合规性报告可帮助你了解设备何时无法满足 合规性策略 ,并有助于确定组织中与合规性相关的问题。 使用这些报告,可以查看以下信息:
- 设备的总体符合性状态
- 单个设置的符合性状态
- 单个策略的符合性状态
- 向下钻取到单个设备,查看影响设备的特定设置和策略
本文适用于:
- Android 设备管理员
- Android 开放源代码 平台 (AOSP)
- Android Enterprise
- iOS/iPadOS
- Linux - Ubuntu 桌面版本 22.04 LTS 或 24.04 LTS
- macOS
- Windows
重要
Android 设备管理员 (DA) 管理已弃用,不再可用于有权访问 Google 移动服务 (GMS) 的设备。 如果当前使用 DA 管理,建议切换到另一个 Android 管理选项。 某些没有 GMS 的 Android 15 及更早版本的设备仍可使用支持和帮助文档。 有关详细信息,请参阅 在 GMS 设备上结束对 Android 设备管理员的支持。
Intune包括以下用于查看设备符合性详细信息的选项:
- 设备符合性状态仪表板
- 基于策略的设备符合性报告
- 组织和运营合规性报告
设备符合性策略和状态结果的重要概念
查看符合性状态详细信息和报告时,请注意以下可能影响设备符合性状态报告方式的重要详细信息:
设备必须注册到 Intune 才能接收设备符合性策略。
租户范围的 符合性策略设置 包括“ 将未分配符合性策略的设备标记为”设置。 默认配置将未分配符合性策略的设备标记为 合规。 建议配置此设置,以便这些设备标记为 不符合。 然后,可以在 “设备不合规策略组织”报告中识别不符合的设备。
合规性报告显示设备上最后一个用户的符合性状态。 对于面向设备的策略,如果在设备上次符合性检查期间没有用户登录,则系统帐户在报告中显示为用户主体名称。
已知报告行为
Microsoft Intune中的设备符合性状态会在设备上发生更改时持续评估。 此持续评估过程有助于确保设备的符合性状况保持最新。
可能影响设备符合性状态的更改包括:
- 设备配置更新
- 操作系统版本更改
- 安全态势更新
- 策略目标或分配更改
- 用户登录活动
虽然会持续评估符合性状态,但当设备签入服务时,Microsoft Intune中的合规性策略报告会更新。 因此,管理中心中的报告反映了设备上次检查期间记录的最新已知符合性状态。 此报告模型有助于确保报表中显示的符合性信息与用于访问决策的最后确认设备状态(例如条件访问)保持一致。
在 Microsoft Intune 中查看合规性策略报告时,请注意以下报告行为:
合规性策略报告取决于设备何时签入。 报告数据在设备检查和策略刷新周期期间刷新,如果设备尚未签入,可能不会立即反映最近的策略分配或目标更改。
合规性报告显示与上次在设备上签入的用户关联的符合性状态。 在共享或多用户设备上,此行为可能导致报表反映以前用户的符合性状态。
如果设备尚未签入以接收或报告符合性策略状态,则设备可能处于挂起状态。 在某些情况下,此状态可以一直持续到下一个报告周期完成。
策略报告可能会显示同一设备的多个条目,例如与用户和系统上下文关联的单独记录。 当不同的用户登录到同一设备或发生自动设备检查时,可能会发生此行为。
摘要报告视图和详细设备列表并不总是同时更新。 更新节奏的差异可能会暂时导致摘要视图中的聚合值与详细报表中显示的条目不同。
设备符合性仪表板
可以在 Microsoft Intune 管理中心访问设备符合性仪表板。
- 转到 “设备>符合性”,然后选择“ 监视 ”选项卡。
- 从以下报告选项中进行选择,详细了解租户中的设备符合性状态:
设备合规性状态
“设备符合性状态”磁贴显示所有已注册Intune设备的符合性状态。 如果选择此磁贴,Intune显示“不符合设备”报告,该报表也可在管理中心的“设备监视器”>节点下找到。
磁贴显示以下每个类别的设备计数:
符合:设备已成功应用一个或多个设备符合性策略设置。
宽限期:设备面向一个或多个设备符合性策略设置,但尚未符合所有设置。 这通常是由于用户未应用合规配置,例如满足密码复杂性要求。 具有此状态的设备不符合要求,但在管理员定义的宽限期内。
详细了解针对不符合设备的操作。
未评估:新注册的设备的初始状态。 此状态的其他可能原因包括:
- 未分配符合性策略且没有触发器来检查符合性的设备。
- 自上次更新符合性策略以来未签入的设备。
- 未关联到特定用户的设备,例如:
- 通过 Apple 设备注册计划购买的 iOS/iPadOS 设备 (DEP) 没有用户相关性。
- Android Enterprise 专用设备。
- 使用设备注册管理器注册的设备 (DEM) 帐户。
不符合:设备无法应用一个或多个设备符合性策略设置,或者用户未遵守策略。
不合规的设备
“没有符合性策略的设备”磁贴显示未分配任何符合性策略的设备计数。 磁贴名称通常在管理中心视图中被截断,因为此磁贴仅显示设备计数:
如果选择此磁贴,Intune显示设备状态视图,其中列出了没有符合性策略的每个设备。 此视图包括设备名称、与设备关联的用户主体名称、设备符合性状态和设备型号。
提示
Intune包括一个组织报告,用于标识租户中尚未分配符合性策略的所有设备。 请参阅 没有符合性策略 (组织) 的设备。
基于策略的设备符合性报告
直接创建的每个合规性策略都支持合规性报告。 若要查看单个策略的报告,请在管理中心转到 “设备>符合性”。 然后选择要查看其报表详细信息的策略。
默认情况下,选择策略Intune将打开该策略的“监视”选项卡,其中显示Intune:
- 设备状态 - 一个简单的条形图,用于标识接收此策略的设备的基本符合性状态。
- 查看报告 - 可选择的按钮可打开设备状态报告,可在其中查看有关设备符合此策略的更详细信息。
- 按设置状态 - 可以选择的磁贴,用于打开此策略的按设置状态报告。
提示
“属性”选项卡显示有关策略的基本信息,例如名称和平台类型。 它还包含有关该策略中每个设置的配置的信息。 在此选项卡中,可以编辑策略详细信息,例如设置和分配。
设备状态
设备状态摘要是选择符合性策略时提供的默认视图。 此摘要是一个简单的图表,显示报告特定设备符合性状态的设备计数。 水平条根据每个类别中的设备计数按比例划分为可用类别中的颜色。 在前面的屏幕捕获中,所有设备都合规。 因此,表示栏完全为绿色。
在此图表视图中表示设备之前,设备必须使用Intune检查才能接收、处理策略并成功报告其状态。 当设备处于联机状态时,此过程最多可能需要 24 小时。
设备状态图表中的详细信息包括:
- 符合 - 设备已成功应用一个或多个设备符合性策略设置。
- 不符合 - 设备配置无法满足一个或多个设备符合性策略设置。
- 其他 - 设备处于不符合或不符合此策略中的设置的状态,例如 “错误” 或 “未评估”。
- 总计 - 接收此策略并报告的设备总数。
若要查看更多详细信息,可以选择“ 查看报表 ”按钮。
查看报表
在策略的设备状态视图中选择“查看报告”按钮时,Intune显示该策略的设备状态的更详细视图。
默认情况下,报表视图将显示以下内容的详细信息,但你可以向视图添加更多详细信息列:
- 设备名称 - 查看设备和创建组时显示的设备名称。
- 已登录用户
- 策略符合性状态 - 此状态标识设备是否符合此策略,但不表示设备符合任何其他符合性策略。 如果设备不符合其他策略,Intune仍可将其视为不符合。
- 设备 ID - 设备的Intune设备 ID。
- OS - 设备的操作系统,如 Windows 或 Android。
- 上次联系 - 此设备与Intune服务联系的最后一天和时间。
在此报表视图中:
- 每列可以按字母顺序排序。
- 可以配置 筛选器 并指定 搜索 字符串来优化报表结果。 搜索将查找所有显示的列。
例如,在上一个策略报告视图中,当我们输入 一个搜索字符串 st1 时,该字符串同时出现在 “设备名称 ”和 “已登录用户 ”列中。 生成的视图显示包含 st1 的设备,以及与用户关联的每个设备,其用户名中带有 st1 :
按设置状态
选择符合性策略后,可以选择“ 按设置状态 ”磁贴查看策略设置的设备符合性状态。 此视图显示策略配置的设置,其中包含可报告的各种状态条件的列。 对于每个设置,每个状态列都显示报告该状态的设备计数。
下图显示了 Android 设备策略的按设置视图。 此策略包括一个设置,已部署到四个设备,所有这些设备都符合该设置。 在此视图中,可以通过选择列或使用搜索进行排序:
从每设置视图中,可以从任何状态列中选择设备计数,以打开一个视图,其中包含有关该特定设置和状态的更多详细信息。 下图显示了从“合规设备”列中选择了数字 4 的结果”
在屏幕截图中,我们看到所选设置有四个条目,每个条目都表示不同的设备。 此设备计数与初始按状态视图的初始计数匹配。
我们还可以看到,一个名称以 st1 开头的设备已在“ 设备符合性” 列中标记为 “不符合”。 此结果值得更仔细地研究:
- “设备符合性”列中的详细信息表示设备的总体符合性状态,不一定表示设备符合此策略或此策略的此设置。
- 我们可以放心,此设备符合此策略中此设置的配置方式,因为我们正在查看报告为符合此策略设置的设备列表。
- 此结果表明设备不符合其他策略的要求。
由于此钻取视图不支持更深入的钻取,因此必须使用其他合规性报告来确定哪个策略,并将设备设置为不合规。
具有“错误”状态的符合性设置的设备行为
当符合性策略的设置返回“错误”值时,设备上的符合性状态将最多持续七天不受更改,以便有时间为该设置正确完成符合性计算。 在这七天内,设备的现有符合性状态将继续应用,直到符合性策略设置评估为“符合”或“不符合”。 如果设置在 7 天后仍状态为 “错误 ”,则设备将变为 “不符合”,或者已为符合性策略设置了宽限期,则设备将标记为“ 处于宽限期”。
示例:
设备最初标记为“符合”,但随后针对设备的符合性策略之一中的某个设置报告“错误”。 三天后,符合性评估成功完成,该设置现在报告“不符合”。 用户可以在设置状态更改为“错误”后的头三天内继续使用设备访问受条件访问保护的资源,但一旦设置返回“不符合”,设备将标记为“不符合”,此访问权限将被删除,直到设备再次变为“符合”。
设备最初标记为“符合”,但随后针对设备的符合性策略之一中的某个设置报告“错误”。 三天后,符合性评估成功完成,该设置返回“符合”,设备的符合性状态变为“符合”。 用户可以继续访问受条件访问保护的资源,而不会中断。
设备最初标记为“符合”,但随后针对设备的符合性策略之一中的某个设置报告“错误”。 用户可以在七天内访问受条件访问保护的资源,但七天后,符合状态仍为“错误”。 此时,设备会立即变为“不符合”,用户将失去对受保护资源的访问权限,直到设备变为“合规”。
设备最初标记为“符合”,但随后针对设备的符合性策略之一中的某个设置报告“错误”。 包含 “错误 状态”设置的符合性策略设置了宽限期。 用户可以在七天内访问受条件访问保护的资源,但七天后,符合状态仍为“错误”。 此时,设备标记为“ 处于宽限期 ”,用户继续有权访问受保护的资源。 如果设置在管理员指定的宽限期内不符合,则设备将变为 “不符合” ,并且用户将失去对受保护资源的访问权限,直到设备变为 “合规”
设备最初标记为“不符合”,但随后针对设备的符合性策略之一中的某个设置报告“错误”。 三天后,符合性评估成功完成,该设置返回“符合”,设备的符合性状态变为“符合”。 在前三天内阻止用户访问受条件访问保护的资源(此时设置返回“错误”)。 设置返回“符合”并且设备标记为“符合”后,用户就可以开始访问设备上受保护的资源。
组织和运营合规性报告
除了通过单个符合性策略提供的报告外,还可以查看设备合规性报告,这些报告侧重于合规性策略中的设置,这些设置列出了所有不符合要求的设备,并提供有关合规性趋势的见解。
若要查看这些报告,请打开Intune管理中心,转到“报告>设备符合性”,然后选择“报告”选项卡。
有关这些报告的详细信息,请参阅Intune报告一文中的设备符合性报告。
其他合规性报告
除了来自 “符合性状态 ”选项卡和管理中心的“ 报表” 节点的报告外,还提供以下较旧的合规性报告:
- 不合规的设备
- 策略不符合
转到 “设备>监视器” 以访问这些报表。 为了更快地查看,请对 “类别” 列进行排序,然后查找具有 “符合性” 标记的报表。
Intune 如何解决策略冲突
多个 Intune 策略应用到设备时可能会发生策略冲突。 如果策略设置重叠,Intune 将使用以下规则解决所有冲突:
如果Intune配置策略的设置与合规性策略之间的冲突,则合规性策略中的设置优先于配置策略中的设置。 即使配置策略中的设置更安全,也会发生此结果。
如果部署了多个符合性策略,Intune 将使用其中最安全的策略。
若要详细了解如何解决策略的冲突,请参阅 符合性和冲突的设备配置策略。
Intune如何评估默认合规性策略
在 Intune 中,在触发计算时会评估默认符合性策略。 虽然不是每个 设备同步 都会导致合规性计算,但以下情况将:
- 它经常发生在新注册上,以确保用户知道阻止原因。 实际频率取决于平台和注册类型。
- 它会定期强制实施设备联系要求,例如,在设备脱机几天后的初始用户登录。
- 在设备同步期间发现新的符合性信息(例如设备属性更改)时,会发生此情况。
- 在下次设备同步后添加符合性策略分配时,会发生此情况。如果删除符合性策略分配(例如排除目标),则会使用现有服务数据触发符合性计算。
- 当用户检查公司门户网站或应用上的符合性状态时,就会发生这种情况。
如果以下任一语句为 false,则评估过程会将设备标识为不符合要求。
- 设备分配了符合性策略:必须向具有适用设置的设备分配至少一个适用的符合性策略。
- 设备处于活动状态:设备应与Intune保持接触。 这需要使用 Internet 连接将其打开。 默认宽限期为 30 天。
- 已注册用户存在:当前正在使用设备的用户存在,并且具有有效的Intune许可证。