Använda säkerhetsbaslinjer för att skydda Windows-enheter som du hanterar med Microsoft Intune

Med Microsoft Intunes säkerhetsbaslinjer kan du snabbt distribuera en rekommenderad säkerhetsstatus till dina hanterade Windows-enheter för Windows-säkerhetsbaslinjer som hjälper dig att skydda dina användare och enheter.

Även om Windows och Windows Server är utformade för att vara säkra direkt, vill många organisationer fortfarande ha mer detaljerad kontroll över sina säkerhetskonfigurationer. För att navigera i det stora antalet kontroller söker organisationer ofta vägledning om hur du konfigurerar olika säkerhetsfunktioner. Microsoft tillhandahåller den här vägledningen i form av säkerhetsbaslinjer.

Den här funktionen gäller för:

  • Windows 10 version 1809 och senare
  • Windows 11

Översikt över Intune-säkerhetsbaslinje

Varje säkerhetsbaslinje är en grupp förkonfigurerade Windows-inställningar som hjälper dig att tillämpa och tillämpa detaljerade säkerhetsinställningar som de relevanta säkerhetsteamen rekommenderar. Du kan också anpassa varje baslinje som du distribuerar för att endast framtvinga de inställningar och värden som du behöver. När du skapar en säkerhetsbaslinjeprofil i Intune skapar du en mall som består av flera enhetskonfigurationsprofiler .

Inställningarna i varje baslinje är enhetskonfigurationsinställningar som de som finns i olika Intune-principer. Varje inställning i en baslinje fungerar med konfigurationstjänstleverantören för den relevanta produkt som finns på en hanterad Windows-enhet.

Mer information om varför och när du kanske vill distribuera säkerhetsbaslinjer finns i Säkerhetsbaslinjer för Windows i Windows-säkerhetsdokumentationen.

Du distribuerar säkerhetsbaslinjer till grupper av användare eller enheter i Intune och inställningarna gäller för enheter som kör Windows 10 eller 11. Standardkonfigurationen för säkerhetsbaslinjen för Windows 10 och senare aktiverar till exempel automatiskt BitLocker för flyttbara enheter, kräver automatiskt ett lösenord för att låsa upp en enhet, inaktiverar automatiskt grundläggande autentisering med mera. När ett standardvärde inte fungerar för din miljö anpassar du baslinjen för att tillämpa de inställningar du behöver.

Obs!

I maj 2023 började Intune distribuera ett nytt säkerhetsbaslinjeformat för varje ny baslinjeversion eller versionsuppdatering. Det nya formatet uppdaterar baslinjeinställningarna för att direkt ta namn och konfigurationsalternativ från konfigurationstjänstleverantören (CSP) som baslinjeinställningen hanterar.

Intune introducerade också en ny process som hjälper dig att migrera en befintlig säkerhetsbaslinjeprofil till den nyare baslinjeversionen. Det här nya beteendet är en engångsprocess som ersätter det normala uppdateringsbeteendet när du går från den senaste versionen av en äldre profil till en nyare version som blev tillgänglig i maj 2023 eller senare.

Fördelar med att använda baslinjer:
Säkerhetsbaslinjer kan hjälpa dig att ha ett säkert arbetsflöde från slutpunkt till slutpunkt när du arbetar med Microsoft 365. Några av fördelarna är:

  • Som standard är varje säkerhetsbaslinje konfigurerad för att uppfylla bästa praxis och rekommendationer för de inställningar som påverkar säkerheten. Intune samarbetar med samma Windows-säkerhetsteam som skapar säkerhetsbaslinjer för grupprinciper. Dessa rekommendationer baseras på vägledning och omfattande erfarenhet.
  • Om intune är nytt för dig och inte vet var du ska börja ger säkerhetsbaslinjer en fördel. Du kan snabbt skapa och distribuera en säker profil med vetskapen om att du hjälper till att skydda organisationens resurser och data.
  • Om du för närvarande använder grupprinciper är det enklare att migrera till Intune för hantering med dessa baslinjer. Dessa baslinjer är inbyggda i Intune och innehåller en modern hanteringsupplevelse.

Standardinställningar för flera baslinjer:
Separata baslinjetyper, till exempel MDM-säkerhetsbaslinjen för Windows och baslinjen för Microsoft Defender, kan innehålla samma inställningar och använda olika standardvärden för dessa inställningar. Intune kan inte avgöra vilken konfiguration som är bäst för dig, eller ens i vilken miljö eller i vilket scenario du vill använda en standardrekommendationsbaslinje för en annan:

  • Det är viktigt att förstå standardvärdena i de baslinjer som du använder och sedan ändra varje baslinje så att den passar organisationens behov.
  • Som standard är varje baslinje förkonfigurerad med hjälp av de rekommendationer som är specifika för den produkt som den gäller för.
  • I vissa fall kanske en konfiguration som Microsoft Defender rekommenderar inte är standardkonfigurationen för liknande inställningar när det rekommenderas av Windows. I sådana situationer är det viktigt att granska varje inställning så att du kan förstå dess avsikt baserat på konfigurationstjänstleverantörens information och större omfång för de två produkterna.

I nästan alla scenarier är standardinställningarna i säkerhetsbaslinjerna de mest restriktiva. Du bör kontrollera att de här inställningarna inte är i konflikt med andra principinställningar eller funktioner i din miljö.

Standardinställningarna för brandväggskonfiguration kanske till exempel inte sammanfogar anslutningssäkerhetsregler och lokala principregler med MDM-regler. Om du använder leveransoptimering bör du verifiera dessa konfigurationer innan du tilldelar säkerhetsbaslinjen.

Obs!

Microsoft rekommenderar inte att du använder förhandsversioner av säkerhetsbaslinjer i en produktionsmiljö. Inställningarna i en förhandsversionsbaslinje kan ändras under förhandsgranskningen.

Tillgängliga säkerhetsbaslinjer

Följande säkerhetsbaslinjeinstanser är tillgängliga för användning med Intune. Använd länkarna för att visa inställningarna för de senaste instanserna av varje baslinje.

När en ny version för en profil blir tillgänglig blir inställningarna i profiler baserade på de äldre versionerna skrivskyddade. Du kan fortsätta att använda de äldre profilerna. Du kan också redigera profilnamn, beskrivning och tilldelningar, men de stöder inte en ändring av deras inställningskonfiguration och du kan inte skapa nya profiler baserat på de äldre versionerna.

När du är redo att använda den nyare baslinjeversionen kan du skapa nya profiler eller uppdatera dina befintliga profiler till den nya versionen. Se Ändra baslinjeversionen för en profil i artikeln Hantera säkerhetsbaslinjeprofiler .

Om baslinjeversioner och instanser

Varje ny versionsinstans av en baslinje kan lägga till eller ta bort inställningar eller införa andra ändringar. När nya Windows-inställningar till exempel blir tillgängliga med nya versioner av Windows 10/11 kan säkerhetsbaslinje för Windows 10 och senare få en ny versionsinstans som innehåller de senaste inställningarna.

Du kan visa listan över tillgängliga baslinjer i administrationscentret för Microsoft Intune underSäkerhetsbaslinjer för slutpunktssäkerhet>. Listan innehåller:

  • Namnet på varje mall för säkerhetsbaslinje.
  • Hur många profiler du har som använder den typen av baslinje.
  • Hur många separata instanser (versioner) av baslinjetypen som är tillgängliga.
  • Ett datum för senast publicerad som identifierar när den senaste versionen av baslinjemallen blev tillgänglig.

Om du vill visa mer information om de baslinjeversioner som du använder väljer du en baslinjetyp, till exempel Säkerhetsbaslinje för Windows 10 och senare för att öppna fönstret Profiler och väljer sedan Versioner. Intune visar information om de versioner av baslinjen som används av dina profiler. Informationen innehåller den senaste och senaste baslinjeversionen. Du kan välja en enskild version om du vill visa mer detaljerad information om de profiler som använder den versionen.

Du kan välja att ändra versionen av en baslinje som används med en viss profil. När du ändrar versionen behöver du inte skapa en ny baslinjeprofil för att dra nytta av uppdaterade versioner. I stället kan du välja en baslinjeprofil och använda det inbyggda alternativet för att ändra instansversionen för profilen till en ny.

Undvik konflikter

Du kan använda en eller flera av de tillgängliga baslinjerna i Intune-miljön samtidigt. Du kan också använda flera instanser av samma säkerhetsbaslinjer som har olika anpassningar.

När du använder flera säkerhetsbaslinjer granskar du inställningarna i var och en för att identifiera när dina olika baslinjekonfigurationer introducerar motstridiga värden för samma inställning. Eftersom du kan distribuera säkerhetsbaslinjer som är utformade för olika avsikter och distribuera flera instanser av samma baslinje som innehåller anpassade inställningar, kan du skapa konfigurationskonflikter för enheter som måste undersökas och lösas.

Dessutom hanterar säkerhetsbaslinjer ofta samma inställningar som du kan ange med enhetskonfigurationsprofiler eller andra typer av principer. Därför bör du vara medveten om och överväga dina andra principer och profiler för inställningar när du försöker undvika eller lösa konflikter.

Information som kan hjälpa dig att identifiera och lösa konflikter finns i:

Q & A

Varför de här inställningarna?

Microsofts säkerhetsteam har många års erfarenhet av att arbeta direkt med Windows-utvecklare och säkerhetscommunityn för att skapa dessa rekommendationer. Inställningarna i den här baslinjen anses vara de mest relevanta säkerhetsrelaterade konfigurationsalternativen. I varje ny version av Windows justerar teamet sina rekommendationer baserat på nyligen släppta funktioner.

Finns det någon skillnad i rekommendationerna för Windows säkerhetsbaslinjer för grupprinciper jämfört med Intune?

Samma Microsoft-säkerhetsteam valde och organiserade inställningarna för varje baslinje. Intune innehåller alla relevanta inställningar i Intune-säkerhetsbaslinjen. Det finns vissa inställningar i grupprincipbaslinjen som är specifika för en lokal domänkontrollant. De här inställningarna undantas från Intune-rekommendationerna. Alla andra inställningar är desamma.

Är Intune-säkerhetsbaslinjerna CIS- eller NIST-kompatibla?

Strängt taget, nej. Microsofts säkerhetsteam kontaktar organisationer, till exempel CIS, för att sammanställa sina rekommendationer. Det finns dock ingen en-till-en-mappning mellan "CIS-kompatibla" och Microsoft-baslinjer.

Vilka certifieringar har Microsofts säkerhetsbaslinjer?

Microsoft fortsätter att publicera säkerhetsbaslinjer för grupprinciper (GPO: er) och Security Compliance Toolkit, som det har gjort i många år. Dessa baslinjer används av många organisationer. Rekommendationerna i dessa baslinjer kommer från Microsofts säkerhetsteams engagemang med företagskunder och externa byråer, inklusive Försvarsdepartementet (DoD), National Institute of Standards and Technology (NIST) med mera. Vi delar våra rekommendationer och baslinjer med dessa organisationer. Dessa organisationer har också egna rekommendationer som speglar Microsofts rekommendationer. I takt med att hantering av mobila enheter (MDM) fortsätter att växa till molnet har Microsoft skapat motsvarande MDM-rekommendationer för dessa grupprincipbaslinjer. Många av dessa baslinjer är inbyggda i Microsoft Intune och innehåller efterlevnadsrapporter om användare, grupper och enheter som följer (eller inte följer) baslinjen.

Många kunder använder Intune-baslinjerekommendationerna som utgångspunkt och anpassar dem sedan för att uppfylla it- och säkerhetskraven. Microsofts mall för Windows 10 och senare var den första baslinjen som släpptes. Den här baslinjen är byggd som en allmän infrastruktur som gör det möjligt för kunder att så småningom importera andra säkerhetsbaslinjer baserat på CIS, NIST och andra standarder.

Att migrera från lokala Active Directory-grupprinciper till en ren molnlösning med hjälp av Microsoft Entra-ID med Microsoft Intune är en resa. Använd de olika verktygen från Security Compliance Toolkit som kan hjälpa dig att identifiera molnbaserade alternativ från säkerhetsbaslinjer som kan ersätta dina lokala GPO-konfigurationer.

Var hittar jag information om hur jag använder eller konfigurerar de inställningar som är tillgängliga i en säkerhetsbaslinje?

Varje säkerhetsbaslinje hanterar enhetskonfigurationer genom att tillämpa de alternativ som finns i en konfigurationstjänstleverantör på en enhet. Inställningar som gäller för Microsoft Defender hämtas till exempel från microsoft Defender CSP. Eftersom Intune är ett konfigurationsfordon för dessa alternativ och inte bestämmer deras funktioner eller omfattning, äger CSP-dokumentationen innehållet för hur du konfigurerar varje alternativ.

Intune tillhandahåller informationstext som hämtas från källans CSP i Användargränssnittet för Intune-säkerhetsbaslinjeprincip och tillhandahåller en länk till den CSP:en. I vissa fall kan CSP vara en del av en större innehållsuppsättning som innehåller proaktiv vägledning som ligger utanför Intune-omfånget för att inkludera eller duplicera i vårt innehåll. Intune dokumenterar dock listan över inställningar i varje säkerhetsbaslinjeversion och dess standardkonfiguration.

Nästa steg