Używanie zasad zgodności do ustawiania reguł dla urządzeń zarządzanych za pomocą Intune

Rozwiązania do zarządzania urządzeniami przenośnymi (MDM), takie jak Intune, mogą pomóc w ochronie danych organizacji, wymagając od użytkowników i urządzeń spełnienia pewnych wymagań. W Intune ta funkcja jest nazywana zasadami zgodności.

Zasady zgodności w Intune:

W Intune istnieją dwie części zasad zgodności:

  • Ustawienia zasad zgodności — ustawienia dla całej dzierżawy, które są podobne do wbudowanych zasad zgodności odbieranych przez każde urządzenie. Ustawienia zasad zgodności określają punkt odniesienia działania zasad zgodności w środowisku Intune, w tym to, czy urządzenia, które nie otrzymały żadnych zasad zgodności urządzeń, są zgodne lub niezgodne.

  • Zasady zgodności urządzeń — reguły specyficzne dla platformy konfigurowane i wdrażane w grupach użytkowników lub urządzeń. Te reguły definiują wymagania dotyczące urządzeń, takie jak minimalne systemy operacyjne lub użycie szyfrowania dysków. Urządzenia muszą spełniać te reguły, aby można je było uznać za zgodne.

Podobnie jak inne zasady Intune, oceny zasad zgodności dla urządzenia zależą od momentu zaewidencjonowania urządzenia za pomocą Intune oraz cykli odświeżania zasad i profilu.

Ustawienia zasad zgodności

Ustawienia zasad zgodności to ustawienia dla całej dzierżawy, które określają sposób interakcji usługi zgodności Intune z urządzeniami. Te ustawienia różnią się od ustawień skonfigurowanych w zasadach zgodności urządzeń.

Aby zarządzać ustawieniami zasad zgodności, zaloguj się do centrum administracyjnego firmy Microsoft Endpoint Manager i przejdź do pozycji Zabezpieczenia punktu końcowego > Ustawienia zasad zgodności urządzeń > .

Ustawienia zasad zgodności obejmują następujące ustawienia:

  • Oznaczanie urządzeń bez przypisanych zasad zgodności jako

    To ustawienie określa, jak Intune traktuje urządzenia, do których nie przypisano zasad zgodności urządzeń. To ustawienie ma dwie wartości:

    • Zgodne (domyślne): ta funkcja zabezpieczeń jest wyłączona. Urządzenia, które nie są wysyłane do zasad zgodności urządzeń, są uważane za zgodne.
    • Niezgodne: ta funkcja zabezpieczeń jest włączona. Urządzenia, które nie otrzymały zasad zgodności urządzeń, są uznawane za niezgodne.

    Jeśli używasz dostępu warunkowego z zasadami zgodności urządzeń, zalecamy zmianę tego ustawienia na Niezgodne , aby upewnić się, że dostęp do zasobów mogą uzyskiwać tylko urządzenia, które zostały potwierdzone jako zgodne.

    Jeśli użytkownik końcowy nie jest zgodny, ponieważ zasady nie są do niego przypisane, aplikacja Portal firmy pokazuje, że nie przypisano żadnych zasad zgodności.

  • Rozszerzone wykrywanie jailbreak (dotyczy tylko systemu iOS/iPadOS)

    To ustawienie działa tylko z urządzeniami docelowymi z zasadami zgodności urządzeń, które blokują urządzenia ze zdjętymi zabezpieczeniami systemu. (Zobacz Ustawienia kondycji urządzenia dla systemu iOS/iPadOS).

    To ustawienie ma dwie wartości:

    • Wyłączone (ustawienie domyślne): ta funkcja zabezpieczeń jest wyłączona. To ustawienie nie ma wpływu na urządzenia, które odbierają zasady zgodności urządzeń, które blokują urządzenia ze zdjętymi zabezpieczeniami systemu.
    • Włączone: ta funkcja zabezpieczeń jest włączona. Urządzenia, które odbierają zasady zgodności urządzeń w celu blokowania urządzeń ze zdjętymi zabezpieczeniami systemu, korzystają z rozszerzonego wykrywania jailbreak.

    Po włączeniu na odpowiednim urządzeniu z systemem iOS/iPadOS urządzenie:

    • Włącza usługi lokalizacyjne na poziomie systemu operacyjnego.
    • Zawsze zezwala Portal firmy na korzystanie z usług lokalizacyjnych.
    • Używa usług lokalizacyjnych do częstszego wyzwalania wykrywania jailbreak w tle. Dane lokalizacji użytkownika nie są przechowywane przez Intune.

    Rozszerzone wykrywanie jailbreak uruchamia ocenę, gdy:

    • Zostanie otwarta aplikacja Portal firmy
    • Urządzenie fizycznie porusza się w znacznej odległości, która wynosi około 500 metrów lub więcej. Intune nie może zagwarantować, że każda istotna zmiana lokalizacji spowoduje sprawdzenie wykrywania jailbreak, ponieważ sprawdzanie zależy od połączenia sieciowego urządzenia w tym czasie.

    W systemie iOS 13 lub nowszym ta funkcja wymaga od użytkowników wybrania opcji Zawsze zezwalaj za każdym razem, gdy urządzenie wyświetli monit o dalsze zezwalanie Portal firmy na korzystanie z ich lokalizacji w tle. Jeśli ta opcja jest włączona, umożliwi to częstsze sprawdzanie wykrywania jailbreaku.

  • Okres ważności stanu zgodności (dni)

    Określ okres, w którym urządzenia muszą pomyślnie zgłaszać wszystkie otrzymane zasady zgodności. Jeśli urządzenie nie zgłosi stanu zgodności dla zasad przed upływem okresu ważności, urządzenie będzie traktowane jako niezgodne.

    Domyślnie okres jest ustawiony na 30 dni. Okres można skonfigurować od 1 do 120 dni.

    Szczegóły dotyczące zgodności urządzeń można wyświetlić w ustawieniu okresu ważności. Zaloguj się do centrum administracyjnego usługi Microsoft Endpoint Manager i przejdź do pozycji Monitorowanie > zgodności ustawień urządzeń > . To ustawienie ma nazwę Jest aktywny w kolumnie Ustawienie . Aby uzyskać więcej informacji na temat tego i powiązanych widoków stanu zgodności, zobacz Monitorowanie zgodności urządzeń.

Zasady zgodności urządzeń

Intune zasad zgodności urządzeń:

  • Zdefiniuj reguły i ustawienia, które użytkownicy i urządzenia zarządzane muszą spełniać, aby były zgodne. Przykłady reguł obejmują wymaganie, aby urządzenia uruchamiały minimalną wersję systemu operacyjnego, nie były łamane w więzieniu lub objęte dostępem do konta root oraz były na poziomie zagrożenia lub na poziomie zagrożenia określonym przez oprogramowanie do zarządzania zagrożeniami zintegrowane z Intune.
  • Akcje pomocy technicznej, które mają zastosowanie do urządzeń, które nie spełniają reguł zgodności. Przykłady akcji obejmują zdalne blokowanie lub wysyłanie wiadomości e-mail użytkownika urządzenia o stanie urządzenia, aby mógł je naprawić.
  • Wdrażanie dla użytkowników w grupach użytkowników lub na urządzeniach w grupach urządzeń. Po wdrożeniu zasad zgodności dla użytkownika wszystkie urządzenia użytkownika są sprawdzane pod kątem zgodności. Używanie grup urządzeń w tym scenariuszu pomaga w raportowaniu zgodności.

Jeśli korzystasz z dostępu warunkowego, jego zasady mogą blokować dostęp do zasobów z poziomu niezgodnych urządzeń na podstawie wyników zgodności urządzenia.

Dostępne ustawienia, które można określić w zasadach zgodności urządzeń, zależą od typu platformy wybranego podczas tworzenia zasad. Różne platformy urządzeń obsługują różne ustawienia, a każdy typ platformy wymaga oddzielnych zasad.

Poniższe tematy łączą się z dedykowanymi artykułami dotyczącymi różnych aspektów zasad konfiguracji urządzeń.

  • Akcje dotyczące niezgodności — każda zasada zgodności urządzeń obejmuje co najmniej jedną akcję w przypadku niezgodności. Te akcje są regułami stosowanymi do urządzeń, które nie spełniają warunków określonych w zasadach.

    Domyślnie każda zasada zgodności urządzeń zawiera akcję oznaczania urządzenia jako niezgodnego, jeśli nie spełnia ono reguły zasad. Następnie zasady dotyczą urządzenia wszelkich dodatkowych akcji w przypadku niezgodności skonfigurowanych na podstawie harmonogramów ustawionych dla tych akcji.

    Akcje dotyczące niezgodności mogą pomóc w zgłaszaniu alertów użytkownikom, gdy ich urządzenie nie jest zgodne, lub chronić dane, które mogą znajdować się na urządzeniu. Przykłady akcji obejmują:

    • Wysyłanie alertów e-mail do użytkowników i grup ze szczegółowymi informacjami o niezgodnym urządzeniu. Zasady można skonfigurować tak, aby wysyłały wiadomości e-mail natychmiast po oznaczeniu jako niezgodne, a następnie okresowo, aż urządzenie stanie się zgodne.
    • Zdalne blokowanie urządzeń , które od jakiegoś czasu są niezgodne.
    • Wycofaj urządzenia po tym, jak od jakiegoś czasu są niezgodne. Ta akcja oznacza kwalifikujące się urządzenie jako gotowe do wycofania. Administrator może następnie wyświetlić listę urządzeń oznaczonych do wycofania i musi podjąć jawne działanie w celu wycofania co najmniej jednego urządzenia. Wycofanie urządzenia powoduje usunięcie urządzenia z zarządzania Intune i usunięcie wszystkich danych firmowych z urządzenia. Aby uzyskać więcej informacji na temat tej akcji, zobacz Dostępne akcje w przypadku niezgodności.
  • Tworzenie zasad — korzystając z informacji zawartych w tym artykule, możesz przejrzeć wymagania wstępne, zapoznać się z opcjami konfigurowania reguł, określania akcji w przypadku niezgodności i przypisywania zasad do grup. Ten artykuł zawiera również informacje o czasie odświeżania zasad.

    Wyświetlanie ustawień zgodności urządzeń dla różnych platform urządzeń:

Monitorowanie stanu zgodności

Intune zawiera pulpit nawigacyjny zgodności urządzeń używany do monitorowania stanu zgodności urządzeń oraz przechodzenia do zasad i urządzeń, aby uzyskać więcej informacji. Aby dowiedzieć się więcej o tym pulpicie nawigacyjnym, zobacz Monitorowanie zgodności urządzeń.

Integracja z dostępem warunkowym

W przypadku korzystania z dostępu warunkowego można skonfigurować zasady dostępu warunkowego tak, aby używały wyników zasad zgodności urządzeń w celu określenia, które urządzenia mogą uzyskiwać dostęp do zasobów organizacji. Ta kontrola dostępu jest dodatkiem do akcji niezgodności uwzględnianych w zasadach zgodności urządzeń i jest od niej oddzielona.

Gdy urządzenie zostanie zarejestrowane w Intune zostanie zarejestrowane w Azure AD. Stan zgodności urządzeń jest zgłaszany do Azure AD. Jeśli zasady dostępu warunkowego mają ustawioną opcję Kontrola dostępu na wartość Wymagaj, aby urządzenie było oznaczone jako zgodne, dostęp warunkowy używa tego stanu zgodności, aby określić, czy przyznać lub zablokować dostęp do poczty e-mail i innych zasobów organizacji.

Jeśli użyjesz stanu zgodności urządzenia z zasadami dostępu warunkowego, sprawdź, jak dzierżawa skonfigurowała opcję Oznacz urządzenia bez przypisanych zasad zgodności, którymi zarządzasz w obszarze Ustawienia zasad zgodności.

Aby uzyskać więcej informacji na temat korzystania z dostępu warunkowego z zasadami zgodności urządzeń, zobacz Dostęp warunkowy oparty na urządzeniach

Dowiedz się więcej o dostępie warunkowym w dokumentacji Azure AD:

Dokumentacja dotycząca niezgodności i dostępu warunkowego na różnych platformach

W poniższej tabeli opisano sposób zarządzania niezgodnymi ustawieniami, gdy zasady zgodności są używane z zasadami dostępu warunkowego.

  • Skorygowano: system operacyjny urządzenia wymusza zgodność. Na przykład użytkownik jest zmuszony do ustawienia numeru PIN.

  • Poddane kwarantannie: system operacyjny urządzenia nie wymusza zgodności. Na przykład urządzenia z systemami Android i Android Enterprise nie zmuszają użytkownika do szyfrowania urządzenia. Jeśli urządzenie nie jest zgodne, zostaną wykonane następujące akcje:

    • Jeśli zasady dostępu warunkowego mają zastosowanie do użytkownika, urządzenie zostanie zablokowane.
    • Aplikacja Portal firmy powiadamia użytkownika o wszelkich problemach ze zgodnością.

Ustawienie zasad Platforma
Konfiguracja numeru PIN lub hasła - System Android 4.0 lub nowszy: poddane kwarantannie
- Samsung Knox Standard 4.0 i nowsze: poddane kwarantannie
- Android Enterprise: poddane kwarantannie

- System iOS 8.0 lub nowszy: skorygowany
- System macOS 10.11 lub nowszy: skorygowany

- Windows 8.1 i nowsze: Skorygowane
Szyfrowanie urządzenia - System Android 4.0 lub nowszy: poddane kwarantannie
- Samsung Knox Standard 4.0 i nowsze: poddane kwarantannie
- Android Enterprise: poddane kwarantannie

- System iOS 8.0 i nowsze: skorygowane (przez ustawienie numeru PIN)
- System macOS 10.11 lub nowszy: poddane kwarantannie

- Windows 8.1 i nowsze: poddane kwarantannie
Urządzenie ze zdjętymi zabezpieczeniami systemu lub odblokowanym dostępem do konta root - System Android 4.0 i nowsze: poddane kwarantannie (nie ustawienie)
- Samsung Knox Standard 4.0 i nowsze: poddane kwarantannie (nie ustawienie)
- Android Enterprise: poddane kwarantannie (nie ustawienie)

- System iOS 8.0 i nowsze: poddane kwarantannie (nie ustawienie)
- System macOS 10.11 lub nowszy: nie dotyczy

- Windows 8.1 i nowsze: Nie dotyczy
profil Email - System Android 4.0 lub nowszy: nie dotyczy
- Samsung Knox Standard 4.0 lub nowszy: Nie dotyczy
- Android Enterprise: nie dotyczy

- System iOS 8.0 lub nowszy: poddane kwarantannie
- System macOS 10.11 lub nowszy: poddane kwarantannie

- Windows 8.1 i nowsze: Nie dotyczy
Minimalna wersja systemu operacyjnego - System Android 4.0 lub nowszy: poddane kwarantannie
- Samsung Knox Standard 4.0 i nowsze: poddane kwarantannie
- Android Enterprise: poddane kwarantannie

- System iOS 8.0 lub nowszy: poddane kwarantannie
- System macOS 10.11 lub nowszy: poddane kwarantannie

- Windows 8.1 i nowsze: poddane kwarantannie
Maksymalna wersja systemu operacyjnego - System Android 4.0 lub nowszy: poddane kwarantannie
- Samsung Knox Standard 4.0 i nowsze: poddane kwarantannie
- Android Enterprise: poddane kwarantannie

- System iOS 8.0 lub nowszy: poddane kwarantannie
- System macOS 10.11 lub nowszy: poddane kwarantannie

- Windows 8.1 i nowsze: poddane kwarantannie
Zaświadczanie o kondycji systemu Windows - System Android 4.0 lub nowszy: nie dotyczy
- Samsung Knox Standard 4.0 lub nowszy: Nie dotyczy
- Android Enterprise: nie dotyczy

- System iOS 8.0 lub nowszy: nie dotyczy
- System macOS 10.11 lub nowszy: nie dotyczy

- Windows 10/11: Poddane kwarantannie
- Windows 8.1 i nowsze: poddane kwarantannie

Uwaga

Aplikacja Portal firmy wprowadza przepływ korygowania rejestracji, gdy użytkownik loguje się do aplikacji, a urządzenie nie zostało pomyślnie zaewidencjonowane z Intune przez co najmniej 30 dni (lub urządzenie jest niezgodne z powodu utraty zgodności z kontaktem). W tym przepływie próbujemy zainicjować zaewidencjonowanie jeszcze raz. Jeśli to się nie powiedzie, wydamy polecenie wycofania, aby umożliwić użytkownikowi ręczne ponowne zarejestrowanie urządzenia.


Następne kroki