Megosztás a következőn keresztül:


Megfelelőségi szabályzatok használata az Intune-nal felügyelt eszközökre vonatkozó szabályok beállításához

A Microsoft Intune megfelelőségi szabályzatai olyan szabályok és feltételek készletei, amelyekkel kiértékelheti a felügyelt eszközök konfigurációját. Ezek a szabályzatok segíthetnek a szervezeti adatok és erőforrások védelmében olyan eszközökről, amelyek nem felelnek meg ezeknek a konfigurációs követelményeknek. A felügyelt eszközöknek meg kell felelniük a szabályzatokban megadott feltételeknek ahhoz, hogy az Intune megfelelőnek minősüljön.

Ha a szabályzatok megfelelőségi eredményeit a Microsoft Entra feltételes hozzáféréssel is integrálja, egy további biztonsági réteget használhat. A feltételes hozzáférés kikényszerítheti a Microsoft Entra hozzáférés-vezérlését az eszközök aktuális megfelelőségi állapota alapján, így biztosítható, hogy csak a megfelelő eszközök férhessenek hozzá a vállalati erőforrásokhoz.

Az Intune megfelelőségi szabályzatai két területre oszlanak:

  • A megfelelőségi szabályzat beállításai olyan bérlőszintű konfigurációk, amelyek minden eszköz által kapott beépített megfelelőségi szabályzatként működnek. A megfelelőségi szabályzat beállításai meghatározzák a megfelelőségi szabályzat működését az Intune-környezetben, beleértve a nem explicit eszközmegfelelési szabályzattal rendelkező eszközök kezelését.

  • Az eszközmegfelelési szabályzatok platformspecifikus szabályok és beállítások különálló készletei, amelyeket felhasználók vagy eszközök csoportjai számára telepíthet. Az eszközök kiértékelik a szabályzatban szereplő szabályokat az eszközmegfelelőségi állapot jelentéséhez. A nem megfelelő állapot egy vagy több meg nem felelési műveletet eredményezhet. A Microsoft Entra feltételes hozzáférési szabályzatai ezzel az állapottal blokkolhatják a szervezeti erőforrásokhoz való hozzáférést az adott eszközről.

Megfelelőségi szabályzat beállításai

A megfelelőségi szabályzat beállításai bérlőszintű beállítások, amelyek meghatározzák, hogy az Intune megfelelőségi szolgáltatása hogyan kommunikál az eszközökkel. Ezek a beállítások eltérnek az eszközmegfelelési szabályzatban konfigurált beállításoktól.

A megfelelőségi szabályzat beállításainak kezeléséhez jelentkezzen be a Microsoft Intune Felügyeleti központba , és lépjen a Végpontbiztonság>Eszközmegfelelési megfelelőségi>szabályzat beállításai területre.

A megfelelőségi szabályzat beállításai a következő beállításokat tartalmazzák:

  • Megfelelőségi szabályzattal nem rendelkező eszközök megjelölése

    Ez a beállítás határozza meg, hogyan kezeli az Intune azokat az eszközöket, amelyekhez nincs eszközmegfelelési szabályzat rendelve. Ez a beállítás két értékkel rendelkezik:

    • Megfelelő (alapértelmezett): Ez a biztonsági funkció ki van kapcsolva. Az eszközmegfelelőségi szabályzatot nem küldő eszközök megfelelőnek minősülnek.
    • Nem megfelelő: Ez a biztonsági funkció be van kapcsolva. Az eszközmegfelelési szabályzattal nem rendelkező eszközök nem megfelelőnek minősülnek.

    Ha feltételes hozzáférést használ az eszközmegfelelőségi szabályzatokkal, módosítsa ezt a beállítást Nem megfelelő értékre, hogy csak a megfelelőként megerősített eszközök férhessenek hozzá az erőforrásokhoz.

    Ha egy végfelhasználó nem megfelelő, mert nincs hozzárendelve egy szabályzat, akkor a Céges portál alkalmazás nem rendelkezik hozzárendelt megfelelőségi szabályzatokkal.

  • Megfelelőségi állapot érvényességi időtartama (nap)

    Adja meg azt az időszakot, amelyben az eszközöknek sikeresen jelenteniük kell az összes kapott megfelelőségi szabályzatukat. Ha egy eszköz nem jelenti a szabályzat megfelelőségi állapotát az érvényességi időszak lejárta előtt, a rendszer nem megfelelőként kezeli az eszközt.

    Alapértelmezés szerint az időszak 30 napra van állítva. 1 és 120 nap közötti időszakot konfigurálhat.

    Megtekintheti az érvényességi időszak beállításának megfelelő eszközökre vonatkozó részleteket. Jelentkezzen be a Microsoft Intune Felügyeleti központba , és lépjen az Eszközök>monitorozása>beállítás megfelelősége területre. Ennek a beállításnak a neve Aktív a Beállítás oszlopban. További információ erről és a kapcsolódó megfelelőségi állapotnézetekről: Eszközmegfelelés figyelése.

Eszközmegfelelőségi házirendek

Az Intune eszközmegfelelési szabályzatai platformspecifikus szabályok és beállítások különálló készletei, amelyeket felhasználók vagy eszközök csoportjai számára telepíthet. Megfelelőségi szabályzatok használata a következőre:

  • Határozza meg azokat a szabályokat és beállításokat, amelyeknek a felhasználóknak és a felügyelt eszközöknek meg kell felelniük a megfelelőséghez. A szabályok közé tartozik például az, hogy az eszközöknek az operációs rendszer minimális verzióját kell futtatniuk, nem kell feltörni vagy feltörni őket, és az Intune-nal integrálható fenyegetéskezelő szoftver által meghatározott fenyegetettségi szinten vagy alatt kell futniuk.

  • Olyan meg nem felelés esetén végrehajtandó támogatási műveletek, amelyek azokra az eszközökre vonatkoznak, amelyek nem felelnek meg a szabályzatok megfelelőségi szabályainak. A meg nem felelési műveletek közé tartozik például az eszköz nem megfelelőként való megjelölése, a távolról zárolt állapot, valamint az eszköz állapotáról szóló e-mail küldése az eszköz felhasználóinak, hogy kijavíthassák azt.

Eszközmegfelelési szabályzatok használata esetén:

  • Egyes megfelelőségi szabályzatkonfigurációk felülbírálhatják az eszközkonfigurációs szabályzatokkal is kezelt beállítások konfigurációját. A szabályzatok ütközésfeloldásáról további információt az Ütköző megfelelőségi és eszközkonfigurációs szabályzatok című témakörben talál.

  • A szabályzatok felhasználói csoportokban vagy eszközcsoportokban lévő eszközök felhasználói számára is telepíthetők. Amikor megfelelőségi szabályzatot telepít egy felhasználóhoz, a rendszer ellenőrzi a felhasználó összes eszközének megfelelőségét. Ebben a forgatókönyvben az eszközcsoportok használata segít a megfelelőségi jelentéskészítésben.

  • Ha a Microsoft Entra feltételes hozzáférést használja, a feltételes hozzáférési szabályzatok az eszközmegfelelőségi eredmények alapján letilthatják a nem megfelelő eszközök erőforrásaihoz való hozzáférést.

  • Más Intune-szabályzatokhoz hasonlóan az eszközök megfelelőségi szabályzatainak kiértékelése attól függ, hogy az eszköz mikor lép be az Intune-nal, és hogy mikor frissülnek a szabályzatok és a profilok.

Az eszközmegfelelési szabályzatban megadható beállítások a szabályzat létrehozásakor kiválasztott platformtípustól függenek. A különböző eszközplatformok különböző beállításokat támogatnak, és minden platformtípushoz külön szabályzat szükséges.

Az alábbi témakörök az eszközkonfigurációs szabályzat különböző szempontjait bemutató cikkekre mutató hivatkozásokat ismertetik.

  • Meg nem felelés esetén végrehajtandó műveletek – Alapértelmezés szerint minden eszközmegfelelőségi szabályzat tartalmazza azt a műveletet, amely nem megfelelőként jelöl meg egy eszközt, ha az nem felel meg egy szabályzatszabálynak. Az egyes szabályzatok az eszközplatformon alapuló további műveleteket támogatnak. További műveletek például a következők:

    • E-mailes riasztások küldése a felhasználóknak és csoportoknak a nem megfelelő eszköz adataival. Konfigurálhatja úgy a szabályzatot, hogy azonnal küldjön e-mailt, ha nem megfelelőként van megjelölve, majd rendszeres időközönként, amíg az eszköz megfelelővé nem válik.
    • Távolról zárolja azokat az eszközöket , amelyek egy ideje nem megfelelőek.
    • Az eszközök kivonása , ha már egy ideje nem megfelelőek. Ez a művelet a jogosult eszközt a kivonásra készként jelöli meg. A rendszergazdák ezután megtekinthetik a kivezetésre megjelölt eszközök listáját, és explicit módon kell végrehajtaniuk egy vagy több eszköz kivonását. Az eszköz kivonása eltávolítja az eszközt az Intune felügyeletéből, és eltávolítja az összes vállalati adatot az eszközről. További információ erről a műveletről: Meg nem felelési műveletek.
  • Megfelelőségi szabályzat létrehozása – A hivatkozott cikkben található információk alapján áttekintheti az előfeltételeket, áttekintheti a szabályok konfigurálásának beállításait, megadhatja a meg nem felelés műveleteit, és hozzárendelheti a szabályzatot csoportokhoz. Ez a cikk a szabályzatfrissítési időkről is tartalmaz információkat.

    Tekintse meg a különböző eszközplatformok eszközmegfelelési beállításait:

  • Egyéni megfelelőségi beállítások – Az egyéni megfelelőségi beállításokkal kibővítheti az Intune beépített eszközmegfelelési lehetőségeit. Az egyéni beállítások rugalmasságot biztosítanak az eszközön elérhető beállításoknak való megfeleléshez anélkül, hogy meg kellene várniuk, amíg az Intune hozzáadja ezeket a beállításokat.

    Az egyéni megfelelőségi beállításokat a következő platformokon használhatja:

    • Linux – Ubuntu Desktop, 20.04 LTS és 22.04 LTS verzió
    • Windows 10
    • Windows 11

Megfelelőségi állapot figyelése

Az Intune tartalmaz egy eszközmegfelelési irányítópultot, amellyel monitorozhatja az eszközök megfelelőségi állapotát, és további információkért részletezheti a szabályzatokat és az eszközöket. További információ erről az irányítópultról: Eszközmegfelelés figyelése.

Integrálás feltételes hozzáféréssel

A feltételes hozzáférés használatakor konfigurálhatja a feltételes hozzáférési szabályzatokat úgy, hogy az eszközmegfelelési szabályzatok eredményei alapján határozza meg, mely eszközök férhetnek hozzá a szervezeti erőforrásokhoz. Ez a hozzáférés-vezérlés az eszközmegfelelőségi szabályzatokba belefoglalt meg nem felelés esetén végrehajtandó műveleteken kívül és azoktól elkülönül.

Amikor egy eszköz regisztrál az Intune-ban, regisztrálja magát a Microsoft Entra ID-ban. Az eszközök megfelelőségi állapota a Microsoft Entra ID-nak lesz jelentve. Ha a feltételes hozzáférési szabályzatok hozzáférés-vezérlése Az eszköz megfelelőként való megjelölésének megkövetelése beállítással rendelkezik, a feltételes hozzáférés ezen megfelelőségi állapot alapján határozza meg, hogy engedélyezi vagy letiltja-e a hozzáférést az e-mailekhez és más szervezeti erőforrásokhoz.

Ha feltételes hozzáférési szabályzatokkal használja az eszközmegfelelési állapotot, tekintse át, hogy a bérlő hogyan konfigurálja az Eszközök megjelölése megfelelőségi szabályzat hozzárendelése nélkül beállítást, amelyet a Megfelelőségi szabályzat beállításai területen kezel.

További információ a feltételes hozzáférés eszközmegfelelési szabályzatokkal való használatáról: Eszközalapú feltételes hozzáférés.

További információ a feltételes hozzáférésről a Microsoft Entra dokumentációjában:

A meg nem felelési és feltételes hozzáférés referenciája a különböző platformokon

Az alábbi táblázat azt ismerteti, hogyan történik a nem megfelelő beállítások kezelése, ha egy megfelelőségi szabályzatot feltételes hozzáférési szabályzattal használnak.

  • Szervizelt: Az eszköz operációs rendszere kikényszeríti a megfelelőséget. A felhasználónak például PIN-kódot kell beállítania.

  • Karanténba helyezve: Az eszköz operációs rendszere nem kényszeríti a megfelelőséget. Az Android- és Android Enterprise-eszközök például nem kényszerítik a felhasználót az eszköz titkosítására. Ha az eszköz nem megfelelő, a következő műveletek történnek:

    • Ha a felhasználóra feltételes hozzáférési szabályzat vonatkozik, az eszköz le lesz tiltva.
    • A Céges portál alkalmazás értesíti a felhasználót a megfelelőségi problémákról.

Házirend beállítása Platform
Engedélyezett disztribúciók Linux(csak) – Karanténba helyezve
Eszköztitkosítás - Android 4.0 és újabb verziók: Karanténba helyezve
- Samsung Knox Standard 4.0 és újabb verziók: Karanténba helyezve
- Android Enterprise: Karanténba helyezve

- iOS 8.0-s és újabb verziók: Szervizelés (PIN-kód beállításával)
- macOS 10.11 és újabb verziók: Karanténba helyezve

- Linux: Karanténba helyezve

- Windows 10/11: Karanténba helyezve
E-mail-profil - Android 4.0 és újabb verziók: Nem alkalmazható
- Samsung Knox Standard 4.0 és újabb verziók: Nem alkalmazható
- Android Enterprise: Nem alkalmazható

- iOS 8.0 és újabb verziók: Karanténba helyezve
- macOS 10.11 és újabb verziók: Karanténba helyezve

- Linux: Nem alkalmazható

- Windows 10/11: Nem alkalmazható
Feltört vagy feltört eszköz - Android 4.0 és újabb verziók: Karanténba helyezve (nem beállítás)
- Samsung Knox Standard 4.0 és újabb verziók: Karanténba helyezve (nem beállítás)
- Android Enterprise: Karanténba helyezve (nem beállítás)

- iOS 8.0 és újabb verziók: Karanténba helyezve (nem beállítás)
- macOS 10.11 és újabb verziók: Nem alkalmazható

- Linux: Nem alkalmazható

- Windows 10/11: Nem alkalmazható
Operációs rendszer maximális verziója - Android 4.0 és újabb verziók: Karanténba helyezve
- Samsung Knox Standard 4.0 és újabb verziók: Karanténba helyezve
- Android Enterprise: Karanténba helyezve

- iOS 8.0 és újabb verziók: Karanténba helyezve
- macOS 10.11 és újabb verziók: Karanténba helyezve

- Linux: Lásd: Engedélyezett disztribúciók

- Windows 10/11: Karanténba helyezve
Operációs rendszer minimális verziója - Android 4.0 és újabb verziók: Karanténba helyezve
- Samsung Knox Standard 4.0 és újabb verziók: Karanténba helyezve
- Android Enterprise: Karanténba helyezve

- iOS 8.0 és újabb verziók: Karanténba helyezve
- macOS 10.11 és újabb verziók: Karanténba helyezve

- Linux: Lásd: Engedélyezett disztribúciók

- Windows 10/11: Karanténba helyezve
PIN-kód vagy jelszó konfigurálása - Android 4.0 és újabb verziók: Karanténba helyezve
- Samsung Knox Standard 4.0 és újabb verziók: Karanténba helyezve
- Android Enterprise: Karanténba helyezve

- iOS 8.0-s és újabb verziók: Szervizelve
- macOS 10.11 és újabb verziók: Szervizelt

- Linux: Karanténba helyezve

- Windows 10/11: Szervizelés
Windows állapotigazolás - Android 4.0 és újabb verziók: Nem alkalmazható
- Samsung Knox Standard 4.0 és újabb verziók: Nem alkalmazható
- Android Enterprise: Nem alkalmazható

- iOS 8.0 és újabb verziók: Nem alkalmazható
- macOS 10.11 és újabb verziók: Nem alkalmazható

- Linux: Nem alkalmazható

- Windows 10/11: Karanténba helyezve

Megjegyzés:

A Céges portál alkalmazás akkor lép be a regisztrációs szervizelési folyamatba, amikor a felhasználó bejelentkezik az alkalmazásba, és az eszköz legalább 30 napja nem jelentkezett be sikeresen az Intune-ban (vagy az eszköz nem megfelelő az elveszett kapcsolatmegfelelőségi ok miatt). Ebben a folyamatban megpróbálunk még egyszer bejelentkezni. Ha ez továbbra sem sikerül, kiadunk egy kivonási parancsot, amely lehetővé teszi, hogy a felhasználó manuálisan regisztrálja újra az eszközt.


Következő lépések