通过

在 Microsoft Intune 中管理安全基线配置文件

为了帮助保护用户和 Windows 设备,可以配置 Microsoft Intune 安全基线配置文件的不同实例并将其部署到不同的 Windows 设备和用户组。 不同产品有不同的基线,每个基线都是一组预配置设置,表示产品安全团队建议的安全状况。 可以部署默认 (未修改) 基线,也可以自定义配置文件,以使用组织所需的设置配置设备。

有关可用安全基线的列表,请参阅 安全基线概述

此功能适用于:

  • Windows 11
  • Windows 10 版本 1809 及更高版本

重要

2025 年 10 月 14 日,Windows 10终止支持,不会收到质量和功能更新。 Windows 10是 Intune 中允许的版本。 运行此版本的设备仍然可以在 Intune 中注册并使用符合条件的功能,但无法保证功能并且可能有所不同。

安全基线概述

在 Intune 中创建安全基线配置文件时,将创建包含多个“设备配置”设置的模板。

如果存在安全基线的多个版本,则只能使用最新版本来创建该基线的新实例。 可以继续使用以前创建的旧基线实例,并编辑它们分配到的组。 但是,过时的版本不支持更改其设置配置。 相反,请创建使用最新基线版本的新基线,或者如果需要为设置引入新配置,请将旧基线更新为最新版本。

建议尽快将较旧的基线版本更新为最新版本。 较新版本可以:

  • 包括旧版本中不可用的新设置。
  • 停用并删除不再受支持的旧设置。
  • 更改设置的默认配置,使其与适用产品的当前安全建议保持一致。

使用安全基线时的常见任务包括:

先决条件

了解管理 Intune 安全基线所需的内容。

授权

  • 使用 Intune 部署安全基线需要Microsoft Intune 计划 1订阅。 请参阅 Microsoft Intune 许可

    提示

    Intune 提供易于使用的用户界面来配置和部署安全基线,但不会创建或定义安全基线。 在 Intune 之外,可以使用其他用于部署安全基线的选项,例如 安全合规性工具包提供的选项。

  • 通过 Intune 使用基线需要为托管产品提供活动订阅(如果适用)。 例如,使用Microsoft Defender for Endpoint基线不会授予使用Microsoft Defender的权限。 相反,基线提供了一种配置和管理设备上存在的设置的方法,这些设置由 Microsoft Defender for Endpoint 授权和管理。

用于管理 Intune 安全基线的基于角色的访问控制

若要在 Intune 中管理安全基线,必须为帐户分配基于 Intune 角色的访问控制 (RBAC) 角色,该角色包含以下类别和权限,足以完成所需任务:

  • 组织

    • 阅读

  • 安全基线

    • Assign
    • 创建
    • 删除
    • 阅读
    • 更新

可以将这些权限添加到自己的 自定义 RBAC 角色 ,也可以使用 Intune 内置 RBAC 角色

支持管理安全基线的最低特权内置 Intune 角色是 策略和配置文件管理器

为安全基线创建配置文件

每当创建新的安全基线配置文件时,都可以使用以下指南。

  1. 登录到 Microsoft Intune 管理中心

  2. 选择“终结点安全性”>“安全基线”以查看可用基线列表。

    选择要配置的安全基线

  3. 选择要使用的基线,然后选择“ 创建策略”。

  4. 在“基本信息”选项卡上,指定以下属性:

    • 名称:输入安全基线配置文件的名称。 例如,输入“Defender for Endpoint 的标准配置文件”

    • 描述:输入一些文本来描述此基线的用途。 可以在“说明”中视需要输入任意文本。 这是可选的,但建议使用。

    选择“ 下一步 ”移动到“下一个”选项卡。转到新选项卡后,可以选择选项卡名称以返回到以前查看的选项卡。

  5. 在“配置”设置选项卡上,查看所选基线中可用的“设置”组。 可以展开组以查看该组的设置,以及这些设置在基线中的默认值。 若要查找特定设置:

    • 选择一个组以展开并查看可用的设置。
    • 设置的见解位于灯泡图标旁边。 设置见解通过添加类似组织成功采用的见解来增强配置的信心。 见解可用于某些设置,而不是所有设置。 有关详细信息,请参阅 设置见解
    • 使用 搜索 栏并指定筛选视图的关键字,以便仅查看包含搜索条件的组。

    基线中的每个设置都有该基线版本的默认配置预设。 有些未配置,而另一些设置为在设备上配置特定值或条件。 在基线中找到的默认预设表示该产品的安全团队建议的安全态势。 配置基线时:

    • 请务必查看每个设置,并在业务需求需要其他配置时重新配置默认预设。
    • 请注意,不同的基线类型和版本可以包括其他基线中的设置,并且每种设置可能建议为设置使用不同的默认值。

    展开某个组以查看该组的设置

  6. 在“作用域标记”选项卡上,选择“选择作用域标记”以打开“选择标记”窗格,将作用域标记分配给配置文件。

  7. 在“ 分配 ”选项卡上,选择“ 选择要包含的组 ”,然后将基线分配给一个或多个组。 使用“选择要排除的组”对分配进行相应调整。

    注意

    安全基线根据所使用的设置范围分配给用户组或设备组。 因此,在分配基于用户和基于设备的设置时,可能需要多个基线。

    分配配置文件

  8. 准备好部署基线后,请转到“查看 + 创建”选项卡以查看基线的详细信息。 选择“创建”以保存并部署配置文件。

    创建配置文件后,Intune 会立即将其推送到分配的组,后者会立即应用该配置文件。

    提示

    如果在保存配置文件之前,未先将配置文件分配给组,可以稍后编辑配置文件以执行此操作。

    查看基线

  9. 创建配置文件后,通过转到“终结点安全性”>“安全基线”对其进行编辑,选择已配置的基线类型,然后选择“配置文件”。 从可用的配置文件列表中选择配置文件,然后选择“属性”。 可以从所有可用的配置选项卡中编辑设置,然后选择“ 查看 + 保存 ”以提交更改。

将基线配置文件更新到最新版本

注意

本部分中的信息适用于将 2023 年 5 月或更高版本 创建的基线配置文件更新到同一基线的较新版本。

安全基线的格式已于 2023 年 5 月更改。 由于此更改,在 2023 年 5 月之前创建的基线配置文件更新到更高版本的过程表示单独的方案。 有关 2023 年 5 月之前创建的基线的更新,请参阅本文中适用于基线更新方案的以下内容:

当基线的新版本可用时,计划将现有配置文件更新为新版本。

发布任何基线类型的新版本时:

  • 该基线类型的现有配置文件不会自动升级到新版本。
  • 现有配置文件中的设置将变为只读。 虽然可以继续使用这些配置文件并编辑其名称、说明和分配,但不能修改其中任何设置的配置。

更新基线配置文件的版本时:

  • 汇报始终使用同一基线类型的最新可用版本。 不能将基线更新到最新发布的版本以外的任何内容。

  • 更新过程基于最新版本创建基线的新实例,作为原始配置文件的并行副本。 在更新过程中,可以选择:

    • 保留自定义项 - Intune 应用要升级到新基线模板的原始基线中的所有设置自定义项。 结果是新的基线实例保留 (包括) 组织的所有特定修改。
    • 放弃自定义项 - Intune 使用新版本创建新的“默认”基线实例。 不会自动应用任何设置自定义项。

  • 在更新期间,必须为新实例提供 名称 ,但在创建配置文件后才能编辑配置文件中的其他详细信息。 范围标记和分配不会转接,并且保持空白。 但是,可以在保存配置文件之前查看配置文件的配置设置。

更新过程完成后:

  • 可以编辑新的基线实例,包括自定义设置、添加分配和配置范围标记。
  • 原始基线保持不变,并保留其设置配置、名称、范围标记和分配。 若要避免配置冲突,请确保在将范围标记和分配添加到更新的基线时,从原始基线实例中删除范围标记和分配等配置。
  • 不再将较旧的基线版本分配给任何组后,可以选择从租户中删除它。

将基线更新到最新版本

适用于更新在 2023 年 5 月或更高版本创建的基线配置文件。

  1. 登录到 Microsoft Intune 管理中心,转到“终结点安全性”“安全>基线>”,选择包含要更新的配置文件的基线类型。 在“基线配置文件”页上,选中要更新的基线实例的复选框,然后选择“ 更新版本”。 Intune 显示“ 更新版本 ”窗格。

  2. 在“ 更新版本 ”窗格中,选择要使用的更新方法:

    • 接受基线更改,但保留现有的设置自定义项 - 使用最新版本创建基线配置文件的新实例。 将保留当前的自定义设置并将其应用于新配置文件。
    • 接受基线更改并放弃现有设置自定义 - 使用最新版本创建基线配置文件的新实例。 正在更新的配置文件的任何自定义项都不会添加到新配置文件。 新配置文件使用其默认设置配置。

    选择更新方法后,选择“ 创建 ”,打开要创建的新基线配置文件的 “升级策略 ”工作流。

  3. 在“ 基本信息 ”选项卡上,指定此新配置文件 的名称 。 “ 说明” 字段已填充,但此时可进行编辑。

  4. 在“ 配置设置 ”选项卡上,可以查看基线设置的配置。 如果选择保留现有设置自定义项,可在此处看到这些自定义项,并且可以根据需要进行其他自定义。

  5. 对于 作用域标记,配置是可选的。 更新过程不会将旧配置文件中的作用域标记应用于此新配置文件。 可以选择立即配置范围标记,也可以返回以编辑配置文件以稍后添加它们。

  6. 对于 “分配”,计划将新配置文件分配给用户组或设备组。 更新过程不会将旧配置文件中的分配应用于此新配置文件。 可以选择立即为此配置文件配置分配,也可以返回以编辑配置文件并在以后添加它们。

    如果此时确实配置了分配,请计划重新访问较旧的配置文件分配,根据需要删除或修改它们,以避免在旧配置文件和新配置文件之间产生 冲突

    注意

    安全基线根据所使用的设置范围分配给用户组或设备组。 因此,在分配基于用户和基于设备的设置时,可能需要多个基线。

  7. 在“ 审阅 ”选项卡上,查看基线的详细信息,然后选择“ 创建 ”以保存新配置文件。

    保存后,配置文件会立即部署到所有分配的组。

测试更新的基线

在更新基线期间,Intune 会创建原始配置文件的副本,但不包括组分配。 这意味着,在创建副本时或将其更新到新版本时,新的基线实例不会部署到任何设备。 将配置文件更新到最新版本后,可以编辑该新配置文件实例中的设置。 这包括将新的基线配置文件分配给设备组,以及编辑配置文件设置以满足组织的期望。

将 2023 年 5 月之前的基线更新为 2023 年 5 月或更高版本发布的基线版本

注意

本部分中的信息适用于更新在 2023 年 5 月或更高版本发布的最新基线版本 2023 年 5 月之前创建的基线配置文件。

2023 年 5 月之后,当发布基线的新版本时,计划将现有配置文件更新为新版本。 从旧格式移动到新的基线格式时, (从 2023 年 5 月之前发布的版本迁移到 2023 年 5 月或更高版本的版本) :

  • 基线类型的所有新配置文件(如 Microsoft Edge)都使用新格式。 不支持创建使用旧基线版本的新基线。

  • 2023 年 5 月之前发布的基线版本不会升级到新格式。 请改为创建使用新格式的新配置文件,并使用新基线格式配置旧基线中的设置。 配置文件的重新创建是一次性过程,需要将基线从旧格式移动到新的基线格式。

    为了帮助你完成此过程,Intune 可以将旧配置文件导出为 CSV 格式,该格式根据新配置文件版本中出现的设置名称及其配置标识每个设置。

  • 创建可替换旧基线版本的新基线后,旧配置文件将保持不变,你可以继续使用它。 可以继续部署、重新分配和编辑旧基线格式的设置。

    提示

    更新到新版本后,支持在较旧基线版本中编辑设置是过去行为的更改。 仅当从 2023 年 5 月之前创建的基线版本移动到 2023 年 5 月或更高版本创建的版本时,此行为才可行,因为新的基线格式与较旧的基线格式并存,而不是替换它。 稍后,将 2023 年 5 月或更高版本创建的基线实例更新为较新版本时,将返回无法在旧版本中编辑设置的原始行为。

    建议计划停止使用旧格式,并尽快部署基于最新版本的配置文件。 较新版本在 2023 年 5 月发布时,较旧的配置文件不会接收更新:

    • 在 Intune UI 中使用与配置服务提供程序直接一致的新设置格式, (CSP) 每个设置的源。
    • 使用相关安全团队建议的默认配置进行预配置。

将基线更新为新格式

若要将 2023 年 5 月之前创建的基线更新为新格式,必须创建新的基线实例。 为了帮助你重新创建原始基线配置,可以将 Intune 将当前基线配置导出为 .CSV 文件。 导出包括:

  • 使用新基线中显示的设置名称来标识旧基线中的每个设置。 虽然设置名称未在 .csv 中逐字显示,但你可以找到设置的路径,其中包含部分设置名称。
  • 如何配置旧基线中的每个设置。
  • 如果旧基线中的设置配置与新基线中的默认配置匹配。

使用导出中的信息,可以快速重新配置新基线,以使用与旧基线实例相同的值。

  1. 登录到 Microsoft Intune 管理中心,转到 “终结点安全>基线>”选择基线类型,然后选择要以新基线格式复制的基线配置文件 (实例) 的复选框,然后选择“ 更改版本”。 Intune 显示“ 更改版本 ”窗格。

    以下屏幕截图显示了 Microsoft Edge 的安全基线视图。 我们目前有两个配置文件。 一个是 Microsoft Edge v112 的新配置文件,另一个是 2020 年 9 月的较旧配置文件。 较旧的配置文件还显示箭头图标,指示有一个更新的版本来替换它。

    显示 Intune 管理中心中用于打开“更改版本”窗格的导航路径的屏幕截图。

  2. 在“ 更改版本 ”窗格中,提供了将配置详细信息从旧基线移动到使用新格式的配置文件的说明。 窗格还标识所选基线名称和版本,以及最新的基线版本。

    1. 选择 “导出配置文件设置” 以创建一个 .csv 文件,该文件列出所选基线中的设置及其当前配置(如果这些设置未设置为基线默认值)。 选择导出基线详细信息的选项时,Intune 会准备导出,然后要求你同意继续。 选择“ ”下载 .CSV 文件导出。

    2. 下载文件后,可以打开它以查看较旧的基线当前配置。

    更改版本 ”窗格还包括一个按钮,用于为所选基线 创建新 配置文件,该按钮的功能与更常用于创建新基线实例的 “创建配置文件” 选项相同。

    以下屏幕截图显示了 Microsoft Edge 配置文件版本 85 的导出,如 Microsoft Excel 中所示。 在较旧配置文件中找到的新 Microsoft Edge 基线 17 个设置中,仅更改了一个设置:在旧基线中, 为每个站点启用站点隔离 已设置为 “禁用 ”。 在较新的基线中,设置现在默认为 “已启用”

    显示Microsoft Edge 基线配置文件导出为 .csv 文件的屏幕截图。

    在上图中,有三列信息。 该信息标识旧配置文件中的设置,以及旧配置文件中每个设置的配置。

    • DefinitionId – 此列显示设置注册表名称。 下划线 ( _ ) 后的信息标识以旧的基线配置文件和格式显示的设置名称,但名称中没有空格。 此值也是此基线设置所管理的 CSP 设置的名称。

      例如,我们修改的 “为每个站点启用站点隔离” 设置在此导出中显示为 admx--microsoftedge_SitePerProcess。 最后一部分 SitePerProcess 有助于标识设置。

    • defaultJson – 此列标识此设置的默认配置,如新基线格式所示。 默认情况下,SitePerProcess CSP 的示例设置设置为“启用”。

    • customizedJson – 最后一列显示旧配置文件版本中每个设置的配置。 此信息可帮助你了解新配置文件中的哪些设置需要修改才能与旧配置文件的配置相匹配。 示例设置已设置为 “禁用”。 所有其他设置都显示“NotApplicable”,因为它们未从我们一直使用的旧基线版本中的默认配置进行修改。

    你可能会注意到,更新的 Microsoft Edge 基线配置文件包含的 17 个设置超出了旧配置文件中的 17 个设置。 基线导出不会识别这些新设置,因为这些设置在正在查看的旧基线版本中不可用。

    稍后,在创建和配置新配置文件时,可以使用 CSV 导出中的列表来确保在具有相同配置的新配置文件中设置上一个配置文件中的每个设置。

当最新版本早于 2023 年 5 月时,将较旧的基线更新为较新版本

注意

本部分中的信息适用于更新在 2023 年 5 月之前创建的基线配置文件,该配置文件在 2023 年 5 月之前也发布了 2023 年 5 月之前的最新基线版本。

当基线的新版本可用时,计划将现有配置文件更新为新版本:

  • 现有配置文件不会自动升级到新版本。
  • 不使用最新版本的基线配置文件中的设置将变为只读。 可以继续使用这些较旧的配置文件,包括编辑其名称、说明和分配。 但是,不能编辑其中的设置,也不能基于这些旧版本创建新的配置文件。

建议在更新实时配置文件之前,对现有配置文件的副本进行版本更新测试

更改配置文件版本时:

  • 选择相同基线的最新实例。 无法在两种不同的基线类型之间进行更改,如将配置文件从使用 Defender for Endpoint 基线更改为使用 MDM 安全基线。

  • 可以导出和下载 CSV 文件,该文件列出了所涉及的两个基线版本之间的更改。

  • 选择如何更新配置文件:

    • 可以保留原始基线版本的所有自定义项。
    • 可以选择对新基线版本中的所有设置使用默认值。

    在更新过程中,不能选择仅更改配置文件中的某些设置。

转换期间:

  • 将添加正在使用的旧版本中没有的新设置。 新版本中的任何新设置都使用其默认值。

  • 你选择的新基线版本中未包含的设置将被删除,并且此安全基线配置文件不再强制执行该设置。

    如果某个设置不再由基线配置文件管理,那么该设置不会在设备上重置。 相反,设备上的设置仍设置为其最近一次的配置,直到某个其他进程管理这些设置并对其进行更改。 停止管理设置后可以更改设置的进程示例包括其他基线配置文件、组策略设置或已在设备上应用的手动配置。

新基线版本转换完成后:

  • 基线会立即重新部署到分配的组。
  • 可以编辑基线以更改个别设置。

测试转换和更新后的基线

在将基线配置文件更新为新版本之前,请创建该配置文件的副本,以便可以在一组设备上测试该配置文件的新版本。 请参阅本文后面的复制安全基线

  • 创建副本时,不包括组分配,这意味着基线副本在创建副本时或更新到新版本时不会部署到任何设备。
  • 将配置文件更新到最新版本后,可以编辑其设置。 可以将更新后的副本分配给一组设备,并对其进行编辑,以将更改引入到配置文件中的各个设置。

更改配置文件的基线版本的具体步骤

在更新已分配组的配置文件版本之前,请在配置文件副本上 测试版本更新 ,以便可以在测试设备组上验证新的基线设置。

  1. 登录到 Microsoft Intune 管理中心

  2. 选择“终结点安全性”>“安全基线”,然后选择具有要更改的配置文件的基线类型的磁贴。

  3. 接下来,选择“配置文件”,然后选中要编辑的配置文件对应的复选框,选择“更改版本”。

    显示基线选择的屏幕截图。

  4. 在“更改版本”窗格中,使用“选择要更新到的安全基线”下拉列表,然后选择要使用的版本实例。

    选择版本

  5. 选择“ 查看更新 ”以下载 CSV 文件,该文件显示配置文件的当前版本与新版本之间的差异。 审阅此文件,以了解哪些设置是新的或已删除的,以及这些设置在更新后的配置文件中的默认值是什么。

    准备就绪后,继续执行下一步骤。

  6. 为“选择更新配置文件的方法”选择两个选项之一:

    • 接受基线更改但保留我现有的设置自定义项 - 此选项保留对基线配置文件所设置的自定义项,并将其应用于你选择使用的新版本。
    • 接受基线更改并放弃现有设置自定义项 - 此选项将完全覆盖原始配置文件。 更新后的配置文件对所有设置使用默认值。

  7. 选择“提交”。 配置文件更新到所选的基线版本,转换完成后,基线将立即重新部署到已分配的组。

删除安全基线分配

当安全基线设置不再应用于设备,或者基线中的设置设置为“未配置”时,设备上的这些设置可能不会还原预管理配置,具体取决于安全基线中的设置。 这些设置基于 CSP,并且每个 CSP 可以按不同方式处理更改删除。

可在稍后更改设备设置的其他进程包括其他或新的安全基线、设备配置文件、组策略配置或设备设置的手动编辑。

复制安全基线

可以创建安全基线的副本。 复制基线在以下情景中非常有用:希望将相似但不同的基线分配到设备的子集。 通过创建重复项,无需手动重新创建整个基线。 相反,可以复制任何当前基线,然后仅引入新实例所需的更改。 你只能更改特定设置和分配了基线的组。

创建副本时,请为副本提供新名称。 副本使用与原始相同的设置配置和范围标记进行,但没有任何分配。 必须编辑新基线才能添加工作分配。

所有安全基线都支持创建重复项。

复制基线后,请查看并编辑新的实例以更改其配置。

若要复制基线

  1. 登录到 Microsoft Intune 管理中心
  2. 转到“终结点安全性”>“安全基线”,选择要复制的基线类型,然后选择“配置文件”
  3. 右键单击要复制的配置文件,然后选择“复制”,或选择基线右侧的省略号(…),然后选择“复制”
  4. 为基线提供“新名称”,然后选择“保存”

刷新后,新的基准配置文件将出现在管理中心

若要编辑基线

  1. 选择基线,然后选择“属性”。

  2. 在此视图中,可以为以下类别选择“编辑”以修改配置文件:

    • 基本信息
    • 作业
    • 作用域标记
    • 配置设置

    仅当配置文件使用最新版本的安全基线时,才能编辑配置文件的配置设置。 对于使用旧版本的配置文件,可以展开“设置”以查看配置文件中的配置设置,但不能修改这些设置。 将配置文件更新为最新基线版本后,可以编辑配置文件设置。

  3. 进行更改后,选择“ 保存” 以保存编辑内容。 必须先将编辑内容保存到一个类别,然后才能将编辑引入其他类别。

关于较旧的基线版本

Microsoft Intune 根据典型组织不断变化的需求更新内置安全基线的版本。 每个新版本都会导致对特定基线进行版本更新。 客户期望使用最新的基线版本作为其设备配置文件的起点。

如果某个基线配置文件与正在使用的较旧基线版本相关联,则会继续列出该旧基线配置文件。

共同管理的设备

Intune 托管设备上的安全基线类似于使用 Configuration Manager 的共同管理设备。 共同管理的设备使用 Configuration Manager 和 Microsoft Intune 同时管理 Windows 设备。 这样一来,可以通过云附加现有 Configuration Manager 投资,以充分发挥 Intune 的优势。 如果使用Configuration Manager并且还希望获得云的优势,则共同管理概述是一个很好的资源。

使用共同管理设备时,必须将“设备配置”工作负载(其设置)切换为“Intune”。 有关详细信息,请参阅设备配置工作负载

后续步骤