Создание политики соответствия требованиям в Microsoft Intune

Политики соответствия устройств требованиям — это главная особенность при использовании Intune для защиты ресурсов организации. В Intune можно создавать правила и параметры, чтобы устройство считалось соответствующим требованиям, например минимальная версия ОС. Если устройство не соответствует требованиям, вы можете заблокировать доступ к данным и ресурсам с помощью условного доступа.

Вы также можете принимать меры в случае несоответствия требованиям, например, отправлять пользователям уведомления по электронной почте. Обзор политик соответствия требованиям и способов их использования см. в статье Начало работы с политиками соответствия устройств в Intune.

В этой статье:

  • перечислены необходимые условия и действия для создания политики соответствия требованиям;
  • показано, как назначить политику группам пользователей и устройств;
  • описываются дополнительные функции, включая теги области для "фильтрации" политик, и действия, которые можно выполнить на устройствах, не соответствующих требованиям;
  • приводится время цикла обновления проверки, когда устройства получают обновления политики.

Прежде чем начать

Чтобы использовать политики соответствия устройств, выполните следующие действия.

  • Используйте следующие подписки:

    • Intune
    • Если вы используете условный доступ, потребуется выпуск Azure Active Directory (AD) Premium. На странице с ценами на Azure Active Directory описывается, что вы получаете в разных выпусках. Для соответствия Intune не требуется Azure AD.
  • Используйте поддерживаемую платформу:

    • Администратор устройств Android
    • Android AOSP
    • Android Enterprise
    • iOS
    • macOS
    • Windows 10/11
    • Windows 8.1

      Важно!

      22 октября 2022 Microsoft Intune завершает поддержку устройств под управлением Windows 8.1. По истечении этой даты техническая помощь и автоматические обновления на этих устройствах будут недоступны. Дополнительные сведения см. в статье "Планирование изменений: завершение поддержки Windows 8.1".

      Если вы используете Windows 8.1, рекомендуем перейти на Windows 10/11. Microsoft Intune встроенные функции безопасности и устройства, которые управляют Windows 10/11 клиентских устройств. Дополнительные сведения см. в статье "Завершение поддержки Windows 7 и Windows 8.1".

  • Регистрация устройств в Intune (необходимо, чтобы увидеть состояние соответствия)

  • Зарегистрируйте устройства для одного пользователя или зарегистрируйтесь без основного пользователя. Отдельные устройства не могут быть зарегистрированы для нескольких пользователей.

Если вы планируете использовать настраиваемые параметры для соответствия устройств, необходимо подготовить пользовательский JSON-файл и скрипт PowerShell перед созданием политики. Дополнительные сведения о настраиваемых параметрах соответствия требованиям, включая поддерживаемые платформы, предварительные условия и способ настройки категории Настраиваемое соответствие требованиям при создании политики, см. в статье Использование настраиваемых параметров соответствия требованиям.

Создание политики

  1. Войдите в Центр администрирования Microsoft Endpoint Manager.

  2. Выберите Устройства > Политики соответствия > Политики > Создать политику.

  3. Выберите для этой политики одно из следующих значений параметра Платформа:

    • Администратор устройств Android
    • Android (AOSP)
    • Android Enterprise
    • iOS/iPadOS
    • macOS
    • Windows 8.1 и более поздние версии
    • Windows 10 и более поздние версии

    Для Android Enterprise также следует выбрать значение параметра Тип политики:

    • Полностью управляемая платформа
    • Выделенная
    • Корпоративный рабочий профиль
    • Личный рабочий профиль

    Затем выберите Создать, чтобы открыть окно конфигурации Создание политики.

  4. На вкладке Основные в поле Имя введите такое имя, по которому в дальнейшем ее можно будет легко определить. Например, хорошее имя политики — Пометить устройства iOS/iPadOS со снятой защитой как несоответствующие требованиям.

    При необходимости также можно заполнить поле Описание.

  5. На вкладке Параметры соответствия разверните доступные категории и настройте параметры политики. Параметры для каждой платформы описаны в следующих статьях:

    Прежде чем использовать категорию "Пользовательское соответствие" для добавления настраиваемых параметров соответствия, необходимо предварительно настроить JSON для определения пользовательских параметров, которые вы хотите использовать, и отправить скрипт PowerShell, который выполняет обнаружение этих параметров на поддерживаемых устройствах.

    Дополнительные сведения о настраиваемых параметрах для соответствия устройств требованиям, включая поддерживаемые платформы, предварительные условия и способ настройки категории Настраиваемое соответствие требованиям при создании политики, см. в статье Использование настраиваемых параметров соответствия требованиям.

  6. На вкладке Действия при несоответствии укажите последовательность действий, автоматически применяемых к устройствам, которые не соответствуют этой политике соответствия требованиям.

    При этом можно добавить несколько действий, а также задать для некоторых из них расписания и дополнительные сведения. Например, можно изменить расписание действия по умолчанию Отметить устройство как несоответствующее политике, чтобы оно выполнялось через день. Затем можно добавить действие для отправки пользователю сообщения электронной почты с уведомлением о том, что устройство не соответствует требованиям. Можно также добавить действия, которые блокируют или прекращают поддержку устройств, для которых так и не было обеспечено соответствие требованиям.

    Сведения о действиях, которые можно настроить, в том числе о создании уведомлений по электронной почте для отправки пользователям, см. в статье Автоматизация уведомлений и действий для несоответствующих устройств в Intune.

    Еще один пример — использование вкладки "Местоположения", на которой добавлено по крайней мере одно расположение для политики соответствия требованиям. В этом случае действие по умолчанию для несоответствия применяется только при выборе хотя бы одного расположения. Если устройство не подключено ни к одному из выбранных расположений, оно считается не соответствующим требованиям. При этом можно настроить расписание, чтобы предоставить пользователям льготный период, например один день.

  7. На вкладке Теги области выберите теги, чтобы упростить фильтрацию политик по конкретным группам, например US-NC IT Team или JohnGlenn_ITDepartment. После добавления параметров можно также добавить тег области к политикам соответствия требованиям.

    Сведения об использовании тегов области для фильтрации политик см. в этой статье.

  8. На вкладке Назначения назначьте политику группам.

    Выберите + Выберите группы для включения, а затем назначьте политику одной или нескольким группам. Эта политика будет применена к данным группам при ее сохранении после следующего шага.

  9. На вкладке Проверка и создание просмотрите параметры, а затем выберите Создать, когда будете готовы сохранить политику соответствия требованиям.

    Пользователи или устройства, на которые распространяется ваша политика, оцениваются на соответствие требованиям при регистрации в Intune.

Обновление времени цикла

Intune использует разные циклы обновления для проверки наличия обновлений политик соответствия. Если устройство зарегистрировано недавно, проверка выполняется чаще. Циклы обновления политики и профиля содержат оценочное время обновления.

Пользователи могут в любое время открыть приложение Корпоративного портала и синхронизировать устройство, чтобы моментально проверить наличие обновлений политики.

Назначение состояния InGracePeriod

Состояние InGracePeriod для политики соответствия требованиям представляет собой значение. Оно определяется сочетанием льготного периода устройства и фактического состояния устройства для этой политики соответствия.

В частности, если устройство имеет состояние NonCompliant для назначенной политики соответствия требованиям и:

  • устройству не назначен льготный период, для политики соответствия требованиям задается значение NonCompliant;
  • устройство имеет льготный период, который истек, для политики соответствия требованиям задается значение NonCompliant;
  • устройство имеет льготный период, который находится в будущем, для политики соответствия требованиям задается значение InGracePeriod.

В таблице ниже приведена сводка по этим моментам.

Фактическое состояние соответствия Значение назначенного периода отсрочки Действующее состояние соответствия
NonCompliant Период отсрочки не назначен NonCompliant
NonCompliant Вчерашняя дата NonCompliant
NonCompliant Завтрашняя дата InGracePeriod

Дополнительные сведения об отслеживании политик соответствия устройств см. в статье Мониторинг политик соответствия устройств Intune.

Назначение итогового состояния для политики соответствия требованиям

Если устройство имеет несколько политик соответствия требованиям, по крайней мере две из которых имеют разные состояния соответствия, назначается одно итоговое состояние соответствия. Назначение производится на основе концептуального уровня серьезности, задаваемого для каждого состояния соответствия. Ниже указаны уровни серьезности для каждого состояния соответствия.

Состояние Серьезность
Unknown 1
NotApplicable 2
Соответствует 3
InGracePeriod 4
NonCompliant 5
Error 6

Если устройство имеет несколько политик соответствия, ему назначается наивысшая степень серьезности для всех политик.

Например, устройству назначено три политики соответствия требованиям: одна с состоянием Unknown (серьезность = 1), одна с состоянием Compliant (серьезность = 3) и одна с состоянием InGracePeriod (серьезность = 4). Состояние InGracePeriod имеет наивысший уровень серьезности. Таким образом все три политики имеют состояние соответствия InGracePeriod.

Дальнейшие действия

Мониторинг политик.