裝置合規性原則是使用 Intune 來保護組織資源時的重要功能。 在 Intune 中,您可以建立裝置必須符合的規則和設定,才能被視為符合規範,例如最低 OS 版本。 如果裝置不符合規範,您可以使用 條件式存取來封鎖對資料和資源的存取。
您也可以針對不合規採取動作,例如傳送通知電子郵件給使用者。 如需合規性原則的用途及其使用方式的概觀,請參閱 開始使用裝置合規性。
本文內容:
- 清單建立合規性原則的必要條件和步驟。
- 示範如何將原則指派給使用者和裝置群組。
- 描述其他功能,包括「篩選」原則的範圍標籤,以及您可以在不符合規範的裝置上採取的步驟。
- 清單裝置收到原則更新時的簽入重新整理週期時間。
開始之前
若要使用裝置合規性原則,請務必:
使用下列訂閱:
- Intune
- 如果您使用條件式存取,則需要 Microsoft Entra ID P1 或 P2 版本。 Microsoft Entra 定價列出了您通過不同版本獲得的內容。 Intune 合規性不需要 Microsoft Entra ID。
使用支援的平台:
- Android 裝置系統管理員
- 安卓 AOSP
- Android Enterprise
- iOS
- Linux - Ubuntu 桌面版 22.04 LTS 或 24.04 LTS
- macOS
- Windows
重要事項
Android 裝置管理員 (DA) 管理功能已淘汰,且無法再適用於可存取 Google Mobile Services (GMS) 的裝置。 如果您目前使用 DA 管理,我們建議您切換到其他 Android 管理選項。 支援和說明文件仍適用於部分未搭載 GMS 的 Android 15 及更早版本裝置。 如需詳細資訊,請參閱 終止對 GMS 裝置上 Android 裝置管理員的支援。
必須在 Intune 中註冊裝置 (才能查看合規性狀態)
將裝置註冊給一個使用者,或在沒有主要使用者的情況下註冊。 單一裝置無法註冊給多個使用者。
除了內建於 Intune 的合規性設定之外,下列平臺還支援將自定義合規性設定新增至合規性原則:
- Ubuntu 桌面版 22.04 LTS 或 24.04 LTS
- Windows
在新增自訂設定之前,您必須先準備自訂 JSON 檔案,以定義自訂合規性所依據的設定,以及在裝置上執行的指令碼,以偵測 JSON 中定義的設定。
如需有關使用自訂合規性設定的詳細資訊,包括支援的平台、必要條件,以及如何在建立原則時設定 自訂合規 性類別,請參閱使用 自訂合規性設定。
建立原則
前往 裝置。
在 [管理裝置] 底下,選取 [合規性]。 然後選擇 Create policy (建立政策)。
從下列選項中選取此原則的 平台 :
- Android 裝置系統管理員
- Android (AOSP)
- Android 企業版
- iOS/iPadOS
- Linux - (Ubuntu 桌面、22.04 LTS 或 24.04 LTS 版、RedHat Enterprise Linux 8 或 RedHat Enterprise Linux 9)
- macOS
- Windows 10 和更新版本
- Windows 8.1 和更新版本
對於 Android Enterprise,您也可以選取設定檔 類型。 選項包括:
- 完全受控、專用和公司擁有的工作設定檔
- 個人擁有的工作設定檔
然後選取 [建立 ] 以開啟設定頁面。
在 [基本] 索引標籤上,輸入 [名稱 ] ,以協助您稍後識別此原則。 例如,良好的原則名稱是 將 iOS/iPadOS 越獄裝置標示為不符合規範。
或者,輸入原則的 [描述]。
在 [ 合規性設定 ] 索引標籤上,展開可用的類別,並設定原則的設定。 下列文章說明每個平臺的可用合規性設定:
或者,您可以為支援的平台新增自訂設定。
提示
這是下列平台支援的選擇性步驟:
- Linux - Ubuntu 桌面版 22.04 LTS 或 24.04 LTS
- Windows 您必須先將偵測腳本上傳至 Intune,並準備好 JSON 檔案,以定義您想要用於合規性的設定。 請參閱 自訂合規性設定。
在 [ 合規性設定 ] 頁面上,展開 [ 自訂合規性 ] 類別:
對於 Windows:
- 在 [ 合規性設定 ] 頁面上,展開 [ 自定義合規性 ] ,並將 [ 自定義合規性 ] 設定為 [ 需要]。
- 針對 [ 選取您的探索指令碼],選取 [ 按一下以選取],然後輸入您先前新增至 Microsoft Intune 系統管理中心的指令碼名稱。 在開始建立原則之前,必須先上傳此指令碼。 選擇 Select (選取) 以繼續下一步。
- 針對 [上傳並驗證具有自訂合規性設定的 JSON 檔案],選取資料夾圖示,然後尋找並新增您要與此原則搭配使用的 Windows JSON 檔案。 如需 JSON 的協助,請參閱 建立自訂合規設定的 JSON。
對於 Linux:
- 在 [ 合規性設定 ] 頁面上,選取 [ 新增設定 ] 以開啟 [ 設定 ] 選擇器。
- 選取 自訂合規性。 然後關閉設定選擇器。
- 將 [需要自訂合規性] 切換為 true。 T
- 針對 [ 選取您的探索指令碼],選取選取 指令碼。 然後選取先前新增至 Microsoft Intune 系統管理中心的腳本。 在開始建立原則之前,必須先上傳此指令碼。
- 針對 [ 選取您的規則檔案],選取資料夾圖示,然後找出並新增您要與此原則搭配使用的 Linux JSON 檔案。 如需 JSON 的協助,請參閱 建立自訂合規設定的 JSON。
等候 Intune 驗證 JSON。 需要修復的問題會出現在屏幕上。 驗證 JSON 內容之後,JSON 中的規則會以表格格式顯示。
在 [ 不合規的動作 ] 索引標籤上,選取一系列動作,以自動套用至不符合此合規性原則的裝置。
您可以新增多個動作,並設定某些動作的排程和詳細資料。 例如,您可以將預設動作 「將裝置標記為不相容 」的排程變更為在一天後發生。 然後,您可以新增動作,在裝置不符合規範時傳送電子郵件給使用者,以警告他們該狀態。 您也可以新增動作來鎖定或淘汰仍不符合規範的裝置。
如需您可以設定之動作的相關資訊,請參閱 新增不合規裝置的動作,包括如何建立通知電子郵件以傳送給使用者。
另一個範例包括使用位置,您將至少一個位置新增至合規性原則。 在此情況下,當您選取至少一個位置時,會套用不合規的預設動作。 如果裝置未連線到任何選取的位置,則會被視為不符合規範。 您可以設定排程,為使用者提供寬限期,例如一天。
在 [範圍標籤 ] 索引標籤上,選取標籤以協助篩選特定群組的原則,例如
US-NC IT Team或JohnGlenn_ITDepartment。 新增設定之後,您也可以將範圍標籤新增至合規性原則。如需使用範圍標籤的相關資訊,請參閱 使用範圍標籤來篩選政策。
在 [指派] 索引標籤上,將原則指派給您的群組。
選取 [ 新增群組],然後將原則指派給一或多個群組。 當您在下一個步驟之後儲存原則時,原則將套用至這些群組。
Linux 的原則不支援以使用者為基礎的指派,而且只能指派給裝置群組。
在 [ 檢閱 + 建立 ] 索引標籤上,檢閱設定,並在準備好儲存合規性原則時選取 [ 建立 ]。
原則所針對的使用者或裝置會在使用 Intune 簽入時評估合規性。
重新整理週期時間
Intune 會使用不同的重新整理週期來檢查合規性原則的更新。 如果裝置最近註冊,則調查執行的頻率會更高。 原則和設定檔重新整理週期 列出了估計的重新整理時間。
使用者可以隨時開啟公司入口網站應用程式,並同步處理裝置,以立即檢查原則更新。
指派 InGracePeriod 狀態
合規性原則的 InGracePeriod 狀態是值。 此值是由裝置的寬限期,以及裝置對該合規性原則的實際狀態的組合所決定。
具體而言,如果裝置具有指派的合規性原則的 [不合規] 狀態,以及:
- 裝置沒有指派寬限期,則合規性原則的指派值為 NonCompliant
- 裝置的寬限期已過期,則合規性原則的指派值為 [不合規]
- 裝置具有未來的寬限期,則合規性原則的指派值為 InGracePeriod
下表總結了這些要點:
| 實際合規狀態 | 指派寬限期的值 | 有效的合規狀態 |
|---|---|---|
| 不合規 | 未指派寬限期 | 不合規 |
| 不合規 | 昨天的約會 | 不合規 |
| 不合規 | 明天的日期 | 寬限期 |
如需監視裝置合規性原則的詳細資訊,請參閱 監視 Intune 裝置合規性原則。
指派產生的合規性原則狀態
如果裝置有多個合規性原則,且裝置對兩個或多個指派的合規性原則具有不同的合規性狀態,則會指派單一產生的合規性狀態。 此指派是以指派給每個符合性狀態的概念嚴重性層級為基礎。 每個合規性狀態都有下列嚴重性層級:
| 狀態 | 嚴重性 |
|---|---|
| Unknown | 1 |
| 不適用 | 2 |
| Compliant | 3 |
| 寬限期 | 4 |
| 不合規 | 5 |
| 錯誤 | 6 |
當裝置有多個合規性原則時,所有原則的最高嚴重性層級會指派給該裝置。
例如,裝置已指派三個合規性原則:一個 [未知] 狀態 (嚴重性 = 1) 、一個 [合規] 狀態 (嚴重性 = 3) ,以及一個 InGracePeriod 狀態 (嚴重性 = 4) 。 InGracePeriod 狀態具有最高的嚴重性層級。 因此,這三個原則都具有 InGracePeriod 合規性狀態。