Использование политик соответствия, позволяющих установить правила для устройств, управляемых с помощью Intune
Решения в управлении мобильными устройствами (MDM), такие как Intune, помогают защитить данные организации, запрашивая пользователей и устройства в соответствии с некоторыми требованиями. В Intune эта функция называется политики соответствия.
Политики соответствия в Intune.
- Определяют правила и параметры, которым должны отвечать пользователи и устройства, чтобы считаться соответствующими.
- Включают действия, применяемые к устройствам, которые считаются несоответствующими. Действия при несоответствии могут оповещать пользователей об условиях несоответствия и защите данных на несоответствующих устройствах.
- Могут сочетаться с условным доступом, который может блокировать пользователей и устройства, не соответствующих правилам.
- Может переопределить конфигурацию параметров, которыми вы также управляете с помощью политик конфигурации устройств. Дополнительные сведения об устранении конфликтов для политик см. в статье Политики соответствия требованиям и конфигурации устройств, которые конфликтуют.
В Intune есть две части политик соответствия:
Параметры политики соответствия — параметры на уровне клиента, которые аналогичны встроенной политике соответствия, получаемой каждым устройством. Параметры политики соответствия определяют базовый уровень работы политики соответствия в среде Intune, включая сведения о том, являются ли устройства, которые не получили никаких политик соответствия устройств, соответствующими или несоответствующими.
Политика соответствия устройств — правила для конкретной платформы, которые настраиваются и развертываются в группах пользователей или устройств. Эти правила определяют требования к устройствам, например к минимальным операционным системам или использованию шифрования дисков. Устройства должны соответствовать этим правилам, чтобы считаться соответствующими.
Как и другие политики Intune, оценки политики соответствия устройства зависят от того, когда оно выполняет проверки в Intune, а также от циклов обновления политики и профиля.
Параметры политики соответствия требованиям
Параметры политики соответствия являются параметрами на уровне клиента, которые определяют, как служба соответствия Intune взаимодействует с вашими устройствами. Эти параметры отличаются от параметров, настраиваемых в политике соответствия устройств.
Чтобы управлять параметрами политики соответствия требованиям, войдите в центр администрирования Microsoft Intune и перейдите в раздел Параметры политикисоответствия требованиям> кконечным точкам>.
Параметры политики соответствия включают следующие параметры.
Отметка устройств без назначенной политики соответствия.
Этот параметр определяет, как Intune обрабатывает устройства, которым не назначена политика соответствия устройств. У этого параметра два значения:
- Совместимое (по умолчанию): эта функция безопасности отключена. Устройства, которым не отправляется политика соответствия требованиям, считаются соответствующими.
- Не соответствует требованиям: эта функция безопасности включена. Устройства, которые не получили политику соответствия требованиям, считаются не соответствующими требованиям.
Если вы используете условный доступ с политиками соответствия устройств, измените этот параметр на Не соответствует , чтобы только устройства, которые подтверждены как соответствующие, могли получить доступ к вашим ресурсам.
Если пользователь не соответствует требованиям, потому что ему не назначена политика, в приложении корпоративного портала будет отображаться "Политики соответствия не назначены".
Период действия состояния соответствия требованиям (в днях)
Укажите период, в котором устройства должны успешно сообщать о всех полученных политиках соответствия. Если устройству не удается сообщить в состоянии соответствия политике до истечения срока действия, оно считается несоответствующим.
По умолчанию этот период составляет 30 дней. Можно настроить период от 1 до 120 дней.
Вы можете просмотреть сведения о соответствии устройств параметру срока действия. Войдите в центр администрирования Microsoft Intune и перейдите в разделМониторинг>устройств>Параметры соответствия. Этот параметр называется Активный в столбце Настройка. Дополнительные сведения об этом и связанных с ним представлениях состояния соответствия см. в разделе Мониторинг соответствия устройств.
Политики соответствия требованиям для устройств
Политики соответствия устройств Intune:
- Определяют правила и параметры, которым должны отвечать пользователи и управляемые устройства, чтобы считаться соответствующими. Примеры правил включают требования для устройств запускать минимальную версию ОС, не со снятой защитой или не имеющую доступа к корню, а также уровня угроз в соответствии с программным обеспечением для управления угрозами, интегрированным с Intune.
- Поддерживают действия, которые применяются к устройствам, не отвечающим правилам соответствия. Примеры действий включают удаленную блокировку или отправку пользователю сообщения электронной почты о состоянии устройства, чтобы они могли его исправить.
- Поддерживают развертывание для пользователей в группах пользователей или для устройств в группах устройств. При развертывании политики соответствия для пользователя все его устройства проверяются на соответствие. Группы устройств в таких ситуациях помогают создавать отчеты о соответствии.
При использовании условного доступа политики условного доступа могут использовать результаты соответствия устройств для блокировки доступа к ресурсам с несоответствующих устройств.
Доступные параметры, которые можно указать в политике соответствия устройств, зависят от типа платформы, выбранной при создании политики. Различные платформы устройств поддерживают разные параметры, и для каждого типа платформы требуется отдельная политика.
Следующие темы содержат ссылки на выделенные статьи для различных аспектов политики конфигурации устройств.
Действия при несоответствии — каждая политика соответствия устройств включает одно или несколько действий при несоответствии. Эти действия являются правилами, которые применяются к устройствам, не соответствующим условиям, заданным в политике.
По умолчанию каждая политика соответствия устройств включает действие, которое помечает устройство как несоответствующее, если оно не соответствует правилу политики. Затем политика применяет к устройству любые дополнительные действия при несоответствии, настроенные на основе расписаний, заданных для этих действий.
Действия при несоответствии могут предупреждать пользователей о том, что их устройство не соответствует требованиям, или защищать данные, которые могут на нем храниться. Ниже приведены примеры действий.
- Отправка оповещений по электронной почте пользователям и группам с подробными сведениями о несоответствующем устройстве. Вы можете настроить политику для немедленной отправки сообщения с отметкой о несоответствии, а затем снова для периодической отправки до тех пор, пока устройство не станет соответствующим.
- Удаленная блокировка устройств, которые считались несоответствующими в течение некоторого времени.
- Прекращение использования устройств после несоответствия в течение определенного времени. Это действие помечает устройство как готовое к прекращению использования. Затем администратор может просмотреть список устройств, помеченных для прекращения использования. Администратор должен выполнить действие явным образом, чтобы прекратить использование одного или нескольких устройств. При прекращении использования устройство удаляется из управления Intune, а с устройства удаляются все данные компании. Дополнительные сведения об этом действии см. в статье Доступные действия для несоответствия.
Создание политики — сведения, приведенные в этой статье, позволяют просмотреть предварительные требования, работать с параметрами для настройки правил, указывать действия при несоответствии и назначать политику группам. Кроме того, статья содержит сведения о времени обновления политики.
Просмотрите параметры соответствия для различных платформ устройств:
- Администратор устройств Android
- Android Enterprise
- Android Open Source Project (AOSP)
- iOS
- Linux
- macOS
- Windows Holographic for Business
- Windows 8.1 и более поздних версий
Важно!
22 октября 2022 г. Microsoft Intune прекращена поддержка устройств под управлением Windows 8.1. Техническая помощь и автоматические обновления на этих устройствах недоступны.
Если в настоящее время вы используете Windows 8.1, рекомендуется перейти на устройства Windows 10/11. Microsoft Intune имеет встроенные функции безопасности и устройств, которые управляют клиентскими устройствами Windows 10/11.
- Windows 10/11
Настраиваемые параметры соответствия требованиям . С помощью настраиваемых параметров соответствия можно расширить встроенные параметры соответствия устройств Intune. Пользовательские параметры обеспечивают гибкость для обеспечения соответствия параметрам, доступным на устройстве, не дожидаясь добавления этих параметров в Intune.
Пользовательские параметры соответствия можно использовать на следующих платформах:
- Linux — Ubuntu Desktop версии 20.04 LTS и 22.04 LTS
- Windows 10/11
Мониторинг состояния соответствия
Intune включает панель мониторинга соответствия устройств, которая используется для мониторинга состояния соответствия устройств, а также для детализации политик и устройств, позволяющей получить дополнительные сведения. Дополнительные сведения о панели мониторинга см. в разделе Мониторинг соответствия устройств.
Интеграция с условным доступом
При использовании условного доступа можно настроить политики условного доступа для использования результатов политик соответствия устройств, чтобы определить, какие устройства могут получать доступ к ресурсам организации. Этот контроль доступа является отдельным дополнением к действиям при несоответствии, включенным в политики соответствия устройств.
Когда устройство регистрируется в Intune, оно регистрируется в Microsoft Entra id. Состояние соответствия устройств сообщается Microsoft Entra идентификатору. Если в ваших политиках условного доступа для элементов управления доступом задано значение Требовать, чтобы устройство было отмечено как соответствующее, условный доступ использует это состояние соответствия, чтобы определить, следует ли предоставлять или блокировать доступ к электронной почте и другим ресурсам организации.
Если вы будете использовать состояние соответствия устройств с политиками условного доступа, проверьте способ настройки вашего клиента Отметка устройств без назначенной политики соответствия, которым вы управляете в разделе Параметры политики соответствия.
Дополнительные сведения об использовании условного доступа с политиками соответствия устройств см. в разделе Условный доступ на основе устройств
Дополнительные сведения об условном доступе см. в документации по Microsoft Entra:
Ссылка на несоответствие требованиям и условный доступ на разных платформах
В приведенной ниже таблице показано, как осуществляется управление несоответствующими параметрами при использовании политики соответствия требованиям вместе с политикой условного доступа.
Исправлено: операционная система устройства обеспечивает соответствие. Например, пользователю приходится установить ПИН-код.
Карантин: операционная система устройства не обеспечивает соответствие. Например, устройства с Android и Android Enterprise не вынуждают пользователя зашифровывать устройство. Если устройство не соответствует требованиям, выполняются следующие действия:
- Если к пользователю применяется политика условного доступа, устройство блокируется.
- Приложение "Корпоративный портал" уведомляет пользователя о проблемах соответствия.
| Параметр политики | Платформа |
|---|---|
| Разрешенные дистрибутивы | Только linux(только) — помещено в карантин |
| Шифрование устройства | - Android 4.0 и более поздние версии: карантин - Samsung Knox Standard 4.0 и более поздние версии: карантин - Android Enterprise: карантин - iOS 8.0 и более поздние версии: исправление (путем установки ПИН-кода) - macOS 10.11 и более поздние версии: карантин - Linux: карантин - Windows 10/11: карантин |
| Профиль электронной почты | - Android 4.0 и более поздние версии: неприменимо - Samsung Knox Standard 4.0 и более поздние версии: неприменимо - Android Enterprise: неприменимо - iOS 8.0 и более поздние версии: карантин - macOS 10.11 и более поздние версии: карантин - Linux: неприменимо - Windows 10/11: неприменимо |
| Взломанное устройство или устройство с root-доступом | - Android 4.0 и более поздние версии: карантин (не параметр) - Samsung Knox Standard 4.0 и более поздние версии: карантин (не параметр) - Android Enterprise: карантин (не параметр) - iOS 8.0 и более поздние версии: карантин (не параметр) - macOS 10.11 и более поздние версии: неприменимо - Linux: неприменимо - Windows 10/11: неприменимо |
| Максимальная версия ОС | - Android 4.0 и более поздние версии: карантин - Samsung Knox Standard 4.0 и более поздние версии: карантин - Android Enterprise: карантин - iOS 8.0 и более поздние версии: карантин - macOS 10.11 и более поздние версии: карантин - Linux: см . раздел Разрешенные дистрибутивы - Windows 10/11: карантин |
| Минимальная версия ОС | - Android 4.0 и более поздние версии: карантин - Samsung Knox Standard 4.0 и более поздние версии: карантин - Android Enterprise: карантин - iOS 8.0 и более поздние версии: карантин - macOS 10.11 и более поздние версии: карантин - Linux: см . раздел Разрешенные дистрибутивы - Windows 10/11: карантин |
| Конфигурация ПИН-кода или пароля | - Android 4.0 и более поздние версии: карантин - Samsung Knox Standard 4.0 и более поздние версии: карантин - Android Enterprise: карантин - iOS 8.0 и более поздние версии: исправлено - macOS 10.11 и более поздние версии: исправлено - Linux: карантин - Windows 10/11: исправлено |
| Аттестация работоспособности Windows | - Android 4.0 и более поздние версии: неприменимо - Samsung Knox Standard 4.0 и более поздние версии: неприменимо - Android Enterprise: неприменимо - iOS 8.0 и более поздние версии: неприменимо - macOS 10.11 и более поздние версии: неприменимо - Linux: неприменимо - Windows 10/11: карантин |
Примечание.
Приложение Корпоративный портал входит в поток исправления регистрации, когда пользователь входит в приложение и устройство не выполнило вход в Intune в течение 30 дней или более (или устройство не соответствует требованиям из-за потери связи). В этом потоке мы пытаемся инициировать проверка еще раз. Если это по-прежнему не удается, мы выполняем команду списания, чтобы разрешить пользователю повторно зарегистрировать устройство вручную.
Дальнейшие действия
- Создание и развертывание политики и проверка предварительных требований
- Мониторинг соответствия устройства требованиям
- Распространенные вопросы, проблемы с политиками и профилями устройств в Microsoft Intune и возможные решения
- Сведения о сущностях политики для хранилища данных Intune см. в справочнике по сущностям политики.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по