Použití standardních hodnot zabezpečení ke konfiguraci Windows zařízení v Intune

Intune usnadňuje nasazení standardních Windows zabezpečení, které vám pomůžou zabezpečit a chránit uživatele a zařízení.

I když Windows a Windows Server jsou navržené tak, aby byly bezpečné bez problémů, mnoho organizací přesto chce mít přesnější kontrolu nad konfiguracemi zabezpečení. Při procházení velkého počtu ovládacích prvků organizace často hledají pokyny ke konfiguraci různých funkcí zabezpečení. Microsoft poskytuje tyto pokyny ve formě standardních hodnot zabezpečení.

Směrné plány zabezpečení jsou skupiny předkonfigurovaných nastavení zabezpečení Windows které vám pomůžou použít a vynutit granulární nastavení zabezpečení, která doporučují příslušné týmy zabezpečení. Jednotlivé směrné plány, které nasadíte, můžete taky přizpůsobit tak, aby se vynucují jenom ta nastavení a hodnoty, které požadujete. Při vytváření standardního profilu zabezpečení v Intune vytváříte šablonu, která se skládá z více profilů konfigurace zařízení.

Další informace o tom, proč a kdy budete chtít nasadit směrné plány zabezpečení, najdete v Windows standardních hodnot zabezpečení v Windows zabezpečení.

Tato funkce platí pro:

  • Windows 10 verze 1809 a novější
  • Windows 11

Standardní hodnoty zabezpečení nasazujete do skupin uživatelů nebo zařízení v Intune a nastavení platí pro zařízení, která Windows 10/11. Směrný plán zabezpečení MDM například automaticky povolí nástroj BitLocker pro vyměnitelné jednotky, automaticky vyžaduje heslo k odemknutí zařízení, automatickému zakázání základního ověřování a k další funkci. Pokud výchozí hodnota pro vaše prostředí nefunguje, přizpůsobte směrný plán tak, aby se na vás šoustá nastavení, která potřebujete.

Samostatné typy směrného plánu mohou obsahovat stejná nastavení, ale pro tato nastavení používejte různé výchozí hodnoty. Je důležité porozumět výchozím hodnotám ve směrných plánech, které se rozhodnete použít, a pak upravit jednotlivé směrné plány tak, aby odpovídaly potřebám vaší organizace.

Poznámka

Microsoft nedoporučuje používat verze Preview standardních hodnot zabezpečení v produkčním prostředí. Nastavení v účaří náhledu se může v průběhu náhledu změnit.

Standardní hodnoty zabezpečení vám můžou při práci s Microsoft 365 pomoct. Mezi výhody patří:

  • Směrný plán zabezpečení obsahuje doporučené postupy a doporučení týkající se nastavení, která mají vliv na zabezpečení. Intune spolupracuje se stejným týmem Windows zabezpečení, který vytváří směrné plány zabezpečení zásad skupiny. Tato doporučení jsou založená na pokynech a rozsáhlých zkušenostech.
  • Pokud s Intune ještě nejste a nevíte, kde začít, jsou výhodou standardní hodnoty zabezpečení. Můžete rychle vytvořit a nasadit zabezpečený profil s vědomím, že pomáháte chránit zdroje a data vaší organizace.
  • Pokud v současné době používáte zásady skupiny, migrace do Intune pro správu je s těmito směrné plány mnohem jednodušší. Tyto směrné plány jsou nativně integrované v Intune a zahrnují moderní prostředí správy.

Dostupné směrné plány zabezpečení

Následující instance směrného plánu zabezpečení jsou dostupné pro použití s Intune. Pomocí odkazů můžete zobrazit nastavení pro poslední instance jednotlivých směrných plánu.

Po vydání nové verze profilu se nastavení v profilech založených na starších verzích stane jen pro čtení. Tyto starší profily můžete dál používat, včetně úprav jejich jména, popisu a zadání, ale nebudete pro ně moct upravovat nastavení ani vytvářet nové profily založené na starších verzích.

Až budete chtít použít novější verzi směrného plánu, můžete vytvořit nové profily nebo aktualizovat stávající profily na novou verzi. Další informace najdete v článku Změna standardní verze profilu v článku Správa profilů podle směrného plánu zabezpečení.

Informace o verzích a instancích podle směrného plánu

Každá instance nové verze směrného plánu může přidat nebo odebrat nastavení nebo zavést další změny. Když se například nové Windows nové verze Windows 10/11, může směrný plán zabezpečení MDM obdržet novou instanci verze, která obsahuje nejnovější nastavení.

V centru Microsoft Endpoint Manager správyse v části Směrné plány zabezpečení koncových bodů zobrazí seznam dostupných > směrných účaří. Seznam obsahuje:

  • Název šablony směrného plánu
  • Kolik máte profilů, které tento typ směrného plánu používají.
  • Kolik samostatných instancí (verzí) směrného plánu je dostupných.
  • Datum poslední publikování, které identifikuje, kdy byla dostupná nejnovější verze šablony podle směrného plánu.

Pokud chcete zobrazit další informace o verzích směrného plánu, které používáte, vyberte typ směrného plánu, jako je směrný plán zabezpečení MDM, a otevřete jeho podokno Profily a pak vyberte Verze. Intune zobrazí podrobnosti o verzích tohoto směrného plánu, které používají vaše profily. Podrobnosti zahrnují nejnovější a aktuální verzi směrného plánu. Pokud chcete zobrazit podrobnější podrobnosti o profilech, které používají tuto verzi, můžete vybrat jednu verzi.

Můžete zvolit, jestli chcete změnit verzi směrného plánu, která se používá s daným profilem. Když změníte verzi, nemusíte vytvářet nový standardní profil, abyste využili aktualizované verze. Místo toho můžete vybrat profil podle směrného plánu a použít předdefinovanou možnost ke změně verze instance pro tento profil na nový.

Porovnání verzí podle směrného plánu

V podokně Verze pro směrný plán zabezpečení je seznam všech verzí tohoto směrného plánu, které jste nasadili. Tento seznam obsahuje také nejnovější a aktivní verzi směrného plánu. Při vytváření nového standardního profilu zabezpečení použije profil tuto nejnovější verzi směrného plánu zabezpečení. Profily můžete dál používat na základě starších verzí, včetně úprav jejich jména, popisu a zadání, ale nebudete moct upravovat nastavení pro tyto starší verze profilů.

Pokud chcete pochopit, co se mezi verzemi změnilo, zaškrtněte políčka pro dvě různé verze a pak vyberte Porovnat směrné plány. Potom se zobrazí výzva ke stažení souboru CSV, který tyto rozdíly podrobně obsahuje.

Stažení identifikuje každé nastavení ve dvou verzích směrného plánu a poznámky, pokud se toto nastavení změnilo (nerovné) nebo zůstalo stejné (stejné). Podrobnosti zahrnují také výchozí hodnotu nastavení podle verze a informace o tom, jestli bylo nastavení přidáno do novější verze nebo odebráno z novější verze.

Porovnání směrných účaří

Vyhněte se konfliktům

Ve svém prostředí Intune můžete použít jeden nebo více dostupných standardních hodnot najednou. Můžete taky použít několik instancí stejných směrných plánu zabezpečení, které mají různá přizpůsobení.

Pokud používáte více směrných účaří zabezpečení, zkontrolujte nastavení v každé z nich a zjistěte, kdy různé konfigurace směrného plánu zavádějí konfliktní hodnoty pro stejné nastavení. Vzhledem k tomu, že můžete nasadit standardní hodnoty zabezpečení, které jsou navržené pro různé záměry, a nasadit více instancí stejného směrného plánu, který zahrnuje přizpůsobená nastavení, můžete vytvořit konflikty konfigurace pro zařízení, která je nutné prozkoumat a vyřešit.

Standardní hodnoty zabezpečení navíc často spravují stejná nastavení, která můžete nastavit pomocí profilů konfigurace zařízení nebo jiných typů zásad. Při pokusu o zabránění konfliktům nebo jejich řešení proto vezměte v úvahu vaše další zásady a profily pro nastavení.

Pomocí těchto odkazů můžete identifikovat a vyřešit konflikty:

Q & A

Proč tato nastavení?

Bezpečnostní tým Microsoftu má dlouholeté zkušenosti s prací přímo Windows vývojáři a komunitou zabezpečení na vytváření těchto doporučení. Nastavení v tomto směrného plánu jsou považována za nejdůležitější možnosti konfigurace související se zabezpečením. V každém novém buildu Windows tým upraví svá doporučení na základě nově vydaných funkcí.

Existuje rozdíl v doporučeních pro standardní Windows zabezpečení pro zásady skupiny vs. Intune?

Stejný bezpečnostní tým Microsoftu vybral a uspořádal nastavení pro každý směrný plán. Intune obsahuje všechna příslušná nastavení v směrných plánech zabezpečení Intune. V směrných plánech zásad skupiny jsou určitá nastavení specifická pro místní řadič domény. Tato nastavení jsou vyloučena z doporučení Intune. Všechna ostatní nastavení jsou stejná.

Jsou standardní hodnoty zabezpečení Intune cis nebo NIST kompatibilní?

Přesně řečeno, ne. Bezpečnostní tým Microsoftu konzultuje organizace, jako je SNS, aby sestavil svá doporučení. Mezi standardními standardy Microsoftu a standardy Microsoftu ale není mapování 1:1.

Jaké certifikace mají standardní hodnoty zabezpečení microsoftu?

  • Microsoft dál publikuje směrné plány zabezpečení pro zásady skupiny (GPO) a zásady dodržování Toolkit zabezpečení, jak to trvá mnoho let. Tyto směrné plány používají mnoho organizací. Doporučení uvedená v těchto směrných plánech jsou z angažovanosti bezpečnostního týmu Microsoftu s podnikovými zákazníky a externími agenturami, včetně Oddělení obrany (DoD), Národního institutu pro standardy a technologie (NIST) a dalších. S těmito organizacemi sdílíme naše doporučení a směrné plány. Tyto organizace mají také vlastní doporučení, která úzce odrážejí doporučení Microsoftu. Vzhledem k růstu správy mobilních zařízení (MDM) do cloudu vytvořil Microsoft ekvivalentní doporučení MDM pro tyto směrné plány zásad skupiny. Tyto další směrné plány jsou integrované pro Microsoft Intune a zahrnují sestavy dodržování předpisů pro uživatele, skupiny a zařízení, která dodržují (nebo nesleduje) směrný plán.

  • Mnoho zákazníků používá jako výchozí bod standardní doporučení Intune a pak je přizpůsobuje tak, aby splňovalo požadavky IT a zabezpečení. První směrný plán Windows 10 RS5 MDM je první směrný plán, který se má vydat. Tento směrný plán je založený na obecné infrastruktuře, která zákazníkům umožňuje nakonec importovat další směrné plány zabezpečení založené na standardech CIS, NIST a dalších standardech. V současné době je k dispozici pro Windows a nakonec bude zahrnovat iOS/iPadOS a Android.

  • Migrace z místních zásad skupiny Služby Active Directory do čistého cloudového řešení pomocí Azure Active Directory (AD) s Microsoft Intune je cesta. Pokud chcete pomoct, použijte různé nástroje ze seznamu dodržování předpisů zabezpečení Toolkit které vám pomůžou identifikovat cloudové možnosti z standardních hodnot zabezpečení, které můžou nahradit místní konfigurace objektů zásad skupiny.

Další kroky