Eszközmegfelelési beállítások a Windows 10/11-hez az Intune-ban
Ez a cikk felsorolja és ismerteti az Intune-beli Windows-eszközökön konfigurálható különböző megfelelőségi beállításokat. A mobileszköz-kezelési (MDM-) megoldás részeként ezekkel a beállításokkal megkövetelheti a BitLockert, beállíthatja a minimális és maximális operációs rendszert, kockázati szintet állíthat be a Végponthoz készült Microsoft Defender használatával stb.
Ez a funkció az alábbiakra vonatkozik:
- Windows 10/11
- Windows Holographic for Business
- Surface Hub
Intune-rendszergazdaként ezekkel a megfelelőségi beállításokkal védheti szervezeti erőforrásait. A megfelelőségi szabályzatokkal és azok használatával kapcsolatos további információkért tekintse meg az eszközmegfelelés első lépéseit ismertető cikket.
Az első lépések
Megfelelőségi szabályzat létrehozása. A Platform beállításnál válassza a Windows 10 és újabb elemet.
Eszközállapot
Annak érdekében, hogy az eszközök megbízható állapotba induljanak, az Intune a Microsoft eszközigazolási szolgáltatásait használja. Az Intune kereskedelmi, az US Government GCC High és a Windows 10 rendszerű DoD-szolgáltatások eszközei a Device Health Attestation (DHA) szolgáltatást használják.
További információ:
A Windows Állapotigazolási szolgáltatás kiértékelési szabályai
BitLocker megkövetelése:
A Windows BitLocker meghajtótitkosítás a Windows operációs rendszer kötetén tárolt összes adatot titkosítja. A BitLocker a Platformmegbízhatósági modul (TPM) segítségével védi a Windows operációs rendszert és a felhasználói adatokat. Emellett segít meggyőződni arról, hogy a számítógép nincs illetéktelenül módosítva, még akkor sem, ha a számítógép felügyelet nélkül maradt, elveszett vagy ellopták. Ha a számítógép kompatibilis TPM-et használ, a BitLocker a TPM használatával zárolja az adatokat védő titkosítási kulcsokat. Ennek eredményeképpen a kulcsok nem érhetők el, amíg a TPM nem ellenőrzi a számítógép állapotát.- Nincs konfigurálva (alapértelmezett) – Ez a beállítás nem megfelelő vagy nem megfelelő.
- Kötelező – Az eszköz megvédheti a meghajtón tárolt adatokat a jogosulatlan hozzáféréstől, ha a rendszer ki van kapcsolva vagy hibernál.
Device HealthAttestation CSP – BitLockerStatus
Megjegyzés:
Ha eszközmegfelelési szabályzatot használ az Intune-ban, vegye figyelembe, hogy a beállítás állapotát csak a rendszerindításkor méri a rendszer. Ezért annak ellenére, hogy a BitLocker titkosítása befejeződött, újraindításra lesz szükség ahhoz, hogy az eszköz észlelje ezt, és megfelelővé váljon. További információért tekintse meg a Következő Microsoft támogatási blogot a Device Health Attestation (Eszközállapot-igazolás) című témakörben.
A biztonságos rendszerindítás engedélyezésének megkövetelése az eszközön:
- Nincs konfigurálva (alapértelmezett) – Ez a beállítás nem megfelelő vagy nem megfelelő.
- Require – A rendszernek a gyári megbízhatósági állapotba kell indulnia. A gép indításához használt alapvető összetevőknek megfelelő titkosítási aláírásokkal kell rendelkezniük, amelyeket az eszközt gyártó szervezet megbízhatónak minősít. Az UEFI belső vezérlőprogram ellenőrzi az aláírást, mielőtt engedélyezi a gép indítását. Ha bármilyen fájlt módosítanak, ami megszakítja az aláírásukat, a rendszer nem indul el.
Megjegyzés:
Egyes TPM 1.2-s és 2.0-s eszközökön támogatott a Biztonságos rendszerindítás engedélyezése az eszközön beállítás. A TPM 2.0-s vagy újabb verzióját nem támogató eszközök esetében az Intune szabályzatállapota Nem megfelelőként jelenik meg. A támogatott verziókkal kapcsolatos további információkért lásd: Eszközállapot-igazolás.
Kódintegritás megkövetelése:
A kódintegritás egy olyan funkció, amely ellenőrzi az illesztőprogramok vagy rendszerfájlok integritását minden alkalommal, amikor betölti őket a memóriába.- Nincs konfigurálva (alapértelmezett) – Ez a beállítás nem megfelelő vagy nem megfelelő.
- Require – A kódintegritás megkövetelése, amely észleli, ha egy aláíratlan illesztőprogram vagy rendszerfájl van betöltve a kernelbe. Azt is észleli, hogy a rendszerfájlt rosszindulatú szoftverek módosítják, vagy rendszergazdai jogosultságokkal rendelkező felhasználói fiók futtatja.
További információ:
- Az állapotigazolási szolgáltatás működésével kapcsolatos részletekért lásd: Állapotigazolási CSP.
- Támogatási tipp: Eszközállapot-igazolási beállítások használata az Intune megfelelőségi szabályzatának részeként.
Eszköztulajdonságok
Operációs rendszer verziója
A Windows 10/11 összes funkciófrissítésének és összegző frissítésének buildverzióinak felderítéséhez (amelyeket az alábbi mezőkben használhat) tekintse meg a Windows kiadási információit. A buildszámok előtt mindenképpen adja meg a megfelelő verzióelőtagot, például a Windows 10 10.0-s verzióját, ahogy az alábbi példák is szemléltetik.
Operációs rendszer minimális verziója:
Adja meg a minimálisan engedélyezett verziót a főverzió.alverzió.build.változat számformátumában . A megfelelő érték lekéréséhez nyisson meg egy parancssort, és írja be a következőtver
: . Aver
parancs a következő formátumban adja vissza a verziót:Microsoft Windows [Version 10.0.17134.1]
Ha egy eszköz a megadott operációsrendszer-verziónál korábbi verzióval rendelkezik, a rendszer nem megfelelőként jelenti azt. Megjelenik egy hivatkozás, amely a frissítéssel kapcsolatos információkat tartalmazza. A végfelhasználó dönthet úgy, hogy frissíti az eszközét. A frissítés után hozzáférhetnek a vállalati erőforrásokhoz.
Operációs rendszer maximális verziója:
Adja meg a maximálisan engedélyezett verziót a főverzió.alverzió.build.változat számformátumában . A megfelelő érték lekéréséhez nyisson meg egy parancssort, és írja be a következőtver
: . Aver
parancs a következő formátumban adja vissza a verziót:Microsoft Windows [Version 10.0.17134.1]
Ha egy eszköz a megadott verziónál újabb operációsrendszer-verziót használ, a szervezeti erőforrásokhoz való hozzáférés le lesz tiltva. A végfelhasználónak fel kell vennie a kapcsolatot a rendszergazdával. Az eszköz nem tud hozzáférni a szervezeti erőforrásokhoz, amíg a szabályt nem módosítják az operációs rendszer verziójának engedélyezéséhez.
A mobileszközökhöz minimálisan szükséges operációs rendszer:
Adja meg a minimálisan engedélyezett verziót a főverzió.alverzió.build számformátumában.Ha egy eszköz az ön által megadott operációsrendszer-verzióval rendelkezik, az nem megfelelőként lesz jelentve. Megjelenik egy hivatkozás, amely a frissítéssel kapcsolatos információkat tartalmazza. A végfelhasználó dönthet úgy, hogy frissíti az eszközét. A frissítés után hozzáférhetnek a vállalati erőforrásokhoz.
A mobileszközökhöz szükséges maximális operációs rendszer:
Adja meg a maximálisan engedélyezett verziót a főverzió.alverzió.build számában.Ha egy eszköz a megadott verziónál újabb operációsrendszer-verziót használ, a szervezeti erőforrásokhoz való hozzáférés le lesz tiltva. A végfelhasználónak fel kell vennie a kapcsolatot a rendszergazdával. Az eszköz nem tud hozzáférni a szervezeti erőforrásokhoz, amíg a szabályt nem módosítják az operációs rendszer verziójának engedélyezéséhez.
Érvényes operációsrendszer-buildek:
Adja meg az operációs rendszer minimális és maximális buildjeinek listáját. Az érvényes operációsrendszer-buildek további rugalmasságot biztosítanak a minimális és maximális operációsrendszer-verziókhoz képest. Vegyünk egy olyan forgatókönyvet, amelyben az operációs rendszer minimális verziója 10.0.18362.xxx (Windows 10 1903), az operációs rendszer maximális verziója pedig 10.0.18363.xxx (Windows 10 1909). Ez a konfiguráció lehetővé teszi egy olyan Windows 10 1903-as eszköz megfelelőként való azonosítását, amely nem rendelkezik telepített kumulatív frissítésekkel. A minimális és maximális operációsrendszer-verziók akkor lehetnek megfelelőek, ha egyetlen Windows 10-es kiadásban standardizált, de előfordulhat, hogy nem felel meg a követelményeknek, ha több buildet kell használnia, amelyek mindegyike adott javítási szinttel rendelkezik. Ilyen esetben érdemes inkább érvényes operációsrendszer-buildeket használni, amelyek lehetővé teszik több build megadását az alábbi példának megfelelően.Az egyes verziók, főverziók, alverziók és buildmezők legnagyobb támogatott értéke a 65535. A legnagyobb megadható érték például a 65535.65535.65535.65535.
Példa:
Az alábbi táblázat a különböző Windows 10-kiadások elfogadható operációsrendszer-verzióinak tartományát szemlélteti. Ebben a példában három különböző funkciófrissítés engedélyezett (1809, 1909 és 2004). Pontosabban csak azok a Windows-verziók minősülnek megfelelőnek, amelyek 2020 júniusától szeptemberig kumulatív frissítéseket alkalmaztak. Ezek csak mintaadatok. A táblázat tartalmaz egy első oszlopot, amely tartalmazza a bejegyzés leírásához használni kívánt szöveget, majd a bejegyzés minimális és maximális operációsrendszer-verzióját. A második és a harmadik oszlopnak meg kell felelnie az operációs rendszer érvényes buildverzióinak a főverzió.alverzió.build.változat számformátumában . Egy vagy több bejegyzés definiálása után exportálhatja a listát vesszővel tagolt értékek (CSV) fájlként.Leírás Operációs rendszer minimális verziója Operációs rendszer maximális verziója Win 10 2004 (2020. június-szeptember) 10.0.19041.329 10.0.19041.508 Win 10 1909 (2020. június-szeptember) 10.0.18363.900 10.0.18363.1110 Win 10 1809 (2020. június-szeptember) 10.0.17763.1282 10.0.17763.1490 Megjegyzés:
Ha több operációsrendszer-verziójú buildet ad meg a szabályzatban, és egy eszköz buildje kívül esik a megfelelő tartományokon, a Vállalati portál értesíti az eszköz felhasználóját arról, hogy az eszköz nem felel meg ennek a beállításnak. Vegye figyelembe azonban, hogy technikai korlátozások miatt a megfelelőségi javítási üzenet csak a szabályzatban megadott első operációsrendszer-verziótartományt jeleníti meg. Javasoljuk, hogy dokumentálja a szervezet felügyelt eszközeinek elfogadható operációsrendszer-verziótartományait.
A Configuration Manager megfelelősége
Csak a Windows 10/11-et futtató, közösen felügyelt eszközökre vonatkozik. A csak Intune-beli eszközök nem elérhető állapotot adnak vissza.
-
Eszközmegfelelőség megkövetelése a Configuration Managertől:
- Nincs konfigurálva (alapértelmezett) – Az Intune nem ellenőrzi a Configuration Manager megfelelőségi beállításait.
- Kötelező – A Configuration Manager összes beállításának (konfigurációelemének) megfelelőnek kell lennie.
Rendszerbiztonság
Password
Jelszó megkövetelése a mobileszközök zárolásának feloldásához:
- Nincs konfigurálva (alapértelmezett) – Ez a beállítás nem megfelelő vagy nem megfelelő.
- Kötelező – A felhasználóknak meg kell adniuk egy jelszót, mielőtt hozzáférhetnének az eszközükhöz.
Egyszerű jelszavak:
- Nincs konfigurálva (alapértelmezett) – A felhasználók egyszerű jelszavakat hozhatnak létre, például 1234 vagy 1111.
- Letiltás – A felhasználók nem hozhatnak létre egyszerű jelszavakat, például 1234-et vagy 1111-et.
Jelszó típusa:
Válassza ki a szükséges jelszó vagy PIN-kód típusát. Az Ön lehetőségei:- Eszköz alapértelmezett (alapértelmezett) – Jelszó, numerikus PIN-kód vagy alfanumerikus PIN-kód megkövetelése
- Numerikus – Jelszó vagy numerikus PIN-kód megkövetelése
- Alfanumerikus – Jelszó vagy alfanumerikus PIN-kód megkövetelése.
Alfanumerikus értékre állítva a következő beállítások érhetők el:
Jelszó összetettsége:
Az Ön lehetőségei:- Számjegyek és kisbetűk megkövetelése (alapértelmezett)
- Számjegyek, kisbetűk és nagybetűk megkövetelése
- Számjegyek, kisbetűk, nagybetűk és speciális karakterek megkövetelése
Tipp
Az alfanumerikus jelszóházirendek összetettek lehetnek. Javasoljuk a rendszergazdáknak, hogy további információért olvassák el a CSP-ket:
Jelszó minimális hossza:
Adja meg a jelszóban szereplő számjegyek vagy karakterek minimális számát.Jelszó kérése ennyi perc inaktivitás után:
Adja meg azt az üresjárati időt, amely után a felhasználónak újra meg kell adnia a jelszavát.Jelszó lejárata (nap)::
Adja meg a jelszó lejárata előtti napok számát, és újat kell létrehozniuk 1 és 730 között.Az újbóli felhasználást megakadályozó korábbi jelszavak száma:
Adja meg a korábban nem használható jelszavak számát.Jelszó kérése, ha az eszköz üresjárati állapotból (mobil és holografikus) tér vissza:
- Nincs konfigurálva (alapértelmezett)
- Kötelező – Az eszköz felhasználóinak minden alkalommal meg kell adniuk a jelszót, amikor az eszköz üresjárati állapotból tér vissza.
Fontos
Amikor egy Windows asztali számítógépen megváltozik a jelszókövetelmény, a felhasználókat a rendszer a következő bejelentkezéskor érinti, mivel ekkor vált az eszköz tétlenről aktívra. A követelménynek megfelelő jelszóval rendelkező felhasználókat a rendszer továbbra is kérni fogja a jelszavuk módosítására.
Titkosítás
Adattárolás titkosítása egy eszközön:
Ez a beállítás az eszköz összes meghajtójára vonatkozik.- Nincs konfigurálva (alapértelmezett)
- Kötelező – Használja a Require (Kötelező ) parancsot az eszközök adattárolásának titkosításához.
DeviceStatus CSP – DeviceStatus/Compliance/EncryptionCompliance
Megjegyzés:
Az eszköz adattárolásának titkosítása beállítás általánosan ellenőrzi, hogy van-e titkosítás az eszközön, pontosabban az operációs rendszer meghajtójának szintjén. Az Intune jelenleg csak a BitLocker titkosítási ellenőrzését támogatja. A robusztusabb titkosítás érdekében fontolja meg a BitLocker megkövetelése beállítást, amely a Windows Device Health Attestation használatával ellenőrzi a BitLocker állapotát a TPM szintjén. A beállítás használatakor azonban vegye figyelembe, hogy újraindításra lehet szükség ahhoz, hogy az eszköz megfelelőként jelenik meg.
Eszközbiztonság
Tűzfal:
- Nincs konfigurálva (alapértelmezett) – Az Intune nem szabályozza a Windows tűzfalat, és nem módosítja a meglévő beállításokat.
- Kötelező – Kapcsolja be a Windows tűzfalat, és akadályozza meg, hogy a felhasználók kikapcsolják.
Megjegyzés:
Ha az eszköz újraindítás után azonnal szinkronizál, vagy azonnal alvó állapotból szinkronizál, akkor ez a beállítás hibaként jelenhet meg. Ez a forgatókönyv nem feltétlenül befolyásolja az eszköz általános megfelelőségi állapotát. A megfelelőségi állapot újbóli kiértékeléséhez manuálisan szinkronizálja az eszközt.
Ha egy konfigurációt alkalmaz (például csoportházirenden keresztül) egy olyan eszközre, amely úgy konfigurálja a Windows tűzfalat, hogy engedélyezze az összes bejövő forgalmat, vagy kikapcsolja a tűzfalat, a Tűzfalmegkövetelése beállítás nem megfelelő értéket ad vissza, még akkor is, ha az Intune eszközkonfigurációs szabályzata bekapcsolja a Tűzfal beállítást. Ennek az az oka, hogy a csoportházirend-objektum felülbírálja az Intune-szabályzatot. A probléma megoldásához javasoljuk, hogy távolítsa el az ütköző csoportházirend-beállításokat, vagy telepítse át a tűzfallal kapcsolatos csoportházirend-beállításokat az Intune eszközkonfigurációs házirendjébe. Általában azt javasoljuk, hogy tartsa meg az alapértelmezett beállításokat, beleértve a bejövő kapcsolatok blokkolását is. További információ: Ajánlott eljárások a Windows tűzfal konfigurálásához.
Platformmegbízhatósági modul (TPM)::
- Nincs konfigurálva (alapértelmezett) – Az Intune nem ellenőrzi a TPM-lapkaverziót az eszközön.
- Kötelező – Az Intune ellenőrzi, hogy a TPM-lapka verziója megfelelő-e. Az eszköz akkor megfelelő, ha a TPM-lapka verziója nagyobb , mint 0 (nulla). Az eszköz nem megfelelő, ha nincs TPM-verzió az eszközön.
Víruskereső:
- Nincs konfigurálva (alapértelmezett) – Az Intune nem ellenőrzi az eszközön telepített víruskereső megoldásokat.
- Kötelező – Ellenőrizze a megfelelőséget a Windows Security Centerben regisztrált víruskereső megoldásokkal, például a Symantec és a Microsoft Defender használatával. Ha a Kötelező értékre van állítva, a víruskereső szoftvere le van tiltva vagy elavult, nem megfelelő.
Kémszoftver-elhárító:
- Nincs konfigurálva (alapértelmezett) – Az Intune nem ellenőrzi az eszközön telepített kémprogram-ellenes megoldásokat.
- Kötelező – Ellenőrizze a megfelelőséget a Windows Security Centerben regisztrált kémszoftver-elhárító megoldásokkal, például a Symantec és a Microsoft Defender használatával. Ha a Kötelező értékre van állítva, a kártevőirtó szoftvere le van tiltva vagy elavult, nem megfelelő.
Defender
A Windows 10/11 Desktop az alábbi megfelelőségi beállításokat támogatja.
Microsoft Defender Kártevőirtó:
- Nincs konfigurálva (alapértelmezett) – Az Intune nem szabályozza a szolgáltatást, és nem módosítja a meglévő beállításokat.
- Kötelező – Kapcsolja be a Microsoft Defender kártevőirtó szolgáltatást, és akadályozza meg, hogy a felhasználók kikapcsolják.
A Microsoft Defender Antimalware minimális verziója:
Adja meg a Microsoft Defender kártevőirtó szolgáltatás minimálisan engedélyezett verzióját. Írja be például a következőt:4.11.0.0
. Ha üresen hagyja, a Microsoft Defender kártevőirtó szolgáltatás bármely verziója használható.Alapértelmezés szerint nincs konfigurálva verzió.
A Microsoft Defender kártevőirtó biztonsági intelligenciája naprakész:
A Windows biztonsági vírus- és fenyegetésvédelmi frissítéseit szabályozza az eszközökön.- Nincs konfigurálva (alapértelmezett) – Az Intune nem kényszerít semmilyen követelményt.
- Kötelező – A Microsoft Defender biztonsági intelligenciájának naprakészre kényszerítése.
Defender CSP – Defender/Health/SignatureOutOfDate CSP
További információ: Biztonságiintelligencia-frissítések a Microsoft Defender víruskeresőhöz és más Microsoft kártevőirtókhoz.
Valós idejű védelem:
- Nincs konfigurálva (alapértelmezett) – Az Intune nem szabályozza ezt a funkciót, és nem módosítja a meglévő beállításokat.
- Kötelező – Kapcsolja be a valós idejű védelmet, amely kártevőket, kémprogramokat és más nemkívánatos szoftvereket keres.
Végponthoz készült Microsoft Defender
Végponthoz készült Microsoft Defender-szabályok
A Végponthoz készült Microsoft Defender feltételes hozzáférési forgatókönyvekben való integrációjával kapcsolatos további információkért lásd: A feltételes hozzáférés konfigurálása a Végponthoz készült Microsoft Defenderben.
Megkövetelheti, hogy az eszköz a gép kockázati pontszámában vagy alatt legyen:
Ezzel a beállítással a védelmi fenyegetési szolgáltatások kockázatfelmérését tekintheti a megfelelőség feltételeként. Válassza ki a maximálisan engedélyezett fenyegetési szintet:- Nincs konfigurálva (alapértelmezett)
- Törlés – Ez a legbiztonságosabb beállítás, mivel az eszköz nem rendelkezhet fenyegetésekkel. Ha az eszköz bármilyen szintű fenyegetést észlel, a rendszer nem megfelelőként értékeli ki.
- Alacsony – Az eszköz megfelelőnek minősül, ha csak alacsony szintű fenyegetések vannak jelen. Bármi magasabb, az eszköz nem megfelelő állapotba kerül.
- Közepes – Az eszköz megfelelőnek minősül, ha az eszközön meglévő fenyegetések alacsony vagy közepes szintűek. Ha az eszköz magas szintű fenyegetést észlel, a rendszer úgy dönt, hogy nem megfelelő.
- Magas – Ez a legkevésbé biztonságos beállítás, és minden fenyegetési szintet engedélyez. Hasznos lehet, ha ezt a megoldást csak jelentéskészítési célokra használja.
A Végponthoz készült Microsoft Defender védelmi fenyegetési szolgáltatásként való beállításához lásd: A Végponthoz készült Microsoft Defender engedélyezése feltételes hozzáféréssel.
Windows Holographic for Business
A Windows Holographic for Business a Windows 10 és újabb platformot használja. A Windows Holographic for Business a következő beállítást támogatja:
- Rendszerbiztonság>Titkosítás>Az eszközön lévő adattárolás titkosítása.
A Microsoft HoloLens eszköztitkosításának ellenőrzéséhez lásd: Eszköztitkosítás ellenőrzése.
Surface Hub
A Surface Hub a Windows 10 és újabb platformot használja. A Surface Hubok a megfelelőség és a feltételes hozzáférés esetében is támogatottak. A Surface Hubs ezen funkcióinak engedélyezéséhez javasoljuk, hogy engedélyezze a Windows automatikus regisztrációját az Intune-ban (Microsoft Entra-azonosítót igényel), és eszközcsoportként célozza meg a Surface Hub-eszközöket. A megfelelőség és a feltételes hozzáférés működéséhez a Surface Huboknak a Microsoft Entra-hoz kell csatlakozniuk.
Útmutatásért lásd: Regisztráció beállítása Windows-eszközökhöz.
Speciális szempontok a Windows 10/11 Team OS rendszert futtató Surface Hubokhoz:
A Windows 10/11 Team OS rendszert futtató Surface Hubok jelenleg nem támogatják a Végponthoz készült Microsoft Defender és a Jelszó megfelelőségi szabályzatait. Ezért a Windows 10/11 Team OS rendszert futtató Surface Hubok esetében állítsa a következő két beállítást alapértelmezett Nincs konfigurálva értékre:
A Jelszó kategóriában állítsa a Jelszó megkövetelése a mobileszközök zárolásának feloldásához beállítást a Nincs konfigurálva értékre.
A Végponthoz készült Microsoft Defender kategóriában állítsa az Eszköz megkövetelése a gép kockázati pontszámánál vagy alatt beállításnál az alapértelmezett Nincs konfigurálva értéket.