在 Microsoft Intune 中创建符合性策略

使用 Intune 保护组织的资源时,设备符合性策略是一项关键功能。 在 Intune 中,可以创建规则和设置,设备必须满足这些设置(例如最低操作系统版本)才能被视为符合策略。 如果设备不符合,则可使用条件访问阻止对数据和资源的访问。

还可以针对不符合性执行操作,例如向用户发送通知电子邮件。 有关符合性策略的作用以及使用方式的概述,请参阅设备符合性入门

本文:

  • 列出了创建符合性策略的先决条件和步骤。
  • 介绍如何将策略分配给用户和设备组。
  • 介绍其他功能,包括用于“筛选”策略的范围标记,以及可在不合规的设备上执行的步骤。
  • 列出设备接收策略更新时的签入刷新周期时间。

开始之前

若要使用设备符合性策略,请务必:

  • 使用以下订阅:

    • Intune
    • 如果使用条件访问,则需要Microsoft Entra ID P1 或 P2 版本。 Microsoft Entra 定价 列出了不同版本的定价。 Intune 符合性不需要Microsoft Entra ID。
  • 使用支持的平台:

    • Android 设备管理员
    • Android AOSP
    • Android Enterprise
    • iOS
    • Linux - Ubuntu Desktop 版本 20.04 LTS 和 22.04 LTS
    • macOS
    • Windows 10/11

重要

Microsoft Intune 已于 2024 年 12 月 31 日终止对有权访问 Google 移动服务的设备上的 Android 设备管理员管理的支持, (GMS) 。 在此日期之后,设备注册、技术支持、bug 修复和安全修复将不可用。 如果当前使用设备管理员管理,建议在支持结束之前切换到 Intune 中的另一个 Android 管理选项。 有关详细信息,请参阅 在 GMS 设备上结束对 Android 设备管理员的支持

  • 在 Intune 中注册设备(用于查看符合性状态)

  • 将设备注册到一个用户,或在没有主要用户的情况下注册。 无法向多个用户注册单个设备。

除了内置于 Intune 的符合性设置外,以下平台还支持将自定义合规性设置添加到合规性策略:

  • Ubuntu 桌面版,版本 20.04 LTS 和 22.04 LTS
  • Windows 10/11

在添加自定义设置之前,必须准备一个自定义 JSON 文件,该文件定义要基于自定义合规性的设置,以及一个在设备上运行的脚本来检测 JSON 中定义的设置。

有关使用自定义符合性设置的详细信息,包括支持的平台、先决条件以及如何在创建策略时配置 自定义符合性 类别,请参阅 使用自定义符合性设置

创建策略

  1. 登录到 Microsoft Intune 管理中心

  2. 转到 “设备>符合性” ,然后选择“ 创建策略”。

  3. 从以下选项中选择此策略的“平台”

    • Android 设备管理员
    • Android (AOSP)
    • Android Enterprise
    • iOS/iPadOS
    • Linux - (Ubuntu Desktop 版本 20.04 LTS 和 22.04 LTS、RedHat Enterprise Linux 8 或 RedHat Enterprise Linux 9)
    • macOS
    • Windows 8.1 及更高版本
    • Windows 10 及更高版本

    对于 Android Enterprise,还可选择 策略类型

    • 完全托管、专用和公司拥有的工作配置文件
    • 个人拥有的工作配置文件

    然后选择“ 创建 ”以打开配置页。

  4. 在“基本信息”选项卡上,指定“名称”,以便稍后识别它们。 例如,策略名称最好为“将已越狱的 iOS/iPadOS 设备标记为不合规策略”

    还可以选择指定“说明”

  5. 在“合规性设置”选项卡上,展开可用类别,并为策略配置设置。 以下文章介绍了每个平台的可用符合性设置:

  6. 将自定义设置添加到受支持平台的策略。

    提示

    这是一个可选步骤,仅支持以下平台:

    • Linux - Ubuntu Desktop 版本 20.04 LTS 和 22.04 LTS
    • Windows 10/11 在将自定义设置添加到策略之前,必须已将检测脚本上传到 Intune,并准备好一个 JSON 文件来定义要用于符合性的设置。 请参阅 自定义符合性设置

    “符合性设置” 页上,展开 “自定义符合性” 类别:

    对于 Windows

    1. “符合性设置” 页上,展开“ 自定义符合性” ,并将 “自定义符合性” 设置为 “需要”。
    2. 对于 “选择发现脚本”,选择“ 单击以选择”,然后指定之前已添加到 Intune 管理中心Microsoft的脚本。 在开始创建策略之前,必须上传此脚本。
    3. 对于 “使用自定义符合性设置上传并验证 JSON 文件”,请选择文件夹图标,然后找到并添加要用于此策略的 Windows 的 JSON 文件。 有关 JSON 的帮助,请参阅 为自定义符合性设置创建 JSON

    对于 Linux

    1. “符合性设置” 页上,选择“ 添加设置” 以打开 “设置选取器 ”窗格。
    2. 选择“ 自定义符合性”,然后选择“8”。
    3. 返回“ 符合性设置” 页,选择“ 要求自定义符合性 ”的切换开关,将其更改为 True
    4. 对于 “选择发现脚本”,选择“ 设置可重用设置”,然后指定之前已添加到 Microsoft Intune 管理中心的脚本。 在开始创建策略之前,必须已上传此脚本。
    5. 对于 “选择规则文件”,选择文件夹图标,然后找到并添加要用于此策略的 Linux JSON 文件。 有关 JSON 的帮助,请参阅 为自定义符合性设置创建 JSON

    输入的 JSON 已经过验证,并显示任何问题。 验证 JSON 内容后,JSON 中的规则以表格式显示。

  7. “对不合规项的操作”选项卡上,指定一系列操作,以自动应用于不符合此合规性策略的设备。

    可以添加多个操作,并为某些操作配置计划和详细信息。 例如,可以将默认操作“标记不合规设备”的计划更改为一天后执行。 然后,可以添加一个操作,以便在设备不合规时向用户发送电子邮件,向他们通知此状态。 还可以添加操作,以锁定或停用保持不合规的设备。

    有关可以配置的操作的信息,请参阅添加针对不合规设备的操作,包括了解如何创建通知电子邮件并发送给用户。

    另一个示例涉及位置的使用,可以至少向合规性策略添加一个位置。 在这种情况下,选择至少一个位置时,将应用针对不合规项的默认操作。 如果设备未连接到所选的任何位置,则被视为不合规。 可以配置计划,为用户提供宽限期(例如,一天)。

  8. 在“范围标记”选项卡上,选择标记以帮助筛选特定组的策略,如 US-NC IT TeamJohnGlenn_ITDepartment。 添加设置后,还可以向符合性策略添加作用域标记。

    有关使用范围标记的信息,请参阅使用范围标记筛选策略

  9. 在“分配”选项卡上,向组分配策略。

选择“+ 选择要包括的组”,然后将策略分配给一个或多个组。 在下一步后保存策略时,策略将应用于这些组。

适用于 Linux 的策略不支持基于用户的分配,只能分配给设备组。

  1. 在“查看 + 创建”选项卡中,查看设置,然后在准备好保存合规性策略时选择“创建”

    当策略所面向的用户或设备使用 Intune 签入时,会对其进行评估以确定是否满足合规性要求。

刷新周期时间

Intune 使用不同的刷新周期来检查符合性策略的更新。 如果设备是最近注册的,则会增加运行签入的频率。 策略和配置文件刷新周期列出了估计的刷新时间。

用户可以随时打开公司门户应用,并同步设备以立即检查策略更新。

分配 InGracePeriod 状态

符合性策略的 InGracePeriod 状态是一个值。 该值由设备的宽限期和设备针对该合规性策略的实际状态共同确定。

具体而言,如果设备的已分配符合性策略为“不符合”状态,且:

  • 设备未分配到宽限期,则符合性策略的指定值为“不符合”
  • 设备具有已到期的宽限期,则符合性策略的指定值为“不符合”
  • 设备具有将来的宽限期,则符合性策略的指定值为“InGracePeriod”

下表概述了这些情况:

实际符合性状态 指定的宽限期的值 有效符合性状态
不符合 未指定宽限期 不符合
不符合 过去的日期 不符合
不符合 将来的日期 InGracePeriod

有关监视设备符合性策略的详细信息,请参阅监视 Intune 设备符合性策略

分配生成的符合性策略状态

如果设备具有多个符合性策略,且该设备分配到的两个或多个符合性策略的符合性状态各不相同,则系统会分配单个生成的符合性状态。 此分配基于向每个符合性状态指定的概念严重性级别。 每个符合性状态均包含以下严重性级别:

状态 Severity
未知 1
NotApplicable 2
符合标准 3
InGracePeriod 4
不符合 5
Error 6

设备具有多个符合性策略时,系统会为该设备分配所有策略中的最高严重性级别。

例如,某台设备分配有三个符合性策略:一个处于“未知”状态(严重性 = 1),一个处于“符合”状态(严重性 = 3),还有一个处于 InGracePeriod 状态(严重性 = 4)。 InGracePeriod 状态具有最高的严重性级别。 因此,所有三个策略都处于 InGracePeriod 符合性状态。

后续步骤

监视策略