共用方式為

Intune 中 Windows 10/11 的裝置合規性設定

  • 發行項

本文列出並說明您可以在 Intune 的 Windows 裝置上設定的不同合規性設定。 作為行動裝置管理 (MDM) 解決方案的一部分,請使用這些設定來要求 BitLocker、設定最低和最大操作系統、使用適用於端點的 Microsoft Defender 設定風險層級等等。

本功能適用於:

  • Windows 10/11
  • Windows Holographic for Business
  • Surface Hub

身為 Intune 系統管理員,請使用這些合規性設定來協助保護您的組織資源。 若要深入瞭解合規性原則及其用途,請參閱 開始使用裝置合規性

開始之前

建立合規性政策。 針對 [平臺],選取 [Windows 10 和更新版本]

裝置健康狀況

為了確保裝置會開機到受信任的狀態,Intune 會利用Microsoft裝置證明服務。 跨 Intune 商業、美國政府 GCC High 和執行 Windows 10 的 DoD 服務的裝置會使用裝置健康情況證明 (DHA) 服務。 在執行 Windows 11 的 Intune 商業服務中,裝置會使用 Microsoft Azure 證明 (MAA) 服務。

如需詳細資訊,請參閱:

Windows 健康情況證明服務評估規則

  • 需要 BitLocker
    Windows BitLocker 磁碟驅動器加密會加密儲存在 Windows 作業系統磁碟區上的所有數據。 BitLocker 使用信賴平臺模組 (TPM) 來協助保護 Windows 操作系統和用戶數據。 它也有助於確認計算機未遭到竄改,即使計算機的左側無人看管、遺失或遭竊也一般。 如果計算機配備相容的 TPM,BitLocker 會使用 TPM 來鎖定保護數據的加密密鑰。 因此,在 TPM 驗證計算機的狀態之前,無法存取金鑰。

    • 未設定 (預設) - 此設定不會針對合規性或不符合規範進行評估。
    • 需要 - 裝置可以在系統關閉或休眠時,保護儲存在磁碟驅動器上的數據免於未經授權的存取。

    裝置健康情況安裝 CSP - BitLockerStatus

    注意事項

    如果在 Intune 中使用裝置合規性政策,請注意,此設定的狀態只會在開機時測量。 因此,即使 BitLocker 加密可能已完成 , 裝置仍需要重新啟動才能偵測到此問題並符合規範。 如需詳細資訊,請參閱裝置 健康情況證明的下列Microsoft支援部落格。

  • 需要在裝置上啟用安全開機

    • 未設定 (預設) - 此設定不會針對合規性或不符合規範進行評估。
    • 需要 - 系統會強制開機至原廠信任狀態。 用來開機機器的核心元件必須具有製造裝置的組織所信任的正確密碼編譯簽章。 UEFI 韌體會先驗證簽章,再讓計算機啟動。 如果有任何檔案遭到竄改,這會中斷其簽章,系統就不會開機。

    注意事項

    某些 TPM 1.2 和 2.0 裝置支援 [ 需要在裝置上啟用安全開機 ] 設定。 對於不支援 TPM 2.0 或更新版本的裝置,Intune 中的原則狀態會顯示為 [不符合規範]。 如需支援版本的詳細資訊,請參閱 裝置健康情況證明

  • 需要程式代碼完整性
    程式代碼完整性是一項功能,可在每次將驅動程式或系統檔案載入記憶體時驗證其完整性。

    • 未設定 (預設) - 此設定不會針對合規性或不符合規範進行評估。
    • 需要 - 需要程式代碼完整性,以偵測未簽署的驅動程式或系統檔案是否正在載入核心。 它也會偵測系統檔案是否由惡意軟體變更,或由具有系統管理員許可權的使用者帳戶執行。

如需詳細資訊,請參閱:

裝置屬性

操作系統版本

若要探索所有 Windows 10/11 功能更新和累積更新的組建版本, (在下列) 部分字段中使用,請參閱 Windows 版本資訊。 請務必在組建編號之前包含適當的版本前綴,例如適用於 Windows 10 的 10.0,如下列範例所示。

  • 最低作業系統版本
    major.minor.build.revision 編號 格式輸入允許的最小版本。 若要取得正確的值,請開啟命令提示字元,然後輸入 ver。 命令會 ver 以下欄格式傳回版本:

    Microsoft Windows [Version 10.0.17134.1]

    當裝置的版本比您輸入的OS版本還舊時,就會回報為不符合規範。 隨即顯示連結,其中包含如何升級的資訊。 終端使用者可以選擇升級其裝置。 升級之後,他們可以存取公司資源。

  • 作業系統版本上限
    major.minor.build.revision 編號 格式輸入允許的最大版本。 若要取得正確的值,請開啟命令提示字元,然後輸入 ver。 命令會 ver 以下欄格式傳回版本:

    Microsoft Windows [Version 10.0.17134.1]

    當裝置使用的OS版本晚於輸入的版本時,系統會封鎖對組織資源的存取。 系統會要求使用者連絡其IT系統管理員。 在規則變更為允許 OS 版本之前,裝置無法存取組織資源。

  • 行動裝置所需的最低作業系統
    以 major.minor.build 編號格式輸入允許的最小版本。

    當裝置具有您輸入的操作系統版本較舊版本時,會回報為不符合規範。 隨即顯示連結,其中包含如何升級的資訊。 終端使用者可以選擇升級其裝置。 升級之後,他們可以存取公司資源。

  • 行動裝置所需的OS上限
    在 major.minor.build 編號中輸入允許的最大版本。

    當裝置使用的OS版本晚於輸入的版本時,系統會封鎖對組織資源的存取。 系統會要求使用者連絡其IT系統管理員。 在規則變更為允許 OS 版本之前,裝置無法存取組織資源。

  • 有效的作業系統組建
    指定最小和最大作業系統組建的清單。 相較於最低和最大作業系統版本,有效的操作系統組建可提供額外的彈性。 假設最低 OS 版本設定為 10.0.18362.xxx (Windows 10 1903) ,且 OS 版本上限設為 10.0.18363.xxx (Windows 10 1909) 。 此設定可讓未安裝最近累積更新的 Windows 10 1903 裝置識別為符合規範。 如果您已在單一 Windows 10 版本上標準化,則可能適合最低和最大 OS 版本,但如果您需要使用多個組建,且每個組建都具有特定修補程式層級,則可能無法滿足您的需求。 在這種情況下,請考慮改用有效的操作系統組建,以便根據下列範例指定多個組建。

    每個版本、主要、次要和組建字段的最大支援值是65535。 例如,您可以輸入的最大值是 65535.65535.65535.65535。

    範例
    下表是不同 Windows 10 版本可接受作業系統版本的範圍範例。 在此範例中, (1809、1909 和 2004) 允許三個不同的功能更新。 具體而言,只有已套用 2020 年 6 月到 9 月累積更新的 Windows 版本才會被視為符合規範。 這隻是範例數據。 數據表包含第一個數據行,其中包含您想要描述該專案的任何文字,後面接著該專案的最小和最大操作系統版本。 第二個和第三個數據行必須遵守 major.minor.build.revision 編號 格式的有效 OS 組建版本。 定義一或多個項目之後 ,您可以將 清單匯出為以逗號分隔的值 (CSV) 檔案。

    描述 最低作業系統版本 操作系統版本上限
    Win 10 2004 (Jun-9 2020) 10.0.19041.329 10.0.19041.508
    Win 10 1909 (Jun-9 2020) 10.0.18363.900 10.0.18363.1110
    Win 10 1809 (Jun-9 2020) 10.0.17763.1282 10.0.17763.1490

    注意事項

    如果您在原則中指定多個範圍的 OS 版本組建,且裝置的組建超出相容範圍,則公司入口網站會通知裝置使用者裝置不符合此設定。 不過,請注意,由於技術限制,合規性補救訊息只會顯示原則中指定的第一個OS版本範圍。 建議您記錄組織中受控裝置可接受的 OS 版本範圍。

Configuration Manager 合規性

僅適用於執行 Windows 10/11 的共同管理裝置。 僅限 Intune 的裝置會傳回無法使用的狀態。

  • 需要 Configuration Manager 的裝置合規性
    • 未設定 (預設) - Intune 不會檢查是否有任何 Configuration Manager 設定是否符合規範。
    • 需要 - 要求 Configuration Manager 中) 的所有設定 (設定專案都符合規範。

系統安全性

密碼

  • 需要密碼才能解除鎖定行動裝置

    • 未設定 (預設) - 此設定不會針對合規性或不符合規範進行評估。
    • 需要 - 用戶必須先輸入密碼,才能存取其裝置。

  • 簡單密碼

    • 未設定 (預設) - 使用者可以建立簡單的密碼,例如 12341111
    • 封鎖 - 用戶無法建立簡單的密碼,例如 12341111

  • 密碼類型
    選擇所需的密碼或 PIN 類型。 選項包括:

    • 裝置預設 (預設) - 需要密碼、數位 PIN 或英數位碼 PIN
    • 數值 - 需要密碼或數值 PIN
    • 英數位元 - 需要密碼或英數位元 PIN。

    當設定為 英數位元時,可以使用下列設定:

  • 密碼長度下限
    輸入密碼必須擁有的位數或字元數下限。

  • 在需要密碼之前,閑置最長分鐘數:
    在用戶必須重新輸入其密碼之前,請輸入空閒時間。

  • 密碼到期 (天)
    輸入密碼到期前的天數,而且必須從 1 到 730 建立新的密碼。

  • 防止重複使用的先前密碼數目
    輸入先前使用的密碼數目,這些密碼無法使用。

  • 當裝置從閑置狀態 (行動裝置版和全像攝影) 傳回時,需要密碼

    • 未設定 ()
    • 需要 - 每次裝置從閑置狀態返回時,要求裝置使用者輸入密碼。

    重要事項

    當 Windows 桌面上的密碼需求變更時,使用者會在下次登入時受到影響,因為此時裝置會從閑置狀態進入作用中狀態。 仍然會提示密碼符合需求的使用者變更其密碼。

加密

  • 加密裝置上的數據記憶體
    此設定適用於裝置上的所有磁碟驅動器。

    • 未設定 ()
    • 需要 - 使用 [需要 ] 來加密裝置上的數據記憶體。

    DeviceStatus CSP - DeviceStatus/Compliance/EncryptionCompliance

    注意事項

    裝置 上的數據記憶體加密設定一 般會檢查裝置上是否存在加密,更具體來說,是在OS磁碟驅動器層級。 目前,Intune 僅支援使用 BitLocker 進行加密檢查。 如需更強固的加密設定,請考慮使用 [需要 BitLocker],這會利用 Windows 裝置健康情況證明來驗證 TPM 層級的 BitLocker 狀態。 不過,利用此設定時,請注意可能需要重新啟動,裝置才會反映為符合規範。

裝置安全性

  • 防火牆

    • 未設定 (預設) - Intune 不會控制 Windows 防火牆,也不會變更現有的設定。
    • 需要 - 開啟 Windows 防火牆,並防止使用者將它關閉。

    防火牆 CSP

    注意事項

    • 如果裝置在重新啟動后立即同步,或立即從睡眠中同步,則此設定可能會回報為 錯誤。 此案例可能不會影響整體裝置合規性狀態。 若要重新評估合規性狀態,請手動 同步處理裝置

    • 例如,如果設定套用 (,則透過組策略) 設定 Windows 防火牆以允許所有輸入流量的裝置,或關閉防火牆,則將 [防火牆 ] 設定為 [ 需要 ] 會傳回 [不符合規範],即使 Intune 裝置設定原則開啟防火牆也一樣。 這是因為組策略物件會覆寫 Intune 原則。 若要修正此問題,建議您移除任何衝突的組策略設定,或將防火牆相關的組策略設定移轉至 Intune 裝置設定原則。 一般而言,建議您 保留預設設定,包括封鎖輸入連線。 如需詳細資訊,請參閱設定 Windows 防火牆的最佳做法

  • 信賴平臺模組 (TPM)

    • 未設定 (預設) - Intune 不會檢查裝置是否有 TPM 晶片版本。
    • 需要 - Intune 會檢查 TPM 晶片版本的合規性。 如果 TPM 晶片版本大於 0 (零) ,則裝置會符合規範。 如果裝置上沒有 TPM 版本,則裝置不符合規範。

    DeviceStatus CSP - DeviceStatus/TPM/SpecificationVersion

  • 防病毒軟體

    • 未設定 (預設) - Intune 不會檢查裝置上是否已安裝任何防病毒軟體解決方案。
    • 需要 - 使用向 Windows 資訊安全中心註冊的防病毒軟體解決方案檢查合規性,例如 Symantec 和 Microsoft Defender。 當設定為 [需要] 時,已停用或過期之防病毒軟體的裝置不符合規範。

    DeviceStatus CSP - DeviceStatus/Antivirus/Status

  • Antispyware

    • 未設定 (預設) - Intune 不會檢查裝置上是否已安裝任何反間諜軟體解決方案。
    • 需要 - 使用向 Windows 資訊安全中心註冊的反間諜軟體解決方案檢查合規性,例如 Symantec 和 Microsoft Defender。 當設定為 [需要] 時,已停用或過期之反惡意代碼軟體的裝置不相容。

    DeviceStatus CSP - DeviceStatus/Antispyware/Status

守衛者

Windows 10/11 Desktop 支援下列合規性設定。

  • Microsoft Defender Antimalware

    • 未設定 (預設) - Intune 不會控制服務,也不會變更現有的設定。
    • 需要 - 開啟 Microsoft Defender 反惡意代碼服務,並防止使用者將它關閉。

  • Microsoft Defender Antimalware 最低版本
    輸入 defender 反惡意代碼服務Microsoft允許的最低版本。 例如,輸入 4.11.0.0。 保留空白時,可以使用任何版本的 Microsoft Defender 反惡意代碼服務。

    根據預設,不會設定任何版本

  • Microsoft Defender Antimalware 安全性情報的最新版本
    控制裝置上的 Windows 安全性病毒和威脅防護更新。

    • 未設定 (預設) - Intune 不會強制執行任何需求。
    • 需要 - 強制Microsoft Defender 安全性情報為最新狀態。

    Defender CSP - Defender/Health/SignatureOutOfDate CSP

    如需詳細資訊,請參閱 適用於 Microsoft Defender 防病毒軟體及其他Microsoft反惡意代碼軟體的安全性情報更新

  • 即時保護

    • 未設定 (預設) - Intune 不會控制此功能,也不會變更現有的設定。
    • 需要 - 開啟即時保護,以掃描惡意代碼、間諜軟體和其他垃圾軟體。

    原則 CSP - Defender/AllowRealtimeMonitoring CSP

適用於端點的 Microsoft Defender

Microsoft適用於端點的 Defender 規則

如需在條件式存取案例中Microsoft適用於端點的Defender整合的其他資訊,請參閱 在適用於端點Microsoft Defender 中設定條件式存取

  • 要求裝置處於或低於計算機風險分數
    使用此設定可從您的防禦威脅服務進行風險評估,作為合規性的條件。 選擇允許的最大威脅層級:

    • 未設定 ()
    • 清除 -此選項最安全,因為裝置不能有任何威脅。 如果偵測到裝置具有任何層級的威脅,則會評估為不符合規範。
    • - 如果只有低階威脅存在,則會將裝置評估為符合規範。 任何較高的專案都讓裝置處於不符合規範的狀態。
    • 中型 - 如果裝置上的現有威脅為低或中層級,則會將裝置評估為符合規範。 如果偵測到裝置有高層級威脅,則會判斷為不符合規範。
    • - 此選項最不安全,並允許所有威脅層級。 如果您使用此解決方案僅供報告之用,可能會很有用。

    若要將 Microsoft Defender for Endpoint 設定為您的防禦威脅服務,請參 閱使用條件式存取啟用適用於端點的 Microsoft Defender

Windows Holographic for Business

Windows Holographic for Business 使用 Windows 10 和更新版本 平臺。 Windows Holographic for Business 支援下列設定:

  • 系統安全性>加密>加密裝置上的數據記憶體

若要確認 Microsoft HoloLens 上的裝置加密,請參閱 驗證裝置加密

Surface Hub

Surface Hub 使用 Windows 10 和更新版本 平臺。 Surface Hub 同時支持合規性和條件式存取。 若要在 Surface Hub 上啟用這些功能,建議您在 Intune 中 啟用 Windows 自動註冊 (需要Microsoft Entra ID) ,並將 Surface Hub 裝置設為裝置群組。 必須Microsoft加入 Surface Hub,合規性和條件式存取才能運作。

如需指引,請 參閱設定 Windows 裝置的註冊

執行 Windows 10/11 Team OS 之 Surface Hub 的特殊考慮
執行 Windows 10/11 Team OS 的 Surface Hub 目前不支援適用於端點的 Microsoft Defender 和密碼合規性原則。 因此,對於執行 Windows 10/11 Team OS 的 Surface Hub,請將下列兩個設定設定為其預設值 [未設定]

  • 在 [ 密碼] 類別中,將 [ 需要密碼才能解除鎖定行動裝置 ] 設定為 [ 未設定] 的預設值。

  • 在適用於 端點Microsoft Defender 類別中,將 [ 需要裝置處於或低於計算機風險分數 ] 設定為 [ 未設定] 的預設值。

後續步驟