Dela via


Konfigurera åtgärder för inkompatibla enheter i Intune

Som en del av en efterlevnadsprincip som skyddar organisationens resurser från enheter som inte uppfyller dina säkerhetskrav omfattar efterlevnadsprinciper även åtgärder för inkompatibilitet. Åtgärder för inkompatibilitet är en eller flera tidsbeställda åtgärder som vidtas av en princip för att skydda enheter och din organisation. Till exempel kan en åtgärd för inkompatibilitet fjärrlåsa en enhet för att säkerställa att den är skyddad, eller skicka ett meddelande till enheter eller användare för att hjälpa dem att förstå och lösa den inkompatibla statusen.

Viktigt

Microsoft Intune upphör stödet för hantering av Android-enhetsadministratörer på enheter med åtkomst till Google Mobile Services (GMS) den 31 december 2024. Efter det datumet är enhetsregistrering, teknisk support, felkorrigeringar och säkerhetskorrigeringar otillgängliga. Om du för närvarande använder hantering av enhetsadministratörer rekommenderar vi att du växlar till ett annat Android-hanteringsalternativ i Intune innan supporten upphör. Mer information finns i Avsluta stöd för Android-enhetsadministratör på GMS-enheter.

Översikt

Som standard innehåller varje efterlevnadsprincip åtgärden för inkompatibilitet av Markera enheten som inkompatibel med ett schema på noll dagar (0). Resultatet av den här standardinställningen är när Intune identifierar att en enhet inte är kompatibel, och Intune omedelbart markerar enheten som inkompatibel. När en enhet har markerats som inkompatibel kan villkorlig åtkomst i Microsoft Entra blockera enheten.

Genom att konfigurera Åtgärder för inkompatibilitet får du flexibilitet att bestämma vad du ska göra med inkompatibla enheter och när du ska göra det. Du kan till exempel välja att inte blockera enheten omedelbart och ge användaren en respitperiod för att bli kompatibel.

För varje åtgärd du anger kan du konfigurera ett schema som avgör när åtgärden börjar gälla. Schemat är ett antal dagar efter att enheten har markerats som inkompatibel. Du kan också konfigurera flera instanser av en åtgärd. När du anger flera instanser av en åtgärd i en princip körs åtgärden igen vid den senare schemalagda tiden om enheten förblir inkompatibel.

Alla åtgärder är inte tillgängliga för alla plattformar.

Obs!

Administrationscentret för Microsoft Intune visar schemat (dagar efter inkompatibilitet) i dagar. Det går dock att ange ett mer detaljerat intervall (timmar), med decimaltal som 0,25 (6 timmar), 0,5 (12 timmar), 1,5 (36 timmar) och så vidare. Även om andra värden är möjliga kan de bara konfigureras med Hjälp av Microsoft Graph och inte via administrationscentret. Försök att använda andra värden i administrationscentret, till exempel 0,33 (8 timmar) resulterar i ett fel när du försöker spara principen.

Tillgängliga åtgärder för inkompatibilitet

Följande är de tillgängliga åtgärderna för inkompatibilitet:

  • Markera enheten som icke-kompatibel: Som standard anges den här åtgärden för varje efterlevnadsprincip och har ett schema på noll (0) dagar, vilket markerar enheter som inkompatibla omedelbart.

    När du ändrar standardschemat anger du en respitperiod där en användare kan åtgärda problem eller bli kompatibel utan att markeras som inkompatibel.

    Den här åtgärden stöds på alla plattformar som stöds av Intune.

  • Skicka e-post till slutanvändare: Den här åtgärden skickar ett e-postmeddelande till användaren. När du aktiverar den här åtgärden:

    • Välj en meddelandemall som den här åtgärden skickar. Du skapar en mall för aviseringsmeddelanden innan du kan tilldela en till den här åtgärden. När du skapar det anpassade meddelandet anpassar du meddelandets nationella inställningar, ämne, meddelandetext och kan innehålla företagets logotyp, företagsnamn och annan kontaktinformation.
    • Välj att skicka meddelandet till fler mottagare genom att välja en eller flera av dina Microsoft Entra-grupper.

    Intune använder den e-postadress som definierats i slutanvändarens profil och inte användarens huvudnamn (UPN). Om det inte finns någon definierad e-postadress som definierats i användarens profil skickar Intune inget e-postmeddelande. När e-postmeddelandet skickas innehåller Intune information om den inkompatibla enheten i e-postmeddelandet.

    Den här åtgärden stöds på alla plattformar som stöds av Intune.

    Obs!

    E-postaviseringar skickas från: microsoft-noreply@microsoft.com

    Se till att du inte har några postlådeprinciper som förhindrar leverans av e-postmeddelanden från dessa adresser, annars kanske slutanvändarna inte får e-postmeddelandet.

    Före december 2022 skickades e-postmeddelanden i det kommersiella molnet från: IntuneNotificationService@microsoft.com

  • Fjärrlåsa den inkompatibla enheten: Använd den här åtgärden för att utfärda ett fjärrlås för en enhet. Användaren uppmanas sedan att ange en PIN-kod eller ett lösenord för att låsa upp enheten. Mer information om fjärrlåsningsfunktionen .

    Följande plattformar stöder den här åtgärden:

    • Android-enhetsadministratör
    • Android (AOSP)
    • Android Enterprise:
      • Fullständigt hanterad
      • Hängiven
      • Corporate-Owned arbetsprofil
      • Personligt ägd arbetsprofil
      • Android Enterprise-kioskenheter
    • iOS/iPadOS
    • macOS
  • Lägg till enhet i listan över borttagna enheter: När den här åtgärden utförs på en enhet läggs enheten till i en lista över tillbakadragna, inkompatibla enheter i Intune-administrationscentret. Du kan gå tillEnhetsefterlevnad> och välja fliken Dra tillbaka inkompatibla enheter för att visa listan. Enheten dras dock inte tillbaka förrän en administratör uttryckligen initierar tillbakadragningsprocessen. När en administratör drar tillbaka enheten från listan tas alla företagsdata bort från enheten och enheten tas bort från Intune-hanteringen.

    Följande plattformar stöder den här åtgärden:

    • Android-enhetsadministratör
    • Android (AOSP)
    • Android Enterprise:
      • Fullständigt hanterad
      • Hängiven
      • Corporate-Owned arbetsprofil
      • Personligt ägd arbetsprofil
    • iOS/iPadOS
    • macOS
    • Windows 10/11

    Obs!

    Endast enheter som åtgärden Lägg till enhet för att dra tillbaka listan har utlösts till visas på fliken Dra tillbaka valda enheter . En lista över alla enheter som inte är kompatibla finns i rapporten Om inkompatibla enheter som nämns i Övervaka enhetsefterlevnadsprincip.

    Om du vill dra tillbaka en eller flera enheter från listan väljer du enheter som ska dras tillbaka och väljer sedan Dra tillbaka valda enheter. När du väljer en åtgärd som drar tillbaka enheter visas sedan en dialogruta för att bekräfta åtgärden. Det är först när du har bekräftat avsikten att dra tillbaka enheterna som de rensas från företagsdata och tas bort från Intune-hanteringen.

    Andra alternativ är Dra tillbaka alla enheter, Rensa alla enheters tillbakadragna tillstånd och Rensa valda enheters tillbakadragna tillstånd. Om du rensar tillbakadragstillståndet för en enhet tas enheten bort från listan över enheter som kan tas ur bruk tills åtgärden Lägg till enhet som ska tas ur bruk tillämpas på enheten igen.

    Läs mer om att dra tillbaka enheter.

  • Skicka push-meddelanden till slutanvändaren: Konfigurera den här åtgärden för att skicka ett push-meddelande om inkompatibilitet till en enhet via företagsportalappen eller Intune-appen på enheten.

    Följande plattformar stöder den här åtgärden:

    • Android-enhetsadministratör
    • Android Enterprise:
      • Fullständigt hanterad
      • Hängiven
      • Corporate-Owned arbetsprofil
      • Personligt ägd arbetsprofil
    • iOS/iPadOS

    Push-meddelandet skickas första gången en enhet checkar in med Intune och anses vara inkompatibel med efterlevnadsprincipen. När en användare väljer meddelandet öppnas företagsportalappen eller Intune-appen och visar information om varför de inte är kompatibla. Användaren kan sedan vidta åtgärder för att lösa problemet. Meddelandeinformationen om inkompatibilitet genereras av Intune och kan inte anpassas.

    Viktigt

    Intune, företagsportalappen och Microsoft Intune-appen kan inte garantera leverans av push-meddelanden. Meddelanden kan visas efter flera timmars fördröjning, om alls. Detta inkluderar när användare har inaktiverat push-meddelanden.

    Förlita dig inte på den här meddelandemetoden för brådskande meddelanden.

    Varje instans av åtgärden skickar ett meddelande en gång. Om du vill skicka samma meddelande igen från en princip konfigurerar du fler instanser av åtgärden i den principen, var och en med ett annat schema.

    Du kan till exempel schemalägga den första åtgärden i noll dagar och sedan lägga till en andra instans av åtgärden inställd på tre dagar. Den här fördröjningen före det andra meddelandet ger användaren några dagar på sig att lösa problemet och undvika det andra meddelandet.

    Om du vill undvika att skicka skräppost till användare med för många dubblettmeddelanden granskar och effektiviserar du vilka efterlevnadsprinciper som innehåller ett push-meddelande om inkompatibilitet och granskar schemana för att undvika upprepade meddelanden för samma för ofta.

    Överväga:

    • För en enda princip som innehåller flera instanser av en push-meddelandeuppsättning för samma dag skickas endast ett enda meddelande för den dagen.

    • När flera efterlevnadsprinciper innehåller samma efterlevnadsvillkor och inkluderar push-meddelandeåtgärden med samma schema, skickar Intune flera meddelanden till samma enhet samma dag.

Obs!

Följande åtgärder för inkompatibilitet stöds inte för enheter som hanteras av en partner för hantering av enhetsefterlevnad:

  • Skicka e-post till slutanvändare
  • Fjärrlåsa den inkompatibla enheten
  • Lägg till enhet i listan över borttagningar
  • Skicka push-meddelanden till slutanvändaren

Innan du börjar

Du kan lägga till åtgärder för inkompatibilitet när du konfigurerar en enhetsefterlevnadsprincip eller senare genom att redigera principen. Du kan lägga till extra åtgärder i varje princip för att uppfylla dina behov. Tänk på att varje efterlevnadsprincip automatiskt innehåller standardåtgärden för inkompatibilitet som markerar enheter som inkompatibla, med ett schema inställt på noll dagar.

Om du vill använda principer för enhetsefterlevnad för att blockera enheter från företagsresurser måste villkorsstyrd åtkomst för Microsoft Entra konfigureras. Mer information finns i Villkorlig åtkomst i Microsoft Entra-ID eller vanliga sätt att använda villkorlig åtkomst med Intune .

Information om hur du skapar en enhetsefterlevnadsprincip finns i följande plattformsspecifika vägledning:

Skapa en meddelandemall

Om du vill skicka e-post till användarna skapar du en meddelandemall och associerar den med din efterlevnadsprincip som en åtgärd för inkompatibilitet. När en enhet sedan är inkompatibel visas informationen som du anger i mallen i e-postmeddelandet som skickas till användarna.

En mall för aviseringsmeddelanden kan innehålla flera meddelanden som var och en är för olika språk. När du anger flera meddelanden och nationella inställningar får inkompatibla slutanvändare lämpligt lokaliserat meddelande baserat på deras O365-språk.

Lägg till variabler i meddelandet för att skapa ett personligt e-postmeddelande med dynamiskt innehåll. I följande tabell beskrivs de variabler som du kan använda i ämnesraden och brödtexten i meddelandet.

Variabelnamn Token som ska användas Beskrivning
Användarnamn {{UserName}} Lägg till namnet på den primära användaren för den inkompatibla enheten.
Exempel: John Doe
Enhetsnamn {{DeviceName}} Lägg till namnet på den inkompatibla enheten när den registreras i Microsoft Intune.
Exempel: John's iPad
Enhets-ID {{DeviceId}} Lägg till det Intune-enhets-ID som tillhör den inkompatibla enheten.
Exempel: 12ab345c-6789-def0-1234-000000000000
Version av enhetsoperativsystem {{OSAndVersion}} Lägg till operativsystemet och versionen av den inkompatibla enheten.
Exempel: Android 12

Så här skapar du mallen

  1. Logga in på Microsoft Intune administrationscenter.

  2. Välj Slutpunktssäkerhet> Meddelandenom>enhetsefterlevnad>Skapa meddelande.

  3. På sidan Grundläggande ger du mallen ett eget namn som hjälper dig att identifiera den. Välj sedan Nästa.

  4. På sidan Inställningar för sidhuvud och sidfot lägger du till företagets information och logotyp.

    Skärmbild som visar exempel på sidan Inställningar för sidhuvud och sidfot för ett meddelande i Intune.

    Dina alternativ:

    • E-posthuvud – Visa företagslogotyp (standard = Aktivera) – Ladda upp en logotyp för att lägga till organisationens varumärkesanpassning i e-postmallarna. Mer information om varumärkesanpassning för företagsportalen finns i Anpassning av företagsidentitetsanpassning.
    • E-postsidfot – Visa företagsnamn (standard = Aktivera) – Aktivera den här inställningen om du vill visa företagets namn i e-postmeddelandet. Se Klientvärde för att granska företagets namn på posten.
    • E-postsidfot – Visa kontaktinformation (standard = Aktivera) – Aktivera den här inställningen för att visa organisationens kontaktuppgifter, till exempel namn, telefonnummer och e-postadress, i e-postmeddelandet. Se Klientvärde för att granska kontaktinformationen för posten.
    • E-postsidfot – Visa länken för företagsportalens webbplats (standard = Inaktivera) – Aktivera den här inställningen om du vill inkludera en länk till företagsportalens webbplats i e-postmeddelandet. Se Klientvärde för att granska webbplatslänken som visas för användarna.

    Gå vidare genom att klicka på Nästa.

  5. På sidan Meddelandemallar konfigurerar du ett eller flera meddelanden. Ange följande information för varje meddelande:

    • Språkvariant: Välj det språk som korrelerar med enhetsanvändarens nationella inställningar.
    • Ämne: Lägg till ämnesraden för e-postmeddelandet. Du kan ange upp till 78 tecken.
    • Raw HTML-redigerare: Aktivera HTML-redigeraren för att få förslag när du lägger till HTML-formatering och länkar till meddelandet. Du kan använda attributet href för att lägga till en länk (måste vara en HTTPS-URL). HTML-taggar som stöds är: <a>, <strong>, <b>, <u>, <ol>, <ul>, <li>, <p>, <code><br>, <table>, <tbody>, <tr>, <td>, <thead>, <th>. Du behöver inte använda HTML-redigeraren och kan lägga till HTML som stöds utan att aktivera redigeraren.
    • Meddelande: Skapa ett meddelande som förklarar orsaken till inkompatibilitet. Du kan ange upp till 2 000 tecken.

    Om du vill skapa en mall med dynamiskt innehåll infogar du token för en variabel som stöds i ämnesraden eller meddelandet. En lista över variabler som stöds finns i tabellen under Skapa en meddelandemall i den här artikeln.

    Viktigt

    Se till att endast använda HTML-taggar och attribut som stöds av Intune i meddelandetexten. Intune skickar meddelanden som innehåller andra typer av taggar, element eller format som klartext i stället för HTML-format. Detta inkluderar meddelanden som innehåller:

    • CSS
    • Taggar och attribut som inte visas i den här artikeln

    Obs!

    Intune konverterar nya radtecken i Windows-format till <br> HTML-taggar, men ignorerar alla andra typer av nya radtecken, inklusive de för macOS och Linux. För att säkerställa att radbrytningar återges korrekt i mallar rekommenderar vi att du använder taggen <br> för att ange slutet på en rad.

  6. Markera kryssrutan för Är standard för ett av meddelandena. Intune skickar standardmeddelandet till användare som inte har angett något önskat språk, eller när mallen inte innehåller något specifikt meddelande för deras nationella inställningar. Endast ett meddelande kan anges som standard. Om du vill ta bort ett meddelande väljer du ellipsen (...) och sedan Ta bort.

    Gå vidare genom att klicka på Nästa.

  7. På sidan Omfångstaggar väljer du taggar för att begränsa synligheten och hanteringen av det här meddelandet till specifika Intune-administratörsgrupper, till exempel US-NC IT Team eller JohnGlenn_ITDepartment. Mer information om omfångstaggar finns i Använda RBAC och omfångstaggar för distribuerad IT.

    Gå vidare genom att klicka på Nästa.

  8. På sidan Granska + skapa granskar du konfigurationerna för att se till att meddelandemallen är redo att användas. Välj Skapa för att slutföra skapandet av meddelandet.

Visa och redigera meddelanden

Meddelanden som har skapats är tillgängliga på sidanMeddelanden om efterlevnadsprinciper>. På sidan kan du välja ett meddelande för att visa dess konfiguration och:

  • Välj Skicka förhandsgranskningsmeddelande för att skicka en förhandsgranskning av e-postmeddelandet till det konto som du har använt för att logga in på Intune.

    Om du vill skicka förhandsversionen av e-postmeddelandet måste ditt konto ha behörigheter som är lika med för följande Microsoft Entra-grupper eller Intune-roller: Intune-administratör (även kallat Intune-tjänstadministratör) eller Princip- och profilhanterare.

  • Välj Redigera för grundläggande taggar eller omfångstaggar för att göra en ändring.

Obs!

Förhandsgranskningsmeddelandet innehåller inte de enhetsvariabler som anges i meddelandemallen.

Lägg till åtgärder vid inkompatibilitet

När du skapar en princip för enhetsefterlevnad skapar Intune automatiskt en åtgärd för inkompatibilitet. Om en enhet inte uppfyller din efterlevnadsprincip markerar den här åtgärden enheten som inkompatibel. Du kan anpassa hur länge enheten är markerad som inkompatibel. Det går inte att ta bort den här åtgärden.

Du kan lägga till valfria åtgärder när du skapar en efterlevnadsprincip eller uppdaterar en befintlig princip.

  1. Logga in på Microsoft Intune administrationscenter.

  2. Gå tillEnhetsefterlevnad>.

  3. Välj en princip och välj sedan Egenskaper.

    Har du ingen princip än? Skapa en Princip för Android, iOS, Windows eller någon annan plattform.

    Obs!

    Enheter som hanteras av partner för enhetsefterlevnad från tredje part som är mål för enhetsgrupper kan för närvarande inte ta emot efterlevnadsåtgärder.

  4. Välj Åtgärder för redigering av inkompatibilitet>.

  5. Välj din åtgärd:

    • Skicka e-post till slutanvändare: När enheten inte är kompatibel väljer du att skicka e-post till användaren. Också:

      • Välj den meddelandemall som du skapade tidigare
      • Ange eventuella ytterligare mottagare genom att välja grupper
    • Fjärrlåsa den inkompatibla enheten: När enheten inte är kompatibel låser du enheten. Den här åtgärden tvingar användaren att ange en PIN-kod eller ett lösenord för att låsa upp enheten.

    • Lägg till enhet i listan över borttagna enheter: När enheten inte är kompatibel tar du bort alla företagsdata från enheten och tar bort enheten från Intune-hanteringen.

    • Skicka push-meddelanden till slutanvändaren: Konfigurera den här åtgärden för att skicka ett push-meddelande om inkompatibilitet till en enhet via företagsportalappen eller Intune-appen på enheten.

  6. Konfigurera ett schema: Ange antalet dagar (0 till 365) efter inkompatibilitet för att utlösa åtgärden på användarnas enheter. Efter den här respitperioden kan du framtvinga en princip för villkorlig åtkomst . Om du anger 0 (noll) antal dagar börjar villkorsstyrd åtkomst gälla omedelbart. Om en enhet till exempel är inkompatibel använder du villkorlig åtkomst för att blockera åtkomsten till e-post, SharePoint och andra organisationsresurser omedelbart.

    När du skapar en efterlevnadsprincip skapas automatiskt åtgärden Markera enheten som inkompatibel och anges automatiskt till 0 dagar (omedelbart). Med den här åtgärden, när enheten checkar in med Intune och utvärderar principen, om den inte är kompatibel med den principen markerar Intune omedelbart enheten som inkompatibel. Om klienten checkar in vid ett senare tillfälle efter att ha åtgärdat de problem som leder till inkompatibilitet uppdateras dess status till dess nya efterlevnadsstatus. Om du använder villkorsstyrd åtkomst gäller dessa principer även så snart en enhet har markerats som inkompatibel. Om du vill ange en respitperiod så att ett villkor för inkompatibilitet kan åtgärdas innan enheten markeras som inkompatibel ändrar du schemat för åtgärden Markera enheten som inkompatibel .

    I din efterlevnadsprincip vill du till exempel även meddela användaren. Du kan lägga till åtgärden Skicka e-post till slutanvändaren . I den här åtgärden Skicka e-post ställer du in Schema på två dagar. Om enheten eller slutanvändaren fortfarande utvärderas som inkompatibel dag två skickas e-postmeddelandet dag två. Om du vill skicka e-post till användaren igen på dag fem av inkompatibiliteten lägger du till en annan åtgärd och anger Schema till fem dagar.

    Mer information om efterlevnad och de inbyggda åtgärderna finns i efterlevnadsöversikten.

  7. När du är klar väljer du Lägg till>OK för att spara ändringarna.

Nästa steg

Övervaka dina principer.