Создание политики соответствия требованиям в Microsoft Intune

  • Статья

Политики соответствия устройств требованиям — это главная особенность при использовании Intune для защиты ресурсов организации. В Intune можно создавать правила и параметры, чтобы устройство считалось соответствующим требованиям, например минимальная версия ОС. Если устройство не соответствует требованиям, вы можете заблокировать доступ к данным и ресурсам с помощью условного доступа.

Вы также можете предпринять действия для несоответствия, например отправить пользователю уведомление по электронной почте. Обзор политик соответствия требованиям и способов их использования см. в статье Начало работы с политиками соответствия устройств в Intune.

В этой статье:

  • перечислены необходимые условия и действия для создания политики соответствия требованиям;
  • показано, как назначить политику группам пользователей и устройств;
  • Описание других функций, включая область теги для фильтрации политик, а также действия, которые можно выполнить на устройствах, которые не соответствуют требованиям.
  • приводится время цикла обновления проверки, когда устройства получают обновления политики.

Прежде чем начать

Чтобы использовать политики соответствия устройств, выполните следующие действия.

  • Используйте следующие подписки:

    • Intune
    • Если вы используете условный доступ, вам потребуется Microsoft Entra ID выпуска P1 или P2. Microsoft Entra ценах перечислены сведения о том, что вы получаете с различными выпусками. Intune соответствие требованиям не требует Microsoft Entra ID.

  • Используйте поддерживаемую платформу:

    • Администратор устройств Android
    • Android AOSP
    • Android Enterprise
    • iOS
    • Linux — Ubuntu Desktop, версии 20.04 LTS и 22.04 LTS
    • macOS
    • Windows 10/11

Важно!

Microsoft Intune прекращает поддержку управления администраторами устройств Android на устройствах с доступом к Google Mobile Services (GMS) 30 августа 2024 г. После этой даты регистрация устройств, техническая поддержка, исправления ошибок и исправления безопасности будут недоступны. Если в настоящее время вы используете управление администраторами устройств, мы рекомендуем перейти на другой вариант управления Android в Intune до окончания поддержки. Дополнительные сведения см. в статье Прекращение поддержки администратора устройств Android на устройствах GMS.

  • Регистрация устройств в Intune (необходимо, чтобы увидеть состояние соответствия)

  • Зарегистрируйте устройства для одного пользователя или зарегистрируйтесь без основного пользователя. Одно устройство не может быть зарегистрировано для нескольких пользователей.

Помимо параметров соответствия, встроенных в Intune, следующие платформы поддерживают добавление настраиваемых параметров соответствия в политики соответствия требованиям:

  • Ubuntu Desktop, версии 20.04 LTS и 22.04 LTS
  • Windows 10/11

Перед добавлением настраиваемых параметров необходимо подготовить пользовательский JSON-файл, определяющий параметры, на основе которого необходимо использовать пользовательское соответствие, и скрипт, который выполняется на устройствах для обнаружения параметров, определенных в JSON.

Дополнительные сведения об использовании настраиваемых параметров соответствия требованиям, включая поддерживаемые платформы, предварительные требования и настройку категории настраиваемого соответствия при создании политики, см. в статье Использование настраиваемых параметров соответствия требованиям.

Создание политики

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Перейдите в раздел Соответствие устройств> и выберите Создать политику.

  3. Выберите для этой политики одно из следующих значений параметра Платформа:

    • Администратор устройств Android
    • Android (AOSP)
    • Android Enterprise
    • iOS/iPadOS
    • Linux — (Ubuntu Desktop, версии 20.04 LTS и 22.04 LTS)
    • macOS
    • Windows 8.1 и более поздние версии
    • Windows 10 и более поздние версии

    Для Android Enterprise также следует выбрать значение параметра Тип политики:

    • Полностью управляемый, выделенный и корпоративный рабочий профиль
    • Личный рабочий профиль

    Затем нажмите кнопку Создать , чтобы открыть страницу конфигурации.

  4. На вкладке Основные в поле Имя введите такое имя, по которому в дальнейшем ее можно будет легко определить. Например, хорошее имя политики — Пометить устройства iOS/iPadOS со снятой защитой как несоответствующие требованиям.

    При необходимости также можно заполнить поле Описание.

  5. На вкладке Параметры соответствия разверните доступные категории и настройте параметры политики. В следующих статьях описаны доступные параметры соответствия для каждой платформы.

  6. Добавьте настраиваемые параметры в политики для поддерживаемых платформ.

    Совет

    Это необязательный шаг, который поддерживается только для следующих платформ:

    • Linux — Ubuntu Desktop, версии 20.04 LTS и 22.04 LTS
    • Windows 10/11. Прежде чем добавлять пользовательские параметры в политику, необходимо отправить скрипт обнаружения в Intune и подготовить ФАЙЛ JSON, определяющий параметры, которые необходимо использовать для соответствия требованиям. См . раздел Настраиваемые параметры соответствия требованиям.

    На странице Параметры соответствия разверните категорию Пользовательское соответствие :

    Для Windows:

    1. На странице Параметры соответствия разверните узел Пользовательское соответствие и установите для параметра Пользовательское соответствие значение Требовать.
    2. В поле Выберите сценарий обнаружения выберите Щелкните, чтобы выбрать, а затем укажите скрипт, который был ранее добавлен в центр администрирования Microsoft Intune. Этот скрипт необходимо отправить, прежде чем приступить к созданию политики.
    3. В поле Отправить и проверить JSON-файл с настраиваемыми параметрами соответствия щелкните значок папки, а затем найдите и добавьте JSON-файл для Windows, который вы хотите использовать с этой политикой. Сведения о помощи в использовании JSON см. в статье Создание JSON для пользовательских параметров соответствия требованиям.

    Для Linux:

    1. На странице Параметры соответствия выберите Добавить параметры , чтобы открыть панель Выбора параметров .
    2. Выберите Пользовательское соответствие, а затем выберите 8.
    3. На странице Параметры соответствия выберите переключатель Требовать пользовательское соответствие , чтобы изменить значение true.
    4. В поле Выберите сценарий обнаружения выберите Задать повторно используемые параметры, а затем укажите скрипт, который был ранее добавлен в центр администрирования Microsoft Intune. Этот скрипт должен быть отправлен, прежде чем вы начнете создавать политику.
    5. В поле Выберите файл правил щелкните значок папки, а затем найдите и добавьте JSON-файл для Linux, который вы хотите использовать с этой политикой. Сведения о помощи в использовании JSON см. в статье Создание JSON для пользовательских параметров соответствия требованиям.

    Вводимый JSON проверяется и отображаются все проблемы. После проверки содержимого JSON правила из JSON отображаются в табличном формате.

  7. На вкладке Действия при несоответствии укажите последовательность действий, автоматически применяемых к устройствам, которые не соответствуют этой политике соответствия требованиям.

    Можно добавить несколько действий и настроить расписания и сведения для некоторых действий. Например, можно изменить расписание действия по умолчанию Отметить устройство как несоответствующее политике, чтобы оно выполнялось через день. Затем можно добавить действие для отправки пользователю сообщения электронной почты с уведомлением о том, что устройство не соответствует требованиям. Вы также можете добавить действия, которые блокируют или снимают с учета устройства, которые остаются несоответствующими.

    Сведения о действиях, которые можно настроить, в том числе о создании уведомлений по электронной почте для отправки пользователям, см. в статье Автоматизация уведомлений и действий для несоответствующих устройств в Intune.

    Еще один пример — использование вкладки "Местоположения", на которой добавлено по крайней мере одно расположение для политики соответствия требованиям. В этом случае действие по умолчанию для несоответствия применяется только при выборе хотя бы одного расположения. Если устройство не подключено ни к одному из выбранных расположений, оно считается не соответствующим требованиям. При этом можно настроить расписание, чтобы предоставить пользователям льготный период, например один день.

  8. На вкладке Теги области выберите теги, чтобы упростить фильтрацию политик по конкретным группам, например US-NC IT Team или JohnGlenn_ITDepartment. После добавления параметров можно также добавить тег области к политикам соответствия требованиям.

    Сведения об использовании тегов области для фильтрации политик см. в этой статье.

  9. На вкладке Назначения назначьте политику группам.

Выберите + Выберите группы для включения, а затем назначьте политику одной или нескольким группам. Эта политика будет применена к данным группам при ее сохранении после следующего шага.

Политики для Linux не поддерживают назначения на основе пользователей и могут назначаться только группам устройств.

  1. На вкладке Проверка и создание просмотрите параметры, а затем выберите Создать, когда будете готовы сохранить политику соответствия требованиям.

    Пользователи или устройства, на которые распространяется ваша политика, оцениваются на соответствие требованиям при регистрации в Intune.

Обновление времени цикла

Intune использует разные циклы обновления для проверки наличия обновлений политик соответствия. Если устройство зарегистрировано недавно, проверка выполняется чаще. Циклы обновления политики и профиля содержат оценочное время обновления.

Пользователи могут в любое время открыть приложение Корпоративного портала и синхронизировать устройство, чтобы моментально проверить наличие обновлений политики.

Назначение состояния InGracePeriod

Состояние InGracePeriod для политики соответствия требованиям представляет собой значение. Оно определяется сочетанием льготного периода устройства и фактического состояния устройства для этой политики соответствия.

В частности, если устройство имеет состояние NonCompliant для назначенной политики соответствия требованиям и:

  • устройству не назначен льготный период, для политики соответствия требованиям задается значение NonCompliant;
  • устройство имеет льготный период, который истек, для политики соответствия требованиям задается значение NonCompliant;
  • устройство имеет льготный период, который находится в будущем, для политики соответствия требованиям задается значение InGracePeriod.

В таблице ниже приведена сводка по этим моментам.

Фактическое состояние соответствия Значение назначенного периода отсрочки Действующее состояние соответствия
NonCompliant Период отсрочки не назначен NonCompliant
NonCompliant Вчерашняя дата NonCompliant
NonCompliant Завтрашняя дата InGracePeriod

Дополнительные сведения об отслеживании политик соответствия устройств см. в статье Мониторинг политик соответствия устройств Intune.

Назначение итогового состояния для политики соответствия требованиям

Если устройство имеет несколько политик соответствия требованиям, по крайней мере две из которых имеют разные состояния соответствия, назначается одно итоговое состояние соответствия. Назначение производится на основе концептуального уровня серьезности, задаваемого для каждого состояния соответствия. Ниже указаны уровни серьезности для каждого состояния соответствия.

Состояние Серьезность
Unknown 1
NotApplicable 2
Соответствует 3
InGracePeriod 4
NonCompliant 5
Error 6

Если устройство имеет несколько политик соответствия, ему назначается наивысшая степень серьезности для всех политик.

Например, устройству назначено три политики соответствия требованиям: одна с состоянием Unknown (серьезность = 1), одна с состоянием Compliant (серьезность = 3) и одна с состоянием InGracePeriod (серьезность = 4). Состояние InGracePeriod имеет наивысший уровень серьезности. Таким образом все три политики имеют состояние соответствия InGracePeriod.

Дальнейшие действия

Мониторинг политик.