在 Microsoft Intune 中建立合規性

文章
04/03/2024

使用 Intune 來保護組織的資源時，裝置合規性原則是一項重要功能。在 Intune 中，您可以建立裝置必須符合才能視為符合規範的規則和設定，例如最低 OS 版本。如果裝置不符合規範，您可以使用條件式存取來封鎖對數據和資源的存取。

您也可以採取不符合規範的動作，例如傳送通知電子郵件給使用者。如需合規性原則的用途及其使用方式的概觀，請參閱開始使用裝置合規性。

本文：

清單建立相容性原則的必要條件和步驟。
示範如何將原則指派給您的用戶和裝置群組。
描述其他功能，包括範圍標籤以「篩選」您的原則，以及您可以在不符合規範的裝置上採取的步驟。
清單裝置接收原則更新時的簽入重新整理周期時間。

開始之前

若要使用裝置合規性政策，請確定您：

使用下列訂用帳戶：
- Intune
- 如果您使用條件式存取，則需要 Microsoft Entra ID P1 或 P2 版本。 Microsoft Entra 定價會列出您在不同版本中取得的內容。 Intune 合規性不需要 Microsoft Entra ID。
使用支援的平臺：
- Android 裝置系統管理員
- Android AOSP
- Android Enterprise
- iOS
- Linux - Ubuntu Desktop，20.04 版 LTS 和 22.04 LTS
- macOS
- Windows 10/11

重要事項

Microsoft Intune 於 2024 年 8 月 30 日終止在可存取 Google 行動服務 (GMS) 的裝置上進行 Android 裝置系統管理員管理的支援。在該日期之後，裝置註冊、技術支援、錯誤修正和安全性修正將無法使用。如果您目前使用裝置系統管理員管理，建議您在支持結束之前，切換至 Intune 中的另一個 Android 管理選項。如需詳細資訊，請參閱終止 GMS 裝置上的 Android 裝置系統管理員支援。

在 Intune (註冊裝置，以查看合規性狀態)
向一位用戶註冊裝置，或在沒有主要用戶的情況下進行註冊。單一裝置無法向多位用戶註冊。

除了內建於 Intune 的合規性設定之外，下列平臺還支援將自定義合規性設定新增至合規性政策：

Ubuntu Desktop 20.04 版 LTS 和 22.04 LTS
Windows 10/11

您必須先準備自定義 JSON 檔案，以定義您想要以自定義合規性為基礎之設定的自定義 JSON 檔案，以及在裝置上執行以偵測 JSON 中定義之設定的腳本，才能新增自定義設定。

如需使用自定義合規性設定的詳細資訊，包括支援的平臺、必要條件，以及如何在建立原則時設定 自定義合規性 類別，請參閱使用自定義合規性設定。

建立原則

登入 Microsoft Intune 系統管理中心。
移至 [ 裝置>合規性 ]，然後選擇 [ 建立原則]。
從下列選項中選取此原則的 [平臺 ]：
- Android 裝置系統管理員
- Android (AOSP)
- Android 企業版
- iOS/iPadOS
- Linux - (Ubuntu Desktop 20.04 版 LTS 和 22.04 LTS)
- macOS
- Windows 8.1 和更新版本
- Windows 10 和更新版本
針對 Android Enterprise，您也會選取原則類型：
- 完全受控、專用和公司擁有的工作配置檔
- 個人擁有的工作配置檔
然後選 取 [建立 ] 以開啟組態頁面。
在 [ 基本] 索引標籤上 ，指定可協助您稍後識別它們的 [名稱 ]。例如，良好的原則名稱是 將iOS/iPadOS越獄裝置標示為不符合規範。

您也可以選擇指定 [描述]。
在 [ 兼容性設定] 索引標籤 上，展開可用的類別，並設定原則的設定。下列文章說明每個平臺的可用合規性設定：
將自訂設定新增至支援平台的原則。
提示

這是僅支援下列平台的選擇性步驟：
- Linux - Ubuntu Desktop，20.04 版 LTS 和 22.04 LTS
- Windows 10/11 在您可以將自定義設定新增至原則之前，您必須已將偵測腳本上傳至 Intune，並備妥 JSON 檔案，以定義您想要用於合規性的設定。請參閱自定義合規性設定。
在 [ 兼容性設定] 頁面上，展開 [ 自定義合規性] 類別：

針對 Windows：
1. 在 [ 兼容性設定] 頁面上，展開 [ 自定義合規性 ]，並將 [自定義合規性 ] 設定為 [需要]。
2. 針對 [選取您的探索腳本]，選取 [按兩下以選取]，然後指定先前新增至 Microsoft Intune 系統管理中心的腳本。您必須先上傳此腳本，才能開始建立原則。
3. 針對 [使用自定義兼容性設定上傳及驗證 JSON 檔案]，選取資料夾圖示，然後找出並新增您要與此原則搭配使用的 Windows JSON 檔案。如需 JSON 的協助，請參閱建立自定義合規性設定的 JSON。
針對 Linux：
1. 在 [ 兼容性設定] 頁面上，選取 [ 新增設定 ] 以開啟 [ 設定選擇器] 窗格。
2. 選 取 [自定義合規性]，然後選取 [8]。
3. 回到 [ 兼容性設定] 頁面，選取 [ 需要自定義兼容性 ] 的切換開關，將它變更為 True。
4. 針對 [選取您的探索腳本]，選取 [設定可重複使用的設定]，然後指定先前新增至 Microsoft Intune 系統管理中心的腳本。在您開始建立原則之前，必須先上傳此腳本。
5. 針對 [選取您的規則檔案]，選取資料夾圖示，然後找出並新增您要與此原則搭配使用的Linux JSON 檔案。如需 JSON 的協助，請參閱建立自定義合規性設定的 JSON。
您輸入的 JSON 會經過驗證，而且會顯示任何問題。驗證 JSON 內容之後，JSON 中的規則會以數據表格式顯示。
在 [不符合 規範的 動作] 索引標籤上，指定要自動套用至不符合此合規性原則之裝置的一系列動作。

您可以新增多個動作，並設定某些動作的排程和詳細數據。例如，您可能會將預設動作 標記裝置不符合規範 的排程變更為在一天后發生。然後，您可以新增動作，以在裝置不符合規範時傳送電子郵件給使用者，以警告他們該狀態。您也可以新增鎖定或淘汰保持不相容裝置的動作。

如需您可以設定之動作的相關信息，請參閱新增不符合規範裝置的動作，包括如何建立通知電子郵件以傳送給您的使用者。

另一個範例包括使用您至少將一個位置新增至合規性政策的位置。在此情況下，當您選取至少一個位置時，會套用不符合規範的默認動作。如果裝置未連線到任何選取的位置，則會被視為不符合規範。您可以設定排程，為使用者提供寬限期，例如一天。
在 [ 範圍卷標] 索引 標籤上，選取標籤以協助篩選特定群組的原則，例如 US-NC IT Team 或 JohnGlenn_ITDepartment。新增設定之後，您也可以將範圍標籤新增至合規性原則。

如需使用範圍標籤的相關信息，請參閱使用範圍標籤來篩選原則。
在 [ 指派] 索引標籤 上，將原則指派給您的群組。

選 取 [+ 選取要包含的群組] ，然後將原則指派給一或多個群組。當您在下一個步驟之後儲存原則時，原則會套用至這些群組。

Linux 的原則不支援以用戶為基礎的指派，而且只能指派給裝置群組。

在 [ 檢閱 + 建立] 索引卷標上，檢閱設定， 然後選取 [準備好儲存合規性政策時建立]。

當使用者或裝置使用 Intune 簽入時，系統會評估您原則的目標使用者或裝置是否符合規範。

重新整理週期時間

Intune 使用不同的重新整理週期來檢查合規性原則的更新。如果裝置最近註冊，則調查執行的頻率會更高。原則和配置檔重新整理週期會列出估計的重新整理時間。

用戶隨時都可以開啟公司入口網站應用程式，並同步裝置以立即檢查原則更新。

指派 InGracePeriod 狀態

合規性原則的 InGracePeriod 狀態是一個值。此值取決於裝置寬限期的組合，以及該合規性原則的裝置實際狀態。

具體來說，如果裝置具有指派合規性原則的不符合規範狀態，以及：

裝置沒有指派寬限期，則合規性政策指派的值為 NonCompliant
裝置的寬限期已過期，則合規性政策指派的值為 NonCompliant
裝置具有未來的寬限期，則合規性政策指派的值為 InGracePeriod

下表摘要說明下列幾點：

實際合規性狀態	指派寬限期的值	有效的合規性狀態
不符合規範	未指派寬限期	不符合規範
不符合規範	昨天的日期	不符合規範
不符合規範	明天的日期	InGracePeriod

如需監視裝置合規性原則的詳細資訊，請參閱監視 Intune 裝置合規性原則。

指派產生的合規性政策狀態

如果裝置有多個合規性政策，且裝置對於兩個或多個指派的合規性原則有不同的合規性狀態，則會指派單一產生的合規性狀態。此指派是以指派給每個合規性狀態的概念性嚴重性層級為基礎。每個合規性狀態都有下列嚴重性層級：

狀態	嚴重性
Unknown	1
NotApplicable	2
Compliant	3
InGracePeriod	4
不符合規範	5
錯誤	6

當裝置有多個合規性原則時，則會將所有原則的最高嚴重性層級指派給該裝置。

例如，裝置有三個指派的合規性原則：一個未知狀態 (嚴重性 = 1) 、一個相容狀態 (嚴重性 = 3) ，另一個 InGracePeriod 狀態 (嚴重性 = 4) 。 InGracePeriod 狀態具有最高嚴重性層級。因此，這三個原則都有 InGracePeriod 合規性狀態。

後續步驟

監視您的原則。