Konfigurera åtgärder för icke-inkompatibla enheter i Intune

  • Artikel
  • 10 minuter för att läsa

För enheter som inte uppfyller dina principer eller regler för efterlevnad kan du lägga till åtgärder för inkompatibilitet. Den här funktionen konfigurerar en tidssorterad sekvens med åtgärder, till exempel att skicka e-post till slutanvändaren och mer.

Översikt

Som standard innehåller varje efterlevnadsprincip åtgärden för inkompatibilitet, Markera enheten som inkompatibel, med ett schema på noll dagar (0). När Intune identifierar en enhet som inte är kompatibel gör standardinställningen att Intune omedelbart markerar enheten som inkompatibel. När en enhet märkts som inkompatibel kan den blockeras med villkorsstyrd åtkomst i Azure Active Directory (AD).

Genom att konfigurera Åtgärder för inkompatibilitet får du flexibiliteten att bestämma vad du ska göra med inkompatibla enheter, och när du ska göra det. Du kan t.ex. bestämma dig för att inte blockera enheten omedelbart, och sedan ge användaren en respitperiod att åtgärda problemet.

För varje åtgärd du anger kan du konfigurera ett schema som avgör när åtgärden börjar gälla. Schemat är ett antal dagar efter att enheten markerats som inkompatibel. Du kan också konfigurera flera instanser av en åtgärd. När du ställer in flera instanser av en åtgärd i en princip körs åtgärden igen vid den senare schemalagda tiden om enheten inte är kompatibel.

Alla åtgärder är inte tillgängliga för alla plattformar.

Tillgängliga åtgärder för inkompatibilitet

Följande är tillgängliga åtgärder för inkompatibilitet:

  • Markera enhet som inkompatibel: Som standard anges den här åtgärden för varje efterlevnadsprincip och har ett schema på noll (0) dagar, vilket markerar enheter som inkompatibla direkt.

    När du ändrar standardschemat anger du en respitperiod där en användare kan åtgärda problem eller bli kompatibel utan att markeras som icke-kompatibel.

    Den här åtgärden stöds på alla plattformar som stöds av Intune.

  • Skicka e-post till slutanvändare: Den här åtgärden skickar ett e-postmeddelande till användaren. När du aktiverar den här åtgärden:

    • Välj en Mall för aviseringsmeddelande som den här åtgärden skickar. Du måste Skapa en mall för aviseringsmeddelande innan du kan tilldela en till den här åtgärden. När du skapar det anpassade meddelandet anpassar du meddelandets språk, ämne, brödtext och kan innehålla företagets logotyp, företagsnamn och ytterligare kontaktinformation.
    • Välj att skicka meddelandet till ytterligare mottagare genom att välja en eller flera av dina Azure AD-grupper.

    Intune använder den e-postadress som definierats i slutanvändarens profil och inte användarens huvudnamn (UPN). Om det inte finns någon definierad e-postadress definierad i användarens profil skickar Intune inte något e-postmeddelande. När e-postmeddelandet skickas lägger Intune till information om den inkompatibla enheten i e-postmeddelandet.

    Den här åtgärden stöds på alla plattformar som stöds av Intune.

  • Fjärrlåsa en icke-kompatibel enhet: Använd den här åtgärden för att utfärda ett fjärrlås för en enhet. Användaren uppmanas i så fall att ange en PIN-kod eller ett lösenord för att låsa upp enheten. Mer om funktionen Fjärrlåsning.

    Följande plattformar stöder den här åtgärden:

    • Android-enhetsadministratör
    • Android Enterprise:
      • Fullständigt hanterad
      • Dedikerad
      • Företagsägd arbetsprofil
      • Personligt ägd arbetsprofil
      • Android Enterprise-kioskenheter
    • iOS/iPadOS
    • macOS

  • Ta den icke-kompatibla enheten ur bruk: Den här åtgärden tar bort alla företagets data från enheten och tar bort enheten från Intune-hanteringen.

    Följande plattformar stöder den här åtgärden:

    • Android-enhetsadministratör
    • Android Enterprise:
      • Fullständigt hanterad
      • Dedikerad
      • Företagsägd arbetsprofil
      • Personligt ägd arbetsprofil
    • iOS/iPadOS
    • macOS
    • Windows 10

    När den här åtgärden tillämpas på en enhet läggs enheten till i listan med enheter i administratörskonsolen vid Enheter > Efterlevnadsprinciper > Dra tillbaka icke-kompatibla enheter. Enheten dras inte tillbaka förrän en administratör uttryckligen drar tillbaka enheten.

    Om du vill dra tillbaka en eller flera enheter från listan markerar du dem och väljer Ta valda enheter ur bruk. Du kan också välja alternativ för att Ta alla enheter ur bruk, Rensa alla enheter som ska tas ur bruk och Rensa valda enheter som ska tas ur bruk. Om du rensar tillbakadragningen av en enhet tas enheten bort från listan med enheter som kan dras tillbaka tills du utför åtgärden Ta icke-kompatibel enhet ur bruk på enheten igen.

    Läs mer om att ta bort enheter.

  • Skicka push-meddelande till slutanvändare: Konfigurera den här åtgärden för att skicka ett push-meddelande om inkompatibilitet till en enhet via Företagsportal-appen eller Intune-appen på enheten.

    Följande plattformar stöder den här åtgärden:

    • Android-enhetsadministratör
    • Android Enterprise:
      • Fullständigt hanterad
      • Dedikerad
      • Företagsägd arbetsprofil
      • Personligt ägd arbetsprofil
    • iOS/iPadOS

    Push-meddelandet skickas den första gången som en enhet checkar in med Intune och är inte kompatibel med policyn för efterlevnad. När en användare väljer meddelandet öppnas Företagsportal-appen eller Intune-appen med information om orsaken till inkompatibiliteten. Användaren kan sedan vidta åtgärder för att lösa problemet. Informationen om inkompatibilitet i meddelandet genereras av Intune och kan inte anpassas.

    Viktigt

    Intune, Företagsportal-appen och Microsoft Intune-appen kan inte garantera att ett anpassat meddelande levereras. Aviseringar kan visas efter flera timmars fördröjning, om de visas alls. Det här gäller även när användare har inaktiverat push-meddelanden.

    Förlita dig inte på den här aviseringsmetoden för brådskande meddelanden.

    Varje instans av åtgärden skickar ett meddelande en gång. Om du vill skicka samma meddelande igen från en princip konfigurerar du ytterligare instanser av åtgärden i principen, var och en med ett annat schema.

    Du kan till exempel schemalägga den första åtgärden för noll dagar och sedan lägga till en andra instans av åtgärden som är inställd på tre dagar. Den här fördröjningen före det andra meddelandet ger användaren några dagar för att lösa problemet och undvika det andra meddelandet.

    För att undvika att skicka skräppost till användare med för många dubbletter av meddelanden kan du granska och effektivisera vilka efterlevnadspolicyer som innehåller ett push-meddelande om regelefterlevnad, och granska de scheman som används så att inte samma avisering skickas för ofta.

    Tänk på att:

    • För en enda princip som innehåller flera instanser av en push-avisering för samma dag skickas bara ett enda meddelande för den dagen.

    • När flera efterlevnadspolicyer omfattar samma efterlevnadsvillkor och inkluderar åtgärden för push-meddelande med samma schema skickas flera meddelanden till samma enhet samma dag i Intune.

Innan du börjar

Du kan lägga till åtgärder för inkompatibilitet när du konfigurerar efterlevnadsprinciper för enheter, eller senare genom att redigera principen. Du kan lägga till ytterligare åtgärder till varje princip för att uppfylla dina behov. Tänk på att varje efterlevnadsprincip automatiskt inkluderar standardåtgärden vid inkompatibilitet som markerar enheter som inkompatibla, med ett schema inställt på noll dagar.

Du måste ha konfigurerat villkorlig Azure AD-åtkomst för att kunna använda principer för enhetsefterlevnad till att blockera enheter från företagets resurser. Mer information finns i Villkorlig åtkomst i Azure Active Directory eller Vanliga sätt att använda villkorlig åtkomst med Intune.

Se följande plattformsspecifika vägledning när du ska skapa en efterlevnadsprincip för enheter:

Skapa en mall för aviseringsmeddelanden

Om du vill skicka e-post till användarna skapar du en mall för aviseringsmeddelanden och associerar den med din efterlevnadsprincip som en åtgärd för inkompatibilitet. När en enhet inte är kompatibel visas sedan den information som du anger i mallen i e-postmeddelandet som skickas till användarna.

En mall för aviseringsmeddelanden kan innehålla flera meddelanden som vart och ett anges för olika språk. En lokal måste anges som standard.

När du anger flera meddelanden och språk får icke-kompatibla slutanvändare det lokaliserade meddelandet baserat på det språk som de använder på O365. Intune skickar standardmeddelandet till användare som inte har angett något språk eller när mallen inte innehåller något specifikt meddelande för sina språk.

Så här skapar du mallen

  1. Logga in till administrationscentret för Microsoft Endpoint Manager.

  2. Välj Slutpunktsskydd > Enhetsefterlevnad > Meddelanden > Skapa meddelande.

  3. Konfigurera följande inställningar på sidan Grundläggande:

    • Namn – Ge mallen ett eget namn som hjälper dig att identifiera den.
    • E-postsidhuvud – infoga företagets logotyp (standard = Aktivera) – logotypen du laddar upp som en del av varumärkesanpassningen i Företagsportal används i e-postmallar. Läs mer om varumärkesanpassning av företagsportalen i Varumärkesanpassning för företagsidentitet.
    • E-postsidfot – infoga företagets namn (standard = Aktivera)
    • E-postsidfot – Infoga kontaktinformation (standard = Aktivera)
    • Länk till företagsportalens webbplats (standard = Inaktivera) – om du anger Aktivera innehåller e-postmeddelandet en länk till företagsportalens webbplats.

    Exempel på sidan grundläggande för ett aviseringsmeddelande i Intune

    Fortsätt genom att välja Nästa.

  4. Konfigurera ett eller flera meddelanden på sidan Mallar för aviseringsmeddelanden. Ange följande information för varje meddelande:

    • Locale
    • Ämne
    • Meddelandetext

    Innan du fortsätter måste du markera kryssrutan för Är standard för ett av meddelandena. Endast ett meddelande kan anges som standard. Om du vill ta bort ett meddelande väljer du ellipsen (...) och sedan Ta bort.

    Exempel på exempelsidan för aviseringsmeddelandet i Intune

    Fortsätt genom att välja Nästa.

  5. Under Granska + skapa granskar du dina konfigurationer för att säkerställa att meddelandemallen är redo att användas. Välj Skapa för att skapa meddelandet.

Visa och redigera meddelanden

Meddelanden som har skapats är tillgängliga på sidan Efterlevnadsprinciper > Meddelanden. På denna sida kan du välja ett meddelande vars konfiguration du vill se:

  • Välj Skicka förhandsgranskad e-post om du vill skicka en förhandsversion av meddelandet till det konto som du använder för att logga in till Intune.

    För att kunna skicka förhandsgranskad e-post måste ditt konto ha behörigheter som motsvarar de för följande Azure AD-grupper eller Intune-roller: Global Azure AD-administratör, Intune -administratör (Intune-tjänsteadministratör för Azure AD Intune) eller princip- och profilhanterare för Intune.

  • Gör en ändring genom att välja Redigera för Grundläggande inställningar eller Omfångstaggar.

Lägga till åtgärder vid inkompatibilitet

När du skapar en princip för enhetsefterlevnad skapar Intune automatiskt en åtgärd för inkompatibilitet. Om en enhet inte uppfyller din efterlevnadsprincip markerar den här åtgärden enheten som inkompatibel. Du kan anpassa hur länge enheten ska markeras som inkompatibel. Det går inte att ta bort åtgärden.

Du kan lägga till valfria åtgärder när du skapar en princip för efterlevnad, eller uppdatera en befintlig princip.

  1. Logga in till administrationscentret för Microsoft Endpoint Manager.

  2. Välj Enheter > Efterlevnadsprinciper > Principer, välj en av dina principer och välj sedan Egenskaper.

    Har du inte någon princip än? Skapa en princip för Android, iOS, Windows eller någon annan plattform.

    Anteckning

    Enheter som hanteras av enheter för regelefterlevnad från tredje part som är riktade till enhetsgrupper kan för närvarande inte ta emot efterlevnadsprinciper.

  3. Välj Åtgärder för inkompatibilitet > Lägg till.

  4. Välj din åtgärd:

    • Skicka e-post till slutanvändare: Välj att skicka ett e-postmeddelande till användaren om enheten inte är kompatibel. Du kan också:

      • Välj den meddelandemall som du skapade tidigare
      • Ange eventuella ytterligare mottagare genom att välja grupper

    • Fjärrlåsa en icke-kompatibel enhet: Lås enheten när den är inkompatibel. Den här åtgärden tvingar användaren att ange en PIN-kod eller ett lösenord för att låsa upp enheten.

    • Ta den icke-kompatibla enheten ur bruk: Ta bort alla företagets data från enheten och ta bort enheten från Intune-hanteringen när den är inkompatibel.

    • Skicka push-meddelande till slutanvändare: Konfigurera den här åtgärden för att skicka ett push-meddelande om inkompatibilitet till en enhet via Företagsportal-appen eller Intune-appen på enheten.

  5. Konfigurera ett schema: Ange hur många dagar (0 till 365) efter en inkompatibilitet som åtgärden ska utlösas på användarnas enheter. Efter den här respittiden kan du tillämpa en princip för villkorlig åtkomst. Om du anger 0 (noll) dagar tillämpas den villkorliga åtkomsten omedelbart. Om en enhet till exempel inte är kompatibel kan du använda villkorlig åtkomst för att blockera åtkomsten till e-post, SharePoint och andra organisationsresurser omedelbart.

    När du skapar en efterlevnadsprincip skapas automatiskt åtgärden Markera enheten som inkompatibel, och den ställs automatiskt in på 0 dagar (omedelbart). Med den här åtgärden markerar Intune omedelbart enheten som inkompatibla om den inte är kompatibel med principen när den checkar in med Intune och utvärderar principen. Om klienten checkar in vid ett senare tillfälle efter att ha åtgärdat de problem som leder till inkompatibilitet uppdateras dess status till dess nya kompatibilitetsstatus. Om du använder villkorsstyrd åtkomst gäller dessa principer även så snart en enhet har markerats som inkompatibla. Om du vill ange en respitperiod som tillåter att ett villkor för inkompatibilitet åtgärdas innan enheten markeras som inkompatibla ändrar du schemat på åtgärden Markera enheten som inkompatibla.

    I efterlevnadsprincipen kanske du även vill meddela användaren. Du kan lägga till åtgärden Skicka e-post till slutanvändare. I åtgärden Skicka e-post anger du två dagar för Schema. Om enheten eller slutanvändaren fortfarande bedöms som icke-kompatibel dag två skickas e-postmeddelandet dag två. Om du vill skicka e-post till användaren på dag fem i lägger du till en annan åtgärd och anger fem dagar för Schema.

    Mer information om efterlevnad och de inbyggda åtgärderna finns i översikt över efterlevnad.

  6. När du är klar väljer du Lägg till > OK för att spara ändringarna.

Nästa steg

Övervaka dina principer.