Använd efterlevnadsprinciper för att ange regler för enheter som du hanterar med Intune
MDM-lösningar (Hantering av mobila enheter) som Intune kan hjälpa till att skydda organisationsdata genom att kräva att användare och enheter uppfyller vissa krav. I Intune kallas den här funktionen för efterlevnadsprinciper.
Efterlevnadsprinciper i Intune:
- Definiera de regler och inställningar som användare och enheter måste uppfylla för att vara kompatibla.
- Inkludera åtgärder som gäller för enheter som inte är kompatibla. Åtgärder för inkompatibilitet kan varna användarna om villkoren för inkompatibilitet och skydda data på icke-kompatibla enheter.
- Kan kombineras med villkorsstyrd åtkomst, som sedan kan blockera användare och enheter som inte uppfyller reglerna.
- Kan åsidosätta konfigurationen av inställningar som du också hanterar via enhetskonfigurationsprinciper. Mer information om konfliktlösning för principer finns i Efterlevnads- och enhetskonfigurationsprinciper som är i konflikt.
Det finns två delar i efterlevnadsprinciper i Intune:
Inställningar för efterlevnadsprinciper – Inställningar för hela klientorganisationen som liknar en inbyggd efterlevnadsprincip som varje enhet tar emot. Inställningar för efterlevnadsprinciper anger en baslinje för hur efterlevnadsprinciper fungerar i Din Intune-miljö, inklusive om enheter som inte har tagit emot några principer för enhetsefterlevnad är kompatibla eller inkompatibla.
Enhetsefterlevnadsprincip – Plattformsspecifika regler som du konfigurerar och distribuerar till grupper av användare eller enheter. Dessa regler definierar krav för enheter, till exempel lägsta operativsystem eller användning av diskkryptering. Enheterna måste uppfylla dessa regler för att anses vara kompatibla.
Precis som andra Intune-principer beror utvärderingar av efterlevnadsprinciper för en enhet på när enheten checkar in med Intune och princip- och profiluppdateringen växlar.
Inställningar för efterlevnadsprinciper
Inställningar för efterlevnadsprinciper är inställningar för hela klientorganisationen som avgör hur Intunes efterlevnadstjänst interagerar med dina enheter. De här inställningarna skiljer sig från de inställningar som du konfigurerar i en enhetsefterlevnadsprincip.
Om du vill hantera inställningarna för efterlevnadsprinciper loggar du in på Microsoft Intune administrationscenter och går till Principinställningar förenhetsefterlevnad> för slutpunktssäkerhet>.
Inställningarna för efterlevnadsprinciper innehåller följande inställningar:
Markera enheter utan tilldelad efterlevnadsprincip som
Den här inställningen bestämmer hur Intune behandlar enheter som inte har tilldelats en princip för enhetsefterlevnad. Den här inställningen har två värden:
- Kompatibel (standard): Den här säkerhetsfunktionen är inaktiverad. Enheter som inte har skickat en enhetsefterlevnadsprincip anses vara kompatibla.
- Inte kompatibel: Den här säkerhetsfunktionen är aktiverad. Enheter som inte har tagit emot en enhetsefterlevnadsprincip anses vara inkompatibla.
Om du använder villkorlig åtkomst med enhetsefterlevnadsprinciperna ändrar du den här inställningen till Inte kompatibel för att säkerställa att endast enheter som har bekräftats som kompatibla kan komma åt dina resurser.
Om en slutanvändare inte är kompatibel eftersom en princip inte har tilldelats dem visar Företagsportal-appen Inga efterlevnadsprinciper har tilldelats.
Giltighetsperiod för efterlevnadsstatus (dagar)
Ange en period då enheterna måste rapportera om alla mottagna efterlevnadsprinciper. Om en enhet inte kan rapportera sin efterlevnadsstatus för en princip innan giltighetsperioden går ut behandlas enheten som inkompatibel.
Som standard är perioden inställd på 30 dagar. Du kan konfigurera en period från 1 till 120 dagar.
Du kan visa information om enheters kompatibilitet med inställningen för giltighetsperiod. Logga in på Microsoft Intune administrationscenter och gå till Enheter>Övervaka>inställningsefterlevnad. Den här inställningen har namnet Är aktiv i kolumnen Inställning . Mer information om den här och relaterade kompatibilitetsstatusvyer finns i Övervaka enhetsefterlevnad.
Principer för enhetsefterlevnad
Efterlevnadsprinciper för Intune-enheter:
- Definiera de regler och inställningar som användare och hanterade enheter måste uppfylla för att vara kompatibla. Exempel på regler är att kräva att enheter kör en lägsta version av operativsystemet, att de inte är jailbreakade eller rotade och att de är på eller under en hotnivå enligt vad som anges av hothanteringsprogramvaran som du har integrerat med Intune.
- Supportåtgärder som gäller för enheter som inte uppfyller dina efterlevnadsregler. Exempel på åtgärder är att vara fjärrlåst eller skicka ett e-postmeddelande till en enhetsanvändare om enhetsstatusen så att de kan åtgärda det.
- Distribuera till användare i användargrupper eller enheter i enhetsgrupper. När en efterlevnadsprincip distribueras till en användare kontrolleras alla användarens enheter för efterlevnad. Användning av enhetsgrupper i det här scenariot hjälper till med efterlevnadsrapportering.
Om du använder villkorsstyrd åtkomst kan principerna för villkorsstyrd åtkomst använda resultaten från enhetsefterlevnad för att blockera åtkomst till resurser från inkompatibla enheter.
De tillgängliga inställningar som du kan ange i en enhetsefterlevnadsprincip beror på vilken plattformstyp du väljer när du skapar en princip. Olika enhetsplattformar stöder olika inställningar, och varje plattformstyp kräver en separat princip.
Följande ämnen länkar till dedikerade artiklar för olika aspekter av enhetskonfigurationsprincipen.
Åtgärder för inkompatibilitet – Varje enhetsefterlevnadsprincip innehåller en eller flera åtgärder för inkompatibilitet. Dessa åtgärder är regler som tillämpas på enheter som inte uppfyller de villkor som du anger i principen.
Som standard innehåller varje enhetsefterlevnadsprincip åtgärden för att markera en enhet som inkompatibel om den inte uppfyller en principregel. Principen gäller sedan för enheten eventuella ytterligare åtgärder för inkompatibilitet som du har konfigurerat, baserat på de scheman som du har angett för dessa åtgärder.
Åtgärder för inkompatibilitet kan hjälpa till att varna användare när deras enhet inte är kompatibel eller skydda data som kan finnas på en enhet. Exempel på åtgärder är:
- Skicka e-postaviseringar till användare och grupper med information om den inkompatibla enheten. Du kan konfigurera principen att skicka ett e-postmeddelande omedelbart när den markeras som inkompatibel och sedan igen, regelbundet, tills enheten blir kompatibel.
- Fjärrlåsa enheter som inte har varit kompatibla under en tid.
- Dra tillbaka enheter efter att de har varit inkompatibla under en tid. Den här åtgärden markerar en kvalificerande enhet som redo att dras tillbaka. En administratör kan sedan visa en lista över enheter som har markerats för tillbakadragning och måste vidta en explicit åtgärd för att dra tillbaka en eller flera enheter. Om du drar tillbaka en enhet tas enheten bort från Intune-hanteringen och alla företagsdata tas bort från enheten. Mer information om den här åtgärden finns i Tillgängliga åtgärder för inkompatibilitet.
Skapa en princip – Med informationen i den här artikeln kan du granska förutsättningarna, gå igenom alternativen för att konfigurera regler, ange åtgärder för inkompatibilitet och tilldela principen till grupper. Den här artikeln innehåller även information om uppdateringstider för principer.
Visa inställningarna för enhetsefterlevnad för de olika enhetsplattformarna:
- Android-enhetsadministratör
- Android Enterprise
- Android-projekt med öppen källkod (AOSP)
- iOS
- Linux
- macOS
- Windows Holographic for Business
- Windows 8.1 och senare
Viktigt
Den 22 oktober 2022 upphörde Microsoft Intune stödet för enheter som kör Windows 8.1. Teknisk hjälp och automatiska uppdateringar på dessa enheter är inte tillgängliga.
Om du använder Windows 8.1 rekommenderar vi att du flyttar till Windows 10/11-enheter. Microsoft Intune har inbyggda säkerhets- och enhetsfunktioner som hanterar Windows 10/11-klientenheter.
- Windows 10/11
Anpassade kompatibilitetsinställningar – Med anpassade kompatibilitetsinställningar kan du utöka Intunes inbyggda alternativ för enhetsefterlevnad. Anpassade inställningar ger flexibilitet att basera kompatibiliteten på de inställningar som är tillgängliga på en enhet utan att behöva vänta tills Intune har lagt till inställningarna.
Du kan använda anpassade kompatibilitetsinställningar med följande plattformar:
- Linux – Ubuntu Desktop, version 20.04 LTS och 22.04 LTS
- Windows 10/11
Övervaka efterlevnadsstatus
Intune innehåller en instrumentpanel för enhetsefterlevnad som du använder för att övervaka enheternas efterlevnadsstatus och för att granska principer och enheter för mer information. Mer information om den här instrumentpanelen finns i Övervaka enhetsefterlevnad.
Integrera med villkorsstyrd åtkomst
När du använder villkorsstyrd åtkomst kan du konfigurera dina principer för villkorsstyrd åtkomst för att använda resultatet av dina principer för enhetsefterlevnad för att avgöra vilka enheter som har åtkomst till organisationens resurser. Den här åtkomstkontrollen är utöver och separat från de åtgärder för inkompatibilitet som du inkluderar i dina principer för enhetsefterlevnad.
När en enhet registreras i Intune registreras den i Microsoft Entra ID. Efterlevnadsstatusen för enheter rapporteras till Microsoft Entra-ID. Om dina principer för villkorsstyrd åtkomst har åtkomstkontroller inställda på Kräv att enheten ska markeras som kompatibel, använder villkorsstyrd åtkomst den kompatibilitetsstatusen för att avgöra om åtkomst till e-post och andra organisationsresurser ska beviljas eller blockeras.
Om du ska använda enhetsefterlevnadsstatus med principer för villkorsstyrd åtkomst granskar du hur din klientorganisation har konfigurerat Markera enheter utan tilldelad efterlevnadsprincip, som du hanterar under Inställningar för efterlevnadsprinciper.
Mer information om hur du använder villkorsstyrd åtkomst med dina principer för enhetsefterlevnad finns i Enhetsbaserad villkorlig åtkomst
Läs mer om villkorlig åtkomst i dokumentationen för Microsoft Entra:
Referens för inkompatibilitet och villkorsstyrd åtkomst på de olika plattformarna
I följande tabell beskrivs hur inkompatibla inställningar hanteras när en efterlevnadsprincip används med en princip för villkorsstyrd åtkomst.
Åtgärdad: Enhetens operativsystem framtvingar kompatibilitet. Användaren tvingas till exempel att ange en PIN-kod.
I karantän: Enhetens operativsystem tillämpar inte kompatibilitet. Android- och Android Enterprise-enheter tvingar till exempel inte användaren att kryptera enheten. När enheten inte är kompatibel utförs följande åtgärder:
- Om en princip för villkorsstyrd åtkomst gäller för användaren blockeras enheten.
- Den Företagsportal appen meddelar användaren om eventuella efterlevnadsproblem.
| Sekretessinställning | Plattform |
|---|---|
| Tillåtna distributioner | Linux(endast) – I karantän |
| Enhetskryptering | - Android 4.0 och senare: I karantän - Samsung Knox Standard 4.0 och senare: I karantän - Android Enterprise: I karantän - iOS 8.0 och senare: Åtgärdad (genom att ange PIN-kod) - macOS 10.11 och senare: I karantän - Linux: I karantän - Windows 10/11: I karantän |
| Email profil | - Android 4.0 och senare: Ej tillämpligt - Samsung Knox Standard 4.0 och senare: Ej tillämpligt - Android Enterprise: Ej tillämpligt - iOS 8.0 och senare: I karantän - macOS 10.11 och senare: I karantän - Linux: Ej tillämpligt - Windows 10/11: Ej tillämpligt |
| Jailbrokad eller rotad enhet | - Android 4.0 och senare: I karantän (inte en inställning) - Samsung Knox Standard 4.0 och senare: I karantän (inte en inställning) - Android Enterprise: I karantän (inte en inställning) - iOS 8.0 och senare: I karantän (inte en inställning) - macOS 10.11 och senare: Ej tillämpligt - Linux: Ej tillämpligt - Windows 10/11: Ej tillämpligt |
| Högsta operativsystemversion | - Android 4.0 och senare: I karantän - Samsung Knox Standard 4.0 och senare: I karantän - Android Enterprise: I karantän - iOS 8.0 och senare: I karantän - macOS 10.11 och senare: I karantän - Linux: Se Tillåtna distributioner - Windows 10/11: I karantän |
| Lägsta operativsystemversion | - Android 4.0 och senare: I karantän - Samsung Knox Standard 4.0 och senare: I karantän - Android Enterprise: I karantän - iOS 8.0 och senare: I karantän - macOS 10.11 och senare: I karantän - Linux: Se Tillåtna distributioner - Windows 10/11: I karantän |
| Konfiguration av PIN-kod eller lösenord | - Android 4.0 och senare: I karantän - Samsung Knox Standard 4.0 och senare: I karantän - Android Enterprise: I karantän - iOS 8.0 och senare: Åtgärdat - macOS 10.11 och senare: Åtgärdad - Linux: I karantän - Windows 10/11: Åtgärdad |
| Hälsoattestering för Windows | - Android 4.0 och senare: Ej tillämpligt - Samsung Knox Standard 4.0 och senare: Ej tillämpligt - Android Enterprise: Ej tillämpligt - iOS 8.0 och senare: Ej tillämpligt - macOS 10.11 och senare: Ej tillämpligt - Linux: Ej tillämpligt - Windows 10/11: I karantän |
Obs!
Den Företagsportal appen anger flödet för registreringsreparation när användaren loggar in i appen och enheten inte har checkats in med Intune på 30 dagar eller mer (eller om enheten inte är kompatibel på grund av en kompatibilitetsorsak till förlorad kontakt). I det här flödet försöker vi initiera en incheckning en gång till. Om det fortfarande inte lyckas utfärdar vi ett dra tillbaka-kommando så att användaren kan registrera enheten manuellt.
Nästa steg
- Skapa och distribuera princip och granska krav
- Övervaka enhetsefterlevnad
- Vanliga frågor, problem och lösningar med enhetsprinciper och profiler i Microsoft Intune
- Referens för principentiteter innehåller information om Intune-Data Warehouse principentiteter
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för