探索裝置合規性政策
合規性政策會定義在裝置上應該設定的規則和設定,以便其被視為符合規範。 設定及部署合規性政策之後,您即可監視裝置合規性狀態,以及以預期方式設定的個別裝置。
您必須先在 Intune 中註冊合規性政策,才能將合規性政策套用至裝置。 註冊後,裝置即可自動新增至裝置群組。 如果將合規性政策指派給該群組,即會在裝置上評估政策,並自動將其合規性狀態報告給 Intune,然後在入口網站中顯示。
裝置合規性政策會建立下列項目的必要設定:
- 密碼
- 加密
- 已越獄或對裝置進行 Root 破解
- 最低的作業系統版本
- 最高的作業系統版本
- 行動裝置威脅防禦等級上限
當裝置在 Intune 中註冊時,其資訊,包括合規性狀態,會新增至 Microsoft Entra ID。 合規性政策會指派給使用者,而不是裝置。 條件式存取原則會利用 Microsoft Entra 資訊來封鎖或授與對電子郵件和其他組織資料的存取權。 條件式存取不一定要和合規性政策結合在一起使用;合規性政策則僅能用於報告用途。
Intune 系統管理中心的 [裝置] 區段中會建立 Intune 合規性政策。 監視用的裝置合規性儀表板可在 [報告] 下找到。
根據預設,當 Intune 偵測到不符合規範的裝置時,Intune 會立即將其標記為不符合規範。 在每個合規性政策中,您都可以針對不符合規範的裝置設定動作,讓您有更多靈活性可決定要採取的動作。 例如,在一般案例中,組織會封鎖從不符合規範的裝置存取公司資源。 不過,您可以設定合規性政策,只要裝置在指定的寬限期內符合規範,即可讓不符合規範的裝置存取公司資源。 如果指定時間前未達到合規性,則裝置即無法再存取公司資源。
不符合規範時採取的動作有兩種類型:
- 寄送電子郵件通知終端使用者。 您可以先自訂電子郵件通知,再將它傳送給使用者。 您可以自訂收件者、主旨和郵件內文 (包括公司標誌和連絡人資訊)。 Intune 會在電子郵件通知中包含不符合規範之裝置的詳細資料。
- 標記裝置不符合規範。 您可以指定將裝置標示為不符合規範的天數。 這可以在將裝置標示為不符合規範之後立即完成,或者您可以為使用者提供寬限期,讓使用者可以更新裝置以使其符合規範。 如果裝置在指定天數之後仍不符合規範,即將其標示為不符合規範。
使用裝置合規性政策的方式如下:
- 使用條件式存取。 若裝置符合原則規則,您可以讓這些裝置存取電子郵件和其他公司資源。 若裝置不符合原則規則,其即無法存取公司資源。
- 沒有條件式存取。 您也可以使用裝置合規性原則,而不需要任何條件式存取。 當您在不使用條件式存取的情況下,使用合規性原則,則公司資源沒有存取限制。
針對原則使用 Microsoft Entra 裝置群組
建議您針對使用者和裝置使用 Microsoft Entra 群組,以套用使用 Intune 實作的任何類型的原則。 指定規則以根據使用者或裝置屬性決定成員資格,即可在 Microsoft Entra ID 中建立具有動態成員資格的群組。 當使用者或裝置的屬性變更時,Microsoft Entra ID 會評估目錄中的所有動態群組,以查看變更是否會觸發任何的群組新增或移除。 如果使用者或裝置滿足群組中的規則,則會將它們新增為該群組的成員。 如果不再滿足規則,則會將其從群組中移除。
群組成員資格規則可用於自動將使用者或裝置填入群組。 這是產生 True 或 False 結果的二進位運算式。 簡單群組成員資格規則的三個部分包括:
- 屬性。 指定物件屬性;例如,您可以使用 user.department 來參考使用者物件的 Department 屬性,或使用 device.displayName 來參考裝置物件的 displayName 屬性。
- 運算子。 可以是許多支援的運算子之一,例如 Equals (-eq) 、從 (-startsWith) 開始、包含 (-contains) ,或比對 (-match)。
- 值。 您想要使用運算子評估屬性的值。
例如,您可以使用下列群組成員資格規則來包含由 Microsoft 製造的所有裝置:
device.deviceManufacturer -eq "Microsoft