Megfelelőségi szabályzat létrehozása a Microsoft Intune

  • Cikk

Az eszközmegfelelési szabályzatok kulcsfontosságú szerepet játszik a Intune a szervezet erőforrásainak védelmében. A Intune olyan szabályokat és beállításokat hozhat létre, amelyeknek az eszközöknek meg kell felelniük ahhoz, hogy megfelelőnek minősüljenek, például egy minimális operációsrendszer-verziót. Ha az eszköz nem megfelelő, letilthatja az adatokhoz és erőforrásokhoz való hozzáférést a feltételes hozzáféréssel.

Meg nem felelési műveleteket is végrehajthat, például értesítő e-mailt küldhet a felhasználónak. A megfelelőségi szabályzatok működésének és használatuknak áttekintéséért tekintse meg az eszközmegfelelés első lépéseit ismertető cikket.

Ez a cikk:

  • Listák a kompatibilitási szabályzat létrehozásának előfeltételeit és lépéseit.
  • Bemutatja, hogyan rendelheti hozzá a szabályzatot a felhasználói és eszközcsoportokhoz.
  • Ismerteti az egyéb funkciókat, beleértve a szabályzatok "szűréséhez" használható hatókörcímkéket, valamint a nem megfelelő eszközökön elvégzendő lépéseket.
  • Listák a bejelentkezési frissítési ciklus idejét, amikor az eszközök megkapják a szabályzatfrissítéseket.

Az első lépések

Az eszközmegfelelési szabályzatok használatához győződjön meg arról, hogy:

  • Használja a következő előfizetéseket:

    • Intune
    • Ha feltételes hozzáférést használ, akkor Microsoft Entra ID P1 vagy P2 kiadásra van szüksége. Microsoft Entra díjszabása felsorolja, hogy mit kap a különböző kiadásokban. Intune megfelelőséghez nincs szükség Microsoft Entra ID.

  • Támogatott platform használata:

    • Android-eszközadminisztrátor
    • Android AOSP
    • Vállalati Android
    • iOS
    • Linux – Ubuntu Desktop, 20.04 LTS és 22.04 LTS verzió
    • macOS
    • Windows 10/11

Fontos

Microsoft Intune 2024. augusztus 30-án megszűnik az Android-eszközök rendszergazdai felügyeletének támogatása a Google Mobile Services (GMS) szolgáltatáshoz hozzáféréssel rendelkező eszközökön. Ezt követően az eszközregisztráció, a technikai támogatás, a hibajavítások és a biztonsági javítások nem lesznek elérhetők. Ha jelenleg eszközadminisztrátori felügyeletet használ, javasoljuk, hogy váltson át egy másik Android-felügyeleti lehetőségre Intune a támogatás megszűnése előtt. További információ: Android-eszközadminisztrátor támogatásának megszüntetése GMS-eszközökön.

  • Eszközök regisztrálása Intune (a megfelelőségi állapot megtekintéséhez szükséges)

  • Eszközök regisztrálása egy felhasználóhoz, vagy regisztráció elsődleges felhasználó nélkül. Egyetlen eszköz nem regisztrálható több felhasználóhoz.

A Intune beépített megfelelőségi beállítások mellett a következő platformok támogatják az egyéni megfelelőségi beállítások hozzáadását a megfelelőségi szabályzatokhoz:

  • Ubuntu Desktop, 20.04 LTS és 22.04 LTS verzió
  • Windows 10/11

Mielőtt egyéni beállításokat adhatna hozzá, elő kell készítenie egy egyéni JSON-fájlt, amely meghatározza azokat a beállításokat, amelyekre az egyéni megfelelőséget alapozni szeretné, valamint egy, az eszközökön futó szkriptet, amely észleli a JSON-ban meghatározott beállításokat.

További információ az egyéni megfelelőségi beállítások használatáról, beleértve a támogatott platformokat, az előfeltételeket és az egyéni megfelelőségi kategória szabályzat létrehozásakor történő konfigurálását: Egyéni megfelelőségi beállítások használata.

A szabályzat létrehozása

  1. Jelentkezzen be a Microsoft Intune Felügyeleti központba.

  2. Lépjen az Eszközök>megfelelősége területre, és válassza a Szabályzat létrehozása lehetőséget.

  3. Válasszon platformot ehhez a szabályzathoz az alábbi lehetőségek közül:

    • Android-eszközadminisztrátor
    • Android (AOSP)
    • Vállalati Android
    • iOS/iPadOS
    • Linux – (Ubuntu Desktop, 20.04 LTS és 22.04 LTS verzió)
    • macOS
    • Windows 8.1 és újabb verziók
    • Windows 10 és újabb verziók

    Android Enterprise esetén egy szabályzattípust is választhat:

    • Teljes körűen felügyelt, dedikált és vállalati tulajdonú munkahelyi profil
    • Személyes tulajdonú munkahelyi profil

    Ezután válassza a Létrehozás lehetőséget a konfigurációs oldal megnyitásához.

  4. Az Alapvető beállítások lapon adjon meg egy nevet , amely segít később azonosítani őket. Egy jó szabályzatnév például az iOS/iPadOS jailbreakelt eszközök megjelölése nem megfelelőként.

    Megadhatja a Leírást is.

  5. A Megfelelőségi beállítások lapon bontsa ki az elérhető kategóriákat, és konfigurálja a szabályzat beállításait. Az alábbi cikkek az egyes platformokhoz elérhető megfelelőségi beállításokat ismertetik:

  6. Egyéni beállítások hozzáadása a támogatott platformok szabályzataihoz.

    Tipp

    Ez egy nem kötelező lépés, amelyet csak a következő platformok támogatnak:

    • Linux – Ubuntu Desktop, 20.04 LTS és 22.04 LTS verzió
    • Windows 10/11 Mielőtt egyéni beállításokat adhatna hozzá egy szabályzathoz, fel kell töltenie egy észlelési szkriptet a Intune, és készen kell állnia egy JSON-fájlra, amely meghatározza a megfelelőséghez használni kívánt beállításokat. Lásd: Egyéni megfelelőségi beállítások.

    A Megfelelőségi beállítások lapon bontsa ki az Egyéni megfelelőség kategóriát:

    Windows esetén:

    1. A Megfelelőségi beállítások lapon bontsa ki az Egyéni megfelelőség elemet, és állítsa az Egyéni megfelelőség beállítást Kötelező értékre.
    2. A Select your discovery script (Felderítési szkript kiválasztása) beállításnál válassza a Click to select (Kattintson a kiválasztáshoz) lehetőséget, majd adjon meg egy korábban a Microsoft Intune Felügyeleti központba felvett szkriptet. Ezt a szkriptet fel kell tölteni a szabályzat létrehozása előtt.
    3. A JSON-fájl feltöltése és ellenőrzése egyéni megfelelőségi beállításokkal beállításnál válassza a mappa ikont, majd keresse meg és adja hozzá a házirenddel használni kívánt Windows JSON-fájlt. A JSON-val kapcsolatos segítségért lásd: JSON létrehozása egyéni megfelelőségi beállításokhoz.

    Linux esetén:

    1. A Megfelelőségi beállítások lapon válassza a Beállítások hozzáadása lehetőséget a Beállítások választópanel megnyitásához.
    2. Válassza az Egyéni megfelelőség, majd a 8 lehetőséget.
    3. A Megfelelőségi beállítások lapra visszatérve az Egyéni megfelelőség megkövetelése kapcsolót bejelölve állítsa True (Igaz) értékre.
    4. A Felderítési szkript kiválasztása területen válassza az Újrafelhasználható beállítások megadása lehetőséget, majd adjon meg egy korábban a Microsoft Intune Felügyeleti központba felvett szkriptet. A szabályzat létrehozása előtt fel kell tölteni ezt a szkriptet.
    5. A Select your rules file (Szabályfájl kiválasztása) beállításnál válassza a mappa ikont, majd keresse meg és adja hozzá a linuxos JSON-fájlt, amelyet ezzel a szabályzattal szeretne használni. A JSON-val kapcsolatos segítségért lásd: JSON létrehozása egyéni megfelelőségi beállításokhoz.

    A megadott JSON érvényesítve van, és minden probléma megjelenik. A JSON-tartalom ellenőrzése után a JSON-ból származó szabályok táblázatos formátumban jelennek meg.

  7. A Meg nem felelés esetén végrehajtandó műveletek lapon adja meg a megfelelőségi szabályzatnak nem megfelelő eszközökre automatikusan alkalmazandó műveletek sorozatát.

    Több műveletet is hozzáadhat, és egyes műveletek ütemezését és részleteit konfigurálhatja. Módosíthatja például a Nem megfelelő eszköz megjelölése alapértelmezett művelet ütemezését úgy, hogy egy nap elteltével történjen. Ezután hozzáadhat egy műveletet, amellyel e-mailt küldhet a felhasználónak, ha az eszköz nem megfelelő, hogy figyelmeztesse őket erről az állapotról. Olyan műveleteket is hozzáadhat, amelyek nem megfelelő eszközök zárolását vagy kivonását hajtják végre.

    A konfigurálható műveletekkel kapcsolatos információkért lásd: Műveletek hozzáadása nem megfelelő eszközökhöz, beleértve a felhasználóknak küldendő értesítési e-mailek létrehozását.

    Egy másik példa a Helyek használata, ahol legalább egy helyet felvesz egy megfelelőségi szabályzatba. Ebben az esetben a meg nem felelési művelet akkor érvényes, ha legalább egy helyet kiválaszt. Ha az eszköz nem csatlakozik a kiválasztott helyek egyikéhez sem, a rendszer nem megfelelőnek tekinti. Az ütemezés konfigurálható úgy, hogy a felhasználók számára türelmi időszakot adjon, például egy napot.

  8. A Hatókörcímkék lapon válassza ki a címkéket a szabályzatok adott csoportokra (például US-NC IT Team vagy JohnGlenn_ITDepartment) való szűréséhez. A beállítások hozzáadása után hatókörcímkét is hozzáadhat a megfelelőségi szabályzataihoz.

    További információ a hatókörcímkék használatáról: Hatókörcímkék használata szabályzatok szűréséhez.

  9. A Hozzárendelések lapon rendelje hozzá a szabályzatot a csoportokhoz.

Válassza a + Kijelölendő csoportok kiválasztása lehetőséget, majd rendelje hozzá a szabályzatot egy vagy több csoporthoz. A szabályzat ezekre a csoportokra lesz alkalmazva, amikor a következő lépés után menti a szabályzatot.

A Linux-szabályzatok nem támogatják a felhasználóalapú hozzárendeléseket, és csak eszközcsoportokhoz rendelhetők hozzá.

  1. A Felülvizsgálat + létrehozás lapon tekintse át a beállításokat, és válassza a Létrehozás lehetőséget, amikor készen áll a megfelelőségi szabályzat mentésére.

    A szabályzat által megcélzott felhasználókat vagy eszközöket a rendszer kiértékeli a megfelelőség szempontjából, amikor bejelentkeznek Intune.

Frissítési ciklusok ideje

Intune különböző frissítési ciklusokat használ a megfelelőségi szabályzatok frissítéseinek ellenőrzéséhez. Ha az eszköz nemrég lett regisztrálva, a bejelentkezés gyakrabban fut. A szabályzat- és profilfrissítési ciklusok a becsült frissítési időket sorolják fel.

A felhasználók bármikor megnyithatják a Céges portál alkalmazást, és szinkronizálhatják az eszközt a szabályzatfrissítések azonnali kereséséhez.

InGracePeriod állapot hozzárendelése

A megfelelőségi szabályzat InGracePeriod állapota egy érték. Ezt az értéket az eszköz türelmi időszakának és az eszköznek az adott megfelelőségi szabályzathoz tartozó tényleges állapota határozza meg.

Pontosabban, ha egy eszköz nem megfelelő állapotú egy hozzárendelt megfelelőségi szabályzathoz, és:

  • Az eszközhöz nincs türelmi időszak rendelve, akkor a megfelelőségi szabályzat hozzárendelt értéke Nem megfelelő
  • Az eszköz türelmi időszaka lejárt, majd a megfelelőségi szabályzathoz hozzárendelt érték Nem megfelelő
  • Az eszköz türelmi időszaka a jövőben érvényes, majd a megfelelőségi szabályzathoz hozzárendelt érték az InGracePeriod.

Az alábbi táblázat összefoglalja ezeket a pontokat:

Tényleges megfelelőségi állapot A hozzárendelt türelmi időszak értéke Érvényes megfelelőségi állapot
Nem megfelelő Nincs hozzárendelve türelmi időszak Nem megfelelő
Nem megfelelő Tegnapi dátum Nem megfelelő
Nem megfelelő Holnapi dátum InGracePeriod

Az eszközmegfelelési szabályzatok figyelésével kapcsolatos további információkért lásd: Intune eszközmegfelelési szabályzatok figyelése.

A megfelelőségi szabályzat eredményének hozzárendelése

Ha egy eszköz több megfelelőségi szabályzattal rendelkezik, és az eszköz két vagy több hozzárendelt megfelelőségi szabályzathoz eltérő megfelelőségi állapottal rendelkezik, akkor egyetlen eredményként kapott megfelelőségi állapot lesz hozzárendelve. Ez a hozzárendelés az egyes megfelelőségi állapotokhoz rendelt fogalmi súlyossági szinteken alapul. Minden megfelelőségi állapot a következő súlyossági szinttel rendelkezik:

Állapot Súlyossága
Ismeretlen 1
Nem alkalmazható 2
Kompatibilis 3
InGracePeriod 4
Nem megfelelő 5
Hiba 6

Ha egy eszköz több megfelelőségi szabályzattal rendelkezik, akkor az adott eszközhöz az összes szabályzat legmagasabb súlyossági szintje lesz hozzárendelve.

Egy eszközhöz például három megfelelőségi szabályzat van hozzárendelve: egy Ismeretlen állapot (súlyosság = 1), egy Megfelelő állapot (súlyosság = 3) és egy InGracePeriod állapot (súlyosság = 4). Az InGracePeriod állapot a legmagasabb súlyossági szinttel rendelkezik. Tehát mindhárom szabályzat inGracePeriod megfelelőségi állapotú.

Következő lépések

A szabályzatok figyelése.