Настройка действий для несоответствующих устройств в Intune

В рамках политики соответствия требованиям, которая защищает ресурсы вашей организации от устройств, не соответствующих требованиям безопасности, политики соответствия требованиям также включают действия при несоответствии. Действия при несоответствии — это разовые или многоразовые действия, выполняемые политикой для защиты устройств и вашей организации. Например, действие при несоответствии может удаленно заблокировать устройство, чтобы обеспечить его защиту, либо отправить уведомление устройствам или пользователям, чтобы помочь им понять и устранить состояние несоответствия.

Обзор

По умолчанию каждая политика соответствия содержит действие при несоответствии Отметить устройство как несоответствующее политике с расписанием с нулем дней (0). Когда Intune обнаруживает устройство, не соответствующее требованиям, оно сразу же помечается как несоответствующее. После того как устройство помечено как не соответствующее требованиям, условный доступ Azure Active Directory (AD) может заблокировать устройство.

Настраивая функцию Действия при несоответствии, вы получаете гибкие возможности для принятия решения о том, что делать с несоответствующими устройствами и когда следует предпринимать необходимые меры. Например, устройство можно не блокировать немедленно, а предоставить пользователю льготный период, чтобы он смог обеспечить соответствие устройства.

Для каждого указанного действия можно настроить расписание, которое определяет, когда действие вступает в силу. Расписание представляет собой период в днях, по истечении которого устройство помечается как не соответствующее требованиям. Можно также настроить несколько экземпляров действия. При задании нескольких экземпляров действия в политике это действие выполняется еще раз в запланированное время, если устройство остается несоответствующим.

На каждой платформе могут быть доступны только определенные действия.

Примечание

В Центре администрирования Microsoft Endpoint Manager отображается расписание (дни после несоответствия) в днях. Однако можно указать более детализированный интервал (часы), используя такие дробные части, как 0,25 (6 часов), 0,5 (12 часов), 1,5 (36 часов) и так далее. Другие значения можно настроить только с помощью Microsoft Graph, но не через Центр администрирования. Попытка использовать другие значения в Центре администрирования, например 0,33 (8 часов), приведет к ошибке при попытке сохранения политики.

Доступные действия при несоответствии

Ниже приведены доступные действия при несоответствии:

  • Отметить устройство как несоответствующее. По умолчанию это действие задается для каждой политики соответствия и имеет расписание с нулем дней (0) для немедленной пометки устройств как несоответствующих.

    При изменении расписания по умолчанию указывается льготный период, в течение которого пользователь может исправить проблемы, или устройство может стать соответствующим без пометки как несоответствующее.

    Это действие поддерживается на всех платформах, поддерживаемых Intune.

  • Отправить электронное письмо конечному пользователю: это действие отправляет пользователю уведомление по электронной почте. Когда вы включаете это действие:

    • Выберите шаблон сообщения уведомления, который будет отправлен этим действием. Нужно создать шаблон уведомлений, который будет назначен действию. При создании настраиваемого уведомления вы настраиваете языковой стандарт, тему, текст сообщения и можете добавить логотип компании, название компании и другие контактные данные.
    • Настройте отправку сообщения дополнительным получателям, выбрав одну или несколько групп Azure AD.

    Intune использует адрес электронной почты, определенный в профиле пользователя, а не имя участника-пользователя (UPN). Если в профиле пользователя адрес электронной почты не определен, Intune не отправит уведомление по электронной почте. После отправки сообщения Intune включает в уведомление дополнительные сведения о несоответствующем устройстве.

    Это действие поддерживается на всех платформах, поддерживаемых Intune.

    Примечание

    В коммерческом облаке письма с уведомлениями отправляются с адреса IntuneNotificationService@microsoft.com

    В облаках для государственных организаций письма с уведомлениями отправляются с адреса microsoft-noreply@microsoft.com

    Настройте политики почтовых ящиков так, чтобы они не препятствовали доставке писем с этих адресов, иначе конечные пользователи могут не получить уведомление по электронной почте.

  • Удаленно заблокировать несовместимое устройство. Это действие используется для выдачи удаленной блокировки устройства. Затем пользователю предлагается ввести ПИН-код или пароль для разблокировки устройства. Дополнительные сведения о функции удаленной блокировки.

    Это действие поддерживают следующие платформы:

    • Администратор устройств Android
    • Android (AOSP)
    • Android Enterprise
      • Полностью управляемая
      • Выделенная
      • Корпоративный рабочий профиль
      • Личный рабочий профиль
      • Устройства для киосков с Android для бизнеса
    • iOS/iPadOS
    • macOS
  • Снять несоответствующее устройство с учета. Это действие удаляет все данные организации с устройства, а также удаляет устройство из службы управления Intune.

    Это действие поддерживают следующие платформы:

    • Администратор устройств Android
    • Android (AOSP)
    • Android Enterprise
      • Полностью управляемая
      • Выделенная
      • Корпоративный рабочий профиль
      • Личный рабочий профиль
    • iOS/iPadOS
    • macOS
    • Windows 10/11

    Когда это действие применяется к устройству, оно добавляется в список устройств в консоли администрирования в разделе Устройства > Политики соответствия > Снять с учета не соответствующие политике устройства. Устройство не будет снято с учета до тех пор, пока администратор не предпримет явное действие по снятию устройства с учета.

    Примечание

    Только те устройства, для которых было запущено действие Снять с учета несовместимое устройство, отображаются в представлении Снять с учета выбранные устройства. Чтобы просмотреть список всех устройств, которые не соответствуют требованиям, см. отчет о несовместимых устройствах, упомянутый в политике мониторинга соответствия устройств.

    Чтобы снять с учета одно или несколько устройств из списка, выберите в списке устройства для снятия с учета, а затем выберите Снять с учета выбранные устройства. При выборе действия, которое снимет устройства с учета, может открыться диалоговое окно для подтверждения действия. Только после подтверждения намерения снятия устройств с учета они очищаются от данных компании и удаляются из системы управления Intune.

    Другие параметры: Снять с учета все устройства, Очистить состояние снятия с учета для всех устройств и Очистить состояние снятия с учета для выбранных устройств. Очистка состояния снятия с учета для устройства удаляет устройство из списка устройств, которые можно снять с учета, до тех пор, пока к устройству снова не будет применено действие Снять с учета не соответствующие политике устройства.

    Дополнительные сведения о снятии устройств с учета.

  • Отправить push-уведомление пользователю. Настройте это действие, чтобы отправлять на устройство push-уведомление о несоответствии, используя приложение корпоративного портала или Intune на устройстве.

    Это действие поддерживают следующие платформы:

    • Администратор устройств Android
    • Android Enterprise:
      • Полностью управляемая
      • Выделенная
      • Корпоративный рабочий профиль
      • Личный рабочий профиль
    • iOS/iPadOS

    Push-уведомление отправляется при первой синхронизации устройства в Intune, и устройство считается несоответствующим. Когда пользователь выбирает уведомление, открывается приложение корпоративного портала или приложение Intune, где отображается причина несоответствия. После этого пользователь может предпринять действия по устранению проблемы. Сведения о несоответствии в сообщении создаются в приложении Intune и не могут быть изменены.

    Важно!

    Intune, приложение корпоративного портала и приложение Microsoft Intune не могут гарантировать доставку push-уведомления. Уведомления могут появиться после нескольких часов задержки, если вообще появятся. Это может происходить в ситуации, когда пользователи отключили push-уведомления.

    Этот метод не рекомендуется использовать для отправки или получения срочных сообщений.

    Каждый экземпляр действия отправляет уведомление один раз. Чтобы повторно отправить то же уведомление из политики, настройте в этой политике дополнительные экземпляры действия, каждое из которых имеет собственное расписание.

    Например, вы можете запланировать первое действие в течение нуля дней, а затем добавить второй экземпляр действия, для которого задано три дня. Благодаря этой задержке перед вторым уведомлением у пользователя будет несколько дней для устранения проблемы, и он не получит второе уведомление.

    Чтобы не отправлять пользователю слишком много повторяющихся сообщений, проверьте, какие политики соответствия поддерживают push-уведомления о несоответствии, и пересмотрите расписания, чтобы исключить слишком частую отправку уведомлений об одной и той же проблеме.

    Ниже приведено несколько вариантов использования соответствующих функций.

    • Для одной политики, в которой задана отправка нескольких экземпляров push-уведомлений в один день, в этот день отправляется только одно уведомление.

    • Если несколько политик соответствия имеют одинаковые условия соответствия и содержат действие push-уведомления с тем же расписанием, в один и тот же день Intune отправляет на одно устройство несколько уведомлений.

Примечание

Следующие действия по несоответствию не поддерживаются для устройств, управляемых партнером по управлению соответствием требованиям устройств:

  • Отправка push-уведомления конечному пользователю
  • Удаленная блокировка устройства, не соответствующего требованиям
  • Прекращение поддержки устройства, не соответствующего требованиям
  • Отправка push-уведомления конечному пользователю

Прежде чем начать

Вы можете добавить действия при несоответствии при настройке политики соответствия устройств или позже, изменив политику. Если необходимо, в каждую политику можно добавить дополнительные действия. Помните, что каждая политика соответствия автоматически содержит действие по умолчанию при несоответствии, которое помечает устройства как несоответствующие, и расписание с нулем дней.

Для использования политик соответствия устройств для блокировки доступа к корпоративным ресурсам необходимо настроить условный доступ Azure AD. Рекомендации см. в статьях об условном доступе в Azure Active Directory или распространенных способах использования условного доступа с Intune.

Чтобы создать политику соответствия устройств, см. следующие руководства для конкретных платформ:

Создание шаблона уведомлений

Чтобы отправлять сообщения электронной почты пользователям, создайте шаблон уведомления и свяжите его с политикой соответствия как действие в случае несоблюдения требований. Тогда, если устройство не соответствует требованиям, сведения, введенные в шаблоне, будут отображаться в сообщении электронной почты, отправляемом пользователям.

Шаблон уведомления может включать в себя несколько сообщений для разных языковых стандартов. Один из языковых стандартов должен быть назначен в качестве стандарта по умолчанию.

Если вы зададите несколько сообщений и языковых стандартов, пользователи, не соответствующие требованиям, получат по электронной почте локализованное сообщение с уведомлением на языке, выбранном в качестве предпочитаемого в Office 365. Intune отправляет сообщение по умолчанию пользователям, которые не задали предпочитаемый язык или задали такой языковой стандарт, для которого в шаблоне нет локализованного сообщения.

Создание шаблона

  1. Войдите в Центр администрирования Microsoft Endpoint Manager.

  2. Выберите Безопасность конечной точки > Соответствие устройства > Уведомления > Создать уведомление.

  3. На странице Основные настройте следующие параметры:

    • Имя — присвойте шаблону понятное имя, чтобы его было легко найти.
    • Заголовок почты — включает логотип компании (по умолчанию = Включить). Логотип, который вы загружаете как часть фирменной символики Корпоративного портала, используется для шаблонов электронной почты. Дополнительные сведения о фирменной символике корпоративного портала см. в разделе Настройка фирменной символики компании.
    • Нижний колонтитул электронного письма — включить имя компании (по умолчанию — Включить)
    • Нижний колонтитул электронного письма — включить контактные данные (по умолчанию — Включить)
    • Ссылка на веб-сайт корпоративного портала (по умолчанию — Отключить) — если задано значение Включить, сообщение электронной почты содержит ссылку на веб-сайт корпоративного портала.

    Пример базовой страницы для уведомления в Intune

    Нажмите кнопку Далее, чтобы продолжить.

  4. На странице Шаблоны уведомлений настройте одно или несколько сообщений. Для каждого сообщения укажите перечисленные ниже значения.

    • Locale
    • Тема
    • Основной текст сообщения

    Примечание

    Максимальное количество символов для темы — 78, а максимальное количество символов для основного текста сообщения — 2000.

    Прежде чем продолжить, необходимо установить для одного из сообщений флажок Является значением по умолчанию. Сообщением по умолчанию можно назначить только одно сообщение. Чтобы удалить сообщение, нажмите кнопку с многоточием (...), а затем щелкните Удалить.

    Пример страницы шаблона уведомления в Intune

    Нажмите кнопку Далее, чтобы продолжить.

  5. В разделе Просмотр и создание проверьте конфигурацию и убедитесь, что шаблон сообщений уведомления готов к использованию. Чтобы завершить создание уведомления, выберите Создать.

Просмотр и изменение уведомлений

Созданные уведомления доступны на странице Политики соответствия > Уведомления. На странице можно просмотреть конфигурацию выбранного уведомления и:

  • Выбрать Отправить предварительную версию электронного письма, чтобы отправить предварительную версию уведомления по электронной почте в учетную запись, которую вы использовали для входа в Intune.

    Чтобы успешно отправить предварительную версию электронного письма, ваша учетная запись должна иметь разрешения, аналогичные разрешениям следующих групп Azure AD или ролей Intune: глобальный администратор Azure AD, администратор Intune (администратор службы Intune в Azure AD) или диспетчер политик и профилей Intune.

  • Выбрать Правка для параметра Основные или Теги области, чтобы внести изменения.

Добавить действия при несоответствии

Когда вы создаете политику соответствия устройств, Intune автоматически создает действие при несоответствии. Если устройство не удовлетворяет политике соответствия требованиям, это действие помечает устройство как несоответствующее политике. Вы можете настроить, как долго устройство будет иметь эту метку. Это действие нельзя удалить.

Можно добавить необязательные действия при создании политики соответствия требованиям или изменении существующей политики.

  1. Войдите в Центр администрирования Microsoft Endpoint Manager.

  2. Выберите Устройства > Политики соответствия > Политики. Затем выберите одну из своих политик и щелкните Свойства.

    У вас еще нет политики? Создайте политику для Android, iOS, Windows или другой платформы.

    Примечание

    Устройства, управляемые сторонними партнерами по соответствию устройств, которые добавляются в группы устройств, в настоящее время не могут получать действия по обеспечению соответствия.

  3. Выберите Действия при несоответствии > Добавить.

  4. Выберите действие.

    • Отправить электронное письмо конечным пользователям: Если устройство не соответствует требованиям, выберите отправку электронной почты пользователю. Также:

      • Выберите шаблон сообщения, созданный ранее
      • Введите любых дополнительных получателей, выбрав группы.
    • Удаленно блокировать несоответствующее устройство. Если устройство не соответствует требованиям, оно блокируется. Для разблокирования устройства пользователь должен будет ввести ПИН-код или секретный код.

    • Снять несоответствующее устройство с учета. Если устройство не соответствует требованиям, удалите с него все корпоративные данные и выведите из системы управления Intune.

    • Отправить push-уведомление пользователю. Настройте это действие, чтобы отправлять на устройство push-уведомление о несоответствии, используя приложение корпоративного портала или Intune на устройстве.

  5. Настройте расписание. Введите количество дней (от 0 до 365) после обнаружения несоответствия для запуска действия на устройствах пользователей. По истечении этого льготного периода можно принудительно применить политику условного доступа. Если для количества дней ввести 0 (нуль), то условный доступ будет вступать в силу немедленно. Например, если устройство не соответствует требованиям, используйте условный доступ, чтобы немедленно заблокировать доступ к электронной почте, SharePoint и другим ресурсам организации.

    При создании политики соответствия требованиям автоматически создается действие Отметить устройство как несоответствующее политике и устанавливается значение 0 дней (немедленно). Если устройство обращается к Intune и оценивает политику, но не соответствует ей, с таким действием Intune немедленно помечает такое устройство как несоответствующее требованиям. Если клиент снова выполняет обращение после устранении проблемы, вызвавшей несоответствие, его состояние будет изменено на состояние соответствия. Если вы используете условный доступ, такие политики также применяются сразу же после того, как устройство было помечено несоответствующим. Чтобы задать период отсрочки, который позволит устранить условие несоответствия до того, как устройство будет помечено несоответствующим, измените параметр Расписание в действии Пометить устройство несоответствующим.

    Допустим, в политике соответствия требованиям вы также хотите уведомлять пользователя. Вы можете добавить действие Отправить сообщение электронной почты пользователю. Для действия Отправить сообщение по электронной почте задайте для параметра Расписание значение 2 дня. Если на устройство или пользователь по-прежнему оцениваются как несоответствующие политике, сообщение электронной почты будет отправлено на 2-й день. Если вы хотите снова отправить пользователю сообщение электронной почты на 5-й день после обнаружения несоответствия, добавьте еще одно действие и задайте для параметра Расписание значение 5 дней.

    Дополнительные сведения о соответствии требованиям и встроенных действиях см. в статье с общими сведениями о соответствии.

  6. Когда закончите, нажмите Добавить > OK, чтобы сохранить изменения.

Дальнейшие действия

Мониторинг политик.