通过符合性策略为使用 Intune 管理的设备设置规则
Intune 等移动设备管理 (MDM) 解决方案都要求用户和设备必须符合一些要求,从而帮助保护组织数据。 在 Intune 中,此功能称为“符合性策略”。
Intune 中的符合性策略:
- 定义用户和设备符合要求所必须满足的规则和设置。
- 包括适用于不合规设备的操作。 针对非符合性的操作可能会提醒用户注意不符合要求的情况,并保护不合规设备上的数据。
- 可与条件访问结合使用,进而阻止不符合规则的用户和设备。
- 可以覆盖你也通过设备配置策略管理的设置的配置。 若要详细了解如何解决策略的冲突,请参阅 符合性和冲突的设备配置策略。
Intune 中的符合性策略由两部分组成:
符合性策略设置 - 租户范围的设置,类似于每台设备接收的内置符合性策略。 符合性策略设置会在 Intune 环境中设置符合性策略工作原理的基线,包括未收到任何设备符合性策略的设备是否符合要求。
设备符合性策略 - 平台特定的规则,可配置和部署到用户组或设备组。 这些规则定义了对设备的要求,例如最低操作系统或要求使用磁盘加密。 设备必须符合这些规则才能被视为合规。
与其他 Intune 策略一样,设备的符合性策略评估取决于设备向 Intune 签入的时间以及策略和配置文件刷新周期。
合规性策略设置
符合性策略设置是租户范围的设置,用于确定 Intune 的符合性服务如何与设备交互。 这些设置不同于在设备符合性策略中配置的设置。
若要管理符合性策略设置,请登录到Microsoft Intune管理中心,然后转到“终结点安全性>”“设备符合性>策略设置”。
符合性策略设置包括以下设置:
将未分配到符合性策略的设备标记为
此设置确定 Intune 如何处理尚未分配有设备符合性策略的设备。 此设置具有两个值:
- 符合(默认值):此安全功能已关闭。 未收到设备符合性策略的设备被视为“符合”。
- 不符合:此安全功能已启用。 未收到设备符合性策略的设备被视为“不符合”。
如果将条件访问与设备符合性策略一起使用,请将此设置更改为 “不符合 ”,以确保只有确认为合规的设备才能访问资源。
如果最终用户因未分配有策略而不符合要求,公司门户应用会显示“未分配符合性策略”。
符合性状态有效期(天)
指定设备必须成功报告其接收的所有符合性策略的时间段。 如果设备未能在有效期结束之前报告策略的符合性状态,则设备将被视为“不符合”。
默认情况下,此时间段设置为 30 天。 你可将时间段配置为 1 到 120 天。
可以查看有关设备符合有效期设置的详细信息。 登录到Microsoft Intune管理中心,然后转到“设备>监视器>设置符合性”。 此设置在“设置”列中的名称为“处于活动状态”。 要详细了解此视图及相关的符合性状态视图,请参阅监视设备符合性。
设备符合性策略
Intune 设备符合性策略:
- 定义用户和托管设备符合要求所必须满足的规则和设置。 规则示例包括要求设备运行最低操作系统版本、不越狱或取得 root 权限,以及不超过与 Intune 集成的威胁管理软件所指定的威胁级别。
- 支持适用于不满足符合性策略的设备的操作。 操作示例包括远程锁定,或者向设备用户发送电子邮件告知设备状态,便于他们进行修复。
- 部署给用户组中的用户或设备组中的设备。 将符合性策略部署给用户后,会检查该用户的所有设备是否符合要求。 在此方案中使用设备组有助于生成符合性报告。
如果使用条件访问,则条件访问策略可使用设备符合性结果来阻止不合规设备对资源的访问。
可在设备符合性策略中指定的可用设置取决于创建策略时选择的平台类型。 不同的设备平台支持不同的设置,每种平台类型都需要单独的策略。
以下主题链接到专门介绍设备配置策略各个方面的文章。
针对非符合性的操作 - 每个设备符合性策略都包含一个或多个针对非符合性的操作。 这些操作是应用于不符合策略中设置的条件的设备的规则。
默认情况下,每个设备符合性策略都包含在设备不符合策略规则时将设备标记为“不符合”的操作。 然后,该策略将根据你为这些操作设置的计划,将已配置的针对非符合性的任何其他操作应用于设备。
针对非符合性的操作有助于在用户设备不符合要求时提醒用户,或保护设备上可能存在的数据。 操作示例包括:
- 向用户和组发送电子邮件警报,告知关于不合规设备的详细信息。 可将策略配置为在标记为“不符合”时立即发送电子邮件,然后定期发送,直到设备符合要求为止。
- 将不符合状态达一段时间的设备远程锁定。
- 在设备的不符合状态达一段时间后停用设备。 此操作将符合条件的设备标记为已准备好停用。 然后,管理员可以查看标记为停用的设备列表,并且必须执行显式操作以停用一个或多个设备。 停用设备将从 Intune 管理中删除该设备并从设备中删除所有公司数据。 有关此操作详细信息,请参阅可用于处理不符合性的操作。
创建策略 - 你可通过本文信息查看先决条件、操作规则配置选项、指定针对非符合性的操作并将策略分配给组。 本文还包括有关策略刷新时间的信息。
请查看不同设备平台的设备符合性设置:
- Android 设备管理员
- Android Enterprise
- Android 开源项目 (AOSP)
- iOS
- Linux
- macOS
- Windows Holographic for Business
- Windows 8.1 及更高版本
重要
2022 年 10 月 22 日,Microsoft Intune终止了对运行 Windows 8.1 的设备的支持。 这些设备上的技术支持和自动更新不可用。
如果当前使用 Windows 8.1,建议迁移到 Windows 10/11 设备。 Microsoft Intune具有管理 Windows 10/11 客户端设备的内置安全性和设备功能。
- Windows 10/11
自定义符合性设置 - 使用自定义合规性设置,可以扩展 Intune 的内置设备符合性选项。 自定义设置提供了基于设备上可用设置的灵活性,而无需等待 Intune 添加这些设置。
可以将自定义符合性设置用于以下平台:
- Linux - Ubuntu 桌面版本 20.04 LTS 和 22.04 LTS
- windows 10/11
监视符合性状态
Intune 有一个设备符合性仪表板,你可用它来监视设备的符合性状态,并深入了解策略和设备以获取详细信息。 要详细了解此仪表板,请参阅监视设备符合性。
与条件访问集成
使用条件访问时,可将条件访问策略配置为使用设备符合性策略的结果来确定哪些设备可访问组织资源。 此访问控制是对设备符合性策略中包含的针对非符合性的操作的补充,并与之分离。
设备在 Intune 中注册时,它会Microsoft Entra ID 进行注册。 设备的符合性状态报告给Microsoft Entra ID。 如果条件访问策略将访问控制设置为“要求设备被标记为符合”,则条件访问将使用该符合性状态来确定是授予还是阻止对电子邮件和其他组织资源的访问。
如果你将设备符合性状态与条件访问策略一起使用,请查看你的租户是如何配置“将未分配到符合性策略的设备标记为”的(可在符合性策略设置下管理此项)。
要详细了解如何将条件访问与设备符合性策略一起使用,请参阅基于设备的条件访问
在Microsoft Entra文档中详细了解条件访问:
不同平台上关于非符合情况和条件访问的参考
下表说明了将符合性策略与条件访问策略一起使用时如何管理非符合性设置。
已修正:设备操作系统强制合规性。 例如,强制用户设置 PIN。
已隔离:设备操作系统不会强制执行符合性。 例如,Android 和 Android Enterprise 设备不强制用户加密设备。 设备不符合时,系统将进行以下操作:
- 如果对用户应用了条件访问策略,设备将被阻止。
- 公司门户应用会就任何符合性问题通知用户。
策略设置 | 平台 |
---|---|
允许的发行版 | Linux (仅) - 已隔离 |
设备加密 | - Android 4.0 及更高版本:已隔离 - Samsung Knox Standard 4.0 及更高版本:已隔离 - Android Enterprise:已隔离 - iOS 8.0 及更高版本:已修正(通过设置 PIN) - macOS 10.11 及更高版本:已隔离 - Linux:已隔离 - Windows 10/11:已隔离 |
电子邮件配置文件 | - Android 4.0 及更高版本:不适用 - Samsung Knox Standard 4.0 及更高版本:不适用 - Android Enterprise:不适用 - iOS 8.0 及更高版本:已隔离 - macOS 10.11 及更高版本:已隔离 - Linux:不适用 - Windows 10/11:不适用 |
已越狱或取得 root 权限的设备 | - Android 4.0 及更高版本:已隔离(不是设置) - Samsung Knox Standard 4.0 及更高版本:已隔离(不是设置) - Android Enterprise::已隔离(不是设置) - iOS 8.0 及更高版本:已隔离(不是设置) - macOS 10.11 及更高版本:不适用 - Linux:不适用 - Windows 10/11:不适用 |
最高操作系统版本 | - Android 4.0 及更高版本:已隔离 - Samsung Knox Standard 4.0 及更高版本:已隔离 - Android Enterprise:已隔离 - iOS 8.0 及更高版本:已隔离 - macOS 10.11 及更高版本:已隔离 - Linux:请参阅 允许的发行版 - Windows 10/11:已隔离 |
最低操作系统版本 | - Android 4.0 及更高版本:已隔离 - Samsung Knox Standard 4.0 及更高版本:已隔离 - Android Enterprise:已隔离 - iOS 8.0 及更高版本:已隔离 - macOS 10.11 及更高版本:已隔离 - Linux:请参阅 允许的发行版 - Windows 10/11:已隔离 |
PIN 或密码配置 | - Android 4.0 及更高版本:已隔离 - Samsung Knox Standard 4.0 及更高版本:已隔离 - Android Enterprise:已隔离 - iOS 8.0 及更高版本:已修正 - macOS 10.11 及更高版本:已修正 - Linux:已隔离 - Windows 10/11:修正 |
Windows 运行状况证明 | - Android 4.0 及更高版本:不适用 - Samsung Knox Standard 4.0 及更高版本:不适用 - Android Enterprise:不适用 - iOS 8.0 及更高版本:不适用 - macOS 10.11 及更高版本:不适用 - Linux:不适用 - Windows 10/11:已隔离 |
注意
当用户登录到应用且设备在 30 天或更 (未成功签入 Intune 或设备因) 丢失联系人合规性原因而不符合时,公司门户应用将进入注册修正流。 在此流中,我们尝试再次启动检查。 如果仍不成功,我们将发出停用命令,以允许用户手动重新注册设备。
后续步骤
- 创建和部署策略并查看先决条件
- 监视设备合规性
- Microsoft Intune 中设备策略和配置文件的常见疑问、问题和解决方案
- 策略实体参考中有 Intune 数据仓库策略实体的相关信息
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈