Introduzione ai criteri di conformità dei dispositivi in IntuneGet started with device compliance policies in Intune

I requisiti di conformità sono essenzialmente delle regole, ad esempio richiedere un PIN del dispositivo o richiedere la crittografia.Compliance requirements are essentially rules, such as requiring a device PIN, or requiring encryption. I criteri di conformità dei dispositivi definiscono tali regole e le impostazioni che un dispositivo deve soddisfare per essere considerato conforme.Device compliance policies define these rules and settings that a device must follow to be considered compliant. Queste regole includono:These rules include:

  • Uso di una password per l'accesso ai dispositiviUse a password to access devices

  • CrittografiaEncryption

  • Dispositivo non manomesso con jailbreak o rootWhether the device is jail-broken or rooted

  • Versione minima richiesta del sistema operativoMinimum OS version required

  • Versione massima consentita del sistema operativoMaximum OS version allowed

  • Dispositivo non al di sopra del livello di Mobile Threat DefenseRequire the device to be at, or under the Mobile Threat Defense level

È anche possibile usare questi criteri per monitorare lo stato di conformità nei dispositivi.You can also use device compliance policies to monitor the compliance status in your devices.

PrerequisitiPrerequisites

Per usare i criteri di conformità dei dispositivi, devono essere soddisfatti i requisiti seguenti:To use device compliance policies, the following are required:

  • Uso delle sottoscrizioni seguenti:Use the following subscriptions:

    • IntuneIntune
    • Azure Active Directory (AD) PremiumAzure Active Directory (AD) Premium
  • Uso di una piattaforma supportata:Use a supported platform:

    • AndroidAndroid
    • iOSiOS
    • macOS (anteprima)macOS (preview)
    • Windows 8.1Windows 8.1
    • Windows Phone 8.1Windows Phone 8.1
    • Windows 10Windows 10
  • Per segnalare il proprio stato di conformità, i dispositivi devono essere registrati in IntuneTo report their compliance status, devices must be enrolled in Intune

  • Sono supportati i dispositivi registrati per un utente o i dispositivi senza utente primario.Devices enrolled to one user or devices with no primary user are supported. Più contesti utente non sono supportati.Multiple user contexts are not supported.

Funzionamento dei criteri di conformità Intune con Azure ADHow Intune device compliance policies work with Azure AD

Al momento della registrazione in Intune viene avviato il processo di registrazione di Azure AD durante il quale gli attributi del dispositivo vengono aggiornati in Azure AD.When a device is enrolled in Intune, the Azure AD registration process starts, and updates the device attributes into Azure AD. Un'informazione chiave è lo stato di conformità del dispositivo.One key piece of information is the device compliance status. Lo stato di conformità che viene usato dai criteri di accesso condizionale per bloccare o consentire l'accesso alla posta elettronica e ad altre risorse aziendali.This compliance status is used by conditional access policies to block or allow access to e-mail and other corporate resources.

In processo di registrazione di AD Azure vengono fornite ulteriori informazioni.Azure AD registration process provides more information.

Assegnare uno stato del profilo di configurazione del dispositivo risultanteAssign a resulting device configuration profile status

Se un dispositivo ha più profili di configurazione e il dispositivo presenta stati di conformità diversi per due o più dei profili di configurazione assegnati, sarà necessario assegnare un unico stato di conformità risultante.If a device has multiple configuration profiles, and the device has different compliance statuses for two or more of the assigned configuration profiles, then a single resulting compliance status is assigned. Questa assegnazione si basa su un livello di gravità concettuale assegnato a ogni stato di conformità.This assignment is based on a conceptual severity level assigned to each compliance status. I livelli di gravità di ogni stato di conformità sono i seguenti:Each compliance status has the following severity level:

StatoStatus GravitàSeverity
PendingPending 11
Operazione completataSucceeded 22
Operazione non riuscitaFailed 33
ErroreError 44

Quando un dispositivo ha più profili di configurazione, viene assegnato il livello di gravità massimo di tutti i profili per quel dispositivo.When a device has multiple configuration profiles, then the highest severity level of all the profiles is assigned to that device.

Si osservi ad esempio il caso di un dispositivo con tre profili: uno nello stato in sospeso (gravità = 1), uno nello stato completato (gravità = 2) e uno nello stato di errore (gravità = 4).For example, say a device has three profiles assigned to it: one Pending status (severity = 1), one Succeeded status (severity = 2), and one Error status (severity = 4). Lo stato di errore ha il livello di gravità più alto quindi, a tutti e tre i profili viene assegnato Errore come stato di conformità.The Error status has the highest severity level, so all three profiles have the Error compliance status.

Assegnare uno stato InGracePeriodAssign an InGracePeriod status

Lo stato InGracePeriod è un valore dei criteri di conformità.The InGracePeriod status for a compliance policy is a value. Questo valore è determinato dalla combinazione del periodo di tolleranza del dispositivo e dello stato effettivo del dispositivo per tale criterio di conformità.This value is determined by the combination of a device’s grace period, and a device’s actual status for that compliance policy.

In particolare, se un dispositivo presenta uno stato NonCompliant per un criterio di conformità assegnato e:Specifically, if a device has a NonCompliant status for an assigned compliance policy, and:

  • al dispositivo non è stato assegnato alcun periodo di tolleranza, quindi il valore assegnato per il criterio di conformità è NonCompliantthe device has no grace period assigned to it, then the assigned value for the compliance policy is NonCompliant
  • il dispositivo ha un periodo di tolleranza scaduto, quindi il valore assegnato per il criterio di conformità è NonCompliantthe device has a grace period that is expired, then the assigned value for the compliance policy is NonCompliant
  • il dispositivo ha un periodo di tolleranza futuro, quindi il valore assegnato per il criterio di conformità è InGracePeriodthe device has a grace period that is in the future, then the assigned value for the compliance policy is InGracePeriod

Nella tabella seguente sono riassunte le varie situazioni:The following table summarizes these points:

Stato di conformità attualeActual compliance status Valore del periodo di tolleranza assegnatoValue of assigned grace period Stato di conformità effettivoEffective compliance status
NonCompliantNonCompliant Nessun periodo di tolleranza assegnatoNo grace period assigned NonCompliantNonCompliant
NonCompliantNonCompliant Data trascorsaYesterday’s date NonCompliantNonCompliant
NonCompliantNonCompliant Data futuraTomorrow’s date InGracePeriodInGracePeriod

Per altre informazioni sul monitoraggio dei criteri di conformità dei dispositivi, vedere Monitorare i criteri di conformità dei dispositivi di Intune.For more information about monitoring device compliance policies, see Monitor Intune Device compliance policies.

Assegnare uno stato dei criteri di conformità risultanteAssign a resulting compliance policy status

Se un dispositivo ha più criteri di conformità e il dispositivo presenta stati di conformità diversi per due o più dei criteri di conformità assegnati, verrà assegnato un unico stato di conformità risultante.If a device has multiple compliance policies, and the device has different compliance statuses for two or more of the assigned compliance policies, then a single resulting compliance status is assigned. Questa assegnazione si basa su un livello di gravità concettuale assegnato a ogni stato di conformità.This assignment is based on a conceptual severity level assigned to each compliance status. I livelli di gravità di ogni stato di conformità sono i seguenti:Each compliance status has the following severity level:

StatoStatus GravitàSeverity
SconosciutoUnknown 11
NotApplicableNotApplicable 22
ConformeCompliant 33
InGracePeriodInGracePeriod 44
NonCompliantNonCompliant 55
ErroreError 66

Quando un dispositivo ha più criteri di conformità, viene assegnato il livello di gravità massimo di tutti i criteri per quel dispositivo.When a device has multiple compliance policies, then the highest severity level of all the policies is assigned to that device.

Si osservi ad esempio il caso di un dispositivo con tre criteri di conformità: uno con stato sconosciuto (gravità = 1), uno con stato conforme (gravità = 3) e uno con stato InGracePeriod (gravità = 4).For example, say a device has three compliance polices assigned to it: one Unknown status (severity = 1), one Compliant status (severity = 3), and one InGracePeriod status (severity = 4). Lo stato InGracePeriod ha il livello di gravità più alto quindi, a tutti e tre i criteri viene assegnato lo stato di conformità InGracePeriod.The InGracePeriod status has the highest severity level, so all three policies have the InGracePeriod compliance status.

Modi per usare i criteri di conformità del dispositivoWays to use device compliance policies

Con l'accesso condizionaleWith conditional access

Ai dispositivi conformi alle regole dei criteri è possibile consentire l'accesso alla posta elettronica e ad altre risorse aziendali.For devices that comply to policy rules, you can give those devices access to email and other corporate resources. Se non sono conformi alle regole dei criteri, i dispositivi non ricevono l'accesso alle risorse aziendali.If the devices don't comply to policy rules, then they don't get access to corporate resources. Questo è l'accesso condizionale.This is conditional access.

Senza l'accesso condizionaleWithout conditional access

È anche possibile usare i criteri di conformità dei dispositivi senza accesso condizionale.You can also use device compliance policies without any conditional access. In tal caso, i dispositivi vengono valutati e segnalati in base allo stato di conformità.When you use compliance policies independently, the targeted devices are evaluated and reported with their compliance status. Può ad esempio essere utile segnalare quanti dispositivi non sono crittografati o quali dispositivi sono stati manomessi con jailbreak o root.For example, you can get a report on how many devices are not encrypted, or which devices are jail-broken or rooted. Quando si usano i criteri di conformità senza accesso condizionale, non vengono applicate limitazioni per l'accesso alle risorse aziendali.When you use compliance policies without conditional access, there are no access restrictions to company resources.

Modi per distribuire i criteri di conformità dei dispositiviWays to deploy device compliance policies

È possibile distribuire i criteri di conformità a utenti in gruppi di utenti o a dispositivi in gruppi di dispositivi.You can deploy compliance policy to users in user groups or devices in device groups. Quando un criterio di conformità viene distribuito a un utente, la conformità viene controllata su tutti i dispositivi dell'utente.When a compliance policy is deployed to a user, all of the user's devices are checked for compliance.

La sezione Impostazioni dei criteri di conformità (portale di Azure > Conformità del dispositivo) include:The Compliance policy settings (Azure portal > Device compliance) include:

  • Contrassegna i dispositivi senza criteri di conformità assegnati come: questa proprietà ha due valori:Mark devices with no compliance policy assigned as: This property has two values:

    • Conforme: la funzione di sicurezza non è attivaCompliant: security feature off
    • Non conforme (impostazione predefinita): la funzione di sicurezza è attivaNot compliant (default): security feature on

    Un dispositivo a cui non è stato assegnato un criterio di conformità è considerato come non conforme.If a device doesn't have a compliance policy assigned, then this device is considered not compliant. Per impostazione predefinita, i dispositivi sono contrassegnati come Conforme.By default, devices are marked as Compliant. Se si usa l'accesso condizionale, è consigliabile modificare l'impostazione su Non conforme.If you use conditional access, we recommended you change the setting to Not compliant. Se un utente finale non è conforme perché non è stato assegnato un criterio, nel Portale aziendale viene indicato No compliance policies have been assigned.If an end user is not compliant because a policy isn't assigned, then Company Portal lists No compliance policies have been assigned.

  • Rilevamento ottimizzato per jailbreak: se abilitata, questa impostazione attiva un'archiviazione più frequente dei dispositivi iOS con Intune.Enhanced jailbreak detection: When enabled, this setting causes iOS devices to check-in with Intune more frequently. L'abilitazione di questa proprietà usa i servizi di posizione del dispositivo e influisce sull'utilizzo della batteria.Enabling this property uses the device’s location services, and impacts battery usage. I dati relativi alla posizione dell'utente non vengono archiviati da Intune.The user location data is not stored by Intune.

    Per l'abilitazione di questa impostazione è necessario che:Enabling this setting requires devices to:

    • Nei dispositivi siano abilitati i servizi di posizione a livello di sistema operativoEnable location services at the OS level
    • I dispositivi consentano al portale aziendale di utilizzare servizi di posizioneAllow the company portal to use location services
    • I dispositivi valutino e segnalino il proprio stato jailbreak a Intune almeno una volta ogni 72 ore.Evaluate and report its jailbreak status to Intune at least once every 72 hours. In caso contrario, il dispositivo è contrassegnato come non conforme.Otherwise, the device is marked not compliant.
  • Periodo di validità dello stato di conformità (giorni): immettere il periodo di tempo di cui dispongono i dispositivi per segnalare lo stato di tutti i criteri di conformità ricevuti.Compliance status validity period (days): Enter the time period that devices report the status for all received compliance policies. I dispositivi che non restituiscono lo stato entro il periodo indicato vengono considerati non conformi.Devices that don't return the status within this time period are treated as noncompliant. Il valore predefinito è 30 giorni.The default value is 30 days.

Tutti i dispositivi dispongono di Criteri di conformità del dispositivo predefiniti (portale di Azure > Conformità del dispositivo > Conformità dei criteri).All devices have a Default Device Compliance Policy (Azure portal > Device compliance > Policy compliance). Usare questo criterio predefinito per monitorare queste impostazioni.Use this default policy to monitor these settings.

Per informazioni sul tempo necessario ai dispositivi mobili per ottenere un criterio dopo la distribuzione, vedere Risolvere i problemi relativi ai profili dei dispositivi.To learn the time it takes for mobile devices to get a policy after the policy is deployed, see Troubleshooting device profiles.

I report di conformità sono un ottimo modo per controllare lo stato dei dispositivi.Compliance reports are a great way to check the status of devices. Vedere Monitorare i criteri di conformità per informazioni aggiuntive.See Monitor compliance policies for guidance.

Azioni per la mancata conformitàActions for noncompliance

È possibile configurare una sequenza temporale di azioni da applicare ai dispositivi che non soddisfano i criteri di conformità.You can configure a time-ordered sequence of actions that apply to devices that don't meet the compliance policy criteria. Queste azioni per la non conformità possono essere automatizzate, come descritto in Automatizzare azioni per la non conformità.These actions for noncompliance can be automated, as described in Automate actions for noncompliance.

Differenze tra portale di Azure classico e Portale di AzureAzure classic portal vs. Azure portal

La differenza principale rispetto all'uso dei criteri di conformità dei dispositivi nel portale di Azure:The main difference when using device compliance policies in the Azure portal:

  • Nel portale di Azure i criteri di conformità vengono creati separatamente per ogni piattaforma supportataIn the Azure portal, the compliance policies are created separately for each supported platform
  • Nel portale di Azure classico un criterio di conformità è comune a tutte le piattaforme supportateIn the Azure classic portal, one device compliance policy is common to all supported platforms

Criteri di conformità dei dispositivi nel portale classico e nel portale di AzureDevice compliance policies in the classic portal and Azure portal

I criteri di conformità dei dispositivi creati nel portale classico non compaiono nel portale di Azure.Device compliance policies created in the classic portal don't appear in the Azure portal. Tali criteri sono tuttavia destinati agli utenti e gestibili tramite il portale di classico.However, they’re still targeted to users and manageable using the classic portal.

Per usare le funzionalità relative alla conformità dei dispositivi nel portale di Azure, è necessario creare nuovi criteri di conformità dei dispositivi nel portale stesso.To use the device compliance-related features in the Azure portal, you must create new device compliance policies in the Azure portal. Se si assegna un criterio di conformità dei dispositivi nel portale di Azure a un utente al quale è assegnato un criterio di conformità dei dispositivi anche dal portale classico, i criteri di conformità dei dispositivi dal portale di Azure avranno la precedenza rispetto a quelli creati nel portale classico.If you assign a device compliance policy in the Azure portal to a user who is also assigned a device compliance policy from the classic portal, then the device compliance policies from the Azure portal takes precedence over the policies created in the classic portal.

Passaggi successiviNext steps