Použití zásad dodržování předpisů k nastavení pravidel pro zařízení, která spravujete pomocí Intune

Řešení pro správu mobilních zařízení (MDM), jako je Intune, může přispět k ochraně dat organizace tím, že vyžaduje, aby uživatelé a zařízení splnili některé požadavky. V Intune se tato funkce nazývá zásady dodržování předpisů.

Zásady dodržování předpisů v Intune:

  • Definujte pravidla a nastavení, která musí uživatelé a zařízení splňovat, aby vyhovovaly předpisům.
  • Zahrňte akce, které se vztahují na zařízení, která nedodržují předpisy. Akce při nedodržení předpisů mohou upozornit uživatele na podmínky nedodržení předpisů a zabezpečit data na zařízeních nesplňujících požadavky.
  • Lze kombinovat s podmíněným přístupem, který pak může zablokovat uživatele a zařízení, která pravidla nesplňují.

V Intune se používají dvě části zásad dodržování předpisů:

  • Nastavení zásad dodržování předpisů – nastavení zásad pro všechna zařízení, která jsou jako předdefinované zásady dodržování předpisů, které obdrží všechna zařízení. Nastavení zásad dodržování předpisů nastaví základní hodnotu pro fungování zásad dodržování předpisů ve vašem prostředí Intune, včetně toho, jestli zařízení, která nepřijaly žádné zásady dodržování předpisů zařízení, splňují nebo nesplňují předpisy.

  • Zásady dodržování předpisů pro zařízení – pravidla specifická pro platformu, která nakonfigurujete a nasadíte na skupiny uživatelů nebo zařízení. Tato pravidla definují požadavky na zařízení, například minimální operační systémy nebo použití šifrování disku. Zařízení musí splňovat tato pravidla, aby se považovala za vyhovující.

Podobně jako u jiných zásad Intune závisí hodnocení zásad dodržování předpisů pro zařízení, když se zařízení zaregistruje pomocí Intune, a cykly aktualizace zásad a profilů.

Nastavení zásad dodržování předpisů

Nastavení zásad dodržování předpisů jsou nastavení v rámci tenanta, která určují, jak služba Intune dodržuje předpisy s vašimi zařízeními. Tato nastavení se liší od nastavení, která konfigurujete v zásadě dodržování předpisů zařízením.

pokud chcete spravovat nastavení zásad dodržování předpisů, přihlaste se k Microsoft Endpoint Manager centru pro správu a projděte > > nastavení zásad dodržování předpisů pro zařízení security Endpoint security.

Nastavení zásad dodržování předpisů zahrnuje následující nastavení:

  • Označit zařízení, která nemají přiřazené žádné zásady dodržování předpisů

    Toto nastavení určuje, jak Intune považuje zařízení, která nebyla přiřazena zásada dodržování předpisů zařízením. Toto nastavení má dvě hodnoty:

    • Kompatibilní (výchozí): Tato funkce zabezpečení je vypnutá. Zařízení, která neodesílají zásady dodržování předpisů zařízením, se považují za vyhovující.
    • Nedodržuje předpisy: Tato funkce zabezpečení je zapnutá. Zařízení, která nepřijala zásady dodržování předpisů pro zařízení, se považují za nedodržující předpisy.

    Pokud používáte podmíněný přístup se zásadami dodržování předpisů zařízením, doporučujeme toto nastavení změnit na nekompatibilní , aby se zajistilo, že přístup k prostředkům budou mít jenom zařízení, která jsou potvrzená jako vyhovující.

    pokud koncový uživatel nedodržuje předpisy, protože není přiřazená žádná zásada, aplikace Portál společnosti nezobrazuje žádné zásady dodržování předpisů.

  • Vylepšená detekce jailbreaků (platí jenom pro iOS/iPadOS)

    Toto nastavení funguje jenom u zařízení, na která cílíte, pomocí zásad dodržování předpisů zařízením, která blokují zařízení s jailbreakem. (Další informace najdete v tématu nastavení stav zařízení pro iOS/iPadOS).

    Toto nastavení má dvě hodnoty:

    • Zakázáno (výchozí): Tato funkce zabezpečení je vypnutá. Toto nastavení nemá žádný vliv na zařízení, která přijímají zásady dodržování předpisů zařízením, které blokují zařízení s jailbreakem.
    • Povoleno: Tato funkce zabezpečení je zapnutá. Zařízení, která přijímají zásady dodržování předpisů zařízením k blokování zařízení s jailbreakem, využívají vylepšenou detekci jailbreaků.

    Pokud je tato možnost povolená u příslušného zařízení se systémem iOS/iPadOS, zařízení:

    • Povolí služby zjišťování polohy na úrovni operačního systému.
    • vždy umožňuje Portál společnosti používat lokátorové služby.
    • Používá své služby zjišťování polohy k častému spouštění detekce jailbreaků na pozadí. Data o umístění uživatele neukládá Intune.

    Vylepšené zjišťování jailbreaků spouští vyhodnocení v těchto případech:

    • otevře se aplikace Portál společnosti.
    • Zařízení fyzicky přesune významnou vzdálenost, což je přibližně 500 metrů nebo více. Intune nemůže zaručit, že při každé významné změně umístění dojde k jailbreaků kontrole zjišťování, protože tato kontrolu závisí na síťovém připojení zařízení v čase.

    v iOS 13 a vyšších případech tato funkce vyžaduje, aby uživatelé vždy, když se jim zobrazí výzva, povolili Portál společnosti používat jejich umístění na pozadí. Pokud je tato možnost povolená, umožní častější kontroly detekce jailbreaků.

  • Doba platnosti stavu dodržování předpisů (dny)

    Zadejte období, během kterého musí zařízení úspěšně nahlásit všechny přijaté zásady dodržování předpisů. Pokud zařízení nehlásí stav dodržování předpisů pro zásadu ještě před vypršením doby platnosti, bude se zařízení považovat za nedodržující předpisy.

    Ve výchozím nastavení je období nastaveno na 30 dní. Můžete nakonfigurovat období od 1 do 120 dnů.

    Můžete zobrazit podrobnosti o dodržování předpisů zařízením v nastavení doby platnosti. přihlaste se k Microsoft Endpoint Manager centra pro správu a pak přejít na zařízení > sledování > nastavení dodržování předpisů. Toto nastavení má ve sloupci Nastavení aktivní název. Další informace o tomto a souvisejícím zobrazení stavu dodržování předpisů najdete v tématu monitorování dodržování předpisů zařízením.

Zásady dodržování předpisů pro zařízení

Zásady dodržování předpisů zařízením v Intune:

  • Definujte pravidla a nastavení, která musí uživatelé a spravovaná zařízení splňovat, aby vyhovovaly předpisům. Příklady pravidel: vyžaduje, aby na zařízeních běžela minimální verze operačního systému, jailbreak nebo root a na úrovni hrozby , která je určená softwarem pro správu hrozeb, který jste integroval s Intune.
  • Podpůrné akce, které se vztahují na zařízení, která nesplňují vaše pravidla dodržování předpisů. Mezi příklady akcí patří vzdálené uzamčení nebo odeslání e-mailu uživatele zařízení o stavu zařízení, aby je mohl opravit.
  • Nasazení na uživatele ve skupinách uživatelů nebo v zařízeních ve skupinách zařízení. Když se zásady dodržování předpisů nasadí uživateli, kontrolují se dodržování předpisů u všech zařízení uživatele. Použití skupin zařízení pomáhá v této situaci s vykazováním dodržování předpisů.

Pokud používáte podmíněný přístup, vaše zásady podmíněného přístupu můžou pomocí výsledků dodržování předpisů zařízením zablokovat přístup k prostředkům ze zařízení nesplňujících požadavky.

Dostupná nastavení, která můžete zadat v zásadách dodržování předpisů zařízením, závisí na typu platformy, který jste vybrali při vytváření zásad. Různé platformy zařízení podporují různá nastavení a každý typ platformy vyžaduje samostatnou zásadu.

Následující témata odkazují na vyhrazené články pro různé aspekty zásad konfigurace zařízení.

  • Akce při nedodržení předpisů – Každá zásada dodržování předpisů pro zařízení zahrnuje jednu nebo více akcí při nedodržení předpisů. Tyto akce jsou pravidla, která se aplikují na zařízení, která nesplňují podmínky nastavené v zásadách.

    Ve výchozím nastavení zahrnuje Každá zásada dodržování předpisů zařízením akci, která zařízení označí jako nedodržující předpisy, pokud se nepovede splnit pravidlo zásad. Zásady se pak vztahují na zařízení jakékoli další akce při nedodržení předpisů, které jste nakonfigurovali v závislosti na plánech, které jste pro tyto akce nastavili.

    Akce při nedodržení předpisů může pomáhat uživatelům upozornit, když zařízení nedodržuje předpisy nebo chrání data, která se můžou na zařízení nacházet. Mezi příklady akcí patří:

    • Odesílání e-mailových upozornění uživatelům a skupinám s podrobnostmi o zařízení, které nedodržuje předpisy. Zásadu můžete nakonfigurovat tak, aby odesílala e-mail hned po označení nedodržující předpisy, a pak ji znovu pravidelně, až do doby, kdy bude zařízení kompatibilní.
    • Vzdáleně zamkne zařízení , která po nějakou dobu nedodržují předpisy.
    • Vyřadit zařízení po nějakou dobu jako nevyhovující. Tato akce odebere zařízení ze správy Intune a odebere ze zařízení všechna firemní data.
  • Konfigurace síťových umístění – podporovaná zařízeními s Androidem můžete nakonfigurovat Síťová umístění a pak tato umístění používat jako pravidlo dodržování předpisů pro zařízení. Tento typ pravidla může označit zařízení jako nevyhovující, pokud je mimo nebo opustí zadanou síť. Než budete moct zadat pravidlo umístění, musíte nakonfigurovat síťová umístění.

  • Vytvoření zásady – pomocí informací v tomto článku si můžete projít požadavky, pracovat prostřednictvím možností pro konfiguraci pravidel, určit akce při nedodržení předpisů a přiřadit zásady do skupin. Tento článek obsahuje také informace o časech aktualizace zásad.

    Podívejte se na nastavení dodržování předpisů pro zařízení na různých platformách zařízení:

Monitorovat stav kompatibility

Intune obsahuje řídicí panel pro dodržování předpisů zařízením, který můžete použít k monitorování stavu dodržování předpisů zařízení, a pro další informace v podrobnostech o zásadách a zařízeních. Další informace o tomto řídicím panelu najdete v tématu monitorování dodržování předpisů zařízením.

Integrace s podmíněným přístupem

Když používáte podmíněný přístup, můžete nakonfigurovat zásady podmíněného přístupu tak, aby výsledky zásad dodržování předpisů zařízením určovat, která zařízení mají přístup k prostředkům vaší organizace. Toto řízení přístupu je navíc a oddělené od akcí při nedodržení předpisů, které zahrnuli do zásad dodržování předpisů zařízením.

Když se zařízení zaregistruje v Intune, zaregistruje se ve službě Azure AD. Stav dodržování předpisů pro zařízení se hlásí do Azure AD. Pokud má vaše zásady podmíněného přístupu nastavenou možnost Řízení přístupu na hodnotu Vyžadovat, aby zařízení bylo označené jako vyhovující, podmíněný přístup pomocí tohoto stavu dodržování předpisů určí, jestli se má udělit nebo blokovat přístup k e-mailu a dalším prostředkům organizace.

Pokud budete používat stav dodržování předpisů zařízením se zásadami podmíněného přístupu, zkontrolujte, jak váš tenant nakonfiguroval možnost Označit zařízení bez přiřazených zásad dodržování předpisů jako , kterou spravujete v nastavení zásad dodržování předpisů.

Další informace o používání podmíněného přístupu se zásadami dodržování předpisů zařízeními najdete v tématu Podmíněný přístup na základě zařízení.

Další informace o podmíněném přístupu najdete v dokumentaci ke službě Azure AD:

Referenční informace k nedodržování předpisů a podmíněnému přístupu na různých platformách

Následující tabulka popisuje, jak se spravují nekompatibilní nastavení při použití zásad dodržování předpisů se zásadou podmíněného přístupu.

  • Napravené: Operační systém zařízení vynucuje dodržování předpisů. Uživatel musí třeba zadat kód PIN.

  • V karanténě: Operační systém zařízení nevynucuje dodržování předpisů. Například zařízení s Androidem Enterprise androidu nenutí uživatele šifrovat zařízení. Pokud zařízení nevyhovuje, provedou se následující akce:

    • Pokud se na uživatele vztahují zásady podmíněného přístupu, zařízení se zablokuje.
    • Aplikace Portál společnosti uživatele upozorní na všechny problémy s dodržováním předpisů.

Nastavení zásad Platforma
Konfigurace kódu PIN nebo hesla - Android 4.0 a novější: V karanténě
- Samsung Knox Standard 4.0 a novější: V karanténě
- Android Enterprise: V karanténě

- iOS 8.0 a novější: Náprava
- macOS 10.11 a novější: Náprava

- Windows 8.1 a novější: Napravené
Šifrování zařízení - Android 4.0 a novější: V karanténě
- Samsung Knox Standard 4.0 a novější: V karanténě
- Android Enterprise: V karanténě

- iOS 8.0 a novější: Napravené (nastavením PIN kódu)
- macOS 10.11 a novější: V karanténě

- Windows 8.1 a novější: Nelze použít
Zařízení s jailbreakem nebo rootem - Android 4.0 a novější: V karanténě (není nastavení)
- Samsung Knox Standard 4.0 a novější: V karanténě (není nastavení)
- Android Enterprise: V karanténě (není nastavení)

- iOS 8.0 a novější: V karanténě (není nastavení)
- macOS 10.11 a novější: Nelze použít

- Windows 8.1 a novější: Nelze použít
E-mailový profil - Android 4.0 a novější: Nelze použít
- Samsung Knox Standard 4.0 a novější: Nelze použít
- Android Enterprise: Nelze použít

- iOS 8.0 a novější: V karanténě
- macOS 10.11 a novější: V karanténě

- Windows 8.1 a novější: Nelze použít
Minimální verze operačního systému - Android 4.0 a novější: V karanténě
- Samsung Knox Standard 4.0 a novější: V karanténě
- Android Enterprise: V karanténě

- iOS 8.0 a novější: V karanténě
- macOS 10.11 a novější: V karanténě

- Windows 8.1 a novější: V karanténě
Maximální verze operačního systému - Android 4.0 a novější: V karanténě
- Samsung Knox Standard 4.0 a novější: V karanténě
- Android Enterprise: V karanténě

- iOS 8.0 a novější: V karanténě
- macOS 10.11 a novější: V karanténě

- Windows 8.1 a novější: V karanténě
Ověření stavu Windows - Android 4.0 a novější: Nelze použít
- Samsung Knox Standard 4.0 a novější: Nelze použít
- Android Enterprise: Nelze použít

- iOS 8.0 a novější: Nelze použít
- macOS 10.11 a novější: Nelze použít

- Windows 10: V karanténě
- Windows 8.1 a novější: V karanténě

Další kroky