Nastavení pravidel pro zařízení spravovaná pomocí Intune pomocí zásad dodržování předpisů

Zásady dodržování předpisů v Microsoft Intune jsou sady pravidel a podmínek, které používáte k vyhodnocení konfigurace spravovaných zařízení. Tyto zásady vám můžou pomoct zabezpečit data a prostředky organizace ze zařízení, která nesplňují tyto požadavky na konfiguraci. Spravovaná zařízení musí splňovat podmínky, které jste nastavili ve svých zásadách, aby byla považována za vyhovující intune.

Pokud také integrujete výsledky dodržování předpisů ze zásad s podmíněným přístupem Microsoft Entra, můžete využít další vrstvu zabezpečení. Podmíněný přístup může vynutit řízení přístupu Microsoft Entra na základě aktuálního stavu dodržování předpisů zařízení a zajistit tak, aby přístup k podnikovým prostředkům byla povolena jenom zařízením, která vyhovují předpisům.

Zásady dodržování předpisů v Intune jsou rozdělené do dvou oblastí:

• Nastavení zásad dodržování předpisů jsou konfigurace pro celého tenanta, které fungují jako předdefinované zásady dodržování předpisů, které obdrží každé zařízení. Nastavení zásad dodržování předpisů určuje, jak zásady dodržování předpisů fungují ve vašem prostředí Intune, včetně toho, jak zacházet se zařízeními, která nemají přiřazené explicitní zásady dodržování předpisů pro zařízení.

• Zásady dodržování předpisů zařízením jsou samostatné sady pravidel a nastavení specifických pro platformu, které nasadíte do skupin uživatelů nebo zařízení. Zařízení vyhodnocují pravidla zásad, aby nahlásila stav dodržování předpisů zařízením. Stav nedodržování předpisů může mít za následek jednu nebo více akcí při nedodržení předpisů. Zásady podmíněného přístupu Microsoft Entra můžou tento stav použít také k blokování přístupu k prostředkům organizace z daného zařízení.

Nastavení zásad dodržování předpisů

Nastavení zásad dodržování předpisů jsou nastavení pro celého tenanta, která určují, jak služba intune pro dodržování předpisů komunikuje s vašimi zařízeními. Tato nastavení se liší od nastavení, která konfigurujete v zásadách dodržování předpisů zařízením.

Pokud chcete spravovat nastavení zásad dodržování předpisů, přihlaste se do Centra pro správu Microsoft Intune a přejděte do části Zabezpečení> koncových bodůNastavení zásad dodržování předpisůzařízením>.

Nastavení zásad dodržování předpisů zahrnují následující nastavení:

• Označit zařízení bez přiřazených zásad dodržování předpisů jako

  Toto nastavení určuje, jak Intune zachází se zařízeními, která nemají přiřazené zásady dodržování předpisů zařízením. Toto nastavení má dvě hodnoty:

  • Kompatibilní (výchozí): Tato funkce zabezpečení je vypnutá. Zařízení, kterým se neposílají zásady dodržování předpisů zařízením, se považují za zařízení dodržující předpisy.
  • Nedodržuje předpisy: Tato funkce zabezpečení je zapnutá. Zařízení bez zásad dodržování předpisů zařízením se považují za nedodržující předpisy.

  Pokud používáte podmíněný přístup se zásadami dodržování předpisů zařízením, změňte toto nastavení na Nevyhovující, abyste zajistili, že k vašim prostředkům budou mít přístup jenom zařízení, která jsou potvrzená jako vyhovující.

  Pokud koncový uživatel nedodržuje předpisy, protože mu nejsou přiřazené zásady, zobrazí se v aplikaci Portál společnosti informace o tom, že nebyly přiřazeny žádné zásady dodržování předpisů.

• Období platnosti stavu dodržování předpisů (dny)

  Zadejte období, ve kterém musí zařízení úspěšně vykazovat všechny přijaté zásady dodržování předpisů. Pokud se zařízení nepodaří nahlásit stav dodržování předpisů pro zásadu před vypršením doby platnosti, považuje se za zařízení nedodržující předpisy.

  Ve výchozím nastavení je období nastaveno na 30 dnů. Můžete nakonfigurovat období od 1 do 120 dnů.

  Můžete zobrazit podrobnosti o tom, jak zařízení dodržují nastavení doby platnosti. Přihlaste se do Centra pro správu Microsoft Intune a přejděte do částiMonitorování>zařízení>Nastavení dodržování předpisů. Toto nastavení má ve sloupci Nastavení název Je aktivní. Další informace o tomto a souvisejících zobrazeních stavu dodržování předpisů najdete v tématu Monitorování dodržování předpisů zařízením.

Zásady dodržování předpisů u zařízení

Zásady dodržování předpisů pro zařízení Intune jsou samostatné sady pravidel a nastavení specifických pro platformu, které nasazujete do skupin uživatelů nebo zařízení. Zásady dodržování předpisů slouží k:

• Definujte pravidla a nastavení, která uživatelé a spravovaná zařízení musí splňovat, aby vyhovovala předpisům. Mezi příklady pravidel patří vyžadování, aby zařízení běžela s minimální verzí operačního systému, neměla jailbreak nebo root a byla na úrovni hrozby nebo pod úrovní hrozby , jak určuje software pro správu hrozeb, který se integruje s Intune.

• Akce podpory pro nedodržování předpisů , které platí pro zařízení, která nesplňují pravidla dodržování předpisů zásad. Mezi příklady akcí při nedodržení předpisů patří označení zařízení jako nevyhovující, vzdálené uzamčení a odeslání e-mailu uživatele zařízení o stavu zařízení, aby ho mohl opravit.

Při používání zásad dodržování předpisů zařízením:

• Některé konfigurace zásad dodržování předpisů můžou přepsat konfiguraci nastavení, která spravujete také prostřednictvím zásad konfigurace zařízení. Další informace o řešení konfliktů u zásad najdete v tématu Zásady dodržování předpisů a konfigurace zařízení, které jsou v konfliktu.

• Zásady se můžou nasadit uživatelům ve skupinách uživatelů nebo zařízením ve skupinách zařízení. Když se pro uživatele nasadí zásady dodržování předpisů, zkontrolují se dodržování předpisů na všech zařízeních uživatele. Použití skupin zařízení v tomto scénáři pomáhá s vytvářením sestav dodržování předpisů.

• Pokud používáte podmíněný přístup Microsoft Entra, můžou vaše zásady podmíněného přístupu používat výsledky dodržování předpisů zařízením k blokování přístupu k prostředkům ze zařízení nesplňujících předpisy.

• Stejně jako u jiných zásad Intune závisí vyhodnocení zásad dodržování předpisů pro zařízení na tom, kdy se zařízení přihlásí do Intune, a na cyklech aktualizace zásad a profilu.

Dostupná nastavení, která můžete zadat v zásadách dodržování předpisů zařízením, závisí na typu platformy, který vyberete při vytváření zásad. Různé platformy zařízení podporují různá nastavení a každý typ platformy vyžaduje samostatné zásady.

Následující témata odkazují na vyhrazené články o různých aspektech zásad konfigurace zařízení.

• Akce při nedodržení předpisů – každá zásada dodržování předpisů zařízením ve výchozím nastavení zahrnuje akci, která označí zařízení jako nevyhovující, pokud nesplní pravidlo zásad. Každá zásada může podporovat více akcí v závislosti na platformě zařízení. Mezi příklady dalších akcí patří:

  • Odesílání e-mailových upozornění uživatelům a skupinám s podrobnostmi o zařízení, které nedodržuje předpisy Zásadu můžete nakonfigurovat tak, aby hned po označení jako nedodržující předpisy odesílala e-maily a pak znovu pravidelně, dokud zařízení nebude kompatibilní.
  • Vzdáleně uzamkněte zařízení , která už nějakou dobu nedodržují předpisy.
  • Zařízení poté, co už nějakou dobu nedodržují předpisy, vyřazovat. Tato akce označí oprávněné zařízení jako připravené k vyřazení. Správce pak může zobrazit seznam zařízení označených k vyřazení a musí provést explicitní akci, aby jedno nebo více zařízení vyřadil z provozu. Vyřazení zařízení odeberete ze správy Intune a odeberete ze zařízení všechna firemní data. Další informace o této akci najdete v tématu Dostupné akce pro nedodržení předpisů.

• Vytvoření zásad dodržování předpisů – S informacemi v propojeném článku můžete zkontrolovat požadavky, projít si možnosti konfigurace pravidel, určit akce pro nedodržení předpisů a přiřadit zásady skupinám. Tento článek obsahuje také informace o časech aktualizace zásad.

  Zobrazení nastavení dodržování předpisů zařízením pro různé platformy zařízení:

  • Správce zařízení s Androidem
  • Android Enterprise
  • Opensourcový projekt pro Android (AOSP)
  • iOS
  • Linux
  • macOS
  • Windows Holographic for Business
  • Windows 10/11
  • Windows 8.1 a novější

    Důležité

    22. října 2022 ukončila Microsoft Intune podporu pro zařízení s Windows 8.1. Technická pomoc a automatické aktualizace na těchto zařízeních nejsou k dispozici.

    Pokud aktuálně používáte Windows 8.1, doporučujeme přejít na zařízení s Windows 10/11. Microsoft Intune má integrované funkce zabezpečení a zařízení, které spravují klientská zařízení s Windows 10/11.

• Vlastní nastavení dodržování předpisů – S vlastním nastavením dodržování předpisů můžete rozbalit integrované možnosti dodržování předpisů pro zařízení v Intune. Vlastní nastavení umožňují flexibilně založit dodržování předpisů na nastaveních, která jsou k dispozici na zařízení, aniž byste museli čekat, až Intune tato nastavení přidá.

  Vlastní nastavení dodržování předpisů můžete použít na následujících platformách:

  • Linux – Ubuntu Desktop verze 20.04 LTS a 22.04 LTS
  • Windows 10
  • Windows 11

Monitorování stavu dodržování předpisů

Intune obsahuje řídicí panel dodržování předpisů zařízením, který používáte ke sledování stavu dodržování předpisů u zařízení a k přechodu k podrobnostem o zásadách a zařízeních, kde najdete další informace. Další informace o tomto řídicím panelu najdete v tématu Monitorování dodržování předpisů zařízením.

Integrace s podmíněným přístupem

Když použijete podmíněný přístup, můžete zásady podmíněného přístupu nakonfigurovat tak, aby pomocí výsledků zásad dodržování předpisů zařízením určily, která zařízení mají přístup k prostředkům vaší organizace. Toto řízení přístupu je navíc k akcím pro nedodržení předpisů, které zahrnete do zásad dodržování předpisů zařízením, a je oddělené od nich.

Když se zařízení zaregistruje v Intune, zaregistruje se v Microsoft Entra ID. Stav dodržování předpisů pro zařízení se hlásí do Microsoft Entra ID. Pokud vaše zásady podmíněného přístupu mají řízení přístupu nastavené na Vyžadovat, aby zařízení bylo označené jako vyhovující, použije podmíněný přístup tento stav dodržování předpisů k určení, jestli se má udělit nebo blokovat přístup k e-mailu a dalším prostředkům organizace.

Pokud u zásad podmíněného přístupu používáte stav dodržování předpisů zařízením, zkontrolujte, jak váš tenant konfiguruje možnost Označit zařízení bez přiřazených zásad dodržování předpisů, kterou spravujete v části Nastavení zásad dodržování předpisů.

Další informace o používání podmíněného přístupu se zásadami dodržování předpisů zařízením najdete v tématu Podmíněný přístup na základě zařízení.

Další informace o podmíněném přístupu najdete v dokumentaci Microsoft Entra:

• Co je podmíněný přístup
• Co je identita zařízení

Referenční informace o nedodržování předpisů a podmíněném přístupu na různých platformách

Následující tabulka popisuje, jak se spravují nevyhovující nastavení při použití zásad dodržování předpisů se zásadami podmíněného přístupu.

• Náprava: Operační systém zařízení vynucuje dodržování předpisů. Uživatel je například nucen nastavit PIN kód.

• V karanténě: Operační systém zařízení nevynucuje dodržování předpisů. Například zařízení s Androidem a Androidem Enterprise nenutí uživatele šifrovat zařízení. Pokud zařízení nedodržuje předpisy, provedou se následující akce:

  • Pokud se na uživatele vztahují zásady podmíněného přístupu, zařízení se zablokuje.
  • Aplikace Portál společnosti uživatele upozorní na případné problémy s dodržováním předpisů.

---

Nastavení zásad	Platforma
Povolené distribuce	Linux(jenom) – v karanténě
Šifrování zařízení	- Android 4.0 a novější: V karanténě - Samsung Knox Standard 4.0 a novější: V karanténě - Android Enterprise: V karanténě - iOS 8.0 a novější: Oprava (nastavením PIN kódu) - macOS 10.11 a novější: V karanténě - Linux: V karanténě - Windows 10/11: V karanténě
E-mailový profil	- Android 4.0 a novější: Nejde použít - Samsung Knox Standard 4.0 a novější: Nejde použít - Android Enterprise: Nejde použít - iOS 8.0 a novější: V karanténě - macOS 10.11 a novější: V karanténě - Linux: Nejde použít - Windows 10/11: Nejde použít
Zařízení s jailbreakem nebo rootem	- Android 4.0 a novější: V karanténě (bez nastavení) - Samsung Knox Standard 4.0 a novější: V karanténě (není nastavení) - Android Enterprise: V karanténě (ne nastavení) - iOS 8.0 a novější: V karanténě (bez nastavení) - macOS 10.11 a novější: Nejde použít - Linux: Nejde použít - Windows 10/11: Nejde použít
Maximální verze operačního systému	- Android 4.0 a novější: V karanténě - Samsung Knox Standard 4.0 a novější: V karanténě - Android Enterprise: V karanténě - iOS 8.0 a novější: V karanténě - macOS 10.11 a novější: V karanténě - Linux: Viz Povolené distribuce. - Windows 10/11: V karanténě
Minimální verze operačního systému	- Android 4.0 a novější: V karanténě - Samsung Knox Standard 4.0 a novější: V karanténě - Android Enterprise: V karanténě - iOS 8.0 a novější: V karanténě - macOS 10.11 a novější: V karanténě - Linux: Viz Povolené distribuce. - Windows 10/11: V karanténě
Konfigurace PIN kódu nebo hesla	- Android 4.0 a novější: V karanténě - Samsung Knox Standard 4.0 a novější: V karanténě - Android Enterprise: V karanténě - iOS 8.0 a novější: Náprava - macOS 10.11 a novější: Náprava - Linux: V karanténě - Windows 10/11: Náprava
Ověření stavu Windows	- Android 4.0 a novější: Nejde použít - Samsung Knox Standard 4.0 a novější: Nejde použít - Android Enterprise: Nejde použít - iOS 8.0 a novější: Nejde použít - macOS 10.11 a novější: Nejde použít - Linux: Nejde použít - Windows 10/11: V karanténě

Poznámka

Aplikace Portál společnosti vstoupí do toku nápravy registrace, když se uživatel přihlásí k aplikaci a zařízení se po dobu 30 nebo více dnů úspěšně nehlásilo se službou Intune (nebo zařízení nedodržuje předpisy kvůli důvodu ztráty dodržování předpisů kontaktem ). V tomto toku se pokusíme zahájit vracení se změnami ještě jednou. Pokud se to nepodaří, vydáme příkaz k vyřazení, který uživateli umožní znovu zaregistrovat zařízení ručně.

---

Další kroky

• Vytvoření a nasazení zásad a kontrola požadavků
• Monitorování dodržování předpisů zařízením
• Běžné dotazy, problémy a řešení týkající se zásad a profilů zařízení v Microsoft Intune
• Referenční informace o entitách zásad obsahuje informace o entitách zásad datového skladu Intune.