 | 2, 3 | 弱點掃描儀會至少短暫地用來識別 Office 生產力套件、網頁瀏覽器及其延伸模組、電子郵件用戶端、PDF 軟體和安全性產品以外的應用程式中遺漏的修補程式或更新弱點。 | 裝置已上線至適用於端點的Defender。 Microsoft Defender 弱點管理會持續監視和偵測組織裝置上的風險。 |
| ISM-17041 | 1, 2, 3 | 已移除 Office 生產力套件、網頁瀏覽器及其延伸模組、電子郵件用戶端、PDF 軟體、Adobe Flash Player,以及廠商不再支援的安全性產品。 | Intune 應用程式部署方法可用來移除不支援的應用程式和擴充功能。 |
| ISM-18071 | 1, 2, 3 | 資產探索的自動化方法至少會短暫地用來支援後續弱點掃描活動的資產偵測。 | 使用掃描器來執行資產探索並維護資產清查。 |
| ISM-18081 | 1, 2, 3 | 具有最新弱點資料庫的弱點掃描器會用於弱點掃描活動。 | DVM 的弱點資料庫會隨著Microsoft而持續更新,而其他人會發現您網路上安裝的軟體有弱點 |
| ISM-1876 | 1, 2, 3 | 當廠商將弱點評估為嚴重性,或有工作攻擊存在時,在線服務中弱點的修補程式、更新或其他廠商防護功能會在發行后 48 小時內套用。 | Microsoft會定期更新和修補 Intune 服務,以確保沒有任何有效的惡意探索存在。 |
| ISM-1901 | 3 | 針對 Office 生產力套件、網頁瀏覽器及其擴充功能、電子郵件用戶端、PDF 軟體和安全性產品中弱點的修補程式、更新或其他廠商防護功能,會在發行后兩周內套用,當廠商將弱點評估為不具關鍵性,而且沒有作用中的惡意探索存在時。 | Microsoft Defender 弱點方法可用來識別弱點。 Intune 應用程式部署方法可用來在發行后兩周內部署修補程式。 |
| ISM-1905 | 1, 2, 3 | 已移除廠商不再支援的在線服務。 | IT 系統管理員會停用與廠商不再支援之在線服務相關聯的所有帳戶和連接器。 |
注意事項
1 這些控制件涵蓋 Essential 8 內的修補程式應用程式和修補程式 OS。
Microsoft Defender 弱點管理 (DVM)
探索新的安全性弱點,以及來自敵人的中斷,可能隨時發生。 因此,組織應該確保及時解決安全性弱點。 當廠商發行修補程式時,應該使用下列考慮來套用修補程式:
- 時間範圍,與組織暴露於安全性弱點的程度相符,
- 組織致力於防範的網路威脅層級;和
- 他們想要達到的ML層級
許多組織所面臨的其中一個問題是缺乏其環境真正修補程式狀態的可見度。 缺乏可見度可能會讓組織在不知不覺中暴露於敵人的惡意探索中。 當無法成功套用修補程式時,組織可能會不正確地假設已套用修補程式,或回報已套用修補程式。 使用 Microsoft Defender 弱點管理 (DVM) 協助組織收集其環境中修補程式的相關信息。 在無法使用弱點掃描器的特殊情況下,組織應該參閱廠商檔,以瞭解如何識別修補層級,並改為進行手動稽核。
由於 Essential 8 概述一組最少的預防性措施,因此,如果組織的環境保證評估,則組織必須實作更多量值。 此外,雖然 Essential 8 可協助減輕大部分的網路威脅,但不會降低所有網路威脅。 需要考慮更多風險降低策略和安全性控制措施,例如 緩和網路安全性事件的策略 和 資訊安全手冊 (ISM) 。
實作 – 修補應用程式
控制特定指引
此控件有兩個主要元件。 其中一種是探索弱點的技術,另一種則是組織的弱點管理程式。
- 技術:弱點掃描器和修補程式推出系統等技術可協助組織。 弱點掃描器可協助收集環境中易受攻擊應用程式和遺漏修補程式的相關信息。
- 程式:定義弱點管理計劃的組織程式,以探索、識別、分類、風險評估及補救或減輕弱點。 組織也應該有一個程式,要求將系統上線至自動化弱點掃描器,或具有對等的因應措施,例如設定廠商的電子郵件通知。 如果無法使用弱點掃描器,組織應該參閱廠商檔,以瞭解如何識別修補層級,並改為進行手動稽核。 針對應用程式修補控件,弱點管理程式及其授權在達到 ACSC 所定義的成熟度層級方面扮演重要角色。 及時推出修補程式對於弱點管理程式非常重要。 因此,組織必須將修補程式推出時程表定義為其 Essential 8 ML 層級的一部分。 此外,它們需要使用角色責任矩陣或對等模型的小組定義責任。
使用 Microsoft 平台實作
有效地識別、評估和補救系統中的弱點,對於執行狀況良好的安全性計劃並降低組織風險非常重要。 Microsoft Defender 弱點管理 (DVM) 可作為減少組織暴露、強化端點介面區,以及提高組織復原能力的基礎結構。
DVM 可用於用戶端點和伺服器。 針對存放庫、容器等其他雲端資源,適用於雲端的Defender提供弱點管理功能。 下列各節將說明這兩個解決方案。
如需詳細資訊,請參閱:
資產探索
Defender 弱點管理內建和無代理程序掃描儀會持續監視和偵測組織中的風險,即使裝置未連線到公司網路也一致。 具有組織軟體應用程式、數位證書、網路共用和瀏覽器延伸模組之即時合併檢視的單一清查,可協助您探索及評估組織的所有資產。 檢視擴充功能許可權和相關風險層級的資訊、在憑證到期之前識別憑證、偵測因弱式簽章演算法而造成的潛在弱點,以及評估內部網路共用中的設定錯誤。
| ISM 控件 2024 年 6 月 | 成熟度層級 | Control | 測量 |
|---|---|---|---|
| 1807 | 1, 2, 3 | 資產探索的自動化方法至少會短暫地用來支援後續弱點掃描活動的資產偵測。 | 使用掃描器來執行資產探索並維護資產清查。 |
弱點的探索
Defender 弱點管理 (DVM) 提供資產可見度、智慧型評量和內建補救工具。 DVM 可用於 Windows、macOS、Linux、Android、iOS 和網路裝置。 當組織使用Microsoft威脅情報、缺口可能性預測、商務內容和裝置評估時,Defender 弱點管理會快速且持續地優先處理您最重要的資產上最大的弱點,並提供安全性建議來降低風險。
DVM 中的軟體清查會提供組織中已知軟體的清單。 清查檢視包含詳細數據,例如廠商名稱、弱點數目、威脅,以及公開的裝置數目。
針對探索,Microsoft使用一組相同的訊號,負責在適用於端點的 Defender 中進行偵 Microsoft測和弱點評量和回應功能。 由於這是即時的,因此在幾分鐘內,弱點資訊會在探索到時顯示在入口網站中。 弱點管理會使用一般平臺列舉 (CPE) 來識別軟體以及與軟體相關聯的任何弱點。 引擎會自動從多個安全性摘要抓取資訊。 事實上,請查看特定軟體是否已連線到即時威脅營銷活動。 它也會在威脅分析報告可用時立即提供連結。
注意事項
對於沒有 CPE 的軟體產品,軟體會顯示在清查頁面中。 不過,沒有 CPE 的軟體不受弱點管理支援,而且此軟體無法使用惡意探索、公開裝置數目和弱點等資訊。
下列步驟說明使用 DVM 的上線程式和弱點探索:
授權需求
- Microsoft Defender 弱點管理 (DVM) ,新的獨立供應專案提供一組完整的弱點工具和功能;或
- Microsoft適用於端點的 Defender 方案 2 或 E5 授權提供核心弱點管理功能的子集。 DVM 的完整功能可做為附加元件
下列連結提供兩個授權供應專案的功能比較: 比較Microsoft Defender 弱點管理供應專案。
針對伺服器資源,針對伺服器或已上線至適用於端點的 Defender 的伺服器啟用適用於雲端的 Defender 方案。
對於其他雲端資源,必須啟用特定的適用於雲端的Defender方案。 例如,若要掃描容器登錄,必須在雲端環境中啟用適用於容器的Defender方案。
存取 DVM 入口網站
DVM 資訊可在 Microsoft Defender 入口網站中取得。 入口網站可透過Microsoft Edge (建議的) 或 Google Chrome 瀏覽器來存取。 若要存取入口網站,您至少應是「安全性讀取者」AD 內建角色的一部分。 如需管理入口網站存取權的詳細資訊,請參閱此連結: 使用角色型訪問控制來授與Microsoft Defender 入口網站的更細緻存取權。
將裝置上線至 DVM
- 對於已上線至適用於端點的Defender (具有 P2 授權) 的裝置,DVM 功能會在 Microsoft Defender 入口網站中啟用並提供
- 對於未上線至適用於端點的 Defender 的裝置,DVM 至少需要以封鎖模式執行的適用於端點的 Defender,也就是以被動模式執行
Microsoft已建立多種方法,將裝置上線至適用於端點的 Defender,例如組策略、端點管理員或本機腳本。 詳細指引記載於上線 裝置,並設定 Microsoft Defender for Endpoint 功能。
支援的作業系統記載於下列連結: 支援的操作系統平臺和功能
使用 DVM 探索弱點
Microsoft Defender 入口網站中的 [弱點管理] 區段提供儀錶板,可檢視弱點暴露和安全性建議的快速見解,如下列範例螢幕快照所示。
[軟體清查] 頁面包含您網路中安裝的軟體清單,包括廠商名稱、找到的弱點、與其相關聯的威脅、公開的裝置、曝光分數和標籤。
您也可以流覽至 [裝置清查] 頁面,在特定裝置上尋找軟體清查。 選取要開啟裝置頁面的裝置名稱, (如 Computer1) ,然後選取 [軟體清查] 索引標籤以查看裝置上所有已知軟體的清單。 選取特定的軟體專案,以開啟包含詳細資訊的飛出視窗。
開啟特定軟體頁面可提供應用程式的詳細資料,如下列螢幕快照所示:
- 已識別弱點和弱點的對應安全性建議
- 探索到弱點的具名 CVE
- 已安裝軟體的裝置 (以及裝置名稱、網域、OS 等)
- 軟體版本清單 (包括安裝版本的裝置數目、探索到的弱點數目,以及已安裝裝置的名稱)
同樣地,您可以使用 DVM 檢視瀏覽器延伸模組和憑證的弱點評量。
弱點管理功能也會延伸到伺服器操作系統。 已上線至適用於伺服器的 Defender (Defender 方案) 並設定為使用 Defender 弱點管理的伺服器會出現在 Microsoft Defender 入口網站中。 弱點管理資訊也會在適用於雲端的Defender入口網站中進行同步處理,以取得可見性。
對於 CPE 或弱點評估解決方案不支援的應用程式或軟體產品,安全性小組應該有其他方法來識別弱點。 另一種方法包括,讓應用程式廠商的電子郵件訂閱接收應用程式更新和相關弱點的相關通知。
| ISM 控制 2024 年 6 月 | 成熟度層級 | Control | 測量 |
|---|---|---|---|
| 1808 | 1, 2, 3 | 具有最新弱點資料庫的弱點掃描器會用於弱點掃描活動。 | DVM 的弱點資料庫會隨著Microsoft而持續更新,而其他人會發現您網路上安裝的軟體有弱點 |
| 1698 | 1, 2, 3 | 弱點掃描儀會至少每天用來識別在線服務中遺漏的修補程式或弱點更新。 | 裝置已上線至適用於端點的Defender。 Microsoft Defender 弱點管理會持續監視及偵測組織裝置上的風險 |
| 1699 | 1, 2, 3 | 弱點掃描器會至少每周使用,以識別 Office 生產力套件、網頁瀏覽器及其延伸模組、電子郵件用戶端、PDF 軟體和安全性產品中弱點的遺漏修補程式或更新。 | 裝置已上線至適用於端點的Defender。 Microsoft Defender 弱點管理會持續監視及偵測組織裝置上的風險 |
| 1700 | 2, 3 | 弱點掃描儀會至少短暫地用來識別 Office 生產力套件、網頁瀏覽器及其延伸模組、電子郵件用戶端、PDF 軟體和安全性產品以外的應用程式中遺漏的修補程式或更新弱點。 | 裝置已上線至適用於端點的Defender。 Microsoft Defender 弱點管理會持續監視和偵測組織裝置上的風險。 |
| 1901 | 3 | 針對 Office 生產力套件、網頁瀏覽器及其擴充功能、電子郵件用戶端、PDF 軟體和安全性產品中弱點的修補程式、更新或其他廠商防護功能,會在發行后兩周內套用,當廠商將弱點評估為不具關鍵性,而且沒有作用中的惡意探索存在時。 | Microsoft Defender 弱點方法可用來識別弱點。 Intune 應用程式部署方法可用來在發行后兩周內部署修補程式。 |
使用 DVM 和 Intune 整合排定優先順序並補救弱點
您組織中識別的網路安全性弱點會對應至可採取動作的安全性建議,並依其影響排定優先順序。 優先建議可協助縮短緩和或補救弱點及推動合規性的時間。 我們也建議 您定義裝置的值 ,以區分資產優先順序。 裝置值可用來將個別資產的風險偏好納入威脅和弱點管理暴露程度分數計算中。 指派為「高價值」的裝置會收到更多權數。
每個安全性建議包含可採取動作的補救步驟。 為了協助管理工作,您也可以使用 Microsoft Intune 來傳送建議。 當威脅形勢改變時,建議也會隨之變更,因為它會持續從您環境中收集資訊。
注意事項
對於沒有 CPE 的軟體產品,軟體會顯示在清查頁面中。 不過,沒有 CPE 的軟體不受弱點管理支援,而且此軟體無法使用惡意探索、公開裝置數目和弱點等資訊。
在某些情況下,Microsoft解決方案所提供的風險和優先順序可能不足,因為可能會有系統複雜性。 因此,在此情況下,建議您根據系統的內容,針對重大或零時差弱點執行其他風險評估。 如此一來,組織應該設法將任何例外狀況及其範圍降到最低。 例如,藉由實作補償安全性控制,並確保受影響的系統或用戶數目最小化。 為了解決弱點而實作的任何例外狀況或補償控件,都應該透過適當的程序記錄並核准。
DVM 功能的設計訴求是透過補救要求工作流程來填補安全性與IT系統管理員之間的差距。 DVM 補救動作可以使用原生整合,在端點管理員Microsoft產生補救工作。 DVM API 可用來在必要時使用非Microsoft工具來協調補救程式和動作。
下列步驟說明使用 DVM 和端點管理員的補救工作流程:
- 若要使用補救工作流程功能,請啟用Microsoft Intune 連線。 在 Microsoft Defender 入口網站中,流覽至 [ 設定>端點>] [一般>進階功能]。
- 向下卷動並尋找 Microsoft Intune 連線。 根據預設,切換會關閉。 開啟Microsoft Intune 連線開關。
注意事項
如果您已啟用 Intune 連線,您可以選擇在建立補救要求時建立 Intune 安全性工作。 如果未設定連線,則不會顯示此選項。
移至 Microsoft Defender 入口網站中的 [弱點管理] 導覽功能表,然後選取 [建議]。 選取您想要要求補救的安全性建議,然後選取 [補救選項]。 填寫表單,包括您要求補救的內容、適用的裝置群組、優先順序、到期日和選擇性附註。 下列螢幕快照提供這些步驟的參考:
針對選取的弱點要求補救所
補救選取補救選項和優先順序
提交補救要求會在弱點管理內建立補救活動專案,可用來監視此建議的補救進度。 當您從 [安全性建議] 頁面提交補救要求時,它會啟動補救活動。 系統會建立可在 [補救] 頁面上追蹤的安全性工作,並在 Microsoft Intune 中建立補救票證。 這不會觸發補救,也不會將任何變更套用至裝置。 下圖顯示在 Intune 中建立的安全性工作:
在 Intune 中建立的安全性工作,用於補救要求
Intune 系統管理員會選取安全性工作,以檢視工作的詳細數據。 系統管理員接著會選取 [接受],這會更新 Intune 中的狀態,並在 [適用於端點的 Defender] 中選取 [接受]。
系統管理員接著會根據提供的指引來補救工作。 此指引會根據所需的補救類型而有所不同。 如果有的話,補救指引會包含連結,這些鏈接會開啟 Intune 中設定的相關窗格。
| ISM 控件 2024 年 6 月 | 成熟度層級 | Control | 測量 |
|---|---|---|---|
| 1690 | 1, 2, 3 | 當廠商將弱點評估為不具關鍵性,而且沒有有效的惡意探索存在時,在線服務中弱點的修補程式、更新或其他廠商防護功能會在發行后兩周內套用。 | Microsoft會定期更新和修補 Intune 服務,以確保沒有任何有效的惡意探索存在。 |
| 1691 | 1, 2 | Office 生產力套件、網頁瀏覽器及其擴充功能、電子郵件用戶端、PDF 軟體和安全性產品中弱點的修補程式、更新或其他廠商防護功能,會在發行后兩周內套用。 | 使用商務用 Windows Update 和定義的更新通道,會在發行 2 周時安裝修補程式。 針對電子郵件用戶端、PDF 軟體和安全性產品安裝最新的修補程式,會使用Intune 應用程式部署方法。 |
| 1692 | 3 | 針對 Office 生產力套件、網頁瀏覽器及其擴充功能、電子郵件用戶端、PDF 軟體和安全性產品中弱點的修補程式、更新或其他廠商防護功能,會在發行后 48 小時內套用,當廠商將弱點評估為嚴重性,或存在工作惡意探索時。 | Microsoft Defender 弱點方法可用來識別弱點。 Intune 應用程式部署方法可用來在發行后 48 小時內部署修補程式。 |
| 1693 | 2, 3 | Office 生產力套件、網頁瀏覽器及其延伸模組、電子郵件用戶端、PDF 軟體和安全性產品以外的應用程式中弱點的修補程式、更新或其他廠商防護功能,會在發行后一個月內套用。 | Intune 應用程式部署方法可用來在發行后一個月內部署應用程式修補程式。 |
| 1704 | 1, 2, 3 | 已移除 Office 生產力套件、網頁瀏覽器及其延伸模組、電子郵件用戶端、PDF 軟體、Adobe Flash Player,以及廠商不再支援的安全性產品。 | Intune 應用程式部署方法可用來移除不支援的應用程式和擴充功能。 |
| 0304 | 3 | 除了 Office 生產力套件、網頁瀏覽器及其延伸模組、電子郵件用戶端、PDF 軟體、Adobe Flash Player,以及廠商不再支援的安全性產品之外,也會移除其他應用程式。 | 使用 Intune 的應用程式管理方法,會移除不支援的應用程式。 |
| 1876 | 1, 2, 3 | 當廠商將弱點評估為嚴重性,或有工作攻擊存在時,在線服務中弱點的修補程式、更新或其他廠商防護功能會在發行后 48 小時內套用。 | Microsoft會定期更新和修補 Intune 服務,以確保沒有任何有效的惡意探索存在。 |
探索和補救雲端和內部部署資源的弱點
適用於雲端的Defender提供許多服務的弱點評估功能。 這些服務包括伺服器、Azure Container Registry、Amazon Elastic Container Registry、Azure SQL 資料庫、SQL 資料庫伺服器和 DevOps。 若要提供特定雲端資源的弱點評估,必須開啟具有 Azure 訂用帳戶或 Amazon 帳戶的適用於雲端的 Defender 方案。
適用於雲端的 Defender 會從 Azure 虛擬機收集數據, (VM) 、虛擬機擴展集、IaaS 容器和非 Azure (包括內部部署) 機,以監視安全性弱點和威脅。 某些 Defender 方案需要監視元件,才能從您的工作負載收集數據。 需要收集數據,才能查看遺漏的更新、設定錯誤的OS安全性設定、端點保護狀態,以及健康情況和威脅防護。 只有 VM、虛擬機擴展集、IaaS 容器和非 Azure 計算機等計算資源才需要數據收集。
修補在線服務的弱點
Intune 的新功能版本通常會有六到八周的頻率,從規劃到發行。 此步調稱為短期衝刺。 Intune 版本使用 YYMM 命名慣例。 例如,2301 是 2023 年 1 月版本。
每月發行程式牽涉到許多不同的環境,並部署到多個 Azure 服務。 部署至 Azure 之後,發行更新會部署到 Intune 系統管理中心,讓您能夠使用發行功能。
稱為自我主機的內部環境是第一個接收版本的環境。 自我主機僅供 Intune 工程小組使用。 在自我裝載之後,服務版本會部署到管理許多裝置的Microsoft租使用者。 一旦驗證服務版本沒有重要問題,發行就會開始以階段式方法部署至客戶環境。 成功更新所有租用戶之後,Microsoft Intune 系統管理中心就會更新。 此階段式方法有助於在問題影響服務或客戶之前找出問題。
更新公司入口網站應用程式是不同的程式。 Microsoft受限於 Apple App Store、Google Play 的發行需求和程式,有時也受限於行動電信業者。 不一定能夠讓 Intune 版本更新與公司入口網站應用程式的更新保持一致。 如需公司入口網站應用程式更新的詳細資訊,請參閱 Intune 使用者應用程式的 UI 更新。
修補應用程式
應用程式可以分為兩個類別:
- 能夠自動更新 (建議) 的應用程式。
- 必須手動封裝和部署更新的應用程式。
根據使用者執行的 Windows 10/11 版本,支援特定的應用程式類型。 如需特定支援的應用程式,請參閱 支援的 Windows 應用程式類型。
當商務用 Windows Update 或自動修補設定為更新 Windows OS 和Microsoft產品時,Office C2R 和 Microsoft Edge 會更新。
Microsoft市集應用程式能夠自行更新。 如果應用程式部署為 。IntuneWin (也就是 Win32 應用程式) ,您可以使用 Intune 在應用程式之間建立一或多個取代關聯性。 一般而言,取代是您更新或取代某個專案的地方。 在 Intune 中,取代可讓您以相同應用程式或完全不同的 Win32 應用程式較新版本來更新和取代現有的 Win32 應用程式。
能夠自動更新的應用程式
Microsoft市集應用程式
系統管理員可以在 Intune 內流覽、部署及監視Microsoft儲存應用程式。 部署時,Intune 會在新版本可供使用時,自動將應用程式保持在最新狀態。 Microsoft市集支援通用 Windows 平臺 (UWP) 應用程式、以 .msix 封裝的傳統型應用程式,以及現在封裝在 .exe 或 .msi 安裝程式中的 Win32 應用程式。
如需詳細資訊, 請參閱Microsoft市集應用程式Microsoft Intune。。
| ISM 控件 2024 年 6 月 | 成熟度層級 | Control | 測量 |
|---|---|---|---|
| ISM-0304 | 3 | 除了 Office 生產力套件、網頁瀏覽器及其延伸模組、電子郵件用戶端、PDF 軟體、Adobe Flash Player,以及廠商不再支援的安全性產品之外,也會移除其他應用程式。 | 使用 Intune 的應用程式管理方法,會移除不支援的應用程式。 |
| ISM-1693 | 2, 3 | Office 生產力套件、網頁瀏覽器及其延伸模組、電子郵件用戶端、PDF 軟體和安全性產品以外的應用程式弱點修補程式、更新或其他廠商防護功能,會在發行后一個月內套用。 | Intune 應用程式部署方法可用來在發行后一個月內部署應用程式修補程式。 |
Microsoft Intune Enterprise Application Management
企業應用程式管理可讓 IT 和安全性作業小組提供安全且預先封裝的應用程式目錄,以簡化管理第一方和非Microsoft應用程式的生命週期。 這可減少IT系統管理員在封裝應用程式和追蹤更新時所花費的時間和精力。 透過此解決方案,IT 小組可以有效率地將修正程式部署到易受攻擊的應用程式,並確保所有應用程式都會從 Intune 系統管理中心保持在最新狀態。 新目錄的簡介會從 Windows 應用程式開始。
企業應用程式管理可從單一、容易使用的畫面,提供所有需要更新之應用程式的完整檢視,藉此簡化並合併應用程式更新程式。 目錄中具有可用更新的應用程式清單會顯示目前和新的版本。 傳統上,監視更新和收集應用程式相關數據和封裝所需的工作會減少,讓系統管理員能夠專注於更具策略性的工作。
注意事項
Microsoft Intune 應用程式管理是 Intune 套件的一部分,則需要額外的授權。
如需詳細資訊, 請參閱 Microsoft Intune 應用程式管理],這是 Intune 套件的一部分。
| ISM 控件 2024 年 6 月 | 成熟度層級 | Control | 測量 |
|---|---|---|---|
| ISM-0304 | 3 | 除了 Office 生產力套件、網頁瀏覽器及其延伸模組、電子郵件用戶端、PDF 軟體、Adobe Flash Player,以及廠商不再支援的安全性產品之外,也會移除其他應用程式。 | 使用 Intune 的應用程式管理方法,會移除不支援的應用程式。 |
| ISM-1693 | 2, 3 | Office 生產力套件、網頁瀏覽器及其延伸模組、電子郵件用戶端、PDF 軟體和安全性產品以外的應用程式弱點修補程式、更新或其他廠商防護功能,會在發行后一個月內套用。 | Intune 應用程式部署方法可用來在發行后一個月內部署應用程式修補程式。 |
必須手動封裝和部署更新的應用程式
本節涵蓋手動部署 .MSI、LOB:APPX/MSIX、Web Apps、Store Link。
提示
請考慮使用 Microsoft 市集應用程式來持續合規性,因為它支援通用 Windows 平臺 (UWP) 應用程式、以 .msix 封裝的傳統型應用程式,以及封裝在 .exe 或 .msi 安裝程式中的 Win32 應用程式。
系統管理員必須手動上傳和部署LOB應用程式的更新。 這些更新會自動安裝在已安裝應用程式的用戶裝置上。 不需要使用者介入,且用戶無法控制更新。 將指派類型變更為卸載,必須卸載舊版的應用程式。
| ISM 控件 2024 年 6 月 | 成熟度層級 | Control | 測量 |
|---|---|---|---|
| ISM-0304 | 3 | 除了 Office 生產力套件、網頁瀏覽器及其延伸模組、電子郵件用戶端、PDF 軟體、Adobe Flash Player,以及廠商不再支援的安全性產品之外,也會移除其他應用程式。 | 使用 Intune 的應用程式管理方法,會移除不支援的應用程式。 |
| ISM-1691 | 1, 2 | Office 生產力套件、網頁瀏覽器及其延伸模組、電子郵件用戶端、PDF 軟體和安全性產品弱點的修補程式、更新或其他廠商防護功能,會在發行后兩周內套用。 | 使用商務用 Windows Update 和定義的更新通道,會在發行 2 周時安裝修補程式。 針對電子郵件用戶端、PDF 軟體和安全性產品安裝最新的修補程式,會使用Intune 應用程式部署方法。 |
| ISM-1692 | 3 | Office 生產力套件、網頁瀏覽器及其擴充功能、電子郵件用戶端、PDF 軟體和安全性產品中弱點的修補程式、更新或其他廠商防護功能,會在發行后 48 小時內套用,當供貨商將弱點評估為嚴重性,或存在工作惡意探索時。 | Microsoft Defender 弱點方法可用來識別弱點。 Intune 應用程式部署方法可用來在發行后 48 小時內部署修補程式。 |
| ISM-1693 | 2, 3 | Office 生產力套件、網頁瀏覽器及其延伸模組、電子郵件用戶端、PDF 軟體和安全性產品以外的應用程式弱點修補程式、更新或其他廠商防護功能,會在發行后一個月內套用。 | Intune 應用程式部署方法可用來在發行后一個月內部署應用程式修補程式。 |
| ISM-1704 | 1, 2, 3 | 已移除 Office 生產力套件、網頁瀏覽器及其延伸模組、電子郵件用戶端、PDF 軟體、Adobe Flash Player,以及廠商不再支援的安全性產品。 | Intune 應用程式部署方法可用來移除不支援的應用程式和擴充功能。 |
| ISM-1901 | 3 | 針對 Office 生產力套件、網頁瀏覽器及其擴充功能、電子郵件用戶端、PDF 軟體和安全性產品中弱點的修補程式、更新或其他廠商防護功能,會在發行后兩周內套用,當廠商將弱點評估為不具關鍵性,而且沒有作用中的惡意探索存在時。 | Microsoft Defender 弱點方法可用來識別弱點。 Intune 應用程式部署方法可用來在發行后兩周內部署修補程式。 |
拿掉不支援的在線服務
完成下列步驟以移除過時的在線服務:
- 如果已註冊企業應用程式,IT 系統管理員會登入 Microsoft Entra ID 入口網站並刪除應用程式。
注意事項
暫時步驟是停用在線服務相關服務帳戶的登入。
- 如果已建立連接器,則會在 [跨平臺連接器] 下使用 Intune 控制台加以刪除。
- IT 系統管理員會停用服務帳戶,並撤銷為驗證 (未使用) 在線服務所建立的憑證。
| ISM 控件 2024 年 6 月 | 成熟度層級 | Control | 測量 |
|---|---|---|---|
| ISM-1905 | 1, 2, 3 | 已移除廠商不再支援的在線服務。 | IT 系統管理員會停用與廠商不再支援之在線服務相關聯的所有帳戶和連接器。 |
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應