基本的八個修補程式操作系統
下表概述與修補作業系統相關的 ISM 控制件。
| ISM 控件 2024 年 6 月 | 成熟度層級 | 控制項 | 測量 |
|---|---|---|---|
| ISM-1694 | 1, 2, 3 | 針對因特網對向伺服器和因特網對向網路裝置操作系統中弱點的修補程式、更新或其他廠商防護措施,會在發行后兩周內套用,因為廠商將弱點評估為不具關鍵性,且沒有任何作用中的惡意探索存在。 | 使用商務用 Windows Update 和定義的更新通道,會在發行 2 周時安裝修補程式。 |
| ISM-1695 | 1, 2 | 工作站、非因特網對向伺服器和非因特網對向網路裝置操作系統中弱點的修補程式、更新或其他廠商防護功能,會在發行后一個月內套用。 | IT 系統管理員會在 Microsoft Configuration Manager 中部署期限設定為所需日期的更新 |
| ISM-1696 | 3 | 工作站、非因特網對向伺服器和非因特網對向網路裝置操作系統中弱點的修補程式、更新或其他廠商防護功能,會在發行后 48 小時內套用,當廠商將弱點評估為嚴重或存在工作惡意探索時。 | IT 系統管理員會在 Microsoft Configuration Manager 中部署期限設定為 [儘快] 的更新 |
| ISM-1701 | 1, 2, 3 | 弱點掃描器會每天至少用來識別因特網對向伺服器和因特網對向網路裝置操作系統中弱點的遺漏修補程式或更新。 | 已上線至適用於端點的Defender的裝置。 Microsoft Defender 弱點管理會持續監視和偵測整個組織裝置的風險。 |
| ISM-1702 | 1, 2, 3 | 弱點掃描器會至少謹慎地用來識別工作站、非因特網對向伺服器和非因特網對向網路裝置操作系統中弱點的遺漏修補程式或更新。 | IT 系統管理員會設定 Configuration Manager 的軟體更新功能,至少每 14 天在系統上執行一次掃描是否有遺漏的修補程式。 |
| ISM-1877 | 1, 2, 3 | 當廠商將弱點評估為嚴重或有工作攻擊存在時,會在發行后 48 小時內套用因特網對向伺服器和因特網對向網路裝置操作系統中弱點的修補程式、更新或其他廠商防護功能。 | 使用商務用 Windows Update 加速修補程式部署方法,會在 48 小時內安裝修補程式。 |
| ISM-1501 | 1, 2, 3 | 不再由廠商支援的作業系統會被取代。 | 使用定義的通道,WUfB 會自動將裝置更新為最新的功能更新。 |
| ISM-1879 | 3 | 當廠商將弱點評估為嚴重性,或有作用中的惡意探索存在時,會在發行后 48 小時內套用驅動程式弱點的修補程式、更新或其他廠商防護功能。 | 使用定義的通道,WUfB 會自動將裝置更新為最新的功能更新。 |
| ISM-1900 | 3 | 弱點掃描器至少會定期用來識別韌體中遺漏的修補程式或更新弱點。 | 裝置將會上線至適用於端點的 Defender。 Microsoft Defender 弱點管理會持續監視和偵測整個組織裝置的風險。 |
| ISM-1902 | 3 | 工作站、非因特網對向伺服器和非因特網對向網路裝置操作系統中弱點的修補程式、更新或其他廠商防護功能,會在發行后一個月內套用,因為廠商將弱點評估為不具關鍵性,且沒有任何作用中的惡意探索存在。 | IT 系統管理員會設定 Configuration Manager 的軟體更新功能,至少每 14 天在系統上執行一次掃描是否有遺漏的修補程式。 |
| ISM-1903 | 3 | 當廠商將弱點評估為嚴重性,或存在工作惡意探索時,韌體弱點的修補程式、更新或其他廠商防護功能會在發行后 48 小時內套用。 | Intune 的驅動程式和韌體部署方法會部署最新的安全驅動程式和韌體版本。 |
| ISM-1904 | 3 | 當廠商將弱點評估為不具關鍵性,而且沒有有效的惡意探索存在時,韌體弱點的修補程式、更新或其他廠商防護功能會在發行后一個月內套用。 | Intune 的驅動程式和韌體部署方法將用來部署最新的安全驅動程式和韌體版本。 |
| ISM-1697 | 3 | 當廠商將弱點評估為不具關鍵性,而且沒有作用中的惡意探索存在時,驅動程式弱點的修補程式、更新或其他廠商防護功能會在發行后一個月內套用。 | Intune 驅動程式和韌體部署方法將用於修補驅動程式和韌體中的弱點 |
| ISM-1703 | 3 | 弱點掃描器至少可用來識別驅動程式中遺漏的修補程式或更新弱點。 | 裝置將會上線至適用於端點的 Defender。 Microsoft Defender 弱點管理會持續監視和偵測整個組織裝置的風險。 |
| ISM-17041 | 1, 2, 3 | 已移除 Office 生產力套件、網頁瀏覽器及其延伸模組、電子郵件用戶端、PDF 軟體、Adobe Flash Player,以及廠商不再支援的安全性產品。 | Intune 應用程式部署方法可用來移除不支援的應用程式和擴充功能 2。 |
| ISM-18071 | 1, 2, 3 | 資產探索的自動化方法至少會短暫地用來支援後續弱點掃描活動的資產偵測。 | 使用掃描儀來執行資產探索並維護資產清查2。 |
| ISM-18081 | 1, 2, 3 | 具有最新弱點資料庫的弱點掃描器會用於弱點掃描活動。 | DVM 的弱點資料庫會隨著Microsoft而持續更新,而其他人會發現您網路2 上安裝的軟體有弱點。 |
商務用 Windows Update
商務用 Windows Update (WUfB) 可讓 IT 系統管理員直接將這些端點連線到 Windows Update,以最新的安全性和品質更新和 Windows 功能,讓其組織的 Windows 裝置保持在最新狀態。 IT 系統管理員可以使用 Microsoft Intune 與 WUfB 之間的整合,在裝置上設定更新設定,並設定更新安裝的延遲。
商務用 Windows Update 提供數種更新類型的管理原則:
- 功能更新:這些更新不只包含安全性和品質修訂,還包含重要的功能新增和變更。 從 Windows 10 21H2 開始,功能更新會在日曆年度的後半部每年發行一次。 功能更新的版本資訊記載於此: Windows 10 - 版本資訊 |Microsoft檔
- 品質更新:傳統操作系統更新通常會在每個月的第二個星期二發行 (不過這些更新可以隨時發行) 。 其中包括安全性、重要和驅動程式更新。 品質更新可累計。
- Windows 驅動程式:適用於受控裝置的設備驅動器。
- Microsoft產品更新:其他Microsoft產品的更新,例如 MSI 版本的 Microsoft 365 應用程式和 .NET (Dot Net) Framework。 您可以使用商務用 Windows Update 原則來啟用或停用這些更新。
商務用 Windows Update 通道道
WUfB 具有通道的概念。 通道是以特定裝置群組為目標的 WUfB 設定和原則集合。 組織可以視需要使用任意數量的更新步調,雖然大部分的組織都已適應比先前可能與其他修補工具搭配Microsoft端點組態管理員的更新步調更少。 建議以 開頭的環形數目介於 3 到 5 個通道之間。
商務用 Windows Update 的重要設定和術語
WUfB 介紹系統管理員可能不熟悉的一些新概念和術語:
- 偵測:裝置會定期簽入 Windows Update 服務,以檢查是否提供任何更新。 此簽入和判斷裝置可用的更新稱為偵測。
- 延遲:商務用 Windows Update 可讓您將更新從提供給裝置的指定天數延遲。
- 期限:期限設定可讓系統管理員指定在裝置上安裝品質更新之前的天數。 經過指定的天數之後,將會自動安裝更新。 期限倒數會從提供更新 (開始,也就是透過裝置) 延遲選項偵測到更新時。
- 寬限期:寬限期設定可讓系統管理員指定在重新啟動之前數天套用和安裝更新。 經過指定的天數之後,就會自動重新啟動。 重新啟動倒數會從成功安裝更新開始。
商務用 Windows Update 設定時程表範例
| 期限值 | 寬限期值 | 強制更新安裝時間 | 強制重新啟動 |
|---|---|---|---|
| 0 | 0 | 偵測之後立即 | 安裝之後立即 |
| 2 | 2 | 偵測后的 2 天 | 更新安裝後的 2 天 |
商務用 Windows Update 通道設定
以下是 WUfB Ring 組態範例,總共有 5 個通道。 針對每個通道,會列出建議的延遲、期限和寬限期。 已提供每個通道的 完整設定 ,以方便參考。
- 環形 0 – 測試裝置:專用測試裝置 (重要應用程式 & 初始的螢幕)
- 信號 1 – 試驗裝置:IT 系統管理員、早期採用者 (占裝置總數的 1%,)
- 環形 2 – 快速裝置:裝置的隨機種類 (由裝置總數的 9% 組成)
- 通道 3 – 廣泛的裝置:廣泛部署 (由裝置總數的 90% 組成)
- 通道 4 – 重要裝置:主管人員、業務關鍵裝置等。
環形 0:測試裝置
- 在發行后0天安裝更新。
組織應該設定由專用測試裝置組成的「信號0」。
這些裝置會接收更新,而不會有任何延遲。 系統管理員可以使用這些裝置搭配最新的更新,以執行重要應用程式的初始驗證,且功能仍如預期般運作。
| 品質更新延遲 | 功能更新延遲 | 期限值 | 寬限期值 | 強制品質更新安裝時間 | 強制重新啟動 |
|---|---|---|---|---|---|
| 0 | 0 | 0 | 0 | 發行和偵測之後立即 | 在強制安裝更新之後立即安裝 |
如需此通道的完整設定,請參閱 商務用 Windows Update 通道 設定。
環形 1:試驗
- 在發行后的 2 天內安裝更新 (1% 的裝置)
IT 人員和選取的早期採用者包含 Ring 1,通常大約是受控裝置總數的 1%。
除了使用 Ring 0 進行初始測試之外,此通道還提供使用者執行日常工作的第一行測試,以在擴充的裝置數目收到更新之前發現任何問題。
| 品質更新延遲 | 功能更新延遲 | 期限值 | 寬限期值 | 強制品質更新安裝時間 | 強制重新啟動 |
|---|---|---|---|---|---|
| 2 | 10 | 2 | 2 | 品質更新發行和偵測后的 4 天 | 強制更新安裝后的 2 天 |
如需此通道的完整設定,請參閱 商務用 Windows Update 通道 設定。
注意事項
排除特殊許可權存取工作站,這些工作站會在此通道中發生問題時,用來進行疑難解答和解決問題。 Broad Ring 會是這些裝置的適當環形。
環形 2:快速
- 在發行后的 4 天內安裝更新 (9% 的裝置)
由 9% 的組織端點組成的隨機種類應該新增至 Ring 2。
這些裝置會設定為在發行后 4 天接收更新,以便在廣泛部署至組織其餘部分之前,讓更多用戶進行更多測試。
| 品質更新延遲 | 功能更新延遲 | 期限值 | 寬限期值 | 強制品質更新安裝時間 | 強制重新啟動 |
|---|---|---|---|---|---|
| 4 | 30 | 2 | 2 | 品質更新發行和偵測后的 6 天 | 強制更新安裝后的 2 天 |
如需此通道的完整設定,請參閱 商務用 Windows Update 通道 設定。
環形 3:寬
- 在發行后的 7 天安裝更新 (90% 的裝置)
所有剩餘的裝置都應該設定為 Ring 3 的一部分。
在這個階段,組織確信更新可以廣泛安裝在其裝置上。 Ring 3 會將更新設定為從發行後延遲 7 天,再自動安裝。
| 品質更新延遲 | 功能更新延遲 | 期限值 | 寬限期值 | 強制品質更新安裝時間 | 強制重新啟動 |
|---|---|---|---|---|---|
| 7 | 60 | 2 | 2 | 品質更新發行和偵測后的9天 | 強制更新安裝后的 2 天 |
如需此通道的完整設定,請參閱 商務用 Windows Update 通道 設定。
環形 4:重要系統
- 在發行后 14 天安裝更新
有些組織有少量的重要裝置,例如執行人員所使用的裝置。
針對這些類型的裝置,組織可能會想要進一步延遲品質和功能更新的安裝,以將任何潛在的中斷情況降到最低。 這些裝置會是 Ring 4 的一部分,特別是針對這些重要裝置。
| 品質更新延遲 | 功能更新延遲 | 寬限期值 | 期限值 | 更新安裝時間 | 強制重新啟動 |
|---|---|---|---|---|---|
| 10 | 90 | 2 | 2 | 品質更新發行和偵測后的 12 天 | 強制更新安裝后的 2 天 |
如需此通道的完整設定,請參閱附錄中的商務用 Windows Update Ring 設定。
| ISM 控件 2024 年 3 月 | 成熟度層級 | Control | 測量 |
|---|---|---|---|
| 1694 | 1, 2, 3 | 針對因特網對向伺服器和因特網對向網路裝置操作系統中弱點的修補程式、更新或其他廠商防護措施,會在發行后兩周內套用,因為廠商將弱點評估為不具關鍵性,且沒有任何作用中的惡意探索存在。 | 使用商務用 Windows Update 和定義的更新通道,會在發行 2 周時安裝修補程式。 |
| 1501 | 1, 2, 3 | 不再由廠商支援的作業系統會被取代。 | 使用定義的通道,WUfB 會自動將裝置更新為最新的功能更新。 |
加速品質更新
Intune 提供 加速品質更新、加速安裝品質更新的功能,例如最新的修補程式星期二版本,或零時差的頻外安全性更新。 若要加速安裝,加速更新會使用可用的服務,例如 Windows 推播通知服務 (WNS) 和推播通知通道,將訊息傳遞給有快速更新安裝的裝置。 此程式可讓裝置儘快開始下載和安裝加速更新,而不需要等候裝置簽入更新。
實作詳細數據 – 加速品質更新
若要加速品質更新:
- 在 Windows 10 和更新版本的裝置>> Windows 品質更新 (Preview) 下,建立Windows 10 和更新版本配置檔的品質更新
- 提供名稱。 建議原則的名稱與為了方便參考而加速的品質更新版本一致。
- 定義如果裝置操作系統版本小於,Windows Update for Business 會加速安裝的品質更新。
- 定義強制執行裝置重新啟動之前的天數
- 將配置檔指派給包含所有適用 Windows 裝置的群組
注意事項
如果強制執行重新啟動之前的等候天數設定為 0,裝置會在收到更新時立即重新啟動。 使用者不會收到延遲重新啟動的選項。
| ISM 控件 2024 年 6 月 | 成熟度層級 | Control | 測量 |
|---|---|---|---|
| 1877 | 1, 2, 3 | 當廠商將弱點評估為嚴重或有工作攻擊存在時,會在發行后 48 小時內套用因特網對向伺服器和因特網對向網路裝置操作系統中弱點的修補程式、更新或其他廠商防護功能。 | 使用商務用 Windows Update 加速修補程式部署方法,會在 48 小時內安裝修補程式。 |
| 1879 | 3 | 當廠商將弱點評估為嚴重性,或有作用中的惡意探索存在時,會在發行后 48 小時內套用驅動程式弱點的修補程式、更新或其他廠商防護功能。 | 使用定義的通道,WUfB 會自動將裝置更新為最新的功能更新。 |
注意事項
建議您最終移除加速品質更新原則,通常一旦確認修補程式已成功部署至所有裝置,或被下個月的更新取代。
傳遞最佳化
傳遞優化是雲端管理的解決方案,可讓用戶端從替代來源下載更新, (例如網路上的其他對等) ,以及傳統的因特網伺服器。 透過 Intune 設定時,可以為 Windows 裝置設定傳遞優化設定,以減少下載更新二進位檔時的因特網頻寬耗用量。
實作詳細數據 – 傳遞優化原則
- 在 [裝置>] Windows組態配置檔的 [建立配置文件>平臺>] [Windows> 10] 和更新>版本的 [配置檔>類型] > 範本傳遞優化下,建立傳遞優化原則
- 提供原則的名稱
- 在 [ 組態設定] 頁面中,根據附錄中的 [傳遞優化原則設定] 使用值,並建立原則。
- 將配置檔指派給包含所有適用 Windows 裝置的群組。
Intune 驅動程式和韌體更新管理
在 Microsoft Intune 中使用 Windows 驅動程式更新管理,您可以監督、授權部署,並暫時停止在受控 Windows 10 和 Windows 11 裝置上推出驅動程式更新。 Intune 與商務用 Windows Update (WUfB) 部署服務 (DS) 一起,處理在驅動程式更新原則下識別裝置相關驅動程式更新的複雜程式。 這些更新是由 Intune 和 WUfB-DS 分類,簡化區分適用於所有裝置的建議更新和針對特定需求量身打造之選擇性更新的程式。 透過 Windows 驅動程式更新原則,您可以在裝置上完全控制驅動程式更新的安裝。
您可以採取下列做法:
- 為建議的驅動程式更新啟用自動核准:針對自動核准設定的原則會立即開啟綠色燈,並將每個新的建議驅動程式更新版本部署到指派給原則的裝置。 建議的驅動程式通常代表驅動程序發行者標示為必要的最新更新。 此外,未指定為目前建議版本的驅動程式會編錄為其他驅動程式,以提供選擇性更新。 接著,當 OEM 中較新的驅動程式更新發行並識別為目前建議的驅動程式更新時,Intune 會自動將它新增至原則,並將先前建議的驅動程式移至其他驅動程式清單。
- 設定原則以要求手動核准所有更新:此原則可確保系統管理員必須先核准驅動程式更新,才能部署。 具有此原則之裝置的較新版本驅動程式更新會自動新增至原則,但在核准之前會保持非使用中狀態。
- 管理哪些驅動程式已核准進行部署:您可以編輯任何驅動程式更新原則,以修改哪些驅動程式已核准進行部署。 您可以暫停部署任何個別的驅動程式更新,以停止部署至新裝置,然後稍後重新布建已暫停的更新,讓 Windows Update 繼續在適用的裝置上安裝。
透過 Intune 驅動程式和韌體管理功能部署驅動程式和韌體更新的步驟
步驟 1:建立驅動程式更新配置檔和部署更新步調
建立驅動程序原則更新原則時,IT 系統管理員可以選擇自動和手動更新。
- 自動:自動核准所有建議的驅動程式,並設定探索開始提供驅動程序的時間長度。
-
手動:手動核准驅動程式,並選取當您核准驅動程式時開始提供更新的日期。 使用此選項時,除非手動核准,否則不會提供任何驅動程式。
若要建立一組部署通道,建議您使用下列設定組合:
- 核准方法:自動核准所有建議的驅動程式更新
- (天后提供更新)
步驟 2:檢閱可用的驅動程式
建立原則之後,讓裝置掃描更新約一天。 [ 要檢閱的驅動程式] 數據行包含準備進行手動核准的新建議驅動程式更新計數。 在自動原則中,要檢閱的驅動程式會保持在 0,因為會自動核准建議的驅動程式。 這是一個絕佳的指標,表示已探索到新的驅動程式,並正在等候決定是否要核准或拒絕部署這些驅動程式。
步驟 3:核准驅動程式
當 IT 系統管理員核准驅動程式時,未來還可以提供核准日期。 一旦驅動程序獲得核准,Intune 受控 Windows 裝置會在下一個原則同步處理週期中收到它們,通常是每 8 小時一次。
| ISM 控件 2024 年 6 月 | 成熟度層級 | Control | 測量 |
|---|---|---|---|
| ISM-1697 | 3 | 當廠商將弱點評估為不具關鍵性,而且沒有作用中的惡意探索存在時,驅動程式弱點的修補程式、更新或其他廠商防護功能會在發行后一個月內套用。 | Intune 的驅動程式和韌體部署方法將用來核准和部署最新版的驅動程式,以減輕弱點 |
| ISM-1903 | 3 | 當廠商將弱點評估為嚴重性,或存在工作惡意探索時,韌體弱點的修補程式、更新或其他廠商防護功能會在發行后 48 小時內套用。 | 當廠商將韌體弱點評估為重大時,IT 系統管理員會在Intune控制台中核准較新版本的韌體 |
| ISM-1904 | 3 | 當廠商將弱點評估為不具關鍵性,而且沒有有效的惡意探索存在時,韌體弱點的修補程式、更新或其他廠商防護功能會在發行后一個月內套用。 | Intune 的驅動程式和韌體部署方法會部署最新的安全驅動程式和韌體版本。 |
監視更新安裝
注意事項
更新合規性自 2023 年 3 月起已被取代。
使用 Log Analytics (更新合規性報告合規性)
更新合規性 允許監視 Windows 10 或 Windows 11 專業版、教育版和企業版的品質和功能更新。 更新合規性會將 Windows 用戶端診斷數據定序,以將 Windows 裝置上的更新狀態報告至 Log Analytics 工作區。 更新合規性會顯示所有已上線到服務的裝置資訊,以協助判斷它們是否為最新狀態,如下所示:
- 安全性更新:每當裝置安裝最新適用的品質更新時,其品質更新都是最新的。 品質更新是 Windows 用戶端版本專屬的每月累積更新。
- 功能更新:每當裝置安裝最新適用的功能更新時,其功能更新都是最新的。 在判斷更新適用性時,更新合規性會考慮維護通道。
如需布建 Log Analytics 工作區以符合更新合規性的必要條件詳細資訊,請參閱 開始使用更新合規性 - Windows 部署。
將裝置上線以更新合規性
- 建立更新合規性解決方案之後,流覽至 Log Analytics 工作區的 [解決方案] 索引標籤以擷取您的商業標識碼,然後選取 WaaSUpdateInsights 解決方案。 CommercialID 是指派給特定 Log Analytics 工作區的全域唯一標識符。
- 設定原則以符合更新合規性原則
- 從控制台,將 CommercialID 的值變更為步驟 1 期間收集的唯一 CommercialID ()
- 將配置檔指派給包含所有適用 Windows 裝置的群組。
使用更新合規性報告
合併診斷數據會顯示在更新合規性中可立即取得的各種報告區段中。 收集的數據會在更新合規性內儲存 28 天。
需要注意合規性報告區段
本節提供所有 Windows 用戶端裝置的明細,以及更新合規性偵測到的更新問題。 本節的摘要圖格會計算有問題的裝置數目,而區段內的刀鋒視窗會細分所遇到的問題,例如操作系統版本不支援的裝置和遺失的安全性更新。 這些報告中顯示的裝置需要系統管理員補救。 另外還有一份預先定義的查詢清單,其中提供值,但不適用於任何其他主要區段,例如有擱置重新啟動的裝置、已暫停的設定等等。
安全性更新狀態合規性報告區段
本節列出裝置在裝置執行的 Windows 版本發行的最新安全性更新上所使用的裝置百分比。 選取此區段會提供刀鋒視窗,摘要說明所有裝置上安全性更新的整體狀態,以及其部署進度的摘要,以取得最新的兩個安全性更新。
功能更新狀態合規性報告區段
本節列出適用於指定裝置的最新功能更新裝置百分比。 選取此區段會提供刀鋒視窗,摘要說明所有裝置的整體功能更新狀態,以及您環境中不同版本 Windows 用戶端的部署狀態摘要。
傳遞優化狀態合規性報告區段
本節摘要說明在您的環境中使用傳遞優化所產生的頻寬節省量。 它提供跨裝置傳遞優化設定的細目,並摘要說明跨多個內容類型的頻寬節省和使用率。
Windows 自動修補
軟體更新管理程式的其中一個最昂貴層面是確保實體和虛擬) (裝置一律狀況良好,以接收和報告每個軟體更新發行週期的軟體更新。 在進行中的變更管理程序發生問題時,有一種測量、快速偵測和補救的方法很重要;它有助於降低高技術服務人員票證數量、降低成本,以及改善整體更新管理結果。
Windows Autopatch 是一項雲端服務,可針對 Windows、Microsoft 365 Apps 企業版、Microsoft Edge、Microsoft Teams、Surface Driver/韌體、已發佈的驅動程式/韌體自動進行修補,在 Windows Update 市集、Windows 365 和 Azure 虛擬桌面 (AVD) 中為組織。 Windows 自動修補可為您的組織提供額外的層級,以減輕部署 Windows Update 時的問題。 Windows 自動修補部署更新步調會在裝置層級隔離,也就是說,在 Windows 自動修補裝置註冊程式期間,我們會將裝置指派給其中一個部署通道:Test、First、Fast 或 Broad。
Windows Autopatch 隨附於 Windows 10/11 企業版 E3 或更新版本。 使用自動修補還有其他 必要條件 ,包括一些應視為首度發行一部分的 網路 設定。
自動修補註冊步驟
步驟 1:整備評估
整備評估工具會檢查 Microsoft Intune 中的設定,並Microsoft Entra ID,以確保它在註冊租使用者時使用 Windows 自動修補。 若要啟用整備評估:
- 以全域管理員身分移至 Intune
- 在左窗格中,選取 [ 租使用者管理] ,然後流覽至 [Windows 自動修補>租用戶註冊]。
整備評估工具接著會檢查 Intune 設定,以確認 Windows 10 或更新版本的部署更新步調,以及最低系統管理員需求和未授權的系統管理員。 它也會檢查您的 Microsoft Entra 設定,包括共同管理和授權。
整備評估工具會提供報告,並建議您必須解決的任何問題,以及需要 執行哪些步驟 才能進入就緒狀態。 問題解決后,您可以移至下一個步驟。
步驟 2:驗證系統管理員聯繫人
此步驟的目的是要確認您的組織具有每個焦點區域的系統管理員,讓Windows Autopatch Service Engineering Team 可以連絡貴組織的系統管理員,以瞭解您未來的支援要求,並在註冊程式期間展開最低管理員集。
| 重點領域 | 描述 |
|---|---|
| 裝置 | 裝置登錄 |
| 裝置健康狀況 | |
| 更新 | Windows 品質更新 |
| Microsoft 365 Apps 企業版更新 | |
| Microsoft Edge 更新 | |
| Microsoft Teams 更新 |
完成下列步驟以新增系統管理員聯繫人:
- 登入 Intune。
- 在 [Windows 自動修補] 區段的 [租使用者管理] 底下,選取 [系統管理員聯繫人]。
- 選取 新增。
- 輸入聯繫人詳細數據,包括名稱、電子郵件、電話號碼和慣用語言。 針對支援票證,票證的主要聯繫人慣用語言會決定用於電子郵件通訊的語言。
- 選取 焦點區域, 並在指定的焦點區域中輸入聯繫人知識和授權單位的詳細數據。
- 選 取 [儲存 ] 以新增聯繫人。
- 每個重點領域的重複。
注意事項
系統管理員可能會有多個重點領域,特別是在較小的組織中。
步驟 3:裝置註冊
Windows 自動修補裝置註冊程式對使用者而言是透明的。
Windows Autopatch 必須將現有的裝置註冊到其服務,以代表您管理更新部署。 若要執行裝置註冊:
- IT 系統管理員在向 Windows Autopatch 註冊裝置之前,先檢閱 Windows 自動修補裝置註冊必要 條件
- IT 系統管理員會識別要由 Windows Autopatch 管理的裝置,並將它們新增至 Windows 自動修補裝置註冊Microsoft Entra 群組
- Windows Autopatch then:
- 在註冊前執行裝置整備 (必要條件檢查)
- 計算部署通道分佈
- 根據先前的計算,將裝置指派給部署通道
- 將裝置指派給管理所需的其他 Microsoft Entra 群組
- 將裝置標示為作用中以進行管理,以便套用其更新部署原則
- IT 系統管理員接著會監視裝置註冊趨勢和更新部署報告。您可以 在這裡找到詳細的裝置註冊工作流程。
Windows 自動修補裝置類型
任何包含 Microsoft Entra 裝置識別碼的實體或虛擬) (裝置,都可以新增至 Windows 自動修補裝置註冊Microsoft Entra 群組。 這可以是透過直接成員資格,或是成為另一個Microsoft Entra 群組的一部分, (動態或指派給巢狀至此群組的) ,以便向 Windows Autopatch 註冊。 唯一的例外是 Windows 365 雲端電腦,因為這些虛擬設備必須從 Windows 365 布建原則向 Windows 自動修補註冊。
適用於 Windows 365 的自動修補
Windows 365 企業版可讓 IT 系統管理員選擇在 Windows 365 布建原則建立過程中向 Windows 自動修補服務註冊裝置。 此選項可為系統管理員和使用者提供順暢的體驗,以確保您的雲端電腦一律處於最新狀態。 當 IT 系統管理員決定使用 Windows Autopatch 管理其 Windows 365 雲端電腦時,Windows 365 布建原則建立程式會呼叫 Windows 自動修補裝置註冊 API,代表 IT 系統管理員註冊裝置。若要從 Windows 365 布建原則向 Windows 自動修補註冊新的 Windows 365 雲端電腦裝置:
- 移至 Intune。
- 在左窗格中,選取 [ 裝置]。
- 流覽至 [ 布建>Windows 365]。
- 選 取 [布建原則>] [建立原則]。
- 提供原則名稱,然後選取 [聯結類型]。
- 選取 [下一步]。
- 選擇所需的映像,然後選取 [ 下一步]。
- 在 [ Microsoft 受控服務 ] 區段下,選取 [Windows 自動修補]。 然後,選取 [下一步]。
- 據以指派您的原則,然後選取 [ 下一步]。
- 選取 [建立]。
現在,您新布建的 Windows 365 企業版雲端電腦將會自動註冊並由 Windows Autopatch 管理。
Azure 虛擬桌面上的 Windows 自動修補
Windows 自動修補適用於 Azure 虛擬桌面。 企業系統管理員可以根據實體機器,使用現有的裝置註冊程式,布建要由Windows 自動修補管理的 Azure 虛擬桌面工作負載。 Windows Autopatch 提供與 實體裝置相同的虛擬機服務範圍。 不過,除非另有指定,否則 Windows 自動修補會將任何 Azure 虛擬桌面特定支援定義為 Azure 支援。
自動修補儀錶板和報告
自動修補提供目前狀態和歷程記錄 () 報告的摘要儀錶板和各種報告, (註冊到 Autopatch 的所有裝置最多 90) 天,可視需要匯出至 CSV 檔案。 若要檢視所有已註冊裝置的目前更新狀態:
- 登入 Intune。
- 流覽至 [報告>Windows 自動修補>Windows 品質更新]。
[所有裝置] 報表包含:
| 資訊 | 描述 |
|---|---|
| 裝置名稱 | 裝置的名稱。 |
| Microsoft裝置標識碼 | 目前Microsoft裝置的編碼標識碼記錄裝置標識碼。 |
| 序號 | 裝置的目前 Intune 已記錄序號。 |
| 部署通道 | 裝置目前指派的 Windows 自動修補部署通道。 |
| 更新狀態 | 裝置目前的更新狀態 |
| 更新子狀態 | 裝置目前的更新子狀態 |
| 操作系統版本 | 裝置上安裝的目前 Windows 版本。 |
| 操作系統修訂 | 目前安裝在裝置上的 Windows 修訂。 |
| Intune 上次簽入時間 | 裝置上次簽入 Intune 的時間。 |
| ISM 控件 2024 年 6 月 | 成熟度層級 | Control | 測量 |
|---|---|---|---|
| 1694 | 1, 2, 3 | 針對因特網對向伺服器和因特網對向網路裝置操作系統中弱點的修補程式、更新或其他廠商防護措施,會在發行后兩周內套用,因為廠商將弱點評估為不具關鍵性,且沒有任何作用中的惡意探索存在。 | 針對向 Windows 自動修補註冊的裝置,更新會在 2 周內安裝。 |
| 1877 | 1, 2, 3 | 當廠商將弱點評估為嚴重或有工作攻擊存在時,會在發行后 48 小時內套用因特網對向伺服器和因特網對向網路裝置操作系統中弱點的修補程式、更新或其他廠商防護功能。 | 自動修補群組可讓組織在必要時彈性地將期限帶入 48 小時內。 |
| 1879 | 3 | 當廠商將弱點評估為嚴重性,或有作用中的惡意探索存在時,會在發行后 48 小時內套用驅動程式弱點的修補程式、更新或其他廠商防護功能。 | 自動修補群組可讓組織在必要時彈性地將期限帶入 48 小時內。 |
使用 Microsoft Defender 弱點管理來識別弱點
Microsoft Defender 弱點管理 (DVM) 提供適用於 Windows、macOS、Linux、Android、iOS 和網路裝置的資產可見度、智慧型評量和內建補救工具。
必要條件是,端點必須上線以Microsoft適用於端點的Defender。 使用 DVM 還有其他 必要條件 。 一旦上線,DVM 就能夠評估弱點是否適用於個別裝置,並提供建議的動作。
實作詳細數據 – 將端點上線至適用於端點的 Microsoft Defender
- 在執行 Windows 10 或更新版本) 的傳統型裝置Microsoft適用於端點 (Defender 的範本>類型建立新的 Windows 組態配置檔。
- 將 [加速 遙測報告頻率] 設定為 [ 啟用]。
- 將配置檔指派給包含所有適用 Windows 裝置的群組。
使用 Microsoft Defender 弱點管理探索弱點
一旦裝置上線至適用於端點的 Defender,DVM 就可以判斷是否有任何裝置可能暴露於弱點,並針對每個已識別的弱點提供安全性建議。
在 Microsoft 安全 性入口網站的 [弱點管理 > 清查] 底下,會顯示跨端點識別到適用於端點的 Defender 的軟體產品,包括廠商名稱、找到的弱點、與其相關聯的威脅,以及公開的裝置。
您也可以流覽至 [裝置清查] 頁面,查看特定裝置上的軟體清查。 選取要開啟裝置頁面的裝置名稱, (如 Computer1) ,然後選取 [軟體清查] 索引標籤以查看裝置上所有已知軟體的清單。 選取特定的軟體專案,以開啟包含詳細資訊的飛出視窗。
開啟特定軟體頁面可提供應用程式的詳細數據,如下列螢幕快照所示。 顯示的詳細資料包括:
- 針對所識別弱點和弱點的對應安全性建議。
- 已探索到弱點的具名 CVE。
- 已安裝軟體的裝置 (以及裝置名稱、網域、OS 等) 。
- 軟體版本清單 (包括安裝版本的裝置數目、探索到的弱點數目,以及已安裝裝置的名稱) 。
使用 Microsoft Intune 補救弱點
DVM 功能的設計訴求是透過補救要求工作流程來填補安全性與IT系統管理員之間的差距。 DVM 補救動作可以使用原生整合在 Intune 中產生補救工作。 此外,DVM API 可用來在需要時,使用第三方工具來協調補救程式和動作。 下列步驟說明使用 DVM 和 Intune 的補救工作流程:
若要使用這項功能,請啟用 Microsoft Intune 連線。
- 在 Microsoft Defender 入口網站中。
- 流覽至 [設定>端點] [>一般>進階功能]。
- 向下卷動並尋找 Microsoft Intune 連線。
- 根據預設,切換會關閉。 將 [Microsoft Intune 連線 ] 切換為 [ 開啟]。
注意事項
在 DVM 中建立補救要求時,必須啟用與 Intune Microsoft連線,才能建立對應的 Intune 安全性工作。 如果未啟用連線,則不會顯示建立 Intune 安全性工作的選項。
- 移至 Microsoft Defender 入口網站中的 [弱點管理] 導覽功能表,然後選取 [建議]。
- 選取您想要要求補救的安全性建議,然後選取 [ 補救 選項]。
- 填寫表單,包括您要求補救的內容、適用的裝置群組、優先順序、到期日和選擇性附註。
提交補救要求會在 DVM 內建立補救活動專案,可用來監視任何補救進度。 當系統管理員從 [安全性建議] 頁面提交補救要求時,會建立可在 [補救] 頁面上追蹤的安全性工作,並在 Microsoft Intune 中建立補救票證。 這不會觸發補救,也不會將任何變更套用至裝置。
下圖顯示在 Intune 中建立的安全性工作:
- Intune 系統管理員會選取安全性工作,以檢視工作的詳細數據。 系統管理員接著選取 [ 接受],這會將 Intune 和適用於端點的 Defender 中的狀態更新為 [ 已接受]。
Intune 系統管理員接著會根據提供的指引來補救工作。 此指引會根據所需的補救類型而有所不同。 如果有的話,補救指引會包含連結,這些鏈接會開啟 Intune 中設定的相關窗格。
如需 DVM 的其他資訊,請參閱 Patch Applications 一節。
| ISM 控件 2024 年 6 月 | 成熟度層級 | Control | 測量 |
|---|---|---|---|
| 1701 | 1, 2, 3 | 弱點掃描器會每天至少用來識別因特網對向伺服器和因特網對向網路裝置操作系統中弱點的遺漏修補程式或更新。 | 裝置將會上線至適用於端點的 Defender。 Microsoft Defender 弱點管理會持續監視和偵測整個組織裝置的風險。 |
| 1703 | 3 | 弱點掃描器至少可用來識別驅動程式中遺漏的修補程式或更新弱點。 | 裝置將會上線至適用於端點的 Defender。 Microsoft Defender 弱點管理會持續監視和偵測整個組織裝置的風險。 |
| 1900 | 3 | 弱點掃描器至少會定期用來識別韌體中遺漏的修補程式或更新弱點。 | 裝置將會上線至適用於端點的 Defender。 Microsoft Defender 弱點管理會持續監視和偵測整個組織裝置的風險。 |
以裝置操作系統版本為基礎的合規性
Intune 中的合規性原則可讓您根據裝置是否符合一或多個設定的需求,判斷裝置是否符合規範或不符合規範。 存取受條件式存取保護的公司資源時,會評估裝置的此合規性狀態,以允許或拒絕存取資源。
Intune 可以根據裝置目前的操作系統版本,判斷裝置是否符合規範或不符合規範。 使用條件式存取中的裝置合規性授與控制,使用者只能在符合或超過最低操作系統版本的裝置上存取公司資源。
實作詳細數據:Windows Update 合規性政策
- 在 [ 裝置 > ] [Windows > 合規性原則] 底下建立 Windows 合規性 > 政策建立原則 > 平臺 > Windows 10 和更新版本。
- 提供原則的名稱。
- 選 取 [裝置屬性],輸入要在最低OS版本中視為符合規範的最低操作系統版本。
- 將配置檔指派給包含所有適用 Windows 裝置的群組。
已提供一般合規性政策,根據裝置的操作系統值來評估裝置。
注意事項
針對 Windows 11 和 Windows 10 的最低 OS 版本所提供的值,將需要隨著時間遞增。
| ISM 控件 2024 年 6 月 | 成熟度層級 | Control | 測量 |
|---|---|---|---|
| 1407 | 3 | 使用最新版本或舊版的操作系統。 | 使用不符合指派合規性原則中所定義操作系統版本之裝置的使用者,在與條件式存取搭配使用時,將無法存取公司資源。 |
修補非因特網面向系統
Microsoft建議使用雲端服務 ,例如 Microsoft Intune 和 Azure Update Manager 來維護系統的 OS 版本並修補弱點。
不過,對於離線的系統和伺服器,Microsoft建議使用Microsoft Configuration Manager 的修補程式管理功能。 如需詳細資訊 ,請參閱 Microsoft Configuration Manager 。
| ISM 控件 2024 年 6 月 | 成熟度層級 | Control | 測量 |
|---|---|---|---|
| ISM-1695 | 1, 2 | 工作站、非因特網對向伺服器和非因特網對向網路裝置操作系統中弱點的修補程式、更新或其他廠商防護功能,會在發行后一個月內套用。 | IT 系統管理員會在 Microsoft Configuration Manager 中部署期限設定為所需日期的更新 |
| ISM-1696 | 3 | 工作站、非因特網對向伺服器和非因特網對向網路裝置操作系統中弱點的修補程式、更新或其他廠商防護功能,會在發行后 48 小時內套用,當廠商將弱點評估為嚴重或存在工作惡意探索時。 | IT 系統管理員會在 Microsoft Configuration Manager 中部署期限設定為 [儘快] 的更新 |
| ISM-1702 | 1, 2, 3 | 弱點掃描器會至少謹慎地用來識別工作站、非因特網對向伺服器和非因特網對向網路裝置操作系統中弱點的遺漏修補程式或更新。 | IT 系統管理員會設定 Configuration Manager 的軟體更新功能,至少每 14 天在系統上執行一次掃描是否有遺漏的修補程式。 |
| ISM-1902 | 3 | 工作站、非因特網對向伺服器和非因特網對向網路裝置操作系統中弱點的修補程式、更新或其他廠商防護功能,會在發行后一個月內套用,因為廠商將弱點評估為不具關鍵性,且沒有任何作用中的惡意探索存在。 | IT 系統管理員會在 Microsoft Configuration Manager 中部署期限設定為所需日期的更新。 |
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應