Udostępnij za pośrednictwem

  • Artykuł

Zasady zgodności w programie Configuration Manager

 

Dotyczy: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1

Informacje w tym temacie dotyczą programu System Center 2012 Configuration Manager SP1 lub nowszego oraz programu System Center 2012 R2 Configuration Manager lub nowszego.

Zasady zgodności w programie Menedżer konfiguracji definiują reguły i zasady ustawień, z którymi urządzenie musi być zgodne, aby można je było uważać za spełniające zasady dostępu warunkowego. Zasady zgodności mogą być również wykorzystane do monitorowania i rozwiązywania problemów ze zgodnością urządzeń niezależnie od dostępu warunkowego.

System_CAPS_importantWażne

Zasady zgodności dotyczą tylko urządzeń zarządzanych przez Microsoft Intune.

Reguły obejmują:

  • Kody PIN i hasła

  • Szyfrowanie

  • Określanie, czy urządzenie ma złamane zabezpieczenia lub odblokowany dostęp

  • Określanie, czy poczta e-mail na urządzeniu jest zarządzana przez zasady usługi Intune

  • Wymagana minimalna wersja systemu operacyjnego — zwykle zależy od zasad zgodności firmy i wymagań w zakresie zabezpieczeń. Pozwala to zapobiec dostępowi do urządzeń, w których mogą występować luki w zabezpieczeniach spowodowane korzystaniem ze starszej wersji systemu operacyjnego.

  • Maksymalna dozwolona wersja systemu operacyjnego — możesz zdecydować się na brak obsługi najnowszej wersji systemu operacyjnego przed przeprowadzeniem jej testów lub z innych powodów. Możesz zdecydować się na zablokowanie urządzeń z wersją systemu operacyjnego późniejszą niż określona. Urządzenie nie będzie w stanie uzyskać dostępu do zasobów firmy do momentu zmiany zasad.

Uwaga

Aby użyć reguł dotyczących minimalnych i maksymalnych wersji systemu operacyjnego, musisz użyć najnowszej wersji rozszerzenia Dostęp warunkowy dla programu System Center 2012 R2 Configuration Manager z dodatkiem SP1.

Uwaga

W przypadku komputerów z systemem operacyjnym Windows wersja 8.1 systemu Windows jest zgłaszana jako 6.3, a nie 8.1. Jeśli ustawiono regułę wersji systemu Windows na Windows 8.1, urządzenie będzie zgłaszane jako niezgodne nawet w przypadku zainstalowania systemu Windows 8.1. Upewnij się, że ustawiono prawidłową zgłaszaną wersję systemu Windows dla reguł minimalnej i maksymalnej wersji systemu operacyjnego. Numer wersji musi być zgodny z wersją zwracaną przez polecenie winver.

Ten problem nie występuje w telefonach z systemem Windows. Wersja jest zgłaszana zgodnie z oczekiwaniami jako wersja 8.1.

Zasady zgodności wdraża się dla kolekcji użytkowników. W przypadku wdrożenia zasad zgodności dla użytkownika sprawdzana jest zgodność wszystkich urządzeń użytkownika.

W poniższej tabeli przedstawiono typy urządzeń obsługiwanych przez zasady zgodności oraz sposób postępowania z niezgodnymi ustawieniami w przypadku, gdy zasady są używane w celu zapewnienia dostępu warunkowego.

Typ urządzenia

Konfiguracja kodu PIN lub hasła

Szyfrowanie urządzenia

Urządzenia, na których zdjęto zabezpieczenia systemu lub uzyskano dostęp do konta administratora

Profil e-mail

Minimalna wersja systemu operacyjnego

Maksymalna wersja systemu operacyjnego

Windows 8.1 i nowsze

Skorygowane

Brak

Brak

Brak

Poddane kwarantannie

Poddane kwarantannie

System Windows Phone 8.1 lub nowszy

Skorygowane

Skorygowane

Brak

Brak

Poddane kwarantannie

Poddane kwarantannie

System iOS 6.0 lub nowszy

Skorygowane

Skorygowane (przez ustawienie kodu PIN)

Poddane kwarantannie (to nie jest ustawienie)

Poddane kwarantannie

Poddane kwarantannie

Poddane kwarantannie

Android 4.0 i nowsze

Poddane kwarantannie

Poddane kwarantannie

Poddane kwarantannie (to nie jest ustawienie)

Brak

Poddane kwarantannie

Poddane kwarantannie

KNOX Samsung Standard 4.0 i nowsze

Poddane kwarantannie

Poddane kwarantannie

Poddane kwarantannie (to nie jest ustawienie)

Brak

Poddane kwarantannie

Poddane kwarantannie

Skorygowane = zgodność jest wymuszana przez system operacyjny urządzenia (na przykład system wymusza na użytkowniku ustawienie kodu PIN). Nigdy nie wystąpi niezgodność tego ustawienia.

Poddane kwarantannie = system operacyjny urządzenia nie wymusza zgodności (na przykład urządzenie z systemem Android nie zmusza użytkownika do szyfrowania urządzenia). W takim przypadku:

  • Urządzenie zostanie zablokowane, jeśli użytkownik podlega zasadom dostępu warunkowego.

  • Portal firmy lub portal sieci Web powiadomi użytkownika o wszelkich problemach ze zgodnością.

Krok 1. Tworzenie zasad zgodności

  1. W konsoli programu Menedżer konfiguracji kliknij przycisk Zasoby i zgodność.

  2. W obszarze roboczym Zasoby i zgodność rozwiń węzeł Ustawienia zgodności i kliknij opcję Zasady zgodności.

  3. Na karcie Narzędzia główne w grupie Tworzenie kliknij przycisk Utwórz zasady zgodności.

  4. Na stronie OgólneKreatora tworzenia zasad zgodności podaj następujące informacje:

    Ustawienie

    Więcej informacji

    Nazwa

    Wprowadź unikatową nazwę zasady zgodności. Możesz wprowadzić maksymalnie 256 znaków.

    Opis

    Wprowadź ogólny opis profilu sieci VPN, ułatwiający identyfikację profilu w konsoli programu Menedżer konfiguracji. Możesz wprowadzić maksymalnie 256 znaków.

    Waga niezgodności raportów

    Określ poziom ważności zgłaszany w przypadku oceny tej zasady zgodności jako niezgodnej. Poniżej przedstawiono dostępne poziomy ważności:

    • Brak Urządzenia, które nie spełniają tej zasady zgodności, nie będą zgłaszać ważności niepowodzenia dla raportów programu Menedżer konfiguracji.

    • Informacja Urządzenia, które nie spełniają tej zasady zgodności, będą zgłaszać ważność niepowodzenia Informacja dla raportów programu Menedżer konfiguracji.

    • Ostrzeżenie Urządzenia, które nie spełniają tej zasady zgodności, będą zgłaszać ważność niepowodzenia Ostrzeżenie dla raportów programu Menedżer konfiguracji.

    • Krytyczne Urządzenia, które nie spełniają tej zasady zgodności, będą zgłaszać ważność niepowodzenia Krytyczne dla raportów programu Menedżer konfiguracji.

    • Krytyczne ze zdarzeniem Urządzenia, które nie spełniają tej zasady zgodności, będą zgłaszać ważność niepowodzenia Krytyczne dla raportów programu Menedżer konfiguracji. Ten poziom ważności jest rejestrowany także jako zdarzenie systemu Windows w dzienniku zdarzeń aplikacji.

  5. Na stronie Obsługiwane platformy wybierz platformy urządzeń, na których zostanie oceniona ta zasada zgodności, lub też kliknij przycisk Zaznacz wszystko, aby wybrać wszystkie platformy urządzeń.

  6. Na stronie Reguły należy zdefiniować co najmniej jedną regułę definiującą konfigurację, którą muszą dysponować urządzenia, aby zostały uznane za zgodne. W następującej tabeli przedstawiono dostępne reguły. Po utworzeniu zasady zgodności niektóre reguły są domyślnie włączone, ale można je edytować lub usunąć.

    Nazwa zasady

    Więcej informacji

    Obsługiwane platformy

    Wymagaj ustawień haseł na urządzeniach przenośnych

    Wymaganie od użytkowników wprowadzania hasła podczas uzyskiwania dostępu do swoich urządzeń.

    (Domyślnie włączone)

    • System Windows Phone 8 lub nowszy

    • iOS 6 i nowsze

    • Android 4.0 i nowsze

    • KNOX Samsung Standard 4.0 i nowsze

    Zezwalaj na proste hasła

    Zezwala użytkownikom na tworzenie prostych haseł, takich jak „1234” lub „1111”.

    (Domyślnie wyłączone)

    • System Windows Phone 8 lub nowszy

    • iOS 6 i nowsze

    Minimalna długość hasła1

    Określa minimalną liczbę cyfr lub znaków, które musi zawierać hasło użytkownika.

    (Domyślnie 6)

    • System Windows Phone 8 lub nowszy

    • Windows 8.1

    • iOS 6 i nowsze

    • Android 4.0 i nowsze

    • KNOX Samsung Standard 4.0 i nowsze

    Szyfrowanie plików na urządzeniu przenośnym

    Powoduje wymaganie zaszyfrowania urządzenia w celu połączenia się z zasobami.

    Urządzenia z systemem Windows Phone 8 są szyfrowane automatycznie.

    System_CAPS_importantWażne

    Urządzenia z systemem iOS są szyfrowane po skonfigurowaniu ustawienia Wymagaj ustawień dla urządzeń przenośnych.

    (Domyślnie włączone)

    • System Windows Phone 8 lub nowszy

    • Android 4.0 i nowsze

    • KNOX Samsung Standard 4.0 i nowsze

    Nie zezwalaj na zdjęcie zabezpieczeń systemu ani na uzyskanie dostępu do konta root

    Jeśli ta opcja jest włączona, urządzenia, na których zdjęto zabezpieczenia (iOS) lub uzyskano dostęp do konta administratora (Android) nie będą zgodne.

    (Domyślnie wyłączone)

    • iOS 6 i nowsze

    • Android 4.0 i nowsze

    • KNOX Samsung Standard 4.0 i nowsze

    Profil e-mail musi być zarządzany przez usługę Intune

    Gdy ta opcja jest zaznaczona, urządzenia będą raportowane jako niezgodne, jeśli użytkownik skonfigurował konto e-mail na urządzeniu zgodnym z profilem e-mail, który został wdrożony na urządzeniu przez administratora IT. Program Menedżer konfiguracji nie może zastąpić profilu określonego przez użytkownika i dlatego nie może nim zarządzać.

    W celu zapewnienia zgodności, użytkownik musi usunąć istniejące ustawienia poczty e-mail, aby program Menedżer konfiguracji mógł zainstalować zarządzany profil poczty e-mail.

    Szczegółowe informacje na temat profilów e-mail można znaleźć w artykule Umożliwianie dostępu do firmowej poczty e-mail przy użyciu profilów poczty e-mail w usłudze Microsoft Intune.

    (Domyślnie wyłączone)

    • iOS 6 i nowsze

    Profil e-mail

    Jeśli zaznaczona jest pozycja Konto e-mail musi być zarządzane przez usługę Intune, kliknij opcję Wybierz, aby wybrać profil poczty e-mail, przy użyciu którego będą zarządzane urządzenia. Ten profil poczty e-mail musi znajdować się na urządzeniu.

    • iOS 6 i nowsze

    Wymagana minimalna wersja systemu operacyjnego

    Jeśli urządzenie nie spełnia wymagań dotyczących minimalnej wersji systemu operacyjnego, będzie zgłaszane jako niezgodne. Zostanie wyświetlony link ze wskazówkami dotyczącymi uaktualniania. Użytkownik końcowy może zdecydować się na uaktualnienie swojego urządzenia, co umożliwi mu dostęp do zasobów firmy.

    • System Windows Phone 8 lub nowszy

    • Windows 8.1

    • iOS 6 i nowsze

    • Android 4.0 i nowsze

    • KNOX Samsung Standard 4.0 i nowsze

    Dozwolona maksymalna wersja systemu operacyjnego

    Jeśli urządzenie korzysta z wersji systemu operacyjnego późniejszej niż określona w regule, powoduje to zablokowanie dostępu do zasobów firmy i wyświetlenie monitu o kontakt z administratorem IT. Do momentu zmiany reguły dopuszczającej daną wersję systemu operacyjnego urządzenie nie może być stosowane do uzyskiwania dostępu do zasobów firmy.

    • System Windows Phone 8 lub nowszy

    • Windows 8.1

    • iOS 6 i nowsze

    • Android 4.0 i nowsze

    • KNOX Samsung Standard 4.0 i nowsze

    1 Dla urządzeń z systemem Windows zabezpieczonych przy użyciu konta Microsoft, sprawdzanie zasady zgodności zakończy się niepowodzeniem, jeśli Minimalna długość hasła jest większa niż 8 znaków lub Minimalna liczba zestawów znaków jest większa niż 2.

  7. Zapoznaj się z wprowadzonymi ustawieniami na stronie Podsumowanie kreatora, a następnie ukończ jego pracę.

Nowe zasady zostaną wyświetlone w węźle Zasady zgodności w obszarze roboczym Zasoby i zgodność.

Wdrażanie zasad zgodności

  1. W konsoli programu Menedżer konfiguracji kliknij przycisk Zasoby i zgodność.

  2. W obszarze roboczym Zasoby i zgodność rozwiń węzeł Ustawienia zgodności i kliknij opcję Zasady zgodności.

  3. Na karcie Narzędzia główne w grupie Wdrażanie kliknij przycisk Wdróż.

  4. W oknie dialogowym Wdrażanie zasad zgodności kliknij przycisk Przeglądaj, aby wybrać kolekcję użytkowników, dla której chcesz wdrożyć zasady.

    Ponadto można wybrać opcje generowania alertów w przypadku niezgodności zasad, a także skonfigurować harmonogram oceny zasad pod kątem zgodności.

  5. Gdy wszystko będzie gotowe, kliknij pozycję OK.

Monitorowanie zasad zgodności

Aby wyświetlić wyniki zgodności w konsoli programu Configuration Manager

  1. W konsoli programu Menedżer konfiguracji kliknij przycisk Monitorowanie.

  2. W obszarze roboczym Monitorowanie kliknij przycisk Wdrożenia.

  3. Na liście Wdrożenia wybierz wdrożenie zasad zgodności, dla którego chcesz przejrzeć informacje o zgodności.

  4. Podsumowanie informacji o zgodności wdrożenia zasad można przejrzeć na stronie głównej. Aby wyświetlić bardziej szczegółowe informacje, wybierz wdrożenie, a następnie na karcie Narzędzia główne, w grupie Wdrażanie kliknij przycisk Wyświetl stan, aby otworzyć stronę Stan wdrożenia.

    Na stronie Stan wdrożenia znajdują się następujące karty:

    - **Zgodne**: zawiera informacje o zgodności zasad na podstawie liczby zasobów, której dotyczą. Możesz kliknąć zasadę, aby utworzyć tymczasowy węzeł w węźle **Użytkownicy** lub **Urządzenia** w obszarze roboczym **Zasoby i zgodność** zawierającym wszystkich użytkowników i urządzenia zgodne z tą zasadą. W okienku **Szczegóły zasobu** zostaną wyświetleni użytkownicy lub urządzenia zgodne z danymi zasadami. Kliknij dwukrotnie użytkownika lub urządzenie na liście, aby wyświetlić dodatkowe informacje.

- **Błąd**: zawiera listę wszystkich błędów dla wybranego wdrożenia zasad na podstawie liczby zasobów, których to dotyczy. Możesz kliknąć zasadę, aby utworzyć tymczasowy węzeł w węźle **Użytkownicy** lub **Urządzenia** obszaru roboczego **Zasoby i zgodność** zawierającego wszystkich użytkowników lub urządzenia, które wygenerowały błędy w tych zasadach. Po wybraniu użytkownika lub urządzenia w okienku **Szczegóły zasobu** zostaną wyświetleni użytkownicy lub urządzenia, których dotyczy wybrany problem. Kliknij dwukrotnie użytkownika lub urządzenie na liście, aby wyświetlić dodatkowe informacje o problemie.

- **Niezgodne**: zawiera listę wszystkich niezgodnych reguł w zasadzie na podstawie liczby zasobów, której to dotyczy. Możesz kliknąć zasadę, aby utworzyć tymczasowy węzeł w węźle **Użytkownicy** lub **Urządzenia** w obszarze roboczym **Zasoby i zgodność** zawierającym wszystkich użytkowników i urządzenia niezgodne z tą zasadą. Po wybraniu użytkownika lub urządzenia w okienku **Szczegóły zasobu** zostaną wyświetleni użytkownicy lub urządzenia, których dotyczy wybrany problem. Kliknij dwukrotnie użytkownika lub urządzenie na liście, aby wyświetlić więcej informacji o danym problemie.

- **Nieznane**: wyświetla listę wszystkich użytkowników i urządzeń, które nie zgłosiły zgodności dla wybranego wdrożenia profilu zasad wraz z bieżącym stanem klienta dla urządzeń.

Następne kroki

Teraz możesz zacząć stosować zasady zgodności wraz z zasadami dostępu warunkowego w celu kontrolowania dostępu do usług w Twojej organizacji.