在 Microsoft Intune 中创建符合性策略
使用 Intune 保护组织的资源时,设备符合性策略是一项关键功能。 在 Intune 中,可以创建规则和设置,设备必须满足这些设置(例如最低操作系统版本)才能被视为符合策略。 如果设备不符合,则可使用条件访问阻止对数据和资源的访问。
还可以针对不符合性执行操作,例如向用户发送通知电子邮件。 有关符合性策略的作用以及使用方式的概述,请参阅设备符合性入门。
本文:
- 列出了创建符合性策略的先决条件和步骤。
- 介绍如何将策略分配给用户和设备组。
- 介绍其他功能,包括用于“筛选”策略的范围标记,以及可在不合规的设备上执行的步骤。
- 列出设备接收策略更新时的签入刷新周期时间。
开始之前
若要使用设备符合性策略,请务必:
使用以下订阅:
- Intune
- 如果使用条件访问,则需要Microsoft Entra ID P1 或 P2 版本。 Microsoft Entra 定价 列出了不同版本的定价。 Intune 符合性不需要Microsoft Entra ID。
使用支持的平台:
- Android 设备管理员
- Android AOSP
- Android Enterprise
- iOS
- Linux - Ubuntu Desktop 版本 20.04 LTS 和 22.04 LTS
- macOS
- Windows 10/11
重要
Microsoft Intune 已于 2024 年 12 月 31 日终止对有权访问 Google 移动服务的设备上的 Android 设备管理员管理的支持, (GMS) 。 在此日期之后,设备注册、技术支持、bug 修复和安全修复将不可用。 如果当前使用设备管理员管理,建议在支持结束之前切换到 Intune 中的另一个 Android 管理选项。 有关详细信息,请参阅 在 GMS 设备上结束对 Android 设备管理员的支持。
在 Intune 中注册设备(用于查看符合性状态)
将设备注册到一个用户,或在没有主要用户的情况下注册。 无法向多个用户注册单个设备。
除了内置于 Intune 的符合性设置外,以下平台还支持将自定义合规性设置添加到合规性策略:
- Ubuntu 桌面版,版本 20.04 LTS 和 22.04 LTS
- Windows 10/11
在添加自定义设置之前,必须准备一个自定义 JSON 文件,该文件定义要基于自定义合规性的设置,以及一个在设备上运行的脚本来检测 JSON 中定义的设置。
有关使用自定义符合性设置的详细信息,包括支持的平台、先决条件以及如何在创建策略时配置 自定义符合性 类别,请参阅 使用自定义符合性设置。
创建策略
转到 “设备>符合性” ,然后选择“ 创建策略”。
从以下选项中选择此策略的“平台”:
- Android 设备管理员
- Android (AOSP)
- Android Enterprise
- iOS/iPadOS
- Linux - (Ubuntu Desktop 版本 20.04 LTS 和 22.04 LTS、RedHat Enterprise Linux 8 或 RedHat Enterprise Linux 9)
- macOS
- Windows 8.1 及更高版本
- Windows 10 及更高版本
对于 Android Enterprise,还可选择 策略类型:
- 完全托管、专用和公司拥有的工作配置文件
- 个人拥有的工作配置文件
然后选择“ 创建 ”以打开配置页。
在“基本信息”选项卡上,指定“名称”,以便稍后识别它们。 例如,策略名称最好为“将已越狱的 iOS/iPadOS 设备标记为不合规策略”。
还可以选择指定“说明”。
在“合规性设置”选项卡上,展开可用类别,并为策略配置设置。 以下文章介绍了每个平台的可用符合性设置:
将自定义设置添加到受支持平台的策略。
提示
这是一个可选步骤,仅支持以下平台:
- Linux - Ubuntu Desktop 版本 20.04 LTS 和 22.04 LTS
- Windows 10/11 在将自定义设置添加到策略之前,必须已将检测脚本上传到 Intune,并准备好一个 JSON 文件来定义要用于符合性的设置。 请参阅 自定义符合性设置。
在 “符合性设置” 页上,展开 “自定义符合性” 类别:
对于 Windows:
- 在 “符合性设置” 页上,展开“ 自定义符合性” ,并将 “自定义符合性” 设置为 “需要”。
- 对于 “选择发现脚本”,选择“ 单击以选择”,然后指定之前已添加到 Intune 管理中心Microsoft的脚本。 在开始创建策略之前,必须上传此脚本。
- 对于 “使用自定义符合性设置上传并验证 JSON 文件”,请选择文件夹图标,然后找到并添加要用于此策略的 Windows 的 JSON 文件。 有关 JSON 的帮助,请参阅 为自定义符合性设置创建 JSON。
对于 Linux:
- 在 “符合性设置” 页上,选择“ 添加设置” 以打开 “设置选取器 ”窗格。
- 选择“ 自定义符合性”,然后选择“8”。
- 返回“ 符合性设置” 页,选择“ 要求自定义符合性 ”的切换开关,将其更改为 True。
- 对于 “选择发现脚本”,选择“ 设置可重用设置”,然后指定之前已添加到 Microsoft Intune 管理中心的脚本。 在开始创建策略之前,必须已上传此脚本。
- 对于 “选择规则文件”,选择文件夹图标,然后找到并添加要用于此策略的 Linux JSON 文件。 有关 JSON 的帮助,请参阅 为自定义符合性设置创建 JSON。
输入的 JSON 已经过验证,并显示任何问题。 验证 JSON 内容后,JSON 中的规则以表格式显示。
在“对不合规项的操作”选项卡上,指定一系列操作,以自动应用于不符合此合规性策略的设备。
可以添加多个操作,并为某些操作配置计划和详细信息。 例如,可以将默认操作“标记不合规设备”的计划更改为一天后执行。 然后,可以添加一个操作,以便在设备不合规时向用户发送电子邮件,向他们通知此状态。 还可以添加操作,以锁定或停用保持不合规的设备。
有关可以配置的操作的信息,请参阅添加针对不合规设备的操作,包括了解如何创建通知电子邮件并发送给用户。
另一个示例涉及位置的使用,可以至少向合规性策略添加一个位置。 在这种情况下,选择至少一个位置时,将应用针对不合规项的默认操作。 如果设备未连接到所选的任何位置,则被视为不合规。 可以配置计划,为用户提供宽限期(例如,一天)。
在“范围标记”选项卡上,选择标记以帮助筛选特定组的策略,如
US-NC IT Team或JohnGlenn_ITDepartment。 添加设置后,还可以向符合性策略添加作用域标记。有关使用范围标记的信息,请参阅使用范围标记筛选策略。
在“分配”选项卡上,向组分配策略。
选择“+ 选择要包括的组”,然后将策略分配给一个或多个组。 在下一步后保存策略时,策略将应用于这些组。
适用于 Linux 的策略不支持基于用户的分配,只能分配给设备组。
在“查看 + 创建”选项卡中,查看设置,然后在准备好保存合规性策略时选择“创建”。
当策略所面向的用户或设备使用 Intune 签入时,会对其进行评估以确定是否满足合规性要求。
刷新周期时间
Intune 使用不同的刷新周期来检查符合性策略的更新。 如果设备是最近注册的,则会增加运行签入的频率。 策略和配置文件刷新周期列出了估计的刷新时间。
用户可以随时打开公司门户应用,并同步设备以立即检查策略更新。
分配 InGracePeriod 状态
符合性策略的 InGracePeriod 状态是一个值。 该值由设备的宽限期和设备针对该合规性策略的实际状态共同确定。
具体而言,如果设备的已分配符合性策略为“不符合”状态,且:
- 设备未分配到宽限期,则符合性策略的指定值为“不符合”
- 设备具有已到期的宽限期,则符合性策略的指定值为“不符合”
- 设备具有将来的宽限期,则符合性策略的指定值为“InGracePeriod”
下表概述了这些情况:
| 实际符合性状态 | 指定的宽限期的值 | 有效符合性状态 |
|---|---|---|
| 不符合 | 未指定宽限期 | 不符合 |
| 不符合 | 过去的日期 | 不符合 |
| 不符合 | 将来的日期 | InGracePeriod |
有关监视设备符合性策略的详细信息,请参阅监视 Intune 设备符合性策略。
分配生成的符合性策略状态
如果设备具有多个符合性策略,且该设备分配到的两个或多个符合性策略的符合性状态各不相同,则系统会分配单个生成的符合性状态。 此分配基于向每个符合性状态指定的概念严重性级别。 每个符合性状态均包含以下严重性级别:
| 状态 | Severity |
|---|---|
| 未知 | 1 |
| NotApplicable | 2 |
| 符合标准 | 3 |
| InGracePeriod | 4 |
| 不符合 | 5 |
| Error | 6 |
设备具有多个符合性策略时,系统会为该设备分配所有策略中的最高严重性级别。
例如,某台设备分配有三个符合性策略:一个处于“未知”状态(严重性 = 1),一个处于“符合”状态(严重性 = 3),还有一个处于 InGracePeriod 状态(严重性 = 4)。 InGracePeriod 状态具有最高的严重性级别。 因此,所有三个策略都处于 InGracePeriod 符合性状态。
后续步骤
监视策略。