Udostępnij za pośrednictwem

Używanie zasad zgodności do ustawiania reguł dla urządzeń zarządzanych za pomocą usługi Intune

  • Artykuł

Zasady zgodności usługi Microsoft Intune to zestawy reguł i warunków używanych do oceny konfiguracji zarządzanych urządzeń. Te zasady mogą pomóc w zabezpieczeniu danych i zasobów organizacji z urządzeń, które nie spełniają tych wymagań konfiguracji. Urządzenia zarządzane muszą spełniać warunki określone w zasadach, aby były uznawane za zgodne przez usługę Intune.

Jeśli zintegrujesz również wyniki zgodności z zasadami z dostępem warunkowym w usłudze Microsoft Entra, możesz skorzystać z dodatkowej warstwy zabezpieczeń. Dostęp warunkowy może wymuszać mechanizmy kontroli dostępu w usłudze Microsoft Entra na podstawie bieżącego stanu zgodności urządzeń, aby zagwarantować, że dostęp do zasobów firmowych mogą uzyskiwać tylko zgodne urządzenia.

Zasady zgodności usługi Intune są podzielone na dwa obszary:

  • Ustawienia zasad zgodności to konfiguracje dla całej dzierżawy, które działają jak wbudowane zasady zgodności odbierane przez każde urządzenie. Ustawienia zasad zgodności określają sposób działania zasad zgodności w środowisku usługi Intune, w tym sposób traktowania urządzeń, którym nie przypisano jawnych zasad zgodności urządzeń.

  • Zasady zgodności urządzeń to odrębne zestawy reguł i ustawień specyficznych dla platformy wdrażanych w grupach użytkowników lub urządzeń. Urządzenia oceniają reguły w zasadach, aby zgłosić stan zgodności urządzenia. Stan niezgodności może spowodować co najmniej jedną akcję w przypadku niezgodności. Zasady dostępu warunkowego w usłudze Microsoft Entra mogą również używać tego stanu do blokowania dostępu do zasobów organizacji z tego urządzenia.

Ustawienia zasad zgodności

Ustawienia zasad zgodności to ustawienia dla całej dzierżawy, które określają sposób interakcji usługi zgodności usługi Intune z urządzeniami. Te ustawienia różnią się od ustawień skonfigurowanych w zasadach zgodności urządzeń.

Aby zarządzać ustawieniami zasad zgodności, zaloguj się do centrum administracyjnego usługi Microsoft Intune i przejdź do pozycji Zabezpieczenia> punktu końcowegoUstawienia zasad zgodnościurządzeń>.

Ustawienia zasad zgodności obejmują następujące ustawienia:

  • Oznaczanie urządzeń bez przypisanych zasad zgodności jako

    To ustawienie określa, jak usługa Intune traktuje urządzenia, którym nie przypisano zasad zgodności urządzeń. To ustawienie ma dwie wartości:

    • Zgodne (ustawienie domyślne): ta funkcja zabezpieczeń jest wyłączona. Urządzenia, które nie są wysyłane do zasad zgodności urządzeń, są uważane za zgodne.
    • Niezgodne: ta funkcja zabezpieczeń jest włączona. Urządzenia bez zasad zgodności urządzeń są uznawane za niezgodne.

    Jeśli używasz dostępu warunkowego z zasadami zgodności urządzeń, zmień to ustawienie na Niezgodne , aby upewnić się, że dostęp do zasobów mogą uzyskiwać tylko urządzenia, które zostały potwierdzone jako zgodne.

    Jeśli użytkownik końcowy nie jest zgodny, ponieważ zasady nie są do niego przypisane, aplikacja Portal firmy pokazuje, że nie przypisano żadnych zasad zgodności.

  • Okres ważności stanu zgodności (dni)

    Określ okres, w którym urządzenia muszą pomyślnie zgłaszać wszystkie otrzymane zasady zgodności. Jeśli urządzenie nie zgłosi stanu zgodności dla zasad przed upływem okresu ważności, urządzenie będzie traktowane jako niezgodne.

    Domyślnie okres jest ustawiony na 30 dni. Okres można skonfigurować od 1 do 120 dni.

    Możesz wyświetlić szczegóły dotyczące zgodności urządzeń z ustawieniem okresu ważności. Zaloguj się do centrum administracyjnego usługi Microsoft Intune i przejdź do pozycjiMonitorowanie>zgodności ustawieńurządzeń>. To ustawienie ma nazwę Jest aktywny w kolumnie Ustawienie . Aby uzyskać więcej informacji na temat tego i powiązanych widoków stanu zgodności, zobacz Monitorowanie zgodności urządzeń.

Zasady zgodności urządzeń

Zasady zgodności urządzeń w usłudze Intune to odrębne zestawy reguł i ustawień specyficznych dla platformy wdrażanych w grupach użytkowników lub urządzeń. Użyj zasad zgodności, aby:

  • Zdefiniuj reguły i ustawienia, które użytkownicy i urządzenia zarządzane muszą spełniać, aby były zgodne. Przykłady reguł obejmują wymaganie, aby urządzenia uruchamiały minimalną wersję systemu operacyjnego, nie były uszkodzone w więzieniu ani nie były objęte dostępem do konta root oraz były na poziomie zagrożenia lub na poziomie zagrożenia określonym przez oprogramowanie do zarządzania zagrożeniami zintegrowane z usługą Intune.

  • Akcje pomocy technicznej dotyczące niezgodności, które mają zastosowanie do urządzeń, które nie spełniają tych reguł zgodności zasad. Przykłady akcji związanych z niezgodnością obejmują oznaczenie urządzenia jako niezgodnego, zdalne zablokowanie i wysłanie wiadomości e-mail użytkownika urządzenia o stanie urządzenia, aby mógł je naprawić.

W przypadku korzystania z zasad zgodności urządzeń:

  • Niektóre konfiguracje zasad zgodności mogą zastąpić konfigurację ustawień, które można również zarządzać za pomocą zasad konfiguracji urządzeń. Aby dowiedzieć się więcej na temat rozwiązywania konfliktów dla zasad, zobacz Zgodność i zasady konfiguracji urządzeń, które powodują konflikt.

  • Zasady mogą być wdrażane dla użytkowników w grupach użytkowników lub na urządzeniach w grupach urządzeń. Po wdrożeniu zasad zgodności dla użytkownika wszystkie urządzenia użytkownika są sprawdzane pod kątem zgodności. Używanie grup urządzeń w tym scenariuszu pomaga w raportowaniu zgodności.

  • Jeśli używasz dostępu warunkowego w usłudze Microsoft Entra, zasady dostępu warunkowego mogą używać wyników zgodności urządzeń, aby zablokować dostęp do zasobów z niezgodnych urządzeń.

  • Podobnie jak inne zasady usługi Intune, oceny zasad zgodności dla urządzenia zależą od momentu zaewidencjonowania urządzenia w usłudze Intune oraz cykli odświeżania zasad i profilu.

Dostępne ustawienia, które można określić w zasadach zgodności urządzeń, zależą od typu platformy wybranego podczas tworzenia zasad. Różne platformy urządzeń obsługują różne ustawienia, a każdy typ platformy wymaga oddzielnych zasad.

Poniższe tematy łączą się z dedykowanymi artykułami dotyczącymi różnych aspektów zasad konfiguracji urządzeń.

  • Akcje dotyczące niezgodności — domyślnie każda zasada zgodności urządzeń zawiera akcję oznaczania urządzenia jako niezgodnego, jeśli nie spełnia ono reguły zasad. Każda zasada może obsługiwać więcej akcji w oparciu o platformę urządzenia. Przykłady dodatkowych akcji obejmują:

    • Wysyłanie alertów e-mail do użytkowników i grup ze szczegółowymi informacjami o niezgodnym urządzeniu. Zasady można skonfigurować tak, aby wysyłały wiadomości e-mail natychmiast po oznaczeniu jako niezgodne, a następnie okresowo, aż urządzenie stanie się zgodne.
    • Zdalne blokowanie urządzeń , które od jakiegoś czasu są niezgodne.
    • Wycofaj urządzenia po tym, jak od jakiegoś czasu są niezgodne. Ta akcja oznacza kwalifikujące się urządzenie jako gotowe do wycofania. Administrator może następnie wyświetlić listę urządzeń oznaczonych do wycofania i musi podjąć jawne działanie w celu wycofania co najmniej jednego urządzenia. Wycofanie urządzenia powoduje usunięcie urządzenia z zarządzania usługi Intune i usunięcie wszystkich danych firmowych z urządzenia. Aby uzyskać więcej informacji na temat tej akcji, zobacz Dostępne akcje w przypadku niezgodności.

  • Tworzenie zasad zgodności — korzystając z informacji zawartych w połączonym artykule, możesz przejrzeć wymagania wstępne, zapoznać się z opcjami konfigurowania reguł, określania akcji w przypadku niezgodności i przypisywania zasad do grup. Ten artykuł zawiera również informacje o czasie odświeżania zasad.

    Wyświetlanie ustawień zgodności urządzeń dla różnych platform urządzeń:

  • Niestandardowe ustawienia zgodności — za pomocą niestandardowych ustawień zgodności można rozszerzyć wbudowane opcje zgodności urządzeń w usłudze Intune. Ustawienia niestandardowe zapewniają elastyczność bazowania na ustawieniach dostępnych na urządzeniu bez konieczności oczekiwania na dodanie tych ustawień przez usługę Intune.

    Niestandardowych ustawień zgodności można używać na następujących platformach:

    • Linux — Ubuntu Desktop, wersja 20.04 LTS i 22.04 LTS
    • Windows 10
    • Windows 11

Monitorowanie stanu zgodności

Usługa Intune zawiera pulpit nawigacyjny zgodności urządzeń używany do monitorowania stanu zgodności urządzeń oraz przechodzenia do zasad i urządzeń, aby uzyskać więcej informacji. Aby dowiedzieć się więcej na temat tego pulpitu nawigacyjnego, zobacz Monitorowanie zgodności urządzeń.

Integracja z dostępem warunkowym

W przypadku korzystania z dostępu warunkowego można skonfigurować zasady dostępu warunkowego tak, aby używały wyników zasad zgodności urządzeń w celu określenia, które urządzenia mogą uzyskiwać dostęp do zasobów organizacji. Ta kontrola dostępu jest dodatkiem do akcji niezgodności uwzględnianych w zasadach zgodności urządzeń i jest od niej oddzielona.

Gdy urządzenie zostanie zarejestrowane w usłudze Intune, zostanie zarejestrowane w usłudze Microsoft Entra ID. Stan zgodności urządzeń jest zgłaszany do usługi Microsoft Entra ID. Jeśli zasady dostępu warunkowego mają ustawioną opcję Kontrola dostępu na wartość Wymagaj, aby urządzenie było oznaczone jako zgodne, dostęp warunkowy używa tego stanu zgodności, aby określić, czy przyznać lub zablokować dostęp do poczty e-mail i innych zasobów organizacji.

Jeśli używasz stanu zgodności urządzenia z zasadami dostępu warunkowego, sprawdź, jak dzierżawa konfiguruje opcję Oznacz urządzenia bez przypisanych zasad zgodności , którą zarządzasz w obszarze Ustawienia zasad zgodności.

Aby uzyskać więcej informacji na temat korzystania z dostępu warunkowego z zasadami zgodności urządzeń, zobacz Dostęp warunkowy oparty na urządzeniach.

Dowiedz się więcej o dostępie warunkowym w dokumentacji usługi Microsoft Entra:

Dokumentacja dotycząca niezgodności i dostępu warunkowego na różnych platformach

W poniższej tabeli opisano sposób zarządzania niezgodnymi ustawieniami, gdy zasady zgodności są używane z zasadami dostępu warunkowego.

  • Skorygowano: system operacyjny urządzenia wymusza zgodność. Na przykład użytkownik jest zmuszony do ustawienia numeru PIN.

  • Poddane kwarantannie: system operacyjny urządzenia nie wymusza zgodności. Na przykład urządzenia z systemami Android i Android Enterprise nie zmuszają użytkownika do szyfrowania urządzenia. Jeśli urządzenie nie jest zgodne, zostaną wykonane następujące akcje:

    • Jeśli zasady dostępu warunkowego mają zastosowanie do użytkownika, urządzenie zostanie zablokowane.
    • Aplikacja Portal firmy powiadamia użytkownika o wszelkich problemach ze zgodnością.
Ustawienie zasad Platforma
Dozwolone dystrybucje Linux(tylko) — poddane kwarantannie
Szyfrowanie urządzenia - System Android 4.0 lub nowszy: poddane kwarantannie
- Samsung Knox Standard 4.0 i nowsze: poddane kwarantannie
- Android Enterprise: poddane kwarantannie

- System iOS 8.0 i nowsze: skorygowane (przez ustawienie numeru PIN)
- System macOS 10.11 lub nowszy: poddane kwarantannie

- Linux: poddane kwarantannie

- Windows 10/11: Poddane kwarantannie
Profil poczty e-mail - System Android 4.0 lub nowszy: nie dotyczy
- Samsung Knox Standard 4.0 lub nowszy: Nie dotyczy
- Android Enterprise: nie dotyczy

- System iOS 8.0 lub nowszy: poddane kwarantannie
- System macOS 10.11 lub nowszy: poddane kwarantannie

- Linux: Nie dotyczy

- Windows 10/11: Nie dotyczy
Urządzenie ze zdjętymi zabezpieczeniami systemu lub odblokowanym dostępem do konta root - System Android 4.0 i nowsze: poddane kwarantannie (nie ustawienie)
- Samsung Knox Standard 4.0 i nowsze: poddane kwarantannie (nie ustawienie)
- Android Enterprise: poddane kwarantannie (nie ustawienie)

- System iOS 8.0 i nowsze: poddane kwarantannie (nie ustawienie)
- System macOS 10.11 lub nowszy: nie dotyczy

- Linux: Nie dotyczy

- Windows 10/11: Nie dotyczy
Maksymalna wersja systemu operacyjnego - System Android 4.0 lub nowszy: poddane kwarantannie
- Samsung Knox Standard 4.0 i nowsze: poddane kwarantannie
- Android Enterprise: poddane kwarantannie

- System iOS 8.0 lub nowszy: poddane kwarantannie
- System macOS 10.11 lub nowszy: poddane kwarantannie

- Linux: zobacz Dozwolone dystrybucje

- Windows 10/11: Poddane kwarantannie
Minimalna wersja systemu operacyjnego - System Android 4.0 lub nowszy: poddane kwarantannie
- Samsung Knox Standard 4.0 i nowsze: poddane kwarantannie
- Android Enterprise: poddane kwarantannie

- System iOS 8.0 lub nowszy: poddane kwarantannie
- System macOS 10.11 lub nowszy: poddane kwarantannie

- Linux: zobacz Dozwolone dystrybucje

- Windows 10/11: Poddane kwarantannie
Konfiguracja numeru PIN lub hasła - System Android 4.0 lub nowszy: poddane kwarantannie
- Samsung Knox Standard 4.0 i nowsze: poddane kwarantannie
- Android Enterprise: poddane kwarantannie

- System iOS 8.0 lub nowszy: skorygowany
- System macOS 10.11 lub nowszy: skorygowany

- Linux: poddane kwarantannie

- Windows 10/11: Skorygowano
Zaświadczanie o kondycji systemu Windows - System Android 4.0 lub nowszy: nie dotyczy
- Samsung Knox Standard 4.0 lub nowszy: Nie dotyczy
- Android Enterprise: nie dotyczy

- System iOS 8.0 lub nowszy: nie dotyczy
- System macOS 10.11 lub nowszy: nie dotyczy

- Linux: Nie dotyczy

- Windows 10/11: Poddane kwarantannie

Uwaga

Aplikacja Portal firmy wprowadza przepływ korygowania rejestracji, gdy użytkownik loguje się do aplikacji, a urządzenie nie zostało pomyślnie zaewidencjonowane w usłudze Intune przez co najmniej 30 dni (lub urządzenie jest niezgodne z powodu utraty zgodności z kontaktem ). W tym przepływie próbujemy zainicjować zaewidencjonowanie jeszcze raz. Jeśli to się nie powiedzie, wydamy polecenie wycofania, aby umożliwić użytkownikowi ręczne ponowne zarejestrowanie urządzenia.

Następne kroki