裝置合規政策是使用 Intune 保護組織資源的關鍵功能。 在 Intune 中,你可以建立裝置必須符合的規則和設定,例如最低作業系統版本。 如果裝置不符合規範,你可以透過 條件存取來阻擋資料和資源的存取。
你也可以對違規採取行動,例如發送通知郵件給使用者。 關於合規政策的運作及其使用方式,請參閱 「開始裝置合規」頁面。
本文內容:
- 列出建立合規政策的先決條件與步驟。
- 它會顯示如何將政策指派給使用者和裝置群組。
- 說明其他功能,包括用來「過濾」政策的範圍標籤,以及對不合規裝置可以採取的步驟。
- 列出裝置收到政策更新時的簽到刷新週期時間。
需求
裝置平台需求
執照要求
- Microsoft Intune 訂用帳戶
- 如果你使用條件存取,那你需要 Microsoft Entra ID P1 或 P2 版本。 Microsoft Entra 的價格列出了不同版本的服務。 Intune 合規不需要 Microsoft Entra ID。
- Android 裝置系統管理員
- Android AOSP
- Android Enterprise
- iOS
- Linux - Ubuntu 桌面版,版本 24.04 LTS 或 26.04 LTS
- macOS
- Windows
重要事項
Android 裝置管理員 (DA) 管理已不再適用於有 Google 行動服務 (GMS) 的裝置。 如果你目前使用 DA 管理,建議切換到其他 Android 管理選項。 部分 Android 15 及更早裝置(不含 GMS)的支援與說明文件仍然可用。 欲了解更多資訊,請參閱 結束對 GMS 裝置 Android 裝置管理員的支援。
登記方法
- 在需要Intune (登記設備以查看合規狀態)
- 可以將裝置註冊給一位使用者,或是不設主要使用者即可註冊。 單一裝置無法同時註冊給多個使用者。
除了 Intune 內建的合規設定外,以下平台支援在合規政策中新增自訂合規設定:
- Linux
- Ubuntu 桌面版,版本 24.04 LTS 或 26.04 LTS
- RedHat 企業版 Linux 9 或 10
- Windows
在新增自訂設定之前,你必須先準備一個自訂 JSON 檔案,定義你想依據的自訂合規設定,並有一個腳本能在裝置上執行以偵測 JSON 中定義的設定。
如需更多關於使用自訂合規設定的資訊,包括支援的平台、前置條件,以及如何在建立政策時設定 自訂合規 類別,請參見 「使用自訂合規設定」。
建立原則
前往裝置。
在 管理裝置中,選擇 合規。 然後選擇 建立政策。
請從以下選項中選擇此政策的 平台 :
- Android 裝置系統管理員
- Android (AOSP)
- Android 企業版
- iOS/iPadOS
- Linux - (Ubuntu Desktop,版本 24.04 LTS 或 26.04 LTS,RedHat Enterprise Linux 9,或 RedHat Enterprise Linux 10)
- macOS
- Windows 10 和更新版本
- Windows 8.1 和更新版本
對於 Android 企業版,也可以選擇個人 檔案類型。 選項包括:
- 完全管理、專注且由企業擁有的工作模式
- 個人擁有的工作檔案
然後選擇 建立 以開啟設定頁面。
在 「基礎 」標籤中,輸入一個 名稱,幫助 你日後辨識此保單。 例如,一個不錯的政策名稱是 將 iOS/iPadOS 越獄裝置標記為不合規。
可選擇性地輸入保單 說明 。
在 合規設定 標籤中,展開可用類別,並為你的政策設定。 以下文章說明各平台可用的合規設定:
可選擇性地為支援平台新增自訂設定。
提示
此步驟為可選,並支援以下平台:
- Linux
- Ubuntu 桌面版,版本 24.04 LTS 或 26.04 LTS
- RedHat 企業版 Linux 9 或 10
- Windows 在你能為政策新增自訂設定之前,先把偵測腳本上傳到 Intune,並有一個 JSON 檔案來定義你想用來符合規定的設定。 欲了解更多資訊,請參閱 自訂合規設定。
在 合規設定 頁面,展開 自訂合規 類別:
Windows:
- 在 合規設定 頁面,展開 自訂合規 並將 自訂合規 設定為 必需。
- 選擇您的發現腳本,請點選選擇,然後輸入您先前新增到Microsoft Intune管理中心的腳本名稱。 此腳本必須在你開始建立政策前上傳。 選擇選擇以繼續下一步。
- 若要 上傳並驗證 JSON 檔案,並依照自訂合規設定,選擇資料夾圖示,然後找到並新增你想搭配此政策使用的 Windows JSON 檔案。 如需協助 JSON 的操作,請參閱 「建立 JSON 以取得自訂合規設定」。
針對 Linux:
- 在 合規設定 頁面,選擇 新增設定 以開啟 設定選擇器。
- 選擇 自訂合規。 然後關閉設定選擇器。
- 交換 器要求自訂合規 為 真。
- 選擇 您的發現腳本,請選擇 選擇腳本。 然後選擇你之前加入 Microsoft Intune 管理中心的腳本。 此腳本必須在你開始建立政策前上傳。
- 選擇你的規則檔案時,選擇資料夾圖示,然後找到並新增你想搭配此政策使用的 Linux JSON 檔案。 如需協助 JSON 的操作,請參閱 「建立 JSON 以取得自訂合規設定」。
等 Intune 驗證 JSON 時再等等。 需要修正的問題會出現在螢幕上。 在驗證 JSON 內容後,JSON 中的規則會以表格格式呈現。
- Linux
在「 不合規行動 」標籤中,選擇一連串行動,自動套用於不符合此合規政策的裝置。
你可以新增多個動作,並為某些動作設定排程和細節。 例如,你可以將預設動作的排程更改為「 標記裝置不合規 」,改為一天後發生。 接著你可以新增一個動作,當裝置不合規時,發送電子郵件給使用者,提醒他們該狀態。 你也可以新增鎖定或停用仍不合規的裝置的動作。
關於可設定的動作資訊,請參閱「 為不合規裝置新增行動,包括如何建立通知郵件發送給使用者」。
另一個例子是使用地點(Locations),即在合規政策中至少新增一個地點。 在這種情況下,當你選擇至少一個地點時,預設的違規行動會適用。 如果裝置沒有連接到任何選定的位置,就會被視為不合規。 你可以設定排程,給使用者一個寬限期,例如一天。
在 範圍標籤 標籤中,選擇標籤以協助篩選特定群組的政策,例如
US-NC IT Team或JohnGlenn_ITDepartment。 新增設定後,你也可以在合規政策中加入範圍標籤。關於使用範圍標籤的資訊,請參見 使用範圍標籤來篩選政策。
在 「分配 」標籤中,將政策指派給你的群組。
選擇 新增群組,然後將政策指派給一個或多個群組。 當你在下一步之後儲存保單時,該政策會適用於這些群組。
Linux 的政策不支援使用者導向的指派,只能指派給裝置群組。
在 「檢視+建立 」標籤中,檢視設定,準備好後選擇 建立 以儲存合規政策。
Intune 會評估您政策所針對的使用者或裝置是否符合 Intune 的合規性。
重新整理週期時間
Intune 會使用不同的刷新週期來檢查合規政策的更新。 如果裝置最近註冊,則調查執行的頻率會更高。 原則和設定檔重新整理週期 列出了估計的重新整理時間。
使用者隨時可開啟公司入口網站應用程式,同步裝置以立即查看政策更新。
設定免稅期狀態
合規政策的寬限期狀態是一個值。 此值由裝置的寬限期與該合規政策的實際狀態結合決定。
具體來說,如果裝置對指定的合規政策有不合規狀態,且:
- 該裝置沒有被分配寬限期,則合規政策的值為「不合規」
- 裝置有一個寬限期,但已過,合規政策的值則是非合規
- 裝置有一個未來的寬限期,然後合規政策的賦值是 InGracePeriod
下表總結了這些重點:
| 實際合規狀態 | 寬限期的價值 | 有效合規狀態 |
|---|---|---|
| 不合規 | 沒有給予寬限期 | 不合規 |
| 不合規 | 昨天的日期 | 不合規 |
| 不合規 | 明天的日期 | 恩典時期 |
欲了解更多關於監控裝置合規政策的資訊,請參閱監控 Intune 裝置合規政策。
為產生的合規政策狀態分配
若裝置有多個合規政策,且該裝置對兩個或以上分配的合規政策有不同的合規狀態,則會被分配一個統一的合規狀態。 此指派基於為每個合規狀態所指派的概念嚴重程度等級。 每種合規狀態具有以下嚴重程度等級:
| 狀態 | 嚴重性 |
|---|---|
| Unknown | 1 |
| 不適用 | 2 |
| Compliant | 3 |
| 恩典時期 | 4 |
| 不合規 | 5 |
| 錯誤 | 6 |
當裝置擁有多個合規政策時,Intune 會將所有政策中最高的嚴重程度分配給該裝置。
例如,一個裝置被分配了三種合規政策:一項 (嚴重度 = 1) 的未知狀態,一項嚴重度 (合規狀態 = 3) ,以及一項寬限期狀態 (嚴重度 = 4) 。 InGracePeriod 狀態具有最高的嚴重程度等級,因此裝置會被賦予 InGracePeriod 合規狀態。
重要事項
發現腳本輸出限制為 2048 個字元。 若輸出超過此限制,可能會被截斷,導致 JSON 無效,並在合規評估時出現錯誤 65009。 為避免這種情況,請保持輸出簡潔,或將大型規則集分散到多個政策中。