Intune 中 Windows 10/11 的设备符合性设置

本文列出并介绍了可以在 Intune 中的 Windows 设备上配置的不同符合性设置。 作为移动设备管理 (MDM) 解决方案的一部分,请使用这些设置来要求 BitLocker、设置最低和最大操作系统、使用 Microsoft Defender for Endpoint 设置风险级别等。

此功能适用于:

  • Windows 10/11
  • Windows Holographic for Business
  • Surface Hub

作为 Intune 管理员,使用这些符合性设置来帮助保护组织资源。 若要详细了解合规性策略及其用途,请参阅 设备合规性入门

开始之前

创建符合性策略。 对于 平台,请选择 Windows 10 和更高版本

设备运行状况

为确保设备启动到受信任状态,Intune 利用Microsoft设备证明服务。 运行 Windows 10 的 Intune 商业版、美国政府 GCC High 和 DoD 服务中的设备使用设备运行状况证明 (DHA) 服务。

有关更多信息,请参阅:

Windows 运行状况证明服务评估规则

  • 需要 BitLocker
    Windows BitLocker 驱动器加密会加密存储在 Windows 操作系统卷上的所有数据。 BitLocker 使用受信任的平台模块 (TPM) 来帮助保护 Windows 操作系统和用户数据。 它还有助于确认计算机未被篡改,即使计算机在无人看管、丢失或被盗的情况下也是如此。 如果计算机配备了兼容的 TPM,BitLocker 将使用 TPM 来锁定保护数据的加密密钥。 因此,在 TPM 验证计算机状态之前,无法访问密钥。

    • 未配置 (默认) - 不会评估此设置是否符合性。
    • 需要 - 设备可以在系统关闭或休眠时保护存储在驱动器上的数据免受未经授权的访问。

    Device HealthAttestation CSP - BitLockerStatus

    注意

    如果在 Intune 中使用设备符合性策略,请注意此设置的状态仅在启动时测量。 因此,即使 BitLocker 加密可能已完成,也需要重新启动,以便设备检测到此情况并符合要求。 有关详细信息,请参阅以下有关 设备运行状况证明Microsoft支持博客。

  • 要求在设备上启用安全启动

    • 未配置 (默认) - 不会评估此设置是否符合性。
    • 需要 - 系统强制启动到工厂受信任的状态。 用于启动计算机的核心组件必须具有制造设备的组织信任的正确加密签名。 UEFI 固件在允许计算机启动之前验证签名。 如果任何文件被篡改,这会破坏其签名,则系统不会启动。

    注意

    某些 TPM 1.2 和 2.0 设备上支持 “要求在设备上启用安全启动 ”设置。 对于不支持 TPM 2.0 或更高版本的设备,Intune 中的策略状态显示为 “不符合”。 有关支持的版本的详细信息,请参阅 设备运行状况证明

  • 要求代码完整性
    代码完整性是每次将驱动程序或系统文件加载到内存中时验证其完整性的功能。

    • 未配置 (默认) - 不会评估此设置是否符合性。
    • 必需 - 需要代码完整性,用于检测是否正在将未签名的驱动程序或系统文件加载到内核中。 它还检测系统文件是否被恶意软件更改或由具有管理员权限的用户帐户运行。

有关更多信息,请参阅:

设备属性

操作系统版本

若要发现所有 Windows 10/11 功能更新和累积更新 (的内部版本,) 下面的某些字段中使用,请参阅 Windows 版本信息。 请确保在内部版本号之前包含相应的版本前缀,如以下示例所示,Windows 10 的 10.0。

  • 最低操作系统版本
    major.minor.build.revision 编号 格式输入允许的最低版本。 若要获取正确的值,请打开命令提示符,然后键入 ver。 命令 ver 按以下格式返回版本:

    Microsoft Windows [Version 10.0.17134.1]

    如果设备的版本早于输入的 OS 版本,则会将其报告为不符合要求。 将显示一个链接,其中包含有关如何升级的信息。 最终用户可以选择升级其设备。 升级后,他们可以访问公司资源。

  • 最大操作系统版本
    major.minor.build.revision 编号 格式输入允许的最大版本。 若要获取正确的值,请打开命令提示符,然后键入 ver。 命令 ver 按以下格式返回版本:

    Microsoft Windows [Version 10.0.17134.1]

    当设备使用的 OS 版本低于输入的版本时,将阻止对组织资源的访问。 要求最终用户联系其 IT 管理员。 在规则更改为允许 OS 版本之前,设备无法访问组织资源。

  • 移动设备所需的最低 OS
    以 major.minor.build 编号格式输入允许的最低版本。

    如果设备具有你输入的 OS 版本的早期版本,则会将其报告为不符合要求。 将显示一个链接,其中包含有关如何升级的信息。 最终用户可以选择升级其设备。 升级后,他们可以访问公司资源。

  • 移动设备所需的最大 OS 数:
    在 major.minor.build 号中输入允许的最大版本。

    当设备使用的 OS 版本低于输入的版本时,将阻止对组织资源的访问。 要求最终用户联系其 IT 管理员。 在规则更改为允许 OS 版本之前,设备无法访问组织资源。

  • 有效的操作系统版本
    指定最小和最大操作系统版本的列表。 与最低和最大操作系统版本进行比较时,有效的操作系统版本提供了更大的灵活性。 假设最低操作系统版本设置为 10.0.18362.xxx (Windows 10 1903) 最高操作系统版本设置为 10.0.18363.xxx (Windows 10 1909) 。 此配置可以允许未安装最近累积更新的 Windows 10 1903 设备被标识为合规。 如果你已在单个 Windows 10 版本上标准化,则最低和最大 OS 版本可能适用,但如果需要使用多个版本(每个版本具有特定修补程序级别),则可能无法满足你的要求。 在这种情况下,请考虑改用有效的操作系统版本,这允许根据以下示例指定多个生成。

    每个版本、主要、次要和生成字段支持的最大值为 65535。 例如,可输入的最大值为 65535.65535.65535。

    示例
    下表是不同 Windows 10 版本的可接受操作系统版本的范围示例。 在此示例中, (1809、1909 和 2004) 允许三种不同的功能更新。 具体而言,仅那些从 2020 年 6 月到 9 月应用了累积更新的 Windows 版本才会被视为合规。 这只是示例数据。 该表包含第一列,其中包含要描述条目的任何文本,后跟该条目的最低和最高 OS 版本。 第二列和第三列必须遵循 major.minor.build.revision 编号 格式的有效 OS 内部版本。 定义一个或多个条目后,可以将列表 导出 为逗号分隔值 (CSV) 文件。

    说明 最低 OS 版本 最高 OS 版本
    Win 10 2004 (2020 年 6 月至 9 月) 10.0.19041.329 10.0.19041.508
    Win 10 1909 (2020 年 6 月至 9 月) 10.0.18363.900 10.0.18363.1110
    Win 10 1809 (2020 年 6 月至 9 月) 10.0.17763.1282 10.0.17763.1490

    注意

    如果在策略中指定了多个操作系统版本版本范围,并且设备的内部版本超出了兼容范围,公司门户将通知设备用户设备不符合此设置。 但是,请注意,由于技术限制,合规性修正消息仅显示策略中指定的第一个 OS 版本范围。 建议记录组织中托管设备的可接受 OS 版本范围。

Configuration Manager 符合性

仅适用于运行 Windows 10/11 的共同管理设备。 仅限 Intune 的设备返回不可用状态。

  • 要求 Configuration Manager 的设备符合性
    • 配置 (默认) - Intune 不会检查任何 Configuration Manager 设置的符合性。
    • 必需 - 要求 Configuration Manager 中) (配置项目的所有设置都符合要求。

系统安全

Password

  • 需要密码才能解锁移动设备

    • 未配置 (默认) - 不会评估此设置是否符合性。
    • 需要 - 用户必须输入密码才能访问其设备。
  • 简单密码

    • 未配置 (默认) - 用户可以创建简单密码,例如 12341111
    • 阻止 - 用户无法创建简单密码,例如 12341111
  • 密码类型
    选择所需的密码或 PIN 类型。 选项包括:

    • 设备默认 (默认) - 需要密码、数字 PIN 或字母数字 PIN
    • 数字 - 需要密码或数字 PIN
    • 字母数字 - 需要密码或字母数字 PIN。

    设置为 字母数字时,以下设置可用:

  • 最小密码长度
    输入密码必须具有的最小位数或字符数。

  • 需要密码之前处于非活动状态的最大分钟数
    输入用户必须重新输入其密码之前的空闲时间。

  • 密码过期 (天)
    输入密码过期前的天数,并且必须创建一个新密码,范围从 1 到 730。

  • 防止重复使用的先前密码数
    输入以前使用过的不能使用的密码数。

  • 当设备从空闲状态返回时需要密码 (移动和全息)

    • 未配置 (默认)
    • 必需 - 要求设备用户每次设备从空闲状态返回时输入密码。

    重要

    当 Windows 桌面上的密码要求发生更改时,用户下次登录时会受到影响,因为此时设备从空闲状态变为活动状态。 仍会提示具有满足要求的密码的用户更改其密码。

加密

  • 设备上数据存储的加密
    此设置适用于设备上的所有驱动器。

    • 未配置 (默认)
    • 需要 - 使用 “需要” 加密设备上的数据存储。

    DeviceStatus CSP - DeviceStatus/Compliance/EncryptionCompliance

    注意

    设备上的 数据存储加密 设置通常检查设备上是否存在加密,更具体地说是 OS 驱动器级别。 目前,Intune 仅支持使用 BitLocker 进行加密检查。 若要获得更可靠的加密设置,请考虑使用 “需要 BitLocker”,它利用 Windows 设备运行状况证明在 TPM 级别验证 BitLocker 状态。 但是,当利用此设置时,请注意,可能需要重新启动,然后设备才会反映为合规。

设备安全性

  • 防火墙

    • 未配置 (默认) - Intune 不会控制 Windows 防火墙,也不会更改现有设置。
    • 需要 - 打开 Windows 防火墙,并阻止用户将其关闭。

    防火墙 CSP

    注意

    • 如果设备在重新启动后立即同步,或立即从睡眠状态同步,则此设置可能会报告为 错误。 此方案可能不会影响设备的总体符合性状态。 若要重新评估符合性状态,请手动 同步设备

    • 例如,如果 (应用配置,则通过组策略) 配置 Windows 防火墙以允许所有入站流量的设备,或关闭防火墙 ,即使 Intune 设备配置策略打开防火墙,将防火墙设置为 “需要 ”也会返回 “不合规”。 这是因为组策略对象替代 Intune 策略。 若要解决此问题,建议删除任何冲突的组策略设置,或将防火墙相关的组策略设置迁移到 Intune 设备配置策略。 通常,建议 保留默认设置,包括阻止入站连接。 有关详细信息,请参阅 配置 Windows 防火墙的最佳做法

  • 受信任的平台模块 (TPM)

    • 配置 (默认) - Intune 不会检查设备的 TPM 芯片版本。
    • 需要 - Intune 检查 TPM 芯片版本是否合规。 如果 TPM 芯片版本大于 0 (零) ,则设备符合要求。 如果设备上没有 TPM 版本,则设备不符合。

    DeviceStatus CSP - DeviceStatus/TPM/SpecificationVersion

  • 防病毒

    • 配置 (默认) - Intune 不会检查设备上安装的任何防病毒解决方案。
    • 要求 - 使用在 Windows 安全中心注册的防病毒解决方案(如 Symantec 和 Microsoft Defender)检查合规性。 如果设置为“需要”,则禁用其防病毒软件或已过期的设备不符合要求。

    DeviceStatus CSP - DeviceStatus/防病毒/状态

  • 反间谍软件

    • 未配置 (默认) - Intune 不会检查设备上安装的任何反间谍软件解决方案。
    • 需要 - 使用在 Windows 安全中心注册的反间谍软件解决方案(例如 Symantec 和 Microsoft Defender)检查合规性。 如果设置为“需要”,则禁用其反恶意软件或已过期的设备不符合要求。

    DeviceStatus CSP - DeviceStatus/Antispyware/Status

Defender

Windows 10/11 桌面版支持以下符合性设置。

  • Microsoft Defender 反恶意软件

    • 未配置 (默认) - Intune 不会控制服务,也不会更改现有设置。
    • 需要 - 打开 Microsoft Defender 反恶意软件服务,并阻止用户将其关闭。
  • Microsoft Defender 反恶意软件最低版本
    输入 Microsoft Defender 反恶意软件服务允许的最低版本。 例如,输入 4.11.0.0。 留空时,可以使用任何版本的 Microsoft Defender 反恶意软件服务。

    默认情况下,未配置任何版本

  • Microsoft Defender 反恶意软件安全智能最新:
    控制设备上的 Windows 安全病毒和威胁防护更新。

    • 未配置 (默认) - Intune 不会强制实施任何要求。
    • 要求 - 强制 Microsoft Defender 安全智能处于最新状态。

    Defender CSP - Defender/Health/SignatureOutOfDate CSP

    有关详细信息,请参阅 Microsoft Defender 防病毒的安全智能更新和其他Microsoft反恶意软件

  • 实时保护

    • (默认) 配置 - Intune 不会控制此功能,也不会更改现有设置。
    • 需要 - 启用实时保护,以扫描恶意软件、间谍软件和其他不需要的软件。

    策略 CSP - Defender/AllowRealtimeMonitoring CSP

Microsoft Defender for Endpoint

Microsoft Defender for Endpoint 规则

有关条件访问方案中Microsoft Defender for Endpoint 集成的其他信息,请参阅 在 Microsoft Defender for Endpoint 中配置条件访问

  • 要求设备在计算机风险分数以下或以下
    使用此设置将防御威胁服务的风险评估作为合规性的条件。 选择允许的最大威胁级别:

    • 未配置 (默认)
    • Clear - 此选项是最安全的,因为设备不能有任何威胁。 如果设备被检测为具有任何级别的威胁,则会将其评估为不符合。
    • - 如果仅存在低级别威胁,则设备被评估为符合性。 如果高于,则设备处于不合规状态。
    • - 如果设备上的现有威胁为低级或中等级别,则设备被评估为符合性。 如果检测到设备存在高级威胁,则确定该设备不符合要求。
    • - 此选项最不安全,允许所有威胁级别。 如果仅将此解决方案用于报告目的,则它可能很有用。

    若要将 Microsoft Defender for Endpoint 设置为防御威胁服务,请参阅 使用条件访问启用 Microsoft Defender for Endpoint

Windows Holographic for Business

Windows Holographic for Business 使用 Windows 10 及更高版本 平台。 Windows Holographic for Business 支持以下设置:

  • 系统安全性>加密>设备上数据存储的加密

若要在 Microsoft HoloLens 上验证设备加密,请参阅 验证设备加密

Surface Hub

Surface Hub 使用 Windows 10 及更高版本 平台。 符合性和条件访问都支持 Surface Hub。 若要在 Surface Hub 上启用这些功能,建议在 Intune 中 启用 Windows 自动注册 , (需要Microsoft Entra ID) ,并将 Surface Hub 设备作为设备组。 Surface Hub 必须Microsoft Entra 联接才能符合性和条件访问。

有关指导,请参阅 为 Windows 设备设置注册

运行 Windows 10/11 团队 OS 的 Surface Hub 的特殊注意事项
运行 Windows 10/11 团队 OS 的 Surface Hub 目前不支持 Microsoft Defender for Endpoint 和密码符合性策略。 因此,对于运行 Windows 10/11 团队操作系统的 Surface Hub,请将以下两个设置设置为默认值“ 未配置”:

  • 在“ 密码”类别中,将 “需要密码才能解锁移动设备 ”设置为“ 未配置”。

  • 在“ Microsoft Defender for Endpoint”类别中,将 “要求设备处于计算机风险分数或低于计算机风险分数 ”设置为“ 未配置”。

后续步骤