Nastavení dodržování předpisů zařízením pro Windows 10/11 v Intune
Tento článek uvádí a popisuje různá nastavení dodržování předpisů, která můžete nakonfigurovat na zařízeních s Windows v Intune. V rámci řešení správy mobilních zařízení (MDM) použijte tato nastavení k vyžadování nástroje BitLocker, nastavení minimálního a maximálního operačního systému, nastavení úrovně rizika pomocí Microsoft Defenderu for Endpoint atd.
Tato funkce platí pro:
- Windows 10/11
- Windows Holographic for Business
- Surface Hub
Jako správce Intune použijte tato nastavení dodržování předpisů k ochraně prostředků organizace. Další informace o zásadách dodržování předpisů a o tom, co dělají, najdete v tématu Začínáme s dodržováním předpisů zařízeními.
Než začnete
Vytvořte zásadu dodržování předpisů. V části Platforma vyberte Windows 10 a novější.
Stav zařízení
Aby se zajistilo, že se zařízení spustí do důvěryhodného stavu, intune využívá služby Microsoftu pro ověření identity zařízení. Zařízení v rámci komerčních služeb Intune, GCC High a DoD pro státní správu USA se systémem Windows 10 používají službu DHA (Device Health Attestation).
Další informace najdete tady:
Pravidla zkušební služby Windows Health Attestation Service
Vyžadovat nástroj BitLocker:
Nástroj Windows BitLocker Drive Encryption šifruje všechna data uložená na svazku operačního systému Windows. BitLocker používá čip TPM (Trusted Platform Module) k ochraně operačního systému Windows a uživatelských dat. Pomáhá také ověřit, že s počítačem není manipulováno, a to i v případě, že je ponechán bez dozoru, ztracen nebo odcizen. Pokud je počítač vybaven kompatibilním čipem TPM, BitLocker pomocí čipu TPM uzamkne šifrovací klíče, které chrání data. V důsledku toho není možné získat přístup k klíčům, dokud čip TPM neověří stav počítače.- Nenakonfigurováno (výchozí) – Toto nastavení se nevyhodnocuje z hlediska dodržování předpisů nebo nedodržování předpisů.
- Vyžadovat – zařízení může chránit data uložená na jednotce před neoprávněným přístupem, když je systém vypnutý nebo přejde do režimu hibernace.
Device HealthAttestation CSP – BitLockerStatus
Poznámka
Pokud v Intune používáte zásady dodržování předpisů zařízením, mějte na paměti, že stav tohoto nastavení se měří jenom při spuštění. Proto i když šifrování nástrojem BitLocker mohlo být dokončeno, bude nutné restartovat zařízení, aby to zjistilo a stalo se kompatibilním. Další informace najdete na následujícím blogu podpory Microsoftu o ověření stavu zařízení.
Vyžadovat, aby na zařízení bylo povolené zabezpečené spouštění:
- Nenakonfigurováno (výchozí) – Toto nastavení se nevyhodnocuje z hlediska dodržování předpisů nebo nedodržování předpisů.
- Vyžadovat – systém je nucen spustit do důvěryhodného stavu továrny. Základní komponenty, které se používají ke spuštění počítače, musí mít správné kryptografické podpisy, kterým důvěřuje organizace, která zařízení vyrábí. Firmware rozhraní UEFI ověří podpis předtím, než umožní spuštění počítače. Pokud dojde k manipulaci s nějakými soubory, což přeruší jejich podpis, systém se nespustí.
Poznámka
Nastavení Vyžadovat povolení zabezpečeného spouštění na zařízení je podporováno na některých zařízeních TPM 1.2 a 2.0. U zařízení, která nepodporují čip TPM 2.0 nebo novější, se stav zásad v Intune zobrazuje jako Nevyhovující předpisům. Další informace o podporovaných verzích najdete v tématu Ověření stavu zařízení.
Vyžadovat integritu kódu:
Integrita kódu je funkce, která ověřuje integritu ovladače nebo systémového souboru při každém načtení do paměti.- Nenakonfigurováno (výchozí) – Toto nastavení se nevyhodnocuje z hlediska dodržování předpisů nebo nedodržování předpisů.
- Vyžadovat – Vyžadovat integritu kódu, která zjistí, jestli se do jádra načítá nepodepsaný ovladač nebo systémový soubor. Zjistí také, jestli je systémový soubor změněný škodlivým softwarem nebo spuštěný uživatelským účtem s oprávněními správce.
Další informace najdete tady:
- Podrobnosti o tom, jak služba Ověření stavu funguje, najdete v tématu Health Attestation CSP.
- Tip pro podporu: Použití nastavení ověření stavu zařízení jako součásti zásad dodržování předpisů Intune.
Vlastnosti zařízení
Verze operačního systému
Pokud chcete zjistit verze buildu pro všechny aktualizace funkcí a kumulativní aktualizace Windows 10/11 (které se mají použít v některých polích níže), přečtěte si informace o vydání windows. Nezapomeňte před čísla buildů uvést příslušnou předponu verze, například 10.0 pro Windows 10, jak je znázorněno na následujících příkladech.
Minimální verze operačního systému:
Zadejte minimální povolenou verzi ve formátu čísla major.minor.build.revision . Pokud chcete získat správnou hodnotu, otevřete příkazový řádek a zadejtever
. Příkazver
vrátí verzi v následujícím formátu:Microsoft Windows [Version 10.0.17134.1]
Pokud má zařízení starší verzi, než je verze operačního systému, kterou zadáte, ohlásí se jako nedodržující předpisy. Zobrazí se odkaz s informacemi o tom, jak upgradovat. Koncový uživatel se může rozhodnout, že své zařízení upgraduje. Po upgradu mají přístup k prostředkům společnosti.
Maximální verze operačního systému:
Zadejte maximální povolenou verzi ve formátu čísla major.minor.build.revision . Pokud chcete získat správnou hodnotu, otevřete příkazový řádek a zadejtever
. Příkazver
vrátí verzi v následujícím formátu:Microsoft Windows [Version 10.0.17134.1]
Pokud zařízení používá novější verzi operačního systému, než je zadaná verze, zablokuje se přístup k prostředkům organizace. Koncový uživatel se zobrazí výzva, aby kontaktoval správce IT. Zařízení nebude mít přístup k prostředkům organizace, dokud se nezmění pravidlo tak, aby umožňovalo verzi operačního systému.
Minimální požadovaný operační systém pro mobilní zařízení:
Zadejte minimální povolenou verzi ve formátu čísla major.minor.build.Pokud má zařízení starší verzi operačního systému, kterou zadáte, ohlásí se, že nedodržuje předpisy. Zobrazí se odkaz s informacemi o tom, jak upgradovat. Koncový uživatel se může rozhodnout, že své zařízení upgraduje. Po upgradu mají přístup k prostředkům společnosti.
Maximální požadovaný operační systém pro mobilní zařízení:
Zadejte maximální povolenou verzi do čísla major.minor.build.Pokud zařízení používá novější verzi operačního systému, než je zadaná verze, zablokuje se přístup k prostředkům organizace. Koncový uživatel se zobrazí výzva, aby kontaktoval správce IT. Zařízení nebude mít přístup k prostředkům organizace, dokud se nezmění pravidlo tak, aby umožňovalo verzi operačního systému.
Platné buildy operačního systému:
Zadejte seznam minimálních a maximálních sestavení operačního systému. Platná sestavení operačního systému poskytují větší flexibilitu ve srovnání s minimální a maximální verzí operačního systému. Představte si scénář, kdy je minimální verze operačního systému nastavená na 10.0.18362.xxx (Windows 10 1903) a maximální verze operačního systému je nastavená na 10.0.18363.xxx (Windows 10 1909). Tato konfigurace umožňuje identifikaci zařízení s Windows 10 1903, které nemá nainstalované nedávné kumulativní aktualizace, jako vyhovující předpisům. Minimální a maximální verze operačního systému mohou být vhodné, pokud jste standardizovali jednu verzi Windows 10, ale nemusí řešit vaše požadavky, pokud potřebujete použít více buildů, z nichž každý má konkrétní úrovně oprav. V takovém případě zvažte využití platných sestavení operačního systému, které umožňují zadat více sestavení podle následujícího příkladu.Největší podporovaná hodnota pro každé pole verze, hlavní verze, podverze a sestavení je 65535. Například největší hodnota, kterou můžete zadat, je 65535.65535.65535.65535.
Příklad:
Následující tabulka obsahuje příklad rozsahu přijatelných verzí operačních systémů pro různé verze Windows 10. V tomto příkladu jsou povolené tři různé aktualizace funkcí (1809, 1909 a 2004). Konkrétně se za vyhovující budou považovat pouze ty verze Systému Windows, u kterých se od června do září 2020 použily kumulativní aktualizace. Toto jsou pouze ukázková data. Tabulka obsahuje první sloupec, který obsahuje veškerý text, který chcete popište položku, následovaný minimální a maximální verzí operačního systému pro danou položku. Druhý a třetí sloupec musí odpovídat platným verzím sestavení operačního systému ve formátu čísla major.minor.build.revision . Po definování jedné nebo více položek můžete seznam exportovat jako soubor hodnot oddělených čárkami (CSV).Popis Minimální verze operačního systému Maximální verze operačního systému Win 10 2004 (červen-září 2020) 10.0.19041.329 10.0.19041.508 Win 10 1909 (červen-září 2020) 10.0.18363.900 10.0.18363.1110 Win 10 1809 (červen-září 2020) 10.0.17763.1282 10.0.17763.1490 Poznámka
Pokud v zásadách zadáte více rozsahů buildů verzí operačního systému a zařízení má sestavení mimo vyhovující rozsahy, Portál společnosti upozorní uživatele zařízení, že zařízení není kompatibilní s tímto nastavením. Mějte ale na paměti, že kvůli technickým omezením se ve zprávě o nápravě dodržování předpisů zobrazuje jenom první rozsah verzí operačního systému zadaný v zásadách. Doporučujeme zdokumentovat přijatelné rozsahy verzí operačního systému pro spravovaná zařízení ve vaší organizaci.
Dodržování předpisů v nástroji Configuration Manager
Platí jenom pro spoluspravované zařízení s Windows 10/11. Zařízení jenom v Intune vrátí stav Nedostupné.
-
Vyžadovat dodržování předpisů zařízením v nástroji Configuration Manager:
- Nenakonfigurováno (výchozí) – Intune nekontroluje dodržování předpisů v nastavení Configuration Manageru.
- Vyžadovat – Vyžaduje, aby všechna nastavení (položky konfigurace) v nástroji Configuration Manager splňovala předpisy.
Zabezpečení systému
Password
Vyžadovat heslo k odemknutí mobilních zařízení:
- Nenakonfigurováno (výchozí) – Toto nastavení se nevyhodnocuje z hlediska dodržování předpisů nebo nedodržování předpisů.
- Vyžadovat – Uživatelé musí zadat heslo, aby měli přístup ke svému zařízení.
Jednoduchá hesla:
- Nenakonfigurováno (výchozí) – Uživatelé můžou vytvářet jednoduchá hesla, například 1234 nebo 1111.
- Blokovat – uživatelé nemůžou vytvářet jednoduchá hesla, například 1234 nebo 1111.
Typ hesla:
Zvolte požadovaný typ hesla nebo PIN kódu. Možnosti:- Výchozí nastavení zařízení (výchozí) – vyžadování hesla, číselného KÓDU PIN nebo alfanumerického PIN kódu
- Číselné – vyžadování hesla nebo číselného PIN kódu
- Alfanumerické – Vyžaduje heslo nebo alfanumerický PIN kód.
Pokud je nastavená alfanumerická hodnota, jsou k dispozici následující nastavení:
Složitost hesla:
Možnosti:- Vyžadovat číslice a malá písmena (výchozí)
- Vyžadovat číslice, malá písmena a velká písmena
- Vyžadovat číslice, malá písmena, velká písmena a speciální znaky
Tip
Alfanumerické zásady hesel můžou být složité. Doporučujeme správcům, aby si přečetli CSP, kde získáte další informace:
Minimální délka hesla:
Zadejte minimální počet číslic nebo znaků, které musí heslo obsahovat.Maximální počet minut nečinnosti před vyžadování hesla:
Zadejte dobu nečinnosti, po které uživatel musí znovu zadat heslo.Vypršení platnosti hesla (dny):
Zadejte počet dní před vypršením platnosti hesla a uživatel musí vytvořit nové heslo od 1 do 730.Počet předchozích hesel, aby se zabránilo opakovanému použití:
Zadejte počet dříve použitých hesel, která se nedají použít.Vyžadovat heslo při návratu zařízení ze stavu nečinnosti (mobilní zařízení a Holographic):
- Nenakonfigurováno (výchozí)
- Vyžadovat – Vyžadovat, aby uživatelé zařízení zadali heslo pokaždé, když se zařízení vrátí ze stavu nečinnosti.
Důležité
Když se na ploše Windows změní požadavek na heslo, budou uživatelé ovlivněni při příštím přihlášení, protože to znamená, že zařízení přejde z nečinnosti na aktivní. Uživatelům s hesly, která splňují tento požadavek, se stále zobrazí výzva ke změně hesla.
Šifrování
Šifrování úložiště dat na zařízení:
Toto nastavení platí pro všechny jednotky na zařízení.- Nenakonfigurováno (výchozí)
- Vyžadovat – Použijte možnost Vyžadovat k šifrování úložiště dat na vašich zařízeních.
DeviceStatus CSP – DeviceStatus/ Compliance/EncryptionCompliance
Poznámka
Nastavení Šifrování úložiště dat na zařízení obecně kontroluje přítomnost šifrování na zařízení, konkrétně na úrovni jednotky s operačním systémem. V současné době Intune podporuje pouze kontrolu šifrování nástrojem BitLocker. V případě robustnějšího nastavení šifrování zvažte použití nástroje Vyžadovat nástroj BitLocker, který využívá ověření stavu zařízení s Windows k ověření stavu bitlockeru na úrovni čipu TPM. Při použití tohoto nastavení ale mějte na paměti, že může být vyžadováno restartování, než se zařízení projeví jako vyhovující.
Zabezpečení zařízení
Brána firewall:
- Nenakonfigurováno (výchozí) – Intune neřídí bránu Windows Firewall ani nemění existující nastavení.
- Vyžadovat – Zapněte bránu Windows Firewall a zabraňte uživatelům v jejím vypnutí.
Poznámka
Pokud se zařízení okamžitě synchronizuje po restartování nebo se okamžitě synchronizuje z režimu spánku, může se toto nastavení hlásit jako Chyba. Tento scénář nemusí mít vliv na celkový stav dodržování předpisů zařízením. Pokud chcete znovu vyhodnotit stav dodržování předpisů, proveďte ruční synchronizaci zařízení.
Pokud se konfigurace použije (například prostřednictvím zásad skupiny) na zařízení, které nakonfiguruje bránu Windows Firewall tak, aby umožňovala veškerý příchozí provoz, nebo vypne bránu firewall, nastavení brány firewall na Vyžadovat vrátí nevyhovující předpisům, a to i v případě, že zásady konfigurace zařízení Intune zapnou bránu firewall. Je to proto, že objekt zásad skupiny přepíše zásady Intune. Pokud chcete tento problém vyřešit, doporučujeme odebrat všechna konfliktní nastavení zásad skupiny nebo migrovat nastavení zásad skupiny související s bránou firewall do zásad konfigurace zařízení Intune. Obecně doporučujeme zachovat výchozí nastavení, včetně blokování příchozích připojení. Další informace najdete v tématu Osvědčené postupy pro konfiguraci brány Windows Firewall.
Čip TPM (Trusted Platform Module):
- Nenakonfigurováno (výchozí) – Intune nekontroluje v zařízení verzi čipu TPM.
- Vyžadovat – Intune zkontroluje dodržování předpisů u verze čipu TPM. Zařízení je kompatibilní, pokud je verze čipu TPM větší než 0 (nula). Zařízení není kompatibilní, pokud na něm není verze čipu TPM.
Antivirová ochrana:
- Nenakonfigurováno (výchozí) – Intune nekontroluje žádná antivirová řešení nainstalovaná na zařízení.
- Vyžadovat – zkontrolujte dodržování předpisů pomocí antivirových řešení, která jsou zaregistrovaná v Centru zabezpečení systému Windows, jako jsou Symantec a Microsoft Defender. Pokud je nastavená možnost Vyžadovat, zařízení se zakázaným nebo zastaralým antivirovým softwarem nedodržuje předpisy.
Antispyware:
- Nenakonfigurováno (výchozí) – Intune nekontroluje žádná antispywarová řešení nainstalovaná na zařízení.
- Vyžadovat – Zkontrolujte dodržování předpisů pomocí antispywarových řešení, která jsou zaregistrovaná v Centru zabezpečení systému Windows, jako jsou Symantec a Microsoft Defender. Pokud je nastavená možnost Vyžadovat, zařízení se zakázaným nebo zastaralým antimalwarovým softwarem nedodržuje předpisy.
Defender
Ve Windows 10/11 Desktop se podporují následující nastavení dodržování předpisů.
Antimalware v programu Microsoft Defender:
- Nenakonfigurováno (výchozí) – Intune neřídí službu ani nemění existující nastavení.
- Vyžadovat – Zapněte antimalwarovou službu Microsoft Defenderu a zabraňte uživatelům v jejím vypnutí.
Minimální verze Antimalwaru v programu Microsoft Defender:
Zadejte minimální povolenou verzi antimalwarové služby Microsoft Defenderu. Zadejte4.11.0.0
například . Pokud je tato možnost prázdná, můžete použít libovolnou verzi antimalwarové služby Microsoft Defenderu.Ve výchozím nastavení není nakonfigurovaná žádná verze.
Aktuální informace o zabezpečení v programu Microsoft Defender Antimalware:
Řídí aktualizace ochrany před viry a hrozbami v Zabezpečení Windows na zařízeních.- Nenakonfigurováno (výchozí) – Intune nevynucuje žádné požadavky.
- Vyžadovat – Vynuťte aktuát informace o zabezpečení v programu Microsoft Defender.
Defender CSP – Defender/Health/SignatureOutOfDate CSP
Další informace najdete v tématu Aktualizace bezpečnostních informací pro Antivirovou ochranu v programu Microsoft Defender a další antimalware od Microsoftu.
Ochrana v reálném čase:
- Nenakonfigurováno (výchozí) – Intune tuto funkci neřídí ani nemění existující nastavení.
- Vyžadovat – Zapněte ochranu v reálném čase, která vyhledává malware, spyware a další nežádoucí software.
Microsoft Defender for Endpoint
Pravidla Microsoft Defenderu for Endpoint
Další informace o integraci Microsoft Defenderu for Endpoint ve scénářích podmíněného přístupu najdete v tématu Konfigurace podmíněného přístupu v Microsoft Defenderu for Endpoint.
Vyžadovat, aby zařízení bylo na nebo pod rizikovým skóre počítače:
Toto nastavení použijte k tomu, abyste jako podmínku dodržování předpisů použili posouzení rizik ze služeb ochrany před hrozbami. Zvolte maximální povolenou úroveň hrozby:- Nenakonfigurováno (výchozí)
- Vymazat – Tato možnost je nejbezpečnější, protože zařízení nemůže mít žádné hrozby. Pokud se zjistí, že zařízení má nějakou úroveň hrozeb, vyhodnotí se jako nevyhovující předpisům.
- Nízká – zařízení se vyhodnotí jako vyhovující, pokud existují jenom hrozby nízké úrovně. Cokoli vyššího umístí zařízení do stavu nedodržuje předpisy.
- Střední – zařízení se vyhodnotí jako vyhovující, pokud jsou stávající hrozby na zařízení nízké nebo střední úrovně. Pokud se zjistí, že zařízení obsahuje hrozby vysoké úrovně, zjistí se, že nedodržuje předpisy.
- Vysoká – tato možnost je nejméně bezpečná a umožňuje všechny úrovně hrozeb. Může být užitečné, pokud toto řešení používáte jenom pro účely vytváření sestav.
Pokud chcete nastavit Microsoft Defender for Endpoint jako službu ochrany před hrozbami, přečtěte si téma Povolení Microsoft Defenderu pro koncový bod s podmíněným přístupem.
Windows Holographic for Business
Windows Holographic for Business používá platformu Windows 10 a novější . Windows Holographic for Business podporuje následující nastavení:
- Zabezpečení> systémuŠifrování>Šifrování úložiště dat na zařízení.
Pokud chcete ověřit šifrování zařízení v Microsoft HoloLens, přečtěte si téma Ověření šifrování zařízení.
Surface Hub
Surface Hub používá platformu Windows 10 a novější . Surface Huby podporují dodržování předpisů i podmíněný přístup. Pokud chcete tyto funkce povolit na Zařízení Surface Hub, doporučujeme povolit automatickou registraci Windows v Intune (vyžaduje Microsoft Entra ID) a cílit na zařízení Surface Hub jako na skupiny zařízení. Aby zařízení Surface Hub fungovalo podle předpisů a podmíněného přístupu, musí být připojená k Microsoft Entra.
Pokyny najdete v tématu Nastavení registrace pro zařízení s Windows.
Zvláštní aspekty týkající se zařízení Surface Hub s operačním systémem Windows 10/11 Team:
Zařízení Surface Hub, na kterých běží týmový operační systém Windows 10/11, v tuto chvíli nepodporují zásady dodržování předpisů microsoft defenderu pro koncové body a hesla. Proto u zařízení Surface Hub se systémem Windows 10/11 Team OS nastavte následující dvě nastavení na výchozí nenakonfigurováno:
V kategorii Heslo nastavte Vyžadovat heslo k odemknutí mobilních zařízení na výchozí nenakonfigurováno.
V kategorii Microsoft Defender for Endpoint nastavte možnost Vyžadovat, aby zařízení mělo nebo mělo skóre rizika počítače na výchozí hodnotu Nenakonfigurováno.