Megfelelőségi szabályzatok használata a Intune kezelt eszközökre vonatkozó szabályok beállításához
Microsoft Intune megfelelőségi szabályzatok olyan szabályok és feltételek készletei, amelyekkel kiértékelheti a felügyelt eszközök konfigurációját. Ezek a szabályzatok segíthetnek a szervezeti adatok és erőforrások védelmében olyan eszközökről, amelyek nem felelnek meg ezeknek a konfigurációs követelményeknek. A felügyelt eszközöknek meg kell felelniük a szabályzatokban megadott feltételeknek ahhoz, hogy a Intune megfelelőnek tekintsék.
Ha a szabályzatok megfelelőségi eredményeit is integrálja Microsoft Entra feltételes hozzáféréssel, egy további biztonsági réteget használhat. A feltételes hozzáférés kényszerítheti Microsoft Entra hozzáférés-vezérlést az eszközök aktuális megfelelőségi állapota alapján, hogy csak a megfelelő eszközök férhessenek hozzá a vállalati erőforrásokhoz.
Intune megfelelőségi szabályzatok két területre oszlanak:
A megfelelőségi szabályzat beállításai olyan bérlőszintű konfigurációk, amelyek minden eszköz által kapott beépített megfelelőségi szabályzatként működnek. A megfelelőségi szabályzat beállításai meghatározzák a megfelelőségi szabályzat működését a Intune környezetben, beleértve a nem explicit eszközmegfelelési szabályzattal rendelkező eszközök kezelését.
Az eszközmegfelelési szabályzatok platformspecifikus szabályok és beállítások különálló készletei, amelyeket felhasználók vagy eszközök csoportjai számára telepíthet. Az eszközök kiértékelik a szabályzat által meghatározott szabályokat az eszközmegfelelőségi állapot jelentéséhez. A nem megfelelő állapot egy vagy több meg nem felelési műveletet eredményezhet. Microsoft Entra feltételes hozzáférési szabályzatok ezt az állapotot arra is használhatják, hogy letiltsa a szervezeti erőforrásokhoz való hozzáférést az adott eszközről.
Megfelelőségi szabályzat beállításai
A megfelelőségi szabályzat beállításai bérlőszintű beállítások, amelyek meghatározzák, hogy Intune megfelelőségi szolgáltatása hogyan kommunikál az eszközökkel. Ezek a beállítások eltérnek az eszközmegfelelési szabályzatban konfigurált beállításoktól.
A megfelelőségi szabályzat beállításainak kezeléséhez jelentkezzen be Microsoft Intune Felügyeleti központba, és lépjen a Végpontbiztonság>Eszközmegfelelési megfelelőségi>szabályzat beállításai területre.
A megfelelőségi szabályzat beállításai a következő beállításokat tartalmazzák:
Megfelelőségi szabályzattal nem rendelkező eszközök megjelölése
Ez a beállítás határozza meg, hogy Intune hogyan kezeli azokat az eszközöket, amelyekhez nincs eszközmegfelelési szabályzat rendelve. Ez a beállítás két értékkel rendelkezik:
- Megfelelő (alapértelmezett): Ez a biztonsági funkció ki van kapcsolva. Az eszközmegfelelőségi szabályzatot nem küldő eszközök megfelelőnek minősülnek.
- Nem megfelelő: Ez a biztonsági funkció be van kapcsolva. Az eszközmegfelelési szabályzattal nem rendelkező eszközök nem megfelelőnek minősülnek.
Ha feltételes hozzáférést használ az eszközmegfelelőségi szabályzatokkal, módosítsa ezt a beállítást Nem megfelelő értékre, hogy csak a megfelelőként megerősített eszközök férhessenek hozzá az erőforrásokhoz.
Ha egy végfelhasználó nem megfelelő, mert nincs hozzárendelve szabályzat, akkor a Céges portál alkalmazásban a Nincs hozzárendelt megfelelőségi szabályzat látható.
Megfelelőségi állapot érvényességi időtartama (nap)
Adja meg azt az időszakot, amelyben az eszközöknek sikeresen jelenteniük kell az összes kapott megfelelőségi szabályzatukat. Ha egy eszköz nem jelenti a szabályzat megfelelőségi állapotát az érvényességi időszak lejárta előtt, a rendszer nem megfelelőként kezeli az eszközt.
Alapértelmezés szerint az időszak 30 napra van állítva. 1 és 120 nap közötti időszakot konfigurálhat.
Megtekintheti az érvényességi időszak beállításának megfelelő eszközökre vonatkozó részleteket. Jelentkezzen be Microsoft Intune Felügyeleti központba, és lépjen az Eszközök>monitorozása>beállítás megfelelősége területre. Ennek a beállításnak a neve Aktív a Beállítás oszlopban. További információ erről és a kapcsolódó megfelelőségi állapotnézetekről: Eszközmegfelelés figyelése.
Eszközmegfelelőségi házirendek
Intune eszközmegfelelési szabályzatok platformspecifikus szabályok és beállítások különálló készletei, amelyeket felhasználók vagy eszközök csoportjai számára telepíthet. Megfelelőségi szabályzatok használata a következőre:
Határozza meg azokat a szabályokat és beállításokat, amelyeknek a felhasználóknak és a felügyelt eszközöknek meg kell felelniük a megfelelőséghez. A szabályok közé tartozik például az, hogy az eszközöknek az operációs rendszer minimális verzióját kell futtatniuk, nem kell feltörni vagy feltörni őket, és az Intune integrálható fenyegetéskezelési szoftver által meghatározottak szerint vagy alatt kell futniuk.
Olyan meg nem felelés esetén végrehajtandó támogatási műveletek, amelyek azokra az eszközökre vonatkoznak, amelyek nem felelnek meg a szabályzatok megfelelőségi szabályainak. A meg nem felelési műveletek közé tartozik például az eszköz nem megfelelőként való megjelölése, a távolról zárolt állapot, valamint az eszköz állapotáról szóló e-mail küldése az eszköz felhasználóinak, hogy kijavíthassák azt.
Eszközmegfelelési szabályzatok használata esetén:
Egyes megfelelőségi szabályzatkonfigurációk felülbírálhatják az eszközkonfigurációs szabályzatokkal is kezelt beállítások konfigurációját. A szabályzatok ütközésfeloldásáról további információt az Ütköző megfelelőségi és eszközkonfigurációs szabályzatok című témakörben talál.
A szabályzatok felhasználói csoportokban vagy eszközcsoportokban lévő eszközök felhasználói számára is telepíthetők. Amikor megfelelőségi szabályzatot telepít egy felhasználóhoz, a rendszer ellenőrzi a felhasználó összes eszközének megfelelőségét. Ebben a forgatókönyvben az eszközcsoportok használata segít a megfelelőségi jelentéskészítésben.
Ha Microsoft Entra feltételes hozzáférést használ, a feltételes hozzáférési szabályzatok az eszközmegfelelési eredmények alapján blokkolhatják a nem megfelelő eszközökről származó erőforrásokhoz való hozzáférést.
A többi Intune szabályzathoz hasonlóan az eszközök megfelelőségi szabályzatainak kiértékelése attól függ, hogy az eszköz mikor Intune- és szabályzat- és profilfrissítési ciklusokat.
Az eszközmegfelelési szabályzatban megadható beállítások a szabályzat létrehozásakor kiválasztott platformtípustól függenek. A különböző eszközplatformok különböző beállításokat támogatnak, és minden platformtípushoz külön szabályzat szükséges.
Az alábbi témakörök az eszközkonfigurációs szabályzat különböző szempontjait bemutató cikkekre mutató hivatkozásokat ismertetik.
Meg nem felelés esetén végrehajtandó műveletek – Alapértelmezés szerint minden eszközmegfelelőségi szabályzat tartalmazza azt a műveletet, amely nem megfelelőként jelöl meg egy eszközt, ha az nem felel meg egy szabályzatszabálynak. Az egyes szabályzatok az eszközplatformon alapuló további műveleteket támogatnak. További műveletek például a következők:
- E-mailes riasztások küldése a felhasználóknak és csoportoknak a nem megfelelő eszköz adataival. Konfigurálhatja úgy a szabályzatot, hogy azonnal küldjön e-mailt, ha nem megfelelőként van megjelölve, majd rendszeres időközönként, amíg az eszköz megfelelővé nem válik.
- Távolról zárolja azokat az eszközöket , amelyek egy ideje nem megfelelőek.
- Az eszközök kivonása , ha már egy ideje nem megfelelőek. Ez a művelet a jogosult eszközt a kivonásra készként jelöli meg. A rendszergazdák ezután megtekinthetik a kivezetésre megjelölt eszközök listáját, és explicit módon kell végrehajtaniuk egy vagy több eszköz kivonását. Az eszköz kivonása eltávolítja az eszközt a Intune felügyelet alól, és eltávolítja az összes vállalati adatot az eszközről. További információ erről a műveletről: Meg nem felelési műveletek.
megfelelőségi szabályzat Létrehozás – A hivatkozott cikkben található információk alapján áttekintheti az előfeltételeket, áttekintheti a szabályok konfigurálásának beállításait, megadhatja a meg nem felelés műveleteit, és hozzárendelheti a szabályzatot a csoportokhoz. Ez a cikk a szabályzatfrissítési időkről is tartalmaz információkat.
Tekintse meg a különböző eszközplatformok eszközmegfelelési beállításait:
- Android-eszközadminisztrátor
- Vállalati Android
- Nyílt forráskódú Android-projekt (AOSP)
- iOS
- Linux
- macOS
- Windows Holographic for Business
- Windows 10/11
- Windows 8.1 és újabb verziók
Fontos
2022. október 22-én Microsoft Intune megszüntette a Windows 8.1-et futtató eszközök támogatását. Ezeken az eszközökön nem érhető el technikai segítség és automatikus frissítés.
Ha jelenleg a Windows 8.1-et használja, javasoljuk, hogy lépjen Windows 10/11-eszközökre. Microsoft Intune beépített biztonsági és eszközfunkciókkal rendelkezik, amelyek a Windows 10/11 ügyféleszközöket kezelik.
Egyéni megfelelőségi beállítások – Az egyéni megfelelőségi beállításokkal kibővítheti Intune beépített eszközmegfelelési beállításait. Az egyéni beállítások rugalmasan biztosítják az eszközön elérhető beállítások megfelelőségét anélkül, hogy meg kellene várniuk, amíg Intune hozzáadják ezeket a beállításokat.
Az egyéni megfelelőségi beállításokat a következő platformokon használhatja:
- Linux – Ubuntu Desktop, 20.04 LTS és 22.04 LTS verzió
- Windows 10 rendszer esetén
- Windows 11
Megfelelőségi állapot figyelése
Intune tartalmaz egy eszközmegfelelési irányítópultot, amely az eszközök megfelelőségi állapotának figyelésére, valamint a szabályzatok és eszközök részletezésére szolgál további információkért. További információ erről az irányítópultról: Eszközmegfelelés figyelése.
Integrálás feltételes hozzáféréssel
A feltételes hozzáférés használatakor konfigurálhatja a feltételes hozzáférési szabályzatokat úgy, hogy az eszközmegfelelési szabályzatok eredményei alapján határozza meg, mely eszközök férhetnek hozzá a szervezeti erőforrásokhoz. Ez a hozzáférés-vezérlés az eszközmegfelelőségi szabályzatokba belefoglalt meg nem felelés esetén végrehajtandó műveleteken kívül és azoktól elkülönül.
Amikor egy eszköz regisztrál az Intune regisztrál a Microsoft Entra ID. Az eszközök megfelelőségi állapota Microsoft Entra ID lesz jelentve. Ha a feltételes hozzáférési szabályzatok hozzáférés-vezérlése Az eszköz megfelelőként való megjelölésének megkövetelése beállítással rendelkezik, a feltételes hozzáférés ezen megfelelőségi állapot alapján határozza meg, hogy engedélyezi vagy letiltja-e a hozzáférést az e-mailekhez és más szervezeti erőforrásokhoz.
Ha feltételes hozzáférési szabályzatokkal használja az eszközmegfelelési állapotot, tekintse át, hogy a bérlő hogyan konfigurálja az Eszközök megjelölése megfelelőségi szabályzat hozzárendelése nélkül beállítást, amelyet a Megfelelőségi szabályzat beállításai területen kezel.
További információ a feltételes hozzáférés eszközmegfelelési szabályzatokkal való használatáról: Eszközalapú feltételes hozzáférés.
További információ a feltételes hozzáférésről a Microsoft Entra dokumentációjában:
A meg nem felelési és feltételes hozzáférés referenciája a különböző platformokon
Az alábbi táblázat azt ismerteti, hogyan történik a nem megfelelő beállítások kezelése, ha egy megfelelőségi szabályzatot feltételes hozzáférési szabályzattal használnak.
Szervizelt: Az eszköz operációs rendszere kikényszeríti a megfelelőséget. A felhasználónak például PIN-kódot kell beállítania.
Karanténba helyezve: Az eszköz operációs rendszere nem kényszeríti a megfelelőséget. Az Android- és Android Enterprise-eszközök például nem kényszerítik a felhasználót az eszköz titkosítására. Ha az eszköz nem megfelelő, a következő műveletek történnek:
- Ha a felhasználóra feltételes hozzáférési szabályzat vonatkozik, az eszköz le lesz tiltva.
- A Céges portál alkalmazás értesíti a felhasználót a megfelelőségi problémákról.
| Házirend beállítása | Platform |
|---|---|
| Engedélyezett disztribúciók | Linux(csak) – Karanténba helyezve |
| Eszköztitkosítás | - Android 4.0 és újabb verziók: Karanténba helyezve - Samsung Knox Standard 4.0 és újabb verziók: Karanténba helyezve - Android Enterprise: Karanténba helyezve - iOS 8.0-s és újabb verziók: Szervizelés (PIN-kód beállításával) - macOS 10.11 és újabb verziók: Karanténba helyezve - Linux: Karanténba helyezve - Windows 10/11: Karanténba helyezve |
| Email profil | - Android 4.0 és újabb verziók: Nem alkalmazható - Samsung Knox Standard 4.0 és újabb verziók: Nem alkalmazható - Android Enterprise: Nem alkalmazható - iOS 8.0 és újabb verziók: Karanténba helyezve - macOS 10.11 és újabb verziók: Karanténba helyezve - Linux: Nem alkalmazható - Windows 10/11: Nem alkalmazható |
| Feltört vagy feltört eszköz | - Android 4.0 és újabb verziók: Karanténba helyezve (nem beállítás) - Samsung Knox Standard 4.0 és újabb verziók: Karanténba helyezve (nem beállítás) - Android Enterprise: Karanténba helyezve (nem beállítás) - iOS 8.0 és újabb verziók: Karanténba helyezve (nem beállítás) - macOS 10.11 és újabb verziók: Nem alkalmazható - Linux: Nem alkalmazható - Windows 10/11: Nem alkalmazható |
| Operációs rendszer maximális verziója | - Android 4.0 és újabb verziók: Karanténba helyezve - Samsung Knox Standard 4.0 és újabb verziók: Karanténba helyezve - Android Enterprise: Karanténba helyezve - iOS 8.0 és újabb verziók: Karanténba helyezve - macOS 10.11 és újabb verziók: Karanténba helyezve - Linux: Lásd: Engedélyezett disztribúciók - Windows 10/11: Karanténba helyezve |
| Operációs rendszer minimális verziója | - Android 4.0 és újabb verziók: Karanténba helyezve - Samsung Knox Standard 4.0 és újabb verziók: Karanténba helyezve - Android Enterprise: Karanténba helyezve - iOS 8.0 és újabb verziók: Karanténba helyezve - macOS 10.11 és újabb verziók: Karanténba helyezve - Linux: Lásd: Engedélyezett disztribúciók - Windows 10/11: Karanténba helyezve |
| PIN-kód vagy jelszó konfigurálása | - Android 4.0 és újabb verziók: Karanténba helyezve - Samsung Knox Standard 4.0 és újabb verziók: Karanténba helyezve - Android Enterprise: Karanténba helyezve - iOS 8.0-s és újabb verziók: Szervizelve - macOS 10.11 és újabb verziók: Szervizelt - Linux: Karanténba helyezve - Windows 10/11: Szervizelés |
| Windows állapotigazolás | - Android 4.0 és újabb verziók: Nem alkalmazható - Samsung Knox Standard 4.0 és újabb verziók: Nem alkalmazható - Android Enterprise: Nem alkalmazható - iOS 8.0 és újabb verziók: Nem alkalmazható - macOS 10.11 és újabb verziók: Nem alkalmazható - Linux: Nem alkalmazható - Windows 10/11: Karanténba helyezve |
Megjegyzés:
A Céges portál alkalmazás akkor lép be a regisztrációs szervizelési folyamatba, amikor a felhasználó bejelentkezik az alkalmazásba, és az eszköz legalább 30 napja nem jelentkezett be sikeresen Intune (vagy az eszköz nem megfelelő az elveszett kapcsolatmegfelelőségi ok miatt). Ebben a folyamatban megpróbálunk még egyszer bejelentkezni. Ha ez továbbra sem sikerül, kiadunk egy kivonási parancsot, amely lehetővé teszi, hogy a felhasználó manuálisan regisztrálja újra az eszközt.
Következő lépések
- szabályzat Létrehozás és üzembe helyezése, valamint előfeltételek áttekintése
- Eszközmegfelelés figyelése
- A Microsoft Intune eszközszabályzataival és profiljaival kapcsolatos gyakori kérdések, problémák és megoldások
- A szabályzatentitások referenciája a Intune Data Warehouse szabályzatentitásokra vonatkozó információkat tartalmaz
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: