استكشاف نهج توافق الجهاز

  • 5 دقائق

تحدد نهج التوافق القواعد والإعدادات التي يجب تكوينها على جهاز حتى يعتبر متوافقا. بعد تكوين نهج التوافق ونشره، يمكنك مراقبة حالة توافق الجهاز والأجهزة الفردية التي تم تكوينها بطريقة متوقعة.

قبل أن تتمكن من تطبيق نهج التوافق على جهاز، يجب أولا تسجيله في Intune. عند التسجيل، يمكن إضافة الجهاز تلقائيا إلى مجموعة أجهزة. إذا تم تعيين نهج توافق لتلك المجموعة، تقييم النهج على الجهاز، مع الإبلاغ عن حالة التوافق الخاصة به تلقائيا إلى Intune وعرضها في المدخل.

تحدد نهج توافق الجهاز الإعدادات الضرورية ل:

  • كلمات السر
  • التشفير
  • الأجهزة المحطمة أو المتجذرة في السجن
  • الحد الأدنى لإصدار نظام التشغيل
  • الحد الأقصى لإصدار نظام التشغيل
  • الحد الأقصى لمستوى الدفاع عن المخاطر المتنقلة

عند تسجيل جهاز في Intune، تتم إضافة معلوماته، بما في ذلك حالة التوافق، إلى معرف Microsoft Entra. يتم تعيين نهج التوافق للمستخدمين بدلا من الأجهزة. تستخدم نهج الوصول المشروط معلومات Microsoft Entra إما لحظر أو منح حق الوصول إلى البريد الإلكتروني والبيانات التنظيمية الأخرى. ليس إلزاميا استخدام نهج الامتثال بالاقتران مع الوصول المشروط؛ يمكن استخدام سياسات الامتثال لأغراض الإبلاغ فقط.

يتم إنشاء نهج التوافق في Intune في قسم الأجهزة في مركز إدارة Intune. يمكن العثور على لوحة معلومات توافق الجهاز للمراقبة ضمن التقارير.

بشكل افتراضي، عندما تكتشف Intune جهازا غير متوافق، فإنه يضع علامة على الجهاز على الفور على أنه غير متوافق. في كل نهج امتثال، يمكنك تكوين إجراءات للأجهزة غير المتوافقة، والتي توفر لك مرونة إضافية في تحديد ما يجب القيام به. على سبيل المثال، في سيناريو نموذجي، ستمنع المؤسسات الوصول إلى موارد الشركة من جهاز غير متوافق. ومع ذلك، يمكنك تكوين نهج توافق يسمح بدلا من ذلك لجهاز غير متوافق بالوصول إلى موارد الشركة طالما أن الجهاز متوافق خلال فترة سماح محددة. إذا لم يتحقق التوافق بحلول ذلك الوقت، فلن يتمكن الجهاز من الوصول إلى موارد الشركة.

هناك نوعان من الإجراءات غير المتوافقة:

  • إعلام المستخدمين النهائيين عبر البريد الإلكتروني. يمكنك تخصيص إعلام بالبريد الإلكتروني قبل إرساله إلى المستخدم النهائي. يمكنك تخصيص المستلمين والموضوع والنص الأساسي للرسالة، بما في ذلك شعار الشركة ومعلومات جهة الاتصال. يتضمن Intune تفاصيل حول الجهاز غير المتوافق في إعلام البريد الإلكتروني.
  • وضع علامة على الجهاز غير المتوافق. يمكنك تحديد عدد الأيام التي يتم بعدها وضع علامة على الجهاز على أنه غير متوافق. يمكن أن يكون هذا مباشرة بعد وضع علامة على الجهاز على أنه غير متوافق، أو يمكنك منح المستخدم فترة سماح يمكن خلالها تحديث الجهاز لجعله متوافقا. إذا كان الجهاز لا يزال غير متوافق بعد عدد الأيام المحدد، وضع علامة عليه على أنه غير متوافق.

يمكن استخدام نهج توافق الجهاز بالطريقة التالية:

  • مع الوصول المشروط. بالنسبة للأجهزة التي تتوافق مع قواعد النهج، يمكنك السماح لتلك الأجهزة بالوصول إلى البريد الإلكتروني وموارد الشركة الأخرى. إذا كانت الأجهزة لا تتوافق مع قواعد النهج، فلن تحصل على حق الوصول إلى موارد الشركة.
  • بدون وصول مشروط. يمكنك أيضا استخدام نهج توافق الجهاز دون أي وصول مشروط. عند استخدام نهج التوافق دون الوصول المشروط، لا توجد قيود على الوصول إلى موارد الشركة.

استخدام مجموعات أجهزة Microsoft Entra للنهج

يوصى باستخدام مجموعات Microsoft Entra للمستخدمين والأجهزة لتطبيق أي نوع من النهج التي يتم تنفيذها مع Intune. يمكنك إنشاء مجموعة في معرف Microsoft Entra بعضوية ديناميكية عن طريق تحديد قاعدة لتحديد العضوية استنادا إلى خصائص المستخدم أو الجهاز. عندما تتغير سمات مستخدم أو جهاز، يقوم معرف Microsoft Entra بتقييم جميع المجموعات الديناميكية في دليل لمعرفة ما إذا كان التغيير سيؤدي إلى إضافة أي مجموعة أو إزالتها. إذا كان مستخدم أو جهاز يفي بقاعدة في مجموعة، فستتم إضافته كعضو في تلك المجموعة. إذا لم يعودوا يفيون بالقاعدة، تتم إزالتهم من المجموعة.

يتم استخدام قاعدة عضوية المجموعة لملء مجموعة تلقائيا بالمستخدمين أو الأجهزة. هذا تعبير ثنائي ينتج عنه نتيجة True أو False. تتضمن الأجزاء الثلاثة من قاعدة عضوية المجموعة البسيطة ما يلي:

  • الخاصية. تحديد سمة الكائن؛ على سبيل المثال، يمكنك استخدام user.department للإشارة إلى سمة Department لعنصر مستخدم أو device.displayName للإشارة إلى سمة displayName لكائن جهاز.
  • عامل التشغيل. يمكن أن يكون واحدا من العديد من عوامل التشغيل المدعومة، مثل Equals (-eq) أو Starts With (-startsWith) أو Contains (-contains) أو Match (-match).
  • القيمة. القيمة التي تريد تقييم الخاصية مقابلها باستخدام عامل التشغيل .

على سبيل المثال، يمكنك استخدام قاعدة عضوية المجموعة التالية لتضمين جميع الأجهزة التي تم تصنيعها بواسطة Microsoft:

device.deviceManufacturer -eq "Microsoft