Использование политик соответствия, позволяющих установить правила для устройств, управляемых с помощью Intune

Решения в управлении мобильными устройствами (MDM), такие как Intune, помогают защитить данные организации, запрашивая пользователей и устройства в соответствии с некоторыми требованиями. В Intune эта функция называется политики соответствия.

Политики соответствия в Intune.

  • Определяют правила и параметры, которым должны отвечать пользователи и устройства, чтобы считаться соответствующими.
  • Включают действия, применяемые к устройствам, которые считаются несоответствующими. Действия при несоответствии могут оповещать пользователей об условиях несоответствия и защите данных на несоответствующих устройствах.
  • Могут сочетаться с условным доступом, который может блокировать пользователей и устройства, не соответствующих правилам.

В Intune есть две части политик соответствия:

  • Параметры политики соответствия — параметры на уровне клиента, которые аналогичны встроенной политике соответствия, получаемой каждым устройством. Параметры политики соответствия определяют базовый уровень работы политики соответствия в среде Intune, включая сведения о том, являются ли устройства, которые не получили никаких политик соответствия устройств, соответствующими или несоответствующими.

  • Политика соответствия устройств — правила для конкретной платформы, которые настраиваются и развертываются в группах пользователей или устройств. Эти правила определяют требования к устройствам, например к минимальным операционным системам или использованию шифрования дисков. Устройства должны соответствовать этим правилам, чтобы считаться соответствующими.

Как и другие политики Intune, оценки политики соответствия устройства зависят от того, когда оно выполняет проверки в Intune, а также от циклов обновления политики и профиля.

Параметры политики соответствия требованиям

Параметры политики соответствия являются параметрами на уровне клиента, которые определяют, как служба соответствия Intune взаимодействует с вашими устройствами. Эти параметры отличаются от параметров, настраиваемых в политике соответствия устройств.

Чтобы управлять параметрами политики соответствия, войдите в Центр администрирования Microsoft Endpoint Manager и перейдите в Безопасность конечной точки > Соответствие устройств > Параметры политики соответствия.

Параметры политики соответствия включают следующие параметры.

  • Отметка устройств без назначенной политики соответствия.

    Этот параметр определяет, как Intune обрабатывает устройства, которым не назначена политика соответствия устройств. У этого параметра два значения:

    • Совместимое (по умолчанию): эта функция безопасности отключена. Устройства, которым не отправляется политика соответствия требованиям, считаются соответствующими.
    • Не соответствует требованиям: эта функция безопасности включена. Устройства, которые не получили политику соответствия требованиям, считаются не соответствующими требованиям.

    При использовании условного доступа с политиками соответствия устройств рекомендуется изменить этот параметр на Несоответствующие, чтобы обеспечить доступ к ресурсам только тем устройствам, которые подтверждены как соответствующие требованиям.

    Если пользователь не соответствует требованиям, потому что ему не назначена политика, в приложении корпоративного портала будет отображаться "Политики соответствия не назначены".

  • Улучшенное обнаружение взлома (применяется только к iOS/iPadOS).

    Этот параметр влияет только на устройства, для которых назначена политика соответствия, блокирующая устройства со снятой защитой. (См. параметры Работоспособности устройств для iOS//iPadOS).

    У этого параметра два значения:

    • Отключено (по умолчанию): эта функция безопасности отключена. Этот параметр не действует на устройства, получающие политику соответствия требованиям, которая блокирует взломанные устройства.
    • Включено: эта функция безопасности включена. Устройства, получающие политику соответствия требованиям, которая блокирует взломанные устройства, используют расширенное обнаружение взлома.

    При включении на соответствующем устройстве iOS/iPadOS устройство:

    • активирует службы определения местоположения на уровне операционной системы;
    • всегда разрешает корпоративному порталу использовать службы определения местоположения;
    • использует службы определения местоположения для более частого запуска обнаружения взлома в фоновом режиме. Intune не сохраняет данные о расположении пользователей.

    Улучшенное обнаружение взлома выполняет оценку в следующих случаях:

    • при открытии приложения корпоративного портала;
    • при физическом перемещении устройства на значительное расстояние, приблизительно на 500 метров или более. Intune не гарантирует, что каждое существенное изменение расположения приведет к проверке взлома, поскольку эта проверка зависит от подключения устройства сети в этот момент.

    В iOS 13 и более поздних версиях для использования этой функции пользователи должны выбирать Всегда разрешать каждый раз, когда устройство запрашивает разрешение для Корпоративного портала использовать их расположение в фоновом режиме. Если этот флажок установлен, это позволит выполнять более частые проверки обнаружения взлома.

  • Период действия состояния соответствия требованиям (в днях)

    Укажите период, в котором устройства должны успешно сообщать о всех полученных политиках соответствия. Если устройству не удается сообщить в состоянии соответствия политике до истечения срока действия, оно считается несоответствующим.

    По умолчанию этот период составляет 30 дней. Можно настроить период от 1 до 120 дней.

    Вы можете просмотреть сведения о соответствии устройства параметру периода действия. Войдите в Центр администрирования Microsoft Endpoint Manager и перейдите в Устройства > Мониторинг > Настройка соответствия. Этот параметр называется Активный в столбце Настройка. Дополнительные сведения об этом и связанных с ним представлениях состояния соответствия см. в разделе Мониторинг соответствия устройств.

Политики соответствия требованиям для устройств

Политики соответствия устройств Intune:

  • Определяют правила и параметры, которым должны отвечать пользователи и управляемые устройства, чтобы считаться соответствующими. Примеры правил включают требования для устройств запускать минимальную версию ОС, не со снятой защитой или не имеющую доступа к корню, а также уровня угроз в соответствии с программным обеспечением для управления угрозами, интегрированным с Intune.
  • Поддерживают действия, которые применяются к устройствам, не отвечающим правилам соответствия. Примеры действий включают удаленную блокировку или отправку пользователю сообщения электронной почты о состоянии устройства, чтобы они могли его исправить.
  • Поддерживают развертывание для пользователей в группах пользователей или для устройств в группах устройств. При развертывании политики соответствия для пользователя все его устройства проверяются на соответствие. Группы устройств в таких ситуациях помогают создавать отчеты о соответствии.

При использовании условного доступа политики условного доступа могут использовать результаты соответствия устройств для блокировки доступа к ресурсам с несоответствующих устройств.

Доступные параметры, которые можно указать в политике соответствия устройств, зависят от типа платформы, выбранной при создании политики. Различные платформы устройств поддерживают разные параметры, и для каждого типа платформы требуется отдельная политика.

Следующие темы содержат ссылки на выделенные статьи для различных аспектов политики конфигурации устройств.

  • Действия при несоответствии — каждая политика соответствия устройств включает одно или несколько действий при несоответствии. Эти действия являются правилами, которые применяются к устройствам, не соответствующим условиям, заданным в политике.

    По умолчанию каждая политика соответствия устройств включает действие, которое помечает устройство как несоответствующее, если оно не соответствует правилу политики. Затем политика применяет к устройству любые дополнительные действия при несоответствии, настроенные на основе расписаний, заданных для этих действий.

    Действия при несоответствии могут предупреждать пользователей о том, что их устройство не соответствует требованиям, или защищать данные, которые могут на нем храниться. Ниже приведены примеры действий.

    • Отправка оповещений по электронной почте пользователям и группам с подробными сведениями о несоответствующем устройстве. Вы можете настроить политику для немедленной отправки сообщения с отметкой о несоответствии, а затем снова для периодической отправки до тех пор, пока устройство не станет соответствующим.
    • Удаленная блокировка устройств, которые считались несоответствующими в течение некоторого времени.
    • Прекращение использования устройств после несоответствия в течение определенного времени. Это действие помечает устройство как готовое к прекращению использования. Затем администратор может просмотреть список устройств, помеченных для прекращения использования. Администратор должен выполнить действие явным образом, чтобы прекратить использование одного или нескольких устройств. При прекращении использования устройство удаляется из управления Intune, а с устройства удаляются все данные компании. Дополнительные сведения об этом действии см. в статье Доступные действия для несоответствия.
  • Создание политики — сведения, приведенные в этой статье, позволяют просмотреть предварительные требования, работать с параметрами для настройки правил, указывать действия при несоответствии и назначать политику группам. Кроме того, статья содержит сведения о времени обновления политики.

    Просмотрите параметры соответствия для различных платформ устройств:

Мониторинг состояния соответствия

Intune включает панель мониторинга соответствия устройств, которая используется для мониторинга состояния соответствия устройств, а также для детализации политик и устройств, позволяющей получить дополнительные сведения. Дополнительные сведения о панели мониторинга см. в разделе Мониторинг соответствия устройств.

Интеграция с условным доступом

При использовании условного доступа можно настроить политики условного доступа для использования результатов политик соответствия устройств, чтобы определить, какие устройства могут получать доступ к ресурсам организации. Этот контроль доступа является отдельным дополнением к действиям при несоответствии, включенным в политики соответствия устройств.

При регистрации устройства в Intune оно регистрируется в Azure AD. Состояние соответствия устройств выводится в Azure AD. Если в ваших политиках условного доступа для элементов управления доступом задано значение Требовать, чтобы устройство было отмечено как соответствующее, условный доступ использует это состояние соответствия, чтобы определить, следует ли предоставлять или блокировать доступ к электронной почте и другим ресурсам организации.

Если вы будете использовать состояние соответствия устройств с политиками условного доступа, проверьте способ настройки вашего клиента Отметка устройств без назначенной политики соответствия, которым вы управляете в разделе Параметры политики соответствия.

Дополнительные сведения об использовании условного доступа с политиками соответствия устройств см. в разделе Условный доступ на основе устройств

Дополнительные сведения об условном доступе в документации по Azure AD.

Ссылка на несоответствие требованиям и условный доступ на разных платформах

В приведенной ниже таблице показано, как осуществляется управление несоответствующими параметрами при использовании политики соответствия требованиям вместе с политикой условного доступа.

  • Исправлено: операционная система устройства обеспечивает соответствие. Например, пользователю приходится установить ПИН-код.

  • Карантин: операционная система устройства не обеспечивает соответствие. Например, устройства с Android и Android Enterprise не вынуждают пользователя зашифровывать устройство. Если устройство не соответствует требованиям, выполняются следующие действия:

    • Если к пользователю применяется политика условного доступа, устройство блокируется.
    • Приложение "Корпоративный портал" уведомляет пользователя о проблемах соответствия.

Параметр политики Платформа
Конфигурация ПИН-кода или пароля - Android 4.0 и более поздние версии: карантин
- Samsung Knox Standard 4.0 и более поздние версии: карантин
- Android Enterprise: карантин

- iOS 8.0 и более поздние версии: исправлено
- macOS 10.11 и более поздние версии: исправлено

- Windows 8.1 и более поздние версии: исправлено
Шифрование устройства - Android 4.0 и более поздние версии: карантин
- Samsung Knox Standard 4.0 и более поздние версии: карантин
- Android Enterprise: карантин

- iOS 8.0 и более поздние версии: исправление (путем установки ПИН-кода)
- macOS 10.11 и более поздние версии: карантин

- Windows 8.1 и более поздние версии: карантин
Взломанное устройство или устройство с root-доступом - Android 4.0 и более поздние версии: карантин (не параметр)
- Samsung Knox Standard 4.0 и более поздние версии: карантин (не параметр)
- Android Enterprise: карантин (не параметр)

- iOS 8.0 и более поздние версии: карантин (не параметр)
- macOS 10.11 и более поздние версии: неприменимо

- Windows 8.1 и более поздние версии: неприменимо
Профиль электронной почты - Android 4.0 и более поздние версии: неприменимо
- Samsung Knox Standard 4.0 и более поздние версии: неприменимо
- Android Enterprise: неприменимо

- iOS 8.0 и более поздние версии: карантин
- macOS 10.11 и более поздние версии: карантин

- Windows 8.1 и более поздние версии: неприменимо
Минимальная версия ОС - Android 4.0 и более поздние версии: карантин
- Samsung Knox Standard 4.0 и более поздние версии: карантин
- Android Enterprise: карантин

- iOS 8.0 и более поздние версии: карантин
- macOS 10.11 и более поздние версии: карантин

- Windows 8.1 и более поздние версии: карантин
Максимальная версия ОС - Android 4.0 и более поздние версии: карантин
- Samsung Knox Standard 4.0 и более поздние версии: карантин
- Android Enterprise: карантин

- iOS 8.0 и более поздние версии: карантин
- macOS 10.11 и более поздние версии: карантин

- Windows 8.1 и более поздние версии: карантин
Аттестация работоспособности Windows - Android 4.0 и более поздние версии: неприменимо
- Samsung Knox Standard 4.0 и более поздние версии: неприменимо
- Android Enterprise: неприменимо

- iOS 8.0 и более поздние версии: неприменимо
- macOS 10.11 и более поздние версии: неприменимо

- Windows 10/11: карантин
- Windows 8.1 и более поздние версии: карантин

Дальнейшие действия