Używanie zasad zgodności do ustawiania reguł dla urządzeń zarządzanych za pomocą usługi Intune
Rozwiązania do zarządzania urządzeniami przenośnymi (MDM), takie jak usługa Intune, mogą pomóc w ochronie danych organizacji, wymagając od użytkowników i urządzeń spełnienia pewnych wymagań. W usłudze Intune ta funkcja jest nazywana zasadami zgodności.
Zasady zgodności w usłudze Intune:
- Zdefiniuj reguły i ustawienia, które użytkownicy i urządzenia muszą spełniać, aby były zgodne.
- Uwzględnij akcje, które mają zastosowanie do niezgodnych urządzeń. Akcje dotyczące niezgodności mogą ostrzegać użytkowników o warunkach niezgodności i chronić dane na niezgodnych urządzeniach.
- Można go połączyć z dostępem warunkowym, który może następnie blokować użytkowników i urządzenia, które nie spełniają reguł.
- Może zastąpić konfigurację ustawień, które można również zarządzać za pomocą zasad konfiguracji urządzeń. Aby dowiedzieć się więcej na temat rozwiązywania konfliktów dla zasad, zobacz Zgodność i zasady konfiguracji urządzeń, które powodują konflikt.
W usłudze Intune istnieją dwie części zasad zgodności:
Ustawienia zasad zgodności — ustawienia dla całej dzierżawy, które są podobne do wbudowanych zasad zgodności odbieranych przez każde urządzenie. Ustawienia zasad zgodności określają punkt odniesienia działania zasad zgodności w środowisku usługi Intune, w tym to, czy urządzenia, które nie otrzymały żadnych zasad zgodności urządzeń, są zgodne lub niezgodne.
Zasady zgodności urządzeń — reguły specyficzne dla platformy konfigurowane i wdrażane w grupach użytkowników lub urządzeń. Te reguły definiują wymagania dotyczące urządzeń, takie jak minimalne systemy operacyjne lub użycie szyfrowania dysków. Urządzenia muszą spełniać te reguły, aby można je było uznać za zgodne.
Podobnie jak inne zasady usługi Intune, oceny zasad zgodności dla urządzenia zależą od momentu zaewidencjonowania urządzenia w usłudze Intune oraz cykli odświeżania zasad i profilu.
Ustawienia zasad zgodności
Ustawienia zasad zgodności to ustawienia dla całej dzierżawy, które określają sposób interakcji usługi zgodności usługi Intune z urządzeniami. Te ustawienia różnią się od ustawień skonfigurowanych w zasadach zgodności urządzeń.
Aby zarządzać ustawieniami zasad zgodności, zaloguj się do centrum administracyjnego Microsoft Intune i przejdź do pozycji Zabezpieczenia punktu końcowego>Ustawienia zasad zgodnościurządzeń>.
Ustawienia zasad zgodności obejmują następujące ustawienia:
Oznaczanie urządzeń bez przypisanych zasad zgodności jako
To ustawienie określa, jak usługa Intune traktuje urządzenia, do których nie przypisano zasad zgodności urządzeń. To ustawienie ma dwie wartości:
- Zgodne (ustawienie domyślne): ta funkcja zabezpieczeń jest wyłączona. Urządzenia, które nie są wysyłane do zasad zgodności urządzeń, są uważane za zgodne.
- Niezgodne: ta funkcja zabezpieczeń jest włączona. Urządzenia, które nie otrzymały zasad zgodności urządzeń, są uznawane za niezgodne.
Jeśli używasz dostępu warunkowego z zasadami zgodności urządzeń, zmień to ustawienie na Niezgodne , aby upewnić się, że dostęp do zasobów mogą uzyskiwać tylko urządzenia, które zostały potwierdzone jako zgodne.
Jeśli użytkownik końcowy nie jest zgodny, ponieważ zasady nie są do niego przypisane, aplikacja Portal firmy pokazuje, że nie przypisano żadnych zasad zgodności.
Okres ważności stanu zgodności (dni)
Określ okres, w którym urządzenia muszą pomyślnie zgłaszać wszystkie otrzymane zasady zgodności. Jeśli urządzenie nie zgłosi stanu zgodności dla zasad przed upływem okresu ważności, urządzenie będzie traktowane jako niezgodne.
Domyślnie okres jest ustawiony na 30 dni. Okres można skonfigurować od 1 do 120 dni.
Możesz wyświetlić szczegóły dotyczące zgodności urządzeń z ustawieniem okresu ważności. Zaloguj się do centrum administracyjnego Microsoft Intune i przejdź do pozycjiMonitorowanie>zgodności ustawieńurządzeń>. To ustawienie ma nazwę Jest aktywny w kolumnie Ustawienie . Aby uzyskać więcej informacji na temat tego i powiązanych widoków stanu zgodności, zobacz Monitorowanie zgodności urządzeń.
Zasady zgodności urządzeń
Zasady zgodności urządzeń w usłudze Intune:
- Zdefiniuj reguły i ustawienia, które użytkownicy i urządzenia zarządzane muszą spełniać, aby były zgodne. Przykłady reguł obejmują wymaganie, aby urządzenia uruchamiały minimalną wersję systemu operacyjnego, nie były łamane w więzieniu ani nie były objęte dostępem do konta root oraz były na poziomie zagrożenia lub na poziomie zagrożenia określonym przez oprogramowanie do zarządzania zagrożeniami zintegrowane z usługą Intune.
- Akcje pomocy technicznej, które mają zastosowanie do urządzeń, które nie spełniają reguł zgodności. Przykłady akcji obejmują zdalne blokowanie lub wysyłanie wiadomości e-mail użytkownika urządzenia o stanie urządzenia, aby mógł je naprawić.
- Wdrażanie dla użytkowników w grupach użytkowników lub na urządzeniach w grupach urządzeń. Po wdrożeniu zasad zgodności dla użytkownika wszystkie urządzenia użytkownika są sprawdzane pod kątem zgodności. Używanie grup urządzeń w tym scenariuszu pomaga w raportowaniu zgodności.
Jeśli korzystasz z dostępu warunkowego, jego zasady mogą blokować dostęp do zasobów z poziomu niezgodnych urządzeń na podstawie wyników zgodności urządzenia.
Dostępne ustawienia, które można określić w zasadach zgodności urządzeń, zależą od typu platformy wybranego podczas tworzenia zasad. Różne platformy urządzeń obsługują różne ustawienia, a każdy typ platformy wymaga oddzielnych zasad.
Poniższe tematy łączą się z dedykowanymi artykułami dotyczącymi różnych aspektów zasad konfiguracji urządzeń.
Akcje dotyczące niezgodności — każda zasada zgodności urządzeń obejmuje co najmniej jedną akcję w przypadku niezgodności. Te akcje są regułami stosowanymi do urządzeń, które nie spełniają warunków określonych w zasadach.
Domyślnie każda zasada zgodności urządzeń zawiera akcję oznaczania urządzenia jako niezgodnego, jeśli nie spełnia ono reguły zasad. Następnie zasady dotyczą urządzenia wszelkich dodatkowych akcji w przypadku niezgodności skonfigurowanych na podstawie harmonogramów ustawionych dla tych akcji.
Akcje dotyczące niezgodności mogą pomóc w zgłaszaniu alertów użytkownikom, gdy ich urządzenie nie jest zgodne, lub chronić dane, które mogą znajdować się na urządzeniu. Przykłady akcji obejmują:
- Wysyłanie alertów e-mail do użytkowników i grup ze szczegółowymi informacjami o niezgodnym urządzeniu. Zasady można skonfigurować tak, aby wysyłały wiadomości e-mail natychmiast po oznaczeniu jako niezgodne, a następnie okresowo, aż urządzenie stanie się zgodne.
- Zdalne blokowanie urządzeń , które od jakiegoś czasu są niezgodne.
- Wycofaj urządzenia po tym, jak od jakiegoś czasu są niezgodne. Ta akcja oznacza kwalifikujące się urządzenie jako gotowe do wycofania. Administrator może następnie wyświetlić listę urządzeń oznaczonych do wycofania i musi podjąć jawne działanie w celu wycofania co najmniej jednego urządzenia. Wycofanie urządzenia powoduje usunięcie urządzenia z zarządzania usługi Intune i usunięcie wszystkich danych firmowych z urządzenia. Aby uzyskać więcej informacji na temat tej akcji, zobacz Dostępne akcje w przypadku niezgodności.
Tworzenie zasad — korzystając z informacji zawartych w tym artykule, możesz przejrzeć wymagania wstępne, zapoznać się z opcjami konfigurowania reguł, określania akcji w przypadku niezgodności i przypisywania zasad do grup. Ten artykuł zawiera również informacje o czasie odświeżania zasad.
Wyświetlanie ustawień zgodności urządzeń dla różnych platform urządzeń:
- Administrator urządzenia z systemem Android
- Android Enterprise
- Android Open Source Project (AOSP)
- iOS
- Linux
- macOS
- Windows Holographic for Business
- Windows 8.1 i nowsze
Ważna
22 października 2022 r. Microsoft Intune zakończyła obsługę urządzeń z systemem Windows 8.1. Pomoc techniczna i automatyczne aktualizacje na tych urządzeniach nie są dostępne.
Jeśli obecnie używasz Windows 8.1, zalecamy przejście na urządzenia Windows 10/11. Microsoft Intune ma wbudowane funkcje zabezpieczeń i urządzeń, które zarządzają urządzeniami klienckimi Windows 10/11.
- Windows 10/11
Niestandardowe ustawienia zgodności — za pomocą niestandardowych ustawień zgodności można rozszerzyć wbudowane opcje zgodności urządzeń w usłudze Intune. Ustawienia niestandardowe zapewniają elastyczność bazowania na ustawieniach dostępnych na urządzeniu bez konieczności oczekiwania na dodanie tych ustawień przez usługę Intune.
Niestandardowych ustawień zgodności można używać na następujących platformach:
- Linux — Ubuntu Desktop, wersja 20.04 LTS i 22.04 LTS
- Windows 10/11
Monitorowanie stanu zgodności
Usługa Intune zawiera pulpit nawigacyjny zgodności urządzeń używany do monitorowania stanu zgodności urządzeń oraz przechodzenia do zasad i urządzeń, aby uzyskać więcej informacji. Aby dowiedzieć się więcej na temat tego pulpitu nawigacyjnego, zobacz Monitorowanie zgodności urządzeń.
Integracja z dostępem warunkowym
W przypadku korzystania z dostępu warunkowego można skonfigurować zasady dostępu warunkowego tak, aby używały wyników zasad zgodności urządzeń w celu określenia, które urządzenia mogą uzyskiwać dostęp do zasobów organizacji. Ta kontrola dostępu jest dodatkiem do akcji niezgodności uwzględnianych w zasadach zgodności urządzeń i jest od niej oddzielona.
Gdy urządzenie zostanie zarejestrowane w usłudze Intune, zostanie zarejestrowane w Microsoft Entra identyfikatorze. Stan zgodności urządzeń jest zgłaszany do Microsoft Entra identyfikatora. Jeśli zasady dostępu warunkowego mają ustawioną opcję Kontrola dostępu na wartość Wymagaj, aby urządzenie było oznaczone jako zgodne, dostęp warunkowy używa tego stanu zgodności, aby określić, czy przyznać lub zablokować dostęp do poczty e-mail i innych zasobów organizacji.
Jeśli użyjesz stanu zgodności urządzenia z zasadami dostępu warunkowego, sprawdź, jak dzierżawa skonfigurowała opcję Oznacz urządzenia bez przypisanych zasad zgodności, którymi zarządzasz w obszarze Ustawienia zasad zgodności.
Aby uzyskać więcej informacji na temat korzystania z dostępu warunkowego z zasadami zgodności urządzeń, zobacz Dostęp warunkowy oparty na urządzeniach
Dowiedz się więcej o dostępie warunkowym w dokumentacji Microsoft Entra:
Dokumentacja dotycząca niezgodności i dostępu warunkowego na różnych platformach
W poniższej tabeli opisano sposób zarządzania niezgodnymi ustawieniami, gdy zasady zgodności są używane z zasadami dostępu warunkowego.
Skorygowano: system operacyjny urządzenia wymusza zgodność. Na przykład użytkownik jest zmuszony do ustawienia numeru PIN.
Poddane kwarantannie: system operacyjny urządzenia nie wymusza zgodności. Na przykład urządzenia z systemami Android i Android Enterprise nie zmuszają użytkownika do szyfrowania urządzenia. Jeśli urządzenie nie jest zgodne, zostaną wykonane następujące akcje:
- Jeśli zasady dostępu warunkowego mają zastosowanie do użytkownika, urządzenie zostanie zablokowane.
- Aplikacja Portal firmy powiadamia użytkownika o wszelkich problemach ze zgodnością.
| Ustawienie zasad | Platforma |
|---|---|
| Dozwolone dystrybucje | Linux(tylko) — poddane kwarantannie |
| Szyfrowanie urządzenia | - System Android 4.0 lub nowszy: poddane kwarantannie - Samsung Knox Standard 4.0 i nowsze: poddane kwarantannie - Android Enterprise: poddane kwarantannie - System iOS 8.0 i nowsze: skorygowane (przez ustawienie numeru PIN) - System macOS 10.11 lub nowszy: poddane kwarantannie - Linux: poddane kwarantannie - Windows 10/11: Poddane kwarantannie |
| profil Email | - System Android 4.0 lub nowszy: nie dotyczy - Samsung Knox Standard 4.0 lub nowszy: Nie dotyczy - Android Enterprise: nie dotyczy - System iOS 8.0 lub nowszy: poddane kwarantannie - System macOS 10.11 lub nowszy: poddane kwarantannie - Linux: Nie dotyczy - Windows 10/11: Nie dotyczy |
| Urządzenie ze zdjętymi zabezpieczeniami systemu lub odblokowanym dostępem do konta root | - System Android 4.0 i nowsze: poddane kwarantannie (nie ustawienie) - Samsung Knox Standard 4.0 i nowsze: poddane kwarantannie (nie ustawienie) - Android Enterprise: poddane kwarantannie (nie ustawienie) - System iOS 8.0 i nowsze: poddane kwarantannie (nie ustawienie) - System macOS 10.11 lub nowszy: nie dotyczy - Linux: Nie dotyczy - Windows 10/11: Nie dotyczy |
| Maksymalna wersja systemu operacyjnego | - System Android 4.0 lub nowszy: poddane kwarantannie - Samsung Knox Standard 4.0 i nowsze: poddane kwarantannie - Android Enterprise: poddane kwarantannie - System iOS 8.0 lub nowszy: poddane kwarantannie - System macOS 10.11 lub nowszy: poddane kwarantannie - Linux: zobacz Dozwolone dystrybucje - Windows 10/11: Poddane kwarantannie |
| Minimalna wersja systemu operacyjnego | - System Android 4.0 lub nowszy: poddane kwarantannie - Samsung Knox Standard 4.0 i nowsze: poddane kwarantannie - Android Enterprise: poddane kwarantannie - System iOS 8.0 lub nowszy: poddane kwarantannie - System macOS 10.11 lub nowszy: poddane kwarantannie - Linux: zobacz Dozwolone dystrybucje - Windows 10/11: Poddane kwarantannie |
| Konfiguracja numeru PIN lub hasła | - System Android 4.0 lub nowszy: poddane kwarantannie - Samsung Knox Standard 4.0 i nowsze: poddane kwarantannie - Android Enterprise: poddane kwarantannie - System iOS 8.0 lub nowszy: skorygowany - System macOS 10.11 lub nowszy: skorygowany - Linux: poddane kwarantannie - Windows 10/11: Skorygowano |
| Zaświadczanie o kondycji systemu Windows | - System Android 4.0 lub nowszy: nie dotyczy - Samsung Knox Standard 4.0 lub nowszy: Nie dotyczy - Android Enterprise: nie dotyczy - System iOS 8.0 lub nowszy: nie dotyczy - System macOS 10.11 lub nowszy: nie dotyczy - Linux: Nie dotyczy - Windows 10/11: Poddane kwarantannie |
Uwaga
Aplikacja Portal firmy wprowadza przepływ korygowania rejestracji, gdy użytkownik loguje się do aplikacji, a urządzenie nie zostało pomyślnie zaewidencjonowane w usłudze Intune przez co najmniej 30 dni (lub urządzenie jest niezgodne z powodu utraty zgodności z kontaktem). W tym przepływie próbujemy zainicjować zaewidencjonowanie jeszcze raz. Jeśli to się nie powiedzie, wydamy polecenie wycofania, aby umożliwić użytkownikowi ręczne ponowne zarejestrowanie urządzenia.
Następne kroki
- Tworzenie i wdrażanie zasad oraz przeglądanie wymagań wstępnych
- Monitorowanie zgodności urządzeń
- Typowe pytania, problemy i rozwiązania dotyczące zasad i profilów urządzeń w Microsoft Intune
- Dokumentacja jednostek zasad zawiera informacje o jednostkach zasad Data Warehouse usługi Intune
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla