Поделиться через


Параметры соответствия устройств для Windows 10/11 в Intune

В этой статье перечислены и описаны различные параметры соответствия требованиям, которые можно настроить на устройствах Windows в Intune. В рамках решения для управления мобильными устройствами (MDM) используйте эти параметры, чтобы требовать BitLocker, устанавливать минимальную и максимальную операционную систему, устанавливать уровень риска с помощью Microsoft Defender для конечной точки и многое другое.

Данная функция применяется к:

  • Windows 10/11
  • Windows Holographic for Business
  • Surface Hub

Как администратор Intune используйте эти параметры соответствия для защиты ресурсов организации. Дополнительные сведения о политиках соответствия требованиям и их действиях см. в статье Начало работы с соответствием устройств.

Подготовка к работе

Создайте политику соответствия требованиям. В поле Платформа выберите Windows 10 и более поздние версии.

Работоспособность устройства

Чтобы обеспечить загрузку устройств в доверенное состояние, Intune использует службы аттестации устройств Майкрософт. Устройства в коммерческих службах Intune, службах GCC High для государственных организаций США и DoD под управлением Windows 10 используют службу аттестации работоспособности устройств (DHA).

Дополнительные сведения см. в разделе:

Правила оценки службы аттестации работоспособности Windows

  • Требовать BitLocker:
    Шифрование диска Windows BitLocker шифрует все данные, хранящиеся на томе операционной системы Windows. BitLocker использует доверенный платформенный модуль (TPM) для защиты операционной системы Windows и данных пользователей. Это также помогает подтвердить, что компьютер не был изменен, даже если его оставили без присмотра, потеряли или украли. Если компьютер оснащен совместимым TPM, BitLocker использует TPM для блокировки ключей шифрования, которые защищают данные. В результате доступ к ключам не будет осуществляться до тех пор, пока доверенный платформенный модуль не проверит состояние компьютера.

    • Не настроено (по умолчанию) — этот параметр не оценивается на соответствие или несоответствие.
    • Требовать . Устройство может защитить данные, хранящиеся на диске, от несанкционированного доступа, когда система отключена или в режиме гибернации.

    Служба CSP работоспособности устройства — BitLockerStatus

    Примечание.

    При использовании политики соответствия устройств в Intune имейте в виду, что состояние этого параметра измеряется только во время загрузки. Таким образом, даже несмотря на то, что шифрование BitLocker могло быть завершено, потребуется перезагрузка, чтобы устройство обнаружило это и стало совместимым. Дополнительные сведения см. в следующем блоге службы поддержки Майкрософт по аттестации работоспособности устройств.

  • Требовать включения безопасной загрузки на устройстве:

    • Не настроено (по умолчанию) — этот параметр не оценивается на соответствие или несоответствие.
    • Требовать — система принудительно загружается в доверенное состояние фабрики. Основные компоненты, используемые для загрузки компьютера, должны иметь правильные криптографические сигнатуры, доверенные организацией, изготовляющей устройство. Встроенное ПО UEFI проверяет сигнатуру перед запуском компьютера. Если какие-либо файлы были изменены, что нарушает их сигнатуру, система не загружается.

    Примечание.

    Параметр Требовать безопасную загрузку на устройстве поддерживается на некоторых устройствах TPM 1.2 и 2.0. Для устройств, которые не поддерживают TPM 2.0 или более поздней версии, состояние политики в Intune отображается как Не соответствует. Дополнительные сведения о поддерживаемых версиях см. в статье Аттестация работоспособности устройств.

  • Требовать целостность кода:
    Целостность кода — это функция, которая проверяет целостность драйвера или системного файла при каждой загрузке в память.

    • Не настроено (по умолчанию) — этот параметр не оценивается на соответствие или несоответствие.
    • Требовать — требуется целостность кода, которая определяет, загружается ли неподписанный драйвер или системный файл в ядро. Он также определяет, был ли системный файл изменен вредоносным программным обеспечением или запущен учетной записью пользователя с правами администратора.

Дополнительные сведения см. в разделе:

Свойства устройства

Версия операционной системы

Сведения о версиях сборки для всех обновлений компонентов Windows 10/11 и накопительных обновлений (которые будут использоваться в некоторых полях ниже) см. в статье Сведения о выпуске Windows. Обязательно включите соответствующий префикс версии перед номерами сборки, например 10.0 для Windows 10, как показано в следующих примерах.

  • Минимальная версия ОС:
    Введите минимальную допустимую версию в формате номера major.minor.build.revision . Чтобы получить правильное значение, откройте командную строку и введите ver. Команда ver возвращает версию в следующем формате:

    Microsoft Windows [Version 10.0.17134.1]

    Если устройство имеет более раннюю версию, чем введенная версия ОС, оно сообщается как несоответствующее. Отображается ссылка со сведениями о том, как выполнить обновление. Пользователь может обновить свое устройство. После обновления они могут получить доступ к ресурсам компании.

  • Максимальная версия ОС:
    Введите максимально допустимую версию в формате номера major.minor.build.revision . Чтобы получить правильное значение, откройте командную строку и введите ver. Команда ver возвращает версию в следующем формате:

    Microsoft Windows [Version 10.0.17134.1]

    Если устройство использует версию ОС более поздней, чем указанная, доступ к ресурсам организации блокируется. Пользователю предлагается связаться со своим ИТ-администратором. Устройство не сможет получить доступ к ресурсам организации, пока правило не будет изменено, чтобы разрешить версию ОС.

  • Минимальная ОС, необходимая для мобильных устройств:
    Введите минимальную допустимую версию в формате номера major.minor.build.

    Если устройство имеет более раннюю версию, которую вы вводите, оно сообщается как несоответствующее. Отображается ссылка со сведениями о том, как выполнить обновление. Пользователь может обновить свое устройство. После обновления они могут получить доступ к ресурсам компании.

  • Максимальное количество ОС, необходимое для мобильных устройств:
    Введите максимально допустимую версию в номере major.minor.build.

    Если устройство использует версию ОС более поздней, чем указанная, доступ к ресурсам организации блокируется. Пользователю предлагается связаться со своим ИТ-администратором. Устройство не сможет получить доступ к ресурсам организации, пока правило не будет изменено, чтобы разрешить версию ОС.

  • Допустимые сборки операционной системы:
    Укажите список минимальных и максимальных сборок операционной системы. Допустимые сборки операционной системы обеспечивают дополнительную гибкость при сравнении с минимальной и максимальной версиями ОС. Рассмотрим сценарий, в котором минимальная версия ОС имеет значение 10.0.18362.xxx (Windows 10 1903), а максимальная версия ОС — 10.0.18363.xxx (Windows 10 1909). Эта конфигурация позволяет определить устройство с Windows 10 1903, на котором не установлены последние накопительные обновления. Минимальная и максимальная версии ОС могут подойти, если вы стандартизированы в одном выпуске Windows 10, но могут не соответствовать вашим требованиям, если вам нужно использовать несколько сборок с определенными уровнями исправлений. В таком случае рассмотрите возможность использования допустимых сборок операционной системы, что позволяет указать несколько сборок, как показано в следующем примере.

    Наибольшее поддерживаемое значение для каждого из полей версии, основного, дополнительного и сборки — 65535. Например, наибольшее значение, которое можно ввести, — 65535.65535.65535.65535.

    Пример.
    В следующей таблице приведен пример диапазона допустимых версий операционных систем для различных выпусков Windows 10. В этом примере разрешены три разных обновления компонентов (1809, 1909 и 2004). В частности, только те версии Windows, которые применяли накопительные обновления с июня по сентябрь 2020 г., будут считаться соответствующими. Это только пример данных. Таблица содержит первый столбец, содержащий любой текст, который требуется описать запись, а затем минимальную и максимальную версию ОС для этой записи. Второй и третий столбцы должны соответствовать допустимым версиям сборки ОС в формате номера major.minor.build.revision . После определения одной или нескольких записей список можно экспортировать в виде файла с разделившимися запятыми (CSV).

    Описание Минимальная версия ОС Максимальная версия ОС
    Победа 10 2004 (июнь-сентябрь 2020) 10.0.19041.329 10.0.19041.508
    Победа 10 1909 (июнь-сентябрь 2020) 10.0.18363.900 10.0.18363.1110
    Победа 10 1809 (июнь-сентябрь 2020) 10.0.17763.1282 10.0.17763.1490

    Примечание.

    Если в политике указано несколько диапазонов сборок версий ОС и устройство имеет сборку за пределами соответствующих диапазонов, корпоративный портал уведомит пользователя устройства о том, что устройство не соответствует этому параметру. Однако следует помнить, что из-за технических ограничений в сообщении об исправлении соответствия отображается только первый диапазон версий ОС, указанный в политике. Рекомендуется документировать допустимые диапазоны версий ОС для управляемых устройств в вашей организации.

Соответствие Configuration Manager

Применяется только к совместно управляемым устройствам под управлением Windows 10/11. Устройства, доступные только в Intune, возвращают состояние недоступности.

  • Требовать соответствие устройств в Configuration Manager:
    • Не настроено (по умолчанию) — Intune не проверяет наличие параметров Configuration Manager на соответствие.
    • Требовать . Требуется, чтобы все параметры (элементы конфигурации) в Configuration Manager соответствовали требованиям.

Безопасность системы

Пароль

  • Требовать пароль для разблокировки мобильных устройств:

    • Не настроено (по умолчанию) — этот параметр не оценивается на соответствие или несоответствие.
    • Требовать — пользователи должны ввести пароль, прежде чем получить доступ к устройству.
  • Простые пароли:

    • Не настроено (по умолчанию) — пользователи могут создавать простые пароли, например 1234 или 1111.
    • Блокировать . Пользователи не могут создавать простые пароли, например 1234 или 1111.
  • Тип пароля:
    Выберите необходимый тип пароля или ПИН-кода. Доступны следующие параметры:

    • Устройство по умолчанию (по умолчанию) — требуется пароль, числовой ПИН-код или буквенно-цифровой ПИН-код.
    • Numeric — требуется пароль или числовой ПИН-код.
    • Буквенно-цифровой — требуется пароль или буквенно-цифровой ПИН-код.

    Если задано значение Буквенно-цифровой, доступны следующие параметры:

    • Сложность пароля:
      Доступны следующие параметры:

      • Требовать цифры и строчные буквы (по умолчанию)
      • Требуются цифры, строчные буквы и прописные буквы
      • Требуются цифры, строчные буквы, прописные буквы и специальные символы

      Совет

      Политики буквенно-цифровых паролей могут быть сложными. Мы рекомендуем администраторам ознакомиться с поставщиками служб конфигурации для получения дополнительных сведений:

  • Минимальная длина пароля:
    Введите минимальное число цифр или символов, которое должно быть в пароле.

  • Максимальное количество минут бездействия до того, как потребуется пароль:
    Введите время простоя, прежде чем пользователь должен повторно ввести пароль.

  • Срок действия пароля (в днях):
    Введите число дней до истечения срока действия пароля, и они должны создать новый с 1 до 730.

  • Количество предыдущих паролей для предотвращения повторного использования:
    Введите количество ранее использованных паролей, которые нельзя использовать.

  • Требовать пароль, если устройство возвращается из состояния простоя (Мобильные устройства и Голографические):

    • Не настроено (по умолчанию)
    • Требовать — требовать от пользователей устройств вводить пароль каждый раз, когда устройство возвращается из состояния простоя.

    Важно!

    При изменении требования к паролю на рабочем столе Windows пользователи будут затронуты при следующем входе, так как это происходит, когда устройство переходит из простоя в активное. Пользователям с паролями, которые соответствуют требованию, по-прежнему предлагается изменить свои пароли.

Шифрование

  • Шифрование хранилища данных на устройстве:
    Этот параметр применяется ко всем дискам на устройстве.

    • Не настроено (по умолчанию)
    • Требовать — используйте параметр Require для шифрования хранилища данных на устройствах.

    DeviceStatus CSP — DeviceStatus/Compliance/EncryptionCompliance

    Примечание.

    Параметр Шифрование хранилища данных на устройстве обычно проверяет наличие шифрования на устройстве, в частности на уровне диска ОС. В настоящее время Intune поддерживает только проверку шифрования с помощью BitLocker. Для более надежного параметра шифрования рекомендуется использовать Параметр Требовать BitLocker, который использует аттестацию работоспособности устройств Windows для проверки состояния BitLocker на уровне доверенного платформенного модуля. Однако при использовании этого параметра имейте в виду, что может потребоваться перезагрузка, прежде чем устройство будет отображаться как соответствующее.

Безопасность устройства

  • Брандмауэр:

    • Не настроено (по умолчанию) — Intune не управляет брандмауэром Windows и не изменяет существующие параметры.
    • Требовать — включите брандмауэр Windows и запретите пользователям выключать его.

    CSP Firewall

    Примечание.

    • Если устройство немедленно синхронизируется после перезагрузки или сразу же синхронизируется из спящего режима, этот параметр может сообщить об ошибке. Этот сценарий может не повлиять на общее состояние соответствия устройств. Чтобы повторно оценить состояние соответствия требованиям, синхронизируйте устройство вручную.

    • Если конфигурация применяется (например, с помощью групповой политики) к устройству, которое настраивает брандмауэр Windows на разрешение всего входящего трафика или отключает брандмауэр, при установке параметра Брандмауэр значение Требовать возвращается значение Не соответствует требованиям, даже если политика конфигурации устройств Intune включает брандмауэр. Это связано с тем, что объект групповой политики переопределяет политику Intune. Чтобы устранить эту проблему, рекомендуется удалить все конфликтующие параметры групповой политики или перенести параметры групповой политики, связанные с брандмауэром, в политику конфигурации устройств Intune. Как правило, рекомендуется сохранить параметры по умолчанию, включая блокировку входящих подключений. Дополнительные сведения см. в статье Рекомендации по настройке брандмауэра Windows.

  • Доверенный платформенный модуль (TPM):

    • Не настроено (по умолчанию) — Intune не проверяет устройство на наличие версии микросхемы доверенного платформенного модуля.
    • Требовать . Intune проверяет версию микросхемы доверенного платформенного модуля на соответствие требованиям. Устройство соответствует требованиям, если версия микросхемы доверенного платформенного модуля больше 0 (ноль). Устройство не соответствует требованиям, если на нем нет версии доверенного платформенного модуля.

    DeviceStatus CSP — DeviceStatus/TPM/SpecificationVersion

  • Антивирусная программа:

    • Не настроено (по умолчанию) — Intune не проверяет наличие установленных на устройстве антивирусных решений.
    • Требовать . Проверьте соответствие с помощью антивирусных решений, зарегистрированных в Центре безопасности Windows, таких как Symantec и Microsoft Defender. Если задано значение Требовать, устройство с отключенным или устаревшим антивирусным программным обеспечением не соответствует требованиям.

    DeviceStatus CSP — DeviceStatus/Antivirus/Status

  • Антишпионское ПО:

    • Не настроено (по умолчанию) — Intune не проверяет наличие установленных на устройстве антишпионских решений.
    • Требовать . Проверьте соответствие требованиям с помощью антишпионских решений, зарегистрированных в Центре безопасности Windows, таких как Symantec и Microsoft Defender. Если задано значение Требовать, устройство с отключенным или устаревшим программным обеспечением для защиты от вредоносных программ не соответствует требованиям.

    DeviceStatus CSP — DeviceStatus/Antispyware/Status

Defender

Следующие параметры соответствия поддерживаются в Windows 10/11 Desktop.

  • Антивредоносное ПО в Microsoft Defender:

    • Не настроено (по умолчанию) — Intune не управляет службой и не изменяет существующие параметры.
    • Требовать . Включите службу защиты от вредоносных программ в Microsoft Defender и запретите пользователям отключать ее.
  • Минимальная версия антивредоносного ПО в Microsoft Defender:
    Введите минимальную допустимую версию службы защиты от вредоносных программ в Microsoft Defender. Например, введите 4.11.0.0. Если оставить пустым, можно использовать любую версию службы защиты от вредоносных программ в Microsoft Defender.

    По умолчанию версия не настроена.

  • Аналитика защиты от вредоносных программ в Microsoft Defender обновлена:
    Управляет обновлениями для защиты от угроз и вирусов системы безопасности Windows на устройствах.

    • Не настроено (по умолчанию) — Intune не применяет никаких требований.
    • Требовать — заставить аналитику безопасности Microsoft Defender быть актуальной.

    Поставщик служб CSP Defender — поставщик служб CSP Defender/Health/SignatureOutOfDate

    Дополнительные сведения см. в статье Обновления аналитики безопасности для антивирусной программы Microsoft Defender и других антивредоносных программ Майкрософт.

  • Защита в режиме реального времени:

    • Не настроено (по умолчанию) — Intune не управляет этой функцией и не изменяет существующие параметры.
    • Требовать . Включите защиту в режиме реального времени, которая проверяет наличие вредоносных программ, шпионских программ и других нежелательных программ.

    Поставщик служб CSP политики — поставщик CSP Defender/AllowRealtimeMonitoring

Microsoft Defender для конечной точки

Правила Microsoft Defender для конечной точки

Дополнительные сведения об интеграции Microsoft Defender для конечной точки в сценариях условного доступа см. в статье Настройка условного доступа в Microsoft Defender для конечной точки.

  • Требовать, чтобы устройство было на уровне или под оценкой риска компьютера:
    Используйте этот параметр, чтобы принять оценку риска из служб защиты от угроз в качестве условия для соответствия требованиям. Выберите максимальный допустимый уровень угрозы:

    • Не настроено (по умолчанию)
    • Clear — этот параметр является наиболее безопасным, так как устройство не может иметь никаких угроз. Если обнаружено, что устройство имеет какой-либо уровень угроз, оно оценивается как несоответствующее.
    • Низкий — устройство оценивается как совместимое, если присутствуют только угрозы низкого уровня. Все, что выше, переводит устройство в состояние несоответствия.
    • Средний — устройство оценивается как соответствующее, если существующие угрозы на устройстве имеют низкий или средний уровень. Если обнаружено, что устройство имеет угрозы высокого уровня, оно будет считаться несовместимым.
    • Высокий — этот параметр является наименее безопасным и допускает все уровни угроз. Это может оказаться полезным, если вы используете это решение только для создания отчетов.

    Сведения о настройке Microsoft Defender для конечной точки в качестве службы защиты от угроз см. в статье Включение Microsoft Defender для конечной точки с условным доступом.

Windows Holographic for Business

Windows Holographic for Business использует платформу Windows 10 и более поздних версий . Windows Holographic for Business поддерживает следующие параметры:

  • Безопасность> системыШифрование>Шифрование хранилища данных на устройстве.

Сведения о том, как проверить шифрование устройства в Microsoft HoloLens, см. в статье Проверка шифрования устройства.

Surface Hub

Surface Hub использует платформу Windows 10 и более поздних версий . Surface Hub поддерживаются как для соответствия требованиям, так и для условного доступа. Чтобы включить эти функции в Surface Hubs, рекомендуется включить автоматическую регистрацию Windows в Intune (требуется идентификатор Microsoft Entra) и выбрать устройства Surface Hub как группы устройств. Для обеспечения соответствия требованиям и условного доступа к устройствам Surface Hub требуется присоединение к Microsoft Entra.

Инструкции см. в статье Настройка регистрации для устройств Windows.

Особое внимание следует учитывать для Surface Hub под управлением Windows 10/11 Team OS:
В настоящее время Surface Hub под управлением Ос Windows 10/11 Team не поддерживают политики соответствия требованиям Microsoft Defender для конечной точки и пароля. Таким образом, для Surface Hub под управлением Windows 10/11 Team OS задайте для следующих двух параметров значение по умолчанию Не настроено:

  • В категории Пароль установите для параметра Требовать пароль для разблокировки мобильных устройств значение по умолчанию Не настроено.

  • В категории Microsoft Defender для конечной точки установите для параметра Требовать, чтобы устройство было на уровне или под оценкой риска компьютера значение по умолчанию Не настроено.

Дальнейшие действия