监视 Intune 设备符合性策略的结果

合规性报告可帮助你了解设备何时无法满足 合规性策略 ,并有助于确定组织中与合规性相关的问题。 使用这些报告,可以查看以下信息:

  • 设备的总体符合性状态
  • 单个设置的符合性状态
  • 单个策略的符合性状态
  • 向下钻取到单个设备,查看影响设备的特定设置和策略

本文适用于:

  • Android 设备管理员
  • Android 开放源代码 平台 (AOSP)
  • Android Enterprise
  • iOS/iPadOS
  • Linux - Ubuntu Desktop 版本 20.04 LTS 和 22.04 LTS
  • macOS
  • Windows 10 及更高版本

重要

Microsoft Intune已于 2024 年 12 月 31 日终止对有权访问 Google 移动服务 (GMS) 的设备上的 Android 设备管理员管理支持。 在此日期之后,设备注册、技术支持、bug 修复和安全修复将不可用。 如果当前使用设备管理员管理,建议在支持结束之前切换到 Intune 中的另一个 Android 管理选项。 有关详细信息,请参阅 在 GMS 设备上结束对 Android 设备管理员的支持

Intune包括以下用于查看设备符合性详细信息的选项:

  • 设备符合性状态仪表板
  • 基于策略的设备符合性报告
  • 组织和运营合规性报告

设备符合性策略和状态结果的重要概念

查看符合性状态详细信息和报告时,请注意以下可能影响设备符合性状态报告方式的重要详细信息:

  • 设备必须注册到 Intune 才能接收设备符合性策略。

  • 租户范围的 符合性策略设置 包括“ 将未分配符合性策略的设备标记为”设置。 默认配置将未分配符合性策略的设备标记为 合规。 建议配置此设置,以便这些设备标记为 不符合。 然后,可以在 “设备不合规策略组织”报告中识别不符合的设备。

  • 合规性报告显示设备上最后一个用户的符合性状态。 对于面向设备的策略,如果在设备上次符合性检查期间没有用户登录,则系统帐户在报告中显示为用户主体名称。

设备符合性仪表板

可以在 Microsoft Intune 管理中心访问设备符合性仪表板

  1. 转到 “设备>符合性”,然后选择“ 监视 ”选项卡。
  2. 从以下报告选项中进行选择,详细了解租户中的设备符合性状态:

设备合规性状态

设备符合性状态”磁贴显示所有已注册Intune设备的符合性状态。 如果选择此磁贴,Intune显示“不符合设备”报告,该报表也可在管理中心的“设备监视器>节点下找到。

磁贴显示以下每个类别的设备计数:

  • 符合:设备已成功应用一个或多个设备符合性策略设置。

  • 宽限期:设备面向一个或多个设备符合性策略设置,但尚未符合所有设置。 这通常是由于用户未应用合规配置,例如满足密码复杂性要求。 具有此状态的设备不符合要求,但在管理员定义的宽限期内。

详细了解针对不符合设备的操作

  • 未评估:新注册的设备的初始状态。 此状态的其他可能原因包括:

    • 未分配符合性策略且没有触发器来检查符合性的设备。
    • 自上次更新符合性策略以来未签入的设备。
    • 未关联到特定用户的设备,例如:
      • 通过 Apple 设备注册计划购买的 iOS/iPadOS 设备 (DEP) 没有用户相关性。
      • Android 展台或 Android Enterprise 专用设备。
    • 使用设备注册管理器注册的设备 (DEM) 帐户。
  • 不符合:设备无法应用一个或多个设备符合性策略设置,或者用户未遵守策略。

不合规的设备

“没有符合性策略的设备”磁贴显示未分配任何符合性策略的设备计数。 磁贴名称通常在管理中心视图中被截断,因为此磁贴仅显示设备计数:

没有符合性策略的“设备”磁贴的图像。

如果选择此磁贴,Intune显示设备状态视图,其中列出了没有符合性策略的每个设备。 此视图包括设备名称、与设备关联的用户主体名称、设备符合性状态和设备型号

提示

Intune包括一个组织报告,用于标识租户中尚未分配符合性策略的所有设备。 请参阅 没有符合性策略 (组织) 的设备。

基于策略的设备符合性报告

直接创建的每个合规性策略都支持合规性报告。 若要查看单个策略的报告,请在管理中心转到 “设备>符合性”。 然后选择要查看其报表详细信息的策略。

默认情况下,选择策略Intune将打开该策略的“监视”选项卡,其中显示Intune:

  • 设备状态 - 一个简单的条形图,用于标识接收此策略的设备的基本符合性状态。
  • 查看报告 - 可选择的按钮可打开设备状态报告,可在其中查看有关设备符合此策略的更详细信息。
  • 按设置状态 - 可以选择的磁贴,用于打开此策略的按设置状态报告。

选择符合性策略后Intune管理中心的视图。

提示

“属性”选项卡显示有关策略的基本信息,例如名称和平台类型。 它还包含有关该策略中每个设置的配置的信息。 在此选项卡中,可以编辑策略详细信息,例如设置和分配。

设备状态

设备状态摘要是选择符合性策略时提供的默认视图。 此摘要是一个简单的图表,显示报告特定设备符合性状态的设备计数。 水平条根据每个类别中的设备计数按比例划分为可用类别中的颜色。 在前面的屏幕捕获中,所有设备都合规。 因此,表示栏完全为绿色。

在此图表视图中表示设备之前,设备必须使用Intune检查才能接收、处理策略并成功报告其状态。 当设备处于联机状态时,此过程最多可能需要 24 小时。

设备状态图表中的详细信息包括:

  • 符合 - 设备已成功应用一个或多个设备符合性策略设置。
  • 不符合 - 设备配置无法满足一个或多个设备符合性策略设置。
  • 其他 - 设备处于不符合或不符合此策略中的设置的状态,例如 “错误”“未评估”。
  • 总计 - 接收此策略并报告的设备总数。

若要查看更多详细信息,可以选择“ 查看报表 ”按钮。

查看报表

在策略的设备状态视图中选择“查看报告”按钮时,Intune显示该策略的设备状态的更详细视图。

在Intune管理中心选择“查看报告”按钮后,查看详细的设备状态报告。

默认情况下,报表视图将显示以下内容的详细信息,但你可以向视图添加更多详细信息列:

  • 设备名称 - 查看设备和创建组时显示的设备名称。
  • 已登录用户
  • 策略符合性状态 - 此状态标识设备是否符合此策略,但不表示设备符合任何其他符合性策略。 如果设备不符合其他策略,Intune仍可将其视为不符合。
  • 设备 ID - 设备的Intune设备 ID。
  • OS - 设备的操作系统,如 WindowsAndroid
  • 上次联系 - 此设备与Intune服务联系的最后一天和时间。

在此报表视图中:

  • 每列可以按字母顺序排序。
  • 可以配置 筛选器 并指定 搜索 字符串来优化报表结果。 搜索将查找所有显示的列。

例如,在上一个策略报告视图中,当我们输入 一个搜索字符串 st1 时,该字符串同时出现在 “设备名称 ”和 “已登录用户 ”列中。 生成的视图显示包含 st1 的设备,以及与用户关联的每个设备,其用户名中带有 st1

显示设备状态报告视图的筛选搜索结果的屏幕截图。

按设置状态

选择符合性策略后,可以选择“ 按设置状态 ”磁贴查看策略设置的设备符合性状态。 此视图显示策略配置的设置,其中包含可报告的各种状态条件的列。 对于每个设置,每个状态列都显示报告该状态的设备计数。

下图显示了 Android 设备策略的按设置视图。 此策略包括一个设置,已部署到四个设备,所有这些设备都符合该设置。 在此视图中,可以通过选择列或使用搜索进行排序:

在Intune管理中心中选择“查看报表”按钮后,显示详细的按设置状态报告的屏幕截图。

从每设置视图中,可以从任何状态列中选择设备计数,以打开一个视图,其中包含有关该特定设置和状态的更多详细信息。 下图显示了从“合规设备”列中选择了数字 4 的结果”

显示钻取到按设置状态结果的结果的屏幕截图,以查看已报告该状态的设备的详细信息。

在屏幕截图中,我们看到所选设置有四个条目,每个条目都表示不同的设备。 此设备计数与初始按状态视图的初始计数匹配。

我们还可以看到,一个名称以 st1 开头的设备已在“ 设备符合性” 列中标记为 “不符合”。 此结果值得更仔细地研究:

  • “设备符合性”列中的详细信息表示设备的总体符合性状态,不一定表示设备符合此策略或此策略的此设置。
  • 我们可以放心,此设备符合此策略中此设置的配置方式,因为我们正在查看报告为符合此策略设置的设备列表。
  • 此结果表明设备不符合其他策略的要求。

由于此钻取视图不支持更深入的钻取,因此必须使用其他合规性报告来确定哪个策略,并将设备设置为不合规。

具有“错误”状态的符合性设置的设备行为

当符合性策略的设置返回“错误”值时,设备上的符合性状态将最多持续七天不受更改,以便有时间为该设置正确完成符合性计算。 在这七天内,设备的现有符合性状态将继续应用,直到符合性策略设置评估为“符合”或“不符合”。 如果设置在 7 天后仍状态为 “错误 ”,则设备将变为 “不符合”,或者已为符合性策略设置了宽限期,则设备将标记为“ 处于宽限期”。

示例

  • 设备最初标记为“符合”,但随后针对设备的符合性策略之一中的某个设置报告“错误”。 三天后,符合性评估成功完成,该设置现在报告“不符合”。 用户可以在设置状态更改为“错误”后的头三天内继续使用设备访问受条件访问保护的资源,但一旦设置返回“不符合”,设备将标记为“不符合”,此访问权限将被删除,直到设备再次变为“符合”。

  • 设备最初标记为“符合”,但随后针对设备的符合性策略之一中的某个设置报告“错误”。 三天后,符合性评估成功完成,该设置返回“符合”,设备的符合性状态变为“符合”。 用户可以继续访问受条件访问保护的资源,而不会中断。

  • 设备最初标记为“符合”,但随后针对设备的符合性策略之一中的某个设置报告“错误”。 用户可以在七天内访问受条件访问保护的资源,但七天后,符合状态仍为“错误”。 此时,设备会立即变为“不符合”,用户将失去对受保护资源的访问权限,直到设备变为“合规”。

  • 设备最初标记为“符合”,但随后针对设备的符合性策略之一中的某个设置报告“错误”。 包含 “错误 状态”设置的符合性策略设置了宽限期。 用户可以在七天内访问受条件访问保护的资源,但七天后,符合状态仍为“错误”。 此时,设备标记为“ 处于宽限期 ”,用户继续有权访问受保护的资源。 如果设置在管理员指定的宽限期内不符合,则设备将变为 “不符合” ,并且用户将失去对受保护资源的访问权限,直到设备变为 “合规”

  • 设备最初标记为“不符合”,但随后针对设备的符合性策略之一中的某个设置报告“错误”。 三天后,符合性评估成功完成,该设置返回“符合”,设备的符合性状态变为“符合”。 在前三天内阻止用户访问受条件访问保护的资源(此时设置返回“错误”)。 设置返回“符合”并且设备标记为“符合”后,用户就可以开始访问设备上受保护的资源。

组织和运营合规性报告

除了通过单个符合性策略提供的报告外,还可以查看设备合规性报告,这些报告侧重于合规性策略中的设置,这些设置列出了所有不符合要求的设备,并提供有关合规性趋势的见解。

若要查看这些报告,请打开Intune管理中心,转到“报告>设备符合性”,然后选择“报告”选项卡。

有关这些报告的详细信息,请参阅Intune报告一文中的设备符合性报告。

其他合规性报告

除了来自 “符合性状态 ”选项卡和管理中心的“ 报表” 节点的报告外,还提供以下较旧的合规性报告:

  • 不合规的设备
  • 策略不符合

转到 “设备>监视器” 以访问这些报表。 为了更快地查看,请对 “类别” 列进行排序,然后查找具有 “符合性” 标记的报表。

Intune 如何解决策略冲突

多个 Intune 策略应用到设备时可能会发生策略冲突。 如果策略设置重叠,Intune 将使用以下规则解决所有冲突:

  • 如果Intune配置策略的设置与合规性策略之间的冲突,则合规性策略中的设置优先于配置策略中的设置。 即使配置策略中的设置更安全,也会发生此结果。

  • 如果部署了多个符合性策略,Intune 将使用其中最安全的策略。

若要详细了解如何解决策略的冲突,请参阅 符合性和冲突的设备配置策略

后续步骤

符合性策略概述