使用合規性原則來設定使用 Intune 管理裝置
行動裝置管理 (MDM) 解決方案,例如 Intune 可要求使用者和裝置符合某些需求,以協助保護組織資料。 在 Intune 中,這項功能稱為 合規性原則。
Intune 中的合規性原則:
- 定義使用者和裝置必須符合才能相容的規則和設定。
- 包含適用于不符合規範之裝置的動作。 不符合規範的動作可能會警示使用者不符合規範的條件,並保護不符合規範裝置上的資料。
- 可以 與條件式存取結合,進而封鎖不符合規則的使用者和裝置。
- 可以覆寫您也透過裝置設定原則管理的設定組態。 若要深入瞭解原則的衝突解決方式,請參閱 衝突的合規性和裝置設定原則。
Intune 中的合規性原則有兩個部分:
合規性原則設定 – 全租使用者設定,就像每個裝置收到的內建合規性原則一樣。 合規性政策設定會設定合規性原則在 Intune 環境中運作方式的基準,包括尚未收到任何裝置合規性原則的裝置是否符合規範或不符合規範。
裝置合規性原則 – 您設定並部署至使用者或裝置群組的平臺特定規則。 這些規則會定義裝置的需求,例如最低作業系統或使用磁片加密。 裝置必須符合這些規則,才能視為符合規範。
如同其他 Intune 原則,裝置的合規性政策評估取決於裝置何時使用 Intune 簽入,以及 原則和設定檔重新整理週期。
合規性原則設定
合規性原則設定 是全租使用者設定,可決定 Intune 的合規性服務如何與您的裝置互動。 這些設定與您在裝置合規性政策中設定的設定不同。
若要管理合規性政策設定,請登入 Microsoft Intune 系統管理中心,然後移至端點安全>性裝置合規性政策>設定。
合規性原則設定包含下列設定:
將未指派合規性原則的裝置標示為
此設定決定 Intune 如何處理尚未獲指派裝置合規性原則的裝置。 此設定有兩個值:
- 符合 (預設) :此安全性功能已關閉。 未傳送裝置合規性原則的裝置會被視為 符合規範。
- 不符合規範:此安全性功能已開啟。 尚未收到裝置合規性原則的裝置會被視為不符合規範。
如果您使用條件式存取搭配裝置合規性政策,請將此設定變更為 [不符合規範 ],以確保只有確認為符合規範的裝置才能存取您的資源。
如果使用者因為未指派原則而不符合規範,則公司入口網站應用程式會顯示未指派任何合規性原則。
合規性狀態有效期間 (天)
指定裝置必須成功報告其所有接收合規性原則的期間。 如果裝置在有效期間到期之前無法報告原則的合規性狀態,則會將裝置視為不符合規範。
根據預設,期間設定為 30 天。 您可以設定 1 到 120 天的期間。
您可以檢視有關裝置符合有效期間設定的詳細資料。 登入Microsoft Intune系統管理中心,然後移至[裝置>監視器>設定合規性]。 此設定的名稱在 [設定] 資料行中為 [作用中]。 如需此和相關合規性狀態檢視的詳細資訊,請 參閱監視裝置合規性。
裝置合規性原則
Intune 裝置合規性原則:
- 定義使用者和受管理裝置必須符合規範的規則和設定。 規則範例包括要求裝置執行最低 OS 版本、不要遭到越獄或 Root 破解,以及處於或低於威脅 層級 ,如您已與 Intune 整合的威脅管理軟體所指定。
- 支援適用于不符合合規性規則之裝置的動作。 動作的範例包括遠端鎖定,或傳送裝置使用者電子郵件以瞭解裝置狀態,讓他們可以修正它。
- 部署至使用者群組中的使用者,或裝置群組中的裝置。 將合規性原則部署至使用者時,會檢查所有使用者的裝置是否符合規範。 在此案例中使用裝置群組有助於合規性報告。
如果您使用條件式存取,您的條件式存取原則可以使用您的裝置合規性結果來封鎖從不符合規範的裝置存取資源。
您可以在裝置合規性政策中指定的可用設定,取決於您在建立原則時選取的平臺類型。 不同的裝置平臺支援不同的設定,而且每個平臺類型都需要個別的原則。
下列主題會連結至裝置設定原則不同層面的專用文章。
不符合規範的動作 - 每個裝置合規性政策都包含一或多個不符合規範的動作。 這些動作是套用至不符合您在原則中設定之條件之裝置的規則。
根據預設,每個裝置合規性原則都包含在裝置不符合原則規則時,將裝置標示為不符合規範的動作。 此原則接著會根據您為這些動作設定的排程,套用至裝置任何您所設定不符合規範的額外動作。
不相容的動作可協助在使用者的裝置不符合規範時發出警示,或保護可能位於裝置上的資料。 動作的範例包括:
- 傳送電子郵件警示 給使用者和群組,其中包含不符合規範裝置的詳細資料。 您可能會將原則設定為在標示為不符合規範時立即傳送電子郵件,然後再次定期傳送電子郵件,直到裝置符合規範為止。
- 遠端鎖定 一段時間不相容的裝置。
- 在裝置 不符合規範一段時間之後,請將裝置淘汰。 此動作會將合格的裝置標示為已準備好淘汰。 系統管理員接著可以檢視標示為淘汰的裝置清單,而且必須採取明確動作來淘汰一或多個裝置。 淘汰裝置會從 Intune 管理中移除裝置,並從裝置移除所有公司資料。 如需此動作的詳細資訊,請參閱 不符合規範的可用動作。
建立原則 – 使用本文中的資訊,您可以檢閱必要條件、完成設定規則的選項、指定不符合規範的動作,以及將原則指派給群組。 本文也包含原則重新整理時間的相關資訊。
檢視不同裝置平臺的裝置合規性設定:
- Android 裝置系統管理員
- Android 企業版
- Android 開放原始碼專案 (AOSP)
- iOS
- Linux
- macOS
- Windows Holographic for Business
- Windows 8.1及更新版本
重要事項
在 2022 年 10 月 22 日,Microsoft Intune終止對執行Windows 8.1裝置的支援。 無法在這些裝置上使用技術協助和自動更新。
如果您目前使用 Windows 8.1,建議您移至Windows 10/11 裝置。 Microsoft Intune具有管理Windows 10/11 用戶端裝置的內建安全性和裝置功能。
- Windows 10/11
自訂合規性設定 – 使用自訂合規性設定,您可以擴充 Intune 的內建裝置合規性選項。 自訂設定可讓您彈性地根據裝置上可用的設定來建立合規性基礎,而不需要等候 Intune 新增這些設定。
您可以使用自訂相容性設定搭配下列平臺:
- Linux – Ubuntu Desktop,20.04 版 LTS 和 22.04 LTS
- Windows 10/11
監視合規性狀態
Intune 包含裝置合規性儀表板,可用來監視裝置的合規性狀態,以及深入瞭解原則和裝置以取得詳細資訊。 若要深入瞭解此儀表板,請參 閱監視裝置合規性。
與條件式存取整合
當您使用條件式存取時,可以設定條件式存取原則,以使用裝置合規性政策的結果來判斷哪些裝置可以存取您的組織資源。 此存取控制除了與您在裝置合規性政策中包含的不相容動作不同。
當裝置在 Intune 中註冊時,它會以Microsoft Entra識別碼註冊。 裝置的合規性狀態會回報為Microsoft Entra識別碼。 如果您的條件式存取原則將存取控制設定 為 [需要將裝置標示為符合規範],條件式存取會使用該合規性狀態來判斷是否要授與或封鎖電子郵件和其他組織資源的存取權。
如果您將裝置合規性狀態與條件式存取原則搭配使用,請檢閱您的租使用者如何設定 標記未指派合規性原則的裝置,您會在 [合規性原則設定] 下管理這些裝置。
如需搭配裝置合規性原則使用條件式存取的詳細資訊,請參閱 裝置型條件式存取
在Microsoft Entra檔中深入瞭解條件式存取:
不同平臺上的不符合規範和條件式存取參考
下表說明當相容性政策與條件式存取原則搭配使用時,如何管理不符合規範的設定。
已補救:裝置作業系統會強制執行合規性。 例如,強制使用者設定 PIN。
已隔離:裝置作業系統不會強制執行合規性。 例如,Android 和 Android Enterprise 裝置不會強制使用者加密裝置。 當裝置不符合規範時,會執行下列動作:
- 如果條件式存取原則套用至使用者,則會封鎖裝置。
- 公司入口網站應用程式會通知使用者任何合規性問題。
原則設定 | 平台 |
---|---|
允許的散發套件 | 僅 限 Linux () - 已隔離 |
裝置加密 | - Android 4.0 和更新版本:已隔離 - Samsung Knox Standard 4.0 和更新版本:已隔離 - Android Enterprise:已隔離 - iOS 8.0 和更新版本:藉由設定 PIN) 來補救 ( - macOS 10.11 和更新版本:已隔離 - Linux:隔離 - Windows 10/11:已隔離 |
電子郵件設定檔 | - Android 4.0 和更新版本:不適用 - Samsung Knox Standard 4.0 和更新版本:不適用 - Android Enterprise:不適用 - iOS 8.0 和更新版本:已隔離 - macOS 10.11 和更新版本:已隔離 - Linux:不適用 - Windows 10/11:不適用 |
已越獄或 Root 破解的裝置 | - Android 4.0 和更新版本:隔離 (不是設定) - Samsung Knox Standard 4.0 和更新版本:隔離 (不是設定) - Android Enterprise:隔離 (不是設定) - iOS 8.0 和更新版本:隔離 (不是設定) - macOS 10.11 和更新版本:不適用 - Linux:不適用 - Windows 10/11:不適用 |
作業系統版本上限 | - Android 4.0 和更新版本:已隔離 - Samsung Knox Standard 4.0 和更新版本:已隔離 - Android Enterprise:已隔離 - iOS 8.0 和更新版本:已隔離 - macOS 10.11 和更新版本:已隔離 - Linux:請參閱 允許的散發版本 - Windows 10/11:已隔離 |
最低作業系統版本 | - Android 4.0 和更新版本:已隔離 - Samsung Knox Standard 4.0 和更新版本:已隔離 - Android Enterprise:已隔離 - iOS 8.0 和更新版本:已隔離 - macOS 10.11 和更新版本:已隔離 - Linux:請參閱 允許的散發版本 - Windows 10/11:已隔離 |
PIN 或密碼設定 | - Android 4.0 和更新版本:已隔離 - Samsung Knox Standard 4.0 和更新版本:已隔離 - Android Enterprise:已隔離 - iOS 8.0 和更新版本:已補救 - macOS 10.11 和更新版本:已補救 - Linux:隔離 - Windows 10/11:已補救 |
Windows 健康情況證明 | - Android 4.0 和更新版本:不適用 - Samsung Knox Standard 4.0 和更新版本:不適用 - Android Enterprise:不適用 - iOS 8.0 和更新版本:不適用 - macOS 10.11 和更新版本:不適用 - Linux:不適用 - Windows 10/11:已隔離 |
注意事項
當使用者登入應用程式,且裝置在 30 天以上未成功簽入 Intune 時,公司入口網站應用程式會進入註冊補救流程 (或裝置因為遺失聯繫人合規性原因而不符合規範) 。 在此流程中,我們嘗試再起始一次簽入。 如果仍然失敗,我們會發出淘汰命令,以允許使用者手動重新註冊裝置。
後續步驟
- 建立和部署原則 並檢閱必要條件
- 監視裝置合規性
- Microsoft Intune中裝置原則和設定檔的常見問題、問題和解決方式
- 原則實體的參考具有 Intune Data Warehouse原則實體的相關資訊
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應