部署设备合规性策略

已完成

组织必须先满足以下先决条件，然后才能实施设备合规性策略：

• 它必须获得 Microsoft Entra ID P1 或 Microsoft Entra ID P2 和 Intune 的许可。 两者都是 Microsoft 365 或企业移动性 + 安全性的一部分，但也可以单独获取。

• 其设备运行以下支持的平台之一：

  • Android
  • 安卓企业
  • iOS/iPadOS
  • macOS
  • Windows 8.1 或更高版本

• 其设备必须在 Intune 中注册，才能符合合规性管理的条件。

可以将合规性策略部署到用户组中的用户或设备组中的设备。 将符合性策略部署给用户后，会检查该用户的所有设备是否符合要求。 如果主要用户未注册设备，建议部署到设备组。 在此方案中使用设备组有助于生成符合性报告。

可在 Microsoft Intune 管理中心的“设备”“合规性策略”中找到合规性策略设置。

实施合规性策略时，需要配置一些常规合规性设置。

1. 登录 Microsoft Intune 管理中心。

2. 选择“设备”“合规性策略”>“合规性策略设置”。 将提供以下选项：

   • 将未分配合规性策略的设备标记为。 此设置具有两个值：

     • 不合规 (默认)。 安全功能已打开。

     • 合规。 安全功能已关闭。

       如果设备未分配合规性策略，则该设备将被视为“不合规”。 默认情况下，设备将被标记为“合规”。 如果使用条件访问，建议将设置更改为“不符合”。 如果最终用户因未分配有策略而不合规，则公司门户应用会列出“未分配合规性策略”。

   • 增强型越狱检测。 启用后，此设置会导致 iOS 设备更频繁地签入 Intune。 启用此属性将使用设备的位置服务，而且会影响电池的使用。 Intune 不会存储用户位置数据。 启用此设置要求设备：

     • 在操作系统级别启用定位服务。
     • 允许公司门户使用定位服务。
     • 至少每 72 小时评估一次越狱状态并将其报告给 Intune。 否则，设备将被标记为不合规。 打开公司门户应用或物理移动设备 500 米以上将触发评估。

   • 合规性状态有效期(天)。 输入设备报告所有已接收合规性策略的状态的时间段。 在此时间段内不返回状态的设备将被视为不合规。 默认值为 30 天。

合规性策略的配置类似于其他 Intune 配置策略。

1. 登录 Microsoft Intune 管理中心。

2. 选择“设备”“符合性策略”>“策略”“创建策略”。

3. 选择此策略的平台，然后选择“创建”以打开“创建策略配置”窗口。

4. 在“基本信息”选项卡上提供名称后，在“合规性设置”选项卡上展开可用类别，并为策略配置设置。 将根据所选平台显示不同的选项。 合规性设置的示例包括：

   • 最低/最高操作系统版本
   • 需要密码才能解锁设备
   • 密码复杂性要求
   • 数据加密
   • 已安装防病毒
   • 已破解的设备

5. 选择合规性设置后，选择“下一步”。

6. 在“对不合规设备执行的操作”选项卡上，配置当设备被确定为不合规时应执行的操作。 操作可能包括向用户发送电子邮件、远程锁定设备或停用设备，并配置在设备被标记为不合规多少天后将执行操作。

7. 选择“下一步”，然后在查看设置后继续创建配置文件、设置分配并选择“创建”。