Dela via


Efterlevnadsprinciper i Configuration Manager

 

Gäller för: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1

Informationen i det här ämnet gäller System Center 2012 Configuration Manager SP1 eller senare och System Center 2012 R2 Configuration Manager eller senare.

Efterlevnadsprinciper i Configuration Manager definierar de regler och inställningar som en enhet måste följa för att anses vara kompatibla med principerna för villkorlig åtkomst. Du kan också använda efterlevnadsprinciper för att övervaka och åtgärda enheters efterlevnadsproblem oberoende av villkorlig åtkomst.

System_CAPS_importantViktigt

Efterlevnadsprinciperna gäller endast för enheter som hanteras av Microsoft Intune.

Bland dessa regler finns:

  • PIN-koder och lösenord

  • Kryptering

  • Om enheten är jailbroken eller rotad

  • Om enhetens e-post hanteras av en Intune-princip

  • Lägsta version av operativsystemet krävs – detta beror vanligtvis på företagets efterlevnadsprinciper och säkerhetskrav. Detta kan förhindra åtkomst till enheter som kan innehålla säkerhetsrisker på grund av att de använder en äldre version av operativsystemet.

  • Högsta tillåtna version av operativsystemet – du kan välja att inte stödja den senaste versionen av operativsystemet innan du testar eller av andra orsaker. Du kan välja att blockera enheter som har en senare version än den som du har angett. Enheten kommer inte att kunna använda företagsresurser förrän principen har ändrats.

System_CAPS_noteInformation

Om du vill ange regler för högsta och lägsta version av operativsystemet måste du använda det senaste tillägget för villkorlig åtkomst för System Center 2012 R2 Configuration Manager SP1.

System_CAPS_noteInformation

På Windows-datorer rapporteras Windows operativsystem version 8.1, som 6.3 istället för 8.1. Om regeln för versionen av operativsystemet är inställd på Windows 8.1 för Windows kommer enheten att rapporteras som inkompatibel även om enheten har Windows operativsystem 8.1. Kontrollera att du anger rätt rapporterad version av Windows för reglerna för lägsta och högsta version av operativsystemet. Versionsnumret måste matcha den version som returneras av kommandot winver.

Windows Phone-enheter har inte det här problemet. Versionen rapporteras som 8.1 som förväntat.

Du distribuerar efterlevnadsprinciper till användarsamlingar. När en efterlevnadsprincip distribueras till en användare så kontrolleras kompatibiliteten för användarens samtliga enheter.

I följande tabell förtecknas de enhetstyper som stöds av efterlevnadsprinciper och hur inkompatibla inställningar hanteras när principen används med en princip för villkorlig åtkomst.

Enhetstyp

Konfiguration av PIN-kod eller lösenord

Enhetskryptering

Jailbreakad eller rotad enhet

E-postprofil

Lägsta version av operativsystemet

Högsta version av operativsystemet

Windows 8.1 och senare

Åtgärdad

E.t.

E.t.

E.t.

I karantän

I karantän

Windows Phone 8.1 och senare

Åtgärdad

Åtgärdad

E.t.

E.t.

I karantän

I karantän

iOS 6.0 och senare

Åtgärdad

Åtgärdad (genom angiven PIN-kod)

I karantän (inte en inställning)

I karantän

I karantän

I karantän

Android 4.0 och senare

I karantän

I karantän

I karantän (inte en inställning)

E.t.

I karantän

I karantän

Samsung KNOX Standard 4.0 och senare

I karantän

I karantän

I karantän (inte en inställning)

E.t.

I karantän

I karantän

Åtgärdad = Efterlevnad påtvingas av enhetens operativsystem (t.ex. om användaren tvingas ange en PIN-kod). Det finns inga fall där inställningen är inkompatibel.

I karantän = Enhetens operativsystem påtvingar inte efterlevnad (Android-enheter tvingar t.ex. inte användaren att kryptera enheten). Om så är fallet:

  • Enheten blockeras om användaren utsätts för en princip för villkorlig åtkomst.

  • Företagsportalen eller webbportalen meddelar användaren om eventuella efterlevnadsproblem.

Steg 1: Skapa en efterlevnadsprincip

  1. Klicka på Tillgångar och efterlevnad i Configuration Manager-konsolen.

  2. Gå till arbetsytan Tillgångar och efterlevnad, expandera Kompatibilitetsinställningar och klicka sedan på Efterlevnadsprinciper.

  3. På fliken Start i gruppen Skapa klickar du på Skapa efterlevnadsprincip.

  4. Gå till sidan Allmänt i guiden Skapa efterlevnadsprincip och ange följande:

    Inställningar

    Mer information

    Namn

    Ange ett unikt namn för efterlevnadsprincipen. Använd högst 256 tecken.

    Beskrivning

    Ange en beskrivning som ger en översikt av VPN-profilen och som gör det enkelt att identifiera den i Configuration Manager-konsolen. Använd högst 256 tecken.

    Allvarlighetsgrad för inkompatibilitet för rapporter

    Ange allvarlighetsgrad som rapporteras om efterlevnadsprincipen utvärderas som inkompatibel. Följande allvarlighetsgrader finns:

    • Ingen Enheter som inte uppfyller kompatibilitetsregeln rapporterar ingen allvarlighetsgrad för Configuration Manager-rapporter.

    • Information Enheter som inte uppfyller kompatibilitetsregeln rapporterar allvarlighetsgraden Information för Configuration Manager-rapporter.

    • Varning Enheter som inte uppfyller kompatibilitetsregeln rapporterar allvarlighetsgraden Varning för Configuration Manager-rapporter.

    • Kritisk Enheter som inte uppfyller kompatibilitetsregeln rapporterar allvarlighetsgraden Kritisk för Configuration Manager-rapporter.

    • Kritisk med händelse Enheter som inte uppfyller kompatibilitetsregeln rapporterar allvarlighetsgraden Kritisk med händelse för Configuration Manager-rapporter. Allvarlighetsgraden registreras även som en Windows-händelse i programhändelseloggen.

  5. Gå till sidan Plattformar som stöds och välj plattformar för enheten som efterlevnadsprincipen ska utvärderas på eller klicka på Välj alla för att välja alla plattformar för enheter.

  6. På sidan Regler anger du en eller flera regler som definierar konfigurationen som enheter måste ha för att utvärderas som kompatibla. De tillgängliga reglerna förklaras i följande tabell. När du skapar en efterlevnadsprincip är vissa regler aktiverade som standard, men du kan redigera eller ta bort dessa.

    Regelnamn

    Mer information

    Plattformar som stöds

    Kräv lösenordsinställningar på mobila enheter

    Kräv att användarna anger lösenord innan de ges åtkomst till sin enhet.

    (Aktiverat som standard)

    • Windows Phone 8 och senare

    • iOS 6 och senare

    • Android 4.0 och senare

    • Samsung KNOX Standard 4.0 och senare

    Tillåt enkla lösenord

    Låt användarna skapa enkla lösenord som 1234 eller 1111.

    (Inaktiverat som standard)

    • Windows Phone 8 och senare

    • iOS 6 och senare

    Minsta längd på lösenord1

    Anger det minsta antal siffror eller bokstäver som användarens lösenord måste innehålla.

    (6 som standard)

    • Windows Phone 8 och senare

    • Windows 8.1

    • iOS 6 och senare

    • Android 4.0 och senare

    • Samsung KNOX Standard 4.0 och senare

    Filkrypterng på mobil enhet

    Kräver att enheten kraaypteras för att kunna ansluta till resurserna.

    Enheter som kör Windows Phone 8 krypteras automatiskt.

    System_CAPS_importantViktigt

    Enheter som kör iOS krypteras när du konfigurerar inställningen Kräv lösenordsinställningar på mobila enheter.

    (Aktiverat som standard)

    • Windows Phone 8 och senare

    • Android 4.0 och senare

    • Samsung KNOX Standard 4.0 och senare

    Enheten får inte vara jailbrokad eller rotad

    Om denna inställning är aktiverad så är inte jailbrokade (iOS) eller rotade (Android) enheter kompatibla.

    (Inaktiverat som standard)

    • iOS 6 och senare

    • Android 4.0 och senare

    • Samsung KNOX Standard 4.0 och senare

    E-postprofilen måste hanteras av Intune

    När det här alternativet är valt kommer enheten att rapporteras som inkompatibel om användaren har konfigurerat ett e-postkonto på enheten som matchar en e-postprofil som distribuerades till enheten av en IT-administratör.Configuration Manager kan inte skriva över den användartillhandahållna profilen, och kan därför inte hantera den.

    För att försäkra sig om att enheten är kompatibel måste användaren ta bort de befintliga e-postinställningarna. Efter det kan Configuration Manager installera den hanterade e-postprofilen.

    Information om e-postprofiler finns i Aktivera åtkomst till företagets e-post med hjälp av e-postprofiler med Microsoft Intune.

    (Inaktiverat som standard)

    • iOS 6 och senare

    E-postprofil

    Om E-postkontot måste hanteras av Intune har valts klickar du på Välj för att välja den e-postprofil som enheterna måste hanteras av. E-postprofilen måste finnas på enheten.

    • iOS 6 och senare

    Lägsta version av operativsystemet krävs

    När en enhet inte uppfyller minimikraven för versionen av operativsystemet rapporteras den som inkompatibel. En länk med information om hur du uppgraderar visas. Slutanvändaren kan välja att uppgradera enheten och kan sedan komma åt företagets resurser.

    • Windows Phone 8 och senare

    • Windows 8.1

    • iOS 6 och senare

    • Android 4.0 och senare

    • Samsung KNOX Standard 4.0 och senare

    Högsta tillåtna version av operativsystemet

    När en enhet använder en senare version av operativsystemet än den som angetts i regeln blockeras åtkomsten till företagsresurser och användaren ombeds kontakta sin IT-administratör. Enheten kan inte användas för att komma åt företagsresurser förrän regeln för att tillåta versionen av operativsystemet har ändrats.

    • Windows Phone 8 och senare

    • Windows 8.1

    • iOS 6 och senare

    • Android 4.0 och senare

    • Samsung KNOX Standard 4.0 och senare

    1 För enheter som kör Windows och som är säkrade med ett Microsoft-konto utvärderas efterlevnadsprincipen inte korrekt om Minsta längd på lösenord är större än 8 tecken eller om Minsta antal teckenuppsättningar är större än 2.

  7. Granska inställningarna som du har gjort på sidan Sammanfattning i guiden och slutför sedan guiden.

Den nya principen visas i noden Efterlevnadsprinciper på arbetsytan Tillgångar och efterlevnad.

Distribuera en efterlevnadsprincip

  1. Klicka på Tillgångar och efterlevnad i Configuration Manager-konsolen.

  2. Gå till arbetsytan Tillgångar och efterlevnad, expandera Kompatibilitetsinställningar och klicka sedan på Efterlevnadsprinciper.

  3. På fliken Start går du till gruppen Distribution och klickar på Distribuera.

  4. I dialogrutan Distribuera efterlevnadsprincip klickar du på Bläddra för att välja användarsamlingen som principen ska distribueras i.

    Du kan också välja alternativ för att generera aviseringar när principen inte är kompatibel samt konfigurera schemat som den här efterlevnadsprincipen ska utvärderas efter.

  5. När du är klar klickar du på OK.

Övervaka efterlevnadsprincipen

Så här visar du kompatibilitetsresultat i Configuration Manager-konsolen

  1. Klicka på Övervakning i Configuration Manager-konsolen.

  2. I arbetsytan Övervakning klickar du på Distributioner.

  3. I listan Distributioner väljer du den distribution för efterlevnadsprinciper som du vill visa kompatibilitetsinformation för.

  4. Du kan granska sammanfattningsinformation om kompatibiliteten för principdistributionen på huvudsidan. Om du vill visa mer detaljerad information markerar du distributionen och går till fliken Start. I gruppen Distribution klickar du på Visa status. Sidan Distributionsstatus visas.

    På sidan Distributionsstatus finns följande flikar:

    - **Kompatibel**: Visar kompatibiliteten för principen som baseras på antalet påverkade tillgångar. Du kan klicka på en regel om du vill skapa en tillfällig nod under noden **Användare** eller **Enheter** i arbetsytan **Tillgångar och efterlevnad**, som innehåller alla användare eller enheter som är kompatibla med regeln. I rutan **Tillgångsdetaljer** visas de användare eller enheter som är kompatibla med principen. Om du dubbelklickar på en användare eller enhet i listan visas mer information.
    
    - **Fel**: Innehåller en lista med alla fel för den valda principdistributionen, baserat på antalet tillgångar som påverkas. Du kan klicka på en regel om du vill skapa en tillfällig nod under noden **Användare** eller **Enheter** i arbetsytan **Tillgångar och efterlevnad**, som innehåller alla användare eller enheter som genererade fel med den här regeln. När du väljer en användare eller enhet kan du visa alla användare eller enheter som påverkas av problemet i fönstret **Tillgångsinformation**. Om du dubbelklickar på en användare eller enhet i listan visas mer information om problemet.
    
    - **Inkompatibel**: Visar en lista över alla inkompatibla regler inom principen som baseras på antalet påverkade tillgångar. Du kan klicka på en regel om du vill skapa en tillfällig nod under noden **Användare** eller **Enheter** i arbetsytan **Tillgångar och efterlevnad**, som innehåller alla användare eller enheter som inte är kompatibla med den här regeln. När du väljer en användare eller enhet kan du visa alla användare eller enheter som påverkas av problemet i fönstret **Tillgångsinformation**. Om du dubbelklickar på en användare eller enhet i listan visas ytterligare information om problemet.
    
    - **Okänd**: Visar en lista över alla användare och enheter som inte rapporterade kompatibilitet för den valda principdistributionen tillsammans med enheternas aktuella klientstatus.
    

Följande steg

Du kan nu använda efterlevnadsprincipen med principer för villkorlig åtkomst och därigenom kontrollera åtkomsten till tjänster i din organisation.