Создание политики соответствия требованиям в Microsoft Intune

Политики соответствия устройств требованиям — это главная особенность при использовании Intune для защиты ресурсов организации. В Intune можно создавать правила и параметры, чтобы устройство считалось соответствующим требованиям, например минимальная версия ОС. Если устройство не соответствует требованиям, вы можете заблокировать доступ к данным и ресурсам с помощью условного доступа.

Вы также можете принимать меры в случае несоответствия требованиям, например, отправлять пользователям уведомления по электронной почте. Обзор политик соответствия требованиям и способов их использования см. в статье Начало работы с политиками соответствия устройств в Intune.

В этой статье:

  • перечислены необходимые условия и действия для создания политики соответствия требованиям;
  • показано, как назначить политику группам пользователей и устройств;
  • описываются дополнительные функции, включая теги области для "фильтрации" политик, и действия, которые можно выполнить на устройствах, не соответствующих требованиям;
  • приводится время цикла обновления проверки, когда устройства получают обновления политики.

Прежде чем начать

Чтобы использовать политики соответствия устройств, выполните следующие действия.

  • Используйте следующие подписки:

    • Intune
    • Если вы используете условный доступ, потребуется выпуск Azure Active Directory (AD) Premium. На странице с ценами на Azure Active Directory описывается, что вы получаете в разных выпусках. Для соответствия Intune не требуется Azure AD.
  • Используйте поддерживаемую платформу:

    • Администратор устройств Android
    • Android AOSP
    • Android Enterprise
    • iOS
    • Linux — Ubuntu Desktop, версии 20.04 LTS и 22.04 LTS
    • macOS
    • Windows 10/11
  • Регистрация устройств в Intune (необходимо, чтобы увидеть состояние соответствия)

  • Зарегистрируйте устройства для одного пользователя или зарегистрируйтесь без основного пользователя. Одно устройство не может быть зарегистрировано для нескольких пользователей.

Помимо параметров соответствия, встроенных в Intune, следующие платформы поддерживают добавление настраиваемых параметров соответствия в политики соответствия требованиям:

  • Ubuntu Desktop, версии 20.04 LTS и 22.04 LTS
  • Windows 10/11

Перед добавлением настраиваемых параметров необходимо подготовить пользовательский JSON-файл, определяющий параметры, на основе которого необходимо создать пользовательское соответствие, и скрипт, который выполняется на устройствах для обнаружения параметров, определенных в JSON.

Дополнительные сведения об использовании настраиваемых параметров соответствия требованиям, включая поддерживаемые платформы, предварительные требования и настройку категории настраиваемого соответствия при создании политики, см. в статье Использование настраиваемых параметров соответствия требованиям.

Создание политики

  1. Войдите в Центр администрирования Microsoft Endpoint Manager.

  2. Выберите Устройства>Политики соответствия>Политики>Создать политику.

  3. Выберите для этой политики одно из следующих значений параметра Платформа:

    • Администратор устройств Android
    • Android (AOSP)
    • Android Enterprise
    • iOS/iPadOS
    • Linux — (Ubuntu Desktop, версии 20.04 LTS и 22.04 LTS)
    • macOS
    • Windows 8.1 и более поздние версии
    • Windows 10 и более поздние версии

    Для Android Enterprise также следует выбрать значение параметра Тип политики:

    • Полностью управляемая платформа
    • Выделенная
    • Корпоративный рабочий профиль
    • Личный рабочий профиль

    Затем выберите Создать, чтобы открыть окно конфигурации Создание политики.

  4. На вкладке Основные в поле Имя введите такое имя, по которому в дальнейшем ее можно будет легко определить. Например, хорошее имя политики — Пометить устройства iOS/iPadOS со снятой защитой как несоответствующие требованиям.

    При необходимости также можно заполнить поле Описание.

  5. На вкладке Параметры соответствия разверните доступные категории и настройте параметры политики. В следующих статьях описаны доступные параметры соответствия для каждой платформы.

    Для Linux тип профиля использует параметры из каталога параметров. Разверните каждую доступную категорию и выберите параметры, которые нужно включить в политику. Ниже приведены примеры категорий параметров Linux:

    • Допустимые дистрибутивы
    • Настраиваемое соответствие
    • Шифрование устройства
    • Политика паролей

    Выделенное содержимое для параметров в каталоге параметров недоступно.

  6. Добавьте пользовательские параметры в политики для поддерживаемых платформ.

    Совет

    Это необязательный шаг, который поддерживается только для следующих платформ:

    • Linux — Ubuntu Desktop, версии 20.04 LTS и 22.04 LTS
    • Windows 10/11. Прежде чем добавлять настраиваемые параметры в политику, необходимо отправить сценарий обнаружения в Intune и подготовить ФАЙЛ JSON, определяющий параметры, которые необходимо использовать для соответствия требованиям. См . раздел Настраиваемые параметры соответствия требованиям.

    На странице Параметры соответствия разверните категорию Пользовательское соответствие :

    Для Windows:

    1. На странице Параметры соответствия разверните узел Пользовательское соответствие и установите для параметра Пользовательское соответствие значение Требовать.
    2. В поле Выберите сценарий обнаружения выберите Щелкните, чтобы выбрать, а затем укажите скрипт, который ранее был добавлен в центр администрирования Майкрософт Endpoint Manager. Этот скрипт должен быть отправлен, прежде чем вы начнете создавать политику.
    3. В поле Отправить и проверить JSON-файл с настраиваемыми параметрами соответствия щелкните значок папки, а затем найдите и добавьте JSON-файл для Windows, который вы хотите использовать с этой политикой. Сведения о помощи в использовании JSON см. в статье Создание JSON для пользовательских параметров соответствия требованиям.

    Для Linux:

    1. На странице Параметры соответствия выберите Добавить параметры , чтобы открыть панель Выбора параметров .
    2. Выберите Пользовательское соответствие, а затем выберите 8.
    3. На странице Параметры соответствия выберите переключатель Требовать пользовательское соответствие , чтобы изменить значение true.
    4. В поле Выберите сценарий обнаружения выберите Задать параметры повторного использования, а затем укажите скрипт, который ранее был добавлен в центр администрирования Майкрософт Endpoint Manager. Этот скрипт должен быть отправлен, прежде чем вы начнете создавать политику.
    5. В поле Выберите файл правил щелкните значок папки, а затем найдите и добавьте JSON-файл для Linux, который вы хотите использовать с этой политикой. Сведения о помощи в использовании JSON см. в статье Создание JSON для пользовательских параметров соответствия требованиям.

    Вводимый JSON проверяется и отображаются все проблемы. После проверки содержимого JSON правила из JSON отображаются в табличном формате.

  7. На вкладке Действия при несоответствии укажите последовательность действий, автоматически применяемых к устройствам, которые не соответствуют этой политике соответствия требованиям.

    При этом можно добавить несколько действий, а также задать для некоторых из них расписания и дополнительные сведения. Например, можно изменить расписание действия по умолчанию Отметить устройство как несоответствующее политике, чтобы оно выполнялось через день. Затем можно добавить действие для отправки пользователю сообщения электронной почты с уведомлением о том, что устройство не соответствует требованиям. Вы также можете добавить действия, которые блокируют или снимают с учета устройства, которые остаются несоответствующими.

    Сведения о действиях, которые можно настроить, в том числе о создании уведомлений по электронной почте для отправки пользователям, см. в статье Автоматизация уведомлений и действий для несоответствующих устройств в Intune.

    Еще один пример — использование вкладки "Местоположения", на которой добавлено по крайней мере одно расположение для политики соответствия требованиям. В этом случае действие по умолчанию для несоответствия применяется только при выборе хотя бы одного расположения. Если устройство не подключено ни к одному из выбранных расположений, оно считается не соответствующим требованиям. При этом можно настроить расписание, чтобы предоставить пользователям льготный период, например один день.

  8. На вкладке Теги области выберите теги, чтобы упростить фильтрацию политик по конкретным группам, например US-NC IT Team или JohnGlenn_ITDepartment. После добавления параметров можно также добавить тег области к политикам соответствия требованиям.

    Сведения об использовании тегов области для фильтрации политик см. в этой статье.

  9. На вкладке Назначения назначьте политику группам.

    Выберите + Выберите группы для включения, а затем назначьте политику одной или нескольким группам. Эта политика будет применена к данным группам при ее сохранении после следующего шага.

    Политики для Linux не поддерживают назначения на основе пользователей и могут назначаться только группам устройств.

  10. На вкладке Проверка и создание просмотрите параметры, а затем выберите Создать, когда будете готовы сохранить политику соответствия требованиям.

    Пользователи или устройства, на которые распространяется ваша политика, оцениваются на соответствие требованиям при регистрации в Intune.

Обновление времени цикла

Intune использует разные циклы обновления для проверки наличия обновлений политик соответствия. Если устройство зарегистрировано недавно, проверка выполняется чаще. Циклы обновления политики и профиля содержат оценочное время обновления.

Пользователи могут в любое время открыть приложение Корпоративного портала и синхронизировать устройство, чтобы моментально проверить наличие обновлений политики.

Назначение состояния InGracePeriod

Состояние InGracePeriod для политики соответствия требованиям представляет собой значение. Оно определяется сочетанием льготного периода устройства и фактического состояния устройства для этой политики соответствия.

В частности, если устройство имеет состояние NonCompliant для назначенной политики соответствия требованиям и:

  • устройству не назначен льготный период, для политики соответствия требованиям задается значение NonCompliant;
  • устройство имеет льготный период, который истек, для политики соответствия требованиям задается значение NonCompliant;
  • устройство имеет льготный период, который находится в будущем, для политики соответствия требованиям задается значение InGracePeriod.

В таблице ниже приведена сводка по этим моментам.

Фактическое состояние соответствия Значение назначенного периода отсрочки Действующее состояние соответствия
NonCompliant Период отсрочки не назначен NonCompliant
NonCompliant Вчерашняя дата NonCompliant
NonCompliant Завтрашняя дата InGracePeriod

Дополнительные сведения об отслеживании политик соответствия устройств см. в статье Мониторинг политик соответствия устройств Intune.

Назначение итогового состояния для политики соответствия требованиям

Если устройство имеет несколько политик соответствия требованиям, по крайней мере две из которых имеют разные состояния соответствия, назначается одно итоговое состояние соответствия. Назначение производится на основе концептуального уровня серьезности, задаваемого для каждого состояния соответствия. Ниже указаны уровни серьезности для каждого состояния соответствия.

Состояние Серьезность
Unknown 1
NotApplicable 2
Соответствует 3
InGracePeriod 4
NonCompliant 5
Error 6

Если устройство имеет несколько политик соответствия, ему назначается наивысшая степень серьезности для всех политик.

Например, устройству назначено три политики соответствия требованиям: одна с состоянием Unknown (серьезность = 1), одна с состоянием Compliant (серьезность = 3) и одна с состоянием InGracePeriod (серьезность = 4). Состояние InGracePeriod имеет наивысший уровень серьезности. Таким образом все три политики имеют состояние соответствия InGracePeriod.

Дальнейшие действия

Мониторинг политик.