Usa i criteri di conformità per impostare le regole per i dispositivi gestiti con Intune
Le soluzioni di gestione dei dispositivi mobili (MDM) come Intune consentono di proteggere i dati dell'organizzazione richiedendo a utenti e dispositivi di soddisfare alcuni requisiti. In Intune questa funzionalità è denominata criteri di conformità.
Criteri di conformità in Intune:
- Definire le regole e le impostazioni che gli utenti e i dispositivi devono soddisfare per essere conformi.
- Includere azioni che si applicano ai dispositivi non conformi. Le azioni per la non conformità possono avvisare gli utenti delle condizioni di non conformità e proteggere i dati nei dispositivi non conformi.
- Può essere combinato con l'accesso condizionale, che può quindi bloccare utenti e dispositivi che non soddisfano le regole.
- Può sostituire la configurazione delle impostazioni gestite anche tramite i criteri di configurazione del dispositivo. Per altre informazioni sulla risoluzione dei conflitti per i criteri, vedere Criteri di conformità e configurazione dei dispositivi in conflitto.
In Intune sono presenti due parti per i criteri di conformità:
Impostazioni dei criteri di conformità : impostazioni a livello di tenant simili a criteri di conformità predefiniti ricevuti da ogni dispositivo. Le impostazioni dei criteri di conformità impostano una baseline per il funzionamento dei criteri di conformità nell'ambiente di Intune, incluso se i dispositivi che non hanno ricevuto criteri di conformità dei dispositivi sono conformi o non conformi.
Criteri di conformità dei dispositivi: regole specifiche della piattaforma configurate e distribuite in gruppi di utenti o dispositivi. Queste regole definiscono i requisiti per i dispositivi, ad esempio i sistemi operativi minimi o l'uso della crittografia del disco. I dispositivi devono soddisfare queste regole per essere considerati conformi.
Come altri criteri di Intune, le valutazioni dei criteri di conformità per un dispositivo dipendono da quando il dispositivo esegue il check-in con Intune e dai cicli di aggiornamento dei criteri e dei profili.
Impostazioni dei criteri di conformità
Le impostazioni dei criteri di conformità sono impostazioni a livello di tenant che determinano il modo in cui il servizio di conformità di Intune interagisce con i dispositivi. Queste impostazioni sono distinte dalle impostazioni configurate in un criterio di conformità del dispositivo.
Per gestire le impostazioni dei criteri di conformità, accedere a Microsoft Intune'interfaccia di amministrazione e passare alleimpostazioni dei criteri diconformità dei dispositivi> di sicurezza> degli endpoint.
Le impostazioni dei criteri di conformità includono le impostazioni seguenti:
Contrassegnare i dispositivi senza criteri di conformità assegnati come
Questa impostazione determina il modo in cui Intune gestisce i dispositivi a cui non è stato assegnato un criterio di conformità dei dispositivi. Questa impostazione ha due valori:
- Conforme (impostazione predefinita): questa funzionalità di sicurezza è disattivata. I dispositivi a cui non viene inviato un criterio di conformità del dispositivo sono considerati conformi.
- Non conforme: questa funzionalità di sicurezza è attivata. I dispositivi che non hanno ricevuto criteri di conformità dei dispositivi sono considerati non conformi.
Se si usa l'accesso condizionale con i criteri di conformità del dispositivo, modificare questa impostazione in Non conforme per assicurarsi che solo i dispositivi confermati come conformi possano accedere alle risorse.
Se un utente finale non è conforme perché non è stato assegnato un criterio, l'app Portale aziendale mostra Nessun criterio di conformità assegnato.
Periodo di validità dello stato di conformità (giorni)
Specificare un periodo in cui i dispositivi devono segnalare correttamente tutti i criteri di conformità ricevuti. Se un dispositivo non riesce a segnalare lo stato di conformità per un criterio prima della scadenza del periodo di validità, il dispositivo viene considerato non conforme.
Per impostazione predefinita, il periodo è impostato su 30 giorni. È possibile configurare un periodo compreso tra 1 e 120 giorni.
È possibile visualizzare i dettagli su una conformità dei dispositivi all'impostazione del periodo di validità. Accedere a Microsoft Intune'interfaccia di amministrazione e passare a Conformitàdelle impostazioni diMonitoraggio>dispositivi>. Questa impostazione ha il nome Is active nella colonna Setting ( Impostazione). Per altre informazioni su questa e sulle visualizzazioni dello stato di conformità correlate, vedere Monitorare la conformità dei dispositivi.
Criteri di conformità dei dispositivi
Criteri di conformità dei dispositivi di Intune:
- Definire le regole e le impostazioni che gli utenti e i dispositivi gestiti devono soddisfare per essere conformi. Esempi di regole includono la richiesta di dispositivi che eseguono una versione minima del sistema operativo, non essere jail-broken o rooted e trovarsi a o sotto un livello di minaccia come specificato dal software di gestione delle minacce integrato con Intune.
- Supporto di azioni che si applicano ai dispositivi che non soddisfano le regole di conformità. Esempi di azioni includono il blocco remoto o l'invio di un messaggio di posta elettronica dell'utente del dispositivo sullo stato del dispositivo in modo che possa risolverlo.
- Distribuire agli utenti in gruppi di utenti o dispositivi in gruppi di dispositivi. Quando un criterio di conformità viene distribuito a un utente, tutti i dispositivi dell'utente vengono controllati per la conformità. L'uso dei gruppi di dispositivi in questo scenario cè utile per i report di conformità.
Se si usa l'accesso condizionale, i criteri di accesso condizionale possono usare i risultati della conformità del dispositivo per bloccare l'accesso alle risorse dai dispositivi non conformi.
Le impostazioni disponibili che è possibile specificare in un criterio di conformità del dispositivo dipendono dal tipo di piattaforma selezionato durante la creazione di un criterio. Piattaforme di dispositivi diverse supportano impostazioni diverse e ogni tipo di piattaforma richiede un criterio separato.
Gli argomenti seguenti sono collegati ad articoli dedicati per diversi aspetti dei criteri di configurazione dei dispositivi.
Azioni per la non conformità : ogni criterio di conformità dei dispositivi include una o più azioni per la non conformità. Queste azioni sono regole che vengono applicate ai dispositivi che non soddisfano le condizioni impostate nei criteri.
Per impostazione predefinita, ogni criterio di conformità del dispositivo include l'azione per contrassegnare un dispositivo come non conforme se non soddisfa una regola dei criteri. Il criterio si applica quindi al dispositivo per eventuali azioni aggiuntive per la non conformità configurate, in base alle pianificazioni impostate per tali azioni.
Le azioni per la non conformità possono aiutare a avvisare gli utenti quando il dispositivo non è conforme o a proteggere i dati che potrebbero trovarsi in un dispositivo. Esempi di azioni includono:
- Invio di avvisi di posta elettronica a utenti e gruppi con dettagli sul dispositivo non conforme. È possibile configurare i criteri per inviare un messaggio di posta elettronica immediatamente dopo essere stato contrassegnato come non conforme e quindi, periodicamente, fino a quando il dispositivo non diventa conforme.
- Bloccare in remoto i dispositivi che non sono conformi da tempo.
- Ritirare i dispositivi dopo che sono stati non conformi per qualche tempo. Questa azione contrassegna un dispositivo idoneo come pronto per il ritiro. Un amministratore può quindi visualizzare un elenco di dispositivi contrassegnati per il ritiro e deve eseguire un'azione esplicita per ritirare uno o più dispositivi. Il ritiro di un dispositivo rimuove il dispositivo dalla gestione di Intune e rimuove tutti i dati aziendali dal dispositivo. Per altre informazioni su questa azione, vedere Azioni disponibili per la non conformità.
Creare un criterio : con le informazioni contenute in questo articolo, è possibile esaminare i prerequisiti, esaminare le opzioni per configurare le regole, specificare azioni per la non conformità e assegnare i criteri ai gruppi. Questo articolo include anche informazioni sui tempi di aggiornamento dei criteri.
Visualizzare le impostazioni di conformità del dispositivo per le diverse piattaforme del dispositivo:
- Amministratore del dispositivo Android
- Android Enterprise
- Progetto Open Source Android (AOSP)
- iOS
- Linux
- macOS
- Windows Holographic for Business
- Windows 8.1 e versioni successive
Importante
Il 22 ottobre 2022 Microsoft Intune terminato il supporto per i dispositivi che eseguono Windows 8.1. L'assistenza tecnica e gli aggiornamenti automatici su questi dispositivi non sono disponibili.
Se attualmente si usa Windows 8.1, è consigliabile passare a dispositivi Windows 10/11. Microsoft Intune dispone di funzionalità predefinite per la sicurezza e i dispositivi che gestiscono i dispositivi client Windows 10/11.
- Windows 10/11
Impostazioni di conformità personalizzate : con le impostazioni di conformità personalizzate è possibile espandere le opzioni di conformità dei dispositivi predefinite di Intune. Le impostazioni personalizzate offrono flessibilità per basare la conformità sulle impostazioni disponibili in un dispositivo senza dover attendere l'aggiunta di tali impostazioni da parte di Intune.
È possibile usare impostazioni di conformità personalizzate con le piattaforme seguenti:
- Linux - Ubuntu Desktop, versione 20.04 LTS e 22.04 LTS
- Windows 10/11
Monitorare lo stato di conformità
Intune include un dashboard di conformità del dispositivo usato per monitorare lo stato di conformità dei dispositivi e per eseguire il drill-in di criteri e dispositivi per altre informazioni. Per altre informazioni su questo dashboard, vedere Monitorare la conformità dei dispositivi.
Integrazione con l'accesso condizionale
Quando si usa l'accesso condizionale, è possibile configurare i criteri di accesso condizionale per usare i risultati dei criteri di conformità dei dispositivi per determinare quali dispositivi possono accedere alle risorse dell'organizzazione. Questo controllo di accesso si aggiunge e si distingue dalle azioni per la non conformità incluse nei criteri di conformità del dispositivo.
Quando un dispositivo si registra in Intune, viene registrato in Microsoft Entra ID. Lo stato di conformità per i dispositivi viene segnalato all Microsoft Entra ID. Se i criteri di accesso condizionale hanno controlli di accesso impostati su Richiedi che il dispositivo sia contrassegnato come conforme, l'accesso condizionale usa tale stato di conformità per determinare se concedere o bloccare l'accesso alla posta elettronica e ad altre risorse dell'organizzazione.
Se si userà lo stato di conformità del dispositivo con i criteri di accesso condizionale, verificare in che modo il tenant ha configurato Contrassegna i dispositivi senza criteri di conformità assegnati come, gestiti in Impostazioni dei criteri di conformità.
Per altre informazioni sull'uso dell'accesso condizionale con i criteri di conformità del dispositivo, vedere Accesso condizionale basato su dispositivo
Altre informazioni sull'accesso condizionale sono disponibili nella documentazione di Microsoft Entra:
Riferimento per la non conformità e l'accesso condizionale nelle diverse piattaforme
Nella tabella seguente viene descritto come vengono gestite le impostazioni non conformi quando un criterio di conformità viene usato con un criterio di accesso condizionale.
Correzione: il sistema operativo del dispositivo applica la conformità. Ad esempio, l'utente è costretto a impostare un PIN.
In quarantena: il sistema operativo del dispositivo non applica la conformità. Ad esempio, i dispositivi Android e Android Enterprise non forzano l'utente a crittografare il dispositivo. Quando il dispositivo non è conforme, vengono eseguite le azioni seguenti:
- Se un criterio di accesso condizionale si applica all'utente, il dispositivo viene bloccato.
- L'app Portale aziendale notifica all'utente eventuali problemi di conformità.
| Impostazione criteri | Piattaforma |
|---|---|
| Distribuzioni consentite | Linux(solo) - In quarantena |
| Crittografia del dispositivo | - Android 4.0 e versioni successive: in quarantena - Samsung Knox Standard 4.0 e versioni successive: In quarantena - Android Enterprise: in quarantena - iOS 8.0 e versioni successive: correzione (impostando il PIN) - macOS 10.11 e versioni successive: In quarantena - Linux: in quarantena - Windows 10/11: In quarantena |
| Profilo di posta elettronica | - Android 4.0 e versioni successive: Non applicabile - Samsung Knox Standard 4.0 e versioni successive: Non applicabile - Android Enterprise: non applicabile - iOS 8.0 e versioni successive: in quarantena - macOS 10.11 e versioni successive: In quarantena - Linux: non applicabile - Windows 10/11: Non applicabile |
| Dispositivo jailbroken o rooted | - Android 4.0 e versioni successive: in quarantena (non un'impostazione) - Samsung Knox Standard 4.0 e versioni successive: In quarantena (non un'impostazione) - Android Enterprise: in quarantena (non un'impostazione) - iOS 8.0 e versioni successive: in quarantena (non un'impostazione) - macOS 10.11 e versioni successive: Non applicabile - Linux: non applicabile - Windows 10/11: Non applicabile |
| Versione massima del sistema operativo | - Android 4.0 e versioni successive: in quarantena - Samsung Knox Standard 4.0 e versioni successive: In quarantena - Android Enterprise: in quarantena - iOS 8.0 e versioni successive: in quarantena - macOS 10.11 e versioni successive: In quarantena - Linux: vedere Distribuzioni consentite - Windows 10/11: In quarantena |
| Versione minima del sistema operativo | - Android 4.0 e versioni successive: in quarantena - Samsung Knox Standard 4.0 e versioni successive: In quarantena - Android Enterprise: in quarantena - iOS 8.0 e versioni successive: in quarantena - macOS 10.11 e versioni successive: In quarantena - Linux: vedere Distribuzioni consentite - Windows 10/11: In quarantena |
| Configurazione del PIN o della password | - Android 4.0 e versioni successive: in quarantena - Samsung Knox Standard 4.0 e versioni successive: In quarantena - Android Enterprise: in quarantena - iOS 8.0 e versioni successive: correzione - macOS 10.11 e versioni successive: correzione - Linux: in quarantena - Windows 10/11: correzione |
| Attestazione dell'integrità di Windows | - Android 4.0 e versioni successive: Non applicabile - Samsung Knox Standard 4.0 e versioni successive: Non applicabile - Android Enterprise: non applicabile - iOS 8.0 e versioni successive: Non applicabile - macOS 10.11 e versioni successive: Non applicabile - Linux: non applicabile - Windows 10/11: In quarantena |
Nota
L'app Portale aziendale immette il flusso di correzione della registrazione quando l'utente accede all'app e il dispositivo non è stato archiviato correttamente con Intune per 30 giorni o più (o il dispositivo non è conforme a causa di un motivo di conformità contatto perso). In questo flusso si tenta di avviare un'altra operazione di archiviazione. Se questa operazione non riesce, viene eseguito un comando di ritiro per consentire all'utente di registrare nuovamente il dispositivo manualmente.
Passaggi successivi
- Creare e distribuire criteri ed esaminare i prerequisiti
- Monitorare la conformità del dispositivo
- Domande, problemi e soluzioni comuni con i criteri e i profili dei dispositivi in Microsoft Intune
- Le informazioni di riferimento per le entità dei criteri includono informazioni sulle entità dei criteri di Data Warehouse di Intune
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per