Condividi tramite


Configurare le azioni per i dispositivi non conformi in Intune

Come parte di un criterio di conformità che protegge le risorse dell'organizzazione dai dispositivi che non soddisfano i requisiti di sicurezza, i criteri di conformità includono anche Azioni per la non conformità. Le azioni per la non conformità sono una o più azioni ordinate in base al tempo eseguite da un criterio per proteggere i dispositivi e l'organizzazione. Ad esempio, un'azione per la non conformità può bloccare in remoto un dispositivo per assicurarsi che sia protetto o inviare una notifica ai dispositivi o agli utenti per aiutarli a comprendere e risolvere lo stato non conforme.

Importante

Microsoft Intune sta terminando il supporto per la gestione dell'amministratore di dispositivi Android nei dispositivi con accesso a Google Mobile Services (GMS) il 31 dicembre 2024. Dopo tale data, la registrazione del dispositivo, il supporto tecnico, le correzioni di bug e le correzioni di sicurezza non saranno disponibili. Se attualmente si usa la gestione dell'amministratore dei dispositivi, è consigliabile passare a un'altra opzione di gestione Android in Intune prima della fine del supporto. Per altre informazioni, vedere Termina il supporto per l'amministratore di dispositivi Android nei dispositivi GMS.

Panoramica

Per impostazione predefinita, ogni criterio di conformità include l'azione per la non conformità del dispositivo Mark non conforme con una pianificazione di zero giorni (0). Il risultato di questa impostazione predefinita è quando Intune rileva che un dispositivo non è conforme, Intune contrassegna immediatamente il dispositivo come non conforme. Dopo che un dispositivo è contrassegnato come non conforme, l'accesso condizionale di Microsoft Entra può bloccare il dispositivo.

Configurando Actions for noncompliance si ottiene flessibilità per decidere cosa fare sui dispositivi non conformi e quando farlo. Ad esempio, è possibile scegliere di non bloccare immediatamente il dispositivo e concedere all'utente un periodo di tolleranza per diventare conforme.

Per ogni azione impostata, è possibile configurare una pianificazione che determina quando l'azione diventa effettiva. La pianificazione è un numero di giorni dopo che il dispositivo è contrassegnato come non conforme. È anche possibile configurare più istanze di un'azione. Quando si impostano più istanze di un'azione in un criterio, l'azione viene eseguita di nuovo all'ora pianificata successiva se il dispositivo rimane non conforme.

Non tutte le azioni sono disponibili per tutte le piattaforme.

Nota

L'interfaccia di amministrazione di Microsoft Intune visualizza la pianificazione (giorni dopo la mancata conformità) in giorni. È tuttavia possibile specificare un intervallo più granulare (ore), usando frazioni decimali come 0,25 (6 ore), 0,5 (12 ore), 1,5 (36 ore) e così via. Anche se altri valori sono possibili, possono essere configurati solo tramite Microsoft Graph e non tramite l'interfaccia di amministrazione. Se si tenta di usare altri valori nell'interfaccia di amministrazione, ad esempio 0,33 (8 ore), si verificherà un errore durante il tentativo di salvare i criteri.

Azioni disponibili per la non conformità

Di seguito sono riportate le azioni disponibili per la non conformità:

  • Contrassegna il dispositivo non conforme: per impostazione predefinita, questa azione è impostata per ogni criterio di conformità e ha una pianificazione di zero (0) giorni, contrassegnando i dispositivi come non conformi immediatamente.

    Quando si modifica la pianificazione predefinita, si specifica un periodo di tolleranza in cui un utente può correggere i problemi o diventare conforme senza essere contrassegnato come non conforme.

    Questa azione è supportata in tutte le piattaforme supportate da Intune.

  • Invia posta elettronica all'utente finale: questa azione invia una notifica tramite posta elettronica all'utente. Quando si abilita questa azione:

    • Selezionare un modello di messaggio di notifica inviato da questa azione. Creare un modello di messaggio di notifica prima di assegnarne uno a questa azione. Quando si crea la notifica personalizzata, è possibile personalizzare le impostazioni locali del messaggio, l'oggetto, il corpo del messaggio e includere il logo della società, il nome della società e altre informazioni di contatto.
    • Scegliere di inviare il messaggio a più destinatari selezionando uno o più gruppi di Microsoft Entra.

    Intune usa l'indirizzo di posta elettronica definito nel profilo dell'utente finale e non il nome dell'entità utente (UPN). Se non è definito alcun indirizzo di posta elettronica definito nel profilo dell'utente, Intune non invia un messaggio di posta elettronica di notifica. Quando viene inviato il messaggio di posta elettronica, Intune include i dettagli sul dispositivo non conforme nella notifica di posta elettronica.

    Questa azione è supportata in tutte le piattaforme supportate da Intune.

    Nota

    I messaggi di posta elettronica di notifica vengono inviati da: microsoft-noreply@microsoft.com

    Assicurarsi di non disporre di criteri cassetta postale che impediscono il recapito di messaggi di posta elettronica da questi indirizzi, in caso contrario gli utenti finali potrebbero non ricevere la notifica tramite posta elettronica.

    Prima di dicembre 2022, i messaggi di posta elettronica di notifica nel cloud commerciale venivano inviati da: IntuneNotificationService@microsoft.com

  • Bloccare in remoto il dispositivo non conforme: usare questa azione per emettere un blocco remoto di un dispositivo. All'utente viene quindi richiesto un PIN o una password per sbloccare il dispositivo. Altre informazioni sulla funzionalità Blocco remoto .

    Questa azione è supportata dalle piattaforme seguenti:

    • Amministratore del dispositivo Android
    • Android
    • Android Enterprise:
      • Completamente gestito
      • Dedicato
      • profilo di lavoro Corporate-Owned
      • Profilo di lavoro di proprietà personale
      • Dispositivi in modalità tutto schermo Android Enterprise
    • iOS/iPadOS
    • macOS
  • Aggiungere un dispositivo per ritirare l'elenco: quando questa azione viene eseguita in un dispositivo, il dispositivo viene aggiunto a un elenco di dispositivi non conformi e ritirati nell'interfaccia di amministrazione di Intune. È possibile passare aConformitàdispositivi> e selezionare la scheda Ritirare i dispositivi non conformi per visualizzare l'elenco. Tuttavia, il dispositivo non viene ritirato fino a quando un amministratore non avvia in modo esplicito il processo di ritiro. Quando un amministratore ritira il dispositivo dall'elenco, il ritiro rimuove tutti i dati aziendali dal dispositivo e lo rimuove dalla gestione di Intune.

    Questa azione è supportata dalle piattaforme seguenti:

    • Amministratore del dispositivo Android
    • Android
    • Android Enterprise:
      • Completamente gestito
      • Dedicato
      • profilo di lavoro Corporate-Owned
      • Profilo di lavoro di proprietà personale
    • iOS/iPadOS
    • macOS
    • Windows 10/11

    Nota

    Nella scheda Disattiva dispositivi selezionati vengono visualizzati solo i dispositivi in cui è stata attivata l'azione Aggiungi dispositivo per ritirare l'elenco. Per visualizzare un elenco di tutti i dispositivi non conformi, vedere il report Dispositivi non conformi indicato in Monitorare i criteri di conformità dei dispositivi.

    Per ritirare uno o più dispositivi dall'elenco, selezionare i dispositivi da ritirare e quindi selezionare Disattiva dispositivi selezionati. Quando si sceglie un'azione che ritira i dispositivi, viene visualizzata una finestra di dialogo per confermare l'azione. Solo dopo aver confermato la finalità di ritirare i dispositivi, i dispositivi vengono cancellati dai dati aziendali e rimossi dalla gestione di Intune.

    Altre opzioni includono Ritiro di tutti i dispositivi, Cancellazione dello stato di ritiro di tutti i dispositivi e Cancellazione dello stato di ritiro dei dispositivi selezionati. La cancellazione dello stato di ritiro per un dispositivo rimuove il dispositivo dall'elenco dei dispositivi che possono essere ritirati fino a quando l'azione Aggiungi dispositivo per ritirare l'elenco non viene applicata di nuovo al dispositivo.

    Altre informazioni sul ritiro dei dispositivi.

  • Inviare una notifica push all'utente finale: configurare questa azione per inviare una notifica push sulla non conformità a un dispositivo tramite l'app Portale aziendale o l'app Intune nel dispositivo.

    Questa azione è supportata dalle piattaforme seguenti:

    • Amministratore del dispositivo Android
    • Android Enterprise:
      • Completamente gestito
      • Dedicato
      • profilo di lavoro Corporate-Owned
      • Profilo di lavoro di proprietà personale
    • iOS/iPadOS

    La notifica push viene inviata la prima volta che un dispositivo esegue l'accesso con Intune e risulta non conforme ai criteri di conformità. Quando un utente seleziona la notifica, viene aperta l'app Portale aziendale o l'app Intune e vengono visualizzate informazioni sul motivo per cui non sono conformi. L'utente può quindi intervenire per risolvere il problema. I dettagli del messaggio sulla non conformità vengono generati da Intune e non possono essere personalizzati.

    Importante

    Intune, l'app Portale aziendale e l'app Microsoft Intune non possono garantire il recapito di una notifica push. Le notifiche potrebbero essere visualizzate dopo diverse ore di ritardo, se non del tutto. Ciò include quando gli utenti hanno disattivato le notifiche push.

    Non basarsi su questo metodo di notifica per i messaggi urgenti.

    Ogni istanza dell'azione invia una notifica una sola volta. Per inviare di nuovo la stessa notifica da un criterio, configurare più istanze dell'azione in tale criterio, ognuna con una pianificazione diversa.

    Ad esempio, è possibile pianificare la prima azione per zero giorni e quindi aggiungere una seconda istanza dell'azione impostata su tre giorni. Questo ritardo prima della seconda notifica consente all'utente di risolvere il problema ed evitare la seconda notifica.

    Per evitare che gli utenti vengano spamming con troppi messaggi duplicati, esaminare e semplificare i criteri di conformità che includono una notifica push per la non conformità ed esaminare le pianificazioni per evitare notifiche ripetute per la stessa frequenza.

    Prendere in considerazione:

    • Per un singolo criterio che include più istanze di un set di notifiche push per lo stesso giorno, viene inviata una sola notifica per quel giorno.

    • Quando più criteri di conformità includono le stesse condizioni di conformità e includono l'azione di notifica push con la stessa pianificazione, Intune invia più notifiche allo stesso dispositivo nello stesso giorno.

Nota

Le azioni seguenti per la non conformità non sono supportate per i dispositivi gestiti da un partner di gestione della conformità dei dispositivi:

  • Inviare un messaggio di posta elettronica all'utente finale
  • Bloccare in remoto il dispositivo non conforme
  • Aggiungere un dispositivo per ritirare l'elenco
  • Inviare una notifica push all'utente finale

Prima di iniziare

È possibile aggiungere azioni per la non conformità quando si configurano i criteri di conformità dei dispositivi o versioni successive modificando i criteri. È possibile aggiungere azioni aggiuntive a ogni criterio per soddisfare le proprie esigenze. Tenere presente che ogni criterio di conformità include automaticamente l'azione predefinita per la non conformità che contrassegna i dispositivi come non conformi, con una pianificazione impostata su zero giorni.

Per usare i criteri di conformità dei dispositivi per bloccare i dispositivi dalle risorse aziendali, è necessario configurare l'accesso condizionale di Microsoft Entra. Per indicazioni, vedere Accesso condizionale in Microsoft Entra ID o modi comuni per usare l'accesso condizionale con Intune .

Per creare criteri di conformità dei dispositivi, vedere le indicazioni seguenti specifiche della piattaforma:

Creare un modello di messaggio di notifica

Per inviare messaggi di posta elettronica agli utenti, creare un modello di messaggio di notifica e associarlo ai criteri di conformità come azione per la non conformità. Quindi, quando un dispositivo non è conforme, i dettagli immessi nel modello vengono visualizzati nel messaggio di posta elettronica inviato agli utenti.

Un modello di messaggio di notifica può includere più messaggi ognuno per impostazioni locali diverse. Quando si specificano più messaggi e impostazioni locali, gli utenti finali non conformi ricevono il messaggio localizzato appropriato in base alla lingua preferita di O365.

Aggiungere variabili al messaggio per creare un messaggio di posta elettronica personalizzato con contenuto dinamico. Nella tabella seguente vengono descritte le variabili che è possibile usare nella riga dell'oggetto e nel corpo del messaggio.

Nome variabile Token da usare Descrizione
Nome utente {{UserName}} Aggiungere il nome dell'utente primario per il dispositivo non conforme.
Esempio: John Doe
Nome dispositivo {{DeviceName}} Aggiungere il nome del dispositivo non conforme come registrato in Microsoft Intune.
Esempio: John's iPad
ID dispositivo {{DeviceId}} Aggiungere l'ID dispositivo di Intune che appartiene al dispositivo non conforme.
Esempio: 12ab345c-6789-def0-1234-000000000000
Versione del sistema operativo del dispositivo {{OSAndVersion}} Aggiungere il sistema operativo e la versione del dispositivo non conforme.
Esempio: Android 12

Per creare il modello

  1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.

  2. Selezionare Endpoint security>Device complianceNotificationsCreate notification (Notifiche> di creazione > della notifica).

  3. Nella pagina Informazioni di base assegnare al modello un nome descrittivo per identificarlo. Quindi, scegliere Avanti.

  4. Nella pagina Impostazioni intestazione e piè di pagina aggiungere i dettagli e il logo dell'azienda.

    Screenshot che mostra l'esempio della pagina Impostazioni intestazione e piè di pagina per un messaggio di notifica in Intune.

    Le opzioni disponibili sono:

    • Intestazione di posta elettronica: mostra il logo della società (impostazione predefinita = Abilita): caricare un logo per aggiungere la personalizzazione dell'organizzazione ai modelli di posta elettronica. Per altre informazioni sulla personalizzazione del portale aziendale, vedere Personalizzazione della personalizzazione dell'identità aziendale.
    • Piè di pagina di posta elettronica: mostra il nome della società (impostazione predefinita = Abilita): abilitare questa impostazione per visualizzare il nome della società nel messaggio di posta elettronica. Vedere Valore tenant per esaminare il nome della società nel record.
    • Piè di pagina di posta elettronica: mostra le informazioni di contatto (impostazione predefinita = Abilita): abilita questa impostazione per visualizzare le informazioni di contatto dell'organizzazione, ad esempio nome, numero di telefono e indirizzo di posta elettronica, nel messaggio di posta elettronica. Vedere Valore tenant per esaminare le informazioni di contatto nel record.
    • Piè di pagina di posta elettronica - Mostra il collegamento al sito Web del portale aziendale (impostazione predefinita = Disabilita) - Abilitare questa impostazione per includere un collegamento al sito Web del portale aziendale nel messaggio di posta elettronica. Vedere Valore tenant per esaminare il collegamento al sito Web visualizzato agli utenti.

    Selezionare Avanti per continuare.

  5. Nella pagina Modelli di messaggio di notifica configurare uno o più messaggi. Per ogni messaggio specificare i dettagli seguenti:

    • Impostazioni locali: selezionare la lingua correlata alle impostazioni locali dell'utente del dispositivo.
    • Oggetto: aggiungere la riga dell'oggetto per il messaggio di posta elettronica. È possibile immettere fino a 78 caratteri.
    • Editor HTML non elaborato: attivare l'editor HTML per ottenere suggerimenti durante l'aggiunta di formattazione HTML e collegamenti al messaggio. È possibile usare l'attributo href per aggiungere un collegamento (deve essere un URL HTTPS). I tag HTML supportati includono: <a>, <strong>, <b>, <u>, <ol>, <ul><li>, <p>, <br>, <code>, <table>, , <tbody>, , <tr>, , <td>, <thead>. <th> Non è necessario usare l'editor HTML e può aggiungere codice HTML supportato senza attivare l'editor.
    • Messaggio: creare un messaggio che spiega il motivo della mancata conformità. È possibile immettere fino a 2.000 caratteri.

    Per creare un modello con contenuto dinamico, inserire il token di una variabile supportata nella riga dell'oggetto o nel messaggio. Per un elenco delle variabili supportate, vedere la tabella in Creare un modello di messaggio di notifica in questo articolo.

    Importante

    Assicurarsi di usare solo tag e attributi HTML supportati da Intune nel corpo del messaggio. Intune invierà messaggi che contengono altri tipi di tag, elementi o stili come testo non crittografato anziché come formato HTML. Sono inclusi i messaggi che contengono:

    • CSS
    • Tag e attributi non elencati in questo articolo

    Nota

    Intune converte i nuovi caratteri <br> di riga in tag HTML in stile Windows, ma ignora tutti gli altri tipi di nuovi caratteri di riga, inclusi quelli per macOS e Linux. Per garantire che il rendering delle interruzioni di riga venga eseguito correttamente nei modelli, è consigliabile usare il <br> tag per indicare la fine di una riga.

  6. Selezionare la casella di controllo Is Default per uno dei messaggi. Intune invia il messaggio predefinito agli utenti che non hanno impostato una lingua preferita o quando il modello non include un messaggio specifico per le impostazioni locali. È possibile impostare un solo messaggio come predefinito. Per eliminare un messaggio, selezionare i puntini di sospensione (...) e quindi Elimina.

    Selezionare Avanti per continuare.

  7. Nella pagina Tag di ambito selezionare i tag per limitare la visibilità e la gestione del messaggio a specifici gruppi di amministratori di Intune, ad US-NC IT Team esempio o JohnGlenn_ITDepartment. Per altre informazioni sui tag di ambito, vedere Usare il controllo degli accessi in base al ruolo (RBAC) e i tag di ambito per l'infrastruttura IT distribuita.

    Selezionare Avanti per continuare.

  8. Nella pagina Rivedi e crea esaminare le configurazioni per assicurarsi che il modello di messaggio di notifica sia pronto per l'uso. Selezionare Crea per completare la creazione della notifica.

Visualizzare e modificare le notifiche

Le notifiche create sono disponibili nella paginaNotifichedei criteri> di conformità. Dalla pagina è possibile selezionare una notifica per visualizzarne la configurazione e:

  • Selezionare Invia messaggio di posta elettronica di anteprima per inviare un'anteprima del messaggio di posta elettronica di notifica all'account usato per accedere a Intune.

    Per inviare correttamente il messaggio di posta elettronica di anteprima, l'account deve avere autorizzazioni uguali a quelle dei seguenti gruppi o ruoli di Microsoft Entrae: Amministratore di Intune (noto anche come amministratore del servizio Intune) o Gestione criteri e profili.

  • Selezionare Modifica per Informazioni di base o Tag ambito per apportare una modifica.

Nota

Il messaggio di posta elettronica di anteprima non contiene le variabili di dispositivo specificate nel modello di messaggio di notifica.

Aggiungere azioni per la mancata conformità

Quando si creano criteri di conformità dei dispositivi, Intune crea automaticamente un'azione per la non conformità. Se un dispositivo non soddisfa i criteri di conformità, questa azione contrassegna il dispositivo come non conforme. È possibile personalizzare per quanto tempo il dispositivo è contrassegnato come non conforme. Questa azione non può essere rimossa.

È possibile aggiungere azioni facoltative quando si creano criteri di conformità o si aggiorna un criterio esistente.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.

  2. Passare aConformitàdei dispositivi>.

  3. Selezionare un criterio e quindi Proprietà.

    Non hai ancora un criterio? Creare un criterio Android, iOS, Windows o altri criteri della piattaforma.

    Nota

    I dispositivi gestiti da partner di conformità dei dispositivi di terze parti destinati ai gruppi di dispositivi non possono ricevere azioni di conformità in questo momento.

  4. Selezionare Azioni per Modifica non conformità>.

  5. Selezionare l'azione:

    • Inviare un messaggio di posta elettronica agli utenti finali: quando il dispositivo non è conforme, scegliere di inviare un messaggio di posta elettronica all'utente. Anche:

      • Scegliere il modello Messaggio creato in precedenza
      • Immettere eventuali destinatari aggiuntivi selezionando gruppi
    • Bloccare in remoto il dispositivo non conforme: quando il dispositivo non è conforme, bloccare il dispositivo. Questa azione forza l'utente a immettere un PIN o un passcode per sbloccare il dispositivo.

    • Aggiungere il dispositivo per ritirare l'elenco: quando il dispositivo non è conforme, rimuovere tutti i dati aziendali dal dispositivo e rimuoverlo dalla gestione di Intune.

    • Inviare una notifica push all'utente finale: configurare questa azione per inviare una notifica push sulla non conformità a un dispositivo tramite l'app Portale aziendale o l'app Intune nel dispositivo.

  6. Configurare una pianificazione: immettere il numero di giorni (da 0 a 365) dopo la mancata conformità per attivare l'azione nei dispositivi degli utenti. Dopo questo periodo di tolleranza, è possibile applicare criteri di accesso condizionale . Se si immette 0 (zero) numero di giorni, l'accesso condizionale diventa immediatamente effettivo. Ad esempio, se un dispositivo non è conforme, usare l'accesso condizionale per bloccare immediatamente l'accesso alla posta elettronica, a SharePoint e ad altre risorse dell'organizzazione.

    Quando si creano criteri di conformità, l'azione Contrassegna dispositivo non conforme viene creata automaticamente e impostata automaticamente su 0 giorni (immediatamente). Con questa azione, quando il dispositivo esegue il check-in con Intune e valuta i criteri, se non è conforme a tale criterio Intune contrassegna immediatamente il dispositivo come non conforme. Se il client esegue il check-in in un secondo momento dopo aver corretto i problemi che portano alla mancata conformità, il relativo stato verrà aggiornato al nuovo stato di conformità. Se si usa l'accesso condizionale, questi criteri si applicano anche non appena un dispositivo è contrassegnato come non conforme. Per impostare un periodo di tolleranza per consentire la correzione di una condizione di non conformità prima che il dispositivo sia contrassegnato come non conforme, modificare pianificazione nell'azione Contrassegna dispositivo non conforme .

    Nei criteri di conformità, ad esempio, si vuole anche inviare una notifica all'utente. È possibile aggiungere l'azione Invia posta elettronica all'utente finale . In questa azione Invia messaggio di posta elettronica impostare Pianificazione su due giorni. Se il dispositivo o l'utente finale viene ancora valutato come non conforme il secondo giorno, il messaggio di posta elettronica viene inviato il secondo giorno. Se si vuole inviare di nuovo un messaggio di posta elettronica all'utente il giorno 5 della mancata conformità, aggiungere un'altra azione e impostare Pianificazione su cinque giorni.

    Per altre informazioni sulla conformità e sulle azioni predefinite, vedere la panoramica della conformità.

  7. Al termine, selezionare Aggiungi>OK per salvare le modifiche.

Passaggi successivi

Monitorare i criteri.