Zasady zgodności w programie Configuration Manager
Dotyczy: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1
Informacje w tym temacie dotyczą programu System Center 2012 Configuration Manager SP1 lub nowszego oraz programu System Center 2012 R2 Configuration Manager lub nowszego.
Zasady zgodności w programie Menedżer konfiguracji definiują reguły i zasady ustawień, z którymi urządzenie musi być zgodne, aby można je było uważać za spełniające zasady dostępu warunkowego. Zasady zgodności mogą być również wykorzystane do monitorowania i rozwiązywania problemów ze zgodnością urządzeń niezależnie od dostępu warunkowego.
![]() |
---|
Zasady zgodności dotyczą tylko urządzeń zarządzanych przez Microsoft Intune. |
Reguły obejmują:
Kody PIN i hasła
Szyfrowanie
Określanie, czy urządzenie ma złamane zabezpieczenia lub odblokowany dostęp
Określanie, czy poczta e-mail na urządzeniu jest zarządzana przez zasady usługi Intune
Wymagana minimalna wersja systemu operacyjnego — zwykle zależy od zasad zgodności firmy i wymagań w zakresie zabezpieczeń. Pozwala to zapobiec dostępowi do urządzeń, w których mogą występować luki w zabezpieczeniach spowodowane korzystaniem ze starszej wersji systemu operacyjnego.
Maksymalna dozwolona wersja systemu operacyjnego — możesz zdecydować się na brak obsługi najnowszej wersji systemu operacyjnego przed przeprowadzeniem jej testów lub z innych powodów. Możesz zdecydować się na zablokowanie urządzeń z wersją systemu operacyjnego późniejszą niż określona. Urządzenie nie będzie w stanie uzyskać dostępu do zasobów firmy do momentu zmiany zasad.
Uwaga
Aby użyć reguł dotyczących minimalnych i maksymalnych wersji systemu operacyjnego, musisz użyć najnowszej wersji rozszerzenia Dostęp warunkowy dla programu System Center 2012 R2 Configuration Manager z dodatkiem SP1.
Uwaga
W przypadku komputerów z systemem operacyjnym Windows wersja 8.1 systemu Windows jest zgłaszana jako 6.3, a nie 8.1. Jeśli ustawiono regułę wersji systemu Windows na Windows 8.1, urządzenie będzie zgłaszane jako niezgodne nawet w przypadku zainstalowania systemu Windows 8.1. Upewnij się, że ustawiono prawidłową zgłaszaną wersję systemu Windows dla reguł minimalnej i maksymalnej wersji systemu operacyjnego. Numer wersji musi być zgodny z wersją zwracaną przez polecenie winver.
Ten problem nie występuje w telefonach z systemem Windows. Wersja jest zgłaszana zgodnie z oczekiwaniami jako wersja 8.1.
Zasady zgodności wdraża się dla kolekcji użytkowników. W przypadku wdrożenia zasad zgodności dla użytkownika sprawdzana jest zgodność wszystkich urządzeń użytkownika.
W poniższej tabeli przedstawiono typy urządzeń obsługiwanych przez zasady zgodności oraz sposób postępowania z niezgodnymi ustawieniami w przypadku, gdy zasady są używane w celu zapewnienia dostępu warunkowego.
Typ urządzenia |
Konfiguracja kodu PIN lub hasła |
Szyfrowanie urządzenia |
Urządzenia, na których zdjęto zabezpieczenia systemu lub uzyskano dostęp do konta administratora |
Profil e-mail |
Minimalna wersja systemu operacyjnego |
Maksymalna wersja systemu operacyjnego |
---|---|---|---|---|---|---|
Windows 8.1 i nowsze |
Skorygowane |
Brak |
Brak |
Brak |
Poddane kwarantannie |
Poddane kwarantannie |
System Windows Phone 8.1 lub nowszy |
Skorygowane |
Skorygowane |
Brak |
Brak |
Poddane kwarantannie |
Poddane kwarantannie |
System iOS 6.0 lub nowszy |
Skorygowane |
Skorygowane (przez ustawienie kodu PIN) |
Poddane kwarantannie (to nie jest ustawienie) |
Poddane kwarantannie |
Poddane kwarantannie |
Poddane kwarantannie |
Android 4.0 i nowsze |
Poddane kwarantannie |
Poddane kwarantannie |
Poddane kwarantannie (to nie jest ustawienie) |
Brak |
Poddane kwarantannie |
Poddane kwarantannie |
KNOX Samsung Standard 4.0 i nowsze |
Poddane kwarantannie |
Poddane kwarantannie |
Poddane kwarantannie (to nie jest ustawienie) |
Brak |
Poddane kwarantannie |
Poddane kwarantannie |
Skorygowane = zgodność jest wymuszana przez system operacyjny urządzenia (na przykład system wymusza na użytkowniku ustawienie kodu PIN). Nigdy nie wystąpi niezgodność tego ustawienia.
Poddane kwarantannie = system operacyjny urządzenia nie wymusza zgodności (na przykład urządzenie z systemem Android nie zmusza użytkownika do szyfrowania urządzenia). W takim przypadku:
Urządzenie zostanie zablokowane, jeśli użytkownik podlega zasadom dostępu warunkowego.
Portal firmy lub portal sieci Web powiadomi użytkownika o wszelkich problemach ze zgodnością.
Krok 1. Tworzenie zasad zgodności
-
W konsoli programu Menedżer konfiguracji kliknij przycisk Zasoby i zgodność.
-
W obszarze roboczym Zasoby i zgodność rozwiń węzeł Ustawienia zgodności i kliknij opcję Zasady zgodności.
-
Na karcie Narzędzia główne w grupie Tworzenie kliknij przycisk Utwórz zasady zgodności.
-
Na stronie OgólneKreatora tworzenia zasad zgodności podaj następujące informacje:
Ustawienie
Więcej informacji
Nazwa
Wprowadź unikatową nazwę zasady zgodności. Możesz wprowadzić maksymalnie 256 znaków.
Opis
Wprowadź ogólny opis profilu sieci VPN, ułatwiający identyfikację profilu w konsoli programu Menedżer konfiguracji. Możesz wprowadzić maksymalnie 256 znaków.
Waga niezgodności raportów
Określ poziom ważności zgłaszany w przypadku oceny tej zasady zgodności jako niezgodnej. Poniżej przedstawiono dostępne poziomy ważności:
Brak Urządzenia, które nie spełniają tej zasady zgodności, nie będą zgłaszać ważności niepowodzenia dla raportów programu Menedżer konfiguracji.
Informacja Urządzenia, które nie spełniają tej zasady zgodności, będą zgłaszać ważność niepowodzenia Informacja dla raportów programu Menedżer konfiguracji.
Ostrzeżenie Urządzenia, które nie spełniają tej zasady zgodności, będą zgłaszać ważność niepowodzenia Ostrzeżenie dla raportów programu Menedżer konfiguracji.
Krytyczne Urządzenia, które nie spełniają tej zasady zgodności, będą zgłaszać ważność niepowodzenia Krytyczne dla raportów programu Menedżer konfiguracji.
Krytyczne ze zdarzeniem Urządzenia, które nie spełniają tej zasady zgodności, będą zgłaszać ważność niepowodzenia Krytyczne dla raportów programu Menedżer konfiguracji. Ten poziom ważności jest rejestrowany także jako zdarzenie systemu Windows w dzienniku zdarzeń aplikacji.
-
Na stronie Obsługiwane platformy wybierz platformy urządzeń, na których zostanie oceniona ta zasada zgodności, lub też kliknij przycisk Zaznacz wszystko, aby wybrać wszystkie platformy urządzeń.
-
Na stronie Reguły należy zdefiniować co najmniej jedną regułę definiującą konfigurację, którą muszą dysponować urządzenia, aby zostały uznane za zgodne. W następującej tabeli przedstawiono dostępne reguły. Po utworzeniu zasady zgodności niektóre reguły są domyślnie włączone, ale można je edytować lub usunąć.
Nazwa zasady
Więcej informacji
Obsługiwane platformy
Wymagaj ustawień haseł na urządzeniach przenośnych
Wymaganie od użytkowników wprowadzania hasła podczas uzyskiwania dostępu do swoich urządzeń.
(Domyślnie włączone)
System Windows Phone 8 lub nowszy
iOS 6 i nowsze
Android 4.0 i nowsze
KNOX Samsung Standard 4.0 i nowsze
Zezwalaj na proste hasła
Zezwala użytkownikom na tworzenie prostych haseł, takich jak „1234” lub „1111”.
(Domyślnie wyłączone)
System Windows Phone 8 lub nowszy
iOS 6 i nowsze
Minimalna długość hasła1
Określa minimalną liczbę cyfr lub znaków, które musi zawierać hasło użytkownika.
(Domyślnie 6)
System Windows Phone 8 lub nowszy
Windows 8.1
iOS 6 i nowsze
Android 4.0 i nowsze
KNOX Samsung Standard 4.0 i nowsze
Szyfrowanie plików na urządzeniu przenośnym
Powoduje wymaganie zaszyfrowania urządzenia w celu połączenia się z zasobami.
Urządzenia z systemem Windows Phone 8 są szyfrowane automatycznie.
Ważne
Urządzenia z systemem iOS są szyfrowane po skonfigurowaniu ustawienia Wymagaj ustawień dla urządzeń przenośnych.
(Domyślnie włączone)
System Windows Phone 8 lub nowszy
Android 4.0 i nowsze
KNOX Samsung Standard 4.0 i nowsze
Nie zezwalaj na zdjęcie zabezpieczeń systemu ani na uzyskanie dostępu do konta root
Jeśli ta opcja jest włączona, urządzenia, na których zdjęto zabezpieczenia (iOS) lub uzyskano dostęp do konta administratora (Android) nie będą zgodne.
(Domyślnie wyłączone)
iOS 6 i nowsze
Android 4.0 i nowsze
KNOX Samsung Standard 4.0 i nowsze
Profil e-mail musi być zarządzany przez usługę Intune
Gdy ta opcja jest zaznaczona, urządzenia będą raportowane jako niezgodne, jeśli użytkownik skonfigurował konto e-mail na urządzeniu zgodnym z profilem e-mail, który został wdrożony na urządzeniu przez administratora IT. Program Menedżer konfiguracji nie może zastąpić profilu określonego przez użytkownika i dlatego nie może nim zarządzać.
W celu zapewnienia zgodności, użytkownik musi usunąć istniejące ustawienia poczty e-mail, aby program Menedżer konfiguracji mógł zainstalować zarządzany profil poczty e-mail.
Szczegółowe informacje na temat profilów e-mail można znaleźć w artykule Umożliwianie dostępu do firmowej poczty e-mail przy użyciu profilów poczty e-mail w usłudze Microsoft Intune.
(Domyślnie wyłączone)
iOS 6 i nowsze
Profil e-mail
Jeśli zaznaczona jest pozycja Konto e-mail musi być zarządzane przez usługę Intune, kliknij opcję Wybierz, aby wybrać profil poczty e-mail, przy użyciu którego będą zarządzane urządzenia. Ten profil poczty e-mail musi znajdować się na urządzeniu.
iOS 6 i nowsze
Wymagana minimalna wersja systemu operacyjnego
Jeśli urządzenie nie spełnia wymagań dotyczących minimalnej wersji systemu operacyjnego, będzie zgłaszane jako niezgodne. Zostanie wyświetlony link ze wskazówkami dotyczącymi uaktualniania. Użytkownik końcowy może zdecydować się na uaktualnienie swojego urządzenia, co umożliwi mu dostęp do zasobów firmy.
System Windows Phone 8 lub nowszy
Windows 8.1
iOS 6 i nowsze
Android 4.0 i nowsze
KNOX Samsung Standard 4.0 i nowsze
Dozwolona maksymalna wersja systemu operacyjnego
Jeśli urządzenie korzysta z wersji systemu operacyjnego późniejszej niż określona w regule, powoduje to zablokowanie dostępu do zasobów firmy i wyświetlenie monitu o kontakt z administratorem IT. Do momentu zmiany reguły dopuszczającej daną wersję systemu operacyjnego urządzenie nie może być stosowane do uzyskiwania dostępu do zasobów firmy.
System Windows Phone 8 lub nowszy
Windows 8.1
iOS 6 i nowsze
Android 4.0 i nowsze
KNOX Samsung Standard 4.0 i nowsze
1 Dla urządzeń z systemem Windows zabezpieczonych przy użyciu konta Microsoft, sprawdzanie zasady zgodności zakończy się niepowodzeniem, jeśli Minimalna długość hasła jest większa niż 8 znaków lub Minimalna liczba zestawów znaków jest większa niż 2.
-
Zapoznaj się z wprowadzonymi ustawieniami na stronie Podsumowanie kreatora, a następnie ukończ jego pracę.
Nowe zasady zostaną wyświetlone w węźle Zasady zgodności w obszarze roboczym Zasoby i zgodność.
Wdrażanie zasad zgodności
-
W konsoli programu Menedżer konfiguracji kliknij przycisk Zasoby i zgodność.
-
W obszarze roboczym Zasoby i zgodność rozwiń węzeł Ustawienia zgodności i kliknij opcję Zasady zgodności.
-
Na karcie Narzędzia główne w grupie Wdrażanie kliknij przycisk Wdróż.
-
W oknie dialogowym Wdrażanie zasad zgodności kliknij przycisk Przeglądaj, aby wybrać kolekcję użytkowników, dla której chcesz wdrożyć zasady.
Ponadto można wybrać opcje generowania alertów w przypadku niezgodności zasad, a także skonfigurować harmonogram oceny zasad pod kątem zgodności.
-
Gdy wszystko będzie gotowe, kliknij pozycję OK.
Monitorowanie zasad zgodności
Aby wyświetlić wyniki zgodności w konsoli programu Configuration Manager
-
W konsoli programu Menedżer konfiguracji kliknij przycisk Monitorowanie.
-
W obszarze roboczym Monitorowanie kliknij przycisk Wdrożenia.
-
Na liście Wdrożenia wybierz wdrożenie zasad zgodności, dla którego chcesz przejrzeć informacje o zgodności.
-
Podsumowanie informacji o zgodności wdrożenia zasad można przejrzeć na stronie głównej. Aby wyświetlić bardziej szczegółowe informacje, wybierz wdrożenie, a następnie na karcie Narzędzia główne, w grupie Wdrażanie kliknij przycisk Wyświetl stan, aby otworzyć stronę Stan wdrożenia.
Na stronie Stan wdrożenia znajdują się następujące karty:
- **Zgodne**: zawiera informacje o zgodności zasad na podstawie liczby zasobów, której dotyczą. Możesz kliknąć zasadę, aby utworzyć tymczasowy węzeł w węźle **Użytkownicy** lub **Urządzenia** w obszarze roboczym **Zasoby i zgodność** zawierającym wszystkich użytkowników i urządzenia zgodne z tą zasadą. W okienku **Szczegóły zasobu** zostaną wyświetleni użytkownicy lub urządzenia zgodne z danymi zasadami. Kliknij dwukrotnie użytkownika lub urządzenie na liście, aby wyświetlić dodatkowe informacje. - **Błąd**: zawiera listę wszystkich błędów dla wybranego wdrożenia zasad na podstawie liczby zasobów, których to dotyczy. Możesz kliknąć zasadę, aby utworzyć tymczasowy węzeł w węźle **Użytkownicy** lub **Urządzenia** obszaru roboczego **Zasoby i zgodność** zawierającego wszystkich użytkowników lub urządzenia, które wygenerowały błędy w tych zasadach. Po wybraniu użytkownika lub urządzenia w okienku **Szczegóły zasobu** zostaną wyświetleni użytkownicy lub urządzenia, których dotyczy wybrany problem. Kliknij dwukrotnie użytkownika lub urządzenie na liście, aby wyświetlić dodatkowe informacje o problemie. - **Niezgodne**: zawiera listę wszystkich niezgodnych reguł w zasadzie na podstawie liczby zasobów, której to dotyczy. Możesz kliknąć zasadę, aby utworzyć tymczasowy węzeł w węźle **Użytkownicy** lub **Urządzenia** w obszarze roboczym **Zasoby i zgodność** zawierającym wszystkich użytkowników i urządzenia niezgodne z tą zasadą. Po wybraniu użytkownika lub urządzenia w okienku **Szczegóły zasobu** zostaną wyświetleni użytkownicy lub urządzenia, których dotyczy wybrany problem. Kliknij dwukrotnie użytkownika lub urządzenie na liście, aby wyświetlić więcej informacji o danym problemie. - **Nieznane**: wyświetla listę wszystkich użytkowników i urządzeń, które nie zgłosiły zgodności dla wybranego wdrożenia profilu zasad wraz z bieżącym stanem klienta dla urządzeń.
Następne kroki
Teraz możesz zacząć stosować zasady zgodności wraz z zasadami dostępu warunkowego w celu kontrolowania dostępu do usług w Twojej organizacji.