Настройка действий для несоответствующих устройств в Intune

  • Статья

В рамках политики соответствия требованиям, которая защищает ресурсы вашей организации от устройств, не соответствующих требованиям безопасности, политики соответствия требованиям также включают действия при несоответствии. Действия при несоответствии — это разовые или многоразовые действия, выполняемые политикой для защиты устройств и вашей организации. Например, действие при несоответствии может удаленно заблокировать устройство, чтобы обеспечить его защиту, либо отправить уведомление устройствам или пользователям, чтобы помочь им понять и устранить состояние несоответствия.

Важно!

Microsoft Intune прекращает поддержку управления администраторами устройств Android на устройствах с доступом к Google Mobile Services (GMS) 30 августа 2024 г. После этой даты регистрация устройств, техническая поддержка, исправления ошибок и исправления безопасности будут недоступны. Если в настоящее время вы используете управление администраторами устройств, мы рекомендуем перейти на другой вариант управления Android в Intune до окончания поддержки. Дополнительные сведения см. в статье Прекращение поддержки администратора устройств Android на устройствах GMS.

Обзор

По умолчанию каждая политика соответствия содержит действие при несоответствии Отметить устройство как несоответствующее политике с расписанием с нулем дней (0). Когда Intune обнаруживает устройство, не соответствующее требованиям, оно сразу же помечается как несоответствующее. После того как устройство будет помечено как несоответствующее, Microsoft Entra условный доступ может заблокировать устройство.

Настроив действия для несоответствия , вы получаете гибкость, чтобы решить, что делать с несоответствующими устройствами и когда это делать. Например, устройство можно не блокировать немедленно, а предоставить пользователю льготный период, чтобы он смог обеспечить соответствие устройства.

Для каждого указанного действия можно настроить расписание, которое определяет, когда действие вступает в силу. Расписание представляет собой период в днях, по истечении которого устройство помечается как не соответствующее требованиям. Можно также настроить несколько экземпляров действия. При задании нескольких экземпляров действия в политике это действие выполняется еще раз в запланированное время, если устройство остается несоответствующим.

На каждой платформе могут быть доступны только определенные действия.

Примечание.

В центре администрирования Microsoft Intune отображается расписание (дни после несоответствия) в днях. Однако можно указать более детализированный интервал (часы), используя такие дробные части, как 0,25 (6 часов), 0,5 (12 часов), 1,5 (36 часов) и так далее. Другие значения можно настроить только с помощью Microsoft Graph, но не через Центр администрирования. Попытка использовать другие значения в Центре администрирования, например 0,33 (8 часов), приведет к ошибке при попытке сохранения политики.

Доступные действия при несоответствии

Ниже приведены доступные действия при несоответствии:

  • Отметить устройство как несоответствующее. По умолчанию это действие задается для каждой политики соответствия и имеет расписание с нулем дней (0) для немедленной пометки устройств как несоответствующих.

    При изменении расписания по умолчанию указывается льготный период, в течение которого пользователь может исправить проблемы, или устройство может стать соответствующим без пометки как несоответствующее.

    Это действие поддерживается на всех платформах, поддерживаемых Intune.

  • Отправить сообщение электронной почты пользователю. Это действие отправляет пользователю уведомление по электронной почте. При включении этого действия:

    • Выберите шаблон сообщения уведомления, который будет отправлен этим действием. Нужно создать шаблон уведомлений, который будет назначен действию. При создании настраиваемого уведомления вы настраиваете языковой стандарт, тему, текст сообщения и можете добавить логотип компании, название компании и другие контактные данные.
    • Выберите отправку сообщения нескольким получателям, выбрав одну или несколько групп Microsoft Entra.

    Intune использует адрес электронной почты, определенный в профиле пользователя, а не имя участника-пользователя (UPN). Если в профиле пользователя адрес электронной почты не определен, Intune не отправит уведомление по электронной почте. После отправки сообщения Intune включает в уведомление дополнительные сведения о несоответствующем устройстве.

    Это действие поддерживается на всех платформах, поддерживаемых Intune.

    Примечание.

    Уведомления отправляются из: microsoft-noreply@microsoft.com

    Настройте политики почтовых ящиков так, чтобы они не препятствовали доставке писем с этих адресов, иначе конечные пользователи могут не получить уведомление по электронной почте.

    До декабря 2022 г. уведомления в коммерческом облаке отправлялись от: IntuneNotificationService@microsoft.com

  • Удаленно заблокировать несовместимое устройство. Это действие используется для выдачи удаленной блокировки устройства. Затем пользователю предлагается ввести ПИН-код или пароль для разблокировки устройства. Дополнительные сведения о функции удаленной блокировки.

    Это действие поддерживают следующие платформы:

    • Администратор устройств Android
    • Android (AOSP)
    • Android Enterprise
      • Полностью управляемая
      • Выделенная
      • Корпоративный рабочий профиль
      • Личный рабочий профиль
      • Устройства для киосков с Android для бизнеса
    • iOS/iPadOS
    • macOS

  • Добавление устройства в список устаревших устройств. При выполнении этого действия на устройстве устройство добавляется в список устаревших устройств в Центре администрирования Intune. Чтобы просмотреть список, перейдите враздел Соответствиеустройств> и перейдите на вкладку Снять с учета несоответствующие устройства. Однако устройство не прекращается до тех пор, пока администратор явно не инициирует процесс прекращения использования. Когда администратор удаляет устройство из этого списка, прекращение использования удаляет все корпоративные данные с устройства и удаляет это устройство из управления Intune.

    Это действие поддерживают следующие платформы:

    • Администратор устройств Android
    • Android (AOSP)
    • Android Enterprise
      • Полностью управляемая
      • Выделенная
      • Корпоративный рабочий профиль
      • Личный рабочий профиль
    • iOS/iPadOS
    • macOS
    • Windows 10/11

    Примечание.

    На вкладке Снятие с учета отображаются только те устройства, для которых активировано действие Добавить устройство в список с учета. Список всех устройств, которые не соответствуют требованиям, см. в отчете о несоответствующих устройствах, упомянутом в разделе Мониторинг политики соответствия устройств.

    Чтобы снять с учета одно или несколько устройств из списка, выберите устройства для снятия с учета, а затем выберите Снять с учета выбранные устройства. При выборе действия, которое снимет устройства с учета, может открыться диалоговое окно для подтверждения действия. Только после подтверждения намерения снятия устройств с учета они очищаются от данных компании и удаляются из системы управления Intune.

    Другие варианты включают списание всех устройств, Очистка состояния прекращения использования всех устройств и Очистка состояния снятия с учета выбранных устройств. При очистке состояния прекращения использования устройства устройство удаляется из списка устройств, которые могут быть сняты с учета до тех пор, пока к этому устройству снова не будет применено действие Add device to retire list (Добавить устройство в список списания ).

    Дополнительные сведения о снятии устройств с учета.

  • Отправить push-уведомление пользователю. Настройте это действие, чтобы отправлять на устройство push-уведомление о несоответствии, используя приложение корпоративного портала или Intune на устройстве.

    Это действие поддерживают следующие платформы:

    • Администратор устройств Android
    • Android Enterprise:
      • Полностью управляемая
      • Выделенная
      • Корпоративный рабочий профиль
      • Личный рабочий профиль
    • iOS/iPadOS

    Push-уведомление отправляется при первой синхронизации устройства в Intune, и устройство считается несоответствующим. Когда пользователь выбирает уведомление, открывается приложение корпоративного портала или приложение Intune, где отображается причина несоответствия. После этого пользователь может предпринять действия по устранению проблемы. Сведения о несоответствии в сообщении создаются в приложении Intune и не могут быть изменены.

    Важно!

    Intune, приложение корпоративного портала и приложение Microsoft Intune не могут гарантировать доставку push-уведомления. Уведомления могут появиться после нескольких часов задержки, если вообще появятся. Это может происходить в ситуации, когда пользователи отключили push-уведомления.

    Этот метод не рекомендуется использовать для отправки или получения срочных сообщений.

    Каждый экземпляр действия отправляет уведомление один раз. Чтобы повторно отправить то же уведомление из политики, настройте в этой политике дополнительные экземпляры действия, каждое из которых имеет собственное расписание.

    Например, вы можете запланировать первое действие в течение нуля дней, а затем добавить второй экземпляр действия, для которого задано три дня. Благодаря этой задержке перед вторым уведомлением у пользователя будет несколько дней для устранения проблемы, и он не получит второе уведомление.

    Чтобы не отправлять пользователю слишком много повторяющихся сообщений, проверьте, какие политики соответствия поддерживают push-уведомления о несоответствии, и пересмотрите расписания, чтобы исключить слишком частую отправку уведомлений об одной и той же проблеме.

    Ниже приведено несколько вариантов использования соответствующих функций.

    • Для одной политики, в которой задана отправка нескольких экземпляров push-уведомлений в один день, в этот день отправляется только одно уведомление.

    • Если несколько политик соответствия имеют одинаковые условия соответствия и содержат действие push-уведомления с тем же расписанием, в один и тот же день Intune отправляет на одно устройство несколько уведомлений.

Примечание.

Следующие действия по несоответствию не поддерживаются для устройств, управляемых партнером по управлению соответствием требованиям устройств:

  • Отправка сообщения электронной почты конечному пользователю
  • Удаленная блокировка устройства, не соответствующего требованиям
  • Добавление устройства в список списания
  • Отправка push-уведомления конечному пользователю

Прежде чем начать

Вы можете добавить действия при несоответствии при настройке политики соответствия устройств или позже, изменив политику. Если необходимо, в каждую политику можно добавить дополнительные действия. Помните, что каждая политика соответствия требованиям автоматически включает действие по умолчанию для несоответствия, которое помечает устройства как несоответствующие с расписанием, равным нулю дней.

Чтобы использовать политики соответствия устройств для блокировки устройств из корпоративных ресурсов, необходимо настроить условный доступ Microsoft Entra. Рекомендации см. в статье Условный доступ в Microsoft Entra ID или распространенных способах использования условного доступа с Intune.

Чтобы создать политику соответствия устройств, см. следующие руководства для конкретных платформ:

Создание шаблона уведомлений

Чтобы отправлять сообщения электронной почты пользователям, создайте шаблон уведомления и свяжите его с политикой соответствия как действие в случае несоблюдения требований. Тогда, если устройство не соответствует требованиям, сведения, введенные в шаблоне, будут отображаться в сообщении электронной почты, отправляемом пользователям.

Шаблон сообщения уведомления может содержать несколько сообщений, каждое из которых относится к разному языковому стандарту. Если вы зададите несколько сообщений и языковых стандартов, пользователи, не соответствующие требованиям, получат по электронной почте локализованное сообщение с уведомлением на языке, выбранном в качестве предпочитаемого в Office 365.

Добавьте переменные в сообщение, чтобы создать персонализированное сообщение электронной почты с динамическим содержимым. В следующей таблице описаны переменные, которые можно использовать в строке темы и тексте сообщения.

Имя переменной Маркер для использования Описание
Имя пользователя {{UserName}} Добавьте имя основного пользователя для устройства, не соответствующего требованиям.
Пример: John Doe
Имя устройства {{DeviceName}} Добавьте имя несоответствующего устройства, записанного в Microsoft Intune.
Пример: John's iPad
Код устройства {{DeviceId}} Добавьте Intune идентификатор устройства, принадлежащий несоответствующее устройству.
Пример: 12ab345c-6789-def0-1234-000000000000
Версия ОС устройства {{OSAndVersion}} Добавьте операционную систему и версию несоответствующего устройства.
Пример: Android 12

Создание шаблона

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Выберите Безопасность конечной точки>Соответствие устройства>Уведомления>Создать уведомление.

  3. На странице Основные сведения присвойте шаблону понятное имя, чтобы его можно было определить. Нажмите кнопку Далее.

  4. На странице Параметры верхнего и нижнего колонтитулов добавьте сведения о компании и логотип.

    Снимок экрана: пример страницы параметров верхнего и нижнего колонтитулов для уведомления в Intune.

    Доступны следующие параметры:

    • Email заголовке — Показать логотип компании (по умолчанию = Включить) — отправьте логотип, чтобы добавить фирменную символику вашей организации в шаблоны электронной почты. Дополнительные сведения о фирменной символике корпоративного портала см. в разделе Настройка фирменной символики организации.
    • Email нижний колонтитул — показать название компании (по умолчанию = Включить). Включите этот параметр, чтобы отобразить название вашей компании в сообщении электронной почты. Сведения о названии компании см. в разделе Значение клиента .
    • Email нижнем колонтитуле — показать контактные данные (по умолчанию = Включить). Включите этот параметр, чтобы в сообщении отображались контактные данные вашей организации, такие как имя, номер телефона и адрес электронной почты. См . раздел Значение клиента , чтобы просмотреть контактные данные в записи.
    • Email нижний колонтитул — показать ссылку на веб-сайт корпоративного портала (по умолчанию — отключить) — включите этот параметр, чтобы включить ссылку на веб-сайт Корпоративный портал в сообщение электронной почты. См . раздел Значение клиента , чтобы просмотреть ссылку на веб-сайт, отображаемую для пользователей.

    Нажмите кнопку Далее, чтобы продолжить.

  5. На странице Шаблоны уведомлений настройте одно или несколько сообщений. Для каждого сообщения укажите перечисленные ниже значения.

    • Языковой стандарт. Выберите язык, соответствующий языковому стандарту пользователя устройства.
    • Тема. Добавьте строку темы для сообщения электронной почты. Можно ввести до 78 символов.
    • Необработанный редактор HTML. Включите редактор HTML, чтобы получить предложения при добавлении форматирования HTML и ссылок на сообщение. Атрибут можно использовать для href добавления ссылки (должен быть URL-адресОМ HTTPS). Поддерживаемые теги HTML: <a>, <strong>, , <u><b>, <ol>, <ul>, <li>, <p>, <br>, <code>, <table>, , <tbody>, , <tr>, <td>, , <thead>. <th> Вы не обязаны использовать редактор HTML и можете добавить поддерживаемый HTML-код, не включив редактор.
    • Сообщение. Создайте сообщение, объясняющее причину несоответствия. Можно ввести до 2000 символов.

    Чтобы создать шаблон с динамическим содержимым, вставьте маркер поддерживаемой переменной в строку темы или сообщение. Список поддерживаемых переменных см. в таблице в разделе Создание шаблона сообщения уведомления в этой статье.

    Важно!

    Обязательно используйте в тексте сообщения только поддерживаемые Intune теги и атрибуты HTML. Intune будут отправлять сообщения, содержащие другие типы тегов, элементов или стилей в виде обычного текста, а не в формате HTML. Сюда входят сообщения, содержащие:

    • CSS
    • Теги и атрибуты, не перечисленные в этой статье

    Примечание.

    Intune преобразует новые символы строки в стиле Windows в <br> HTML-теги, но игнорирует все другие типы новых символов строки, включая символы для macOS и Linux. Чтобы обеспечить правильную отрисовку разрывов строк в шаблонах, рекомендуется использовать <br> тег для указания конца строки.

  6. Установите флажок Значение по умолчанию для одного из сообщений. Intune отправляет сообщение по умолчанию пользователям, которые не настроили предпочитаемый язык, или если шаблон не содержит определенное сообщение для их языкового стандарта. Сообщением по умолчанию можно назначить только одно сообщение. Чтобы удалить сообщение, нажмите кнопку с многоточием (...), а затем щелкните Удалить.

    Нажмите кнопку Далее, чтобы продолжить.

  7. На странице Теги области выберите теги, чтобы ограничить видимость и управление этим сообщением определенными Intune группами администраторов, например US-NC IT Team или JohnGlenn_ITDepartment. Дополнительные сведения о тегах области см. в разделе Использование RBAC и тегов области для распределенных ИТ-групп.

    Нажмите кнопку Далее, чтобы продолжить.

  8. На странице Проверка и создание проверьте конфигурации, чтобы убедиться, что шаблон уведомления готов к использованию. Чтобы завершить создание уведомления, выберите Создать.

Просмотр и изменение уведомлений

Созданные уведомления доступны на странице Политики соответствия>Уведомления. На странице можно просмотреть конфигурацию выбранного уведомления и:

  • Выбрать Отправить предварительную версию электронного письма, чтобы отправить предварительную версию уведомления по электронной почте в учетную запись, которую вы использовали для входа в Intune.

    Для успешной отправки предварительного сообщения электронной почты ваша учетная запись должна иметь разрешения, равные разрешениям следующих Microsoft Entra групп или ролей Intune: Microsoft Entra глобальный администратор, администратор Intune (Intune Microsoft Entra Intune администратор службы) или диспетчер политик и профилей Intune.

  • Выбрать Правка для параметра Основные или Теги области, чтобы внести изменения.

Примечание.

Предварительная версия сообщения электронной почты не содержит переменные устройства, указанные в шаблоне уведомления.

Добавить действия при несоответствии

Когда вы создаете политику соответствия устройств, Intune автоматически создает действие при несоответствии. Если устройство не соответствует вашей политике соответствия, это действие помечает устройство как не соответствующее. Вы можете настроить, как долго устройство будет иметь эту метку. Это действие нельзя удалить.

Можно добавить необязательные действия при создании политики соответствия требованиям или изменении существующей политики.

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Перейдите в раздел Соответствие устройств>.

  3. Выберите политику, а затем выберите Свойства.

    У вас еще нет политики? Создайте политику для Android, iOS, Windows или другой платформы.

    Примечание.

    Устройства, управляемые сторонними партнерами по соответствию устройств, которые добавляются в группы устройств, в настоящее время не могут получать действия по обеспечению соответствия.

  4. Выберите Действия для изменения несоответствия>.

  5. Выберите действие.

    • Отправить электронное сообщение пользователям. Выберите отправку пользователям сообщения электронной почты, когда устройство не соответствует. Кроме того:

      • Выберите шаблон сообщения, созданный ранее
      • Введите любых дополнительных получателей, выбрав группы.

    • Удаленно блокировать несоответствующее устройство. Если устройство не соответствует требованиям, оно блокируется. Для разблокирования устройства пользователь должен будет ввести ПИН-код или секретный код.

    • Добавление устройства в список списания. Если устройство не соответствует требованиям, удалите все данные компании с устройства и удалите устройство из управления Intune.

    • Отправить push-уведомление пользователю. Настройте это действие, чтобы отправлять на устройство push-уведомление о несоответствии, используя приложение корпоративного портала или Intune на устройстве.

  6. Настройте расписание. Введите количество дней (от 0 до 365) после обнаружения несоответствия для запуска действия на устройствах пользователей. По истечении этого льготного периода можно принудительно применить политику условного доступа. Если для количества дней ввести 0 (нуль), то условный доступ будет вступать в силу немедленно. Например, если устройство не соответствует требованиям, используйте условный доступ, чтобы немедленно заблокировать доступ к электронной почте, SharePoint и другим ресурсам организации.

    При создании политики соответствия требованиям автоматически создается действие Отметить устройство как несоответствующее политике и устанавливается значение 0 дней (немедленно). Если устройство обращается к Intune и оценивает политику, но не соответствует ей, с таким действием Intune немедленно помечает такое устройство как несоответствующее требованиям. Если клиент снова выполняет обращение после устранении проблемы, вызвавшей несоответствие, его состояние будет изменено на состояние соответствия. Если вы используете условный доступ, такие политики также применяются сразу же после того, как устройство было помечено несоответствующим. Чтобы задать период отсрочки, который позволит устранить условие несоответствия до того, как устройство будет помечено несоответствующим, измените параметр Расписание в действии Пометить устройство несоответствующим.

    Допустим, в политике соответствия требованиям вы также хотите уведомлять пользователя. Вы можете добавить действие Отправить сообщение электронной почты пользователю. Для действия Отправить сообщение по электронной почте задайте для параметра Расписание значение 2 дня. Если на устройство или пользователь по-прежнему оцениваются как несоответствующие политике, сообщение электронной почты будет отправлено на 2-й день. Если вы хотите снова отправить пользователю сообщение электронной почты на 5-й день после обнаружения несоответствия, добавьте еще одно действие и задайте для параметра Расписание значение 5 дней.

    Дополнительные сведения о соответствии требованиям и встроенных действиях см. в статье с общими сведениями о соответствии.

  7. Когда закончите, нажмите Добавить>OK, чтобы сохранить изменения.

Дальнейшие действия

Мониторинг политик.