Zásady dodržování předpisů v Configuration Manageru
Rozsah platnosti: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1
Informace v tomto tématu se vztahují na System Center 2012 Configuration Manager SP1 a novější verze a na System Center 2012 R2 Configuration Manager a novější verze.
Zásady dodržování předpisů v nástroji Configuration Manager definují pravidla a nastavení, která musí zařízení dodržovat, aby se dalo považovat za zařízení, které dodržuje zásady podmíněného přístupu. Zásady dodržování předpisů můžeme používat i k monitorování a opravám problémů s dodržováním předpisů u zařízení, a to nezávisle na podmíněném přístupu.
Důležité |
---|
Zásady dodržování předpisů se vztahují jen na zařízení spravovaná službou Microsoft Intune. |
Mezi tato pravidla patří:
PIN kód a hesla
Šifrování
Jestli je zařízení s jailbreakem nebo rootem
Jestli je e-mail na zařízení spravovaný zásadami služby Intune
Minimální požadovaná verze operačního systému: Ta závisí obvykle na zásadách dodržování předpisů a požadavcích na zabezpečení vaší společnosti. To pomáhá zabránit přístupu k zařízení, které může mít slabá místa zabezpečení, protože používá starší verzi operačního systému.
Maximální povolená verze operačního systému: Můžete se rozhodnout, že nebudete podporovat nejnovější verzi operačního systému před jeho otestováním nebo z jiných důvodů. Můžete blokovat zařízení s novější verzí, než je ta, kterou jste zadali. Zařízení nebude mít přístup k prostředkům společnosti, dokud zásady nezměníte.
Poznámka
Pokud chcete používat pravidla pro minimální a maximální verzi operačního systému, je potřeba použít nejnovější rozšíření pro podmíněný přístup pro System Center 2012 R2 Configuration Manager SP1.
Poznámka
U počítačů s Windows se verze operačního systému Windows 8.1 označuje jako 6.3, ne jako 8.1. Pokud je pravidlo verze operačního systému pro Windows nastavené na Windows 8.1, bude se zařízení uvádět jako nekompatibilní i v případě, že bude používat operační systém Windows 8.1. Ověřte, že pro pravidla minimální a maximální verze operačního systému nastavujete správnou uvedenou verzi Windows. Číslo verze se musí shodovat s verzí vrácenou příkazem winver.
Ve Windows Phone k tomuto problému nedochází, verze je uvedená podle očekávání jako 8.1.
Zásady dodržování předpisů nasazujete do kolekcí uživatelů. Když se zásady dodržování předpisů nasadí uživateli, kontroluje se dodržování předpisů u všech zařízení takového uživatele.
Následující tabulka uvádí typy zařízení podporované zásadami dodržování předpisů. Kromě toho je v ní i způsob, jak se spravují nastavení, která předpisy nedodržují, pokud se zásady používají se zásadami podmíněného přístupu.
Typ zařízení |
Konfigurace PIN kódu nebo hesla |
Šifrování zařízení |
Zařízení s jailbreakem nebo rootem |
E-mailový profil |
Minimální verze operačního systému |
Maximální verze operačního systému |
---|---|---|---|---|---|---|
Windows 8.1 a vyšší |
Opravené |
Není k dispozici |
Není k dispozici |
Není k dispozici |
V karanténě |
V karanténě |
Windows Phone 8.1 nebo novější |
Opravené |
Opravené |
Není k dispozici |
Není k dispozici |
V karanténě |
V karanténě |
iOS 6.0 nebo novější |
Opravené |
Opravené (nastavením PIN kódu) |
V karanténě (není nastavení) |
V karanténě |
V karanténě |
V karanténě |
Android 4.0 nebo novější |
V karanténě |
V karanténě |
V karanténě (není nastavení) |
Není k dispozici |
V karanténě |
V karanténě |
Zařízení, na kterém běží Samsung KNOX Standard 4.0 nebo novější |
V karanténě |
V karanténě |
V karanténě (není nastavení) |
Není k dispozici |
V karanténě |
V karanténě |
Opravené = dodržování předpisů se vynucuje operačním systémem zařízení (například tak, že uživatel musí zadat PIN kód). To se nikdy nestane, pokud nastavení nedodržuje předpisy.
V karanténě = operační systém zařízení nevynucuje dodržování předpisů (například zařízení s Androidem nenutí uživatele šifrovat svoje zařízení). V takovém případě:
Zařízení se zablokuje, pokud se na uživatele zaměřuje zásada podmíněného přístupu.
Firemní portál nebo Webový portál oznámí uživateli všechny problémy s dodržováním předpisů.
Krok 1: Vytvoření zásady dodržování předpisů
V konzole nástroje Configuration Manager klikněte na Prostředky a kompatibilita.
V pracovním prostoru Prostředky a kompatibilita rozbalte seznam Nastavení kompatibility a pak klikněte na Zásady dodržování předpisů.
Na kartě Domů ve skupině Vytvořit klikněte na Vytvořit zásadu dodržování předpisů.
Na stránce Obecné v Průvodci vytvořením zásady dodržování předpisů zadejte následující informace:
Nastavení
Další informace
Název
Zadejte jedinečný název zásady dodržování předpisů. Opět můžete použít maximálně 256 znaků.
Popis
Zadejte popis poskytující přehled profilu sítě VPN, pomocí kterého jej budete moct identifikovat v konzole nástroje Configuration Manager. Opět můžete použít maximálně 256 znaků.
Závažnost neshody pro sestavy
Zadejte úroveň závažnosti, která se použije v hlášení, pokud tato zásada dodržování předpisů vyhodnotí nesplnění požadavků. K dispozici jsou následující úrovně závažnosti:
Žádné Zařízení, které nesplní toto pravidlo shody, nenahlásí u sestav nástroje Configuration Manager závažnost selhání.
Informace Zařízení, které nesplní toto pravidlo shody, nahlásí u sestav nástroje Configuration Manager závažnost selhání typu Informace.
Upozornění Zařízení, které nesplní toto pravidlo shody, nahlásí u sestav nástroje Configuration Manager závažnost selhání typu Upozornění.
Kritické Zařízení, které nesplní toto pravidlo shody, nahlásí u sestav nástroje Configuration Manager závažnost selhání typu Kritické.
Kritické s událostí Zařízení, které nesplní toto pravidlo shody, nahlásí u sestav nástroje Configuration Manager závažnost selhání typu Kritické. Tato úroveň závažnosti se taky zaznamená jako událost systému Windows v protokolu událostí aplikací.
Na stránce Podporované platformy vyberte platformy zařízení, pro které se tato zásada dodržování předpisů bude vyhodnocovat, nebo klikněte na Vybrat vše, pokud chcete zvolit všechny platformy zařízení.
Na stránce Pravidla definujte jedno nebo víc pravidel určujících konfiguraci, kterou zařízení musí mít, aby se vyhodnotilo jako kompatibilní. V následující tabulce jsou uvedená dostupná pravidla. Když vytváříte zásadu dodržování předpisů, některá pravidla jsou ve výchozím nastavení povolená, můžete je ale upravit nebo odstranit.
Název pravidla
Další informace
Podporované platformy
Požadovat nastavení hesla na mobilních zařízeních
Vyžaduje, aby uživatel zadal heslo, než bude moct svoje zařízení používat.
(Povolené ve výchozím nastavení)
Windows Phone 8 nebo novější
iOS 6 nebo novější
Android 4.0 nebo novější
Zařízení, na kterém běží Samsung KNOX Standard 4.0 nebo novější
Povolit jednoduchá hesla
Umožní uživatelům vytvářet jednoduchá hesla, jako jsou 1234nebo 1111.
(Zakázané ve výchozím nastavení)
Windows Phone 8 nebo novější
iOS 6 nebo novější
Minimální délka hesla1
Určuje minimální počet číslic nebo znaků, které musí heslo uživatele obsahovat.
(Výchozí nastavení: 6)
Windows Phone 8 a novější
Windows 8.1
iOS 6 nebo novější
Android 4.0 nebo novější
Zařízení, na kterém běží Samsung KNOX Standard 4.0 nebo novější
Šifrování souborů na mobilním zařízení
Vyžaduje, aby zařízení bylo před připojením k prostředkům šifrované.
Zařízení s Windows Phone 8 se šifrují automaticky.
Důležité Zařízení s iOS se šifrují, pokud nakonfigurujete nastavení Požadovat nastavení hesla na mobilních zařízeních.
(Povolené ve výchozím nastavení)
Windows Phone 8 nebo novější
Android 4.0 nebo novější
Zařízení, na kterém běží Samsung KNOX Standard 4.0 nebo novější
U zařízení nesmí být provedený jailbreak nebo root
Pokud se povolí, zařízení s jailbreakem (iOS) nebo rootem (Android) nebudou dodržovat předpisy.
(Zakázané ve výchozím nastavení)
iOS 6 nebo novější
Android 4.0 nebo novější
Zařízení, na kterém běží Samsung KNOX Standard 4.0 nebo novější
E-mailový profil se musí spravovat přes Intune
Pokud se zvolí tato možnost, zařízení se ohlásí jako nedodržující předpisy, pokud uživatel na zařízení nastavil e-mailový účet, který se shoduje s e-mailovým profilem nasazeným na zařízení správcem IT.Configuration Manager nemůže přepsat uživatelem zřízený profil, a proto ho nemůže ani spravovat.
Aby zařízení dodržovalo předpisy, musí uživatel odstranit existující nastavení e-mailu. Pak Configuration Manager může nainstalovat spravovaný e-mailový profil.
Podrobnosti o e-mailových profilech najdete v tématu Povolení přístupu k podnikovému e-mailu pomocí e-mailových profilů v Microsoft Intune.
(Zakázané ve výchozím nastavení)
iOS 6 nebo novější
E-mailový profil
Pokud se zvolí E-mailový účet se musí spravovat přes Intune, klikněte na Vybrat a zvolte e-mailový profil, přes který se musí spravovat zařízení. Tento e-mailový profil musí být na zařízení.
iOS 6 nebo novější
Minimální požadovaný operační systém
Pokud zařízení nesplňuje požadavek na minimální verzi operačního systému, uvede se jako nekompatibilní. Zobrazí se odkaz s informacemi o postupu upgradu. Koncový uživatel si může upgradovat svoje zařízení. Potom bude mít přístup k prostředkům společnosti.
Windows Phone 8 a novější
Windows 8.1
iOS 6 nebo novější
Android 4.0 nebo novější
Zařízení, na kterém běží Samsung KNOX Standard 4.0 nebo novější
Maximální povolená verze operačního systému
Pokud zařízení používá verzi operačního systému, která je novější než verze zadaná v pravidle, bude přístup k prostředkům společnosti blokovaný a uživateli se zobrazí výzva, aby kontaktoval správce IT. Dokud nedojde ke změně v pravidle, která tuto verzi operačního systému povolí, nepůjde přes toto zařízení přistupovat k prostředkům společnosti.
Windows Phone 8 a novější
Windows 8.1
iOS 6 nebo novější
Android 4.0 nebo novější
Zařízení, na kterém běží Samsung KNOX Standard 4.0 nebo novější
1 U zařízení s Windows zabezpečených účtem Microsoft se zásada dodržování předpisů nevyhodnotí správně, pokud je Minimální délka hesla větší než 8 znaků nebo pokud Minimální počet znakových sad je víc než 2.
Na stránce Souhrn v průvodci zkontrolujte provedená nastavení a pak dokončete průvodce.
Nová zásada se zobrazí v uzlu Zásady dodržování předpisů pracovního prostoru Prostředky a kompatibilita.
Nasazení zásady dodržování předpisů
V konzole nástroje Configuration Manager klikněte na Prostředky a kompatibilita.
V pracovním prostoru Prostředky a kompatibilita rozbalte seznam Nastavení kompatibility a pak klikněte na Zásady dodržování předpisů.
Na kartě Domů ve skupině Nasazení klikněte na možnost Nasadit.
V dialogovém okně Nasadit zásady dodržování předpisů klikněte na Procházet a vyberte kolekci uživatelů, do které chcete zásady nasadit.
Kromě toho můžete vybrat možnosti generování výstrah v případě, že zásady nebudou kompatibilní, a taky nakonfigurovat plán, podle kterého se u této zásady vyhodnotí dodržení předpisů.
Po dokončení klikněte na OK.
Monitorování zásady dodržování předpisů
Chcete-li zobrazit výsledky kontroly kompatibility v konzole nástroje Configuration Manager:
V konzole aplikace Configuration Manager klikněte na položku Sledování.
V pracovním prostoru Sledování klikněte na možnost Nasazení.
V seznamu Nasazení vyberte nasazení zásady dodržování předpisů, u kterého chcete zkontrolovat informace o kompatibilitě.
Na hlavní stránce můžete zkontrolovat souhrnné informace o kompatibilitě nasazení zásady. Pokud chcete zobrazit podrobnější informace, vyberte nasazení a pak na kartě Domů klikněte ve skupině Nasazení na Zobrazit stav a otevřete stránku Stav nasazení.
Na stránce Stav nasazení naleznete následující karty:
Kompatibilní: Zobrazuje kompatibilitu zásady podle počtu ovlivněných prostředků. Kliknutím na pravidlo můžete vytvořit dočasný uzel v uzlu Uživatelé nebo Zařízení v pracovním prostoru Prostředky a kompatibilita, který bude obsahovat všechny uživatele nebo zařízení kompatibilní s tímto pravidlem. V podokně Podrobnosti o aktivech jsou zobrazení uživatelé nebo zařízení kompatibilní se zásadou. Dvojitým kliknutím na uživatele nebo zařízení v seznamu zobrazíte další informace.
Chyba: Zobrazuje seznam všech chyb pro vybrané nasazení zásady podle počtu ovlivněných prostředků. Kliknutím na pravidlo můžete vytvořit dočasný uzel v uzlu Uživatelé nebo Zařízení v pracovním prostoru Prostředky a kompatibilita, který bude obsahovat všechny uživatele nebo zařízení, kteří vytvořili chyby s tímto pravidlem. Po výběru uživatele nebo zařízení se v podokně Podrobnosti o aktivech zobrazí uživatelé nebo zařízení, na které se vztahuje vybraný problém. Dvojitým kliknutím na uživatele nebo zařízení v seznamu zobrazíte další informace o problému.
Nekompatibilní: Zobrazuje seznam všech pravidel nesplňujících požadavky v zásadě podle počtu ovlivněných prostředků. Kliknutím na pravidlo můžete vytvořit dočasný uzel v uzlu Uživatelé nebo Zařízení pracovního prostoru Prostředky a kompatibilita, který bude obsahovat všechny uživatele nebo zařízení nekompatibilní s tímto pravidlem. Po výběru uživatele nebo zařízení se v podokně Podrobnosti o aktivech zobrazí uživatelé nebo zařízení, na které se vztahuje vybraný problém. Dvakrát klikněte na uživatele nebo zařízení v seznamu a zobrazte další informace o problému.
Neznámé: Zobrazuje seznam všech uživatelů a zařízení, u kterých není nahlášená kompatibilita pro vybrané nasazení zásady, spolu s aktuálním stavem klienta zařízení.
Další kroky
Teď už můžete používat zásady dodržování předpisů spolu se zásadami podmíněného přístupu, abyste mohli řídit přístup ke službám ve vaší organizaci.