Megfelelőségi szabályzatok használata az Intune-nal felügyelt eszközökre vonatkozó szabályok beállításához

Az Intune-hoz hasonló mobileszköz-kezelési (MDM-) megoldások segíthetnek a szervezeti adatok védelmében azáltal, hogy a felhasználóknak és az eszközöknek meg kell felelniük bizonyos követelményeknek. Az Intune-ban ezt a funkciót megfelelőségi szabályzatoknak nevezzük.

Megfelelőségi szabályzatok az Intune-ban:

  • Határozza meg azokat a szabályokat és beállításokat, amelyeknek a felhasználóknak és az eszközöknek meg kell felelniük a megfelelőséghez.
  • A nem megfelelő eszközökre vonatkozó műveletek belefoglalása. A meg nem felelési műveletek figyelmeztethetik a felhasználókat a meg nem felelési feltételekre, és megvédhetik a nem megfelelő eszközökön tárolt adatokat.
  • Kombinálható feltételes hozzáféréssel, amely letilthatja a szabályokat nem teljesítő felhasználókat és eszközöket.
  • Felülbírálhatja az eszközkonfigurációs szabályzatokkal is kezelt beállítások konfigurációját. A szabályzatok ütközésfeloldásáról további információt az Ütköző megfelelőségi és eszközkonfigurációs szabályzatok című témakörben talál.

A megfelelőségi szabályzatoknak két része van az Intune-ban:

  • Megfelelőségi szabályzat beállításai – Olyan bérlőszintű beállítások, mint egy beépített megfelelőségi szabályzat, amelyet minden eszköz megkap. A megfelelőségi szabályzat beállításai beállítanak egy alapkonfigurációt a megfelelőségi szabályzat működéséhez az Intune-környezetben, beleértve azt is, hogy azok az eszközök, amelyek nem kaptak eszközmegfelelőségi szabályzatot, megfelelőek vagy nem megfelelőek-e.

  • Eszközmegfelelési szabályzat – A felhasználók vagy eszközök csoportjai számára konfigurált és üzembe helyezendő platformspecifikus szabályok. Ezek a szabályok határozzák meg az eszközökre vonatkozó követelményeket, például a minimális operációs rendszereket vagy a lemeztitkosítás használatát. Az eszközöknek meg kell felelniük ezeknek a szabályoknak ahhoz, hogy megfelelőnek minősüljenek.

Más Intune-szabályzatokhoz hasonlóan az eszközök megfelelőségi szabályzatainak kiértékelése attól függ, hogy az eszköz mikor lép be az Intune-ba, és hogy mikor frissülnek a szabályzatok és a profilok.

Megfelelőségi szabályzat beállításai

A megfelelőségi szabályzat beállításai bérlőszintű beállítások, amelyek meghatározzák, hogy az Intune megfelelőségi szolgáltatása hogyan kommunikál az eszközökkel. Ezek a beállítások eltérnek az eszközmegfelelési szabályzatban konfigurált beállításoktól.

A megfelelőségi szabályzat beállításainak kezeléséhez jelentkezzen be Microsoft Intune Felügyeleti központba, és lépjen a Végpontbiztonság>Eszközmegfelelési megfelelőségi>szabályzat beállításai területre.

A megfelelőségi szabályzat beállításai a következő beállításokat tartalmazzák:

  • Megfelelőségi szabályzattal nem rendelkező eszközök megjelölése

    Ez a beállítás határozza meg, hogy az Intune hogyan kezeli azokat az eszközöket, amelyekhez nem rendeltek eszközmegfelelési szabályzatot. Ez a beállítás két értékkel rendelkezik:

    • Megfelelő (alapértelmezett): Ez a biztonsági funkció ki van kapcsolva. Az eszközmegfelelőségi szabályzatot nem küldő eszközök megfelelőnek minősülnek.
    • Nem megfelelő: Ez a biztonsági funkció be van kapcsolva. Azok az eszközök, amelyek nem kaptak eszközmegfelelési szabályzatot, nem megfelelőnek minősülnek.

    Ha feltételes hozzáférést használ az eszközmegfelelőségi szabályzatokkal, módosítsa ezt a beállítást Nem megfelelő értékre, hogy csak a megfelelőként megerősített eszközök férhessenek hozzá az erőforrásokhoz.

    Ha egy végfelhasználó nem megfelelő, mert nincs hozzárendelve szabályzat, akkor a Céges portál alkalmazásban a Nincs hozzárendelt megfelelőségi szabályzat látható.

  • Megfelelőségi állapot érvényességi időtartama (nap)

    Adja meg azt az időszakot, amelyben az eszközöknek sikeresen jelenteniük kell az összes kapott megfelelőségi szabályzatukat. Ha egy eszköz nem jelenti a szabályzat megfelelőségi állapotát az érvényességi időszak lejárta előtt, a rendszer nem megfelelőként kezeli az eszközt.

    Alapértelmezés szerint az időszak 30 napra van állítva. 1 és 120 nap közötti időszakot konfigurálhat.

    Megtekintheti az érvényességi időszak beállításának megfelelő eszközökre vonatkozó részleteket. Jelentkezzen be Microsoft Intune Felügyeleti központba, és lépjen az Eszközök>monitorozása>beállítás megfelelősége területre. Ennek a beállításnak a neve Aktív a Beállítás oszlopban. További információ erről és a kapcsolódó megfelelőségi állapotnézetekről: Eszközmegfelelés figyelése.

Eszközmegfelelőségi házirendek

Intune eszközmegfelelési szabályzatok:

  • Határozza meg azokat a szabályokat és beállításokat, amelyeknek a felhasználóknak és a felügyelt eszközöknek meg kell felelniük a megfelelőséghez. A szabályok közé tartozik például, hogy az eszközöknek az operációs rendszer minimális verzióját kell futtatniuk, nem kell feltörni vagy feltörni őket, és az Intune-nal integrált veszélyforrás-kezelő szoftver által meghatározott vagy az alattuk lévő fenyegetéskezelési szoftvernek kell futniuk.
  • Olyan eszközökre vonatkozó támogatási műveletek, amelyek nem felelnek meg a megfelelőségi szabályoknak. A műveletek közé tartozik például a távolról zárolt állapot vagy az eszköz állapotáról szóló e-mail küldése az eszköz felhasználóinak, hogy kijavíthassák.
  • Üzembe helyezés felhasználói csoportok vagy eszközcsoportokban lévő eszközök felhasználói számára. Amikor megfelelőségi szabályzatot telepít egy felhasználóhoz, a rendszer ellenőrzi a felhasználó összes eszközének megfelelőségét. Ebben a forgatókönyvben az eszközcsoportok használata segít a megfelelőségi jelentéskészítésben.

Ha feltételes hozzáférést használ, a feltételes hozzáférési házirendek az eszközmegfelelőségi eredmények alapján letilthatják az erőforrásokhoz való hozzáférést a nem megfelelő eszközökről.

Az eszközmegfelelési szabályzatban megadható beállítások a szabályzat létrehozásakor kiválasztott platformtípustól függenek. A különböző eszközplatformok különböző beállításokat támogatnak, és minden platformtípushoz külön szabályzat szükséges.

Az alábbi témakörök az eszközkonfigurációs szabályzat különböző szempontjait bemutató cikkekre mutató hivatkozásokat ismertetik.

  • Meg nem felelés esetén végrehajtandó műveletek – Minden eszközmegfelelőségi szabályzat egy vagy több meg nem felelés esetén végrehajtandó műveletet tartalmaz. Ezek a műveletek olyan szabályok, amelyek olyan eszközökre lesznek alkalmazva, amelyek nem felelnek meg a szabályzatban megadott feltételeknek.

    Alapértelmezés szerint minden eszközmegfelelési szabályzat tartalmazza azt a műveletet, amely nem megfelelőként jelöl meg egy eszközt, ha az nem felel meg egy szabályzatszabálynak. A szabályzat ezután az eszközre alkalmazza a konfigurált meg nem felelési további műveleteket az adott műveletekhez beállított ütemezések alapján.

    A meg nem felelési műveletek segíthetnek figyelmeztetni a felhasználókat, ha az eszközük nem megfelelő, vagy megvédhetik az eszközön található adatokat. Ilyen műveletek például a következők:

    • E-mailes riasztások küldése a felhasználóknak és csoportoknak a nem megfelelő eszköz adataival. Konfigurálhatja úgy a szabályzatot, hogy azonnal küldjön e-mailt, ha nem megfelelőként van megjelölve, majd rendszeres időközönként, amíg az eszköz megfelelővé nem válik.
    • Távolról zárolja azokat az eszközöket , amelyek egy ideje nem megfelelőek.
    • Az eszközök kivonása , ha már egy ideje nem megfelelőek. Ez a művelet a jogosult eszközt a kivonásra készként jelöli meg. A rendszergazdák ezután megtekinthetik a kivezetésre megjelölt eszközök listáját, és explicit módon kell végrehajtaniuk egy vagy több eszköz kivonását. Az eszköz kivonása eltávolítja az eszközt az Intune felügyeletéből, és eltávolítja az összes vállalati adatot az eszközről. További információ erről a műveletről: Meg nem felelési műveletek.
  • Szabályzat létrehozása – A cikkben található információk alapján áttekintheti az előfeltételeket, áttekintheti a szabályok konfigurálásának lehetőségeit, megadhatja a meg nem felelési műveleteket, és hozzárendelheti a szabályzatot a csoportokhoz. Ez a cikk a szabályzatfrissítési időkről is tartalmaz információkat.

    Tekintse meg a különböző eszközplatformok eszközmegfelelési beállításait:

  • Egyéni megfelelőségi beállítások – Az egyéni megfelelőségi beállításokkal kibővítheti az Intune beépített eszközmegfelelési lehetőségeit. Az egyéni beállítások rugalmasságot biztosítanak az eszközön elérhető beállításoknak való megfeleléshez anélkül, hogy meg kellene várniuk, amíg az Intune hozzáadja ezeket a beállításokat.

    Az egyéni megfelelőségi beállításokat a következő platformokon használhatja:

    • Linux – Ubuntu Desktop, 20.04 LTS és 22.04 LTS verzió
    • Windows 10/11

Megfelelőségi állapot figyelése

Az Intune tartalmaz egy eszközmegfelelési irányítópultot, amellyel monitorozhatja az eszközök megfelelőségi állapotát, és további információkért részletezheti a szabályzatokat és az eszközöket. További információ erről az irányítópultról: Eszközmegfelelés figyelése.

Integrálás feltételes hozzáféréssel

A feltételes hozzáférés használatakor konfigurálhatja a feltételes hozzáférési szabályzatokat úgy, hogy az eszközmegfelelési szabályzatok eredményei alapján határozza meg, mely eszközök férhetnek hozzá a szervezeti erőforrásokhoz. Ez a hozzáférés-vezérlés az eszközmegfelelőségi szabályzatokba belefoglalt meg nem felelés esetén végrehajtandó műveleteken kívül és azoktól elkülönül.

Amikor egy eszköz regisztrál az Intune-ban, az Microsoft Entra-azonosítóban regisztrál. Az eszközök megfelelőségi állapota Microsoft Entra azonosítónak lesz jelentve. Ha a feltételes hozzáférési szabályzatok hozzáférés-vezérlése Az eszköz megfelelőként való megjelölésének megkövetelése beállítással rendelkezik, a feltételes hozzáférés ezen megfelelőségi állapot alapján határozza meg, hogy engedélyezi vagy letiltja-e a hozzáférést az e-mailekhez és más szervezeti erőforrásokhoz.

Ha feltételes hozzáférési szabályzatokkal fogja használni az eszközmegfelelési állapotot, tekintse át, hogy a bérlő hogyan konfigurálta az Eszközök megjelölése megfelelőségi szabályzat hozzárendelése nélkül beállítást, amelyet a Megfelelőségi szabályzat beállításai területen kezelhet.

További információ a feltételes hozzáférés eszközmegfelelési szabályzatokkal való használatáról: Eszközalapú feltételes hozzáférés

További információ a feltételes hozzáférésről a Microsoft Entra dokumentációjában:

A meg nem felelés és a feltételes hozzáférés referenciája a különböző platformokon

Az alábbi táblázat azt ismerteti, hogyan történik a nem megfelelő beállítások kezelése, ha egy megfelelőségi szabályzatot feltételes hozzáférési szabályzattal használnak.

  • Szervizelt: Az eszköz operációs rendszere kikényszeríti a megfelelőséget. A felhasználónak például PIN-kódot kell beállítania.

  • Karanténba helyezve: Az eszköz operációs rendszere nem kényszeríti a megfelelőséget. Az Android- és Android Enterprise-eszközök például nem kényszerítik a felhasználót az eszköz titkosítására. Ha az eszköz nem megfelelő, a következő műveletek történnek:

    • Ha a felhasználóra feltételes hozzáférési szabályzat vonatkozik, az eszköz le lesz tiltva.
    • A Céges portál alkalmazás értesíti a felhasználót a megfelelőségi problémákról.

Házirend beállítása Platform
Engedélyezett disztribúciók Linux(csak) – Karanténba helyezve
Eszköztitkosítás - Android 4.0 és újabb verziók: Karanténba helyezve
- Samsung Knox Standard 4.0 és újabb verziók: Karanténba helyezve
- Android Enterprise: Karanténba helyezve

- iOS 8.0-s és újabb verziók: Szervizelés (PIN-kód beállításával)
- macOS 10.11 és újabb verziók: Karanténba helyezve

- Linux: Karanténba helyezve

- Windows 10/11: Karanténba helyezve
Email profil - Android 4.0 és újabb verziók: Nem alkalmazható
- Samsung Knox Standard 4.0 és újabb verziók: Nem alkalmazható
- Android Enterprise: Nem alkalmazható

- iOS 8.0 és újabb verziók: Karanténba helyezve
- macOS 10.11 és újabb verziók: Karanténba helyezve

- Linux: Nem alkalmazható

- Windows 10/11: Nem alkalmazható
Feltört vagy feltört eszköz - Android 4.0 és újabb verziók: Karanténba helyezve (nem beállítás)
- Samsung Knox Standard 4.0 és újabb verziók: Karanténba helyezve (nem beállítás)
- Android Enterprise: Karanténba helyezve (nem beállítás)

- iOS 8.0 és újabb verziók: Karanténba helyezve (nem beállítás)
- macOS 10.11 és újabb verziók: Nem alkalmazható

- Linux: Nem alkalmazható

- Windows 10/11: Nem alkalmazható
Operációs rendszer maximális verziója - Android 4.0 és újabb verziók: Karanténba helyezve
- Samsung Knox Standard 4.0 és újabb verziók: Karanténba helyezve
- Android Enterprise: Karanténba helyezve

- iOS 8.0 és újabb verziók: Karanténba helyezve
- macOS 10.11 és újabb verziók: Karanténba helyezve

- Linux: Lásd: Engedélyezett disztribúciók

- Windows 10/11: Karanténba helyezve
Operációs rendszer minimális verziója - Android 4.0 és újabb verziók: Karanténba helyezve
- Samsung Knox Standard 4.0 és újabb verziók: Karanténba helyezve
- Android Enterprise: Karanténba helyezve

- iOS 8.0 és újabb verziók: Karanténba helyezve
- macOS 10.11 és újabb verziók: Karanténba helyezve

- Linux: Lásd: Engedélyezett disztribúciók

- Windows 10/11: Karanténba helyezve
PIN-kód vagy jelszó konfigurálása - Android 4.0 és újabb verziók: Karanténba helyezve
- Samsung Knox Standard 4.0 és újabb verziók: Karanténba helyezve
- Android Enterprise: Karanténba helyezve

- iOS 8.0-s és újabb verziók: Szervizelve
- macOS 10.11 és újabb verziók: Szervizelt

- Linux: Karanténba helyezve

- Windows 10/11: Szervizelés
Windows állapotigazolás - Android 4.0 és újabb verziók: Nem alkalmazható
- Samsung Knox Standard 4.0 és újabb verziók: Nem alkalmazható
- Android Enterprise: Nem alkalmazható

- iOS 8.0 és újabb verziók: Nem alkalmazható
- macOS 10.11 és újabb verziók: Nem alkalmazható

- Linux: Nem alkalmazható

- Windows 10/11: Karanténba helyezve

Megjegyzés:

A Céges portál alkalmazás akkor lép be a regisztrációs szervizelési folyamatba, amikor a felhasználó bejelentkezik az alkalmazásba, és az eszköz legalább 30 napja nem jelentkezett be sikeresen az Intune-ban (vagy az eszköz nem megfelelő az elveszett kapcsolatmegfelelőségi ok miatt). Ebben a folyamatban megpróbálunk még egyszer bejelentkezni. Ha ez továbbra sem sikerül, kiadunk egy kivonási parancsot, amely lehetővé teszi, hogy a felhasználó manuálisan regisztrálja újra az eszközt.


Következő lépések