Megfelelőségi szabályzatok használata az Intune-nal felügyelt eszközök szabályainak beállításához

Microsoft Intune megfelelőségi szabályzatok olyan szabályok és feltételek készletei, amelyekkel kiértékelheti a felügyelt eszközök konfigurációját. Ezek a szabályzatok segítenek biztonságossá tenni a szervezeti adatokat és erőforrásokat azoktól az eszközöktől, amelyek nem felelnek meg ezeknek a konfigurációs követelményeknek. A felügyelt eszközöknek meg kell felelniük a szabályzatokban megadott feltételeknek ahhoz, hogy a Intune megfelelőnek tekintsék.

Ha a szabályzatok megfelelőségi eredményeit integrálja Microsoft Entra feltételes hozzáféréssel, egy további biztonsági réteget használhat. A feltételes hozzáférés kikényszeríti Microsoft Entra hozzáférés-vezérlést az eszköz aktuális megfelelőségi állapota alapján, így biztosítható, hogy csak a megfelelő eszközök férhessenek hozzá a vállalati erőforrásokhoz.

Intune megfelelőségi szabályzatok két területre oszlanak:

  • A megfelelőségi szabályzat beállításai olyan bérlőszintű konfigurációk, amelyek minden eszköz által kapott beépített megfelelőségi szabályzatként működnek. A megfelelőségi szabályzat beállításai meghatározzák a megfelelőségi szabályzat működését a Intune környezetben, beleértve a nem explicit eszközmegfelelési szabályzattal rendelkező eszközök kezelését.

  • Az eszközmegfelelési szabályzatok platformspecifikus szabályok és beállítások különálló készletei, amelyeket felhasználók vagy eszközök csoportjai számára telepíthet. Az eszközök kiértékelik a szabályzatban szereplő szabályokat az eszközmegfelelőségi állapot jelentéséhez. A nem megfelelő állapot egy vagy több meg nem felelési műveletet eredményezhet. Microsoft Entra feltételes hozzáférési szabályzatok ezt az állapotot arra is használhatják, hogy letiltsa a szervezeti erőforrásokhoz való hozzáférést az adott eszközről.

Megfelelőségi szabályzat beállításai

A megfelelőségi szabályzat beállításai bérlőszintű beállítások, amelyek meghatározzák, hogy Intune megfelelőségi szolgáltatása hogyan kommunikál az eszközökkel. Ezek a beállítások eltérnek az eszközmegfelelési szabályzatban konfigurált beállításoktól.

A megfelelőségi szabályzat beállításainak kezeléséhez jelentkezzen be Microsoft Intune Felügyeleti központba, és lépjen a Végpontbiztonság>Eszközmegfelelési megfelelőségi>szabályzat beállításai területre.

A megfelelőségi szabályzat beállításai a következők:

  • Megfelelőségi szabályzattal nem rendelkező eszközök megjelölése

    Ez a beállítás határozza meg, hogy Intune hogyan kezeli azokat az eszközöket, amelyekhez nincs eszközmegfelelési szabályzat rendelve. Ez a beállítás két értékkel rendelkezik:

    • Megfelelő (alapértelmezett): Ez a biztonsági funkció ki van kapcsolva. Az eszközmegfelelőségi szabályzatot nem küldő eszközök megfelelőnek minősülnek.
    • Nem megfelelő: Ez a biztonsági funkció be van kapcsolva. Az eszközmegfelelési szabályzattal nem rendelkező eszközök nem megfelelőnek minősülnek.

    Ha feltételes hozzáférést használ az eszközmegfelelőségi szabályzatokkal, módosítsa ezt a beállítást Nem megfelelő értékre, hogy csak a megfelelőként megerősített eszközök férhessenek hozzá az erőforrásokhoz.

    Ha egy végfelhasználó nem megfelelő, mert nincs hozzárendelve egy szabályzat, a Céges portál alkalmazásban a Nincs hozzárendelt megfelelőségi szabályzat látható.

  • Megfelelőségi állapot érvényességi időtartama (nap)

    Adja meg azt az időszakot, amelyben az eszközöknek sikeresen jelenteniük kell az összes kapott megfelelőségi szabályzatukat. Ha egy eszköz nem jelenti a szabályzat megfelelőségi állapotát az érvényességi időszak lejárta előtt, a rendszer nem megfelelőként kezeli az eszközt.

    Alapértelmezés szerint az időszak 30 napra van állítva. 1 és 120 nap közötti időszakot konfigurálhat.

    Megtekintheti annak részleteit, hogy az eszköz megfelel-e az érvényességi időszak beállításának. Jelentkezzen be Microsoft Intune Felügyeleti központba, és lépjen az Eszközök>monitorozása>beállítás megfelelősége területre. Ennek a beállításnak a neve Aktív a Beállítás oszlopban. További információ erről a beállításról és a kapcsolódó megfelelőségi állapotnézetekről: Eszközmegfelelés figyelése.

Eszközmegfelelőségi házirendek

Intune eszközmegfelelési szabályzatok olyan platformspecifikus szabályok és beállítások különálló készletei, amelyeket felhasználók vagy eszközök csoportjai számára telepíthet. Megfelelőségi szabályzatok használata a következőre:

  • Határozza meg azokat a szabályokat és beállításokat, amelyeknek a felhasználóknak és a felügyelt eszközöknek meg kell felelniük a megfelelőséghez. Ilyen szabályok például az operációs rendszer minimális verziójának megkövetelése, nem függetlenítve vagy feltörve, valamint a Intune integrálható fenyegetéskezelési szoftver által meghatározott fenyegetettségi szinten vagy alatt.

  • Olyan meg nem felelés esetén végrehajtandó támogatási műveletek, amelyek olyan eszközökre vonatkoznak, amelyek nem felelnek meg a szabályzat megfelelőségi szabályainak. A meg nem felelési műveletek közé tartozik például az eszköz nem megfelelőként való megjelölése, a távolról zárolt állapot, valamint az eszköz állapotáról szóló e-mail küldése az eszköz felhasználóinak, hogy kijavíthassák azt.

Eszközmegfelelési szabályzatok használata esetén:

  • Egyes megfelelőségi szabályzatkonfigurációk felülbírálhatják az eszközkonfigurációs szabályzatokkal is kezelt beállítások konfigurációját. A szabályzatok ütközésfeloldásáról további információt az Ütköző megfelelőségi és eszközkonfigurációs szabályzatok című témakörben talál.

  • Szabályzatokat telepíthet felhasználói csoportok felhasználóira vagy eszközcsoportokban lévő eszközökre. Amikor megfelelőségi szabályzatot telepít egy felhasználó számára, Intune ellenőrzi a felhasználó összes eszközét a megfelelőség szempontjából. Ebben a forgatókönyvben az eszközcsoportok használata segít a megfelelőségi jelentéskészítésben.

  • Ha Microsoft Entra feltételes hozzáférést használ, a feltételes hozzáférési szabályzatok az eszközmegfelelési eredmények alapján blokkolhatják a nem megfelelő eszközökről származó erőforrásokhoz való hozzáférést.

  • A többi Intune szabályzathoz hasonlóan az eszközök megfelelőségi szabályzatainak kiértékelése attól függ, hogy az eszköz mikor Intune- és szabályzat- és profilfrissítési ciklusokat.

Az eszközmegfelelési szabályzatban megadható beállítások a szabályzat létrehozásakor kiválasztott platformtípustól függenek. A különböző eszközplatformok különböző beállításokat támogatnak, és minden platformtípushoz külön szabályzat szükséges.

Az alábbi témakörök az eszközmegfelelési szabályzat különböző aspektusait bemutató cikkekre mutató hivatkozásra hivatkoznak.

  • Meg nem felelés esetén végrehajtandó műveletek – Alapértelmezés szerint minden eszközmegfelelőségi szabályzat tartalmazza azt a műveletet, amely nem megfelelőként jelöl meg egy eszközt, ha az nem felel meg egy szabályzatszabálynak. Az egyes szabályzatok az eszközplatformon alapuló további műveleteket támogatnak. További műveletek például a következők:

    • E-mailes riasztások küldése a felhasználóknak és csoportoknak a nem megfelelő eszköz adataival. Konfigurálhatja úgy a szabályzatot, hogy azonnal küldjön e-mailt, ha nem megfelelőként van megjelölve, majd rendszeres időközönként, amíg az eszköz megfelelővé nem válik.
    • Távolról zárolja azokat az eszközöket , amelyek egy ideig nem megfelelőek.
    • Egy ideig nem megfelelő eszközök kivonása. Ez a művelet a jogosult eszközt a kivonásra készként jelöli meg. A rendszergazdák ezután megtekinthetik a kivezetésre megjelölt eszközök listáját, és explicit módon kell végrehajtaniuk egy vagy több eszköz kivonását. Az eszköz kivonása eltávolítja az eszközt a Intune felügyelet alól, és eltávolítja az összes vállalati adatot az eszközről. További információ erről a műveletről: Meg nem felelési műveletek.

  • Megfelelőségi szabályzat létrehozása – A hivatkozott cikkben található információk alapján áttekintheti az előfeltételeket, áttekintheti a szabályok konfigurálásának beállításait, megadhatja a meg nem felelés műveleteit, és hozzárendelheti a szabályzatot csoportokhoz. Ez a cikk a szabályzatfrissítési időkről is tartalmaz információkat.

    Tekintse meg a különböző eszközplatformok eszközmegfelelési beállításait:

  • Egyéni megfelelőségi beállítások – Az egyéni megfelelőségi beállítások használatával kibővítheti Intune beépített eszközmegfelelési beállításait. Az egyéni beállítások rugalmasan biztosítják az eszközön elérhető beállítások megfelelőségét anélkül, hogy meg kellene várniuk, amíg Intune hozzáadják ezeket a beállításokat.

    Az egyéni megfelelőségi beállításokat a következő platformokon használhatja:

    • Linux – Ubuntu Desktop, 24.04 LTS vagy 26.04 LTS; RedHat Enterprise Linux 9 vagy 10
    • A Windows

Megfelelőségi állapot figyelése

Intune tartalmaz egy eszközmegfelelési irányítópultot, amellyel monitorozhatja az eszközök megfelelőségi állapotát, és további információkért részletezheti a szabályzatokat és az eszközöket. További információ erről az irányítópultról: Eszközmegfelelés figyelése.

Integrálás feltételes hozzáféréssel

A feltételes hozzáférés használatakor konfigurálhatja a feltételes hozzáférési szabályzatokat úgy, hogy az eszközmegfelelési szabályzatok eredményei alapján határozza meg, mely eszközök férhetnek hozzá a szervezeti erőforrásokhoz. Ez a hozzáférés-vezérlés az eszközmegfelelőségi szabályzatokba belefoglalt meg nem felelés esetén végrehajtandó műveleteken kívül és azoktól elkülönül.

Amikor egy eszköz regisztrál a Intune, regisztrálja magát a Microsoft Entra ID. Az eszközök megfelelőségi állapota Microsoft Entra ID lesz jelentve. Ha a feltételes hozzáférési szabályzatok hozzáférés-vezérlése Az eszköz megfelelőként való megjelölésének megkövetelése értékre van állítva, a feltételes hozzáférés ezen megfelelőségi állapot alapján határozza meg, hogy engedélyezi vagy letiltja-e a hozzáférést az e-mailekhez és más szervezeti erőforrásokhoz.

Ha feltételes hozzáférési szabályzatokkal használja az eszközmegfelelési állapotot, tekintse át, hogy a bérlő hogyan konfigurálja az Eszközök megjelölése megfelelőségi szabályzat hozzárendelése nélkül beállítást, amelyet a Megfelelőségi szabályzat beállításai területen kezel.

További információ a feltételes hozzáférés eszközmegfelelési szabályzatokkal való használatáról: Eszközalapú feltételes hozzáférés.

További információ a feltételes hozzáférésről a Microsoft Entra dokumentációjában:

A meg nem felelési és feltételes hozzáférés referenciája a különböző platformokon

Az alábbi táblázat azt ismerteti, hogyan történik a nem megfelelő beállítások kezelése, ha feltételes hozzáférési szabályzattal rendelkező megfelelőségi szabályzatot használ.

  • Szervizelt: Az eszköz operációs rendszere kikényszeríti a megfelelőséget. A felhasználónak például PIN-kódot kell beállítania.

  • Karanténba helyezve: Az eszköz operációs rendszere nem kényszeríti a megfelelőséget. Az Android- és Android Enterprise-eszközök például nem kényszerítik a felhasználót az eszköz titkosítására. Ha az eszköz nem megfelelő, a következő műveletek történnek:

    • Ha a felhasználóra feltételes hozzáférési szabályzat vonatkozik, az eszköz le lesz tiltva.
    • A Céges portál alkalmazás értesíti a felhasználót a megfelelőségi problémákról.
Házirend beállítása Platform
Engedélyezett disztribúciók Linux(csak) – Karanténba helyezve
Eszköztitkosítás - Android 4.0 és újabb verziók: Karanténba helyezve
- Samsung Knox Standard 4.0 és újabb verziók: Karanténba helyezve
- Android Enterprise: Karanténba helyezve

- iOS 8.0-s és újabb verziók: Szervizelés (PIN-kód beállításával)
- macOS 10.11 és újabb verziók: Karanténba helyezve

- Linux: Karanténba helyezve

- Windows: Karanténba helyezve
Email profil - Android 4.0 és újabb verziók: Nem alkalmazható
- Samsung Knox Standard 4.0 és újabb verziók: Nem alkalmazható
- Android Enterprise: Nem alkalmazható

- iOS 8.0 és újabb verziók: Karanténba helyezve
- macOS 10.11 és újabb verziók: Karanténba helyezve

- Linux: Nem alkalmazható

- Windows: Nem alkalmazható
Feltört vagy feltört eszköz - Android 4.0 és újabb verziók: Karanténba helyezve (nem beállítás)
- Samsung Knox Standard 4.0 és újabb verziók: Karanténba helyezve (nem beállítás)
- Android Enterprise: Karanténba helyezve (nem beállítás)

- iOS 8.0 és újabb verziók: Karanténba helyezve (nem beállítás)
- macOS 10.11 és újabb verziók: Nem alkalmazható

- Linux: Nem alkalmazható

- Windows: Nem alkalmazható
Operációs rendszer maximális verziója - Android 4.0 és újabb verziók: Karanténba helyezve
- Samsung Knox Standard 4.0 és újabb verziók: Karanténba helyezve
- Android Enterprise: Karanténba helyezve

- iOS 8.0 és újabb verziók: Karanténba helyezve
- macOS 10.11 és újabb verziók: Karanténba helyezve

- Linux: Lásd: Engedélyezett disztribúciók

- Windows: Karanténba helyezve
Operációs rendszer minimális verziója - Android 4.0 és újabb verziók: Karanténba helyezve
- Samsung Knox Standard 4.0 és újabb verziók: Karanténba helyezve
- Android Enterprise: Karanténba helyezve

- iOS 8.0 és újabb verziók: Karanténba helyezve
- macOS 10.11 és újabb verziók: Karanténba helyezve

- Linux: Lásd: Engedélyezett disztribúciók

- Windows: Karanténba helyezve
PIN-kód vagy jelszó konfigurálása - Android 4.0 és újabb verziók: Karanténba helyezve
- Samsung Knox Standard 4.0 és újabb verziók: Karanténba helyezve
- Android Enterprise: Karanténba helyezve

- iOS 8.0-s és újabb verziók: Szervizelve
- macOS 10.11 és újabb verziók: Szervizelt

- Linux: Karanténba helyezve

- Windows: Szervizelt
Windows állapotigazolás - Android 4.0 és újabb verziók: Nem alkalmazható
- Samsung Knox Standard 4.0 és újabb verziók: Nem alkalmazható
- Android Enterprise: Nem alkalmazható

- iOS 8.0 és újabb verziók: Nem alkalmazható
- macOS 10.11 és újabb verziók: Nem alkalmazható

- Linux: Nem alkalmazható

- Windows: Karanténba helyezve

Megjegyzés:

A Céges portál alkalmazás akkor lép be a regisztrációs szervizelési folyamatba, amikor a felhasználó bejelentkezik az alkalmazásba, és az eszköz legalább 30 napig nem jelentkezik be Intune (vagy az eszköz nem megfelelő az elveszett kapcsolatmegfelelési ok miatt). Ebben a folyamatban Intune megpróbál még egyszer bejelentkezni. Ha a bejelentkezés nem sikerül, Intune kiad egy kivonási parancsot, hogy a felhasználó manuálisan újra regisztrálhassa az eszközt.

Következő lépések

  • Last updated on