Używanie zasad zgodności do ustawiania reguł dla urządzeń zarządzanych za pomocą Intune

Rozwiązania do zarządzania urządzeniami przenośnymi (MDM), takie jak Intune, mogą pomóc w ochronie danych organizacji, wymagając od użytkowników i urządzeń spełnienia pewnych wymagań. W Intune ta funkcja jest nazywana zasadami zgodności.

Zasady zgodności w Intune:

• Zdefiniuj reguły i ustawienia, które użytkownicy i urządzenia muszą spełniać, aby były zgodne.
• Uwzględnij akcje, które mają zastosowanie do niezgodnych urządzeń. Akcje dotyczące niezgodności mogą ostrzegać użytkowników o warunkach niezgodności i chronić dane na niezgodnych urządzeniach.
• Można go połączyć z dostępem warunkowym, który może następnie blokować użytkowników i urządzenia, które nie spełniają reguł.
• Może zastąpić konfigurację ustawień, które można również zarządzać za pomocą zasad konfiguracji urządzeń. Aby dowiedzieć się więcej na temat rozwiązywania konfliktów dla zasad, zobacz Zgodność i zasady konfiguracji urządzeń, które powodują konflikt.

W Intune istnieją dwie części zasad zgodności:

• Ustawienia zasad zgodności — ustawienia dla całej dzierżawy, które są podobne do wbudowanych zasad zgodności odbieranych przez każde urządzenie. Ustawienia zasad zgodności określają punkt odniesienia działania zasad zgodności w środowisku Intune, w tym to, czy urządzenia, które nie otrzymały żadnych zasad zgodności urządzeń, są zgodne lub niezgodne.

• Zasady zgodności urządzeń — reguły specyficzne dla platformy konfigurowane i wdrażane w grupach użytkowników lub urządzeń. Te reguły definiują wymagania dotyczące urządzeń, takie jak minimalne systemy operacyjne lub użycie szyfrowania dysków. Urządzenia muszą spełniać te reguły, aby można je było uznać za zgodne.

Podobnie jak inne zasady Intune, oceny zasad zgodności dla urządzenia zależą od momentu zaewidencjonowania urządzenia za pomocą Intune oraz cykli odświeżania zasad i profilu.

Ustawienia zasad zgodności

Ustawienia zasad zgodności to ustawienia dla całej dzierżawy, które określają sposób interakcji usługi zgodności Intune z urządzeniami. Te ustawienia różnią się od ustawień skonfigurowanych w zasadach zgodności urządzeń.

Aby zarządzać ustawieniami zasad zgodności, zaloguj się do centrum administracyjnego Microsoft Intune i przejdź do pozycji Zabezpieczenia punktu końcowego>Ustawienia zasad zgodnościurządzeń>.

Ustawienia zasad zgodności obejmują następujące ustawienia:

• Oznaczanie urządzeń bez przypisanych zasad zgodności jako

  To ustawienie określa, jak Intune traktuje urządzenia, do których nie przypisano zasad zgodności urządzeń. To ustawienie ma dwie wartości:

  • Zgodne (domyślne): ta funkcja zabezpieczeń jest wyłączona. Urządzenia, które nie są wysyłane do zasad zgodności urządzeń, są uważane za zgodne.
  • Niezgodne: ta funkcja zabezpieczeń jest włączona. Urządzenia, które nie otrzymały zasad zgodności urządzeń, są uznawane za niezgodne.

  Jeśli używasz dostępu warunkowego z zasadami zgodności urządzeń, zmień to ustawienie na Niezgodne , aby upewnić się, że dostęp do zasobów mogą uzyskiwać tylko urządzenia, które zostały potwierdzone jako zgodne.

  Jeśli użytkownik końcowy nie jest zgodny, ponieważ zasady nie są do niego przypisane, aplikacja Portal firmy pokazuje, że nie przypisano żadnych zasad zgodności.

• Rozszerzone wykrywanie jailbreak (dotyczy tylko systemu iOS/iPadOS)

  To ustawienie działa tylko z urządzeniami docelowymi z zasadami zgodności urządzeń, które blokują urządzenia ze zdjętymi zabezpieczeniami systemu. (Zobacz Ustawienia kondycji urządzenia dla systemu iOS/iPadOS).

  To ustawienie ma dwie wartości:

  • Wyłączone (ustawienie domyślne): ta funkcja zabezpieczeń jest wyłączona. To ustawienie nie ma wpływu na urządzenia, które odbierają zasady zgodności urządzeń, które blokują urządzenia ze zdjętymi zabezpieczeniami systemu.
  • Włączone: ta funkcja zabezpieczeń jest włączona. Urządzenia, które odbierają zasady zgodności urządzeń w celu blokowania urządzeń ze zdjętymi zabezpieczeniami systemu, korzystają z rozszerzonego wykrywania jailbreak.

  Po włączeniu na odpowiednim urządzeniu z systemem iOS/iPadOS urządzenie:

  • Włącza usługi lokalizacyjne na poziomie systemu operacyjnego.
  • Zawsze zezwala Portal firmy na korzystanie z usług lokalizacyjnych.
  • Używa usług lokalizacyjnych do częstszego wyzwalania wykrywania jailbreak w tle. Dane lokalizacji użytkownika nie są przechowywane przez Intune.

  Rozszerzone wykrywanie jailbreak uruchamia ocenę, gdy:

  • Zostanie otwarta aplikacja Portal firmy
  • Urządzenie fizycznie porusza się w znacznej odległości, która wynosi około 500 metrów lub więcej. Intune nie może zagwarantować, że każda istotna zmiana lokalizacji spowoduje sprawdzenie wykrywania jailbreak, ponieważ sprawdzanie zależy od połączenia sieciowego urządzenia w tym czasie.

  Jeśli ocena rozszerzonego wykrywania jailbreaku nie zostanie uruchomiona przez określony czas, urządzenie zostanie oznaczone jako zdjęte ze zdjętego systemu, a następnie jako niezgodne.

  W systemie iOS 13 lub nowszym ta funkcja wymaga od użytkowników wybrania opcji Zawsze zezwalaj za każdym razem, gdy urządzenie wyświetli monit o dalsze zezwalanie Portal firmy na korzystanie z ich lokalizacji w tle. Jeśli ta opcja jest włączona, umożliwi to częstsze sprawdzanie wykrywania jailbreaku.

• Okres ważności stanu zgodności (dni)

  Określ okres, w którym urządzenia muszą pomyślnie zgłaszać wszystkie otrzymane zasady zgodności. Jeśli urządzenie nie zgłosi stanu zgodności dla zasad przed upływem okresu ważności, urządzenie będzie traktowane jako niezgodne.

  Domyślnie okres jest ustawiony na 30 dni. Okres można skonfigurować od 1 do 120 dni.

  Możesz wyświetlić szczegóły dotyczące zgodności urządzeń z ustawieniem okresu ważności. Zaloguj się do centrum administracyjnego Microsoft Intune i przejdź do pozycjiMonitorowanie>zgodności ustawieńurządzeń>. To ustawienie ma nazwę Jest aktywny w kolumnie Ustawienie . Aby uzyskać więcej informacji na temat tego i powiązanych widoków stanu zgodności, zobacz Monitorowanie zgodności urządzeń.

Zasady zgodności urządzeń

Intune zasad zgodności urządzeń:

• Zdefiniuj reguły i ustawienia, które użytkownicy i urządzenia zarządzane muszą spełniać, aby były zgodne. Przykłady reguł obejmują wymaganie, aby urządzenia uruchamiały minimalną wersję systemu operacyjnego, nie były łamane w więzieniu lub objęte dostępem do konta root oraz były na poziomie zagrożenia lub na poziomie zagrożenia określonym przez oprogramowanie do zarządzania zagrożeniami zintegrowane z Intune.
• Akcje pomocy technicznej, które mają zastosowanie do urządzeń, które nie spełniają reguł zgodności. Przykłady akcji obejmują zdalne blokowanie lub wysyłanie wiadomości e-mail użytkownika urządzenia o stanie urządzenia, aby mógł je naprawić.
• Wdrażanie dla użytkowników w grupach użytkowników lub na urządzeniach w grupach urządzeń. Po wdrożeniu zasad zgodności dla użytkownika wszystkie urządzenia użytkownika są sprawdzane pod kątem zgodności. Używanie grup urządzeń w tym scenariuszu pomaga w raportowaniu zgodności.

Jeśli korzystasz z dostępu warunkowego, jego zasady mogą blokować dostęp do zasobów z poziomu niezgodnych urządzeń na podstawie wyników zgodności urządzenia.

Dostępne ustawienia, które można określić w zasadach zgodności urządzeń, zależą od typu platformy wybranego podczas tworzenia zasad. Różne platformy urządzeń obsługują różne ustawienia, a każdy typ platformy wymaga oddzielnych zasad.

Poniższe tematy łączą się z dedykowanymi artykułami dotyczącymi różnych aspektów zasad konfiguracji urządzeń.

• Akcje dotyczące niezgodności — każda zasada zgodności urządzeń obejmuje co najmniej jedną akcję w przypadku niezgodności. Te akcje są regułami stosowanymi do urządzeń, które nie spełniają warunków określonych w zasadach.

  Domyślnie każda zasada zgodności urządzeń zawiera akcję oznaczania urządzenia jako niezgodnego, jeśli nie spełnia ono reguły zasad. Następnie zasady dotyczą urządzenia wszelkich dodatkowych akcji w przypadku niezgodności skonfigurowanych na podstawie harmonogramów ustawionych dla tych akcji.

  Akcje dotyczące niezgodności mogą pomóc w zgłaszaniu alertów użytkownikom, gdy ich urządzenie nie jest zgodne, lub chronić dane, które mogą znajdować się na urządzeniu. Przykłady akcji obejmują:

  • Wysyłanie alertów e-mail do użytkowników i grup ze szczegółowymi informacjami o niezgodnym urządzeniu. Zasady można skonfigurować tak, aby wysyłały wiadomości e-mail natychmiast po oznaczeniu jako niezgodne, a następnie okresowo, aż urządzenie stanie się zgodne.
  • Zdalne blokowanie urządzeń , które od jakiegoś czasu są niezgodne.
  • Wycofaj urządzenia po tym, jak od jakiegoś czasu są niezgodne. Ta akcja oznacza kwalifikujące się urządzenie jako gotowe do wycofania. Administrator może następnie wyświetlić listę urządzeń oznaczonych do wycofania i musi podjąć jawne działanie w celu wycofania co najmniej jednego urządzenia. Wycofanie urządzenia powoduje usunięcie urządzenia z zarządzania Intune i usunięcie wszystkich danych firmowych z urządzenia. Aby uzyskać więcej informacji na temat tej akcji, zobacz Dostępne akcje w przypadku niezgodności.

• Tworzenie zasad — korzystając z informacji zawartych w tym artykule, możesz przejrzeć wymagania wstępne, zapoznać się z opcjami konfigurowania reguł, określania akcji w przypadku niezgodności i przypisywania zasad do grup. Ten artykuł zawiera również informacje o czasie odświeżania zasad.

  Wyświetlanie ustawień zgodności urządzeń dla różnych platform urządzeń:

  • Administrator urządzenia z systemem Android
  • Android Enterprise
  • Android Open Source Project (AOSP)
  • iOS
  • Linux
  • macOS
  • Windows Holographic for Business
  • Windows 8.1 i nowsze

    Ważna

    22 października 2022 r. Microsoft Intune zakończyła obsługę urządzeń z systemem Windows 8.1. Pomoc techniczna i automatyczne aktualizacje na tych urządzeniach nie są dostępne.

    Jeśli obecnie używasz Windows 8.1, zalecamy przejście na urządzenia Windows 10/11. Microsoft Intune ma wbudowane funkcje zabezpieczeń i urządzeń, które zarządzają urządzeniami klienckimi Windows 10/11.

  • Windows 10/11

• Niestandardowe ustawienia zgodności — za pomocą niestandardowych ustawień zgodności można rozwijać wbudowane opcje zgodności urządzeń Intune. Ustawienia niestandardowe zapewniają elastyczność bazowania na ustawieniach dostępnych na urządzeniu bez konieczności oczekiwania na dodanie tych ustawień przez Intune.

  Niestandardowych ustawień zgodności można używać na następujących platformach:

  • Linux — Ubuntu Desktop, wersja 20.04 LTS i 22.04 LTS
  • Windows 10/11

Monitorowanie stanu zgodności

Intune zawiera pulpit nawigacyjny zgodności urządzeń używany do monitorowania stanu zgodności urządzeń oraz przechodzenia do zasad i urządzeń, aby uzyskać więcej informacji. Aby dowiedzieć się więcej o tym pulpicie nawigacyjnym, zobacz Monitorowanie zgodności urządzeń.

Integracja z dostępem warunkowym

W przypadku korzystania z dostępu warunkowego można skonfigurować zasady dostępu warunkowego tak, aby używały wyników zasad zgodności urządzeń w celu określenia, które urządzenia mogą uzyskiwać dostęp do zasobów organizacji. Ta kontrola dostępu jest dodatkiem do akcji niezgodności uwzględnianych w zasadach zgodności urządzeń i jest od niej oddzielona.

Gdy urządzenie zostanie zarejestrowane w Intune zostanie zarejestrowane w Azure AD. Stan zgodności urządzeń jest zgłaszany do Azure AD. Jeśli zasady dostępu warunkowego mają ustawioną opcję Kontrola dostępu na wartość Wymagaj, aby urządzenie było oznaczone jako zgodne, dostęp warunkowy używa tego stanu zgodności, aby określić, czy przyznać lub zablokować dostęp do poczty e-mail i innych zasobów organizacji.

Jeśli użyjesz stanu zgodności urządzenia z zasadami dostępu warunkowego, sprawdź, jak dzierżawa skonfigurowała opcję Oznacz urządzenia bez przypisanych zasad zgodności, którymi zarządzasz w obszarze Ustawienia zasad zgodności.

Aby uzyskać więcej informacji na temat korzystania z dostępu warunkowego z zasadami zgodności urządzeń, zobacz Dostęp warunkowy oparty na urządzeniach

Dowiedz się więcej o dostępie warunkowym w dokumentacji Azure AD:

• Co to jest dostęp warunkowy
• Co to jest tożsamość urządzenia

Dokumentacja dotycząca niezgodności i dostępu warunkowego na różnych platformach

W poniższej tabeli opisano sposób zarządzania niezgodnymi ustawieniami, gdy zasady zgodności są używane z zasadami dostępu warunkowego.

• Skorygowano: system operacyjny urządzenia wymusza zgodność. Na przykład użytkownik jest zmuszony do ustawienia numeru PIN.

• Poddane kwarantannie: system operacyjny urządzenia nie wymusza zgodności. Na przykład urządzenia z systemami Android i Android Enterprise nie zmuszają użytkownika do szyfrowania urządzenia. Jeśli urządzenie nie jest zgodne, zostaną wykonane następujące akcje:

  • Jeśli zasady dostępu warunkowego mają zastosowanie do użytkownika, urządzenie zostanie zablokowane.
  • Aplikacja Portal firmy powiadamia użytkownika o wszelkich problemach ze zgodnością.

---

Ustawienie zasad	Platforma
Dozwolone dystrybucje	Linux(tylko) — poddane kwarantannie
Szyfrowanie urządzenia	- System Android 4.0 lub nowszy: poddane kwarantannie - Samsung Knox Standard 4.0 i nowsze: poddane kwarantannie - Android Enterprise: poddane kwarantannie - System iOS 8.0 i nowsze: skorygowane (przez ustawienie numeru PIN) - System macOS 10.11 lub nowszy: poddane kwarantannie - Linux: poddane kwarantannie - Windows 10/11: Poddane kwarantannie
profil Email	- System Android 4.0 lub nowszy: nie dotyczy - Samsung Knox Standard 4.0 lub nowszy: Nie dotyczy - Android Enterprise: nie dotyczy - System iOS 8.0 lub nowszy: poddane kwarantannie - System macOS 10.11 lub nowszy: poddane kwarantannie - Linux: Nie dotyczy - Windows 10/11: Nie dotyczy
Urządzenie ze zdjętymi zabezpieczeniami systemu lub odblokowanym dostępem do konta root	- System Android 4.0 i nowsze: poddane kwarantannie (nie ustawienie) - Samsung Knox Standard 4.0 i nowsze: poddane kwarantannie (nie ustawienie) - Android Enterprise: poddane kwarantannie (nie ustawienie) - System iOS 8.0 i nowsze: poddane kwarantannie (nie ustawienie) - System macOS 10.11 lub nowszy: nie dotyczy - Linux: Nie dotyczy - Windows 10/11: Nie dotyczy
Maksymalna wersja systemu operacyjnego	- System Android 4.0 lub nowszy: poddane kwarantannie - Samsung Knox Standard 4.0 i nowsze: poddane kwarantannie - Android Enterprise: poddane kwarantannie - System iOS 8.0 lub nowszy: poddane kwarantannie - System macOS 10.11 lub nowszy: poddane kwarantannie - Linux: zobacz Dozwolone dystrybucje - Windows 10/11: Poddane kwarantannie
Minimalna wersja systemu operacyjnego	- System Android 4.0 lub nowszy: poddane kwarantannie - Samsung Knox Standard 4.0 i nowsze: poddane kwarantannie - Android Enterprise: poddane kwarantannie - System iOS 8.0 lub nowszy: poddane kwarantannie - System macOS 10.11 lub nowszy: poddane kwarantannie - Linux: zobacz Dozwolone dystrybucje - Windows 10/11: Poddane kwarantannie
Konfiguracja numeru PIN lub hasła	- System Android 4.0 lub nowszy: poddane kwarantannie - Samsung Knox Standard 4.0 i nowsze: poddane kwarantannie - Android Enterprise: poddane kwarantannie - System iOS 8.0 lub nowszy: skorygowany - System macOS 10.11 lub nowszy: skorygowany - Linux: poddane kwarantannie - Windows 10/11: Skorygowano
Zaświadczanie o kondycji systemu Windows	- System Android 4.0 lub nowszy: nie dotyczy - Samsung Knox Standard 4.0 lub nowszy: Nie dotyczy - Android Enterprise: nie dotyczy - System iOS 8.0 lub nowszy: nie dotyczy - System macOS 10.11 lub nowszy: nie dotyczy - Linux: Nie dotyczy - Windows 10/11: Poddane kwarantannie

Uwaga

Aplikacja Portal firmy wprowadza przepływ korygowania rejestracji, gdy użytkownik loguje się do aplikacji, a urządzenie nie zostało pomyślnie zaewidencjonowane z Intune przez co najmniej 30 dni (lub urządzenie jest niezgodne z powodu utraty zgodności z kontaktem). W tym przepływie próbujemy zainicjować zaewidencjonowanie jeszcze raz. Jeśli to się nie powiedzie, wydamy polecenie wycofania, aby umożliwić użytkownikowi ręczne ponowne zarejestrowanie urządzenia.

---

Następne kroki

• Tworzenie i wdrażanie zasad oraz przeglądanie wymagań wstępnych
• Monitorowanie zgodności urządzeń
• Typowe pytania, problemy i rozwiązania dotyczące zasad i profilów urządzeń w Microsoft Intune
• Dokumentacja jednostek zasad zawiera informacje o jednostkach zasad Intune Data Warehouse