探索设备合规性策略

已完成

合规性策略定义应在被视为合规的设备上配置的规则和设置。 配置和部署合规性策略后，可以监视设备合规性状态，以及按预期方式配置的单个设备。

必须先在 Intune 中注册设备，才能将合规性策略应用于该设备。 注册后，设备可以自动添加到设备组。 如果为该组分配了合规性策略，则会在设备上评估该策略，其合规性状态会自动报告给 Intune 并在门户中显示。

设备合规性策略为以下项建立必要的设置：

• 密码
• 加密
• 越狱或取得 root 权限的设备
• 最低操作系统版本
• 最高操作系统版本
• 最大 Mobile Threat Defense 级别

当设备注册到 Intune 时，设备信息（包括合规性状态）将添加到 Microsoft Entra ID。 合规性策略分配给用户而不是设备。 条件访问策略使用 Microsoft Entra 信息来阻止或授权访问电子邮件和其他组织数据。 不强制将合规性策略与条件访问结合使用；合规性策略只能用于报告目的。

Intune 合规性策略是在 Intune 管理中心的“设备”部分中创建的。 可在“报表”下找到用于监视的设备合规性仪表板。

默认情况下，当 Intune 检测到不合规的设备时，会立即将设备标记为不合规。 在每个合规性策略中，可以为不合规的设备配置操作，从而在决定要执行的操作时提供额外的灵活性。 例如，在典型方案中，组织将阻止从不合规的设备访问公司资源。 但是，可以配置合规性策略，允许不合规的设备访问公司资源，前提是设备在指定的宽限期内符合要求。 届时如未实现合规性，设备将无法再访问公司资源。

有两种类型的不合规操作：

• 通过电子邮件通知最终用户。 可以先自定义电子邮件通知，再将其发送给最终用户。 可以自定义收件人、主题和邮件正文，包括公司徽标和联系人信息。 Intune 在电子邮件通知中说明了关于不合规设备的详细信息。
• 将设备标记为不合规。 可以指定将设备标记为不合规的天数。 这可能在将设备标记为不合规后立即出现，或者你可以为用户提供一个宽限期，在该宽限期内用户可以更新设备以使其合规。 如果设备在指定天数后仍不合规，则会将其标记为不合规。

设备合规性策略可以按以下方式使用：

• 使用条件访问。 对于符合策略规则的设备，可以允许这些设备访问电子邮件和其他组织资源。 如果设备不符合策略规则，则无法获得对公司资源的访问权限。
• 没有条件访问。 你还可使用不带任何条件访问的设备合规性策略。 如果使用不带条件访问的合规性策略，对公司资源则没有访问限制。

将 Microsoft Entra 设备组用于策略

建议对用户和设备使用 Microsoft Entra 组，以应用通过 Intune 实现的任何类型的策略。 可以通过指定规则来根据用户或设备属性确定组成员资格，在 Microsoft Entra ID 中创建具有动态成员资格的组。 当用户或设备的属性发生更改时，Microsoft Entra ID 会评估目录中的所有动态组，以查看该更改是否会触发任何组添加或删除。 如果用户或设备满足某组的规则，他们将添加为该组的成员。 如果不再满足规则，则会将其从组中删除。

组成员身份规则用于自动填充用户组或设备组。 这是可得出 True 或 False 结果的二进制表达式。 简单组成员资格规则的三个部分包括：

• 属性。 指定对象属性;例如，可以使用 user.department 引用用户对象的 Department 属性，也可以使用 device.displayName 引用设备对象的 displayName 属性。
• 运算符。 可以是许多受支持的运算符之一，例如 Equals (-eq)、Starts With (-startsWith)、Contains (-contains) 或 Match (-match)。
• Value。 要使用运算符评估属性所依据的值。

例如，可以使用以下组成员资格规则来包括 Microsoft 制造的所有设备：

device.deviceManufacturer -eq "Microsoft