สํารวจนโยบายการปฏิบัติตามกฎระเบียบของอุปกรณ์

  • 5 นาที

นโยบายการปฏิบัติตามกฎระเบียบจะกําหนดกฎและการตั้งค่าที่ควรกําหนดค่าบนอุปกรณ์เพื่อให้ถือว่าเป็นไปตามข้อกําหนด หลังจากที่คุณกําหนดค่าและปรับใช้นโยบายการปฏิบัติตามกฎระเบียบแล้ว คุณสามารถตรวจสอบสถานะการปฏิบัติตามกฎระเบียบของอุปกรณ์และอุปกรณ์แต่ละรายการที่มีการกําหนดค่าในลักษณะที่คาดไว้ได้

ก่อนที่คุณจะสามารถใช้นโยบายการปฏิบัติตามกฎระเบียบกับอุปกรณ์ได้ คุณต้องลงทะเบียนใน Intune ก่อน เมื่อลงทะเบียนแล้ว สามารถเพิ่มอุปกรณ์ลงในกลุ่มอุปกรณ์ได้โดยอัตโนมัติ หากมีการกําหนดนโยบายการปฏิบัติตามกฎระเบียบให้กับกลุ่มนั้นนโยบายจะถูกประเมินบนอุปกรณ์โดยมีสถานะการปฏิบัติตามกฎระเบียบที่รายงานไปยัง Intune โดยอัตโนมัติและแสดงในพอร์ทัล

นโยบายการปฏิบัติตามกฎระเบียบของอุปกรณ์จะสร้างการตั้งค่าที่จําเป็นสําหรับ:

  • รหัส ผ่าน
  • การเข้ารหัสลับ
  • อุปกรณ์ที่ถูกคุกหรือรูท
  • เวอร์ชันขั้นต่ําของระบบปฏิบัติการ
  • เวอร์ชันระบบปฏิบัติการสูงสุด
  • ระดับการป้องกันภัยคุกคามมือถือสูงสุด

เมื่ออุปกรณ์ลงทะเบียนใน Intune ข้อมูลรวมถึงสถานะการปฏิบัติตามกฎระเบียบจะถูกเพิ่มไปยังรหัส Microsoft Entra นโยบายการปฏิบัติตามกฎระเบียบจะถูกกําหนดให้กับผู้ใช้มากกว่าอุปกรณ์ นโยบายการเข้าถึงตามเงื่อนไขใช้ประโยชน์จากข้อมูล Microsoft Entra เพื่อบล็อกหรือให้สิทธิ์การเข้าถึงอีเมลและข้อมูลองค์กรอื่น ๆ ไม่จําเป็นต้องใช้นโยบายการปฏิบัติตามข้อกําหนดร่วมกับการเข้าถึงแบบมีเงื่อนไข นโยบายการปฏิบัติตามกฎระเบียบสามารถใช้เพื่อวัตถุประสงค์ในการรายงานเท่านั้น

นโยบายการปฏิบัติตามนโยบายของ Intune จะถูกสร้างขึ้นในส่วนอุปกรณ์ของศูนย์การจัดการ Intune แดชบอร์ดการปฏิบัติตามกฎระเบียบของอุปกรณ์สําหรับการตรวจสอบสามารถพบได้ภายใต้รายงาน

ตามค่าเริ่มต้น เมื่อ Intune ตรวจพบอุปกรณ์ที่ไม่ตรงตามมาตรฐาน อุปกรณ์จะทําเครื่องหมายอุปกรณ์ว่าไม่ตรงตามมาตรฐานทันที ในแต่ละนโยบายการปฏิบัติตามกฎระเบียบ คุณสามารถกําหนดค่าการดําเนินการสําหรับอุปกรณ์ที่ไม่สอดคล้องกัน ซึ่งเพิ่มความยืดหยุ่นในการตัดสินใจว่าจะทําอะไร ตัวอย่างเช่น ในสถานการณ์ทั่วไป องค์กรจะบล็อกการเข้าถึงทรัพยากรของบริษัทจากอุปกรณ์ที่ไม่สอดคล้องกัน อย่างไรก็ตาม คุณสามารถกําหนดค่านโยบายการปฏิบัติตามกฎระเบียบที่อนุญาตให้อุปกรณ์ที่ไม่สอดคล้องกันเข้าถึงทรัพยากรของบริษัทได้ตราบใดที่อุปกรณ์เป็นไปตามข้อกําหนดภายในช่วงเวลาผ่อนผันที่ระบุ ถ้าไม่ปฏิบัติตามไม่ได้ในเวลานั้น อุปกรณ์จะไม่สามารถเข้าถึงทรัพยากรของบริษัทได้อีกต่อไป

มีการดําเนินการที่ไม่สอดคล้องกันสองชนิด:

  • แจ้งให้ผู้ใช้ปลายทางทราบผ่านทางอีเมล คุณสามารถกําหนดการแจ้งเตือนทางอีเมลก่อนที่จะส่งไปยังผู้ใช้ปลายทางได้ คุณสามารถกําหนดผู้รับ เรื่อง และเนื้อหาข้อความเองได้ รวมถึงโลโก้บริษัท และข้อมูลที่ติดต่อ Intune มีรายละเอียดเกี่ยวกับอุปกรณ์ที่ไม่เป็นไปตามข้อกําหนดในการแจ้งเตือนทางอีเมล
  • ทําเครื่องหมายที่ไม่ตรงตามมาตรฐานของอุปกรณ์ คุณสามารถระบุจํานวนวันหลังจากที่มีการทําเครื่องหมายอุปกรณ์ว่าไม่สอดคล้องกัน ซึ่งสามารถทําได้ทันทีหลังจากที่อุปกรณ์ถูกตั้งค่าสถานะว่าไม่สอดคล้องกัน หรือคุณสามารถให้ช่วงเวลาผ่อนผันแก่ผู้ใช้ซึ่งเขาหรือเธอสามารถอัปเดตอุปกรณ์เพื่อให้เป็นไปตามข้อกําหนด หากอุปกรณ์ยังคงไม่ตรงตามมาตรฐานหลังจากจํานวนวันที่ระบุ อุปกรณ์ดังกล่าวจะถูกทําเครื่องหมายว่าไม่ตรงตามมาตรฐาน

นโยบายการปฏิบัติตามกฎระเบียบของอุปกรณ์สามารถใช้ในลักษณะต่อไปนี้:

  • ที่มีการเข้าถึงแบบมีเงื่อนไข สําหรับอุปกรณ์ที่สอดคล้องกับกฎนโยบาย คุณสามารถอนุญาตให้อุปกรณ์เหล่านั้นเข้าถึงอีเมลและทรัพยากรอื่น ๆ ของบริษัทได้ หากอุปกรณ์ไม่สอดคล้องกับกฎนโยบาย พวกเขาจะไม่สามารถเข้าถึงแหล่งข้อมูลของบริษัทได้
  • โดยไม่มีการเข้าถึงแบบมีเงื่อนไข คุณยังสามารถใช้นโยบายการปฏิบัติตามข้อกําหนดของอุปกรณ์ได้โดยไม่ต้องมีการเข้าถึงแบบมีเงื่อนไข เมื่อคุณใช้นโยบายการปฏิบัติตามกฎระเบียบโดยไม่มีการเข้าถึงแบบมีเงื่อนไข จะไม่มีข้อจํากัดการเข้าถึงแหล่งข้อมูลของบริษัท

ใช้กลุ่มอุปกรณ์ Microsoft Entra สําหรับนโยบาย

ขอแนะนําให้คุณใช้กลุ่ม Microsoft Entra สําหรับผู้ใช้และอุปกรณ์เพื่อใช้นโยบายประเภทใดก็ได้ที่ใช้กับ Intune คุณสามารถสร้างกลุ่มใน Microsoft Entra ID พร้อมการเป็นสมาชิกแบบไดนามิกโดยระบุกฎเพื่อกําหนดสมาชิกตามผู้ใช้หรือคุณสมบัติอุปกรณ์ เมื่อแอตทริบิวต์ของผู้ใช้หรืออุปกรณ์มีการเปลี่ยนแปลง Microsoft Entra ID จะประเมินกลุ่มแบบไดนามิกทั้งหมดในไดเรกทอรีเพื่อดูว่าการเปลี่ยนแปลงจะทริกเกอร์กลุ่มใด ๆ ที่เพิ่มหรือลบออกหรือไม่ ถ้าผู้ใช้หรืออุปกรณ์เหมาะสมกับกฎในกลุ่ม พวกเขาจะถูกเพิ่มเป็นสมาชิกของกลุ่มนั้น ถ้าพวกเขาไม่เป็นไปตามกฎอีกต่อไป จะถูกเอาออกจากกลุ่ม

กฎการเป็นสมาชิกกลุ่มถูกใช้เพื่อเติมกลุ่มด้วยผู้ใช้หรืออุปกรณ์โดยอัตโนมัติ นี่คือนิพจน์ไบนารีที่ส่งผลให้ได้ผลลัพธ์ True หรือ False สามส่วนของกฎการเป็นสมาชิกกลุ่มอย่างง่ายได้แก่:

  • คุณสมบัติ ระบุแอตทริบิวต์วัตถุ ตัวอย่างเช่น คุณสามารถใช้ user.department เพื่ออ้างอิงแอตทริบิวต์ Department ของวัตถุผู้ใช้ หรือ device.displayName เพื่ออ้างอิงแอตทริบิวต์ displayName ของวัตถุอุปกรณ์
  • ตัวดําเนินการ สามารถเป็นหนึ่งในตัวดําเนินการที่ได้รับการสนับสนุน เช่น Equals (-eq), Starts With (-startsWith), Contains (-contains) หรือ Match (-match)
  • ค่า ค่าที่คุณต้องการประเมินคุณสมบัติโดยใช้ตัวดําเนินการ

ตัวอย่างเช่น คุณจะใช้กฎการเป็นสมาชิกกลุ่มต่อไปนี้เพื่อรวมอุปกรณ์ทั้งหมดที่ผลิตโดย Microsoft:

device.deviceManufacturer -eq "Microsoft