使用合規性原則來設定使用 Intune 管理裝置
Microsoft Intune 合規性原則是您用來評估受控裝置設定的一組規則和條件。 這些原則可協助您從不符合這些設定需求的裝置保護組織數據和資源。 受控裝置必須滿足您在原則中設定的條件,才能被 Intune 視為符合規範。
如果您也整合原則的合規性結果與 Microsoft Entra 條件式存取,您可以從額外的安全性層級獲益。 條件式存取可以根據裝置目前的合規性狀態強制執行 Microsoft Entra 訪問控制,以協助確保只允許符合規範的裝置存取公司資源。
Intune 合規性原則分成兩個區域:
合規性原則設定 是全租用戶的設定,其作用就像是每個裝置收到的內建合規性原則。 合規性原則設定會建立合規性政策在 Intune 環境中的運作方式,包括如何處理未指派明確裝置合規性原則的裝置。
裝置合規性原則 是您部署至使用者或裝置群組的一組不同的平臺特定規則和設定。 裝置會評估規則我的原則,以報告裝置合規性狀態。 不符合規範的狀態可能會導致一或多個不符合規範的動作。 Microsoft Entra 條件式存取原則也可以使用該狀態來封鎖從該裝置存取組織資源。
合規性原則設定
合規性原則設定是全租用戶設定,可決定 Intune的合規性服務如何與您的裝置互動。 這些設定與您在裝置合規性政策中設定的設定不同。
若要管理合規性政策設定,請登入 Microsoft Intune 系統管理中心,然後移至 [端點安全>性裝置合規性政策>設定]。
合規性原則設定包含下列設定:
將未指派合規性原則的裝置標示為
此設定決定 Intune 如何處理未獲指派裝置合規性原則的裝置。 此設定有兩個值:
- 符合 (預設) :此安全性功能已關閉。 未傳送裝置合規性原則的裝置會被視為 符合規範。
- 不符合規範:此安全性功能已開啟。 沒有裝置合規性原則的裝置會被視為不符合規範。
如果您使用條件式存取搭配裝置合規性政策,請將此設定變更為 [不符合規範 ],以確保只有確認為符合規範的裝置才能存取您的資源。
如果使用者因為未指派原則而不符合規範,則 公司入口網站 應用程式會顯示未指派任何合規性原則。
合規性狀態有效期間 (天)
指定裝置必須成功報告其所有接收合規性原則的期間。 如果裝置在有效期間到期之前無法報告原則的合規性狀態,則會將裝置視為不符合規範。
根據預設,期間設定為30天。 您可以設定 1 到 120 天的期間。
您可以檢視有關裝置符合有效期間設定的詳細數據。 登入 Microsoft Intune 系統管理中心,然後移至 [裝置>監視器>設定合規性]。 此設定的名稱在 [設定] 資料行中為 [作用中]。 如需此和相關合規性狀態檢視的詳細資訊,請 參閱監視裝置合規性。
裝置合規性原則
Intune 裝置合規性原則是您部署至使用者或裝置群組的一組不同的平臺特定規則和設定。 使用合規性原則來:
定義使用者和受管理裝置必須符合規範的規則和設定。 規則範例包括要求裝置執行最低 OS 版本、不要遭到越獄或 Root 破解,以及與 Intune 整合的威脅管理軟體所指定處於或低於威脅層級。
支援不符合 規範的動作 ,這些動作適用於不符合該原則合規性規則的裝置。 不相容的動作範例包括將裝置標示為不符合規範、遠端鎖定,以及傳送裝置使用者電子郵件以瞭解裝置狀態,以便修正裝置狀態。
使用裝置合規性政策時:
某些合規性原則設定可以覆寫您也透過裝置設定原則管理的設定組態。 若要深入了解原則的衝突解決方式,請參閱 衝突的合規性和裝置設定原則。
原則可以部署到使用者群組中的用戶或裝置群組中的裝置。 將合規性原則部署至使用者時,會檢查所有使用者的裝置是否符合規範。 在此案例中使用裝置群組有助於合規性報告。
如果您使用 Microsoft Entra 條件式存取,則條件式存取原則可以使用裝置合規性結果來封鎖從不符合規範的裝置存取資源。
如同其他 Intune 原則,裝置的合規性政策評估取決於裝置何時使用 Intune 簽入,以及原則和配置檔重新整理週期。
您可以在裝置合規性政策中指定的可用設定,取決於您在建立原則時選取的平台類型。 不同的裝置平臺支援不同的設定,而且每個平台類型都需要個別的原則。
下列主題會連結至裝置設定原則不同層面的專用文章。
不符合規範的動作 - 根據預設,每個裝置合規性原則都會包含動作,以在裝置不符合原則規則時將裝置標示為不符合規範。 每個原則都可以根據裝置平臺支援更多動作。 額外動作的範例包括:
- 傳送電子郵件警示 給使用者和群組,其中包含不符合規範裝置的詳細數據。 您可能會將原則設定為在標示為不符合規範時立即傳送電子郵件,然後再次定期傳送電子郵件,直到裝置符合規範為止。
- 遠端鎖定 一段時間不相容的裝置。
- 在裝置 不符合規範一段時間之後,請將裝置淘汰。 此動作會將合格的裝置標示為已準備好淘汰。 系統管理員接著可以檢視標示為淘汰的裝置清單,而且必須採取明確動作來淘汰一或多個裝置。 淘汰裝置會從 Intune 管理中移除裝置,並從裝置移除所有公司數據。 如需此動作的詳細資訊,請參閱 不符合規範的可用動作。
Create 合規性政策 – 使用連結文章中的資訊,您可以檢閱必要條件、完成設定規則的選項、指定不符合規範的動作,以及將原則指派給群組。 本文也包含原則重新整理時間的相關信息。
檢視不同裝置平臺的裝置合規性設定:
- Android 裝置系統管理員
- Android 企業版
- Android 開放原始碼專案 (AOSP)
- iOS
- Linux
- macOS
- Windows Holographic for Business
- Windows 10/11
- Windows 8.1 及更新版本
重要事項
在 2022 年 10 月 22 日,Microsoft Intune 終止對執行 Windows 8.1 裝置的支援。 無法在這些裝置上使用技術協助和自動更新。
如果您目前使用 Windows 8.1,建議您移至 Windows 10/11 裝置。 Microsoft Intune 具有可管理 Windows 10/11 用戶端裝置的內建安全性和裝置功能。
自定義合規性設定 – 使用自定義合規性設定,您可以擴充 Intune 的內建裝置合規性選項。 自定義設定可讓您彈性地根據裝置上可用的設定來建立合規性,而不需要等待 Intune 新增這些設定。
您可以使用自訂相容性設定搭配下列平臺:
- Linux – Ubuntu Desktop,20.04 版 LTS 和 22.04 LTS
- Windows 10
- Windows 11
監視合規性狀態
Intune 包含裝置合規性儀錶板,可用來監視裝置的合規性狀態,以及深入了解原則和裝置以取得詳細資訊。 若要深入瞭解此儀錶板,請參 閱監視裝置合規性。
與條件式存取整合
當您使用條件式存取時,可以設定條件式存取原則,以使用裝置合規性政策的結果來判斷哪些裝置可以存取您的組織資源。 此訪問控制除了與您在裝置合規性政策中包含的不相容動作不同。
當裝置註冊 Intune 會在 Microsoft Entra ID 中註冊。 裝置的合規性狀態會回報給 Microsoft Entra ID。 如果您的條件式存取原則將訪問控制設定 為 [需要將裝置標示為符合規範],條件式存取會使用該合規性狀態來判斷是否要授與或封鎖電子郵件和其他組織資源的存取權。
如果您使用裝置合規性狀態搭配條件式存取原則,請檢閱您的租使用者如何設定 [標記 未指派合規性原則的裝置] 選項,這是您在 [ 合規性原則設定] 下管理的選項。
如需搭配裝置合規性原則使用條件式存取的詳細資訊,請參閱 裝置型條件式存取。
在 Microsoft Entra 檔中深入了解條件式存取:
不同平臺上不相容和條件式存取的參考
下表說明當相容性政策與條件式存取原則搭配使用時,如何管理不符合規範的設定。
已補救:裝置操作系統會強制執行合規性。 例如,強制用戶設定 PIN。
已隔離:裝置操作系統不會強制執行合規性。 例如,Android 和 Android Enterprise 裝置不會強制使用者加密裝置。 當裝置不符合規範時,會執行下列動作:
- 如果條件式存取原則套用至使用者,則會封鎖裝置。
- 公司入口網站 應用程式會通知使用者任何合規性問題。
| 原則設定 | 平台 |
|---|---|
| 允許的散發套件 | 僅 限 Linux () - 已隔離 |
| 裝置加密 | - Android 4.0 和更新版本:已隔離 - Samsung Knox Standard 4.0 和更新版本:已隔離 - Android Enterprise:已隔離 - iOS 8.0 和更新版本:藉由設定 PIN) 來補救 ( - macOS 10.11 和更新版本:已隔離 - Linux:隔離 - Windows 10/11:已隔離 |
| 電子郵件設定檔 | - Android 4.0 和更新版本:不適用 - Samsung Knox Standard 4.0 和更新版本:不適用 - Android Enterprise:不適用 - iOS 8.0 和更新版本:已隔離 - macOS 10.11 和更新版本:已隔離 - Linux:不適用 - Windows 10/11:不適用 |
| 已越獄或 Root 破解的裝置 | - Android 4.0 和更新版本:隔離 (不是設定) - Samsung Knox Standard 4.0 和更新版本:隔離 (不是設定) - Android Enterprise:隔離 (不是設定) - iOS 8.0 和更新版本:隔離 (不是設定) - macOS 10.11 和更新版本:不適用 - Linux:不適用 - Windows 10/11:不適用 |
| 操作系統版本上限 | - Android 4.0 和更新版本:已隔離 - Samsung Knox Standard 4.0 和更新版本:已隔離 - Android Enterprise:已隔離 - iOS 8.0 和更新版本:已隔離 - macOS 10.11 和更新版本:已隔離 - Linux:請參閱 允許的散發版本 - Windows 10/11:已隔離 |
| 最低作業系統版本 | - Android 4.0 和更新版本:已隔離 - Samsung Knox Standard 4.0 和更新版本:已隔離 - Android Enterprise:已隔離 - iOS 8.0 和更新版本:已隔離 - macOS 10.11 和更新版本:已隔離 - Linux:請參閱 允許的散發版本 - Windows 10/11:已隔離 |
| PIN 或密碼設定 | - Android 4.0 和更新版本:已隔離 - Samsung Knox Standard 4.0 和更新版本:已隔離 - Android Enterprise:已隔離 - iOS 8.0 和更新版本:已補救 - macOS 10.11 和更新版本:已補救 - Linux:隔離 - Windows 10/11:已補救 |
| Windows 健康情況證明 | - Android 4.0 和更新版本:不適用 - Samsung Knox Standard 4.0 和更新版本:不適用 - Android Enterprise:不適用 - iOS 8.0 和更新版本:不適用 - macOS 10.11 和更新版本:不適用 - Linux:不適用 - Windows 10/11:已隔離 |
注意事項
當使用者登入應用程式,且裝置在 (30 天以上未成功簽入 Intune,或裝置因為遺失聯繫人合規性原因而) 而不符合規範時,公司入口網站 應用程式會進入註冊補救流程。 在此流程中,我們嘗試再起始一次簽入。 如果仍然失敗,我們會發出淘汰命令,以允許用戶手動重新註冊裝置。
後續步驟
- Create和部署原則並檢閱必要條件
- 監視裝置合規性
- Microsoft Intune 中裝置原則和配置檔的常見問題、問題和解決方式
- 原則實體的參考具有 Intune Data Warehouse 原則實體的相關信息
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: