Tworzenie zasad zgodności w Microsoft Intune
Zasady zgodności urządzeń są kluczową funkcją w przypadku używania Intune do ochrony zasobów organizacji. W Intune można utworzyć reguły i ustawienia, które urządzenia muszą spełniać, aby były uważane za zgodne, na przykład minimalną wersję systemu operacyjnego. Jeśli urządzenie nie jest zgodne, możesz zablokować dostęp do danych i zasobów przy użyciu dostępu warunkowego.
Możesz również podjąć działania w przypadku niezgodności, takie jak wysyłanie wiadomości e-mail z powiadomieniem do użytkownika. Aby zapoznać się z omówieniem działania zasad zgodności i sposobu ich użycia, zobacz Wprowadzenie do zgodności urządzeń.
Ten artykuł:
- Listy wymagania wstępne i kroki tworzenia zasad zgodności.
- Przedstawia sposób przypisywania zasad do grup użytkowników i urządzeń.
- Opisuje inne funkcje, w tym tagi zakresu do "filtrowania" zasad oraz kroki, które można wykonać na urządzeniach, które nie są zgodne.
- Listy czasy cyklu odświeżania ewidencjonowania, gdy urządzenia otrzymują aktualizacje zasad.
Przed rozpoczęciem
Aby korzystać z zasad zgodności urządzeń, upewnij się, że:
Użyj następujących subskrypcji:
- Intune
- Jeśli używasz dostępu warunkowego, musisz Tożsamość Microsoft Entra wersji P1 lub P2. Microsoft Entra cennik zawiera informacje o różnych wersjach. Intune zgodność nie wymaga Tożsamość Microsoft Entra.
Użyj obsługiwanej platformy:
- Administratora urządzenia z systemem Android
- Android AOSP
- Android Enterprise
- iOS
- Linux — Ubuntu Desktop, wersja 20.04 LTS i 22.04 LTS
- macOS
- Windows 10/11
Ważna
Microsoft Intune kończy obsługę zarządzania przez administratora urządzeń z systemem Android na urządzeniach z dostępem do usług Google Mobile Services (GMS) 31 grudnia 2024 r. Po tej dacie rejestracja urządzeń, pomoc techniczna, poprawki błędów i poprawki zabezpieczeń będą niedostępne. Jeśli obecnie używasz zarządzania administratorem urządzeń, zalecamy przejście na inną opcję zarządzania systemem Android w Intune przed zakończeniem pomocy technicznej. Aby uzyskać więcej informacji, zobacz Zakończ obsługę administratora urządzeń z systemem Android na urządzeniach GMS.
Rejestrowanie urządzeń w Intune (wymagane do wyświetlenia stanu zgodności)
Rejestrowanie urządzeń dla jednego użytkownika lub rejestrowanie bez użytkownika podstawowego. Nie można zarejestrować pojedynczych urządzeń dla wielu użytkowników.
Oprócz ustawień zgodności wbudowanych w Intune następujące platformy obsługują dodawanie niestandardowych ustawień zgodności do zasad zgodności:
- Ubuntu Desktop, wersja 20.04 LTS i 22.04 LTS
- Windows 10/11
Przed dodaniem ustawień niestandardowych należy przygotować niestandardowy plik JSON definiujący ustawienia, na których chcesz oprzeć zgodność niestandardową, oraz skrypt uruchamiany na urządzeniach w celu wykrycia ustawień zdefiniowanych w formacie JSON.
Aby uzyskać więcej informacji na temat korzystania z niestandardowych ustawień zgodności, w tym obsługiwanych platform, wymagań wstępnych i sposobu konfigurowania kategorii Zgodność niestandardowa podczas tworzenia zasad, zobacz Używanie niestandardowych ustawień zgodności.
Tworzenie zasad
Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.
Przejdź do pozycji Zgodność urządzeń> i wybierz pozycję Utwórz zasady.
Wybierz platformę dla tych zasad z następujących opcji:
- Administrator urządzenia z systemem Android
- Android (AOSP)
- Android Enterprise
- iOS/iPadOS
- Linux — (Ubuntu Desktop, wersja 20.04 LTS i 22.04 LTS, RedHat Enterprise Linux 8 lub RedHat Enterprise Linux 9)
- macOS
- System Windows 8.1 lub nowszy
- Windows 10 lub nowszy
W przypadku systemu Android Enterprise możesz również wybrać typ zasad:
- W pełni zarządzany, dedykowany i należący do firmy profil służbowy
- Profil służbowy należący do użytkownika
Następnie wybierz pozycję Utwórz , aby otworzyć stronę konfiguracji.
Na karcie Podstawy określ nazwę , która ułatwia ich późniejsze zidentyfikowanie. Na przykład dobrą nazwą zasad jest oznaczenie urządzeń ze zdjętymi zabezpieczeniami systemu iOS/iPadOS jako niezgodnych.
Możesz również określić opis.
Na karcie Ustawienia zgodności rozwiń dostępne kategorie i skonfiguruj ustawienia dla zasad. W poniższych artykułach opisano dostępne ustawienia zgodności dla każdej platformy:
Dodaj ustawienia niestandardowe do zasad dla obsługiwanych platform.
Porada
Jest to krok opcjonalny obsługiwany tylko dla następujących platform:
- Linux — Ubuntu Desktop, wersja 20.04 LTS i 22.04 LTS
- Windows 10/11 Przed dodaniem ustawień niestandardowych do zasad musisz przekazać skrypt wykrywania do Intune i przygotować plik JSON definiujący ustawienia, których chcesz użyć do zapewnienia zgodności. Zobacz Niestandardowe ustawienia zgodności.
Na stronie Ustawienia zgodności rozwiń kategorię Zgodność niestandardowa :
W przypadku systemu Windows:
- Na stronie Ustawienia zgodności rozwiń węzeł Zgodność niestandardowa i ustaw wartość Zgodność niestandardowa na Wymagaj.
- W obszarze Wybierz skrypt odnajdywania wybierz pozycję Kliknij, aby wybrać, a następnie określ skrypt, który został wcześniej dodany do centrum administracyjnego Microsoft Intune. Ten skrypt musi zostać przekazany przed rozpoczęciem tworzenia zasad.
- W obszarze Przekaż i zweryfikuj plik JSON przy użyciu niestandardowych ustawień zgodności wybierz ikonę folderu, a następnie znajdź i dodaj plik JSON dla systemu Windows, którego chcesz użyć z tą zasadą. Aby uzyskać pomoc dotyczącą kodu JSON, zobacz Tworzenie kodu JSON dla niestandardowych ustawień zgodności.
W przypadku systemu Linux:
- Na stronie Ustawienia zgodności wybierz pozycję Dodaj ustawienia , aby otworzyć okienko Selektor ustawień .
- Wybierz pozycję Zgodność niestandardowa, a następnie wybierz pozycję 8.
- Po powrocie na stronę Ustawienia zgodności wybierz przełącznik Wymagaj zgodności niestandardowej , aby zmienić ją na True.
- W obszarze Wybierz skrypt odnajdywania wybierz pozycję Ustaw ustawienia wielokrotnego użytku, a następnie określ skrypt, który został wcześniej dodany do centrum administracyjnego Microsoft Intune. Ten skrypt musi zostać przekazany przed rozpoczęciem tworzenia zasad.
- W obszarze Wybierz plik reguł wybierz ikonę folderu, a następnie znajdź i dodaj plik JSON dla systemu Linux, którego chcesz użyć z tą zasadą. Aby uzyskać pomoc dotyczącą kodu JSON, zobacz Tworzenie kodu JSON dla niestandardowych ustawień zgodności.
Wprowadzony kod JSON jest weryfikowany i są wyświetlane wszelkie problemy. Po walidacji zawartości JSON reguły w formacie JSON są wyświetlane w formacie tabeli.
Na karcie Akcje dotyczące niezgodności określ sekwencję akcji, które mają być automatycznie stosowane do urządzeń, które nie spełniają tych zasad zgodności.
Możesz dodać wiele akcji oraz skonfigurować harmonogramy i szczegóły niektórych akcji. Możesz na przykład zmienić harmonogram domyślnej akcji Oznacz urządzenie jako niezgodne po jednym dniu. Następnie możesz dodać akcję wysyłania wiadomości e-mail do użytkownika, gdy urządzenie nie jest zgodne, aby ostrzec go o tym stanie. Można również dodać akcje, które blokują lub wycofają urządzenia, które pozostają niezgodne.
Aby uzyskać informacje o akcjach, które można skonfigurować, zobacz Dodawanie akcji dla niezgodnych urządzeń, w tym sposób tworzenia wiadomości e-mail z powiadomieniami do wysyłania do użytkowników.
Inny przykład obejmuje użycie lokalizacji, w których do zasad zgodności dodaje się co najmniej jedną lokalizację. W takim przypadku domyślna akcja niezgodności ma zastosowanie po wybraniu co najmniej jednej lokalizacji. Jeśli urządzenie nie jest połączone z żadną z wybranych lokalizacji, jest uznawane za niezgodne. Możesz skonfigurować harmonogram, aby zapewnić użytkownikom okres prolongaty, na przykład jeden dzień.
Na karcie Tagi zakresu wybierz tagi, aby ułatwić filtrowanie zasad do określonych grup, takich jak
US-NC IT Team
lubJohnGlenn_ITDepartment
. Po dodaniu ustawień możesz również dodać tag zakresu do zasad zgodności.Aby uzyskać informacje na temat korzystania z tagów zakresu, zobacz Używanie tagów zakresu do filtrowania zasad.
Na karcie Przypisania przypisz zasady do grup.
Wybierz pozycję + Wybierz grupy do uwzględnienia , a następnie przypisz zasady do co najmniej jednej grupy. Zasady będą stosowane do tych grup po zapisaniu zasad po następnym kroku.
Zasady dla systemu Linux nie obsługują przypisań opartych na użytkownikach i mogą być przypisywane tylko do grup urządzeń.
Na karcie Przeglądanie i tworzenie przejrzyj ustawienia i wybierz pozycję Utwórz , gdy wszystko będzie gotowe do zapisania zasad zgodności.
Użytkownicy lub urządzenia objęte zasadami są oceniani pod kątem zgodności podczas ewidencjonowania za pomocą Intune.
Czasy cyklu odświeżania
Intune używa różnych cykli odświeżania do sprawdzania dostępności aktualizacji zasad zgodności. Jeśli urządzenie zostało niedawno zarejestrowane, ewidencjonowanie jest uruchamiane częściej. Cykle odświeżania zasad i profilów zawierają listę szacowanych czasów odświeżania.
W dowolnym momencie użytkownicy mogą otworzyć aplikację Portal firmy i zsynchronizować urządzenie, aby natychmiast sprawdzić aktualizacje zasad.
Przypisywanie stanu InGracePeriod
Stan InGracePeriod dla zasad zgodności jest wartością. Ta wartość jest określana przez kombinację okresu prolongaty urządzenia i rzeczywistego stanu urządzenia dla tych zasad zgodności.
W szczególności, jeśli urządzenie ma stan Niezgodność dla przypisanych zasad zgodności i:
- Urządzenie nie ma przypisanego okresu prolongaty, a następnie przypisana wartość zasad zgodności jest niezgodna
- Urządzenie ma wygasły okres prolongaty, a przypisana wartość zasad zgodności to NonCompliant
- Urządzenie ma okres prolongaty, który jest w przyszłości, a następnie przypisaną wartością zasad zgodności jest InGracePeriod
Poniższa tabela zawiera podsumowanie następujących punktów:
Rzeczywisty stan zgodności | Wartość przypisanego okresu prolongaty | Efektywny stan zgodności |
---|---|---|
Niezgodnych | Nie przypisano okresu prolongaty | Niezgodnych |
Niezgodnych | Data wczorajsza | Niezgodnych |
Niezgodnych | Data jutrzejsza | InGracePeriod |
Aby uzyskać więcej informacji na temat monitorowania zasad zgodności urządzeń, zobacz Monitorowanie zasad zgodności urządzeń Intune.
Przypisywanie wynikowego stanu zasad zgodności
Jeśli urządzenie ma wiele zasad zgodności, a urządzenie ma różne stany zgodności dla co najmniej dwóch przypisanych zasad zgodności, zostanie przypisany jeden wynikowy stan zgodności. To przypisanie jest oparte na poziomie ważności koncepcyjnej przypisanym do każdego stanu zgodności. Każdy stan zgodności ma następujący poziom ważności:
Stan | Waga |
---|---|
Unknown | 1 |
NotApplicable | 2 |
Zgodny | 3 |
InGracePeriod | 4 |
Niezgodnych | 5 |
Error | 6 |
Jeśli urządzenie ma wiele zasad zgodności, do tego urządzenia jest przypisywany najwyższy poziom ważności wszystkich zasad.
Na przykład urządzenie ma przypisane trzy zasady zgodności: jeden nieznany stan (ważność = 1), jeden stan zgodności (ważność = 3) i jeden stan InGracePeriod (ważność = 4). Stan InGracePeriod ma najwyższy poziom ważności. Dlatego wszystkie trzy zasady mają stan zgodności InGracePeriod.