Konfigurace akcí pro zařízení nedodržující předpisy v Intune

V rámci zásad dodržování předpisů , které chrání prostředky organizace před zařízeními, která nesplňují vaše požadavky na zabezpečení, zahrnují zásady dodržování předpisů také akce pro nedodržování předpisů. Akce pro nedodržování předpisů jsou jedna nebo více časově uspořádaných akcí, které jsou přijata zásadami, které pomáhají chránit zařízení a vaši organizaci. Například akce pro nedodržování předpisů může zařízení vzdáleně uzamknout, aby bylo chráněné, nebo odeslat oznámení zařízením nebo uživatelům, které jim pomůžou pochopit a vyřešit stav nedodržující předpisy.

Přehled

Ve výchozím nastavení každá zásada dodržování předpisů zahrnuje akci pro nedodržování předpisů označit zařízení nedodržující předpisy s plánem nula dnů (0). Výsledkem tohoto výchozího nastavení je, když Intune zjistí, že zařízení nedodržuje předpisy, Intune okamžitě označí zařízení jako nevyhovující předpisům. Po označení zařízení jako nedodržování předpisů může podmíněný přístup Azure Active Directory (AD) zařízení zablokovat.

Konfigurací akcí pro nedodržování předpisů získáte flexibilitu při rozhodování, co dělat se zařízeními nedodržujícími předpisy a kdy to udělat. Můžete se například rozhodnout, že zařízení hned nezablokujete a poskytnete uživateli odkladnou dobu, po kterou bude dodržovat předpisy.

Pro každou akci, kterou nastavíte, můžete nakonfigurovat plán, který určuje, kdy se akce projeví. Plán je několik dní po označení zařízení jako nedodržující předpisy. Můžete také nakonfigurovat více instancí akce. Když v zásadě nastavíte více instancí akce, akce se spustí znovu v pozdějším naplánovaném čase, pokud zařízení zůstane nedodržující předpisy.

Ne všechny akce jsou dostupné pro všechny platformy.

Poznámka

V centru pro správu Microsoft Endpoint Manager se zobrazí plán (dny po nedodržení předpisů) ve dnech. Je však možné zadat podrobnější interval (hodiny), pomocí desetinných zlomků, například 0,25 (6 hodin), 0,5 (12 hodin), 1,5 (36 hodin) atd. I když jsou možné jiné hodnoty, dají se nakonfigurovat jenom pomocí Microsoft Graph a ne přes Centrum pro správu. Při pokusu o použití jiných hodnot v Centru pro správu, například 0,33 (8 hodin), dojde při pokusu o uložení zásady k chybě.

Dostupné akce pro nedodržování předpisů

Pro nedodržování předpisů jsou k dispozici následující akce:

  • Označit zařízení jako nevyhovující: Ve výchozím nastavení je tato akce nastavená pro každou zásadu dodržování předpisů a má plán nula (0) dnů a zařízení se okamžitě označí jako nedodržující předpisy.

    Když změníte výchozí plán, zadáte období odkladu, ve kterém může uživatel napravit problémy nebo se stát kompatibilním, aniž by byl označen jako nevyhovující předpisům.

    Tato akce je podporována na všech platformách podporovaných Intune.

  • Odeslat e-mail koncovému uživateli: Tato akce odešle uživateli e-mailové oznámení. Když tuto akci povolíte:

    • Vyberte šablonu zprávy oznámení , kterou tato akce odešle. Před přiřazením této akce vytvoříte šablonu zprávy s oznámením . Když vytvoříte vlastní oznámení, přizpůsobíte národní prostředí zprávy, předmět, text zprávy a můžete zahrnout logo společnosti, název společnosti a další kontaktní informace.
    • Vyberte, že chcete zprávu poslat více příjemcům výběrem jedné nebo více skupin Azure AD.

    Intune používá e-mailovou adresu definovanou v profilu koncového uživatele, nikoli hlavní název uživatele (UPN). Pokud v profilu uživatele není definovaná žádná e-mailová adresa, Intune neodešle e-mail s oznámením. Po odeslání e-mailu Intune do e-mailového oznámení zahrne podrobnosti o zařízení nedodržující předpisy.

    Tato akce je podporována na všech platformách podporovaných Intune.

    Poznámka

    V komerčním cloudu se odesílají e-maily s oznámeními: IntuneNotificationService@microsoft.com

    V cloudech státní správy se odesílají e-maily s oznámeními: microsoft-noreply@microsoft.com

    Ujistěte se, že nemáte žádné zásady poštovní schránky, které by zabránily doručování e-mailů z těchto adres, jinak koncoví uživatelé nemusí dostávat e-mailové oznámení.

  • Vzdálené uzamčení zařízení nedodržující předpisy: Pomocí této akce můžete vydat vzdálený zámek zařízení. Uživateli se pak zobrazí výzva k zadání PIN kódu nebo hesla k odemknutí zařízení. Další informace o funkci Vzdálené uzamčení

    Tuto akci podporují následující platformy:

    • Správce zařízení s Androidem
    • Android (AOSP) (Preview)
    • Android Enterprise:
      • Plně spravovaná
      • Vyhrazené
      • pracovní profil Corporate-Owned
      • pracovní profil Personally-Owned
      • Zařízení s Androidem Enterprise beznabídkového režimu
    • iOS/iPadOS
    • macOS
  • Vyřazení zařízení nedodržující předpisy: Tato akce odebere ze zařízení všechna firemní data a odebere zařízení ze správy Intune.

    Tuto akci podporují následující platformy:

    • Správce zařízení s Androidem
    • Android (AOSP) (Preview)
    • Android Enterprise:
      • Plně spravovaná
      • Vyhrazené
      • pracovní profil Corporate-Owned
      • pracovní profil Personally-Owned
    • iOS/iPadOS
    • macOS
    • Windows 10/11

    Pokud se tato akce vztahuje na zařízení, přidá se toto zařízení do seznamu zařízení v konzole pro správu na stránce DevicesCompliance > policiesRetire > Noncompliant Devices. Zařízení se nevyřadí, dokud správce neprovede explicitní akci k vyřazení zařízení.

    Poznámka

    V zobrazení Vyřazení vybraných zařízení se zobrazí jenom zařízení, na která se aktivovala akce vyřazení zařízení nedodržující předpisy. Pokud chcete zobrazit seznam všech zařízení, která nedodržují předpisy, přečtěte si sestavu zařízení nedodržující předpisy uvedenou v tématu Monitorování zásad dodržování předpisů zařízením.

    Pokud chcete ze seznamu vyřadit jedno nebo více zařízení, vyberte zařízení, která chcete vyřadit, a pak vyberte Vyřadit vybraná zařízení. Když zvolíte akci, která zařízení vyřadí z provozu, zobrazí se dialogové okno pro potvrzení akce. Teprve po potvrzení záměru vyřadit zařízení z provozu se vymažou firemní data a odeberou se ze správy Intune.

    Mezi další možnosti patří vyřazení všech zařízení, vymazání stavu vyřazení všech zařízení do provozu a vymazání stavu vyřazení vybraných zařízení. Vymazáním stavu vyřazení zařízení odeberete zařízení ze seznamu zařízení, která je možné vyřadit, dokud se na toto zařízení znovu nepoužije akce vyřazení zařízení nedodržujícího předpisy .

    Přečtěte si další informace o vyřazení zařízení.

  • Odeslání nabízeného oznámení koncovému uživateli: Nakonfigurujte tuto akci tak, aby zařízení prostřednictvím aplikace Portál společnosti nebo aplikace Intune na zařízení odeslalo nabízené oznámení o nedodržování předpisů.

    Tuto akci podporují následující platformy:

    • Správce zařízení s Androidem
    • Android Enterprise:
      • Plně spravovaná
      • Vyhrazené
      • pracovní profil Corporate-Owned
      • pracovní profil Personally-Owned
    • iOS/iPadOS

    Nabízené oznámení se odešle při prvním přihlášení zařízení pomocí Intune a zjistí se, že nevyhovuje zásadám dodržování předpisů. Když uživatel vybere oznámení, otevře se aplikace Portál společnosti nebo Intune a zobrazí informace o tom, proč nedodržuje předpisy. Uživatel pak může problém vyřešit provedením akce. Podrobnosti o nedodržování předpisů generuje Intune a není možné je přizpůsobit.

    Důležité

    Intune, aplikace Portál společnosti a aplikace Microsoft Intune nemůžou zaručit doručení nabízeného oznámení. Oznámení se můžou zobrazovat po několika hodinách zpoždění, pokud vůbec. To platí i v případě, že uživatelé vypnuli nabízená oznámení.

    U naléhavých zpráv nespoléhejte na tuto metodu oznámení.

    Každá instance akce odešle oznámení jednou. Pokud chcete ze zásady znovu odeslat stejné oznámení, nakonfigurujte v této zásadě více instancí akce s jiným plánem.

    Můžete například naplánovat první akci na nulu dní a potom přidat druhou instanci akce nastavenou na tři dny. Toto zpoždění před druhým oznámením dává uživateli několik dní na vyřešení problému a vyhněte se druhému oznámení.

    Pokud se chcete vyhnout spamování uživatelů s příliš velkým počtem duplicitních zpráv, zkontrolujte a zefektivněte, které zásady dodržování předpisů zahrnují nabízené oznámení o nedodržení předpisů, a zkontrolujte plány, abyste se vyhnuli opakovaným oznámením pro stejné příliš často.

    Zvážit:

    • U jedné zásady, která zahrnuje více instancí nabízeného oznámení nastaveného pro stejný den, se pro tento den odešle pouze jedno oznámení.

    • Pokud několik zásad dodržování předpisů zahrnuje stejné podmínky dodržování předpisů a zahrnuje akci nabízeného oznámení se stejným plánem, Intune odešle více oznámení do stejného zařízení ve stejný den.

Poznámka

U zařízení spravovaných partnerem pro správu dodržování předpisů zařízeními se nepodporují následující akce:

  • Odeslání nabízeného oznámení koncovému uživateli
  • Vzdálené uzamčení nevyhovujícího zařízení
  • Vyřazení zařízení nedodržující předpisy
  • Odeslání nabízeného oznámení koncovému uživateli

Než začnete

Akce pro nedodržování předpisů můžete přidat při konfiguraci zásad dodržování předpisů zařízením nebo později úpravou zásad. Ke každé zásadě můžete přidat další akce, které vyhovují vašim potřebám. Mějte na paměti, že každá zásada dodržování předpisů automaticky zahrnuje výchozí akci pro nedodržování předpisů, která označuje zařízení jako nevyhovující, s plánem nastaveným na nulu dnů.

Pokud chcete k blokování zařízení z podnikových prostředků použít zásady dodržování předpisů zařízením, je potřeba nastavit Azure AD podmíněný přístup. Pokyny najdete v tématu Podmíněný přístup Azure Active Directory nebo běžné způsoby použití podmíněného přístupu s Intune.

Pokud chcete vytvořit zásadu dodržování předpisů zařízením, projděte si následující pokyny specifické pro platformu:

Vytvoření šablony zprávy s oznámením

Pokud chcete uživatelům poslat e-mail, vytvořte šablonu zprávy s oznámením a přidružte ji k zásadám dodržování předpisů jako akci pro nedodržování předpisů. Když pak zařízení nedodržuje předpisy, zobrazí se podrobnosti, které zadáte do šablony, v e-mailu odeslaném vašim uživatelům.

Šablona zprávy oznámení může obsahovat více zpráv, které jsou zadány pro jiné národní prostředí. Jako výchozí musí být zadán jeden místní.

Když zadáte více zpráv a národních prostředí, koncoví uživatelé nedodržující předpisy obdrží odpovídající lokalizované zprávy na základě jejich upřednostňovaného jazyka O365. Intune odešle výchozí zprávu uživatelům, které nenastavili upřednostňovaný jazyk nebo když šablona neobsahuje konkrétní zprávu pro jejich národní prostředí.

Vytvoření šablony

  1. Přihlaste se k Centru pro správu Microsoft Endpoint Manageru.

  2. Vyberte oznámení Endpoint securityDevice > complianceNotificationsCreate > > .

  3. Na stránce Základy nakonfigurujte následující nastavení:

    • Název – Dejte šabloně popisný název, který vám pomůže ji identifikovat.
    • Záhlaví e-mailu – Zahrnout logo společnosti (výchozí = Povolit) – logo, které nahrajete jako součást Portál společnosti brandingu se používá pro e-mailové šablony. Další informace o Portál společnosti brandingu najdete v tématu Přizpůsobení brandingu identit společnosti.
    • Zápatí e-mailu – zahrnout název společnosti (výchozí = Povolit)
    • Zápatí e-mailu – zahrnout kontaktní informace (výchozí = Povolit)
    • Portál společnosti Odkaz na web (výchozí = Zakázat) – Pokud je nastavená možnost Povolit, e-mail obsahuje odkaz na Portál společnosti webu.

    Příklad základní stránky pro zprávu s oznámením v Intune

    Pokračujte výběrem možnosti Další .

  4. Na stránce Šablony zpráv oznámení nakonfigurujte jednu nebo více zpráv. Pro každou zprávu zadejte následující podrobnosti:

    • Národní prostředí
    • Předmět
    • Text zprávy

    Poznámka

    Maximální počet znaků pro předmět je 78 a maximální počet znaků textu zprávy je 2000.

    Než budete pokračovat, musíte u jedné ze zpráv zaškrtnout políčko Je výchozí . Jako výchozí je možné nastavit pouze jednu zprávu. Zprávu odstraníte tak, že vyberete tři tečky (...) a pak odstraníte.

    Příklad stránky temmplate zprávy oznámení v Intune

    Pokračujte výběrem možnosti Další .

  5. V části Zkontrolovat a vytvořit zkontrolujte konfigurace a ujistěte se, že je šablona zprávy oznámení připravená k použití. Výběrem možnosti Vytvořit dokončete vytvoření oznámení.

Zobrazení a úprava oznámení

Vytvořená oznámení jsou k dispozici na stránce Zásady > dodržování předpisů – Poznámky. Na stránce můžete vybrat oznámení a zobrazit jeho konfiguraci a:

  • Výběrem možnosti Odeslat náhled e-mailu odešlete náhled e-mailu s oznámením na účet, který jste použili k přihlášení k Intune.

    Pokud chcete e-mail ve verzi Preview úspěšně odeslat, musí mít váš účet oprávnění rovna těm z následujících skupin Azure AD nebo rolí Intune: Azure AD globální správce, správce Intune (správce služby Intune Azure AD Intune) nebo Intune Zásady a Správce profilů.

  • Pokud chcete provést změnu, vyberte Upravit pro značky Základy nebo Obor .

Přidání akcí pro nedodržování předpisů

Když vytvoříte zásadu dodržování předpisů zařízením, Intune automaticky vytvoří akci pro nedodržování předpisů. Pokud zařízení nesplňuje vaše zásady dodržování předpisů, označí tato akce zařízení jako nevyhovující předpisům. Můžete přizpůsobit, jak dlouho je zařízení označeno jako nevyhovující předpisům. Tuto akci nelze odebrat.

Volitelné akce můžete přidat při vytváření zásad dodržování předpisů nebo aktualizaci existující zásady.

  1. Přihlaste se k Centru pro správu Microsoft Endpoint Manageru.

  2. Vyberte zásady > > zařízeníSpolečnosti, vyberte jednu ze zásad a pak vyberte Vlastnosti.

    Ještě nemáte zásady? Vytvořte zásady pro Android, iOS, Windows nebo jinou platformu.

    Poznámka

    Zařízení spravovaná partnery pro dodržování předpisů zařízeními třetích stran, na která cílí skupiny zařízení, v tuto chvíli nemůžou přijímat akce dodržování předpisů.

  3. Vyberte Akce pro nedodržování předpisůAdd > .

  4. Vyberte akci:

    • Odeslání e-mailu koncovým uživatelům: Pokud zařízení nedodržuje předpisy, zvolte e-mail uživateli. Také:

      • Zvolte šablonu zprávy , kterou jste vytvořili dříve.
      • Zadání dalších příjemců výběrem skupin
    • Vzdálené uzamčení zařízení nedodržující předpisy: Pokud zařízení nedodržuje předpisy, zamkněte zařízení. Tato akce vynutí, aby uživatel zařízení odemkl zadáním PIN kódu nebo hesla.

    • Vyřazení zařízení nedodržující předpisy: Pokud zařízení nedodržuje předpisy, odeberte ze zařízení všechna firemní data a odeberte zařízení ze správy Intune.

    • Odeslání nabízeného oznámení koncovému uživateli: Nakonfigurujte tuto akci tak, aby zařízení prostřednictvím aplikace Portál společnosti nebo aplikace Intune na zařízení odeslalo nabízené oznámení o nedodržování předpisů.

  5. Konfigurace plánu: Zadejte počet dní (0 až 365) po nedodržování předpisů, po které se má akce aktivovat na zařízeních uživatelů. Po uplynutí této lhůty můžete vynutit zásady podmíněného přístupu . Pokud zadáte 0 (nula) počtu dní, podmíněný přístup se projeví okamžitě. Pokud například zařízení nedodržuje předpisy, pomocí podmíněného přístupu okamžitě zablokujte přístup k e-mailu, SharePoint a dalším prostředkům organizace.

    Když vytvoříte zásadu dodržování předpisů, akce Označit zařízení nedodržující předpisy se automaticky vytvoří a automaticky se nastaví na 0 dnů (okamžitě). Při použití této akce se zařízení přihlásí pomocí Intune a vyhodnotí zásadu, pokud nevyhovuje této zásadě, Intune toto zařízení okamžitě označí jako nedodržující předpisy. Pokud se klient vrátí později po nápravě problémů, které vedou k nedodržení předpisů, jeho stav se aktualizuje na jeho nový stav dodržování předpisů. Pokud používáte podmíněný přístup, platí tyto zásady také, jakmile bude zařízení označeno jako nedodržující předpisy. Pokud chcete nastavit období odkladu, aby bylo možné napravit podmínku nedodržování předpisů, než bude zařízení označeno jako nedodržující předpisy, změňte plán u akce Označit zařízení, které nedodržuje předpisy .

    V zásadách dodržování předpisů například chcete uživatele upozornit. Můžete přidat akci Odeslat e-mail koncovému uživateli . U této akce Odeslat e-mail nastavíte plán na dva dny. Pokud je zařízení nebo koncový uživatel i nadále vyhodnoceno jako nevyhovující 2. den, odešle se váš e-mail ve 2. den. Pokud chcete uživateli poslat e-mail znovu v pátý den nedodržování předpisů, přidejte další akci a nastavte plán na pět dní.

    Další informace o dodržování předpisů a předdefinovaných akcích najdete v přehledu dodržování předpisů.

  6. Po dokončení uložte změny výběrem možnosti AddOK > .

Další kroky

Monitorujte zásady.