Hantera säkerhetsbaslinjeprofiler i Microsoft Intune
För att skydda dina användare och Windows-enheter kan du konfigurera och distribuera distinkta instanser av Microsoft Intune-säkerhetsbaslinjeprofiler till olika grupper av Windows-enheter och -användare. Det finns olika baslinjer för olika produkter, och var och en är en grupp förkonfigurerade inställningar som representerar den rekommenderade säkerhetsstatusen från produktsäkerhetsteamet. Du kan distribuera en standardbaslinje (oförändrad) eller anpassa dina profiler för att konfigurera enheter med de inställningar som din organisation behöver.
En lista över tillgängliga säkerhetsbaslinjer finns i Översikt över säkerhetsbaslinjer.
Den här funktionen gäller för:
- Windows 10 version 1809 och senare
- Windows 11
Översikt över säkerhetsbaslinjer
När du skapar en säkerhetsbaslinjeprofil i Intune skapar du en mall som består av flera inställningar för enhetskonfiguration .
När det finns flera versioner för en säkerhetsbaslinje kan endast den senaste versionen användas för att skapa en ny instans av baslinjen. Du kan fortsätta att använda instanser av äldre baslinjer som du skapade tidigare och redigera de grupper som de är tilldelade till. Inaktuella versioner stöder dock inte ändringar i deras inställningskonfigurationer. Skapa i stället nya baslinjer som använder den senaste baslinjeversionen eller uppdatera dina äldre baslinjer till den senaste versionen om du behöver introducera nya konfigurationer för inställningar.
Vi rekommenderar att du uppdaterar äldre baslinjeversioner till den senaste versionen så snart det är praktiskt att göra det. En nyare version kan:
- Inkludera nya inställningar som inte var tillgängliga i de äldre versionerna.
- Dra tillbaka och ta bort gamla inställningar som inte längre stöds.
- Ändra standardkonfigurationen för inställningar så att den överensstämmer med de aktuella säkerhetsrekommendationerna för den aktuella produkten.
Vanliga uppgifter när du arbetar med säkerhetsbaslinjer är:
- Skapa en ny profilinstans – Konfigurera de inställningar som du vill använda och tilldela baslinjen till grupper.
- Uppdatera en äldre versionsbaslinje till den senaste baslinjeversionen – Ändra baslinjeversionen som används av en profil.
- Ta bort en baslinjetilldelning – Lär dig vad som händer när du slutar hantera inställningar med en säkerhetsbaslinje.
Förhandskrav
Användning av Intune för att distribuera säkerhetsbaslinjer kräver en Microsoft Intune Plan 1-prenumeration.
Tips
Intune tillhandahåller ett lättanvänt användargränssnitt för att konfigurera och distribuera säkerhetsbaslinjer, men skapar inte eller definierar inte säkerhetsbaslinjerna. Utanför Intune finns andra alternativ för att distribuera säkerhetsbaslinjer, till exempel de som är tillgängliga från Security Compliance Toolkit.
Användning av baslinjer via Intune kräver att du har en aktiv prenumeration för den hanterade produkten, i förekommande fall. Användning av Baslinjen för Microsoft Defender för Endpoint beviljar till exempel inte behörighet att använda Microsoft Defender. I stället tillhandahåller baslinjen en metod för att konfigurera och hantera inställningar som finns på enheter som är licensierade för och hanteras av Microsoft Defender för Endpoint.
Om du vill hantera baslinjer i Intune måste ditt konto ha den inbyggda rollen Princip- och Profilhanterare .
Skapa en profil för en säkerhetsbaslinje
Logga in på Microsoft Intune administrationscenter.
VäljSäkerhetsbaslinjer för slutpunktssäkerhet> för att visa listan över tillgängliga baslinjer.
Välj den baslinje som du vill använda och välj sedan Skapa profil.
På fliken Grundläggande anger du följande egenskaper:
Namn: Ange ett namn för din säkerhetsbaslinjeprofil. Ange till exempel Standardprofil för Defender för Endpoint.
Beskrivning: Ange text som beskriver vad den här baslinjen gör. Beskrivningen är till för att du ska kunna ange valfri text. Det är valfritt, men rekommenderas.
Välj Nästa för att gå till nästa flik. När du har avancerat till en ny flik kan du välja tabbnamnet för att återgå till en flik som visats tidigare.
På fliken Konfigurationsinställningar visar du de grupper av inställningar som är tillgängliga i den baslinje som du har valt. Du kan expandera en grupp för att visa inställningarna i gruppen och standardvärdena för dessa inställningar i baslinjen. Så här hittar du specifika inställningar:
- Välj en grupp för att expandera och granska de tillgängliga inställningarna.
- Insikterna för en inställning finns bredvid en glödlampa ikon. Inställningsinsikter ger förtroende för konfigurationer genom att lägga till insikter som liknande organisationer har implementerat. Insikter är tillgängliga för vissa inställningar och inte alla inställningar. Mer information finns i Avsnittet om inställningar.
- Använd sökfältet och ange nyckelord som filtrerar vyn så att endast de grupper som innehåller dina sökvillkor visas.
Varje inställning i en baslinje har en standardkonfigurationsförinställning för baslinjeversionen. Vissa konfigureras inte, medan andra är inställda på att konfigurera specifika värden eller villkor på en enhet. Standardförinställningar som finns i en baslinje representerar den rekommenderade säkerhetsstatusen från produktsäkerhetsteamet. När du konfigurerar en baslinje:
- Se till att granska varje inställning och konfigurera om en standardförinställning när ditt företag behöver en annan konfiguration när det behövs.
- Tänk på att olika baslinjetyper och versioner kan innehålla inställningar som finns i andra baslinjer, och var och en kan rekommendera ett annat standardvärde för en inställning.
På fliken Omfångstaggar väljer du Välj omfångstaggar för att öppna fönstret Välj taggar för att tilldela omfångstaggar till profilen.
På fliken Tilldelningar väljer du Välj grupper som ska inkluderas och tilldelar sedan baslinjen till en eller flera grupper. Använd Välj grupper att exkludera för att finjustera tilldelningen.
Obs!
Säkerhetsbaslinjer måste tilldelas till användargrupper eller enhetsgrupper baserat på omfånget för de inställningar som används. Därför kan flera baslinjer behövas när du tilldelar både användar- och enhetsbaserade inställningar.
När du är redo att distribuera baslinjen går du vidare till fliken Granska + skapa och granskar informationen för baslinjen. Välj Skapa för att spara och distribuera profilen.
Så snart du skapar profilen push-överför Intune den till den tilldelade gruppen, vilket tillämpar den omedelbart.
Tips
Om du sparar en profil utan att först tilldela den till grupper kan du senare redigera profilen för att göra det.
När du har skapat en profil redigerar du den genom att gå tillSäkerhetsbaslinjer för slutpunktssäkerhet>, välja den baslinjetyp som du har konfigurerat och sedan välja Profiler. Välj profilen i listan över tillgängliga profiler och välj sedan Egenskaper. Du kan redigera inställningar från alla tillgängliga konfigurationsflikar och välja Granska + spara för att checka in ändringarna.
Uppdatera en profil till den senaste versionen
Informationen i det här avsnittet gäller uppdatering av en baslinjeinstans som skapades före maj 2023, till en version av samma baslinje som släpptes efter maj 2023.
Obs!
I maj 2023 började Intune distribuera ett nytt säkerhetsbaslinjeformat för varje ny baslinjeversion eller uppdatering. Intune introducerade också en ny uppdateringsprocess för att migrera en befintlig säkerhetsbaslinjeprofil till en nyligen publicerad säkerhetsbaslinje. Det här nya beteendet ersätter befintligt beteende när du flyttar till en baslinjeversion som släpptes i maj 2023 eller senare.
Det tidigare beteendet är fortfarande tillgängligt för användning vid uppdatering av baslinjer som ännu inte har tagit emot en ny version som använder det nya formatet. Vägledning finns i Uppdatera baslinjer som använder det tidigare formatet.
Efter maj 2023, när en ny version för en baslinje släpps, planerar du att uppdatera dina befintliga profiler till den nya versionen. När du flyttar från ett äldre format till det nya baslinjeformatet (från en version som släpptes före maj 2023 till en som släpptes i maj 2023 eller senare):
Alla nya profiler för baslinjetypen, till exempel Microsoft Edge, använder det nya formatet. Det går inte att skapa en ny baslinje som använder en äldre baslinjeversion.
Baslinjeversioner som släpptes före maj 2023 uppgraderar inte till det nya formatet. Skapa i stället en ny profil som använder det nya formatet och konfigurera inställningarna från den gamla baslinjen i det nya baslinjeformatet. Återskapande av profilen är en engångsprocess som krävs för att flytta en baslinje från det gamla formatet till det nya baslinjeformatet.
För att hjälpa dig i den här processen kan Intune exportera den gamla profilen till ett CSV-format som identifierar varje inställning baserat på namnet på inställningen som den visas i den nya profilversionen, tillsammans med dess konfiguration.
När du har skapat en ny baslinje som kan ersätta din äldre baslinjeversion förblir den äldre profilen oförändrad och du kan fortsätta att använda den. Du kan fortsätta att distribuera, omtilldela och redigera inställningarna i det äldre baslinjeformatet.
Tips
Stöd för att redigera inställningar i en äldre baslinjeversion efter uppdatering till en ny version är en ändring från tidigare beteende. Det här beteendet är endast möjligt när du flyttar från baslinjeversioner som skapats före maj 2023 till versioner som skapades i maj 2023 eller senare eftersom det nya baslinjeformatet finns sida vid sida med det äldre baslinjeformatet i stället för att ersätta det. Senare, när du uppdaterar en baslinjeinstans som skapades i maj 2023 eller senare till en nyare version, returneras det ursprungliga beteendet där du inte kan redigera inställningar i den äldre versionen.
Vi rekommenderar att du planerar att sluta använda det äldre formatet och distribuera en profil baserat på den senaste versionen så snart som möjligt. De äldre profilerna får inga uppdateringar medan de nyare versionerna släpptes i maj 2023:
- Använd det nya inställningsformatet i Intune-användargränssnittet som direkt överensstämmer med CSP-källan (Configuration Service Provider) för varje inställning.
- Är förkonfigurerade med standardkonfigurationer som de relevanta säkerhetsteamen rekommenderar.
Uppdatera en baslinje till det nya formatet
Om du vill uppdatera en baslinje som skapades före maj 2023 till det nya formatet måste du skapa en ny baslinjeinstans. För att hjälpa dig att återskapa den ursprungliga baslinjekonfigurationen kan du låta Intune exportera din aktuella baslinjekonfiguration som en .CSV fil. Exporten omfattar:
- Varje inställning från den äldre baslinjen identifieras med hjälp av namnet på inställningen så som den visas i den nya baslinjen. Även om namnet på inställningen inte visas ordagrant i .csv kan du hitta sökvägen för inställningen, som innehåller en del av inställningsnamnet i den.
- Hur varje inställning i den äldre baslinjen konfigurerades.
- Om konfigurationen av en inställning från den gamla baslinjen matchar standardkonfigurationen från den nya baslinjen.
Med informationen från exporten kan du snabbt konfigurera om den nya baslinjen så att den använder samma värden som den äldre baslinjeinstansen.
Logga in i administrationscentret för Microsoft Intune och gå till Slutpunktssäkerhet>>Säkerhetsbaslinjervälj baslinjetyp och markera sedan kryssrutan för baslinjeprofilen (instansen) som du vill replikera i det nya baslinjeformatet och välj sedan Ändra version. Intune visar fönstret Ändra version .
I följande skärmbild har vi gått in på säkerhetsbaslinjen för Microsoft Edge. Vi har två profiler just nu. Den ena är en ny profil för Microsoft Edge v112 och den andra är en äldre profil från september 2020. Den äldre profilen visar också en pilikon som anger att det finns en nyare version som ersätter den.
I fönstret Ändra version finns instruktioner för att flytta konfigurationsinformationen från den äldre baslinjen till en profil som använder det nya formatet. Fönstret identifierar också det valda baslinjenamnet och versionen och vilken den senaste baslinjeversionen är.
Välj Exportera profilinställningar för att skapa en .csv fil som visar inställningarna i den valda baslinjen tillsammans med deras aktuella konfigurationer om de inte är inställda på standardbaslinjerna. När du väljer alternativet för att exportera baslinjeinformationen förbereder Intune exporten och kräver sedan att du samtycker till att fortsätta. Välj Ja för att ladda ned .CSV filexport.
När filen har laddats ned kan du öppna den för att visa den aktuella konfigurationen för äldre baslinjer.
Fönstret Ändra version innehåller också en knapp för att skapa en ny profil för den valda baslinjen, som har samma funktion som alternativet Skapa profil som används oftare för att skapa nya baslinjeinstanser.
Följande skärmbild visar en export för Microsoft Edge-profilversion 85, som visas i Microsoft Excel. Av de nya Microsoft Edge-baslinjerna 17 inställningar som hittades i den äldre profilen har endast en inställning ändrats: Aktivera platsisolering för varje webbplats har angetts till Inaktiverad i den äldre baslinjen. I den nyare baslinjen är nu inställningen aktiverad som standard:
I föregående bild finns det tre kolumner med information. Informationen identifierar inställningarna i den nya profilen och konfigurationen för var och en av dem som du hade i den gamla profilen.
DefinitionId – Den här kolumnen visar registernamnet för inställningar. Informationen efter understrecket ( _ ) identifierar inställningsnamnet så som det visas i den nya baslinjeprofilen och formatet, men utan blanksteg i namnet. Det här värdet är också namnet på CSP-inställningen som den här baslinjeinställningen hanterar.
Den ändrade inställningen Aktivera platsisolering för varje webbplats visas till exempel i den här exporten som admx– microsoftedge_SitePerProcess. Den sista delen, SitePerProcess, hjälper dig att identifiera inställningen.
defaultJson – Den här kolumnen identifierar standardkonfigurationen för den här inställningen enligt det nya baslinjeformatet. Vår exempelinställning för CSP:t SitePerProcess är aktiverad som standard.
customizedJson – Den sista kolumnen visar konfigurationen för varje inställning från den äldre profilversionen. Den här informationen hjälper dig att förstå vilka inställningar i den nya profilen som kräver ändringar för att matcha de äldre profilernas konfiguration. Vår exempelinställning har angetts till inaktiverad. Alla andra inställningar visar "NotApplicable" eftersom de inte har ändrats från standardkonfigurationen i den äldre baslinjeversionen som vi har använt.
Du kanske observerar att den uppdaterade Microsoft Edge-baslinjeprofilen har fler än de 17 inställningarna som finns i den äldre profilen. Baslinjeexporten identifierar inte de nya inställningarna eftersom de inte var tillgängliga i den äldre baslinjeversionen som du granskar.
När du senare skapar och konfigurerar den nya profilen kan du använda listan från CSV-exporten för att se till att varje inställning från den tidigare profilen har angetts i den nya profilen med samma konfiguration.
Uppdatera baslinjer som använder det tidigare formatet
Informationen i det här avsnittet gäller uppdatering av en befintlig baslinje som skapats före maj 2023 till en version av samma baslinje som också släpptes före maj 2023.
Obs!
I maj 2023 började Intune distribuera ett nytt säkerhetsbaslinjeformat för varje ny baslinjeversion eller uppdatering. Intune introducerade också en ny uppdateringsprocess för att migrera en befintlig säkerhetsbaslinjeprofil till en nyligen publicerad säkerhetsbaslinje. Det här nya beteendet ersätter befintligt beteende när du flyttar till en baslinjeversion som släpptes i maj 2023 eller senare.
Följande vägledning är till för användning när du uppdaterar en baslinje till en nyare version som släpptes före maj 2023. Om du uppdaterar en baslinje till en version som släpptes i maj 2023 eller senare läser du Uppdatera en profil till den senaste versionen.
När en ny version för en baslinje blir tillgänglig planerar du att uppdatera dina befintliga profiler till den nya versionen:
- Befintliga profiler uppgraderas inte automatiskt till nya versioner.
- Inställningar i baslinjeprofiler som inte använder den senaste versionen blir skrivskyddade. Du kan fortsätta att använda dessa äldre profiler, inklusive att redigera deras namn, beskrivning och tilldelningar, men du kan inte redigera inställningar för dem eller skapa nya profiler baserat på de äldre versionerna.
Vi rekommenderar att du testar versionsuppdateringen på en kopia av dina befintliga profiler innan du uppdaterar dina liveprofiler.
När du ändrar profilversionen:
Du väljer den senaste instansen av samma baslinje. Du kan inte ändra mellan två olika baslinjetyper, till exempel ändra en profil från att använda en baslinje för Defender för Endpoint till att använda MDM-säkerhetsbaslinjen.
Du kan exportera och ladda ned en CSV-fil som visar en lista över ändringarna mellan de två originalversionerna.
Du väljer hur profilen ska uppdateras:
- Du kan behålla alla dina anpassningar från den ursprungliga baslinjeversionen.
- Du kan välja att använda standardvärdena för alla inställningar i den nya baslinjeversionen.
Du har inte möjlighet att ändra endast vissa inställningar i en profil under uppdateringen.
Under konverteringen:
Nya inställningar som inte fanns i den äldre versionen som du använde läggs till. Alla nya inställningar från den nya versionen använder sina standardvärden.
Inställningar som inte finns i den nya baslinjeversionen som du väljer tas bort och framtvingas inte längre av den här säkerhetsbaslinjeprofilen.
När en inställning inte längre hanteras av en baslinjeprofil återställs inte inställningen på enheten. I stället förblir inställningen på enheten inställd på den senaste konfigurationen tills någon annan process hanterar inställningen för att ändra den. Exempel på processer som kan ändra en inställning när du slutar hantera den är en annan baslinjeprofil, en grupprincipinställning eller manuell konfiguration som görs på enheten.
När konverteringen till den nya baslinjeversionen är klar:
- Baslinjen distribueras omedelbart om till tilldelade grupper.
- Du kan redigera baslinjen för att ändra enskilda inställningar.
Testa konverteringen och den uppdaterade baslinjen
Innan du uppdaterar en baslinjeprofil till en ny version skapar du en kopia av den så att du kan testa den nya versionen av din profil på en grupp med enheter. Se Duplicera en säkerhetsbaslinje senare i den här artikeln.
- När du skapar en kopia ingår inte grupptilldelningar, vilket innebär att baslinjekopian inte distribueras till några enheter när du gör en kopia eller när du uppdaterar den till en ny version.
- När du har uppdaterat profilen till den senaste versionen kan du redigera dess inställningar. Du kan tilldela den uppdaterade kopian till en grupp med enheter och redigera den för att införa ändringar i enskilda inställningar i profilen.
Ändra baslinjeversionen för en profil
Innan du uppdaterar versionen av en profil som är tilldelad till grupper testar du versionsuppdateringen på en kopia av profilen så att du sedan kan verifiera de nya baslinjeinställningarna på testgruppen med enheter.
Logga in på Microsoft Intune administrationscenter.
VäljSäkerhetsbaslinjer för slutpunktssäkerhet> och välj sedan panelen för baslinjetypen som har den profil som du vill ändra.
Välj sedan Profiler och markera sedan kryssrutan för den profil som du vill redigera och välj sedan Ändra version.
I fönstret Ändra version använder du listrutan Välj en säkerhetsbaslinje för att uppdatera till och väljer den versionsinstans som du vill använda.
Välj Granska uppdatering för att ladda ned en CSV-fil som visar skillnaden mellan profilernas aktuella instansversion och den nya version som du har valt. Granska den här filen så att du förstår vilka inställningar som är nya eller borttagna och vilka standardvärdena för de här inställningarna finns i den uppdaterade profilen.
Fortsätt till nästa steg när du är klar.
Välj ett av de två alternativen för Välj en metod för att uppdatera profilen:
- Acceptera baslinjeändringar men behåll mina befintliga inställningsanpassningar – Det här alternativet behåller de anpassningar som du har gjort i baslinjeprofilen och tillämpar dem på den nya version som du har valt att använda.
- Acceptera baslinjeändringar och ignorera befintliga inställningsanpassningar – det här alternativet skriver över din ursprungliga profil helt. Den uppdaterade profilen använder standardvärdena för alla inställningar.
Välj Skicka. Profilen uppdateras till den valda baslinjeversionen och när konverteringen är klar distribueras baslinjen omedelbart om till tilldelade grupper.
Ta bort en tilldelning av säkerhetsbaslinje
När en säkerhetsbaslinjeinställning inte längre gäller för en enhet, eller om inställningarna i en baslinje är inställda på Inte konfigurerad, kanske inställningarna på en enhet inte återgår till en förhanterad konfiguration beroende på inställningarna i säkerhetsbaslinjen. Inställningarna baseras på CSP:er och varje CSP kan hantera ändringsborttagningen på olika sätt.
Andra processer som senare kan ändra inställningarna på enheten är en annan eller ny säkerhetsbaslinje, enhetskonfigurationsprofil, grupprincipkonfigurationer eller manuell redigering av inställningen på enheten.
Duplicera en säkerhetsbaslinje
Du kan skapa dubbletter av dina säkerhetsbaslinjer. Duplicering av en baslinje kan vara användbart när du vill tilldela en liknande men distinkt baslinje till en delmängd av enheter. Genom att skapa en dubblett behöver du inte återskapa hela baslinjen manuellt. I stället kan du duplicera någon av dina aktuella baslinjer och sedan bara introducera de ändringar som den nya instansen kräver. Du kanske bara ändrar en specifik inställning och den grupp som baslinjen är tilldelad till.
När du skapar en dubblett ger du kopian ett nytt namn. Kopian görs med samma inställningskonfigurationer och omfångstaggar som originalet, men har inga tilldelningar. Du måste redigera den nya baslinjen för att lägga till tilldelningar.
Alla säkerhetsbaslinjer har stöd för att skapa en dubblett.
När du har duplicerat en baslinje granskar och redigerar du den nya instansen för att göra ändringar i dess konfiguration.
Duplicera en baslinje
- Logga in på Microsoft Intune administrationscenter.
- Gå tillSäkerhetsbaslinjer för slutpunktssäkerhet>, välj den typ av baslinje som du vill duplicera och välj sedan Profiler.
- Högerklicka på den profil som du vill duplicera och välj Duplicera, eller välj ellipsen (...) till höger om baslinjen och välj Duplicera.
- Ange ett Nytt namn för baslinjen och välj sedan Spara.
Efter en uppdatering visas den nya baslinjeprofilen i administrationscentret.
Redigera en baslinje
Välj baslinjen och välj sedan Egenskaper.
I den här vyn kan du välja Redigera för följande kategorier för att ändra profilen:
- Grunderna
- Uppgifter
- Omfattningstaggar
- Konfigurationsinställningar
Du kan bara redigera en profil Konfigurationsinställningar när profilen använder den senaste versionen av säkerhetsbaslinjen. För profiler som använder äldre versioner kan du expandera Inställningar för att visa konfigurationen av inställningar i profilen, men du kan inte ändra dem. När en profil har uppdaterats till den senaste baslinjeversionen kan du redigera profilinställningarna.
När du har gjort ändringar väljer du Spara för att spara dina ändringar. Du sparar redigeringar i en kategori innan du kan introducera ändringar i ytterligare kategorier.
Äldre baslinjeversioner
Microsoft Intune uppdaterar versionerna av inbyggda säkerhetsbaslinjer beroende på de föränderliga behoven i en typisk organisation. Varje ny version resulterar i en versionsuppdatering till en viss baslinje. Förväntningen är att kunderna kommer att använda den senaste baslinjeversionen som utgångspunkt för sina profiler för enhetskonfiguration.
När det inte längre finns några profiler som använder en äldre baslinje som anges i din klientorganisation, visar Microsoft Intune den senaste tillgängliga baslinjeversionen.
Om du har en profil som är associerad med en äldre baslinje fortsätter den äldre baslinjen att visas.
Samhanterade enheter
Säkerhetsbaslinjer på Intune-hanterade enheter liknar samhanterade enheter med Configuration Manager. Samhanterade enheter använder Configuration Manager och Microsoft Intune för att hantera Windows 10/11-enheter samtidigt. Det gör att du kan molntilldela din befintliga Configuration Manager-investering till fördelarna med Intune. Översikt över samhantering är en bra resurs om du använder Configuration Manager och även vill ha fördelarna med molnet.
När du använder samhanterade enheter måste du växla arbetsbelastningen Enhetskonfiguration (dess inställningar) till Intune. Arbetsbelastningar för enhetskonfiguration innehåller mer information.
Nästa steg
Kontrollera statusen och övervaka baslinjen och profilen
Visa inställningarna i de senaste versionerna av tillgängliga baslinjer: