Crea criteri di conformità in Microsoft Intune

  • Articolo

I criteri di conformità dei dispositivi sono una funzionalità chiave quando si usano Intune per proteggere le risorse dell'organizzazione. In Intune è possibile creare regole e impostazioni che i dispositivi devono soddisfare per essere considerati conformi, ad esempio una versione minima del sistema operativo. Se il dispositivo non è conforme, è possibile bloccare l'accesso a dati e risorse usando l'accesso condizionale.

È anche possibile eseguire azioni per la mancata conformità, ad esempio l'invio di un messaggio di posta elettronica di notifica all'utente. Per una panoramica delle operazioni eseguite dai criteri di conformità e del modo in cui vengono usati, vedere Introduzione alla conformità dei dispositivi.

Questo articolo:

  • Elenchi i prerequisiti e i passaggi per creare un criterio di conformità.
  • Illustra come assegnare i criteri ai gruppi di utenti e dispositivi.
  • Vengono descritte altre funzionalità, inclusi i tag di ambito per "filtrare" i criteri e i passaggi che è possibile eseguire nei dispositivi non conformi.
  • Elenchi i tempi di ciclo di aggiornamento dell'archiviazione quando i dispositivi ricevono gli aggiornamenti dei criteri.

Prima di iniziare

Per usare i criteri di conformità dei dispositivi, assicurarsi di:

  • Usare le sottoscrizioni seguenti:

    • Intune
    • Se si usa l'accesso condizionale, è necessario Microsoft Entra ID edizione P1 o P2. Microsoft Entra listini prezzi che si ottengono con le diverse edizioni. Intune conformità non richiede Microsoft Entra ID.

  • Usare una piattaforma supportata:

    • Amministratore del dispositivo Android
    • Android AOSP
    • Android Enterprise
    • iOS
    • Linux - Ubuntu Desktop, versione 20.04 LTS e 22.04 LTS
    • macOS
    • Windows 10/11

Importante

Microsoft Intune termina il supporto per la gestione degli amministratori di dispositivi Android nei dispositivi con accesso a Google Mobile Services (GMS) il 30 agosto 2024. Dopo tale data, la registrazione del dispositivo, il supporto tecnico, le correzioni di bug e le correzioni di sicurezza non saranno disponibili. Se attualmente si usa la gestione dell'amministratore dei dispositivi, è consigliabile passare a un'altra opzione di gestione Android in Intune prima della fine del supporto. Per altre informazioni, vedere Supporto finale per l'amministratore di dispositivi Android nei dispositivi GMS.

  • Registrare i dispositivi in Intune (necessario per visualizzare lo stato di conformità)

  • Registrare i dispositivi in un utente o registrarlo senza un utente primario. I singoli dispositivi non possono essere registrati a più utenti.

Oltre alle impostazioni di conformità incorporate in Intune, le piattaforme seguenti supportano l'aggiunta di impostazioni di conformità personalizzate ai criteri di conformità:

  • Ubuntu Desktop, versione 20.04 LTS e 22.04 LTS
  • Windows 10/11

Prima di poter aggiungere impostazioni personalizzate, è necessario preparare un file JSON personalizzato che definisce le impostazioni su cui si vuole basare la conformità personalizzata e uno script eseguito nei dispositivi per rilevare le impostazioni definite nel codice JSON.

Per altre informazioni sull'uso di impostazioni di conformità personalizzate, tra cui piattaforme supportate, prerequisiti e come configurare la categoria Conformità personalizzata durante la creazione di un criterio, vedere Usare le impostazioni di conformità personalizzate.

Creare il criterio

  1. Accedere all'interfaccia di amministrazione Microsoft Intune.

  2. Passare aConformitàdispositivi> e scegliere Crea criterio.

  3. Selezionare una piattaforma per questo criterio tra le opzioni seguenti:

    • Amministratore del dispositivo Android
    • Android
    • Android Enterprise
    • iOS/iPadOS
    • Linux - (Ubuntu Desktop, versione 20.04 LTS e 22.04 LTS)
    • macOS
    • Windows 8.1 e versioni successive
    • Windows 10 e versioni successive

    Per Android Enterprise, è anche possibile selezionare un tipo di criteri:

    • Profilo di lavoro completamente gestito, dedicato e di proprietà dell'azienda
    • Profilo di lavoro di proprietà personale

    Selezionare quindi Crea per aprire la pagina di configurazione.

  4. Nella scheda Informazioni di base specificare un nome che consenta di identificarli in un secondo momento. Ad esempio, un nome valido per i criteri è Contrassegnare i dispositivi jailbroken iOS/iPadOS come non conformi.

    È anche possibile scegliere di specificare una descrizione.

  5. Nella scheda Impostazioni di conformità espandere le categorie disponibili e configurare le impostazioni per i criteri. Gli articoli seguenti descrivono le impostazioni di conformità disponibili per ogni piattaforma:

  6. Aggiungere impostazioni personalizzate ai criteri per le piattaforme supportate.

    Consiglio

    Si tratta di un passaggio facoltativo supportato solo per le piattaforme seguenti:

    • Linux - Ubuntu Desktop, versione 20.04 LTS e 22.04 LTS
    • Windows 10/11 Prima di aggiungere impostazioni personalizzate a un criterio, è necessario aver caricato uno script di rilevamento per Intune e disporre di un file JSON che definisce le impostazioni che si desidera usare per la conformità. Vedere Impostazioni di conformità personalizzate.

    Nella pagina Impostazioni di conformità espandere la categoria Conformità personalizzata :

    Per Windows:

    1. Nella pagina Impostazioni di conformità espandere Conformità personalizzata e impostare Conformità personalizzata su Richiedi.
    2. In Selezionare lo script di individuazione selezionare Fare clic per selezionare e quindi specificare uno script aggiunto in precedenza all'interfaccia di amministrazione Microsoft Intune. Questo script deve essere caricato prima di iniziare a creare i criteri.
    3. Per Caricare e convalidare il file JSON con le impostazioni di conformità personalizzate, selezionare l'icona della cartella e quindi individuare e aggiungere il file JSON per Windows che si vuole usare con questo criterio. Per assistenza con JSON, vedere Creare un JSON per le impostazioni di conformità personalizzate.

    Per Linux:

    1. Nella pagina Impostazioni di conformità selezionare Aggiungi impostazioni per aprire il riquadro Selezione impostazioni .
    2. Selezionare Conformità personalizzata e quindi 8.
    3. Tornare alla pagina Impostazioni di conformità selezionare l'interruttore Richiedi conformità personalizzata per impostarlo su True.
    4. In Selezionare lo script di individuazione selezionare Imposta impostazioni riutilizzabili e quindi specificare uno script aggiunto in precedenza all'interfaccia di amministrazione Microsoft Intune. Questo script deve essere stato caricato prima di iniziare a creare i criteri.
    5. In Selezionare il file delle regole selezionare l'icona della cartella, quindi individuare e aggiungere il file JSON per Linux che si vuole usare con questo criterio. Per assistenza con JSON, vedere Creare un JSON per le impostazioni di conformità personalizzate.

    Il codice JSON immesso viene convalidato e vengono visualizzati eventuali problemi. Dopo la convalida del contenuto JSON, le regole del codice JSON vengono visualizzate in formato tabella.

  7. Nella scheda Azioni per la non conformità specificare una sequenza di azioni da applicare automaticamente ai dispositivi che non soddisfano questi criteri di conformità.

    È possibile aggiungere più azioni e configurare pianificazioni e dettagli per alcune azioni. Ad esempio, è possibile modificare la pianificazione dell'azione predefinita Contrassegna il dispositivo non conforme dopo un giorno. È quindi possibile aggiungere un'azione per inviare un messaggio di posta elettronica all'utente quando il dispositivo non è conforme per avvisarlo dello stato. È anche possibile aggiungere azioni che bloccano o ritirano i dispositivi che rimangono non conformi.

    Per informazioni sulle azioni che è possibile configurare, vedere Aggiungere azioni per i dispositivi non conformi, tra cui come creare messaggi di posta elettronica di notifica da inviare agli utenti.

    Un altro esempio include l'uso di Posizioni in cui si aggiunge almeno una posizione a un criterio di conformità. In questo caso, l'azione predefinita per la non conformità si applica quando si seleziona almeno una posizione. Se il dispositivo non è connesso a nessuna delle posizioni selezionate, viene considerato non conforme. È possibile configurare la pianificazione per concedere agli utenti un periodo di tolleranza, ad esempio un giorno.

  8. Nella scheda Tag ambito selezionare i tag per filtrare i criteri in base a gruppi specifici, ad US-NC IT Team esempio o JohnGlenn_ITDepartment. Dopo aver aggiunto le impostazioni, è anche possibile aggiungere un tag di ambito ai criteri di conformità.

    Per informazioni sull'uso dei tag di ambito, vedere Usare i tag di ambito per filtrare i criteri.

  9. Nella scheda Assegnazioni assegnare i criteri ai gruppi.

Selezionare + Selezionare i gruppi da includere e quindi assegnare i criteri a uno o più gruppi. I criteri verranno applicati a questi gruppi quando si salvano i criteri dopo il passaggio successivo.

I criteri per Linux non supportano le assegnazioni basate su utenti e possono essere assegnati solo ai gruppi di dispositivi.

  1. Nella scheda Rivedi e crea esaminare le impostazioni e selezionare Crea quando si è pronti per salvare i criteri di conformità.

    Gli utenti o i dispositivi di destinazione dei criteri vengono valutati per la conformità quando eseguono il check-in con Intune.

Tempi di ciclo di aggiornamento

Intune usa cicli di aggiornamento diversi per verificare la disponibilità di aggiornamenti ai criteri di conformità. Se il dispositivo è stato registrato di recente, il check-in viene eseguito più frequentemente. I cicli di aggiornamento dei criteri e dei profili elencano i tempi di aggiornamento stimati.

In qualsiasi momento, gli utenti possono aprire l'app Portale aziendale e sincronizzare il dispositivo per verificare immediatamente la disponibilità di aggiornamenti dei criteri.

Assegnare uno stato InGracePeriod

Lo stato di InGracePeriod per un criterio di conformità è un valore. Questo valore è determinato dalla combinazione del periodo di tolleranza di un dispositivo e dello stato effettivo di un dispositivo per i criteri di conformità.

In particolare, se un dispositivo ha uno stato non conforme per un criterio di conformità assegnato e:

  • Al dispositivo non è assegnato alcun periodo di tolleranza, quindi il valore assegnato per i criteri di conformità è NonCompliant
  • Il dispositivo ha un periodo di tolleranza scaduto, quindi il valore assegnato per i criteri di conformità è NonCompliant
  • Il dispositivo ha un periodo di tolleranza futuro, quindi il valore assegnato per i criteri di conformità è InGracePeriod

La tabella seguente riepiloga questi punti:

Stato di conformità effettivo Valore del periodo di tolleranza assegnato Stato di conformità effettivo
Non conforme Nessun periodo di tolleranza assegnato Non conforme
Non conforme Data di ieri Non conforme
Non conforme Data di domani InGracePeriod

Per altre informazioni sul monitoraggio dei criteri di conformità dei dispositivi, vedere Monitorare i criteri di conformità dei dispositivi Intune.

Assegnare uno stato dei criteri di conformità risultante

Se un dispositivo ha più criteri di conformità e il dispositivo ha stati di conformità diversi per due o più criteri di conformità assegnati, viene assegnato un singolo stato di conformità risultante. Questa assegnazione si basa su un livello di gravità concettuale assegnato a ogni stato di conformità. Ogni stato di conformità ha il livello di gravità seguente:

Stato Gravità
Unknown 1
Non applicabile 2
Conforme 3
InGracePeriod 4
Non conforme 5
Error 6

Quando un dispositivo ha più criteri di conformità, a tale dispositivo viene assegnato il livello di gravità più alto di tutti i criteri.

Ad esempio, a un dispositivo sono assegnati tre criteri di conformità: uno stato sconosciuto (gravità = 1), uno stato conforme (gravità = 3) e uno stato InGracePeriod (gravità = 4). Lo stato InGracePeriod ha il livello di gravità più alto. Pertanto, tutti e tre i criteri hanno lo stato di conformità InGracePeriod.

Passaggi successivi

Monitorare i criteri.