Az Intune eszközmegfelelőségi szabályzatai – első lépésekGet started with device compliance policies in Intune

A megfelelőségi követelmények lényegében szabályok; ilyen lehet például a PIN-kód vagy a titkosítás megkövetelése az eszközön.Compliance requirements are essentially rules, such as requiring a device PIN, or requiring encryption. Az eszközöknek az eszközmegfelelőségi szabályzatok által meghatározott szabályok és beállítások szerint kell működnie ahhoz, hogy a rendszer megfelelőnek minősítse őket.Device compliance policies define these rules and settings that a device must follow to be considered compliant. Ezek a szabályok a következők:These rules include:

  • Jelszó megkövetelése az eszköz eléréséhezUse a password to access devices

  • EncryptionEncryption

  • Az, hogy az eszköz jailbreakelve vagy rootolva van-eWhether the device is jail-broken or rooted

  • Az operációs rendszer minimálisan szükséges verziójaMinimum OS version required

  • Az operációs rendszer szükséges maximális verziójaMaximum OS version allowed

  • Az eszköz maximálisan megengedett Mobile Threat Defense-szintjének megköveteléseRequire the device to be at, or under the Mobile Threat Defense level

A megfelelőségi szabályzatokkal figyelheti eszközei megfelelőségi állapotát is.You can also use device compliance policies to monitor the compliance status in your devices.

ElőfeltételekPrerequisites

Az eszközmegfelelőségi szabályzatok használatához az alábbi követelményeknek kell megfelelnie:To use device compliance policies, the following are required:

  • Használja az alábbi előfizetéseket:Use the following subscriptions:

    • IntuneIntune
    • Azure Active Directory (AD) PremiumAzure Active Directory (AD) Premium
  • Használjon támogatott platformot:Use a supported platform:

    • AndroidAndroid
    • iOSiOS
    • macOS (előzetes verzió)macOS (preview)
    • Windows 8.1Windows 8.1
    • Windows Phone 8.1Windows Phone 8.1
    • Windows 10Windows 10
  • A megfelelőségi állapotuk jelentéséhez az eszközöket regisztrálnia kell az Intune-ban.To report their compliance status, devices must be enrolled in Intune

  • Támogatottak az egy felhasználóhoz regisztrált, illetve elsődleges felhasználóval nem rendelkező eszközök is.Devices enrolled to one user or devices with no primary user are supported. Több felhasználói környezet egyidejű használata nem támogatott.Multiple user contexts are not supported.

Az Intune-eszközmegfelelőségi szabályzatok és az Azure AD együttműködéseHow Intune device compliance policies work with Azure AD

Az eszközök Intune-beli regisztrálásakor elindul az Azure AD-regisztrációs folyamat, mely frissíti az eszköz attribútumait az Azure AD-ben.When a device is enrolled in Intune, the Azure AD registration process starts, and updates the device attributes into Azure AD. Az egyik legfontosabb információ az eszköz megfelelőségi állapota.One key piece of information is the device compliance status. Ezt a megfelelőségi állapotot használják a feltételes hozzáférési szabályzatok az e-mailekhez és más vállalati erőforrásokhoz való hozzáférés engedélyezéséhez vagy letiltásához.This compliance status is used by conditional access policies to block or allow access to e-mail and other corporate resources.

Többet is megtudhat az Azure AD-regisztrációs folyamatról.Azure AD registration process provides more information.

Eszközkonfigurációs profil eredményül kapott állapotának hozzárendeléseAssign a resulting device configuration profile status

Ha egy eszköz több konfigurációs profillal rendelkezik, és az eszköz megfelelőségi állapota két vagy több hozzárendelt konfigurációs profil esetében eltérő, egyetlen eredményül kapott megfelelőségi állapotot rendel hozzá a rendszer.If a device has multiple configuration profiles, and the device has different compliance statuses for two or more of the assigned configuration profiles, then a single resulting compliance status is assigned. A hozzárendelés az egyes megfelelőségi állapotokhoz hozzárendelt fogalmi szintű súlyossági szinten alapul.This assignment is based on a conceptual severity level assigned to each compliance status. Az egyes megfelelőségi állapotok a következő súlyossági szinttel rendelkeznek:Each compliance status has the following severity level:

ÁllapotStatus SeveritySeverity
FüggőbenPending 11
SikerültSucceeded 22
SikertelenFailed 33
HibaError 44

Ha egy eszköz több konfigurációs profillal rendelkezik, akkor az eszközhöz hozzárendelt összes profilé közül a legmagasabb súlyossági szintet rendeli hozzá a rendszer az eszközhöz.When a device has multiple configuration profiles, then the highest severity level of all the profiles is assigned to that device.

Tegyük fel például, hogy egy eszközhöz három profil van hozzárendelve: egy Függőben állapotú (súlyosság = 1), egy Sikerült állapotú (súlyosság = 2), és egy Hiba állapotú (súlyosság = 4).For example, say a device has three profiles assigned to it: one Pending status (severity = 1), one Succeeded status (severity = 2), and one Error status (severity = 4). A Hiba állapot súlyossági szintje a legmagasabb, így a rendszer mindhárom profilhoz a Hiba megfelelőségi állapotot rendeli hozzá.The Error status has the highest severity level, so all three profiles have the Error compliance status.

Türelmi időszakban állapot hozzárendeléseAssign an InGracePeriod status

A megfelelőségi szabályzatok Türelmi időszakban állapota egy érték.The InGracePeriod status for a compliance policy is a value. Ezt az értéket a rendszer az adott eszköz türelmi időszaka és az eszközre érvényes megfelelőségi szabályzat tényleges állapota alapján határozza meg.This value is determined by the combination of a device’s grace period, and a device’s actual status for that compliance policy.

Konkrétan, ha egy eszköz Nem megfelelő állapotú egy hozzárendelt megfelelőségi szabályzatra vonatkozóan, illetve:Specifically, if a device has a NonCompliant status for an assigned compliance policy, and:

  • az eszközhöz nincs hozzárendelve türelmi időszak, akkor a megfelelőségi szabályzathoz a Nem megfelelő érték lesz hozzárendelvethe device has no grace period assigned to it, then the assigned value for the compliance policy is NonCompliant
  • az eszközhöz lejárt türelmi időszak van hozzárendelve, akkor a megfelelőségi szabályzathoz a Nem megfelelő érték lesz hozzárendelvethe device has a grace period that is expired, then the assigned value for the compliance policy is NonCompliant
  • az eszköz jövőbeli türelmi időszakkal rendelkezik, akkor a megfelelőségi szabályzathoz a Türelmi időszakban érték lesz hozzárendelvethe device has a grace period that is in the future, then the assigned value for the compliance policy is InGracePeriod

Az alábbi táblázat összefoglalja ezt részletesen:The following table summarizes these points:

Aktuális megfelelőségi állapotActual compliance status A hozzárendelt türelmi időszak értékeValue of assigned grace period Tényleges megfelelőségi állapotEffective compliance status
Nem megfelelőNonCompliant Nincs hozzárendelve türelmi időszakNo grace period assigned Nem megfelelőNonCompliant
Nem megfelelőNonCompliant Tegnapi dátumYesterday’s date Nem megfelelőNonCompliant
Nem megfelelőNonCompliant Holnapi dátumTomorrow’s date Türelmi időszakbanInGracePeriod

Az eszközmegfelelőségi szabályzatok figyelésével kapcsolatos további információkért lásd: Intune-eszközmegfelelőségi szabályzatok figyelése.For more information about monitoring device compliance policies, see Monitor Intune Device compliance policies.

Megfelelőségi szabályzat eredményül kapott állapotának hozzárendeléseAssign a resulting compliance policy status

Ha egy eszközhöz több megfelelőségi szabályzat tartozik, és az eszköz megfelelőségi állapota két vagy több hozzárendelt megfelelőségi szabályzat esetében eltérő, akkor egyetlen eredményül kapott megfelelőségi állapot lesz hozzárendelve.If a device has multiple compliance policies, and the device has different compliance statuses for two or more of the assigned compliance policies, then a single resulting compliance status is assigned. A hozzárendelés az egyes megfelelőségi állapotokhoz hozzárendelt fogalmi szintű súlyossági szinten alapul.This assignment is based on a conceptual severity level assigned to each compliance status. Az egyes megfelelőségi állapotok a következő súlyossági szinttel rendelkeznek:Each compliance status has the following severity level:

ÁllapotStatus SeveritySeverity
IsmeretlenUnknown 11
Nem alkalmazhatóNotApplicable 22
Compliant (Megfelelő)Compliant 33
Türelmi időszakbanInGracePeriod 44
Nem megfelelőNonCompliant 55
HibaError 66

Ha egy eszköz több megfelelőségi szabályzattal rendelkezik, akkor az eszközhöz hozzárendelt összes szabályzaté közül a legmagasabb súlyossági szintet rendeli hozzá a rendszer az eszközhöz.When a device has multiple compliance policies, then the highest severity level of all the policies is assigned to that device.

Tegyük fel például, hogy egy eszközhöz három megfelelőségi szabályzat van hozzárendelve: egy Ismeretlen állapotú (súlyosság = 1), egy Megfelelő állapotú (súlyosság = 3) és egy Türelmi időszakban állapotú (súlyosság = 4).For example, say a device has three compliance policies assigned to it: one Unknown status (severity = 1), one Compliant status (severity = 3), and one InGracePeriod status (severity = 4). A Türelmi időszakban állapot súlyossági szintje a legmagasabb, így a rendszer mindhárom szabályzathoz a Türelmi időszakban állapotot rendeli hozzá.The InGracePeriod status has the highest severity level, so all three policies have the InGracePeriod compliance status.

Eszközmegfelelőségi szabályzatok használatának módjaiWays to use device compliance policies

Feltételes hozzáférésselWith conditional access

A szabályzat szabályainak megfelelő eszközök hozzáférést kapnak az e-mailekhez és más vállalati erőforrásokhoz.For devices that comply to policy rules, you can give those devices access to email and other corporate resources. Ha egy eszköz nem felel meg a szabályzat szabályainak, akkor nem kap hozzáférést a vállalati erőforrásokhoz.If the devices don't comply to policy rules, then they don't get access to corporate resources. Ez a feltételes hozzáférés.This is conditional access.

Feltételes hozzáférés nélkülWithout conditional access

Eszközmegfelelőségi szabályzatokat a feltételes hozzáférés nélkül is használhat.You can also use device compliance policies without any conditional access. A megfelelőségi szabályzatok önálló használata esetén a megcélzott eszközöket megfelelőségi állapotuk szerint értékeli ki és jelenti a rendszer.When you use compliance policies independently, the targeted devices are evaluated and reported with their compliance status. Jelentést kérhet például arról, hogy hány eszköz nincs titkosítva, vagy mely eszközök vannak jailbreakelve vagy rootolva.For example, you can get a report on how many devices are not encrypted, or which devices are jail-broken or rooted. Ha a megfelelőségi szabályzatokat feltételes hozzáférés nélkül használja, akkor nem korlátozza a rendszer a vállalati erőforrások elérését.When you use compliance policies without conditional access, there are no access restrictions to company resources.

Az eszközmegfelelőségi szabályzatok üzembe helyezésének módjaiWays to deploy device compliance policies

Az eszközmegfelelőségi szabályzatokat felhasználói csoportokban lévő felhasználók, illetve eszközcsoportokban lévő eszközök számára helyezheti üzembe.You can deploy compliance policy to users in user groups or devices in device groups. Amikor felhasználók számára telepít megfelelőségi szabályzatot, a rendszer az összes felhasználói eszköz megfelelőségét ellenőrzi.When a compliance policy is deployed to a user, all of the user's devices are checked for compliance.

A Megfelelőségi szabályzat beállításai lap (Azure Portal > Eszközmegfelelőség) az alábbi beállításokat tartalmazza:The Compliance policy settings (Azure portal > Device compliance) include:

  • Hozzárendelt megfelelőségi szabályzattal nem rendelkező eszköz megjelölése mint: Ehhez a tulajdonsághoz két érték tartozik:Mark devices with no compliance policy assigned as: This property has two values:

    • Megfelelő: biztonsági szolgáltatás kikapcsolvaCompliant: security feature off
    • Nem megfelelő (alapértelmezés): biztonsági szolgáltatás bekapcsolvaNot compliant (default): security feature on

    Ha egy eszköz nem rendelkezik hozzárendelt megfelelőségi szabályzattal, akkor az eszközt nem megfelelőként minősíti a rendszer.If a device doesn't have a compliance policy assigned, then this device is considered not compliant. Az eszközök állapota alapértelmezés szerint Megfelelő.By default, devices are marked as Compliant. Ha feltételes hozzáférést használ, javasoljuk, hogy módosítsa a beállítást Nem megfelelő értékre.If you use conditional access, we recommended you change the setting to Not compliant. Ha egy végfelhasználó nem felel meg, mert nincs szabályzat hozzárendelve, akkor a Céges portál a következőt jeleníti meg: No compliance policies have been assigned.If an end user is not compliant because a policy isn't assigned, then Company Portal lists No compliance policies have been assigned.

  • Függetlenítés (jailbreakelés) bővített észlelése: E tulajdonság engedélyezése esetén az iOS-eszközök gyakrabban jelentkeznek be.Enhanced jailbreak detection: When enabled, this setting causes iOS devices to check-in with Intune more frequently. A tulajdonság engedélyezésekor a rendszer igénybe veszi az eszköz helyalapú szolgáltatásait, mely hatással van az akkumulátorhasználatra.Enabling this property uses the device’s location services, and impacts battery usage. A felhasználó tartózkodási helyét az Intune nem tárolja.The user location data is not stored by Intune.

    Ennek a beállításnak az engedélyezésekor az eszközöknek meg kell felelnie a következőknek:Enabling this setting requires devices to:

    • Engedélyezett helyalapú szolgáltatások az operációs rendszer szintjénEnable location services at the OS level
    • Helyalapú szolgáltatások használatának engedélyezése a Céges portál számáraAllow the company portal to use location services
    • Jailbreakelés állapotának kiértékelése és jelentése az Intune-nak legalább 72 óránként.Evaluate and report its jailbreak status to Intune at least once every 72 hours. Máskülönben az eszköz „nem megfelelő” állapotúként lesz megjelölve.Otherwise, the device is marked not compliant.
  • Megfelelőségi állapot érvényességi időtartama (nap): Adja meg azt az időszakot, amelyben az eszközöknek jelenteniük kell az állapotukat minden fogadott megfelelőségi szabályzat vonatkozásában.Compliance status validity period (days): Enter the time period that devices report the status for all received compliance policies. A rendszer nem megfelelőként kezeli azokat az eszközöket, melyek ebben az időszakban nem adják vissza állapotukat.Devices that don't return the status within this time period are treated as noncompliant. Az alapértelmezett érték 30 nap.The default value is 30 days.

Minden eszköz rendelkezik egy Alapértelmezett eszközmegfelelőségi szabályzattal (Azure Portal > Eszközmegfelelőség).All devices have a Default Device Compliance Policy (Azure portal > Device compliance > Policy compliance). Használja ezt az alapértelmezett szabályzatot ezeknek a beállításoknak a figyeléséhez.Use this default policy to monitor these settings.

Arról, hogy mennyi idővel a szabályzat életbe léptetése után kapják meg a mobileszközök a szabályzatot, az Eszközprofilok hibaelhárítása című cikk nyújt tájékoztatást.To learn the time it takes for mobile devices to get a policy after the policy is deployed, see Troubleshooting device profiles.

A megfelelőségi jelentések praktikus módot nyújtanak az eszközök állapotának ellenőrzésére.Compliance reports are a great way to check the status of devices. Útmutatásért lásd: Megfelelőségi szabályzatok figyelése.See Monitor compliance policies for guidance.

Meg nem felelés esetén végrehajtandó műveletekActions for noncompliance

Konfigurálhat egy olyan műveletsorozatot, amelyet a rendszer a megfelelőségi szabályzat követelményeit nem teljesítő eszközökre alkalmaz.You can configure a time-ordered sequence of actions that apply to devices that don't meet the compliance policy criteria. Ezeket a meg nem felelő eszközökön végrehajtott műveleteket automatizálhatja is, a Meg nem felelés esetén végrehajtandó műveletek automatizálása című cikk útmutatását követve.These actions for noncompliance can be automated, as described in Automate actions for noncompliance.

Klasszikus Azure-portál és Azure PortalAzure classic portal vs. Azure portal

Az eszközmegfelelőségi szabályzatok Azure Portalon való használatának fő különbsége:The main difference when using device compliance policies in the Azure portal:

  • Az Azure Portalon a megfelelőségi szabályzatokat minden támogatott platformhoz külön kell létrehozniIn the Azure portal, the compliance policies are created separately for each supported platform
  • A klasszikus Azure-portálon minden támogatott platformra ugyanaz az eszközmegfelelőségi szabályzat érvényesIn the Azure classic portal, one device compliance policy is common to all supported platforms

Eszközmegfelelőségi szabályzatok a klasszikus portálon és az Azure PortalonDevice compliance policies in the classic portal and Azure portal

A klasszikus portálon létrehozott eszközmegfelelőségi szabályzatok nem jelennek meg az Azure Portalon.Device compliance policies created in the classic portal don't appear in the Azure portal. Továbbra is alkalmazva vannak azonban a felhasználókra, és kezelhetők a klasszikus portálon keresztül.However, they’re still targeted to users and manageable using the classic portal.

Az Azure Portal eszközmegfelelőséggel kapcsolatos funkcióinak használatához új eszközmegfelelőségi szabályzatokat kell létrehoznia az Azure Portalon.To use the device compliance-related features in the Azure portal, you must create new device compliance policies in the Azure portal. Ha az Azure Portalon eszközmegfelelőségi szabályzatot rendel egy olyan felhasználóhoz, akihez már a klasszikus portálon is hozzá van rendelve egy másik eszközmegfelelőségi szabályzat, akkor az Azure Portal szabályzata elsőbbséggel bír a klasszikus portálon létrehozott szabályzattal szemben.If you assign a device compliance policy in the Azure portal to a user who is also assigned a device compliance policy from the classic portal, then the device compliance policies from the Azure portal take precedence over the policies created in the classic portal.

További lépésekNext steps