Intune中Windows 10/11 的设备符合性设置
本文列出并介绍了可以在 Intune 中在 Windows 设备上配置的不同符合性设置。 作为移动设备管理 (MDM) 解决方案的一部分,请使用这些设置要求 BitLocker、设置最低和最大操作系统、使用Microsoft Defender for Endpoint设置风险级别等。
此功能适用于:
- Windows 10/11
- Windows Holographic for Business
- Surface Hub
作为Intune管理员,使用这些符合性设置来帮助保护组织资源。 若要详细了解合规性策略及其用途,请参阅 设备合规性入门。
开始之前
创建符合性策略。 对于 平台,请选择 Windows 10 和更高版本。
设备运行状况
为确保设备启动到受信任状态,Intune使用Microsoft设备证明服务。 Intune商业版、美国政府 GCC High 和运行Windows 10 DoD 服务的设备使用设备运行状况证明 (DHA) 服务。
有关更多信息,请参阅:
Windows 运行状况证明服务评估规则
需要 BitLocker:
Windows BitLocker 驱动器加密会加密存储在 Windows 操作系统卷上的所有数据。 BitLocker 使用受信任的平台模块 (TPM) 来帮助保护 Windows 操作系统和用户数据。 它还有助于确认计算机未被篡改,即使计算机在无人看管、丢失或被盗的情况下也是如此。 如果计算机配备了兼容的 TPM,BitLocker 将使用 TPM 来锁定保护数据的加密密钥。 因此,在 TPM 验证计算机状态之前,无法访问密钥。- 未配置 (默认) - 不会评估此设置是否符合性。
- 需要 - 设备可以在系统关闭或休眠时保护存储在驱动器上的数据免受未经授权的访问。
Device HealthAttestation CSP - BitLockerStatus
注意
如果在 Intune 中使用设备符合性策略,请注意此设置的状态仅在启动时测量。 因此,即使 BitLocker 加密可能已完成,也需要重新启动,以便设备检测到此情况并符合要求。 有关详细信息,请参阅以下有关 设备运行状况证明Microsoft支持博客。
要求在设备上启用安全启动:
- 未配置 (默认) - 不会评估此设置是否符合性。
- 需要 - 系统强制启动到工厂受信任的状态。 用于启动计算机的核心组件必须具有制造设备的组织信任的正确加密签名。 UEFI 固件在允许计算机启动之前验证签名。 如果任何文件被篡改,这会破坏其签名,则系统不会启动。
注意
某些 TPM 1.2 和 2.0 设备上支持 “要求在设备上启用安全启动 ”设置。 对于不支持 TPM 2.0 或更高版本的设备,Intune中的策略状态显示为“不符合”。 有关支持的版本的详细信息,请参阅 设备运行状况证明。
要求代码完整性:
代码完整性是每次将驱动程序或系统文件加载到内存中时验证其完整性的功能。- 未配置 (默认) - 不会评估此设置是否符合性。
- 必需 - 需要代码完整性,用于检测是否正在将未签名的驱动程序或系统文件加载到内核中。 它还检测系统文件是否被恶意软件更改或由具有管理员权限的用户帐户运行。
有关更多信息,请参阅:
- 有关运行状况证明服务工作原理的详细信息,请参阅 运行状况证明 CSP。
- 支持提示:将设备运行状况证明设置用作Intune合规性策略的一部分。
设备属性
操作系统版本
若要发现所有 Windows 10/11 功能汇报和累积汇报 (的内部版本,) 请参阅 Windows 版本信息, 请确保在内部版本号之前包含相应的版本前缀,例如 10.0 for Windows 10如以下示例所示。
最低操作系统版本:
以 major.minor.build.revision 编号 格式输入允许的最低版本。 若要获取正确的值,请打开命令提示符,然后键入ver
。 命令ver
按以下格式返回版本:Microsoft Windows [Version 10.0.17134.1]
如果设备的版本早于输入的 OS 版本,则会将其报告为不符合要求。 将显示一个链接,其中包含有关如何升级的信息。 最终用户可以选择升级其设备。 升级后,他们可以访问公司资源。
最大操作系统版本:
以 major.minor.build.revision 编号 格式输入允许的最大版本。 若要获取正确的值,请打开命令提示符,然后键入ver
。 命令ver
按以下格式返回版本:Microsoft Windows [Version 10.0.17134.1]
当设备使用的 OS 版本低于输入的版本时,将阻止对组织资源的访问。 要求最终用户联系其 IT 管理员。 在规则更改为允许 OS 版本之前,设备无法访问组织资源。
移动设备所需的最低 OS:
以 major.minor.build 编号格式输入允许的最低版本。如果设备具有你输入的 OS 版本的早期版本,则会将其报告为不符合要求。 将显示一个链接,其中包含有关如何升级的信息。 最终用户可以选择升级其设备。 升级后,他们可以访问公司资源。
移动设备所需的最大 OS 数:
在 major.minor.build 号中输入允许的最大版本。当设备使用的 OS 版本低于输入的版本时,将阻止对组织资源的访问。 要求最终用户联系其 IT 管理员。 在规则更改为允许 OS 版本之前,设备无法访问组织资源。
有效的操作系统版本:
指定最小和最大操作系统版本的列表。 与最低和最大操作系统版本进行比较时,有效的操作系统版本提供了更大的灵活性。 假设最低 OS 版本设置为 10.0.18362.xxx (Windows 10 1903) ,最高 OS 版本设置为 10.0.18363.xxx (Windows 10 1909) 。 此配置可以允许未安装最近累积更新的 Windows 10 1903 设备标识为合规。 如果已在单个Windows 10版本上标准化,则最低和最大 OS 版本可能适用,但如果需要使用多个版本(每个版本具有特定修补程序级别),则可能无法满足要求。 在这种情况下,请考虑改用有效的操作系统版本,这允许根据以下示例指定多个生成。每个版本、主要、次要和生成字段支持的最大值为 65535。 例如,可输入的最大值为 65535.65535.65535。
示例:
下表是不同Windows 10版本的可接受操作系统版本的范围示例。 在此示例中, (1809、1909 和 2004) 允许使用三种不同的功能汇报。 具体而言,仅那些从 2020 年 6 月到 9 月应用了累积更新的 Windows 版本才会被视为合规。 这只是示例数据。 该表包含第一列,其中包含要描述条目的任何文本,后跟该条目的最低和最高 OS 版本。 第二列和第三列必须遵循 major.minor.build.revision 编号 格式的有效 OS 内部版本。 定义一个或多个条目后,可以将列表 导出 为逗号分隔值 (CSV) 文件。说明 最低 OS 版本 最高 OS 版本 Win 10 2004 (2020 年 6 月至 9 月) 10.0.19041.329 10.0.19041.508 Win 10 1909 (2020 年 6 月至 9 月) 10.0.18363.900 10.0.18363.1110 Win 10 1809 (2020 年 6 月至 9 月) 10.0.17763.1282 10.0.17763.1490 注意
如果在策略中指定了多个操作系统版本版本范围,并且设备具有超出兼容范围的内部版本,公司门户将通知设备用户该设备不符合此设置。 但是,请注意,由于技术限制,合规性修正消息仅显示策略中指定的第一个 OS 版本范围。 建议记录组织中托管设备的可接受 OS 版本范围。
Configuration Manager符合性
仅适用于运行 Windows 10/11 的共同管理设备。 仅Intune设备返回不可用状态。
-
要求Configuration Manager的设备符合性:
- 未 (默认) 配置 - Intune不检查任何Configuration Manager设置的符合性。
- 必需 - 要求Configuration Manager中) (配置项目的所有设置都符合要求。
系统安全
Password
需要密码才能解锁移动设备:
- 未配置 (默认) - 不会评估此设置是否符合性。
- 需要 - 用户必须输入密码才能访问其设备。
简单密码:
- 未配置 (默认) - 用户可以创建简单密码,例如 1234 或 1111。
- 阻止 - 用户无法创建简单密码,例如 1234 或 1111。
密码类型:
选择所需的密码或 PIN 类型。 选项包括:- 设备默认 (默认) - 需要密码、数字 PIN 或字母数字 PIN
- 数字 - 需要密码或数字 PIN
- 字母数字 - 需要密码或字母数字 PIN。
设置为 字母数字时,以下设置可用:
密码复杂性:
选项包括:- 需要数字和小写字母 (默认)
- 需要数字、小写字母和大写字母
- 需要数字、小写字母、大写字母和特殊字符
提示
字母数字密码策略可能比较复杂。 建议管理员阅读 CSP 了解详细信息:
最小密码长度:
输入密码必须具有的最小位数或字符数。需要密码之前处于非活动状态的最大分钟数:
输入用户必须重新输入其密码之前的空闲时间。密码过期 (天) :
输入密码过期前的天数,并且必须创建一个新密码,范围从 1 到 730。防止重复使用的先前密码数:
输入以前使用过的不能使用的密码数。当设备从空闲状态返回时需要密码 (移动和全息) :
- 未配置 (默认)
- 必需 - 要求设备用户每次设备从空闲状态返回时输入密码。
重要
当 Windows 桌面上的密码要求发生更改时,用户下次登录时会受到影响,因为此时设备从空闲状态变为活动状态。 仍会提示具有满足要求的密码的用户更改其密码。
加密
设备上数据存储的加密:
此设置适用于设备上的所有驱动器。- 未配置 (默认)
- 需要 - 使用 “需要” 加密设备上的数据存储。
DeviceStatus CSP - DeviceStatus/Compliance/EncryptionCompliance
注意
设备上的 数据存储加密 设置通常检查设备上是否存在加密,更具体地说是 OS 驱动器级别。 目前,Intune仅支持 BitLocker 的加密检查。 若要获得更可靠的加密设置,请考虑使用 “需要 BitLocker”,它利用 Windows 设备运行状况证明在 TPM 级别验证 BitLocker 状态。 但是,当利用此设置时,请注意,可能需要重新启动,然后设备才会反映为合规。
设备安全性
防火墙:
- 未配置 (默认) - Intune不会控制 Windows 防火墙,也不会更改现有设置。
- 需要 - 打开 Windows 防火墙,并阻止用户将其关闭。
注意
如果设备在重新启动后立即同步,或立即从睡眠状态同步,则此设置可能会报告为 错误。 此方案可能不会影响设备的总体符合性状态。 若要重新评估符合性状态,请手动 同步设备。
例如,如果 (应用配置,则通过组策略) 配置 Windows 防火墙以允许所有入站流量的设备,或关闭防火墙,即使Intune设备配置策略打开防火墙,将防火墙设置为“需要”也会返回“不合规”。 这是因为组策略对象替代了Intune策略。 若要解决此问题,建议删除任何冲突的组策略设置,或者将与防火墙相关的组策略设置迁移到Intune设备配置策略。 通常,建议 保留默认设置,包括阻止入站连接。 有关详细信息,请参阅 配置 Windows 防火墙的最佳做法。
受信任的平台模块 (TPM) :
- 未 (默认) 配置 - Intune不会为 TPM 芯片版本检查设备。
- 需要 - Intune检查 TPM 芯片版本是否合规。 如果 TPM 芯片版本大于 0 (零) ,则设备符合要求。 如果设备上没有 TPM 版本,则设备不符合。
防病毒:
- 未配置 (默认) - Intune不会为设备上安装的任何防病毒解决方案检查。
- 需要 - 使用在 Windows 安全中心 中心注册的防病毒解决方案(例如 Symantec 和 Microsoft Defender)检查合规性。 如果设置为“需要”,则禁用其防病毒软件或已过期的设备不符合要求。
反间谍软件:
- 未配置 (默认) - Intune不会检查设备上安装的任何反间谍软件解决方案。
- 需要 - 使用在 Windows 安全中心 中心注册的反间谍软件解决方案(例如 Symantec 和 Microsoft Defender)检查符合性。 如果设置为“需要”,则禁用其反恶意软件或已过期的设备不符合要求。
Defender
Windows 10/11 桌面支持以下符合性设置。
Microsoft Defender反恶意软件:
- 未 (默认) 配置 - Intune不会控制服务,也不会更改现有设置。
- 需要 - 打开Microsoft Defender反恶意软件服务,并阻止用户将其关闭。
Microsoft Defender反恶意软件最低版本:
输入反恶意软件服务Microsoft Defender允许的最低版本。 例如,输入4.11.0.0
。 当留空时,可以使用任何版本的Microsoft Defender反恶意软件服务。默认情况下,未配置任何版本。
Microsoft Defender反恶意软件安全智能最新:
控制设备上的Windows 安全中心病毒和威胁防护更新。- 未 (默认) 配置 - Intune不强制实施任何要求。
- 要求 - 强制Microsoft Defender安全情报是最新的。
实时保护:
- 未配置 (默认) - Intune不会控制此功能,也不会更改现有设置。
- 需要 - 启用实时保护,以扫描恶意软件、间谍软件和其他不需要的软件。
Microsoft Defender for Endpoint
Microsoft Defender for Endpoint规则
有关条件访问方案中Microsoft Defender for Endpoint集成的其他信息,请参阅在 Microsoft Defender for Endpoint 中配置条件访问。
要求设备在计算机风险分数以下或以下:
使用此设置将防御威胁服务的风险评估作为合规性的条件。 选择允许的最大威胁级别:- 未配置 (默认)
- Clear - 此选项是最安全的,因为设备不能有任何威胁。 如果设备被检测为具有任何级别的威胁,则会将其评估为不符合。
- 低 - 如果仅存在低级别威胁,则设备被评估为符合性。 如果高于,则设备处于不合规状态。
- 中 - 如果设备上的现有威胁为低级或中等级别,则设备被评估为符合性。 如果检测到设备存在高级威胁,则确定该设备不符合要求。
- 高 - 此选项最不安全,允许所有威胁级别。 如果仅将此解决方案用于报告目的,则它可能很有用。
若要将Microsoft Defender for Endpoint设置为防御威胁服务,请参阅使用条件访问启用Microsoft Defender for Endpoint。
适用于 Linux 的 Windows 子系统
本部分中的设置需要适用于 Linux 的 Windows 子系统 (WSL) 插件。 有关详细信息,请参阅评估适用于 Linux 的 Windows 子系统的符合性。
对于 “允许的 Linux 分发版和版本”,请输入至少一个 Linux 分发名称。 (可选)输入最低或最高 OS 版本。
注意
输入的分发名称和版本通过以下方式影响合规性策略:
- 如果未提供分发,则允许所有分发。 这是默认行为。
- 如果仅提供分发名称,则允许该分发的所有已安装版本。
- 如果提供了分发名称和最低操作系统版本,则允许使用提供的名称和最低版本或更高版本的所有已安装分发版。
- 如果提供了分发名称和操作系统最高版本,则允许所有已安装的分发版具有提供的名称和最高版本或更低版本。
- 如果提供了分发名称、最低 OS 版本和最高 OS 版本,则允许在提供范围内的所有已安装分发版和 OS 版本。
Windows Holographic for Business
Windows Holographic for Business使用 Windows 10 及更高版本的平台。 Windows Holographic for Business支持以下设置:
- 系统安全性>加密>设备上数据存储的加密。
若要在Microsoft HoloLens上验证设备加密,请参阅验证设备加密。
Surface Hub
Surface Hub 使用 Windows 10 及更高版本的平台。 符合性和条件访问都支持 Surface Hub。 若要在 Surface Hub 上启用这些功能,建议启用 Windows 自动注册,Intune (需要Microsoft Entra ID) ,并将 Surface Hub 设备作为设备组。 需要Microsoft Entra联接 Surface Hub 才能符合性和条件访问。
有关指导,请参阅 为 Windows 设备设置注册。
运行 Windows 10/11 团队 OS 的 Surface Hub 的特殊注意事项:
运行 Windows 10/11 团队 OS 的 Surface Hub 目前不支持Microsoft Defender for Endpoint和密码符合性策略。 因此,对于运行 Windows 10/11 团队 OS 的 Surface Hub,请将以下两个设置设置为默认值“未配置”:
在“ 密码”类别中,将 “需要密码才能解锁移动设备 ”设置为“ 未配置”。
在类别Microsoft Defender for Endpoint中,将“要求设备处于计算机风险分数或以下”设置为默认值“未配置”。