Udostępnij za pośrednictwem


Ustawienia zgodności urządzeń dla Windows 10/11 w Intune

W tym artykule wymieniono i opisano różne ustawienia zgodności, które można skonfigurować na urządzeniach z systemem Windows w Intune. W ramach rozwiązania do zarządzania urządzeniami przenośnymi (MDM) użyj tych ustawień, aby wymagać funkcji BitLocker, ustawić minimalny i maksymalny system operacyjny, ustawić poziom ryzyka przy użyciu Ochrona punktu końcowego w usłudze Microsoft Defender i nie tylko.

Ta funkcja ma zastosowanie do:

  • Windows 10/11
  • Windows Holographic for Business
  • Surface Hub

Jako administrator Intune użyj tych ustawień zgodności, aby chronić zasoby organizacji. Aby dowiedzieć się więcej na temat zasad zgodności i ich działania, zobacz Wprowadzenie do zgodności urządzeń.

Przed rozpoczęciem

Utwórz zasady zgodności. W obszarze Platforma wybierz pozycję Windows 10 i nowsze.

Kondycja urządzenia

Aby zapewnić rozruch urządzeń w zaufanym stanie, Intune korzysta z usług zaświadczania urządzeń firmy Microsoft. Urządzenia w Intune usługach komercyjnych, US Government GCC High i DoD działających Windows 10 korzystają z usługi zaświadczania o kondycji urządzeń (DHA).

Więcej informacji można znaleźć w następujących artykułach:

Reguły oceny usługi zaświadczania o kondycji systemu Windows

  • Wymagaj funkcji BitLocker:
    Szyfrowanie dysków funkcji Windows BitLocker szyfruje wszystkie dane przechowywane na woluminie systemu operacyjnego Windows. Funkcja BitLocker używa modułu TPM (Trusted Platform Module) do ochrony systemu operacyjnego Windows i danych użytkowników. Pomaga również potwierdzić, że komputer nie jest naruszony, nawet jeśli jego lewa nienadzorowana, utracona lub skradziona. Jeśli komputer jest wyposażony w zgodny moduł TPM, funkcja BitLocker używa modułu TPM do blokowania kluczy szyfrowania, które chronią dane. W związku z tym nie można uzyskać dostępu do kluczy, dopóki moduł TPM nie weryfikuje stanu komputera.

    • Nie skonfigurowano (ustawienie domyślne) — to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności.
    • Wymagaj — urządzenie może chronić dane przechowywane na dysku przed nieautoryzowanym dostępem, gdy system jest wyłączony lub hibernuje.

    Device HealthAttestation CSP — BitLockerStatus

    Uwaga

    Jeśli używasz zasad zgodności urządzeń w Intune, pamiętaj, że stan tego ustawienia jest mierzony tylko w czasie rozruchu. W związku z tym nawet jeśli szyfrowanie funkcji BitLocker mogło zostać zakończone — ponowne uruchomienie będzie wymagane, aby urządzenie wykryło to i stało się zgodne. Aby uzyskać więcej informacji, zobacz następujący blog pomocy technicznej firmy Microsoft dotyczący zaświadczania o kondycji urządzenia.

  • Wymagaj włączenia bezpiecznego rozruchu na urządzeniu:

    • Nie skonfigurowano (ustawienie domyślne) — to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności.
    • Wymagaj — system jest zmuszony do rozruchu do stanu zaufanego fabryki. Podstawowe składniki używane do rozruchu maszyny muszą mieć poprawne podpisy kryptograficzne, które są zaufane przez organizację, która wyprodukowała urządzenie. Oprogramowanie układowe UEFI weryfikuje podpis, zanim umożliwi uruchomienie komputera. Jeśli jakiekolwiek pliki zostaną naruszone, co spowoduje przerwanie ich podpisu, system nie zostanie uruchomiony.

    Uwaga

    Ustawienie Wymagaj bezpiecznego rozruchu na urządzeniu jest obsługiwane na niektórych urządzeniach TPM 1.2 i 2.0. W przypadku urządzeń, które nie obsługują modułu TPM 2.0 lub nowszego, stan zasad w Intune jest wyświetlany jako Niezgodne. Aby uzyskać więcej informacji na temat obsługiwanych wersji, zobacz Zaświadczanie o kondycji urządzenia.

  • Wymagaj integralności kodu:
    Integralność kodu to funkcja, która weryfikuje integralność sterownika lub pliku systemowego za każdym razem, gdy jest ładowany do pamięci.

    • Nie skonfigurowano (ustawienie domyślne) — to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności.
    • Wymagaj — wymagaj integralności kodu, która wykrywa, czy do jądra jest ładowany niepodpisany sterownik lub plik systemowy. Wykrywa również, czy plik systemowy został zmieniony przez złośliwe oprogramowanie lub uruchomiony przez konto użytkownika z uprawnieniami administratora.

Więcej informacji można znaleźć w następujących artykułach:

Właściwości urządzenia

Wersja systemu operacyjnego

Aby odnaleźć wersje kompilacji dla wszystkich Aktualizacje funkcji Windows 10/11 i Aktualizacje skumulowanych (do użycia w niektórych z poniższych pól), zobacz Informacje o wersji systemu Windows. Pamiętaj o uwzględnieniu odpowiedniego prefiksu wersji przed numerami kompilacji, takimi jak 10.0 dla Windows 10, jak pokazano w poniższych przykładach.

  • Minimalna wersja systemu operacyjnego:
    Wprowadź minimalną dozwoloną wersję w formacie numeru major.minor.build.revision . Aby uzyskać poprawną wartość, otwórz wiersz polecenia i wpisz .ver Polecenie ver zwraca wersję w następującym formacie:

    Microsoft Windows [Version 10.0.17134.1]

    Jeśli urządzenie ma wcześniejszą wersję niż wprowadzona wersja systemu operacyjnego, jest zgłaszane jako niezgodne. Zostanie wyświetlony link z informacjami o sposobie uaktualniania. Użytkownik końcowy może wybrać uaktualnienie urządzenia. Po uaktualnieniu mogą uzyskiwać dostęp do zasobów firmy.

  • Maksymalna wersja systemu operacyjnego:
    Wprowadź maksymalną dozwoloną wersję w formacie numeru major.minor.build.revision . Aby uzyskać poprawną wartość, otwórz wiersz polecenia i wpisz .ver Polecenie ver zwraca wersję w następującym formacie:

    Microsoft Windows [Version 10.0.17134.1]

    Gdy urządzenie korzysta z wersji systemu operacyjnego nowszej niż wprowadzona wersja, dostęp do zasobów organizacji jest blokowany. Użytkownik końcowy jest proszony o kontakt z administratorem IT. Urządzenie nie może uzyskać dostępu do zasobów organizacji, dopóki reguła nie zostanie zmieniona w celu zezwolenia na wersję systemu operacyjnego.

  • Minimalny system operacyjny wymagany dla urządzeń przenośnych:
    Wprowadź minimalną dozwoloną wersję w formacie numeru major.minor.build.

    Jeśli urządzenie ma wcześniejszą wersję wprowadzonej wersji systemu operacyjnego, jest zgłaszane jako niezgodne. Zostanie wyświetlony link z informacjami o sposobie uaktualniania. Użytkownik końcowy może wybrać uaktualnienie urządzenia. Po uaktualnieniu mogą uzyskiwać dostęp do zasobów firmy.

  • Maksymalny system operacyjny wymagany dla urządzeń przenośnych:
    Wprowadź maksymalną dozwoloną wersję w numerze major.minor.build.

    Gdy urządzenie korzysta z wersji systemu operacyjnego nowszej niż wprowadzona wersja, dostęp do zasobów organizacji jest blokowany. Użytkownik końcowy jest proszony o kontakt z administratorem IT. Urządzenie nie może uzyskać dostępu do zasobów organizacji, dopóki reguła nie zostanie zmieniona w celu zezwolenia na wersję systemu operacyjnego.

  • Prawidłowe kompilacje systemu operacyjnego:
    Określ listę minimalnych i maksymalnych kompilacji systemu operacyjnego. Prawidłowe kompilacje systemu operacyjnego zapewniają dodatkową elastyczność w porównaniu z minimalną i maksymalną wersją systemu operacyjnego. Rozważmy scenariusz, w którym minimalna wersja systemu operacyjnego jest ustawiona na 10.0.18362.xxx (Windows 10 1903), a maksymalna wersja systemu operacyjnego jest ustawiona na 10.0.18363.xxx (Windows 10 1909). Ta konfiguracja umożliwia zidentyfikowanie urządzenia Windows 10 1903, na które nie zainstalowano ostatnio zainstalowanych aktualizacji zbiorczych, jako zgodne. Minimalna i maksymalna wersja systemu operacyjnego może być odpowiednia, jeśli ustandaryzowano pojedynczą wersję Windows 10, ale może nie spełniać wymagań, jeśli musisz używać wielu kompilacji, z których każda ma określone poziomy poprawek. W takim przypadku rozważ użycie prawidłowych kompilacji systemu operacyjnego, co umożliwia określenie wielu kompilacji zgodnie z poniższym przykładem.

    Największa obsługiwana wartość dla każdego z pól wersji, głównych, pomocniczych i kompilacji to 65535. Na przykład największa wartość, którą można wprowadzić, to 65535.65535.65535.65535.

    Przykład:
    Poniższa tabela jest przykładem zakresu dopuszczalnych wersji systemów operacyjnych dla różnych wersji Windows 10. W tym przykładzie trzy różne Aktualizacje funkcji zostały dozwolone (1809, 1909 i 2004). W szczególności tylko te wersje systemu Windows, które zastosowały aktualizacje zbiorcze od czerwca do września 2020 r., zostaną uznane za zgodne. To są tylko przykładowe dane. Tabela zawiera pierwszą kolumnę zawierającą tekst, który chcesz opisać, a następnie minimalną i maksymalną wersję systemu operacyjnego dla tego wpisu. Druga i trzecia kolumna musi być zgodna z prawidłowymi wersjami kompilacji systemu operacyjnego w formacie numeru major.minor.build.revision . Po zdefiniowaniu co najmniej jednego wpisu można wyeksportować listę jako plik wartości rozdzielanych przecinkami (CSV).

    Opis Minimalna wersja systemu operacyjnego Maksymalna wersja systemu operacyjnego
    Wygraj 10 2004 (czerwiec-wrzesień 2020) 10.0.19041.329 10.0.19041.508
    Wygraj 10 1909 (czerwiec-wrzesień 2020) 10.0.18363.900 10.0.18363.1110
    Wygraj 10 1809 (czerwiec-wrzesień 2020) 10.0.17763.1282 10.0.17763.1490

    Uwaga

    Jeśli w zasadach określisz wiele zakresów kompilacji wersji systemu operacyjnego, a urządzenie ma kompilację poza zgodnymi zakresami, Portal firmy powiadomi użytkownika urządzenia, że urządzenie jest niezgodne z tym ustawieniem. Należy jednak pamiętać, że z powodu ograniczeń technicznych komunikat korygowania zgodności pokazuje tylko pierwszy zakres wersji systemu operacyjnego określony w zasadach. Zalecamy udokumentowanie dopuszczalnych zakresów wersji systemu operacyjnego dla urządzeń zarządzanych w organizacji.

zgodność Configuration Manager

Dotyczy tylko urządzeń współzarządzanych z systemem Windows 10/11. Intune tylko urządzenia zwracają stan niedostępny.

  • Wymagaj zgodności urządzenia z Configuration Manager:
    • Nie skonfigurowano (ustawienie domyślne) — Intune nie sprawdza żadnych ustawień Configuration Manager pod kątem zgodności.
    • Wymagaj — wymagaj, aby wszystkie ustawienia (elementy konfiguracji) w Configuration Manager były zgodne.

Zabezpieczenia systemu

Password (hasło)

  • Wymagaj hasła do odblokowania urządzeń przenośnych:

    • Nie skonfigurowano (ustawienie domyślne) — to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności.
    • Wymagaj — użytkownicy muszą wprowadzić hasło, aby mogli uzyskać dostęp do swojego urządzenia.
  • Proste hasła:

    • Nie skonfigurowano (ustawienie domyślne) — użytkownicy mogą tworzyć proste hasła, takie jak 1234 lub 1111.
    • Blokuj — użytkownicy nie mogą tworzyć prostych haseł, takich jak 1234 lub 1111.
  • Typ hasła:
    Wybierz wymagany typ hasła lub numeru PIN. Dostępne opcje:

    • Ustawienie domyślne urządzenia (domyślne) — wymaga hasła, numerycznego numeru PIN lub alfanumerycznego numeru PIN
    • Numeryczne — wymaganie hasła lub numerycznego numeru PIN
    • Alfanumeryczne — wymagaj hasła lub alfanumerycznego numeru PIN.

    Po ustawieniu wartości Alfanumeryczne dostępne są następujące ustawienia:

  • Minimalna długość hasła:
    Wprowadź minimalną liczbę cyfr lub znaków, które musi zawierać hasło.

  • Maksymalna liczba minut braku aktywności przed wymaganiem hasła:
    Wprowadź czas bezczynności, zanim użytkownik będzie musiał ponownie wprowadzić hasło.

  • Wygaśnięcie hasła (dni):
    Wprowadź liczbę dni przed wygaśnięciem hasła i należy utworzyć nowe, od 1 do 730.

  • Liczba poprzednich haseł, aby zapobiec ponownemu użyciu:
    Wprowadź liczbę wcześniej używanych haseł, których nie można użyć.

  • Wymagaj hasła, gdy urządzenie powróci ze stanu bezczynności (Mobile i Holographic):

    • Nie skonfigurowano (wartość domyślna)
    • Wymagaj — wymagaj, aby użytkownicy urządzeń wprowadzali hasło za każdym razem, gdy urządzenie wraca ze stanu bezczynności.

    Ważna

    Po zmianie wymagania dotyczącego hasła na pulpicie systemu Windows na użytkowników ma wpływ podczas następnego logowania, ponieważ wtedy urządzenie przechodzi z bezczynności do aktywnej. Użytkownicy z hasłami, które spełniają wymagania, nadal są monitowane o zmianę haseł.

Szyfrowanie

  • Szyfrowanie magazynu danych na urządzeniu:
    To ustawienie dotyczy wszystkich dysków na urządzeniu.

    • Nie skonfigurowano (wartość domyślna)
    • Wymagaj — użyj polecenia Wymagaj , aby zaszyfrować magazyn danych na urządzeniach.

    DeviceStatus CSP — DeviceStatus/Compliance/EncryptionCompliance

    Uwaga

    Ustawienie Szyfrowanie magazynu danych na urządzeniu ogólnie sprawdza obecność szyfrowania na urządzeniu, a dokładniej na poziomie dysku systemu operacyjnego. Obecnie Intune obsługuje tylko sprawdzanie szyfrowania za pomocą funkcji BitLocker. Aby uzyskać bardziej niezawodne ustawienie szyfrowania, rozważ użycie funkcji Wymagaj funkcji BitLocker, która korzysta z zaświadczania o kondycji urządzeń z systemem Windows w celu zweryfikowania stanu funkcji BitLocker na poziomie modułu TPM. Jednak korzystając z tego ustawienia, należy pamiętać, że może być wymagany ponowny rozruch, zanim urządzenie zostanie odzwierciedlone jako zgodne.

Zabezpieczenia urządzenia

  • Zapora:

    • Nie skonfigurowano (ustawienie domyślne) — Intune nie kontroluje zapory systemu Windows ani nie zmienia istniejących ustawień.
    • Wymagaj — włącz zaporę systemu Windows i uniemożliwiaj użytkownikom jej wyłączenie.

    Dostawca CSP zapory

    Uwaga

    • Jeśli urządzenie zostanie natychmiast zsynchronizowane po ponownym uruchomieniu lub natychmiast zsynchronizuje przebudzenie po uśpieniu, to ustawienie może zostać wyświetlone jako błąd. Ten scenariusz może nie mieć wpływu na ogólny stan zgodności urządzenia. Aby ponownie ocenić stan zgodności, ręcznie zsynchronizuj urządzenie.

    • Jeśli konfiguracja zostanie zastosowana (na przykład za pośrednictwem zasad grupy) do urządzenia, które konfiguruje zaporę systemu Windows w celu zezwolenia na cały ruch przychodzący lub wyłączy zaporę, ustawienie Zaporyna Wymagaj zwróci wartość Niezgodne, nawet jeśli Intune zasady konfiguracji urządzenia włączą zaporę. Dzieje się tak, ponieważ obiekt zasad grupy zastępuje zasady Intune. Aby rozwiązać ten problem, zalecamy usunięcie wszelkich powodujących konflikt ustawień zasad grupy lub przeprowadzenie migracji ustawień zasad grupy związanych z zaporą w celu Intune zasad konfiguracji urządzenia. Ogólnie rzecz biorąc, zalecamy zachowanie ustawień domyślnych, w tym blokowania połączeń przychodzących. Aby uzyskać więcej informacji, zobacz Najlepsze rozwiązania dotyczące konfigurowania zapory systemu Windows.

  • Moduł TPM (Trusted Platform Module):

    • Nie skonfigurowano (ustawienie domyślne) — Intune nie sprawdza urządzenia pod kątem wersji mikroukładu modułu TPM.
    • Wymagaj — Intune sprawdza wersję mikroukładu modułu TPM pod kątem zgodności. Urządzenie jest zgodne, jeśli wersja mikroukładu modułu TPM jest większa niż 0 (zero). Urządzenie nie jest zgodne, jeśli na urządzeniu nie ma wersji modułu TPM.

    DeviceStatus CSP — DeviceStatus/TPM/SpecificationVersion

  • Oprogramowanie antywirusowe:

    • Nie skonfigurowano (ustawienie domyślne) — Intune nie sprawdza żadnych rozwiązań antywirusowych zainstalowanych na urządzeniu.
    • Wymagaj — sprawdź zgodność przy użyciu rozwiązań antywirusowych zarejestrowanych w Zabezpieczenia Windows Center, takich jak Symantec i Microsoft Defender. Po ustawieniu pozycji Wymagaj urządzenie z wyłączonym lub nieaktualizacyjnym oprogramowaniem antywirusowym jest niezgodne.

    DeviceStatus CSP — DeviceStatus/Antivirus/Status

  • Oprogramowanie chroniące przed złośliwym oprogramowaniem:

    • Nie skonfigurowano (ustawienie domyślne) — Intune nie sprawdza żadnych rozwiązań chroniących przed złośliwym oprogramowaniem zainstalowanych na urządzeniu.
    • Wymagaj — sprawdź zgodność przy użyciu rozwiązań antyszpiegowskich zarejestrowanych w Zabezpieczenia Windows Center, takich jak Symantec i Microsoft Defender. Po ustawieniu pozycji Wymagaj urządzenie z wyłączonym lub nieaktualnym oprogramowaniem chroniącym przed złośliwym kodem jest niezgodne.

    DeviceStatus CSP — DeviceStatus/Antispyware/Status

Defender

Następujące ustawienia zgodności są obsługiwane w programie Windows 10/11 Desktop.

Ochrona punktu końcowego w usłudze Microsoft Defender

reguły Ochrona punktu końcowego w usłudze Microsoft Defender

Aby uzyskać dodatkowe informacje na temat integracji Ochrona punktu końcowego w usłudze Microsoft Defender w scenariuszach dostępu warunkowego, zobacz Konfigurowanie dostępu warunkowego w Ochrona punktu końcowego w usłudze Microsoft Defender.

  • Wymagaj, aby urządzenie było na poziomie lub poniżej oceny ryzyka maszyny:
    To ustawienie służy do oceny ryzyka z usług ochrony przed zagrożeniami jako warunku zgodności. Wybierz maksymalny dozwolony poziom zagrożenia:

    • Nie skonfigurowano (wartość domyślna)
    • Wyczyść — ta opcja jest najbezpieczniejsza, ponieważ urządzenie nie może mieć żadnych zagrożeń. Jeśli urządzenie zostanie wykryte jako posiadające dowolny poziom zagrożeń, zostanie ocenione jako niezgodne.
    • Niski — urządzenie jest oceniane jako zgodne, jeśli występują tylko zagrożenia niskiego poziomu. Wszystko wyższe powoduje, że urządzenie jest w stanie niezgodnym.
    • Średni — urządzenie jest oceniane jako zgodne, jeśli istniejące zagrożenia na urządzeniu są na niskim lub średnim poziomie. Jeśli zostanie wykryte, że urządzenie ma zagrożenia wysokiego poziomu, zostanie ono uznane za niezgodne.
    • Wysoki — ta opcja jest najmniej bezpieczna i zezwala na wszystkie poziomy zagrożeń. Może to być przydatne, jeśli używasz tego rozwiązania tylko do celów raportowania.

    Aby skonfigurować Ochrona punktu końcowego w usłudze Microsoft Defender jako usługę ochrony przed zagrożeniami, zobacz Włączanie Ochrona punktu końcowego w usłudze Microsoft Defender przy użyciu dostępu warunkowego.

Podsystem Windows dla systemu Linux

Ustawienia w tej sekcji wymagają wtyczki Podsystem Windows dla systemu Linux (WSL). Aby uzyskać więcej informacji, zobacz Evaluate compliance for Podsystem Windows dla systemu Linux (Ocena zgodności pod kątem Podsystem Windows dla systemu Linux).

W obszarze Dozwolone dystrybucje i wersje systemu Linux wprowadź co najmniej jedną nazwę dystrybucji systemu Linux. Opcjonalnie wprowadź minimalną lub maksymalną wersję systemu operacyjnego.

Uwaga

Wprowadzone nazwy i wersje dystrybucji wpływają na zasady zgodności w następujący sposób:

  • Jeśli dystrybucja nie zostanie udostępniona, wszystkie dystrybucje będą dozwolone. Jest to działanie domyślne.
  • Jeśli podano tylko nazwy dystrybucji, dozwolone są wszystkie zainstalowane wersje tej dystrybucji.
  • Jeśli podano nazwę dystrybucji i minimalną wersję systemu operacyjnego, dozwolone są wszystkie zainstalowane dystrybucje o podanej nazwie i minimalnej wersji lub nowszej.
  • Jeśli podano nazwę dystrybucji i maksymalną wersję systemu operacyjnego, dozwolone są wszystkie zainstalowane dystrybucje o podanej nazwie i maksymalnej wersji lub starszej.
  • Jeśli podano nazwę dystrybucji, minimalną wersję systemu operacyjnego i maksymalną wersję systemu operacyjnego, dozwolone są wszystkie zainstalowane dystrybucje i wersje systemu operacyjnego w podanym zakresie.

Windows Holographic for Business

Windows Holographic for Business używa platformy Windows 10 i nowszej. Windows Holographic for Business obsługuje następujące ustawienie:

  • Zabezpieczenia> systemuSzyfrowanie>Szyfrowanie magazynu danych na urządzeniu.

Aby zweryfikować szyfrowanie urządzenia na Microsoft HoloLens, zobacz Weryfikowanie szyfrowania urządzenia.

Surface Hub

Urządzenie Surface Hub korzysta z Windows 10 i nowszej platformy. Urządzenia Surface Hub są obsługiwane zarówno w przypadku zgodności, jak i dostępu warunkowego. Aby włączyć te funkcje w usłudze Surface Hubs, zalecamy włączenie automatycznej rejestracji systemu Windows w Intune (wymaga Tożsamość Microsoft Entra) i kierowanie urządzeń Surface Hub jako grup urządzeń. Urządzenia Surface Hub muszą być Microsoft Entra przyłączone w celu zapewnienia zgodności i dostępu warunkowego do działania.

Aby uzyskać wskazówki, zobacz Konfigurowanie rejestracji dla urządzeń z systemem Windows.

Szczególną uwagę należy wziąć pod uwagę w przypadku urządzeń Surface Hubs działających w systemie operacyjnym Windows 10/11 Team:
Urządzenia Surface Hub z systemem operacyjnym zespołu Windows 10/11 nie obsługują obecnie zasad zgodności Ochrona punktu końcowego w usłudze Microsoft Defender i haseł. W związku z tym w przypadku urządzeń Surface Hub z systemem operacyjnym zespołu Windows 10/11 ustaw następujące dwa ustawienia na wartość domyślną Nieskonfigurowane:

  • W kategorii Hasło ustaw ustawienie Wymagaj hasła do odblokowania urządzeń przenośnych na wartość domyślną Nieskonfigurowane.

  • W kategorii Ochrona punktu końcowego w usłudze Microsoft Defender ustaw opcję Wymagaj, aby urządzenie było na poziomie lub poniżej oceny ryzyka maszyny na wartość domyślną Nieskonfigurowane.

Następne kroki