Konfigurera åtgärder för inkompatibla enheter i Intune

Som en del av en efterlevnadsprincip som skyddar organisationens resurser från enheter som inte uppfyller dina säkerhetskrav omfattar efterlevnadsprinciper även åtgärder för inkompatibilitet. Åtgärder för inkompatibilitet är en eller flera tidsbeställda åtgärder som vidtas av en princip för att skydda enheter och din organisation. Till exempel kan en åtgärd för inkompatibilitet fjärrlåsa en enhet för att säkerställa att den är skyddad, eller skicka ett meddelande till enheter eller användare för att hjälpa dem att förstå och lösa den inkompatibla statusen.

Översikt

Som standard innehåller varje efterlevnadsprincip åtgärden för inkompatibilitet av Markera enheten som inkompatibel med ett schema på noll dagar (0). Resultatet av den här standardinställningen är när Intune upptäcker att en enhet inte är kompatibel, Intune omedelbart markerar enheten som inkompatibel. När en enhet har markerats som inkompatibilitet kan Azure Active Directory (AD) villkorlig åtkomst blockera enheten.

Genom att konfigurera Åtgärder för inkompatibilitet får du flexibilitet att bestämma vad du ska göra med inkompatibla enheter och när du ska göra det. Du kan till exempel välja att inte blockera enheten omedelbart och ge användaren en respitperiod för att bli kompatibel.

För varje åtgärd du anger kan du konfigurera ett schema som avgör när åtgärden börjar gälla. Schemat är ett antal dagar efter att enheten har markerats som inkompatibel. Du kan också konfigurera flera instanser av en åtgärd. När du anger flera instanser av en åtgärd i en princip körs åtgärden igen vid den senare schemalagda tidpunkten om enheten förblir icke-kompatibel.

Alla åtgärder är inte tillgängliga för alla plattformar.

Anteckning

Microsoft Endpoint Manager administrationscenter visar schemat (dagar efter inkompatibilitet) i dagar. Det går dock att ange ett mer detaljerat intervall (timmar), med decimaltal som 0,25 (6 timmar), 0,5 (12 timmar), 1,5 (36 timmar) och så vidare. Även om andra värden är möjliga kan de bara konfigureras med Hjälp av Microsoft Graph och inte via administrationscentret. Försök att använda andra värden i administrationscentret, till exempel 0,33 (8 timmar) resulterar i ett fel när du försöker spara principen.

Tillgängliga åtgärder för inkompatibilitet

Följande är de tillgängliga åtgärderna för inkompatibilitet:

  • Markera enheten som icke-kompatibel: Som standard anges den här åtgärden för varje efterlevnadsprincip och har ett schema på noll (0) dagar, vilket markerar enheter som inkompatibla omedelbart.

    När du ändrar standardschemat anger du en respitperiod där en användare kan åtgärda problem eller bli kompatibel utan att markeras som icke-kompatibel.

    Den här åtgärden stöds på alla plattformar som stöds av Intune.

  • Skicka e-post till slutanvändare: Den här åtgärden skickar ett e-postmeddelande till användaren. När du aktiverar den här åtgärden:

    • Välj en meddelandemall som den här åtgärden skickar. Du skapar en mall för aviseringsmeddelanden innan du kan tilldela en till den här åtgärden. När du skapar det anpassade meddelandet anpassar du meddelandets nationella inställningar, ämne, meddelandetext och kan innehålla företagets logotyp, företagsnamn och annan kontaktinformation.
    • Välj att skicka meddelandet till fler mottagare genom att välja en eller flera av dina Azure AD grupper.

    Intune använder den e-postadress som definierats i slutanvändarens profil och inte användarens huvudnamn (UPN). Om det inte finns någon definierad e-postadress som definierats i användarens profil skickar Intune inget e-postmeddelande. När e-postmeddelandet skickas innehåller Intune information om den inkompatibla enheten i e-postmeddelandet.

    Den här åtgärden stöds på alla plattformar som stöds av Intune.

    Anteckning

    I det kommersiella molnet skickas e-postmeddelanden från: IntuneNotificationService@microsoft.com

    I myndighetsmoln skickas e-postmeddelanden från: microsoft-noreply@microsoft.com

    Se till att du inte har några postlådeprinciper som förhindrar leverans av e-postmeddelanden från dessa adresser, annars kanske slutanvändarna inte får e-postmeddelandet.

  • Fjärrlåsa den inkompatibla enheten: Använd den här åtgärden för att utfärda ett fjärrlås för en enhet. Användaren uppmanas sedan att ange en PIN-kod eller ett lösenord för att låsa upp enheten. Mer information om fjärrlåsningsfunktionen .

    Följande plattformar stöder den här åtgärden:

    • Android-enhetsadministratör
    • Android (AOSP) (förhandsversion)
    • Android Enterprise:
      • Fullständigt hanterad
      • Dedikerad
      • Corporate-Owned arbetsprofil
      • Personally-Owned arbetsprofil
      • Android Enterprise-kioskenheter
    • iOS/iPadOS
    • macOS
  • Dra tillbaka den inkompatibla enheten: Den här åtgärden tar bort alla företagsdata från enheten och tar bort enheten från Intune hantering.

    Följande plattformar stöder den här åtgärden:

    • Android-enhetsadministratör
    • Android (AOSP) (förhandsversion)
    • Android Enterprise:
      • Fullständigt hanterad
      • Dedikerad
      • Corporate-Owned arbetsprofil
      • Personally-Owned arbetsprofil
    • iOS/iPadOS
    • macOS
    • Windows 10/11

    När den här åtgärden gäller för en enhet läggs enheten till i en lista över enheter i administratörskonsolen på EnheterEfterlevnadsprinciperRetire > > Icke-kompatibla enheter. Enheten dras inte tillbaka förrän en administratör vidtar explicita åtgärder för att dra tillbaka enheten.

    Anteckning

    Endast enheter som åtgärden Dra tillbaka den inkompatibla enheten har utlösts till visas i vyn Dra tillbaka valda enheter . En lista över alla enheter som inte är kompatibla finns i rapporten Om inkompatibla enheter som nämns i Övervaka enhetsefterlevnadsprincip.

    Om du vill dra tillbaka en eller flera enheter från listan väljer du enheter som ska dras tillbaka och väljer sedan Dra tillbaka valda enheter. När du väljer en åtgärd som drar tillbaka enheter visas sedan en dialogruta för att bekräfta åtgärden. Det är först efter att ha bekräftat avsikten att dra tillbaka enheterna som de rensas från företagsdata och tas bort från Intune hantering.

    Andra alternativ är Dra tillbaka alla enheter, Rensa alla enheters tillbakadragna tillstånd och Rensa valda enheters tillbakadragna tillstånd. Om du rensar tillbakadragstillståndet för en enhet tas enheten bort från listan över enheter som kan dras tillbaka tills åtgärden för att dra tillbaka den inkompatibla enheten tillämpas på enheten igen.

    Läs mer om att dra tillbaka enheter.

  • Skicka push-meddelanden till slutanvändaren: Konfigurera den här åtgärden för att skicka ett push-meddelande om inkompatibilitet till en enhet via Företagsportal-appen eller Intune App på enheten.

    Följande plattformar stöder den här åtgärden:

    • Android-enhetsadministratör
    • Android Enterprise:
      • Fullständigt hanterad
      • Dedikerad
      • Corporate-Owned arbetsprofil
      • Personally-Owned arbetsprofil
    • iOS/iPadOS

    Push-meddelandet skickas första gången en enhet checkar in med Intune och anses vara icke-kompatibel med efterlevnadsprincipen. När en användare väljer meddelandet öppnas Företagsportal-appen eller Intune-appen och visar information om varför de inte är kompatibla. Användaren kan sedan vidta åtgärder för att lösa problemet. Meddelandeinformationen om inkompatibilitet genereras av Intune och kan inte anpassas.

    Viktigt

    Intune, Företagsportal-appen och den Microsoft Intune appen kan inte garantera leverans av ett push-meddelande. Meddelanden kan visas efter flera timmars fördröjning, om alls. Detta inkluderar när användare har inaktiverat push-meddelanden.

    Förlita dig inte på den här meddelandemetoden för brådskande meddelanden.

    Varje instans av åtgärden skickar ett meddelande en gång. Om du vill skicka samma meddelande igen från en princip konfigurerar du fler instanser av åtgärden i den principen, var och en med ett annat schema.

    Du kan till exempel schemalägga den första åtgärden i noll dagar och sedan lägga till en andra instans av åtgärden inställd på tre dagar. Den här fördröjningen före det andra meddelandet ger användaren några dagar på sig att lösa problemet och undvika det andra meddelandet.

    Om du vill undvika att skicka skräppost till användare med för många dubblettmeddelanden granskar och effektiviserar du vilka efterlevnadsprinciper som innehåller ett push-meddelande om inkompatibilitet och granskar schemana för att undvika upprepade meddelanden för samma för ofta.

    Överväga:

    • För en enda princip som innehåller flera instanser av en push-meddelandeuppsättning för samma dag skickas endast ett enda meddelande för den dagen.

    • När flera efterlevnadsprinciper innehåller samma efterlevnadsvillkor och inkluderar push-meddelandeåtgärden med samma schema, skickar Intune flera meddelanden till samma enhet samma dag.

Anteckning

Följande åtgärder för inkompatibilitet stöds inte för enheter som hanteras av en partner för hantering av enhetsefterlevnad:

  • Skicka push-meddelanden till slutanvändaren
  • Fjärrlåsa den inkompatibla enheten
  • Dra tillbaka den inkompatibla enheten
  • Skicka push-meddelanden till slutanvändaren

Innan du börjar

Du kan lägga till åtgärder för inkompatibilitet när du konfigurerar en enhetsefterlevnadsprincip eller senare genom att redigera principen. Du kan lägga till extra åtgärder i varje princip för att uppfylla dina behov. Tänk på att varje efterlevnadsprincip automatiskt innehåller standardåtgärden för inkompatibilitet som markerar enheter som inkompatibla, med ett schema inställt på noll dagar.

Om du vill använda principer för enhetsefterlevnad för att blockera enheter från företagsresurser måste Azure AD villkorlig åtkomst konfigureras. Mer information finns i Villkorlig åtkomst på Azure Active Directory eller vanliga sätt att använda villkorlig åtkomst med Intune.

Information om hur du skapar en enhetsefterlevnadsprincip finns i följande plattformsspecifika vägledning:

Skapa en meddelandemall

Om du vill skicka e-post till användarna skapar du en meddelandemall och associerar den med din efterlevnadsprincip som en åtgärd för inkompatibilitet. När en enhet sedan är inkompatibel visas informationen som du anger i mallen i e-postmeddelandet som skickas till användarna.

En mall för aviseringsmeddelanden kan innehålla flera meddelanden som var och en har angetts för olika nationella inställningar. En lokal måste anges som standard.

När du anger flera meddelanden och nationella inställningar får icke-kompatibla slutanvändare lämpligt lokaliserat meddelande baserat på deras önskade O365-språk. Intune skickar standardmeddelandet till användare som inte har angett något önskat språk eller när mallen inte innehåller något specifikt meddelande för deras nationella inställningar.

Så här skapar du mallen

  1. Logga in till administrationscentret för Microsoft Endpoint Manager.

  2. Välj SlutpunktssäkerhetEnhetsefterlevnadMeddelandenSkapa > > > meddelande.

  3. Konfigurera följande inställningar på sidan Grundläggande:

    • Namn – Ge mallen ett eget namn som hjälper dig att identifiera den.
    • E-posthuvud – Inkludera företagslogotyp (standard = Aktivera) – Logotypen som du laddar upp som en del av Företagsportal varumärkesanpassning används för e-postmallar. Mer information om Företagsportal varumärkesanpassning finns i Anpassning av företagsidentitetsanpassning.
    • E-postsidfot – Inkludera företagsnamn (standard = Aktivera)
    • E-postsidfot – Inkludera kontaktinformation (standard = Aktivera)
    • Företagsportal Webbplatslänk (standard = Inaktivera) – När det är inställt på Aktivera innehåller e-postmeddelandet en länk till Företagsportal webbplats.

    Exempel på sidan Grundläggande för ett meddelande i Intune

    Gå vidare genom att klicka på Nästa.

  4. På sidan Meddelandemallar konfigurerar du ett eller flera meddelanden. Ange följande information för varje meddelande:

    • Locale
    • Ämne
    • Meddelandetext

    Anteckning

    Det maximala antalet tecken för ämne är 78 och det maximala antalet tecken för meddelandetexten är 2 000.

    Innan du fortsätter måste du markera kryssrutan för Är standard för ett av meddelandena. Endast ett meddelande kan anges som standard. Om du vill ta bort ett meddelande väljer du ellipsen (...) och sedan Ta bort.

    Exempel på temmplate-sidan Meddelandemeddelande i Intune

    Gå vidare genom att klicka på Nästa.

  5. Under Granska + skapa granskar du konfigurationerna för att se till att meddelandemallen är redo att användas. Välj Skapa för att slutföra skapandet av meddelandet.

Visa och redigera meddelanden

Meddelanden som har skapats är tillgängliga på sidan EfterlevnadsprinciperMeddelanden > . På sidan kan du välja ett meddelande för att visa dess konfiguration och:

  • Välj Skicka förhandsgranskningsmeddelande för att skicka en förhandsgranskning av e-postmeddelandet till det konto som du använde för att logga in på Intune.

    Om du vill skicka förhandsversionen av e-postmeddelandet måste ditt konto ha behörigheter som är lika med följande Azure AD grupper eller Intune roller: Azure AD global administratör, Intune administratör (Intune Azure AD Intune tjänstadministratör) eller Intune princip och profilhanterare.

  • Välj Redigera för grundläggande taggar eller omfångstaggar för att göra en ändring.

Lägg till åtgärder vid inkompatibilitet

När du skapar en enhetsefterlevnadsprincip skapar Intune automatiskt en åtgärd för inkompatibilitet. Om en enhet inte uppfyller din efterlevnadsprincip markerar den här åtgärden enheten som inkompatibel. Du kan anpassa hur länge enheten är markerad som inkompatibel. Det går inte att ta bort den här åtgärden.

Du kan lägga till valfria åtgärder när du skapar en efterlevnadsprincip eller uppdaterar en befintlig princip.

  1. Logga in till administrationscentret för Microsoft Endpoint Manager.

  2. Välj EnheterEfterlevnadsprinciperPrinciper > > , välj en av dina principer och välj sedan Egenskaper.

    Har du ingen princip än? Skapa en Android-, iOS-, Windows- eller annan plattformsprincip.

    Anteckning

    Enheter som hanteras av partner för enhetsefterlevnad från tredje part som är mål för enhetsgrupper kan för närvarande inte ta emot efterlevnadsåtgärder.

  3. Välj Åtgärder för inkompatibilitetLägg till > .

  4. Välj din åtgärd:

    • Skicka e-post till slutanvändare: När enheten inte är kompatibel väljer du att skicka e-post till användaren. Också:

      • Välj den meddelandemall som du skapade tidigare
      • Ange eventuella ytterligare mottagare genom att välja grupper
    • Fjärrlåsa den inkompatibla enheten: När enheten inte är kompatibel låser du enheten. Den här åtgärden tvingar användaren att ange en PIN-kod eller ett lösenord för att låsa upp enheten.

    • Dra tillbaka den inkompatibla enheten: När enheten inte är kompatibel tar du bort alla företagsdata från enheten och tar bort enheten från Intune hantering.

    • Skicka push-meddelanden till slutanvändaren: Konfigurera den här åtgärden för att skicka ett push-meddelande om inkompatibilitet till en enhet via Företagsportal-appen eller Intune App på enheten.

  5. Konfigurera ett schema: Ange antalet dagar (0 till 365) efter inkompatibilitet för att utlösa åtgärden på användarnas enheter. Efter den här respitperioden kan du framtvinga en princip för villkorlig åtkomst . Om du anger 0 (noll) antal dagar börjar villkorsstyrd åtkomst gälla omedelbart. Om en enhet till exempel är inkompatibel använder du villkorlig åtkomst för att blockera åtkomst till e-post, SharePoint och andra organisationsresurser omedelbart.

    När du skapar en efterlevnadsprincip skapas automatiskt åtgärden Markera enheten som inkompatibel och anges automatiskt till 0 dagar (omedelbart). Med den här åtgärden, när enheten checkar in med Intune och utvärderar principen, om den inte är kompatibel med den principen Intune omedelbart markerar enheten som inkompatibel. Om klienten checkar in vid ett senare tillfälle efter att ha åtgärdat de problem som leder till inkompatibilitet uppdateras dess status till dess nya efterlevnadsstatus. Om du använder villkorsstyrd åtkomst gäller dessa principer även så snart en enhet har markerats som inkompatibel. Om du vill ange en respitperiod så att ett villkor för inkompatibilitet kan åtgärdas innan enheten markeras som inkompatibel ändrar du schemat för åtgärden Markera enheten som inkompatibel .

    I din efterlevnadsprincip vill du till exempel även meddela användaren. Du kan lägga till åtgärden Skicka e-post till slutanvändaren . I den här åtgärden Skicka e-post ställer du in Schema på två dagar. Om enheten eller slutanvändaren fortfarande utvärderas som icke-kompatibel dag två skickas din e-post dag två. Om du vill skicka e-post till användaren igen på dag fem av inkompatibiliteten lägger du till en annan åtgärd och anger Schema till fem dagar.

    Mer information om efterlevnad och de inbyggda åtgärderna finns i efterlevnadsöversikten.

  6. När du är klar väljer du Lägg tillOK > för att spara ändringarna.

Nästa steg

Övervaka dina principer.