部署裝置合規性原則

已完成

組織必須先滿足下列必要條件，才能實作裝置合規性原則：

• 它必須獲得 Microsoft Entra ID P1 或 Microsoft Entra ID P2 和 Intune 的授權。 兩者都是 Microsoft 365 或企業行動力 + 安全性的一部分，但也可以個別取得。

• 其裝置必須執行下列其中一個支援的平台：

  • Android
  • Android 企業版
  • iOS/iPadOS
  • macOS
  • Windows 8.1 或更新版本

• 其裝置必須在 Intune 中註冊，才能符合合規性管理資格。

您可以將合規性原則部署到使用者群組中的使用者或裝置群組中的裝置。 將合規性原則部署至使用者時，會檢查所有使用者的裝置是否符合規範。 如果主要使用者未註冊裝置，建議您部署至裝置群組。 在此案例中使用裝置群組有助於合規性報告。

合規性政策設定可在 [裝置]>[合規性政策] 的 Microsoft Intune 系統管理中心中找到。

實作合規性原則時，需要設定一些一般合規性設定。

1. 登入 Microsoft Intune 系統管理中心。

2. 選取 [裝置]>[合規性原則]>[合規性原則設定]。 下列選項可供使用：

   • 將未指派合規性原則的裝置標示為。 此屬性有兩個值：

     • 不相容 (預設)。 安全性功能已開啟。

     • 符合規範。 安全性功能已關閉。

       如果裝置未指派合規性原則，則會將裝置視為 [不符合規範]。 根據預設，裝置會標示為 [符合規範]。 如果您使用條件式存取，建議您將設定變更為 [不符合規範]。 如果使用者因未獲得指派原則而不符合規範，則公司入口網站會列出尚未指派任何合規性政策。

   • 增強的越獄偵測。 此設定啟用時，會讓 iOS 裝置更頻繁地簽入 Intune。 啟用此屬性會使用裝置的定位服務，並影響電池使用量。 Intune 不會儲存使用者位置資料。 若要啟用此設定，裝置必須：

     • 在 OS 層級啟用定位服務。
     • 允許公司入口網站使用定位服務。
     • 向 Intune 評估並報告其越獄狀態，至少每 72 小時一次。 否則，裝置會標示為不符合規範。 藉由開啟公司入口網站應用程式，或實際移動裝置 500 公尺以上來觸發評估。

   • 合規性狀態有效期間 (天)。 輸入讓裝置報告所有已接收合規性原則的狀態的時間週期。 未在此期間內傳回狀態的裝置會被視為不符合規範。 預設值是 30 天。

合規性原則的設定類似於其他 Intune 設定原則。

1. 登入 Microsoft Intune 系統管理中心。

2. 選取 [裝置]>[合規性原則]>[原則]>[建立原則]。

3. 選取此原則的平台，然後選取 [建立] 以開啟 [建立原則設定] 視窗。

4. 在 [基本] 索引標籤上提供名稱之後，請在 [合規性設定] 索引標籤上展開可用的類別，並設定您的原則設定。 依選取的平台而定，會顯示不同的選項。 合規性設定的範例可以是：

   • 最低/最大 OS 版本
   • 需要密碼才能解除鎖定裝置
   • 密碼複雜性需求
   • 資料加密
   • 已安裝防毒軟體
   • 已越獄的裝置

5. 選取合規性設定之後，請選取 [下一步]。

6. 在 [不符合規範的動作] 索引標籤上，設定當裝置判斷為不符合規範時，應採取哪些動作。 動作可能包括傳送電子郵件給使用者、從遠端鎖定裝置，或淘汰裝置，以及設定在裝置標示為不符合規範之後，應採取動作的天數。

7. 選取 [下一步]，然後繼續建立設定檔、設定指派，然後在檢閱設定之後選取 [建立]。