Использование политик соответствия, позволяющих установить правила для устройств, управляемых с помощью Intune
Политики соответствия Microsoft Intune — это наборы правил и условий, которые используются для оценки конфигурации управляемых устройств. Эти политики помогают защитить данные и ресурсы организации с устройств, которые не соответствуют этим требованиям к конфигурации. Управляемые устройства должны соответствовать условиям, заданным в политиках, чтобы считаться совместимыми с Intune.
Если вы также интегрируете результаты соответствия политик с условным доступом Microsoft Entra, вы можете воспользоваться дополнительным уровнем безопасности. Условный доступ может применять элементы управления доступом Microsoft Entra на основе текущего состояния соответствия устройств, чтобы гарантировать, что доступ к корпоративным ресурсам разрешен только соответствующим устройствам.
Политики соответствия Intune делятся на две области:
Параметры политики соответствия — это конфигурации на уровне клиента, которые действуют как встроенная политика соответствия требованиям, которую получает каждое устройство. Параметры политики соответствия определяют, как политика соответствия требованиям работает в вашей среде Intune, включая способ обработки устройств, которым не назначена явная политика соответствия устройств.
Политики соответствия устройств — это дискретные наборы правил и параметров, зависящих от платформы, которые развертываются для групп пользователей или устройств. Устройства оценивают правила в политике, чтобы сообщить о состоянии соответствия устройств. Состояние несоответствия может привести к одному или нескольким действиям в связи с несоответствием. Политики условного доступа Microsoft Entra также могут использовать это состояние для блокировки доступа к ресурсам организации с этого устройства.
Параметры политики соответствия требованиям
Параметры политики соответствия являются параметрами на уровне клиента, которые определяют, как служба соответствия Intune взаимодействует с вашими устройствами. Эти параметры отличаются от параметров, настраиваемых в политике соответствия устройств.
Чтобы управлять параметрами политики соответствия, войдите в Центр администрирования Microsoft Intune и перейдите в разделПараметры политики соответствия требованиям > к безопасности>конечных точекустройства.
Параметры политики соответствия включают следующие параметры.
Отметка устройств без назначенной политики соответствия.
Этот параметр определяет, как Intune обрабатывает устройства, которым не назначена политика соответствия устройств. У этого параметра два значения:
- Совместимое (по умолчанию): эта функция безопасности отключена. Устройства, которым не отправляется политика соответствия требованиям, считаются соответствующими.
- Не соответствует требованиям: эта функция безопасности включена. Устройства без политики соответствия устройств считаются не соответствующими требованиям.
Если вы используете условный доступ с политиками соответствия устройств, измените этот параметр на Не соответствует , чтобы только устройства, которые подтверждены как соответствующие, могли получить доступ к вашим ресурсам.
Если пользователь не соответствует требованиям, потому что ему не назначена политика, в приложении корпоративного портала будет отображаться "Политики соответствия не назначены".
Период действия состояния соответствия требованиям (в днях)
Укажите период, в котором устройства должны успешно сообщать о всех полученных политиках соответствия. Если устройству не удается сообщить в состоянии соответствия политике до истечения срока действия, оно считается несоответствующим.
По умолчанию этот период составляет 30 дней. Можно настроить период от 1 до 120 дней.
Вы можете просмотреть сведения о соответствии устройств параметру срока действия. Войдите в Центр администрирования Microsoft Intune и перейдите в разделМонитор>устройств>Настройка соответствия требованиям. Этот параметр называется Активный в столбце Настройка. Дополнительные сведения об этом и связанных с ним представлениях состояния соответствия см. в разделе Мониторинг соответствия устройств.
Политики соответствия требованиям для устройств
Политики соответствия устройств Intune — это дискретные наборы правил и параметров, зависящих от платформы, которые развертываются для групп пользователей или устройств. Используйте политики соответствия, чтобы:
Определяют правила и параметры, которым должны отвечать пользователи и управляемые устройства, чтобы считаться соответствующими. Примеры правил включают требование, чтобы устройства работали с минимальной версией ОС, не были сломаны в тюрьме или не укоренились, а также на уровне или под уровнем угрозы , как указано в программном обеспечении для управления угрозами, которое интегрируется с Intune.
Поддержка действий в случае несоответствия , применяемых к устройствам, которые не соответствуют правилам соответствия этим политикам. Примеры действий при несоответствии включают маркировку устройства как несоответствующего, удаленную блокировку и отправку пользователю устройства сообщения электронной почты о состоянии устройства, чтобы он смог исправить его.
При использовании политик соответствия устройств:
Некоторые конфигурации политики соответствия требованиям могут переопределять конфигурацию параметров, которыми вы также управляете с помощью политик конфигурации устройств. Дополнительные сведения об устранении конфликтов для политик см. в статье Политики соответствия требованиям и конфигурации устройств, которые конфликтуют.
Политики могут развертываться для пользователей в группах пользователей или устройств в группах устройств. При развертывании политики соответствия для пользователя все его устройства проверяются на соответствие. Группы устройств в таких ситуациях помогают создавать отчеты о соответствии.
Если вы используете условный доступ Microsoft Entra, политики условного доступа могут использовать результаты соответствия устройств для блокировки доступа к ресурсам с несоответствующих устройств.
Как и другие политики Intune, оценки политики соответствия для устройства зависят от того, когда устройство регистрируется в Intune, а также от циклов обновления политики и профиля.
Доступные параметры, которые можно указать в политике соответствия устройств, зависят от типа платформы, выбранной при создании политики. Различные платформы устройств поддерживают разные параметры, и для каждого типа платформы требуется отдельная политика.
Следующие темы содержат ссылки на выделенные статьи для различных аспектов политики конфигурации устройств.
Действия при несоответствии . По умолчанию каждая политика соответствия устройств включает действие пометки устройства как несоответствующего, если оно не соответствует правилу политики. Каждая политика может поддерживать дополнительные действия на основе платформы устройства. Примеры дополнительных действий:
- Отправка оповещений по электронной почте пользователям и группам с подробными сведениями о несоответствующем устройстве. Вы можете настроить политику для немедленной отправки сообщения с отметкой о несоответствии, а затем снова для периодической отправки до тех пор, пока устройство не станет соответствующим.
- Удаленная блокировка устройств, которые считались несоответствующими в течение некоторого времени.
- Прекращение использования устройств после несоответствия в течение определенного времени. Это действие помечает устройство как готовое к прекращению использования. Затем администратор может просмотреть список устройств, помеченных для прекращения использования. Администратор должен выполнить действие явным образом, чтобы прекратить использование одного или нескольких устройств. При прекращении использования устройство удаляется из управления Intune, а с устройства удаляются все данные компании. Дополнительные сведения об этом действии см. в статье Доступные действия для несоответствия.
Создание политики соответствия требованиям . С помощью сведений, приведенных в связанной статье, вы можете просмотреть предварительные требования, поработать с параметрами для настройки правил, указать действия для несоответствия и назначить политику группам. Кроме того, статья содержит сведения о времени обновления политики.
Просмотрите параметры соответствия для различных платформ устройств:
- Администратор устройств Android
- Android Enterprise
- Android Open Source Project (AOSP)
- iOS
- Linux
- macOS
- Windows Holographic for Business
- Windows 10/11
-
Windows 8.1 и более поздних версий
Важно!
22 октября 2022 г. Microsoft Intune прекратила поддержку устройств под управлением Windows 8.1. Техническая помощь и автоматические обновления на этих устройствах недоступны.
Если вы сейчас используете Windows 8.1, перейдите на устройства с Windows 10 или 11. В Microsoft Intune есть встроенные функции безопасности и устройств, которые управляют клиентскими устройствами Windows 10/11.
Настраиваемые параметры соответствия требованиям . С помощью настраиваемых параметров соответствия можно расширить встроенные параметры соответствия устройств Intune. Пользовательские параметры обеспечивают гибкость для обеспечения соответствия параметрам, доступным на устройстве, не дожидаясь добавления этих параметров в Intune.
Пользовательские параметры соответствия можно использовать на следующих платформах:
- Linux — Ubuntu Desktop версии 20.04 LTS и 22.04 LTS
- Windows 10
- Windows 11
Мониторинг состояния соответствия
Intune включает панель мониторинга соответствия устройств, которая используется для мониторинга состояния соответствия устройств, а также для детализации политик и устройств, позволяющей получить дополнительные сведения. Дополнительные сведения о панели мониторинга см. в разделе Мониторинг соответствия устройств.
Интеграция с условным доступом
При использовании условного доступа можно настроить политики условного доступа для использования результатов политик соответствия устройств, чтобы определить, какие устройства могут получать доступ к ресурсам организации. Этот контроль доступа является отдельным дополнением к действиям при несоответствии, включенным в политики соответствия устройств.
Когда устройство регистрируется в Intune, оно регистрируется в Идентификаторе Microsoft Entra. Состояние соответствия для устройств передается в Microsoft Entra ID. Если в ваших политиках условного доступа для элементов управления доступом задано значение Требовать, чтобы устройство было отмечено как соответствующее, условный доступ использует это состояние соответствия, чтобы определить, следует ли предоставлять или блокировать доступ к электронной почте и другим ресурсам организации.
Если вы используете состояние соответствия устройств с политиками условного доступа, проверьте, как клиент настраивает параметр Пометка устройств без назначенной политики соответствия требованиям, которым вы управляете в разделе Параметры политики соответствия.
Дополнительные сведения об использовании условного доступа с политиками соответствия устройств см. в разделе Условный доступ на основе устройств.
Дополнительные сведения об условном доступе см. в документации по Microsoft Entra:
Справочник по несоответствию и условному доступу на разных платформах
В приведенной ниже таблице показано, как осуществляется управление несоответствующими параметрами при использовании политики соответствия требованиям вместе с политикой условного доступа.
Исправлено: операционная система устройства обеспечивает соответствие. Например, пользователю приходится установить ПИН-код.
Карантин: операционная система устройства не обеспечивает соответствие. Например, устройства с Android и Android Enterprise не вынуждают пользователя зашифровывать устройство. Если устройство не соответствует требованиям, выполняются следующие действия:
- Если к пользователю применяется политика условного доступа, устройство блокируется.
- Приложение "Корпоративный портал" уведомляет пользователя о проблемах соответствия.
Параметр политики | Платформа |
---|---|
Разрешенные дистрибутивы | Только linux(только) — помещено в карантин |
Шифрование устройства |
-
Android 4.0 и более поздние версии: карантин - Samsung Knox Standard 4.0 и более поздние версии: карантин - Android Enterprise: карантин - iOS 8.0 и более поздние версии: исправление (путем установки ПИН-кода) - macOS 10.11 и более поздние версии: карантин - Linux: карантин - Windows 10/11: карантин |
Профиль электронной почты |
-
Android 4.0 и более поздние версии: неприменимо - Samsung Knox Standard 4.0 и более поздние версии: неприменимо - Android Enterprise: неприменимо - iOS 8.0 и более поздние версии: карантин - macOS 10.11 и более поздние версии: карантин - Linux: неприменимо - Windows 10/11: неприменимо |
Взломанное устройство или устройство с root-доступом |
-
Android 4.0 и более поздние версии: карантин (не параметр) - Samsung Knox Standard 4.0 и более поздние версии: карантин (не параметр) - Android Enterprise: карантин (не параметр) - iOS 8.0 и более поздние версии: карантин (не параметр) - macOS 10.11 и более поздние версии: неприменимо - Linux: неприменимо - Windows 10/11: неприменимо |
Максимальная версия ОС |
-
Android 4.0 и более поздние версии: карантин - Samsung Knox Standard 4.0 и более поздние версии: карантин - Android Enterprise: карантин - iOS 8.0 и более поздние версии: карантин - macOS 10.11 и более поздние версии: карантин - Linux: см . раздел Разрешенные дистрибутивы - Windows 10/11: карантин |
Минимальная версия ОС |
-
Android 4.0 и более поздние версии: карантин - Samsung Knox Standard 4.0 и более поздние версии: карантин - Android Enterprise: карантин - iOS 8.0 и более поздние версии: карантин - macOS 10.11 и более поздние версии: карантин - Linux: см . раздел Разрешенные дистрибутивы - Windows 10/11: карантин |
Конфигурация ПИН-кода или пароля |
-
Android 4.0 и более поздние версии: карантин - Samsung Knox Standard 4.0 и более поздние версии: карантин - Android Enterprise: карантин - iOS 8.0 и более поздние версии: исправлено - macOS 10.11 и более поздние версии: исправлено - Linux: карантин - Windows 10/11: исправлено |
Аттестация работоспособности Windows |
-
Android 4.0 и более поздние версии: неприменимо - Samsung Knox Standard 4.0 и более поздние версии: неприменимо - Android Enterprise: неприменимо - iOS 8.0 и более поздние версии: неприменимо - macOS 10.11 и более поздние версии: неприменимо - Linux: неприменимо - Windows 10/11: карантин |
Примечание.
Приложение корпоративного портала входит в поток исправления регистрации, когда пользователь входит в приложение, а устройство не выполнило вход в Intune в течение 30 дней или более (или устройство не соответствует требованиям из-за потери связи ). В этом потоке мы пытаемся инициировать проверку еще раз. Если это по-прежнему не удается, мы выполняем команду списания, чтобы разрешить пользователю повторно зарегистрировать устройство вручную.
Дальнейшие действия
- Создание и развертывание политики и проверка предварительных требований
- Мониторинг соответствия устройства требованиям
- Распространенные вопросы, проблемы с политиками и профилями устройств в Microsoft Intune и возможные решения
- Сведения о сущностях политики для хранилища данных Intune см. в справочнике по сущностям политики.