Nastavení dodržování předpisů zařízením pro Windows 10/11 v Intune

Tento článek uvádí a popisuje různá nastavení dodržování předpisů, která můžete nakonfigurovat na zařízeních s Windows v Intune. V rámci řešení správy mobilních zařízení (MDM) použijte tato nastavení k vyžadování nástroje BitLocker, nastavení minimálního a maximálního operačního systému, nastavení úrovně rizika pomocí Microsoft Defender for Endpoint atd.

Tato funkce platí pro:

• Windows 10/11
• Windows Holographic for Business
• Surface Hub

Jako správce Intune použijte tato nastavení dodržování předpisů k ochraně prostředků organizace. Další informace o zásadách dodržování předpisů a o tom, co dělají, najdete v tématu Začínáme s dodržováním předpisů zařízeními.

Než začnete

Vytvořte zásadu dodržování předpisů. V části Platforma vyberte Windows 10 a novější.

Stav zařízení

Pravidla zkušební služby Windows Health Attestation Service

• Vyžadovat nástroj BitLocker:
  Nástroj Windows BitLocker Drive Encryption šifruje všechna data uložená na svazku operačního systému Windows. BitLocker používá čip TPM (Trusted Platform Module) k ochraně operačního systému Windows a uživatelských dat. Pomáhá také ověřit, že s počítačem není manipulováno, a to i v případě, že je ponechán bez dozoru, ztracen nebo odcizen. Pokud je počítač vybaven kompatibilním čipem TPM, BitLocker pomocí čipu TPM uzamkne šifrovací klíče, které chrání data. V důsledku toho není možné získat přístup k klíčům, dokud čip TPM neověří stav počítače.

  • Nenakonfigurováno (výchozí) – Toto nastavení se nevyhodnocuje z hlediska dodržování předpisů nebo nedodržování předpisů.
  • Vyžadovat – zařízení může chránit data uložená na jednotce před neoprávněným přístupem, když je systém vypnutý nebo přejde do režimu hibernace.

  Device HealthAttestation CSP – BitLockerStatus

  Poznámka

  Pokud v Intune používáte zásady dodržování předpisů zařízením, mějte na paměti, že stav tohoto nastavení se měří jenom při spuštění. Proto i když šifrování nástrojem BitLocker mohlo být dokončeno, bude nutné restartovat zařízení, aby to zjistilo a stalo se kompatibilním. Další informace najdete na následujícím blogu podpory Microsoftu o ověření stavu zařízení.

• Vyžadovat, aby na zařízení bylo povolené zabezpečené spouštění:

  • Nenakonfigurováno (výchozí) – Toto nastavení se nevyhodnocuje z hlediska dodržování předpisů nebo nedodržování předpisů.
  • Vyžadovat – systém je nucen spustit do důvěryhodného stavu továrny. Základní komponenty, které se používají ke spuštění počítače, musí mít správné kryptografické podpisy, kterým důvěřuje organizace, která zařízení vyrábí. Firmware rozhraní UEFI ověří podpis předtím, než umožní spuštění počítače. Pokud dojde k manipulaci s nějakými soubory, což přeruší jejich podpis, systém se nespustí.

  Poznámka

  Nastavení Vyžadovat povolení zabezpečeného spouštění na zařízení je podporováno na některých zařízeních TPM 1.2 a 2.0. U zařízení, která nepodporují čip TPM 2.0 nebo novější, se stav zásad v Intune zobrazuje jako Nevyhovující předpisům. Další informace o podporovaných verzích najdete v tématu Ověření stavu zařízení.

• Vyžadovat integritu kódu:
  Integrita kódu je funkce, která ověřuje integritu ovladače nebo systémového souboru při každém načtení do paměti.

  • Nenakonfigurováno (výchozí) – Toto nastavení se nevyhodnocuje z hlediska dodržování předpisů nebo nedodržování předpisů.
  • Vyžadovat – Vyžadovat integritu kódu, která zjistí, jestli se do jádra načítá nepodepsaný ovladač nebo systémový soubor. Zjistí také, jestli je systémový soubor změněný škodlivým softwarem nebo spuštěný uživatelským účtem s oprávněními správce.

Další zdroje informací:

• Podrobnosti o tom, jak služba Ověření stavu funguje, najdete v tématu Health Attestation CSP.
• Tip pro podporu: Použití nastavení ověření stavu zařízení jako součásti zásad dodržování předpisů Intune.

Vlastnosti zařízení

Verze operačního systému

Pokud chcete zjistit verze buildu pro všechny Aktualizace funkcí Windows 10/11 a kumulativní Aktualizace (pro použití v některých polích níže), přečtěte si informace o verzi Windows. Nezapomeňte před čísla buildu uvést odpovídající předponu verze, například 10.0 pro Windows 10, jak je znázorněno na následujících příkladech.

• Minimální verze operačního systému:
  Zadejte minimální povolenou verzi ve formátu čísla major.minor.build.revision . Pokud chcete získat správnou hodnotu, otevřete příkazový řádek a zadejte ver. Příkaz ver vrátí verzi v následujícím formátu:

  Microsoft Windows [Version 10.0.17134.1]

  Pokud má zařízení starší verzi, než je verze operačního systému, kterou zadáte, ohlásí se jako nedodržující předpisy. Zobrazí se odkaz s informacemi o tom, jak upgradovat. Koncový uživatel se může rozhodnout, že své zařízení upgraduje. Po upgradu mají přístup k prostředkům společnosti.

• Maximální verze operačního systému:
  Zadejte maximální povolenou verzi ve formátu čísla major.minor.build.revision . Pokud chcete získat správnou hodnotu, otevřete příkazový řádek a zadejte ver. Příkaz ver vrátí verzi v následujícím formátu:

  Microsoft Windows [Version 10.0.17134.1]

  Pokud zařízení používá novější verzi operačního systému, než je zadaná verze, zablokuje se přístup k prostředkům organizace. Koncový uživatel se zobrazí výzva, aby kontaktoval správce IT. Zařízení nebude mít přístup k prostředkům organizace, dokud se nezmění pravidlo tak, aby umožňovalo verzi operačního systému.

• Minimální požadovaný operační systém pro mobilní zařízení:
  Zadejte minimální povolenou verzi ve formátu čísla major.minor.build.

  Pokud má zařízení starší verzi operačního systému, kterou zadáte, ohlásí se, že nedodržuje předpisy. Zobrazí se odkaz s informacemi o tom, jak upgradovat. Koncový uživatel se může rozhodnout, že své zařízení upgraduje. Po upgradu mají přístup k prostředkům společnosti.

• Maximální požadovaný operační systém pro mobilní zařízení:
  Zadejte maximální povolenou verzi do čísla major.minor.build.

  Pokud zařízení používá novější verzi operačního systému, než je zadaná verze, zablokuje se přístup k prostředkům organizace. Koncový uživatel se zobrazí výzva, aby kontaktoval správce IT. Zařízení nebude mít přístup k prostředkům organizace, dokud se nezmění pravidlo tak, aby umožňovalo verzi operačního systému.

• Platné buildy operačního systému:
  Zadejte seznam minimálních a maximálních sestavení operačního systému. Platná sestavení operačního systému poskytují větší flexibilitu ve srovnání s minimální a maximální verzí operačního systému. Představte si scénář, kdy je minimální verze operačního systému nastavená na 10.0.18362.xxx (Windows 10 1903) a maximální verze operačního systému je nastavená na 10.0.18363.xxx (Windows 10 1909). Tato konfigurace umožňuje identifikaci zařízení Windows 10 1903, které nemá nainstalované nedávné kumulativní aktualizace, jako vyhovující předpisům. Minimální a maximální verze operačního systému můžou být vhodné, pokud jste standardizovali jednu Windows 10 verzi, ale nemusí řešit vaše požadavky, pokud potřebujete použít více sestavení, každé s konkrétními úrovněmi oprav. V takovém případě zvažte využití platných sestavení operačního systému, které umožňují zadat více sestavení podle následujícího příkladu.

  Největší podporovaná hodnota pro každé pole verze, hlavní verze, podverze a sestavení je 65535. Například největší hodnota, kterou můžete zadat, je 65535.65535.65535.65535.

  Příklad:
  Následující tabulka obsahuje příklad rozsahu přijatelných verzí operačních systémů pro různé verze Windows 10. V tomto příkladu jsou povolené tři různé Aktualizace funkcí (1809, 1909 a 2004). Konkrétně se za vyhovující budou považovat pouze ty verze Systému Windows, u kterých se od června do září 2020 použily kumulativní aktualizace. Toto jsou pouze ukázková data. Tabulka obsahuje první sloupec, který obsahuje veškerý text, který chcete popište položku, následovaný minimální a maximální verzí operačního systému pro danou položku. Druhý a třetí sloupec musí odpovídat platným verzím sestavení operačního systému ve formátu čísla major.minor.build.revision . Po definování jedné nebo více položek můžete seznam exportovat jako soubor hodnot oddělených čárkami (CSV).

  Popis	Minimální verze operačního systému	Maximální verze operačního systému
  Win 10 2004 (červen-září 2020)	10.0.19041.329	10.0.19041.508
  Win 10 1909 (červen-září 2020)	10.0.18363.900	10.0.18363.1110
  Win 10 1809 (červen-září 2020)	10.0.17763.1282	10.0.17763.1490

  Poznámka

  Pokud v zásadách zadáte více rozsahů buildů verzí operačního systému a zařízení má sestavení mimo vyhovující rozsahy, Portál společnosti uživatele zařízení upozorní, že zařízení s tímto nastavením nedodržuje předpisy. Mějte ale na paměti, že kvůli technickým omezením se ve zprávě o nápravě dodržování předpisů zobrazuje jenom první rozsah verzí operačního systému zadaný v zásadách. Doporučujeme zdokumentovat přijatelné rozsahy verzí operačního systému pro spravovaná zařízení ve vaší organizaci.

dodržování předpisů Configuration Manager

Platí jenom pro spoluspravované zařízení se systémem Windows 10/11. Zařízení jenom v Intune vrátí stav Nedostupné.

• Vyžadovat dodržování předpisů zařízením z Configuration Manager:
  • Nenakonfigurováno (výchozí) – Intune nekontroluje žádné nastavení Configuration Manager dodržování předpisů.
  • Vyžadovat – Vyžadovat, aby všechna nastavení (položky konfigurace) v Configuration Manager splňovala předpisy.

Zabezpečení systému

Password

• Vyžadovat heslo k odemknutí mobilních zařízení:

  • Nenakonfigurováno (výchozí) – Toto nastavení se nevyhodnocuje z hlediska dodržování předpisů nebo nedodržování předpisů.
  • Vyžadovat – Uživatelé musí zadat heslo, aby měli přístup ke svému zařízení.

• Jednoduchá hesla:

  • Nenakonfigurováno (výchozí) – Uživatelé můžou vytvářet jednoduchá hesla, například 1234 nebo 1111.
  • Blokovat – uživatelé nemůžou vytvářet jednoduchá hesla, například 1234 nebo 1111.

• Typ hesla:
  Zvolte požadovaný typ hesla nebo PIN kódu. Možnosti:

  • Výchozí nastavení zařízení (výchozí) – vyžadování hesla, číselného KÓDU PIN nebo alfanumerického PIN kódu
  • Číselné – vyžadování hesla nebo číselného PIN kódu
  • Alfanumerické – Vyžaduje heslo nebo alfanumerický PIN kód.

  Pokud je nastavená alfanumerická hodnota, jsou k dispozici následující nastavení:

  • Složitost hesla:
    Možnosti:

    • Vyžadovat číslice a malá písmena (výchozí)
    • Vyžadovat číslice, malá písmena a velká písmena
    • Vyžadovat číslice, malá písmena, velká písmena a speciální znaky

    Tip

    Alfanumerické zásady hesel můžou být složité. Doporučujeme správcům, aby si přečetli CSP, kde získáte další informace:

    • DeviceLock/AlphanummericDevicePasswordRequired CSP
    • DeviceLock/MinDevicePasswordComplexCharacters CSP

• Minimální délka hesla:
  Zadejte minimální počet číslic nebo znaků, které musí heslo obsahovat.

• Maximální počet minut nečinnosti před vyžadování hesla:
  Zadejte dobu nečinnosti, po které uživatel musí znovu zadat heslo.

• Vypršení platnosti hesla (dny):
  Zadejte počet dní před vypršením platnosti hesla a uživatel musí vytvořit nové heslo od 1 do 730.

• Počet předchozích hesel, aby se zabránilo opakovanému použití:
  Zadejte počet dříve použitých hesel, která se nedají použít.

• Vyžadovat heslo při návratu zařízení ze stavu nečinnosti (mobilní zařízení a Holographic):

  • Nenakonfigurováno (výchozí)
  • Vyžadovat – Vyžadovat, aby uživatelé zařízení zadali heslo pokaždé, když se zařízení vrátí ze stavu nečinnosti.

  Důležité

  Když se na ploše Windows změní požadavek na heslo, budou uživatelé ovlivněni při příštím přihlášení, protože to znamená, že zařízení přejde z nečinnosti na aktivní. Uživatelům s hesly, která splňují tento požadavek, se stále zobrazí výzva ke změně hesla.

Šifrování

• Šifrování úložiště dat na zařízení:
  Toto nastavení platí pro všechny jednotky na zařízení.

  • Nenakonfigurováno (výchozí)
  • Vyžadovat – Použijte možnost Vyžadovat k šifrování úložiště dat na vašich zařízeních.

  DeviceStatus CSP – DeviceStatus/ Compliance/EncryptionCompliance

  Poznámka

  Nastavení Šifrování úložiště dat na zařízení obecně kontroluje přítomnost šifrování na zařízení, konkrétně na úrovni jednotky s operačním systémem. V současné době Intune podporuje pouze kontrolu šifrování nástrojem BitLocker. V případě robustnějšího nastavení šifrování zvažte použití nástroje Vyžadovat nástroj BitLocker, který využívá ověření stavu zařízení s Windows k ověření stavu bitlockeru na úrovni čipu TPM. Při použití tohoto nastavení ale mějte na paměti, že může být vyžadováno restartování, než se zařízení projeví jako vyhovující.

Zabezpečení zařízení

• Brána firewall:

  • Nenakonfigurováno (výchozí) – Intune neřídí bránu Windows Firewall ani nemění existující nastavení.
  • Vyžadovat – Zapněte bránu Windows Firewall a zabraňte uživatelům v jejím vypnutí.

  Firewall CSP

  Poznámka

  • Pokud se zařízení okamžitě synchronizuje po restartování nebo se okamžitě synchronizuje z režimu spánku, může se toto nastavení hlásit jako Chyba. Tento scénář nemusí mít vliv na celkový stav dodržování předpisů zařízením. Pokud chcete znovu vyhodnotit stav dodržování předpisů, proveďte ruční synchronizaci zařízení.

  • Pokud se konfigurace použije (například prostřednictvím zásad skupiny) na zařízení, které nakonfiguruje bránu Windows Firewall tak, aby umožňovala veškerý příchozí provoz, nebo vypne bránu firewall, nastavení brány firewall na Vyžadovat vrátí nevyhovující předpisům, a to i v případě, že zásady konfigurace zařízení Intune zapnou bránu firewall. Je to proto, že objekt zásad skupiny přepíše zásady Intune. Pokud chcete tento problém vyřešit, doporučujeme odebrat všechna konfliktní nastavení zásad skupiny nebo migrovat nastavení zásad skupiny související s bránou firewall do zásad konfigurace zařízení Intune. Obecně doporučujeme zachovat výchozí nastavení, včetně blokování příchozích připojení. Další informace najdete v tématu Osvědčené postupy pro konfiguraci brány Windows Firewall.

• Čip TPM (Trusted Platform Module):

  • Nenakonfigurováno (výchozí) – Intune nekontroluje v zařízení verzi čipu TPM.
  • Vyžadovat – Intune zkontroluje dodržování předpisů u verze čipu TPM. Zařízení je kompatibilní, pokud je verze čipu TPM větší než 0 (nula). Zařízení není kompatibilní, pokud na něm není verze čipu TPM.

  DeviceStatus CSP – DeviceStatus/TPM/SpecificationVersion

• Antivirová ochrana:

  • Nenakonfigurováno (výchozí) – Intune nekontroluje žádná antivirová řešení nainstalovaná na zařízení.
  • Vyžadovat – zkontrolujte dodržování předpisů pomocí antivirových řešení zaregistrovaných v Zabezpečení Windows Center, jako je Symantec a Microsoft Defender. Pokud je nastavená možnost Vyžadovat, zařízení se zakázaným nebo zastaralým antivirovým softwarem nedodržuje předpisy.

  DeviceStatus CSP – DeviceStatus/Antivirus/Status

• Antispyware:

  • Nenakonfigurováno (výchozí) – Intune nekontroluje žádná antispywarová řešení nainstalovaná na zařízení.
  • Vyžadovat – Zkontrolujte dodržování předpisů pomocí antispywarových řešení zaregistrovaných v Zabezpečení Windows Center, jako jsou Symantec a Microsoft Defender. Pokud je nastavená možnost Vyžadovat, zařízení se zakázaným nebo zastaralým antimalwarovým softwarem nedodržuje předpisy.

  DeviceStatus CSP – DeviceStatus/Antispyware/Status

Defender

Windows 10/11 Desktop podporují následující nastavení dodržování předpisů.

• Microsoft Defender Antimalware:

  • Nenakonfigurováno (výchozí) – Intune neřídí službu ani nemění existující nastavení.
  • Vyžadovat – Zapněte Microsoft Defender antimalwarovou službu a zabraňte uživatelům v jejím vypnutí.

• Microsoft Defender minimální verze antimalwaru:
  Zadejte minimální povolenou verzi antimalwarové služby Microsoft Defender. Zadejte 4.11.0.0například . Pokud ponecháte prázdnou, můžete použít libovolnou verzi Microsoft Defender antimalwarové služby.

  Ve výchozím nastavení není nakonfigurovaná žádná verze.

• Microsoft Defender aktuální antimalwarové bezpečnostní informace:
  Řídí Zabezpečení Windows aktualizace ochrany před viry a hrozbami na zařízeních.

  • Nenakonfigurováno (výchozí) – Intune nevynucuje žádné požadavky.
  • Vyžadovat – vynuťte, aby Microsoft Defender bezpečnostní informace byly aktuální.

  Defender CSP – Defender/Health/SignatureOutOfDate CSP

  Další informace najdete v tématu Aktualizace bezpečnostních informací pro antivirovou ochranu Microsoft Defender a další antimalware od Microsoftu.

• Ochrana v reálném čase:

  • Nenakonfigurováno (výchozí) – Intune tuto funkci neřídí ani nemění existující nastavení.
  • Vyžadovat – Zapněte ochranu v reálném čase, která vyhledává malware, spyware a další nežádoucí software.

  CSP zásad – Defender/AllowRealtimeMonitoring CSP

Microsoft Defender for Endpoint

pravidla Microsoft Defender for Endpoint

Další informace o integraci Microsoft Defender for Endpoint ve scénářích podmíněného přístupu najdete v tématu Konfigurace podmíněného přístupu v Microsoft Defender for Endpoint.

• Vyžadovat, aby zařízení bylo na nebo pod rizikovým skóre počítače:
  Toto nastavení použijte k tomu, abyste jako podmínku dodržování předpisů použili posouzení rizik ze služeb ochrany před hrozbami. Zvolte maximální povolenou úroveň hrozby:

  • Nenakonfigurováno (výchozí)
  • Vymazat – Tato možnost je nejbezpečnější, protože zařízení nemůže mít žádné hrozby. Pokud se zjistí, že zařízení má nějakou úroveň hrozeb, vyhodnotí se jako nevyhovující předpisům.
  • Nízká – zařízení se vyhodnotí jako vyhovující, pokud existují jenom hrozby nízké úrovně. Cokoli vyššího umístí zařízení do stavu nedodržuje předpisy.
  • Střední – zařízení se vyhodnotí jako vyhovující, pokud jsou stávající hrozby na zařízení nízké nebo střední úrovně. Pokud se zjistí, že zařízení obsahuje hrozby vysoké úrovně, zjistí se, že nedodržuje předpisy.
  • Vysoká – tato možnost je nejméně bezpečná a umožňuje všechny úrovně hrozeb. Může být užitečné, pokud toto řešení používáte jenom pro účely vytváření sestav.

  Informace o nastavení Microsoft Defender for Endpoint jako služby ochrany před hrozbami najdete v tématu Povolení Microsoft Defender for Endpoint s podmíněným přístupem.

Windows Holographic for Business

Windows Holographic for Business používá Windows 10 a novější platformu. Windows Holographic for Business podporuje následující nastavení:

• Zabezpečení> systémuŠifrování>Šifrování úložiště dat na zařízení.

Pokud chcete ověřit šifrování zařízení na Microsoft HoloLens, přečtěte si téma Ověření šifrování zařízení.

Surface Hub

Surface Hub používá Windows 10 a novější platformu. Surface Huby podporují dodržování předpisů i podmíněný přístup. Pokud chcete tyto funkce povolit na Zařízení Surface Hub, doporučujeme povolit automatickou registraci Windows v Intune (vyžaduje Microsoft Entra ID) a cílit na zařízení Surface Hub jako na skupiny zařízení. Aby zařízení Surface Hub fungovalo podle předpisů a podmíněného přístupu, musí být připojené Microsoft Entra.

Pokyny najdete v tématu Nastavení registrace pro zařízení s Windows.

Zvláštní aspekty pro Zařízení Surface Hub se systémem Windows 10/11 Team OS:
Zařízení Surface Hub, na kterých běží týmový operační systém Windows 10/11, v tuto chvíli nepodporují zásady dodržování Microsoft Defender for Endpoint a hesel. Proto pro Surface Huby, na kterých běží týmový operační systém Windows 10/11, nastavte následující dvě nastavení na výchozí nenakonfigurováno:

• V kategorii Heslo nastavte Vyžadovat heslo k odemknutí mobilních zařízení na výchozí nenakonfigurováno.

• V kategorii Microsoft Defender for Endpoint nastavte možnost Vyžadovat, aby zařízení mělo nebo mělo skóre rizika počítače na výchozí hodnotu Nenakonfigurováno.

Další kroky

• Přidejte akce pro zařízení nedodržující předpisy a použijte značky oboru k filtrování zásad.
• Monitorování zásad dodržování předpisů
• Projděte si nastavení zásad dodržování předpisů pro Windows 8.1 zařízení.