Använd efterlevnadsprinciper för att ange regler för enheter som du hanterar med Intune

LÖSNINGAR för hantering av mobila enheter (MDM) som Intune kan hjälpa till att skydda organisationsdata genom att kräva att användare och enheter uppfyller vissa krav. I Intune kallas den här funktionen för efterlevnadsprinciper.

Efterlevnadsprinciper i Intune:

Det finns två delar i efterlevnadsprinciper i Intune:

  • Inställningar för efterlevnadsprinciper – Inställningar för hela klientorganisationen som liknar en inbyggd efterlevnadsprincip som varje enhet tar emot. Inställningar för efterlevnadsprinciper anger en baslinje för hur efterlevnadsprincipen fungerar i din Intune miljö, inklusive om enheter som inte har tagit emot några principer för enhetsefterlevnad är kompatibla eller inkompatibla.

  • Enhetsefterlevnadsprincip – Plattformsspecifika regler som du konfigurerar och distribuerar till grupper av användare eller enheter. Dessa regler definierar krav för enheter, till exempel lägsta operativsystem eller användning av diskkryptering. Enheterna måste uppfylla dessa regler för att anses vara kompatibla.

Precis som andra Intune principer beror utvärderingar av efterlevnadsprinciper för en enhet på när enheten checkar in med Intune och princip- och profiluppdateringscykler.

Inställningar för efterlevnadsprinciper

Inställningar för efterlevnadsprinciper är inställningar för hela klientorganisationen som avgör hur Intune efterlevnadstjänst interagerar med dina enheter. De här inställningarna skiljer sig från de inställningar som du konfigurerar i en enhetsefterlevnadsprincip.

Om du vill hantera inställningarna för efterlevnadsprinciper loggar du in på Microsoft Administrationscenter för Endpoint Manager och går till Inställningar förenhetsefterlevnadsprincip> för slutpunktssäkerhet>.

Inställningarna för efterlevnadsprinciper innehåller följande inställningar:

  • Markera enheter utan tilldelad efterlevnadsprincip som

    Den här inställningen bestämmer hur Intune behandlar enheter som inte har tilldelats en enhetsefterlevnadsprincip. Den här inställningen har två värden:

    • Kompatibel (standard): Den här säkerhetsfunktionen är inaktiverad. Enheter som inte har skickat en enhetsefterlevnadsprincip anses vara kompatibla.
    • Inte kompatibel: Den här säkerhetsfunktionen är aktiverad. Enheter som inte har tagit emot en enhetsefterlevnadsprincip anses vara inkompatibla.

    Om du använder villkorlig åtkomst med enhetsefterlevnadsprinciperna ändrar du den här inställningen till Inte kompatibel för att säkerställa att endast enheter som har bekräftats som kompatibla kan komma åt dina resurser.

    Om en slutanvändare inte är kompatibel eftersom en princip inte har tilldelats dem visar Företagsportal-appen Inga efterlevnadsprinciper har tilldelats.

  • Förbättrad upplåsningsidentifiering (gäller endast för iOS/iPadOS)

    Den här inställningen fungerar bara med enheter som du riktar in dig på med en enhetsefterlevnadsprincip som blockerar jailbrokade enheter. (Se Inställningar för enhetshälsa för iOS/iPadOS).

    Den här inställningen har två värden:

    • Inaktiverad (standard): Den här säkerhetsfunktionen är inaktiverad. Den här inställningen påverkar inte dina enheter som tar emot principer för enhetsefterlevnad som blockerar jailbrokade enheter.
    • Aktiverad: Den här säkerhetsfunktionen är aktiverad. Enheter som tar emot enhetsefterlevnadsprincip för att blockera jailbrokade enheter använder förbättrad upplåsningsidentifiering.

    När den är aktiverad på en tillämplig iOS/iPadOS-enhet:

    • Aktiverar platstjänster på os-nivå.
    • Tillåter alltid att Företagsportal använder platstjänster.
    • Använder sina platstjänster för att utlösa jailbreak-identifiering oftare i bakgrunden. Användarens platsdata lagras inte av Intune.

    Förbättrad upplåsningsidentifiering kör en utvärdering när:

    • Appen Företagsportal öppnas
    • Enheten rör sig fysiskt ett betydande avstånd, vilket är cirka 500 meter eller mer. Intune kan inte garantera att varje betydande platsändring resulterar i en kontroll av upplåsningsidentifiering, eftersom kontrollen beror på en enhets nätverksanslutning vid den tidpunkten.

    På iOS 13 och senare kräver den här funktionen att användarna väljer Tillåt alltid när enheten uppmanar dem att fortsätta tillåta Företagsportal att använda sin plats i bakgrunden. Om aktiverad tillåter detta mer frekventa kontroller av upplåsningsidentifiering.

  • Giltighetsperiod för efterlevnadsstatus (dagar)

    Ange en period då enheterna måste rapportera om alla mottagna efterlevnadsprinciper. Om en enhet inte kan rapportera sin efterlevnadsstatus för en princip innan giltighetsperioden går ut behandlas enheten som inkompatibel.

    Som standard är perioden inställd på 30 dagar. Du kan konfigurera en period från 1 till 120 dagar.

    Du kan visa information om enheters kompatibilitet med inställningen för giltighetsperiod. Logga in på Microsoft administrationscentret för Endpoint Manager och gå tillEnhetsövervakaren>>Inställningsefterlevnad. Den här inställningen har namnet Är aktiv i kolumnen Inställning . Mer information om den här och relaterade kompatibilitetsstatusvyer finns i Övervaka enhetsefterlevnad.

Principer för enhetsefterlevnad

Intune principer för enhetsefterlevnad:

  • Definiera de regler och inställningar som användare och hanterade enheter måste uppfylla för att vara kompatibla. Exempel på regler är att kräva att enheter kör en lägsta version av operativsystemet, inte är jailbreakade eller rotade, och att de är på eller under en hotnivå som anges av hothanteringsprogram som du har integrerat med Intune.
  • Supportåtgärder som gäller för enheter som inte uppfyller dina efterlevnadsregler. Exempel på åtgärder är att vara fjärrlåst eller skicka ett e-postmeddelande till en enhetsanvändare om enhetsstatusen så att de kan åtgärda det.
  • Distribuera till användare i användargrupper eller enheter i enhetsgrupper. När en efterlevnadsprincip distribueras till en användare kontrolleras alla användarens enheter för efterlevnad. Användning av enhetsgrupper i det här scenariot hjälper till med efterlevnadsrapportering.

Om du använder villkorsstyrd åtkomst kan principerna för villkorsstyrd åtkomst använda resultaten från enhetsefterlevnad för att blockera åtkomst till resurser från inkompatibla enheter.

De tillgängliga inställningar som du kan ange i en enhetsefterlevnadsprincip beror på vilken plattformstyp du väljer när du skapar en princip. Olika enhetsplattformar stöder olika inställningar, och varje plattformstyp kräver en separat princip.

Följande ämnen länkar till dedikerade artiklar för olika aspekter av enhetskonfigurationsprincipen.

  • Åtgärder för inkompatibilitet – Varje enhetsefterlevnadsprincip innehåller en eller flera åtgärder för inkompatibilitet. Dessa åtgärder är regler som tillämpas på enheter som inte uppfyller de villkor som du anger i principen.

    Som standard innehåller varje enhetsefterlevnadsprincip åtgärden för att markera en enhet som inkompatibel om den inte uppfyller en principregel. Principen gäller sedan för enheten eventuella ytterligare åtgärder för inkompatibilitet som du har konfigurerat, baserat på de scheman som du har angett för dessa åtgärder.

    Åtgärder för inkompatibilitet kan hjälpa till att varna användare när deras enhet inte är kompatibel eller skydda data som kan finnas på en enhet. Exempel på åtgärder är:

    • Skicka e-postaviseringar till användare och grupper med information om den inkompatibla enheten. Du kan konfigurera principen att skicka ett e-postmeddelande omedelbart när den markeras som inkompatibel och sedan igen, regelbundet, tills enheten blir kompatibel.
    • Fjärrlåsa enheter som inte har varit kompatibla under en tid.
    • Dra tillbaka enheter efter att de har varit inkompatibla under en tid. Den här åtgärden markerar en kvalificerande enhet som redo att dras tillbaka. En administratör kan sedan visa en lista över enheter som har markerats för tillbakadragning och måste vidta en explicit åtgärd för att dra tillbaka en eller flera enheter. Om du drar tillbaka en enhet tas enheten bort från Intune hantering och alla företagsdata tas bort från enheten. Mer information om den här åtgärden finns i Tillgängliga åtgärder för inkompatibilitet.
  • Skapa en princip – Med informationen i den här artikeln kan du granska förutsättningarna, gå igenom alternativen för att konfigurera regler, ange åtgärder för inkompatibilitet och tilldela principen till grupper. Den här artikeln innehåller även information om uppdateringstider för principer.

    Visa inställningarna för enhetsefterlevnad för de olika enhetsplattformarna:

    Intune stöder även efterlevnadsprinciper för Linux (Ubuntu Desktop, version 20.04 LTS och 22.04 LTS), som använder katalogformatet Inställningar i stället för mallar. Dedikerat innehåll för inställningarna i inställningskatalogen är inte tillgängligt, men information finns i inställningskatalogen.

  • Anpassade kompatibilitetsinställningar – Med anpassade kompatibilitetsinställningar kan du utöka Intune inbyggda alternativ för enhetsefterlevnad. Anpassade inställningar ger flexibilitet att basera kompatibiliteten på de inställningar som är tillgängliga på en enhet utan att behöva vänta på Intune för att lägga till inställningarna.

    Du kan använda anpassade kompatibilitetsinställningar med följande plattformar:

    • Linux – Ubuntu Desktop, version 20.04 LTS och 22.04 LTS
    • Windows 10/11

Övervaka efterlevnadsstatus

Intune innehåller en instrumentpanel för enhetsefterlevnad som du använder för att övervaka enheternas efterlevnadsstatus och för att öka detaljnivån för principer och enheter för mer information. Mer information om den här instrumentpanelen finns i Övervaka enhetsefterlevnad.

Integrera med villkorsstyrd åtkomst

När du använder villkorsstyrd åtkomst kan du konfigurera dina principer för villkorsstyrd åtkomst för att använda resultatet av dina principer för enhetsefterlevnad för att avgöra vilka enheter som har åtkomst till organisationens resurser. Den här åtkomstkontrollen är utöver och separat från de åtgärder för inkompatibilitet som du inkluderar i dina principer för enhetsefterlevnad.

När en enhet registreras i Intune registreras den i Azure AD. Efterlevnadsstatusen för enheter rapporteras till Azure AD. Om dina principer för villkorsstyrd åtkomst har åtkomstkontroller inställda på Kräv att enheten ska markeras som kompatibel, använder villkorsstyrd åtkomst den kompatibilitetsstatusen för att avgöra om åtkomst till e-post och andra organisationsresurser ska beviljas eller blockeras.

Om du ska använda enhetsefterlevnadsstatus med principer för villkorsstyrd åtkomst granskar du hur din klientorganisation har konfigurerat Markera enheter utan tilldelad efterlevnadsprincip som, som du hanterar under Inställningar för efterlevnadsprinciper.

Mer information om hur du använder villkorsstyrd åtkomst med dina principer för enhetsefterlevnad finns i Enhetsbaserad villkorlig åtkomst

Läs mer om villkorlig åtkomst i Azure AD-dokumentationen:

Referens för inkompatibilitet och villkorsstyrd åtkomst på de olika plattformarna

I följande tabell beskrivs hur inkompatibla inställningar hanteras när en efterlevnadsprincip används med en princip för villkorsstyrd åtkomst.

  • Åtgärdad: Enhetens operativsystem framtvingar kompatibilitet. Användaren tvingas till exempel att ange en PIN-kod.

  • I karantän: Enhetens operativsystem tillämpar inte kompatibilitet. Android- och Android Enterprise-enheter tvingar till exempel inte användaren att kryptera enheten. När enheten inte är kompatibel utförs följande åtgärder:

    • Om en princip för villkorsstyrd åtkomst gäller för användaren blockeras enheten.
    • Appen Företagsportal meddelar användaren om eventuella efterlevnadsproblem.

Sekretessinställning Plattform
Tillåtna distributioner Linux(endast) – I karantän
Enhetskryptering - Android 4.0 och senare: I karantän
- Samsung Knox Standard 4.0 och senare: I karantän
- Android Enterprise: I karantän

- iOS 8.0 och senare: Åtgärdad (genom att ange PIN-kod)
- macOS 10.11 och senare: I karantän

- Linux: I karantän

- Windows 10/11: I karantän
Email profil - Android 4.0 och senare: Ej tillämpligt
- Samsung Knox Standard 4.0 och senare: Ej tillämpligt
- Android Enterprise: Ej tillämpligt

- iOS 8.0 och senare: I karantän
- macOS 10.11 och senare: I karantän

- Linux: Ej tillämpligt

- Windows 10/11: Ej tillämpligt
Jailbrokad eller rotad enhet - Android 4.0 och senare: I karantän (inte en inställning)
- Samsung Knox Standard 4.0 och senare: I karantän (inte en inställning)
- Android Enterprise: I karantän (inte en inställning)

- iOS 8.0 och senare: I karantän (inte en inställning)
- macOS 10.11 och senare: Ej tillämpligt

- Linux: Ej tillämpligt

- Windows 10/11: Ej tillämpligt
Högsta operativsystemversion - Android 4.0 och senare: I karantän
- Samsung Knox Standard 4.0 och senare: I karantän
- Android Enterprise: I karantän

- iOS 8.0 och senare: I karantän
- macOS 10.11 och senare: I karantän

- Linux: Se Tillåtna distributioner

- Windows 10/11: I karantän
Lägsta operativsystemversion - Android 4.0 och senare: I karantän
- Samsung Knox Standard 4.0 och senare: I karantän
- Android Enterprise: I karantän

- iOS 8.0 och senare: I karantän
- macOS 10.11 och senare: I karantän

- Linux: Se Tillåtna distributioner

- Windows 10/11: I karantän
Konfiguration av PIN-kod eller lösenord - Android 4.0 och senare: I karantän
- Samsung Knox Standard 4.0 och senare: I karantän
- Android Enterprise: I karantän

- iOS 8.0 och senare: Åtgärdat
- macOS 10.11 och senare: Åtgärdad

- Linux: I karantän

- Windows 10/11: Åtgärdad
Hälsoattestering för Windows - Android 4.0 och senare: Ej tillämpligt
- Samsung Knox Standard 4.0 och senare: Ej tillämpligt
- Android Enterprise: Ej tillämpligt

- iOS 8.0 och senare: Ej tillämpligt
- macOS 10.11 och senare: Ej tillämpligt

- Linux: Ej tillämpligt

- Windows 10/11: I karantän

Obs!

Den Företagsportal appen anger flödet för registreringsreparation när användaren loggar in i appen och enheten inte har checkats in med Intune på 30 dagar eller mer (eller om enheten inte är kompatibel på grund av en kompatibilitetsorsak till förlorad kontakt). I det här flödet försöker vi initiera en incheckning en gång till. Om det fortfarande inte lyckas utfärdar vi ett dra tillbaka-kommando så att användaren kan registrera enheten manuellt.


Nästa steg