使用合規性原則來設定使用 Intune 管理裝置

Microsoft Intune 合規性原則是一組規則和條件，可用來評估受控裝置的設定。 這些原則可協助您保護組織數據和資源，使其免受不符合這些設定需求的裝置。 受控裝置必須符合您在原則中設定的條件，Intune 才能將它視為符合規範。

如果您也將原則的合規性結果與 Microsoft Entra 條件式存取整合，您可以受益於額外的安全性層。 條件式存取可以根據裝置目前的合規性狀態強制執行 Microsoft Entra 存取控制，以協助確保只有符合規範的裝置才能存取公司資源。

Intune 合規性原則分為兩個區域：

• 合規性原則設定 是全租用戶的設定，其作用就像每個裝置接收的內建合規性原則一樣。 合規性原則設定會建立合規性原則在 Intune 環境中的運作方式，包括如何處理未獲指派明確裝置合規性原則的裝置。

• 裝置合規性原則 是您部署至使用者或裝置群組的離散平台特定規則和設定集。 裝置會評估原則中的規則，以報告裝置合規性狀態。 不合規狀態可能會導致一或多個不合規動作。 Microsoft Entra 條件式存取原則也可以使用該狀態來封鎖從該裝置存取組織資源。

合規性原則設定

合規性原則設定 是全租用戶設定，可決定 Intune 的合規性服務如何與您的裝置互動。 這些設定與您在裝置合規性原則中設定的設定不同。

若要管理合規性原則設定，請登入 Microsoft Intune 系統管理中心，然後移至 端點安全性>裝置合規性> 合規性原則設定。

合規性原則設定包括下列設定：

• 將未指派合規性原則的裝置標示為

  此設定會決定 Intune 如何處理未獲指派裝置合規性原則的裝置。 此設定有兩個值：

  • 符合 (預設) ：此安全性功能已關閉。 未傳送裝置合規性原則的裝置會被視為 符合規範。
  • 不合規：此安全性功能已開啟。 沒有裝置合規性原則的裝置會被視為不合規。

  如果您搭配裝置合規性原則使用條件式存取，請將此設定變更為 [ 不符合規範 ]，以確保只有確認為符合規範的裝置才能存取您的資源。

  如果終端使用者因為未指派原則而不符合規範，則公司入口網站應用程式會顯示 [未指派任何合規性原則]。

• 合規狀態有效期 (天)

  指定裝置必須成功報告其所有收到的合規性原則的期間。 如果裝置未能在有效期間到期之前報告原則的合規性狀態，則裝置會被視為不合規。

  依預設，期間設定為 30 天。 您可以設定 1 到 120 天的期間。

  您可以檢視裝置符合有效期限設定的詳細資料。 登入 Microsoft Intune 系統管理中心 ，然後移至 [裝置>監視器>設定合規性]。 此設定在 設定 欄中的名稱為 作用中。 如需此檢視和相關合規性狀態檢視的詳細資訊，請參閱 監視裝置合規性。

裝置合規性原則

Intune 裝置合規性原則是您部署至使用者或裝置群組的離散平臺特定規則和設定集。 使用合規性原則來：

• 定義使用者和受管理裝置必須符合的規則和設定才能符合規範。 規則的範例包括要求裝置執行最低作業系統版本、未越獄或 root ，以及處於或低於與 Intune 整合的威脅管理軟體所指定的 威脅層級 。

• 支援適用於不符合該原則合規規則之裝置的 不合規動作 。 不合規動作的範例包括將裝置標示為不合規、遠端鎖定，以及傳送裝置使用者有關裝置狀態的電子郵件，以便他們修正它。

使用裝置合規性原則時：

• 某些合規性原則設定可以覆寫您也透過裝置設定原則管理的設定設定。 若要深入瞭解原則的衝突解決，請參閱 衝突的合規性和裝置設定原則。

• 原則可以部署至使用者群組中的使用者或裝置群組中的裝置。 將合規性原則部署至使用者時，會檢查所有使用者的裝置是否符合規範。 在此案例中使用裝置群組有助於合規性報告。

• 如果您使用 Microsoft Entra 條件式存取，您的條件式存取原則可以使用裝置合規性結果來封鎖來自不合規裝置的資源存取。

• 如同其他 Intune 原則，裝置的合規性原則評估取決於裝置簽入 Intune 的時間，以及 原則和配置檔重新整理週期。

您可以在裝置合規性原則中指定的可用設定取決於您在建立原則時選取的平台類型。 不同的裝置平台支援不同的設定，而且每個平台類型都需要個別的原則。

下列主題連結至裝置設定原則不同層面的專用文章。

• 不合規的動作 - 根據預設，每個裝置合規性原則都包含在裝置不符合原則規則時將裝置標示為不合規的動作。 每個原則都可以根據裝置平台支援更多動作。 額外動作的範例包括：

  • 傳送電子郵件警示 給使用者和群組，其中包含不合規裝置的詳細資料。 您可以將原則設定為在標示為不符合規範時立即傳送電子郵件，然後定期再次傳送電子郵件，直到裝置符合規範為止。
  • 遠端鎖定 一段時間以來不合規的裝置。
  • 在裝置不符合規範一段時間後淘汰裝置。 此動作將符合資格的裝置標示為準備淘汰。 然後，系統管理員可以檢視標示為淘汰的裝置清單，而且必須採取明確動作來淘汰一或多個裝置。 淘汰裝置會從 Intune 管理中移除裝置，並從裝置移除所有公司數據。 如需此動作的詳細資訊，請參閱 不合規的可用動作。

• 建立合規性原則 — 使用連結文章中的資訊，您可以檢閱必要條件、使用設定規則的選項、指定不合規的動作，以及將原則指派給群組。 本文也包含原則重新整理時間的相關資訊。

  檢視不同裝置平台的裝置合規性設定：

  • Android 裝置系統管理員
  • Android 企業版
  • Android 開放原始碼專案 (AOSP)
  • iOS
  • Linux
  • macOS
  • Windows Holographic for Business
  • Windows
  • Windows 8.1 和更新版本

    重要事項

    在 2022 年 10 月 22 日，Microsoft Intune 終止了對執行 Windows 8.1 之裝置的支援。 無法在這些裝置上使用技術協助和自動更新。

• 自定義合規性設定 – 使用自定義合規性設定，您可以擴展 Intune 的內建裝置合規性選項。 自定義設定可讓您彈性地以裝置上可用的設定為基礎，而不需要等候 Intune 新增這些設定。

  您可以將自訂合規性設定與下列平台搭配使用：

  • Linux – Ubuntu 桌面版 22.04 LTS 或 24.04 LTS
  • Windows

監控合規性狀態

Intune 包含裝置合規性儀表板，可用來監視裝置的合規性狀態，以及切入至原則和裝置以取得詳細資訊。 若要深入瞭解此儀表板，請參閱 監控裝置合規性。

與條件式存取整合

當您使用條件式存取時，您可以設定條件式存取原則，以使用裝置合規性原則的結果來判斷哪些裝置可以存取您的組織資源。 此存取控制是對裝置合規性原則中包含的不合規動作的補充，並與之分開。

當裝置在 Intune 中註冊時，它會在 Microsoft Entra ID 中註冊。 裝置的合規性狀態會報告給 Microsoft Entra ID。 如果您的條件式存取原則已將 [存取控制] 設定為 [要求裝置標示為符合規範]，條件式存取會使用該合規性狀態來判斷是否要授與或封鎖電子郵件和其他組織資源的存取權。

如果您搭配條件式存取原則使用裝置合規性狀態，請檢閱租使用者如何設定 [將裝置標示為未指派合規性原則] 選項，您可以在 [合規性原則設定] 底下管理。

如需搭配裝置合規性原則使用條件式存取的詳細資訊，請參閱 裝置型條件式存取。

在 Microsoft Entra 檔中深入瞭解條件式存取：

• 什麼是條件式存取
• 什麼是裝置身分識別

不同平臺上不合規和條件式存取的參考

下表說明當合規性原則搭配條件式存取原則使用時，如何管理不符合規範的設定。

• 已補救：裝置作業系統會強制執行合規性。 例如，使用者被迫設定 PIN。

• 隔離：裝置作業系統不會強制執行合規性。 例如，Android 和 Android Enterprise 裝置不會強制使用者加密裝置。 當裝置不符合規範時，會執行下列動作：

  • 如果條件式存取原則套用至使用者，則會封鎖裝置。
  • 公司入口網站應用程式會通知使用者任何合規性問題。

---

原則設定	平台
允許的發行版	Linux (僅限) - 隔離
裝置加密	- Android 4.0 以上版本：已隔離 - Samsung Knox Standard 4.0 和更新版本：已隔離 - Android Enterprise：已隔離 - iOS 8.0 和更新版本：透過設定 PIN) 修復 ( - macOS 10.11 和更新版本：已隔離 - Linux：已隔離 - Windows：已隔離
電子郵件設定檔	- Android 4.0 及以上版本：不適用 - Samsung Knox Standard 4.0 及更新版本：不適用 - Android Enterprise：不適用 - iOS 8.0 和更新版本：已隔離 - macOS 10.11 和更新版本：已隔離 - Linux：不適用 - Windows：不適用
越獄或已取得 root 權限的裝置	- Android 4.0 以上版本：隔離區 (不是設定) - Samsung Knox Standard 4.0 及更新版本：隔離 (不是設定) - Android Enterprise：隔離 (不是設定) - iOS 8.0 和更新版本：隔離 (不是設定) - macOS 10.11 及更高版本：不適用 - Linux：不適用 - Windows：不適用
作業系統版本上限	- Android 4.0 以上版本：已隔離 - Samsung Knox Standard 4.0 和更新版本：已隔離 - Android Enterprise：已隔離 - iOS 8.0 和更新版本：已隔離 - macOS 10.11 和更新版本：已隔離 - Linux：請參閱 允許的發行版 - Windows：已隔離
最低作業系統版本	- Android 4.0 以上版本：已隔離 - Samsung Knox Standard 4.0 和更新版本：已隔離 - Android Enterprise：已隔離 - iOS 8.0 和更新版本：已隔離 - macOS 10.11 和更新版本：已隔離 - Linux：請參閱 允許的發行版 - Windows：已隔離
PIN 或密碼設定	- Android 4.0 以上版本：已隔離 - Samsung Knox Standard 4.0 和更新版本：已隔離 - Android Enterprise：已隔離 - iOS 8.0 和更新版本：已修復 - macOS 10.11 和更新版本：已修復 - Linux：已隔離 - Windows：已修復
Windows 健康情況證明	- Android 4.0 及以上版本：不適用 - Samsung Knox Standard 4.0 及更新版本：不適用 - Android Enterprise：不適用 - iOS 8.0 及更高版本：不適用 - macOS 10.11 及更高版本：不適用 - Linux：不適用 - Windows：已隔離

注意事項

當使用者登入應用程式，且裝置在 30 天或更長時間內未成功簽入 Intune，或裝置因失去連絡人合規性原因) 而不符合規範時， (公司入口網站 應用程式會進入註冊補救流程。 在此流程中，我們會嘗試再次起始簽入。 如果仍然不成功，我們會發出 retire 命令，以允許使用者手動重新註冊裝置。

---

後續步驟

• 建立和部署原則 ，並檢閱必要條件
• 監視裝置合規性
• Microsoft Intune 中裝置原則和配置檔的常見問題、問題和解決方案
• 原則實體的參考包含 Intune Data Warehouse 原則實體的相關資訊