Eszközmegfelelési beállítások a Windows 10/11-hez az Intune-ban

Ez a cikk felsorolja és ismerteti az Intune-beli Windows-eszközökön konfigurálható különböző megfelelőségi beállításokat. A mobileszköz-kezelési (MDM) megoldás részeként ezekkel a beállításokkal megkövetelheti a BitLockert, beállíthatja a minimális és maximális operációs rendszert, kockázati szintet állíthat be Végponthoz készült Microsoft Defender és egyebek használatával.

Ez a funkció az alábbiakra vonatkozik:

• Windows 10/11
• Windows Holographic for Business
• Surface Hub

Intune-rendszergazdaként ezekkel a megfelelőségi beállításokkal védheti szervezeti erőforrásait. A megfelelőségi szabályzatokkal és azok használatával kapcsolatos további információkért tekintse meg az eszközmegfelelés első lépéseit ismertető cikket.

Az első lépések

Megfelelőségi szabályzat létrehozása. A Platform beállításnál válassza a Windows 10 és újabb lehetőséget.

Eszközállapot

A Windows Állapotigazolási szolgáltatás kiértékelési szabályai

• BitLocker megkövetelése:
  A Windows BitLocker meghajtótitkosítás a Windows operációs rendszer kötetén tárolt összes adatot titkosítja. A BitLocker a Platformmegbízhatósági modul (TPM) segítségével védi a Windows operációs rendszert és a felhasználói adatokat. Emellett segít meggyőződni arról, hogy a számítógép nincs illetéktelenül módosítva, még akkor sem, ha a számítógép felügyelet nélkül maradt, elveszett vagy ellopták. Ha a számítógép kompatibilis TPM-et használ, a BitLocker a TPM használatával zárolja az adatokat védő titkosítási kulcsokat. Ennek eredményeképpen a kulcsok nem érhetők el, amíg a TPM nem ellenőrzi a számítógép állapotát.

  • Nincs konfigurálva (alapértelmezett) – Ez a beállítás nem megfelelő vagy nem megfelelő.
  • Kötelező – Az eszköz megvédheti a meghajtón tárolt adatokat a jogosulatlan hozzáféréstől, ha a rendszer ki van kapcsolva vagy hibernál.

  Device HealthAttestation CSP – BitLockerStatus

  Megjegyzés:

  Ha eszközmegfelelési szabályzatot használ az Intune-ban, vegye figyelembe, hogy a beállítás állapotát csak a rendszerindításkor méri a rendszer. Ezért annak ellenére, hogy a BitLocker titkosítása befejeződött, újraindításra lesz szükség ahhoz, hogy az eszköz észlelje ezt, és megfelelővé váljon. További információért tekintse meg a Következő Microsoft támogatási blogot a Device Health Attestation (Eszközállapot-igazolás) című témakörben.

• A biztonságos rendszerindítás engedélyezésének megkövetelése az eszközön:

  • Nincs konfigurálva (alapértelmezett) – Ez a beállítás nem megfelelő vagy nem megfelelő.
  • Require – A rendszernek a gyári megbízhatósági állapotba kell indulnia. A gép indításához használt alapvető összetevőknek megfelelő titkosítási aláírásokkal kell rendelkezniük, amelyeket az eszközt gyártó szervezet megbízhatónak minősít. Az UEFI belső vezérlőprogram ellenőrzi az aláírást, mielőtt engedélyezi a gép indítását. Ha bármilyen fájlt módosítanak, ami megszakítja az aláírásukat, a rendszer nem indul el.

  Megjegyzés:

  Egyes TPM 1.2-s és 2.0-s eszközökön támogatott a Biztonságos rendszerindítás engedélyezése az eszközön beállítás. A TPM 2.0-s vagy újabb verzióját nem támogató eszközök esetében az Intune szabályzatállapota Nem megfelelőként jelenik meg. A támogatott verziókkal kapcsolatos további információkért lásd: Eszközállapot-igazolás.

• Kódintegritás megkövetelése:
  A kódintegritás egy olyan funkció, amely ellenőrzi az illesztőprogramok vagy rendszerfájlok integritását minden alkalommal, amikor betölti őket a memóriába.

  • Nincs konfigurálva (alapértelmezett) – Ez a beállítás nem megfelelő vagy nem megfelelő.
  • Require – A kódintegritás megkövetelése, amely észleli, ha egy aláíratlan illesztőprogram vagy rendszerfájl van betöltve a kernelbe. Azt is észleli, hogy a rendszerfájlt rosszindulatú szoftverek módosítják, vagy rendszergazdai jogosultságokkal rendelkező felhasználói fiók futtatja.

További források:

• Az állapotigazolási szolgáltatás működésével kapcsolatos részletekért lásd: Állapotigazolási CSP.
• Támogatási tipp: Eszközállapot-igazolási beállítások használata az Intune megfelelőségi szabályzatának részeként.

Eszköztulajdonságok

Operációs rendszer verziója

Az összes Windows 10/11 funkció Frissítések verzió és összegző Frissítések buildverzióinak megismeréséhez tekintse meg a Windows kiadási információit. Ügyeljen arra, hogy a buildszámok előtt adja meg a megfelelő verzióelőtagot, például a 10.0-s verziót Windows 10, ahogy az alábbi példák szemléltetik.

• Operációs rendszer minimális verziója:
  Adja meg a minimálisan engedélyezett verziót a főverzió.alverzió.build.változat számformátumában . A megfelelő érték lekéréséhez nyisson meg egy parancssort, és írja be a következőt ver: . A ver parancs a következő formátumban adja vissza a verziót:

  Microsoft Windows [Version 10.0.17134.1]

  Ha egy eszköz a megadott operációsrendszer-verziónál korábbi verzióval rendelkezik, a rendszer nem megfelelőként jelenti azt. Megjelenik egy hivatkozás, amely a frissítéssel kapcsolatos információkat tartalmazza. A végfelhasználó dönthet úgy, hogy frissíti az eszközét. A frissítés után hozzáférhetnek a vállalati erőforrásokhoz.

• Operációs rendszer maximális verziója:
  Adja meg a maximálisan engedélyezett verziót a főverzió.alverzió.build.változat számformátumában . A megfelelő érték lekéréséhez nyisson meg egy parancssort, és írja be a következőt ver: . A ver parancs a következő formátumban adja vissza a verziót:

  Microsoft Windows [Version 10.0.17134.1]

  Ha egy eszköz a megadott verziónál újabb operációsrendszer-verziót használ, a szervezeti erőforrásokhoz való hozzáférés le lesz tiltva. A végfelhasználónak fel kell vennie a kapcsolatot a rendszergazdával. Az eszköz nem tud hozzáférni a szervezeti erőforrásokhoz, amíg a szabályt nem módosítják az operációs rendszer verziójának engedélyezéséhez.

• A mobileszközökhöz minimálisan szükséges operációs rendszer:
  Adja meg a minimálisan engedélyezett verziót a főverzió.alverzió.build számformátumában.

  Ha egy eszköz az ön által megadott operációsrendszer-verzióval rendelkezik, az nem megfelelőként lesz jelentve. Megjelenik egy hivatkozás, amely a frissítéssel kapcsolatos információkat tartalmazza. A végfelhasználó dönthet úgy, hogy frissíti az eszközét. A frissítés után hozzáférhetnek a vállalati erőforrásokhoz.

• A mobileszközökhöz szükséges maximális operációs rendszer:
  Adja meg a maximálisan engedélyezett verziót a főverzió.alverzió.build számában.

  Ha egy eszköz a megadott verziónál újabb operációsrendszer-verziót használ, a szervezeti erőforrásokhoz való hozzáférés le lesz tiltva. A végfelhasználónak fel kell vennie a kapcsolatot a rendszergazdával. Az eszköz nem tud hozzáférni a szervezeti erőforrásokhoz, amíg a szabályt nem módosítják az operációs rendszer verziójának engedélyezéséhez.

• Érvényes operációsrendszer-buildek:
  Adja meg az operációs rendszer minimális és maximális buildjeinek listáját. Az érvényes operációsrendszer-buildek további rugalmasságot biztosítanak a minimális és maximális operációsrendszer-verziókhoz képest. Vegyünk egy olyan forgatókönyvet, amelyben az operációs rendszer minimális verziója 10.0.18362.xxx (Windows 10 1903), az operációs rendszer maximális verziója pedig 10.0.18363.xxx (Windows 10 1909). Ez a konfiguráció lehetővé teszi egy olyan Windows 10 1903-as eszköz megfelelőként való azonosítását, amely nem rendelkezik telepített kumulatív frissítésekkel. A minimális és maximális operációsrendszer-verziók akkor lehetnek megfelelőek, ha egyetlen Windows 10 kiadásra van szabványosítva, de előfordulhat, hogy nem felel meg a követelményeknek, ha több buildet kell használnia, amelyek mindegyike adott javítási szinttel rendelkezik. Ilyen esetben érdemes inkább érvényes operációsrendszer-buildeket használni, amelyek lehetővé teszik több build megadását az alábbi példának megfelelően.

  Az egyes verziók, főverziók, alverziók és buildmezők legnagyobb támogatott értéke a 65535. A legnagyobb megadható érték például a 65535.65535.65535.65535.

  Példa:
  Az alábbi táblázat a különböző Windows 10 kiadások elfogadható operációsrendszer-verzióinak tartományát szemlélteti. Ebben a példában három különböző funkció Frissítések engedélyezett (1809, 1909 és 2004). Pontosabban csak azok a Windows-verziók minősülnek megfelelőnek, amelyek 2020 júniusától szeptemberig kumulatív frissítéseket alkalmaztak. Ezek csak mintaadatok. A táblázat tartalmaz egy első oszlopot, amely tartalmazza a bejegyzés leírásához használni kívánt szöveget, majd a bejegyzés minimális és maximális operációsrendszer-verzióját. A második és a harmadik oszlopnak meg kell felelnie az operációs rendszer érvényes buildverzióinak a főverzió.alverzió.build.változat számformátumában . Egy vagy több bejegyzés definiálása után exportálhatja a listát vesszővel tagolt értékek (CSV) fájlként.

  Leírás	Operációs rendszer minimális verziója	Operációs rendszer maximális verziója
  Win 10 2004 (2020. június-szeptember)	10.0.19041.329	10.0.19041.508
  Win 10 1909 (2020. június-szeptember)	10.0.18363.900	10.0.18363.1110
  Win 10 1809 (2020. június-szeptember)	10.0.17763.1282	10.0.17763.1490

  Megjegyzés:

  Ha több operációsrendszer-verziójú buildet ad meg a szabályzatban, és egy eszköz buildje kívül esik a megfelelő tartományokon, Céges portál értesíti az eszköz felhasználóját arról, hogy az eszköz nem felel meg ennek a beállításnak. Vegye figyelembe azonban, hogy technikai korlátozások miatt a megfelelőségi javítási üzenet csak a szabályzatban megadott első operációsrendszer-verziótartományt jeleníti meg. Javasoljuk, hogy dokumentálja a szervezet felügyelt eszközeinek elfogadható operációsrendszer-verziótartományait.

Configuration Manager megfelelőség

Csak a Windows 10/11-et futtató, közösen felügyelt eszközökre vonatkozik. A csak Intune-beli eszközök nem elérhető állapotot adnak vissza.

• Eszközmegfelelés megkövetelése Configuration Manager:
  • Nincs konfigurálva (alapértelmezett) – Az Intune nem ellenőrzi az Configuration Manager megfelelőségi beállításait.
  • Kötelező – A Configuration Manager összes beállításának (konfigurációelemének) megfelelőnek kell lennie.

Rendszerbiztonság

Password

• Jelszó megkövetelése a mobileszközök zárolásának feloldásához:

  • Nincs konfigurálva (alapértelmezett) – Ez a beállítás nem megfelelő vagy nem megfelelő.
  • Kötelező – A felhasználóknak meg kell adniuk egy jelszót, mielőtt hozzáférhetnének az eszközükhöz.

• Egyszerű jelszavak:

  • Nincs konfigurálva (alapértelmezett) – A felhasználók egyszerű jelszavakat hozhatnak létre, például 1234 vagy 1111.
  • Letiltás – A felhasználók nem hozhatnak létre egyszerű jelszavakat, például 1234-et vagy 1111-et.

• Jelszó típusa:
  Válassza ki a szükséges jelszó vagy PIN-kód típusát. Az Ön lehetőségei:

  • Eszköz alapértelmezett (alapértelmezett) – Jelszó, numerikus PIN-kód vagy alfanumerikus PIN-kód megkövetelése
  • Numerikus – Jelszó vagy numerikus PIN-kód megkövetelése
  • Alfanumerikus – Jelszó vagy alfanumerikus PIN-kód megkövetelése.

  Alfanumerikus értékre állítva a következő beállítások érhetők el:

  • Jelszó összetettsége:
    Az Ön lehetőségei:

    • Számjegyek és kisbetűk megkövetelése (alapértelmezett)
    • Számjegyek, kisbetűk és nagybetűk megkövetelése
    • Számjegyek, kisbetűk, nagybetűk és speciális karakterek megkövetelése

    Tipp

    Az alfanumerikus jelszóházirendek összetettek lehetnek. Javasoljuk a rendszergazdáknak, hogy további információért olvassák el a CSP-ket:

    • DeviceLock/AlphanumericDevicePasswordRequired CSP
    • DeviceLock/MinDevicePasswordComplexCharacters CSP

• Jelszó minimális hossza:
  Adja meg a jelszóban szereplő számjegyek vagy karakterek minimális számát.

• Jelszó kérése ennyi perc inaktivitás után:
  Adja meg azt az üresjárati időt, amely után a felhasználónak újra meg kell adnia a jelszavát.

• Jelszó lejárata (nap)::
  Adja meg a jelszó lejárata előtti napok számát, és újat kell létrehozniuk 1 és 730 között.

• Az újbóli felhasználást megakadályozó korábbi jelszavak száma:
  Adja meg a korábban nem használható jelszavak számát.

• Jelszó kérése, ha az eszköz üresjárati állapotból (mobil és holografikus) tér vissza:

  • Nincs konfigurálva (alapértelmezett)
  • Kötelező – Az eszköz felhasználóinak minden alkalommal meg kell adniuk a jelszót, amikor az eszköz üresjárati állapotból tér vissza.

  Fontos

  Amikor egy Windows asztali számítógépen megváltozik a jelszókövetelmény, a felhasználókat a rendszer a következő bejelentkezéskor érinti, mivel ekkor vált az eszköz tétlenről aktívra. A követelménynek megfelelő jelszóval rendelkező felhasználókat a rendszer továbbra is kérni fogja a jelszavuk módosítására.

Titkosítás

• Adattárolás titkosítása egy eszközön:
  Ez a beállítás az eszköz összes meghajtójára vonatkozik.

  • Nincs konfigurálva (alapértelmezett)
  • Kötelező – Használja a Require (Kötelező ) parancsot az eszközök adattárolásának titkosításához.

  DeviceStatus CSP – DeviceStatus/Compliance/EncryptionCompliance

  Megjegyzés:

  Az eszköz adattárolásának titkosítása beállítás általánosan ellenőrzi, hogy van-e titkosítás az eszközön, pontosabban az operációs rendszer meghajtójának szintjén. Az Intune jelenleg csak a BitLocker titkosítási ellenőrzését támogatja. A robusztusabb titkosítás érdekében fontolja meg a BitLocker megkövetelése beállítást, amely a Windows Device Health Attestation használatával ellenőrzi a BitLocker állapotát a TPM szintjén. A beállítás használatakor azonban vegye figyelembe, hogy újraindításra lehet szükség ahhoz, hogy az eszköz megfelelőként jelenik meg.

Eszközbiztonság

• Tűzfal:

  • Nincs konfigurálva (alapértelmezett) – Az Intune nem szabályozza a Windows tűzfalat, és nem módosítja a meglévő beállításokat.
  • Kötelező – Kapcsolja be a Windows tűzfalat, és akadályozza meg, hogy a felhasználók kikapcsolják.

  Tűzfal CSP-je

  Megjegyzés:

  • Ha az eszköz újraindítás után azonnal szinkronizál, vagy azonnal alvó állapotból szinkronizál, akkor ez a beállítás hibaként jelenhet meg. Ez a forgatókönyv nem feltétlenül befolyásolja az eszköz általános megfelelőségi állapotát. A megfelelőségi állapot újbóli kiértékeléséhez manuálisan szinkronizálja az eszközt.

  • Ha egy konfigurációt alkalmaz (például csoportházirenden keresztül) egy olyan eszközre, amely úgy konfigurálja a Windows tűzfalat, hogy engedélyezze az összes bejövő forgalmat, vagy kikapcsolja a tűzfalat, a Tűzfalmegkövetelése beállítás nem megfelelő értéket ad vissza, még akkor is, ha az Intune eszközkonfigurációs szabályzata bekapcsolja a Tűzfal beállítást. Ennek az az oka, hogy a csoportházirend-objektum felülbírálja az Intune-szabályzatot. A probléma megoldásához javasoljuk, hogy távolítsa el az ütköző csoportházirend-beállításokat, vagy telepítse át a tűzfallal kapcsolatos csoportházirend-beállításokat az Intune eszközkonfigurációs házirendjébe. Általában azt javasoljuk, hogy tartsa meg az alapértelmezett beállításokat, beleértve a bejövő kapcsolatok blokkolását is. További információ: Ajánlott eljárások a Windows tűzfal konfigurálásához.

• Platformmegbízhatósági modul (TPM)::

  • Nincs konfigurálva (alapértelmezett) – Az Intune nem ellenőrzi a TPM-lapkaverziót az eszközön.
  • Kötelező – Az Intune ellenőrzi, hogy a TPM-lapka verziója megfelelő-e. Az eszköz akkor megfelelő, ha a TPM-lapka verziója nagyobb , mint 0 (nulla). Az eszköz nem megfelelő, ha nincs TPM-verzió az eszközön.

  DeviceStatus CSP – DeviceStatus/TPM/SpecificationVersion

• Víruskereső:

  • Nincs konfigurálva (alapértelmezett) – Az Intune nem ellenőrzi az eszközön telepített víruskereső megoldásokat.
  • Kötelező – Ellenőrizze a megfelelőséget a Windows biztonság Centerben regisztrált víruskereső megoldásokkal, például a Symantec és a Microsoft Defender. Ha a Kötelező értékre van állítva, a víruskereső szoftvere le van tiltva vagy elavult, nem megfelelő.

  DeviceStatus CSP – DeviceStatus/Víruskereső/Állapot

• Kémszoftver-elhárító:

  • Nincs konfigurálva (alapértelmezett) – Az Intune nem ellenőrzi az eszközön telepített kémprogram-ellenes megoldásokat.
  • Kötelező – Ellenőrizze a megfelelőséget a Windows biztonság Centerben regisztrált kémszoftver-elhárító megoldásokkal, például a Symantec és a Microsoft Defender. Ha a Kötelező értékre van állítva, a kártevőirtó szoftvere le van tiltva vagy elavult, nem megfelelő.

  DeviceStatus CSP – DeviceStatus/Antispyware/Status

Defender

A Windows 10/11 Desktop az alábbi megfelelőségi beállításokat támogatja.

• Microsoft Defender Kártevőirtó:

  • Nincs konfigurálva (alapértelmezett) – Az Intune nem szabályozza a szolgáltatást, és nem módosítja a meglévő beállításokat.
  • Kötelező – Kapcsolja be a Microsoft Defender kártevőirtó szolgáltatást, és akadályozza meg, hogy a felhasználók kikapcsolják.

• Microsoft Defender Kártevőirtó minimális verziója:
  Adja meg Microsoft Defender kártevőirtó szolgáltatás minimálisan engedélyezett verzióját. Írja be például a következőt: 4.11.0.0. Ha üresen hagyja, a Microsoft Defender kártevőirtó szolgáltatás bármely verziója használható.

  Alapértelmezés szerint nincs konfigurálva verzió.

• Microsoft Defender kártevőirtó biztonsági intelligencia naprakészen:
  Az eszközök Windows biztonság vírus- és veszélyforrások elleni védelmi frissítéseket szabályozza.

  • Nincs konfigurálva (alapértelmezett) – Az Intune nem kényszerít semmilyen követelményt.
  • Kötelező – Kényszerítse a Microsoft Defender biztonsági intelligenciát naprakészen.

  Defender CSP – Defender/Health/SignatureOutOfDate CSP

  További információ: Biztonságiintelligencia-frissítések Microsoft Defender víruskeresőhöz és más Microsoft kártevőirtókhoz.

• Valós idejű védelem:

  • Nincs konfigurálva (alapértelmezett) – Az Intune nem szabályozza ezt a funkciót, és nem módosítja a meglévő beállításokat.
  • Kötelező – Kapcsolja be a valós idejű védelmet, amely kártevőket, kémprogramokat és más nemkívánatos szoftvereket keres.

  Policy CSP – Defender/AllowRealtimeMonitoring CSP

Végponthoz készült Microsoft Defender

Végponthoz készült Microsoft Defender szabályok

A feltételes hozzáférési forgatókönyvek Végponthoz készült Microsoft Defender integrációjával kapcsolatos további információkért lásd: Feltételes hozzáférés konfigurálása Végponthoz készült Microsoft Defender.

• Megkövetelheti, hogy az eszköz a gép kockázati pontszámában vagy alatt legyen:
  Ezzel a beállítással a védelmi fenyegetési szolgáltatások kockázatfelmérését tekintheti a megfelelőség feltételeként. Válassza ki a maximálisan engedélyezett fenyegetési szintet:

  • Nincs konfigurálva (alapértelmezett)
  • Törlés – Ez a legbiztonságosabb beállítás, mivel az eszköz nem rendelkezhet fenyegetésekkel. Ha az eszköz bármilyen szintű fenyegetést észlel, a rendszer nem megfelelőként értékeli ki.
  • Alacsony – Az eszköz megfelelőnek minősül, ha csak alacsony szintű fenyegetések vannak jelen. Bármi magasabb, az eszköz nem megfelelő állapotba kerül.
  • Közepes – Az eszköz megfelelőnek minősül, ha az eszközön meglévő fenyegetések alacsony vagy közepes szintűek. Ha az eszköz magas szintű fenyegetést észlel, a rendszer úgy dönt, hogy nem megfelelő.
  • Magas – Ez a legkevésbé biztonságos beállítás, és minden fenyegetési szintet engedélyez. Hasznos lehet, ha ezt a megoldást csak jelentéskészítési célokra használja.

  A Végponthoz készült Microsoft Defender védelmi fenyegetési szolgáltatásként való beállításához lásd: Végponthoz készült Microsoft Defender engedélyezése feltételes hozzáféréssel.

Windows Holographic for Business

Windows Holographic for Business a Windows 10 és az újabb platformot használja. Windows Holographic for Business a következő beállítást támogatja:

• Rendszerbiztonság>Titkosítás>Az eszközön lévő adattárolás titkosítása.

Az Microsoft HoloLens eszköztitkosításának ellenőrzéséhez lásd: Eszköztitkosítás ellenőrzése.

Surface Hub

A Surface Hub a Windows 10 és az újabb platformot használja. A Surface Hubok a megfelelőség és a feltételes hozzáférés esetében is támogatottak. Ezeknek a funkcióknak a Surface Hubokon való engedélyezéséhez javasoljuk, hogy engedélyezze a Windows automatikus regisztrációját az Intune-ban (Microsoft Entra ID szükséges), és eszközcsoportként célozza meg a Surface Hub-eszközöket. A megfelelőség és a feltételes hozzáférés működéséhez a Surface Hubokat Microsoft Entra kell csatlakoztatni.

Útmutatásért lásd: Regisztráció beállítása Windows-eszközökhöz.

A Windows 10/11 Team OS-t futtató Surface Hubok esetében speciális szempontok:
A Windows 10/11 csapat operációs rendszert futtató Surface Hubok jelenleg nem támogatják a Végponthoz készült Microsoft Defender és jelszómegfelelési szabályzatokat. Ezért a Windows 10/11 Team OS-t futtató Surface Hubok esetében a következő két beállítást állítsa alapértelmezettként a Nincs konfigurálva értékre:

• A Jelszó kategóriában állítsa a Jelszó megkövetelése a mobileszközök zárolásának feloldásához beállítást a Nincs konfigurálva értékre.

• A Végponthoz készült Microsoft Defender kategóriában állítsa az Eszköz megkövetelése a gép kockázati pontszámánál vagy alatt beállításnál az alapértelmezett Nincs konfigurálva értéket.

Következő lépések

• Adjon hozzá műveleteket a nem megfelelő eszközökhöz , és használjon hatókörcímkéket a szabályzatok szűréséhez.
• A megfelelőségi szabályzatok figyelése.
• Tekintse meg az Windows 8.1-eszközök megfelelőségi szabályzatának beállításait.