为 Intune 中不符合要求的设备配置操作

作为 合规性策略 的一部分,该策略可保护组织资源免受不符合安全要求设备的保护,合规性策略还包括针对 不合规的操作。 不合规操作是策略为帮助保护设备和组织而采取的一个或多个时间排序的操作。 例如,不合规操作可以远程锁定设备以确保其受到保护,或向设备或用户发送通知,以帮助他们了解和解决不符合状态。

重要

Microsoft Intune 已于 2024 年 12 月 31 日终止对有权访问 Google 移动服务的设备上的 Android 设备管理员管理的支持, (GMS) 。 在此日期之后,设备注册、技术支持、bug 修复和安全修复将不可用。 如果当前使用设备管理员管理,建议在支持结束之前切换到 Intune 中的另一个 Android 管理选项。 有关详细信息,请参阅 在 GMS 设备上结束对 Android 设备管理员的支持

概述

默认情况下,每个符合性策略都包括针对不符合性的操作(即“将设备标记为不符合”),计划为零 (0) 天。 此默认设置使得在 Intune 检测到不符合的设备时,会立即将它标记为“不符合”。 设备标记为不符合要求后,Microsoft Entra 条件访问 可能会阻止设备。

通过配置 不符合 的操作,可以灵活地决定对不符合的设备执行哪些操作以及何时执行操作。 例如,你可选择不立即阻止设备,并给予用户宽限期以使其符合要求。

对于设置的每个操作,都可以配置一个确定该操作何时生效的计划。 计划是在将设备标记为不合规之后的天数。 还可配置一个操作的多个实例。 在策略中设置操作的多个实例时,如果设备保持不合规,该操作将在稍后的计划时间再次运行。

并非所有操作都适用于所有平台。

注意

Microsoft Intune 管理中心显示 计划, (不符合) 数天 。 然而,可以指定一个更短的间隔 (小时),使用小数点后的分数,如 0.25 (6 小时)、0.5 (12 小时)、1.5 (36 小时),等等。 虽然可以使用其他值,但只能使用 Microsoft Graph 而不是通过管理中心进行配置。 尝试在管理中心使用其他值,如 0.33 (8 小时),将导致尝试保存策略时出错。

可用于处理不符合性的操作

下面是可用于处理不合规的操作:

  • 标记设备不符合要求: 默认情况下,此操作针对每个合规性策略进行设置,且存在一个为零 (0) 天的计划,即会立即将设备标记为“不符合”。

    更改默认计划时,会提供一个宽限期,用户可在该宽限期内修正问题或在不标记为不合规的情况下变为符合性。

    Intune 支持的所有平台都支持此操作。

  • 发送电子邮件给终端用户: 此操作将向用户发送电子邮件通知。 启用此操作时:

    • 选择此操作发送的 通知消息模板。 需要先创建通知消息模板,然后才能将其分配给此操作。 创建自定义通知时,可自定义消息区域设置、主题和邮件正文,还可包含公司徽标、公司名称和其他联系信息。
    • 选择一个或多个Microsoft Entra 组,选择将邮件发送给更多收件人。

    Intune 使用最终用户配置文件中定义的电子邮件地址,而不是他们的用户主体名称 (UPN)。 如果用户的配置文件中未定义电子邮件地址,则 Intune 不会发送通知电子邮件。 发送电子邮件时,Intune 会在电子邮件通知中附上不符合设备的详细信息。

    Intune 支持的所有平台都支持此操作。

    注意

    通知电子邮件的发送来源: microsoft-noreply@microsoft.com

    确保没有任何邮箱策略阻止从这些地址传递电子邮件,否则最终用户可能不会收到电子邮件通知。

    在 2022 年 12 月之前,商业云中的通知电子邮件来自: IntuneNotificationService@microsoft.com

  • 远程锁定不符合规定的设备: 使用此操作来发布设备的远程锁定。 然后提示用户输入 PIN 或密码以解锁设备。 远程锁定 功能的详细信息。

    以下平台支持此操作:

    • Android 设备管理员
    • Android (AOSP)
    • Android Enterprise:
      • 完全托管
      • Dedicated
      • 公司拥有的工作配置文件
      • 个人拥有的工作配置文件
      • Android Enterprise 展台设备
    • iOS/iPadOS
    • macOS
  • 将设备添加到停用列表:在设备上执行此操作时,设备将添加到 Intune 管理中心中已停用的不符合设备的列表中。 可以转到 “设备>符合性 ”,然后选择“ 停用不符合的设备 ”选项卡以查看列表。 但是,在管理员显式启动停用过程之前,设备不会停用。 当管理员从该列表中停用设备时,停用将从设备中删除所有公司数据,并从 Intune 管理中删除该设备。

    以下平台支持此操作:

    • Android 设备管理员
    • Android (AOSP)
    • Android Enterprise:
      • 完全托管
      • Dedicated
      • 公司拥有的工作配置文件
      • 个人拥有的工作配置文件
    • iOS/iPadOS
    • macOS
    • Windows 10/11

    注意

    停用所选设备”选项卡中仅显示已触发“将设备添加到停用列表”操作的设备。若要查看所有不合规设备的列表,请参阅监视设备符合性策略中提到的不符合设备报告。

    若要从列表中停用一个或多个设备,请选择要停用的设备,然后选择 “停用所选设备”。 选择停用设备的操作时,系统会显示一个对话框来确认操作。 只有在确认停用设备的意图后,才会从设备清楚公司数据并从 Intune 管理中删除。

    其他选项包括 停用所有设备清除所有设备停用状态清除所选设备停用状态。 清除设备的停用状态会将设备从可停用的设备列表中删除,直到将 设备添加到停用列表 的操作再次应用于该设备。

    了解更多有关停用设备的信息。

  • 向最终用户发送推送通知:将此操作配置为通过设备上的公司门户应用或 Intune 应用向设备发送有关不符合的推送通知。

    以下平台支持此操作:

    • Android 设备管理员
    • Android Enterprise:
      • 完全托管
      • Dedicated
      • 公司拥有的工作配置文件
      • 个人拥有的工作配置文件
    • iOS/iPadOS

    设备首次使用 Intune 签入时发送推送通知,发现不符合合规性策略。 当用户选择通知时,公司门户应用或 Intune 应用将打开,并显示有关其不符合原因的信息。 用户随后可采取操作来解决问题。 有关不符合性的消息详细信息由 Intune 生成,无法自定义。

    重要

    Intune、公司门户应用和 Microsoft Intune 应用无法保证发送推送通知。 通知可能会延迟几小时后显示(若有)。 例如,如果用户关闭了推送通知,则可能会延迟。

    不要依靠这种通知方法来获取紧急消息。

    操作的每个实例一次发送一个通知。 若要从策略再次发送相同的通知,请在该策略中配置该操作的其他实例,每个实例具有不同的计划。

    例如,你可将第一个操作计划为零天,然后添加该操作的第二个实例并将其计划设为三天。 在第二次通知之前出现的这种延迟会给用户几天时间来解决问题,从而避免第二次通知。

    若要避免使用过多重复消息向用户发送垃圾邮件,请查看并简化哪些符合性策略包括针对不合规的推送通知,并查看计划以避免重复通知的次数过多。

    建议改为:

    • 如果一个策略的多个实例设为同一天发送推送通知,则当天只发送一则通知。

    • 如果多个合规性策略包含相同的合规性条件,并包含具有相同计划的推送通知操作,Intune 会在同一天向同一台设备发送多个通知。

注意

设备合规性管理合作伙伴管理的设备不支持以下不符合操作:

  • 向最终用户发送电子邮件
  • 远程锁定不符合的设备
  • 添加要停用的设备列表
  • 向最终用户发送推送通知

准备工作

可在配置设备符合性策略时添加针对不符合性的操作为,也可稍后通过编辑策略来添加操作。 可向每个策略添加额外的操作来满足你的需求。 请记住,每个符合性策略都会自动包括将设备标记为不合规的默认操作,并将计划设置为零天。

若要使用设备符合性策略阻止设备来自公司资源,Microsoft必须设置 Entra 条件访问。 有关指导,请参阅Microsoft Entra ID 中的条件访问或将条件访问与 Intune 配合使用的常见方法

要创建设备符合性策略,请查看下面的平台特定指南:

创建通知邮件模板

若要向用户发送电子邮件,请创建通知消息模板并将其与合规性策略相关联,以应对不合规操作。 然后在设备不符合要求时,模板中输入的详细信息将显示在发送给用户的电子邮件中。

通知消息模板可以包含多个消息,每个消息针对不同的区域设置。 指定多个消息和区域设置时,不合规的最终用户会根据其 O365 首选语言接收相应的本地化消息。

向邮件添加变量,以创建包含动态内容的个性化电子邮件。 下表介绍了可以在邮件的主题行和正文中使用的变量。

变量名称 要使用的令牌 说明
用户名 {{UserName}} 为不符合要求的设备添加主用户的名称。
例如:John Doe
设备名称 {{DeviceName}} 添加在 Intune Microsoft 中记录的不符合设备的名称。
例如:John's iPad
设备 ID {{DeviceId}} 添加属于不合规设备的 Intune 设备 ID。
例如:12ab345c-6789-def0-1234-000000000000
设备 OS 版本 {{OSAndVersion}} 添加操作系统和不合规设备的版本。
例如:Android 12

创建模板

  1. 登录到 Microsoft Intune 管理中心

  2. 选择“终结点安全性”>“设备合规性”>“通知”>“创建通知”

  3. “基本信息 ”页上,为模板指定一个友好名称,以帮助你识别它。 然后选择“下一步”。

  4. “页眉和页脚设置 ”页上,添加公司详细信息和徽标。

    显示 Intune 中通知消息的“页眉和页脚设置”页示例的屏幕截图。

    选项包括:

    • 电子邮件标头 – 显示公司徽标 (默认值 = 启用) - 上传徽标以将组织的品牌添加到电子邮件模板。 有关公司门户品牌的详细信息,请参阅公司标识品牌自定义
    • 电子邮件页脚 – 默认显示公司名称 (= 启用) - 启用此设置以在电子邮件中显示公司名称。 请参阅 租户值 ,查看记录的公司名称。
    • 电子邮件页脚 – 默认 (显示联系人信息 = 启用) - 启用此设置可显示电子邮件中组织的联系信息,如姓名、电话号码和电子邮件地址。 请参阅 租户值 ,查看记录中的联系信息。
    • 电子邮件页脚 - 显示公司门户网站链接 (默认值 = 禁用) - 启用此设置以在电子邮件中包含指向公司门户网站的链接。 请参阅 租户值 以查看向用户显示的网站链接。

    选择“下一步”以继续。

  5. 在“通知消息模板”页上,配置一个或多个消息。 为每个消息指定以下详细信息:

    • 区域设置:选择与设备用户的区域设置关联的语言。
    • 主题:添加电子邮件的主题行。 最多可以输入 78 个字符。
    • 原始 HTML 编辑器:打开 HTML 编辑器以在向邮件添加 HTML 格式和链接时获取建议。 可以使用 href 属性添加链接, (必须是 HTTPS URL) 。 支持的 HTML 标记包括:<a>、、<strong>、、<u><ul><ol><p><li><b><br><code><table>、、<tbody>、、<tr><td>、、 。 <th><thead> 无需使用 HTML 编辑器,并且无需打开编辑器即可添加支持的 HTML。
    • 消息:创建一条消息,说明不符合的原因。 最多可以输入 2,000 个字符。

    若要创建包含动态内容的模板,请在主题行或消息中插入受支持变量的标记。 有关支持的变量列表,请参阅本文中的 创建通知消息模板 下的表。

    重要

    请确保仅在邮件正文中使用 Intune 支持的 HTML 标记和属性。 Intune 将以纯文本而不是 HTML 格式发送包含其他类型的标记、元素或样式的消息。 这包括包含:

    • CSS
    • 本文未列出的标记和属性

    注意

    Intune 将 Windows 样式的新行字符转换为 <br> HTML 标记,但忽略所有其他类型的新行字符,包括 macOS 和 Linux 的行字符。 为确保在模板中正确呈现换行符,建议使用 <br> 标记来指示行的末尾。

  6. 选中其中一条消息的“ 为默认值 ”复选框。 Intune 会将默认消息发送给尚未设置首选语言的用户,或者当模板未为其区域设置包含特定消息时。 只能将一个消息设置为默认消息。 若要删除消息,请选择省略号 (...),然后选择“删除”

    选择“下一步”以继续。

  7. 在“ 作用域标记 ”页上,选择标记以将此消息的可见性和管理限制为特定的 Intune 管理员组,例如 US-NC IT TeamJohnGlenn_ITDepartment。 有关范围标记的详细信息,请参阅将 RBAC 和范围标记用于分布式 IT

    选择“下一步”以继续。

  8. 在“ 查看 + 创建 ”页上,查看配置以确保通知消息模板可供使用。 选择创建以成功创建通知。

查看和编辑通知

已创建的通知在“合规性策略”>“通知”页中提供。 从此页中,可以选择要查看其配置的通知,并执行以下操作:

  • 选择“发送预览电子邮件”将通知电子邮件的预览发送到已用于登录 Intune 的帐户。

    若要成功发送预览电子邮件,帐户的权限必须等于以下Microsoft Entra 组或 Intune 角色的权限: Intune 管理员 (也称为 Intune 服务管理员) 或 策略和配置文件管理器

  • “基本”“作用域标签”选择“编辑”以进行更改。

注意

预览电子邮件不包含通知消息模板中指定的设备变量。

添加针对非符合性的操作

创建设备符合性策略时,Intune 会自动为非符合性创建操作。 如果设备不符合符合性策略,此操作会将设备标记为不符合。 可自定义将设备标记为不符合的时长。 此操作不可撤消。

还可在创建符合性策略或更新现有策略时添加可选操作。

  1. 登录到 Microsoft Intune 管理中心

  2. 转到 “设备>符合性”。

  3. 选择策略,然后选择 “属性”。

    还没有策略? 创建 AndroidiOSWindows 或其他平台策略。

    注意

    设备组面向的第三方设备符合性合作伙伴管理的设备目前无法接收符合性操作。

  4. 为非符合性>编辑选择“操作”。

  5. 选择“操作”:

    • 向最终用户发送电子邮件: 当设备不符合要求时,选择给用户发送电子邮件。 此外:

      • 选择此前创建的 消息模板
      • 通过选择组输入任何“其他收件人”
    • 远程锁定不符合设备: 设备不符合要求时,锁定该设备。 该操作会强制用户输入 PIN 或密码来解锁设备。

    • 将设备添加到停用列表:如果设备不符合要求,请删除设备中的所有公司数据,并从 Intune 管理中删除设备。

    • 向最终用户发送推送通知:将此操作配置为通过设备上的公司门户应用或 Intune 应用向设备发送有关不符合的推送通知。

  6. 计划: 输入非符合性触发用户设备操作的宽限天数(0 - 365 天)。 在此宽限期后,可以强制执行条件访问策略。 如果输入 0 (零) 天,则条件访问将立即生效。 例如,如果设备不合规,请使用条件访问来立即阻止对电子邮件、SharePoint 和其他组织资源的访问。

    在你创建合规性策略时,“标记不合规设备”操作会自动创建,并自动设置为“0”天 (即立即执行)。 通过此操作,当设备签入 Intune 并评估策略时,如果它不符合该策略,Intune 会立即将该设备标记为不符合。 如果客户端在修正导致不合规的问题后稍后签入,则其状态将更新为其新的符合性状态。 如果使用条件访问,一旦设备被标记为不符合,这些策略也会立即适用。 若要设置宽限期以允许在设备被标记为不符合之前修正不符合情况,请更改“标记不符合设备”操作中的“计划”

    在合规性策略中,假设还想要通知用户。 可以添加“向最终用户发送电子邮件”操作。 在此“发送电子邮件”操作中,将“计划”设置为“2”天。 如果设备或最终用户在第二天仍被评估为不符合要求,则你的电子邮件将在第二天发送。 若要在被评估为不合规的第 5 天再次向用户发送电子邮件,请添加另一个操作,并将“计划”设置为“5”天。

    若要详细了解合规性和内置操作,请参阅合规性概述

  7. 完成后,选择“添加”>“确定”,保存所做更改。

后续步骤

监视策略