Поделиться через

Создание политики соответствия требованиям в Microsoft Intune

  • Статья

Политики соответствия устройств требованиям — это главная особенность при использовании Intune для защиты ресурсов организации. В Intune можно создавать правила и параметры, чтобы устройство считалось соответствующим требованиям, например минимальная версия ОС. Если устройство не соответствует требованиям, вы можете заблокировать доступ к данным и ресурсам с помощью условного доступа.

Вы также можете предпринять действия для несоответствия, например отправить пользователю уведомление по электронной почте. Обзор политик соответствия требованиям и способов их использования см. в статье Начало работы с политиками соответствия устройств в Intune.

В этой статье:

  • перечислены необходимые условия и действия для создания политики соответствия требованиям;
  • показано, как назначить политику группам пользователей и устройств;
  • Описание других функций, включая область теги для фильтрации политик, а также действия, которые можно выполнить на устройствах, которые не соответствуют требованиям.
  • приводится время цикла обновления проверки, когда устройства получают обновления политики.

Прежде чем начать

Чтобы использовать политики соответствия устройств, выполните следующие действия.

  • Используйте следующие подписки:

    • Intune
    • Если вы используете условный доступ, вам потребуется Microsoft Entra ID выпуска P1 или P2. Microsoft Entra ценах перечислены сведения о том, что вы получаете с различными выпусками. Intune соответствие требованиям не требует Microsoft Entra ID.

  • Используйте поддерживаемую платформу:

    • Администратор устройств Android
    • Android AOSP
    • Android Enterprise
    • iOS
    • Linux — Ubuntu Desktop, версии 20.04 LTS и 22.04 LTS
    • macOS
    • Windows 10/11

Важно!

Управление администраторами устройств Android устарело и больше не доступно для устройств с доступом к Google Mobile Services (GMS). Если в настоящее время вы используете управление администраторами устройств, рекомендуется перейти на другой вариант управления Android. Документация по поддержке и справке по-прежнему доступна для некоторых устройств без GMS под управлением Android 15 и более ранних версий. Дополнительные сведения см. в разделе Прекращение поддержки администратора устройств Android на устройствах GMS.

  • Регистрация устройств в Intune (необходимо, чтобы увидеть состояние соответствия)

  • Зарегистрируйте устройства для одного пользователя или зарегистрируйтесь без основного пользователя. Одно устройство не может быть зарегистрировано для нескольких пользователей.

Помимо параметров соответствия, встроенных в Intune, следующие платформы поддерживают добавление настраиваемых параметров соответствия в политики соответствия требованиям:

  • Ubuntu Desktop, версии 20.04 LTS и 22.04 LTS
  • Windows 10/11

Перед добавлением настраиваемых параметров необходимо подготовить пользовательский JSON-файл, определяющий параметры, на основе которого необходимо использовать пользовательское соответствие, и скрипт, который выполняется на устройствах для обнаружения параметров, определенных в JSON.

Дополнительные сведения об использовании настраиваемых параметров соответствия требованиям, включая поддерживаемые платформы, предварительные требования и настройку категории настраиваемого соответствия при создании политики, см. в статье Использование настраиваемых параметров соответствия требованиям.

Создание политики

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Перейдите в раздел Устройства.

  3. В разделе Управление устройствами выберите Соответствие. Затем выберите Создать политику.

  4. Выберите для этой политики одно из следующих значений параметра Платформа:

    • Администратор устройств Android
    • Android (AOSP)
    • Android Enterprise
    • iOS/iPadOS
    • Linux — (Ubuntu Desktop, версии 20.04 LTS и 22.04 LTS, RedHat Enterprise Linux 8 или RedHat Enterprise Linux 9)
    • macOS
    • Windows 10 и более поздние версии
    • Windows 8.1 и более поздние версии

    Для Android Enterprise также выберите тип профиля. Доступны следующие параметры:

    • Полностью управляемый, выделенный и корпоративный рабочий профиль
    • Личный рабочий профиль

    Затем нажмите кнопку Создать , чтобы открыть страницу конфигурации.

  5. На вкладке Основные сведения введите имя , которое поможет определить эту политику позже. Например, хорошее имя политики — Пометить устройства iOS/iPadOS со снятой защитой как несоответствующие требованиям.

    При необходимости введите описание политики.

  6. На вкладке Параметры соответствия разверните доступные категории и настройте параметры политики. В следующих статьях описаны доступные параметры соответствия для каждой платформы.

  7. При необходимости можно добавить пользовательские параметры для поддерживаемых платформ.

    Совет

    Это необязательный шаг, поддерживаемый для следующих платформ:

    • Linux — Ubuntu Desktop, версии 20.04 LTS и 22.04 LTS
    • Windows 10 и более поздние версии
      Прежде чем добавлять пользовательские параметры в политику, необходимо отправить скрипт обнаружения в Intune и подготовить JSON-файл, определяющий параметры, которые вы хотите использовать для соответствия требованиям. См . раздел Настраиваемые параметры соответствия требованиям.

    На странице Параметры соответствия разверните категорию Пользовательское соответствие :

    Для Windows:

    1. На странице Параметры соответствия разверните узел Пользовательское соответствие и установите для параметра Пользовательское соответствие значение Требовать.
    2. В поле Выберите сценарий обнаружения выберите Щелкните, чтобы выбрать, а затем введите имя скрипта, добавленного ранее в центр администрирования Microsoft Intune. Этот скрипт необходимо отправить, прежде чем приступить к созданию политики. Нажмите кнопку Выбрать , чтобы перейти к следующему шагу.
    3. Для параметра Отправить и проверить JSON-файл с пользовательскими параметрами соответствия щелкните значок папки, а затем найдите и добавьте JSON-файл для Windows, который вы хотите использовать с этой политикой. Сведения о помощи в использовании JSON см. в статье Создание JSON для пользовательских параметров соответствия требованиям.

    Для Linux:

    1. На странице Параметры соответствия выберите Добавить параметры , чтобы открыть средство выбора параметров.
    2. Выберите Пользовательское соответствие. Затем закройте средство выбора параметров.
    3. Для параметра Требовать настраиваемого соответствия выберите Значение True. T
    4. В разделе Выберите сценарий обнаружения выберите Выбрать скрипт. Затем выберите скрипт, который был ранее добавлен в центр администрирования Microsoft Intune. Этот скрипт необходимо отправить, прежде чем приступить к созданию политики.
    5. В поле Выберите файл правил щелкните значок папки, а затем найдите и добавьте JSON-файл для Linux, который вы хотите использовать с этой политикой. Сведения о помощи в использовании JSON см. в статье Создание JSON для пользовательских параметров соответствия требованиям.

    Подождите, пока Intune проверит JSON. Проблемы, которые необходимо устранить, отображаются на экране. После проверки содержимого JSON правила из JSON отображаются в табличном формате.

  8. На вкладке Действия для несоответствия выберите последовательность действий, которые будут автоматически применяться к устройствам, которые не соответствуют этой политике соответствия.

    Можно добавить несколько действий и настроить расписания и сведения для некоторых действий. Например, можно изменить расписание действия по умолчанию Отметить устройство как несоответствующее политике, чтобы оно выполнялось через день. Затем можно добавить действие для отправки пользователю сообщения электронной почты с уведомлением о том, что устройство не соответствует требованиям. Вы также можете добавить действия, которые блокируют или снимают с учета устройства, которые остаются несоответствующими.

    Сведения о действиях, которые можно настроить, в том числе о создании уведомлений по электронной почте для отправки пользователям, см. в статье Автоматизация уведомлений и действий для несоответствующих устройств в Intune.

    Еще один пример — использование вкладки "Местоположения", на которой добавлено по крайней мере одно расположение для политики соответствия требованиям. В этом случае действие по умолчанию для несоответствия применяется только при выборе хотя бы одного расположения. Если устройство не подключено ни к одному из выбранных расположений, оно считается не соответствующим требованиям. При этом можно настроить расписание, чтобы предоставить пользователям льготный период, например один день.

  9. На вкладке Теги области выберите теги, чтобы упростить фильтрацию политик по конкретным группам, например US-NC IT Team или JohnGlenn_ITDepartment. После добавления параметров можно также добавить тег области к политикам соответствия требованиям.

    Сведения об использовании тегов области для фильтрации политик см. в этой статье.

  10. На вкладке Назначения назначьте политику группам.

Выберите Добавить группы, а затем назначьте политику одной или нескольким группам. Эта политика будет применена к данным группам при ее сохранении после следующего шага.

Политики для Linux не поддерживают назначения на основе пользователей и могут назначаться только группам устройств.

  1. На вкладке Проверка и создание просмотрите параметры, а затем выберите Создать, когда будете готовы сохранить политику соответствия требованиям.

    Пользователи или устройства, на которые распространяется ваша политика, оцениваются на соответствие требованиям при регистрации в Intune.

Обновление времени цикла

Intune использует разные циклы обновления для проверки наличия обновлений политик соответствия. Если устройство зарегистрировано недавно, проверка выполняется чаще. Циклы обновления политики и профиля содержат оценочное время обновления.

Пользователи могут в любое время открыть приложение Корпоративного портала и синхронизировать устройство, чтобы моментально проверить наличие обновлений политики.

Назначение состояния InGracePeriod

Состояние InGracePeriod для политики соответствия требованиям представляет собой значение. Оно определяется сочетанием льготного периода устройства и фактического состояния устройства для этой политики соответствия.

В частности, если устройство имеет состояние NonCompliant для назначенной политики соответствия требованиям и:

  • устройству не назначен льготный период, для политики соответствия требованиям задается значение NonCompliant;
  • устройство имеет льготный период, который истек, для политики соответствия требованиям задается значение NonCompliant;
  • устройство имеет льготный период, который находится в будущем, для политики соответствия требованиям задается значение InGracePeriod.

В таблице ниже приведена сводка по этим моментам.

Фактическое состояние соответствия Значение назначенного периода отсрочки Действующее состояние соответствия
NonCompliant Период отсрочки не назначен NonCompliant
NonCompliant Вчерашняя дата NonCompliant
NonCompliant Завтрашняя дата InGracePeriod

Дополнительные сведения об отслеживании политик соответствия устройств см. в статье Мониторинг политик соответствия устройств Intune.

Назначение итогового состояния для политики соответствия требованиям

Если устройство имеет несколько политик соответствия требованиям, по крайней мере две из которых имеют разные состояния соответствия, назначается одно итоговое состояние соответствия. Назначение производится на основе концептуального уровня серьезности, задаваемого для каждого состояния соответствия. Ниже указаны уровни серьезности для каждого состояния соответствия.

Состояние Серьезность
Unknown 1
NotApplicable 2
Соответствует 3
InGracePeriod 4
NonCompliant 5
Error 6

Если устройство имеет несколько политик соответствия, ему назначается наивысшая степень серьезности для всех политик.

Например, устройству назначено три политики соответствия требованиям: одна с состоянием Unknown (серьезность = 1), одна с состоянием Compliant (серьезность = 3) и одна с состоянием InGracePeriod (серьезность = 4). Состояние InGracePeriod имеет наивысший уровень серьезности. Таким образом все три политики имеют состояние соответствия InGracePeriod.

Дальнейшие действия

Мониторинг политик.