使用 Microsoft Intune 的安全性基準,您可以快速將建議的安全性狀態部署至受控 Windows 裝置,以取得 Windows 安全性基準,以協助您保護使用者和裝置。
即使 Windows 和 Windows Server 的設計是現成可用的安全,許多組織仍然想要更精細地控制其安全性設定。 為了瀏覽大量控制項,組織通常會尋求有關配置各種安全功能的指導。 Microsoft 會以安全性基準的形式提供此指引。
本功能適用於:
Windows 11
Windows 10 版本 1809 和更新版本
重要事項
2025 年 10 月 14 日,Windows 10 終止支援,不會收到品質和功能更新。 Windows 10 是 Intune 中允許的版本。 執行此版本的裝置仍然可以在 Intune 中註冊並使用符合資格的功能,但無法保證功能,而且可能會有所不同。
Intune 安全性基準概觀
每個安全性基準都是一組預先設定的 Windows 設定,可協助您套用和強制執行相關安全性小組建議的細微安全性設定。 您也可以自訂部署的每個基準,以僅強制執行您需要的設定和值。 當您在 Intune 中建立安全性基準配置檔時,您會建立包含多個 裝置組態 配置檔的範本。
每個基準中的設定都是裝置組態設定,例如在各種 Intune 原則中找到的設定。 基準中的每個設定都會與受控 Windows 裝置上之相關產品的組態服務提供者搭配使用。
若要深入瞭解您可能想要部署安全性基準的原因和時間,請參閱 Windows 安全性檔中的 Windows 安全性基準 。
您可以將安全性基準部署至 Intune 中的使用者或裝置群組,而設定會套用至執行 Windows 的裝置。 例如,Windows 10 和更新版本的安全性基準預設設定會自動啟用卸除式磁碟驅動器的 BitLocker、自動需要密碼來解除鎖定裝置、自動停用基本驗證等等。 當預設值不適用於您的環境時,請自訂基準線以套用您需要的設定。
注意事項
在 2023 年 5 月,Intune 開始針對每個新的基準版本或版本更新推出新的安全性基準格式。 新的格式會更新基準設定,以直接從基準設定所管理的組態服務提供者 (CSP) 取得其名稱和組態選項。
Intune 也引進了新的程式,可協助您將現有的安全性基準配置檔移轉至較新的基準版本。 此新行為是一次性程式,當您從舊設定檔的最新版本移至2023年5月或之後可用的較新版本時,會取代一般更新行為。
使用基準的優點:安全性基準可協助您在使用 Microsoft 365 時擁有端對端的安全工作流程。 一些好處包括:
- 根據預設,每個安全性基準都會設定為符合影響安全性之設定的最佳做法和建議。 Intune 會與建立群組原則安全性基準的相同 Windows 安全性小組合作。 這些建議是基於指導和豐富的經驗。
- 如果您是 Intune 的新手,而且不確定從哪裡開始,安全性基準會為您提供優勢。 您可以快速建立和部署安全設定檔,因為您知道您正在協助保護組織的資源和資料。
- 如果您目前使用群組原則,則使用這些基準更容易移轉至 Intune 進行管理。 這些基準原生內建於 Intune 中,並包含新式管理體驗。
跨多個基準的預設設定:個別的基準類型,例如 Windows 的 MDM 安全性基準和 Microsoft Defender 的基準,可能會包含相同的設定,並針對這些設定使用不同的預設值。 Intune 無法判斷哪個設定最適合您,甚至無法判斷您可能想要使用一個基準預設建議的環境或案例:
- 請務必瞭解您使用的基準中的預設值,然後修改每個基準以符合您的組織需求。
- 依預設,每個基準線都會使用其套用產品特定的建議來預先設定。
- 在某些情況下,Microsoft Defender 建議的設定可能不是 Windows 建議時類似設定的預設設定。 在這種情況下,請務必檢閱每個設定,以便您可以根據設定、服務提供者詳細資料以及兩個產品的更大範圍來了解其意圖。
在幾乎所有案例中,安全性基準中的預設設定都是最嚴格的。 您應該確認這些設定不會與環境中的其他原則設定或功能衝突。
例如,防火牆組態的預設設定可能不會將連線安全性規則和本機原則規則與 MDM 規則合併。 因此,如果您使用傳遞優化,則應該在指派安全性基準之前驗證這些設定。
注意事項
Microsoft 不建議在生產環境中使用安全性基準的預覽版本。 預覽基準線中的設定可能會在預覽過程中變更。
可用的安全性基準
下列安全性基準實例可與 Intune 搭配使用。 使用鏈結來檢視每一個基準線最近實例的設定。
- Windows 10 和更新版本的安全性基準:
適用於端點的 Microsoft Defender 基準:
(若要使用此基準,您的環境必須符合使用適用於端點的 Microsoft Defender) 的先決條件。注意事項
適用於端點的 Microsoft Defender 安全性基準已針對實體裝置進行最佳化,目前不建議在虛擬機器 (VM) 或 VDI 端點上使用。 某些基準設定可能會影響虛擬化環境中的遠端互動式工作階段。 如需詳細資訊,請參閱 Windows 檔中的提高適用於端點的 Microsoft Defender 安全性基準的合規性。
Microsoft 365 Apps 企業版:
- 2306 版 (Office 基準) 於 2023 年 11 月發行
- 2023 年 5 月 (Office 基準)
Microsoft Edge 基準:
- Microsoft Edge 版本 128 - 2025 年 1 月
- Microsoft Edge 版本 117 - 2023 年 11 月
- Microsoft Edge 112 版和更新版本 - 2023 年 5 月
- Microsoft Edge 85 版和更新版本 - 2020 年 9 月
- Microsoft Edge 80 版和更新版本 - 2020 年 4 月
- 預覽版:Microsoft Edge 77 版和更新版本 - 2019 年 10 月
HoloLens 2 - 進階安全性基準設定:
- 版本 1 - HoloLens 2 進階安全性 - 2025 年 1 月
HoloLens 2 - Standard 安全性基準設定:
- 第 1 版 - HoloLens 2 標準安全性 - 2025 年 1 月
Windows 365 安全性基準:
當設定檔的新版本可供使用時,以舊版本為基礎的設定檔中的設定會變成唯讀。 您可以繼續使用這些較舊的設定檔。 您也可以編輯設定檔名稱、描述和指派,但它們不支援變更其設定組態,而且您無法根據舊版本建立新的設定檔。
當您準備好使用較新的基準版本時,您可以建立新的設定檔或將現有設定檔更新為新版本。 請參閱 管理安全性基準配置檔 一文中的將基準配置檔更新為最新版本。
關於基準版本和執行個體
基準的每個新版本執行個體都可以新增或移除設定,或引進其他變更。 例如,當新版本的 Windows 提供新的 Windows 設定時,Windows 10 和更新版本的安全性基準可能會收到包含最新設定的新版本實例。
您可以在 Microsoft Intune 系統管理中心的[端點安全性>安全性基準] 底下檢視可用的基準清單。 清單包括:
- 每個安全性基準範本的名稱。
- 您有多少個設定檔使用該類型的基準。
- 有多少個個別執行個體 (版本) 基準類型可供使用。
- 上 次發佈 日期,可識別基準範本的最新版本可供使用的時間。
若要檢視您使用的基準版本的詳細資訊,請選取基準類型,例如 Windows 10 和更新版本的安全性基準,以開啟其 [配置檔] 窗格,然後選取 [版本]。 Intune 會顯示設定檔所使用之該基準版本的詳細數據。 詳細資料包括最新和目前的基準版本。 您可以選取單一版本,以檢視使用該版本之設定檔的更深入詳細資料。
您可以選擇變更與指定設定檔搭配使用的基準線 版本 。 變更版本時,您不需要建立新的基準線設定檔即可利用更新的版本。 您可以改為選取基準設定檔,並使用內建選項將該設定檔的執行個體版本變更為新版本。
避免衝突
您可以同時在 Intune 環境中使用一或多個可用的基準。 您也可以使用具有不同自訂的相同安全性基準的多個執行個體。
當您使用多個安全性基準時,請檢閱每個基準中的設定,以識別不同的基準組態何時為相同設定引入衝突值。 因為您可以部署針對不同意圖設計的安全性基準,並部署包含自訂設定之相同基準的多個實例,所以您可能會為必須調查和解決的裝置建立組態衝突。
此外,安全性基準通常會管理您可能使用 裝置組態配置檔 或其他類型的原則設定的相同設定。 因此,在尋求避免或解決衝突時,請保持了解並考慮您的其他政策和設定檔。
如需可協助您識別及解決衝突的資訊,請參閱:
問 &
為什麼是這些設定?
Microsoft 安全性小組擁有多年直接與 Windows 開發人員和安全性社群合作建立這些建議的經驗。 此基準中的設定會被視為最相關的安全性相關組態選項。 在每個新版本的 Windows 中,團隊都會根據新發布的功能調整其建議。
群組原則與 Intune 的 Windows 安全性基準建議是否有差異?
相同的 Microsoft 安全性小組選擇並組織每個基準的設定。 Intune 包含 Intune 安全性基準中的所有相關設定。 群組原則基準中有一些特定於內部部署網域控制站的設定。 這些設定會從 Intune 的建議中排除。 所有其他設定都相同。
Intune 安全性基準是否符合 CIS 或 NIST 規範?
嚴格來說,沒有。 Microsoft 安全性小組會諮詢 CIS 等組織,以編譯其建議。 不過,「符合 CIS 規範」與 Microsoft 基準之間沒有一對一對應。
Microsoft 的安全性基準有哪些認證?
Microsoft 會繼續發佈群組原則 (GPO) 和 安全性合規性工具組的安全性基準,就像多年來一樣。 許多組織都會使用這些基準。 這些基準中的建議來自Microsoft安全團隊與企業客戶和外部機構的互動,包括國防部 (國防部) 、美國國家標準與技術研究院 (NIST) 等。 我們與這些組織分享我們的建議和基線。 這些組織也有自己的建議,與 Microsoft 的建議密切相關。 隨著 MDM) (行動裝置管理繼續成長到雲端,Microsoft建立這些群組原則基準的對等 MDM 建議。 其中許多基準都內建於 Microsoft Intune 中,並包含遵循 (或未遵循基準的使用者、群組和裝置) 合規性報告。
許多客戶會使用 Intune 基準建議作為起點,然後自定義它們以符合其 IT 和安全性需求。 Microsoft 的 Windows 10 和更新版本基準範本是第一個發布的基準。 此基準建置為一般基礎結構,可讓客戶最終根據 CIS、NIST 和其他標準匯入其他安全性基準。
使用 Microsoft Intune 的 Microsoft Entra ID 從內部部署的 Active Directory群組原則移轉至純雲端解決方案是一個旅程。 若要提供協助,請使用 安全性合規性工具組 中的各種工具,以協助您從安全性基準中識別雲端式選項,以取代內部部署 GPO 設定。
哪裡可以找到使用或設定安全性基準中可用設定的詳細數據?
每個安全性基準都會套用裝置上設定服務提供者中找到的選項,以管理裝置設定。 例如,套用至 Microsoft Defender 的設定會取自 Microsoft Defender CSP。 因為 Intune 是這些選項的設定工具,而且不會決定其功能或範圍,所以 CSP 檔會擁有如何設定每個選項的內容。
在 Intune 安全性基準原則 UI 內,Intune 會提供從來源 CSP 取得的資訊文字,並提供該 CSP 的連結。 在某些情況下,CSP 可能是較大內容集的一部分,其中包含主動式指引,這些指引仍超出 Intune 的範圍,以包含在或複製到我們的內容中。 不過,Intune 會記錄每個安全性基準版本中的設定清單及其預設設定。