分享方式:


在 Intune 中設定不相容裝置的動作

合規 性原則 的一部分,可保護您的組織資源不受不符合安全性需求的裝置限制,合規性原則也包含 不符合規範的動作。 不符合規範的動作是原則為了協助保護裝置和組織所採取的一或多個時間排序動作。 例如,不符合規範的動作可以從遠端鎖定裝置以確保裝置受到保護,或傳送通知給裝置或使用者,以協助他們瞭解並解決不符合規範的狀態。

重要事項

Microsoft 2024 年 12 月 31 日,Intune 將終止在可存取 Google Mobile Services (GMS) 的裝置上進行 Android 裝置系統管理員管理的支援。 在該日期之後,裝置註冊、技術支援、錯誤修正和安全性修正將無法使用。 如果您目前使用裝置系統管理員管理,建議您在支持結束之前,先切換至 Intune 中的另一個 Android 管理選項。 如需詳細資訊,請參閱 在 GMS 裝置上終止對 Android 裝置系統管理員的支援

概觀

根據預設,每個合規性原則都包含標記 裝置 不符合規範的動作,排程為零天 (0) 。 此預設的結果是當 Intune 偵測到裝置不符合規範時,Intune 會立即將裝置標示為不符合規範。 將裝置標示為不符合規範之後,Microsoft Entra 條件式存取 可以封鎖裝置。

藉由設定不符合 規範的動作 ,您可以彈性地決定如何處理不符合規範的裝置,以及何時執行。 例如,您可以選擇不立即封鎖裝置,併為使用者提供寬限期以符合規範。

針對您設定的每個動作,您可以設定一個排程來決定該動作何時生效。 排程是在裝置標示為不符合規範之後的幾天。 您也可以設定動作的多個實例。 當您在原則中設定多個動作實例時,如果裝置保持不相容,動作會在稍後的排程時間再次執行。

並非所有動作都適用於所有平臺。

注意事項

Microsoft Intune 系統管理中心會 在天數) 不符合規範後 (天顯示排程 。 不過,您可以指定更細微的間隔 (小時) ,使用十進位分數,例如0.25 (6 小時) 、0.5 (12 小時) 、1.5 (36 小時) 等等。 雖然可以使用其他值,但只能使用 Microsoft Graph 進行設定,而無法透過系統管理中心進行設定。 嘗試在系統管理中心使用其他值,例如 0.33 (8 小時) 會導致嘗試儲存原則時發生錯誤。

不符合規範的可用動作

以下是不符合規範的可用動作:

  • 標記不符合規範的裝置:根據預設,此動作會針對每個合規性政策設定,且排程為零 (0) 天,並立即將裝置標示為不符合規範。

    當您變更預設排程時,您會提供寬限期,讓使用者可以補救問題或變成符合規範,而不會被標示為不符合規範。

    Intune 支援的所有平臺都支援此動作。

  • 傳送電子郵件給使用者:此動作會傳送電子郵件通知給使用者。 開啟此動作時:

    • 選取此動作傳送 的通知訊息範本 。 您 必須先建立通知訊息範本 ,才能將通知訊息範本指派給此動作。 當您建立自定義通知時,您可以自定義訊息地區設定、主旨、訊息本文,而且可以包含公司標誌、公司名稱和其他聯繫人資訊。
    • 選取一或多個Microsoft Entra 群組,以選擇將郵件傳送給更多收件者。

    Intune 會使用使用者配置檔中定義的電子郵件位址,而不是其用戶主體名稱 (UPN) 。 如果使用者的配置檔中未定義任何已定義的電子郵件位址,則 Intune 不會傳送通知電子郵件。 傳送電子郵件時,Intune 會在電子郵件通知中包含不相容裝置的詳細數據。

    Intune 支援的所有平臺都支援此動作。

    注意事項

    通知電子郵件是從下列項目傳送: microsoft-noreply@microsoft.com

    請確定您沒有任何會防止從這些位址傳遞電子郵件的信箱原則,否則終端使用者可能不會收到電子郵件通知。

    在 2022 年 12 月之前,已從下列來源傳送商業雲端中的通知電子郵件: IntuneNotificationService@microsoft.com

  • 遠端鎖定不符合規範的裝置:使用此動作來發出裝置的遠端鎖定。 接著,系統會提示使用者輸入 PIN 或密碼來解除鎖定裝置。 遠端鎖定功能的 詳細 資訊。

    下列平臺支援此動作:

    • Android 裝置系統管理員
    • Android (AOSP)
    • Android Enterprise:
      • 完全受控
      • 耿耿
      • Corporate-Owned 工作配置檔
      • 個人擁有的工作配置檔
      • Android Enterprise kiosk 裝置
    • iOS/iPadOS
    • macOS
  • 新增裝置以淘汰清單:在裝置上執行此動作時,裝置會新增至 Intune 系統管理中心中已淘汰、不符合規範的裝置清單。 您可以移至 [ 裝置>合規性 ],然後選取 [ 淘汰不符合規範的裝置 ] 索引卷標來檢視清單。 不過,在系統管理員明確起始淘汰程式之前,裝置不會淘汰。 當系統管理員從該清單中淘汰裝置時,淘汰會從裝置中移除所有公司數據,並從 Intune 管理中移除該裝置。

    下列平臺支援此動作:

    • Android 裝置系統管理員
    • Android (AOSP)
    • Android Enterprise:
      • 完全受控
      • 耿耿
      • Corporate-Owned 工作配置檔
      • 個人擁有的工作配置檔
    • iOS/iPadOS
    • macOS
    • Windows 10/11

    注意事項

    [淘汰選取的裝置] 索引標籤中只會顯示已觸發 [新增裝置以淘汰] 清單動作的裝置。若要查看所有不符合規範的裝置清單,請參閱監視裝置合規性政策中所述的不符合規範的裝置報告。

    若要從清單中淘汰一或多個裝置,請選取要淘汰的裝置,然後選取 [ 淘汰選取的裝置]。 當您選擇淘汰裝置的動作時,系統會顯示對話框來確認動作。 只有在確認要淘汰已清除公司數據並從 Intune 管理中移除的裝置之後。

    其他選項包括 [淘汰所有裝置]、 [清除所有裝置淘汰狀態] 和 [清除選取的裝置淘汰狀態]。 清除裝置的淘汰狀態會將裝置從可淘汰的裝置清單中移除,直到將 裝置新增至淘汰清單 的動作再次套用至該裝置為止。

    深入瞭解淘汰 裝置

  • 傳送推播通知給用戶:設定此動作,以透過裝置上的公司入口網站應用程式或 Intune 應用程式,將不符合規範的推播通知傳送至裝置。

    下列平臺支援此動作:

    • Android 裝置系統管理員
    • Android Enterprise:
      • 完全受控
      • 耿耿
      • Corporate-Owned 工作配置檔
      • 個人擁有的工作配置檔
    • iOS/iPadOS

    當裝置第一次簽入 Intune 時會傳送推播通知,且發現不符合合規性政策。 當使用者選取通知時,公司入口網站應用程式或 Intune 應用程式會開啟,並顯示其不符合規範原因的相關信息。 用戶接著可以採取動作來解決問題。 不相容的訊息詳細數據是由 Intune 所產生,無法自定義。

    重要事項

    Intune、公司入口網站應用程式和 Microsoft Intune 應用程式無法保證推播通知的傳遞。 通知可能會在經過數小時的延遲後顯示,如果有的話。 這包括當使用者關閉推播通知時。

    請勿依賴此通知方法來取得緊急訊息。

    動作的每個實例會單次傳送通知。 若要再次從原則傳送相同的通知,請在該原則中設定更多動作實例,每個實例都有不同的排程。

    例如,您可以將第一個動作排程為零天,然後將動作的第二個實例新增至三天。 第二個通知之前的這個延遲會讓使用者有幾天的時間來解決問題,並避免第二個通知。

    若要避免垃圾郵件過多的使用者,請檢閱並簡化哪些合規性原則包含不符合規範的推播通知,並檢閱排程以避免重複通知太常發生。

    考量:

    • 針對包含同一天推播通知集之多個實例的單一原則,當天只會傳送單一通知。

    • 當多個合規性原則包含相同的合規性條件,並包含具有相同排程的推播通知動作時,Intune 會在同一天將多個通知傳送至相同的裝置。

注意事項

裝置合規性管理合作夥伴管理的裝置不支援下列不符合規範的動作:

  • 傳送電子郵件給使用者
  • 從遠端鎖定不符合規範的裝置
  • 新增裝置以淘汰清單
  • 傳送推播通知給使用者

開始之前

您可以在設定裝置合規性政策時 新增不符合規範的動作 ,或稍後編輯原則。 您可以將額外的動作新增至每個原則,以符合您的需求。 請記住,每個合規性政策都會自動包含將裝置標示為不符合規範的默認動作,並將排程設定為零天。

若要使用裝置合規性原則來封鎖來自公司資源的裝置,Microsoft必須設定 Entra 條件式存取。 如需指引,請參閱 Microsoft Entra ID 的條件式存取或搭配 Intune 使用條件式存取的常見方式

若要建立裝置合規性政策,請參閱下列平臺特定指引:

建立通知訊息範本

若要傳送電子郵件給使用者,請建立通知訊息範本,並將它與合規性政策產生關聯,以作為不符合規範的動作。 然後,當裝置不符合規範時,您在範本中輸入的詳細數據會顯示在傳送給使用者的電子郵件中。

通知訊息範本可以包含多個訊息,每個訊息都適用於不同的地區設定。 當您指定多個訊息和地區設定時,不符合規範的用戶會根據其 O365 慣用語言收到適當的當地語系化訊息。

將變數新增至訊息,以建立具有動態內容的個人化電子郵件。 下表描述您可以在訊息的主旨行和本文中使用的變數。

變數名稱 要使用的令牌 描述
使用者名稱 {{UserName}} 為不符合規範的裝置新增主要用戶的名稱。
範例:John Doe
裝置名稱 {{DeviceName}} 新增不相容裝置的名稱,如同Microsoft Intune 中所記錄的名稱。
範例:John's iPad
裝置標識碼 {{DeviceId}} 新增屬於不符合規範裝置的 Intune 裝置標識碼。
範例:12ab345c-6789-def0-1234-000000000000
裝置作業系統版本 {{OSAndVersion}} 新增不相容裝置的作業系統和版本。
範例:Android 12

建立範本

  1. 登入 Microsoft Intune 系統管理中心

  2. 取 [端點安全>性裝置合規性>通知][>建立通知]

  3. 在 [ 基本] 頁面上,為範本提供易記名稱,以協助您識別範本。 然後選取 [下一步]

  4. 在 [ 頁首和頁尾設定 ] 頁面上,新增您的公司詳細數據和標誌。

    此螢幕快照顯示 Intune 中通知訊息的頁首和頁尾設定頁面範例。

    選項包括:

    • 電子郵件標頭 – 顯示公司標誌 (預設值 = 啟用) - 上傳標誌以將貴組織的商標新增至電子郵件範本。 如需公司入口網站商標的詳細資訊,請參閱 公司身分識別商標自定義
    • 電子郵件頁尾 – 顯示公司名稱 (預設值 = 啟用) - 啟用此設定可在電子郵件中顯示您的公司名稱。 請參閱 租使用者值 以檢閱記錄的公司名稱。
    • 電子郵件頁尾 – 顯示聯絡人資訊 (預設值 = 啟用) - 啟用此設定可在電子郵件中顯示貴組織的聯繫人資訊,例如名稱、電話號碼和電子郵件位址。 請參閱 租使用者值 以檢閱記錄的聯繫人資訊。
    • 電子郵件頁尾 - 顯示公司入口網站連結 (預設值 = 停用) - 啟用此設定可在電子郵件中包含公司入口網站的連結。 請參閱 租使用者值 ,以檢閱向用戶顯示的網站連結。

    選取 [下一步] 繼續。

  5. 在 [ 通知訊息範本 ] 頁面上,設定一或多個訊息。 針對每個訊息,指定下列詳細資料:

    • 地區設定:選取與裝置用戶的地區設定相互關聯的語言。
    • 主旨:新增電子郵件的主旨列。 您最多可以輸入 78 個字元。
    • 原始 HTML 編輯器:開啟 HTML 編輯器以在新增 HTML 格式設定和訊息連結時取得建議。 您可以使用 href 屬性來新增連結 (必須是 HTTPS URL) 。 支援的 HTML 標記包括:<a>、、、<strong><b><u><br><p><li><ol><ul>、、、 。 <tbody><th><table><tr><td><thead><code> 您不需要使用 HTML 編輯器,而且可以在不開啟編輯器的情況下新增支援的 HTML。
    • 訊息:建立說明不符合規範原因的訊息。 您最多可以輸入 2,000 個字元。

    若要建立具有動態內容的範本,請在主旨行或訊息中插入支援變數的令牌。 如需支援的變數清單,請參閱本文中 建立通知訊息範本 下的數據表。

    重要事項

    請務必只在訊息本文中使用 Intune 支援的 HTML 標籤和屬性。 Intune 會傳送訊息,其中包含其他類型的標籤、元素或樣式為純文字,而不是 HTML 格式。 這包括包含下列訊息:

    • CSS
    • 本文中未列出的標籤和屬性

    注意事項

    Intune 會將 Windows 樣式的新行字元轉換成 <br> HTML 標記,但會忽略所有其他類型的新行字元,包括適用於 macOS 和 Linux 的新行字元。 若要確保在範本中正確呈現換行符,建議您使用 <br> 標記來指出線條的結尾。

  6. 選取其中一個訊息的 [ 為預設值 ] 複選框。 Intune 會將您的預設訊息傳送給尚未設定慣用語言的使用者,或當範本未包含其地區設定的特定訊息時。 只能將一則訊息設定為預設值。 若要刪除訊息,請選取省略號 (...) ,然後 選取 [刪除]

    選取 [下一步] 繼續。

  7. 在 [ 範圍卷標] 頁面上,選取標籤以將此訊息的可見度和管理限制為特定的 Intune 系統管理群組,例如 US-NC IT TeamJohnGlenn_ITDepartment。 如需範圍標籤的詳細資訊,請參閱針對分散式 IT 使用 RBAC 和範圍標籤

    選取 [下一步] 繼續。

  8. 在 [ 檢閱 + 建立] 頁面上,檢閱您的設定,以確保通知訊息範本已可供使用。 選 取 [建立 ] 以完成通知的建立。

檢視和編輯通知

已建立的通知可在 [合規性>原則通知] 頁面中取得。 您可以從頁面選取通知來檢視其設定,以及:

  • 取 [傳送預覽電子郵件 ],將通知電子郵件的預覽傳送至您用來登入 Intune 的帳戶。

    若要成功傳送預覽電子郵件,您的帳戶必須具有等於下列Microsoft Entra 群組或 Intune 角色的許可權: Intune 系統管理員 (也稱為 Intune 服務管理員) 或原則 和配置檔管理員

  • 選取 [編輯基本概念] 或 [範圍] 標籤以進行變更。

注意事項

預覽電子郵件不包含通知訊息範本中指定的裝置變數。

新增不符合規範的動作

當您建立裝置合規性政策時,Intune 會自動建立不符合規範的動作。 如果裝置不符合您的合規性政策,此動作會將裝置標示為不符合規範。 您可以自定義裝置標示為不符合規範的時間長度。 無法移除此動作。

您可以在建立合規性政策或更新現有原則時新增選擇性動作。

  1. 登入 Microsoft Intune 系統管理中心

  2. 移至 [裝置>合規性]

  3. 選取原則,然後選取 [ 屬性]

    還沒有原則嗎? 建立 AndroidiOSWindows或其他平台原則。

    注意事項

    以裝置群組為目標的第三方裝置合規性合作夥伴所管理的裝置目前無法收到合規性動作。

  4. 取 [不兼容的動作>編輯]

  5. 選取您的 動作

    • 傳送電子郵件給使用者:當裝置不符合規範時,請選擇以電子郵件傳送給使用者。 也:

      • 選擇您先前建立的訊息範本
      • 選取群組以輸入任何其他收件者
    • 從遠端鎖定不符合規範的裝置:當裝置不符合規範時,請鎖定裝置。 此動作會強制使用者輸入 PIN 或密碼來解除鎖定裝置。

    • 新增要淘汰的裝置清單:當裝置不符合規範時,請從裝置移除所有公司數據,並從 Intune 管理中移除裝置。

    • 傳送推播通知給用戶:設定此動作,以透過裝置上的公司入口網站應用程式或 Intune 應用程式,將不符合規範的推播通知傳送至裝置。

  6. 設定 排程:輸入不符合規範后 (0 到 365) 的天數,以在使用者的裝置上觸發動作。 在此寬限期之後,您可以強制執行 條件式存取 原則。 如果您輸入 0 (零) 天數,則條件式存取 會立即生效。 例如,如果裝置不符合規範,請使用條件式存取來立即封鎖對電子郵件、SharePoint 和其他組織資源的存取。

    當您建立合規性政策時,會自動建立 標記裝置不符合規範 的動作,並自動設定為 0 天, (立即) 。 使用此動作時,當裝置簽入 Intune 並評估原則時,如果不符合該原則,Intune 會立即將該裝置標示為不符合規範。 如果客戶端在補救導致不符合規範的問題之後於稍後簽入,其狀態將會更新為新的合規性狀態。 如果您使用條件式存取,當裝置標示為不符合規範時,這些原則也會立即套用。 若要設定寬限期以允許在裝置標示為不符合規範之前補救不符合規範的條件,請變更 [標記裝置不符合規範] 動作上的 [程]。

    例如,在合規性政策中,您也想要通知使用者。 您可以新增 [ 傳送電子郵件給使用者 ] 動作。 在此 [傳送電子郵件 ] 動作中,您會將 [ 排程 ] 設定為兩天。 如果裝置或終端使用者仍會在第二天評估為不符合規範,則您的電子郵件會在第二天傳送。 如果您想要在不符合規範的第五天再次傳送電子郵件給使用者,請新增另一個動作,並將 [排程] 設定為 [五天]。

    如需合規性和內建動作的詳細資訊,請參閱 合規性概觀

  7. 完成時,選取 [新增>確定] 以儲存您的變更。

後續步驟

監視您的原則