设置见解

设置见解在安全基线配置期间提供对等基准信息。 在 Intune 中配置特定安全基线时，可能会在某些设置旁边看到灯泡图标。 这些图标指示具有与你的类似特征（如行业类型和组织规模）的组织通常使用Microsoft针对该设置的建议默认值。

本文介绍设置见解显示的内容、可用位置以及如何确定建议。

适用对象

设置见解目前适用于以下Intune安全基线：

• Microsoft Edge 基线
• 企业安全性基线Microsoft 365 应用版

设置见解提供的内容

设置见解提供有关对等行为的上下文，而不是规范性指导。 功能：

• 显示类似组织何时通常对设置使用Microsoft建议的默认值。
• 在基线配置期间，在设置旁边显示为灯泡图标。
• 当对等行为与Microsoft的安全建议一致时，充当正强化。
• 不建议替代值或配置。

设置见解是信息性的。 你仍负责根据组织的安全要求、合规性义务和运营需求评估每个设置。

先决条件

• 许可/订阅：必须具有Microsoft Intune 计划 1许可证才能使用设置见解。 有关详细信息，请参阅可用于 Microsoft Intune 的许可证。

• 权限：终结点安全管理员可以使用基线创建配置文件。

  若要详细了解此Intune内置角色，请参阅基于角色的访问控制 (具有Intune Intune和内置角色权限的 RBAC) 。

在基线配置期间查看见解

1. 登录到 Microsoft Intune 管理中心。

2. 选择“终结点安全性”>“安全基线”以查看可用基线列表。

3. 为企业安全基线选择“Microsoft Edge 基线”或“Microsoft 365 应用版”，然后选择“创建配置文件”。

4. 在“ 基本信息 ”选项卡上，指定 “名称” 和“ 说明” 属性。

5. 选择“ 下一步 ”转到 “配置设置 ”选项卡。

6. 展开 “设置” 组以查看单个配置选项。 灯泡图标显示在提供对等基准测试数据的设置旁边。

   

7. 编辑现有基线配置文件时，见解也可见。

   

了解建议

当你看到灯泡图标时，它表示与你的类似的组织通常保留Microsoft该设置的建议默认值。 设置见解仅在以下情况下显示：

• 类似组织提供了足够的对等数据。
• 对等行为与Microsoft基线的默认建议一致。

对于以下设置，不会显示设置见解：

• 来自类似组织的数据不足，无法进行可靠的比较。
• 对等行为与Microsoft建议的默认值不一致。
• 该设置是新的或很少配置的。

是否存在见解并不表示设置的重要性。 无论对等数据是否可用，Microsoft的安全团队都建议使用安全基线中的所有设置。

随着越来越多的组织采用设置和其他数据可用，将来可能会显示当前未显示的见解。

如何确定建议

设置见解使用机器学习来识别与你的组织类似的组织，并比较其配置选择。

组织聚类分析

基于以下属性使用 K 均值聚类分析模型标识类似的组织：

• 行业类型
• 组织规模
• 其他相关特征

选择聚类分析算法和关键属性以确保组织进行适当分组。 该模型根据聚类分析性能确定运行时的最佳群集数。

建议过程

对于同一群集中的组织：

1. 正常组织基于终结点分析分数进行标识。
2. 分析这些组织使用的常见设置值。
3. 当大多数类似的组织使用Microsoft的默认值进行设置时，将显示一个见解。
4. 仅当对等行为与Microsoft的基线建议保持一致 (正强化) 时，才会显示见解。

隐私和数据保护

设置见解在设计时附带隐私和安全保护措施：

• 模型中不使用客户数据 - 使用情况数据仅在组织级别聚合。
• 尽可能转换数据 - 尽可能将使用情况数据转换为分类格式， (例如，特征使用情况的布尔属性、部署比率的范围，而不是) 的确切值。
• 聚合阈值 - 如果类似组织的数量低于最小阈值，则不显示任何建议。
• 最低采用要求 - 必须在见解出现之前由最少数量的组织配置设置。
• 隐私评审 - 审查和批准所有数据使用情况，以符合隐私和安全要求。
• 安全存储 - 通过适当的保护和保留管理存储数据。

这些安全措施可保护单个组织的机密性，并防止对特定客户的推断。

模型监视

主动监视模型执行和性能，以确保质量和可靠性：

• 实时监视器跟踪执行异常和关键性能指标
• 提示调查解决任何问题
• 定期维护可确保建议的准确性

后续步骤

设置见解在基线配置期间提供补充的对等基准测试信息。 有关部署和管理安全基线的综合指南，请参阅：

• 安全基线概述
• 在 Microsoft Intune 中创建和管理安全基线配置文件