通过

使用 Microsoft Intune 管理作系统版本

  • 项目

在新式移动和桌面平台上,主要更新、修补程序和新版本的发布速度很快。 你在 Windows 上具有完全管理更新和修补程序的控制权限,但在 iOS/iPadOS 和 Android 等平台上,要求最终用户也参与此过程。 Microsoft Intune 可帮助构建跨不同平台的操作系统版本管理。

Intune 能解决的常见方案包括:

  • 判断最终用户设备上采用的操作系统版本
  • 在验证新的操作系统发布时,控制对设备上组织数据的访问
  • 鼓励/要求最终用户升级到经组织批准的最新操作系统版本
  • 管理组织范围内新操作系统版本的推出

使用Intune移动设备管理注册限制的作系统版本控制

借助设备注册限制,可以根据某些设备属性限制设备在Intune中注册。 目标是允许用户仅注册符合组织期望的设备,并阻止注册不符合要求的设备,以便他们能够访问组织资源。 可以为以下 平台创建注册设备平台限制 策略:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows

每种平台类型的设备平台限制策略包括允许的最低和最大作系统版本,如 iOS 策略的以下屏幕截图所示:

平台配置限制页。

具体实践

组织使用以下设置使用设备类型限制来控制对组织资源的访问:

  1. 使用最低作系统版本来确保只能在组织中注册当前和受支持的平台。
  2. 将最大作系统保留为未指定 (无限制) 或将其设置为组织已验证使用的最后一个版本,以便有时间对新作系统版本进行内部测试。

有关详细信息,请参阅创建设备平台限制

作系统版本报告和符合Intune设备合规性策略

Intune设备符合性策略提供以下工具:

  • 指定为设备定义所需配置的符合性规则。
  • 查看合规性报告,了解哪些设备不符合要求,以及策略中的哪些设置。
  • 通过设备隔离和条件访问策略处理不符合结果,防止不符合的设备访问组织资源。

与注册限制类似,设备合规性策略同时包含最低和最高操作系统版本。 策略还具有符合性时间线,以向你的用户提供用于获得符合性的宽限期。 设备符合性策略使已注册的最终用户设备符合组织的期望。

设备合规性 - 针对不合规设备的操作

具体实践

对于相同的方案,组织正使用与注册限制一致的设备符合性策略。 这些策略确保用户处于组织中已验证的当前操作系统版本。 当最终用户设备不符合时,可通过条件访问阻止其对组织资源的访问,直至最终用户处于受组织支持的操作系统范围内。 最终用户将收到不合规的通知,并会为他们提供重新获得访问权限的步骤。

有关详细信息,请参阅 设备符合性入门

使用 Intune 应用保护策略的操作系统版本控制

Intune 应用保护策略和移动应用程序管理 (MAM) 访问设置允许你在应用层指定最低操作系统版本。 如此一来便可通知、鼓励或要求最终用户将操作系统更新至指定的最低版本。

方法有以下两种:

  • 警告 - 如果最终用户打开具有应用程序保护策略的应用,或对于具有 MAM 访问设置的设备,其操作系统版本低于指定版本,则“警告”将通知最终用户需进行升级。 允许访问应用和组织数据。

    Android 更新警告对话框的图像

  • 阻止 - 如果最终用户打开具有应用程序保护策略的应用,或对于具有 MAM 访问设置的设备,其操作系统版本低于指定版本,则“阻止”将通知最终用户必须进行升级。 应用和组织数据不允许访问。

    应用访问被阻止对话框的图像

具体实践

当前,在打开或恢复应用时,组织通过使用应用保护策略设置提醒最终用户需确保其应用处于最新版本。 例如这个示例配置:如果版本为最新版本减一,则将警告最终用户;如果版本为最新版本减二,则将阻止最终用户。

有关详细信息,请参阅 如何创建和分配应用保护策略

使用Intune应用保护策略管理多个 OS 版本

在应用保护策略 (APP) 中,只能在条件启动设置中配置一个最低 OS 版本,但可以创建具有不同最低 OS 值的多个 API。 但是,由于将 APP 分配给用户组,这意味着具有多个运行不同 OS 版本的设备的用户在访问受保护的资源时可能面临冲突的 OS 要求。

若要允许多个具有不同 OS 要求的 APP 面向同一用户,可以 创建筛选器 ,将应用定向到特定 OS 版本。

Intune有两种类型的筛选器:托管设备和托管应用。 APP 仅支持托管应用筛选器。

创建筛选器

若要将筛选器与 APP 配合使用,必须为要面向的每个特定 OS 版本创建筛选器:

  1. 导航到Microsoft Intune管理中心。

  2. 选择“ 租户管理>筛选器>”“创建>托管应用”。

  3. “基本信息 ”页上,输入筛选器的名称,使其易于识别,然后选择要面向的平台,在本例中为 iOS/iPadOS。

  4. 在“ 规则 ”页上,为要面向的主要 OS 版本创建筛选器,例如 Property=osVersion (OS 版本) ,Operator=StartsWith,Value=18。

  • 可选:可以使用“预览”按钮检查与指定筛选器匹配的设备、用户和应用
  1. 在“ 查看和创建 ”页上,选择“创建”保存筛选器

重复这些步骤,为要面向的每个平台和主要 OS 版本(例如 iOS 16 和 17)创建其他筛选器。

使用筛选器创建和定位应用

  1. 导航到Microsoft Intune管理中心。

  2. 选择“应用>应用保护策略>”创建策略>“选择要与应用一起面向的平台,例如 iOS/iPadOS。

  3. “基本信息 ”页上,输入策略的名称,使其易于识别。

  4. 使用满足组织要求的 iOSAndroidWindows 应用保护策略设置完成应用数据保护访问要求页面。 在 Windows 应用) 的条件启动页 (或运行状况检查页的“设备条件”部分中,配置要设置为最低版本的 OS 次要版本或修补程序版本。 例如,根据组织所需的作,Setting=Min OS 版本、Value=18.2.1、Action=阻止访问/擦除数据/警告。

  5. “分配” 页上,使用以前创建的筛选器将策略分配范围限定为正确的主 OS 版本。

  6. 在“ 查看和创建 ”页上,选择“创建”保存策略

在所示示例中,筛选器将面向运行 iOS 18 的设备,并且应用条件启动设置需要 18.2.1,从而确保该应用不适用于在其他主要版本的 iOS 上运行的设备。

为每个 OS 版本创建其他 APP,例如:

  • 适用于 iOS 16 的第二个策略: 条件启动、设备条件、最小 OS 版本=16.7.10、筛选器、OS 版本、StartsWith=16。

  • iOS 17 的第三个策略: 条件启动、设备条件、 最小 OS 版本=17.7.2、筛选 OS 版本、StartsWith=17。

具体实践

组织可以创建需要不同最低作系统版本的多个 APP。 通过执行此作,可以筛选这些 API 的分配,以仅应用于每个主 OS 版本。 这可确保每个应用都与其分配到的特定 OS 版本兼容,从而提供定制的应用保护方法。

当 OS 供应商发布新的次要 OS 更新或修补程序时,你还可以使用新的最低作系统版本更新每个应用。 这种持续更新过程可确保组织始终使用最新的 OS 版本来保持安全。 使应用和 OS 版本保持最新状态有助于防范漏洞并提高整体安全性。

管理新操作系统版本的推出

可以使用本文中所述的Intune功能来帮助将组织设备移动到定义的时间线内的新作系统版本。 以下是关于某个示例部署模型的步骤说明,该示例在七天内将用户从操作系统 v1 移至操作系统 v2。

  1. 使用 设备注册限制 要求将作系统 v2 作为注册设备的最低版本。 此操作确保新的最终用户设备在注册时满足合规性。
  2. 使用Intune应用保护策略在受保护的应用打开或恢复时警告用户需要较新的作系统 v2。
  3. 使用 设备符合性策略 要求作系统 v2 作为设备符合要求的最低版本。 使用针对不合规的作允许 7 天的宽限期,并向最终用户发送包含时间线和要求的电子邮件通知。
    • 这些策略可以通知最终用户,需要通过电子邮件、Intune 公司门户以及何时为启用了应用保护策略的应用打开应用来更新其设备。
    • 可运行合规性报告来标识不符合的用户。
  4. 使用Intune应用保护策略在应用打开或恢复时阻止用户(如果设备未运行作系统 v2)。
  5. 使用设备合规性策略,将操作系统 v2 作为使设备获得合规性的最低版本。
    • 这些策略要求更新设备,以便继续访问组织数据。 当与设备条件访问配合使用时,受保护的服务将被阻止。 启用了应用保护策略的应用在打开时或访问组织数据时将被阻止。

后续步骤

使用以下资源管理组织中正在使用的作系统版本: