通过符合性策略为使用 Intune 管理的设备设置规则

Microsoft Intune符合性策略是用于评估托管设备的配置的规则和条件集。 这些策略可帮助你从不符合这些配置要求的设备保护组织数据和资源。 托管设备必须满足策略中设置的条件,Intune被视为合规。

如果还将策略的符合性结果与Microsoft Entra条件访问集成,则可以从额外的安全层中受益。 条件访问可以根据设备的当前符合性状态强制实施Microsoft Entra访问控制,以帮助确保仅允许符合条件的设备访问公司资源。

Intune合规性策略分为两个方面:

  • 符合性策略设置 是租户范围的配置,其作用类似于每个设备接收的内置合规性策略。 合规性策略设置确定合规性策略在Intune环境中的工作方式,包括如何处理未分配显式设备符合性策略的设备。

  • 设备符合性策略 是部署到用户组或设备组的特定于平台的离散规则和设置集。 设备评估策略中的规则以报告设备符合性状态。 不符合状态可能会导致一个或多个不符合的操作。 Microsoft Entra条件访问策略还可以使用该状态来阻止从该设备访问组织资源。

合规性策略设置

符合性策略设置是租户范围的设置,用于确定 Intune 的符合性服务如何与设备交互。 这些设置不同于在设备符合性策略中配置的设置。

若要管理符合性策略设置,请登录到Microsoft Intune管理中心,然后转到“终结点安全性>”“设备符合性>策略设置”。

符合性策略设置包括以下设置:

  • 将未分配到符合性策略的设备标记为

    此设置确定Intune如何处理未分配设备符合性策略的设备。 此设置具有两个值:

    • 符合默认值):此安全功能已关闭。 未收到设备符合性策略的设备被视为“符合”。
    • 不符合:此安全功能已启用。 没有设备符合性策略的设备被视为不符合要求。

    如果将条件访问与设备符合性策略一起使用,请将此设置更改为 “不符合 ”,以确保只有确认为合规的设备才能访问资源。

    如果最终用户因未分配有策略而不符合要求,公司门户应用会显示“未分配符合性策略”。

  • 符合性状态有效期(天)

    指定设备必须成功报告其接收的所有符合性策略的时间段。 如果设备未能在有效期结束之前报告策略的符合性状态,则设备将被视为“不符合”。

    默认情况下,此时间段设置为 30 天。 你可将时间段配置为 1 到 120 天。

    可以查看有关设备符合有效期设置的详细信息。 登录到Microsoft Intune管理中心,然后转到“设备>监视器>设置符合性”。 此设置在“设置”列中的名称为“处于活动状态”。 要详细了解此视图及相关的符合性状态视图,请参阅监视设备符合性

设备符合性策略

Intune设备符合性策略是部署到用户组或设备组的特定于平台的离散规则和设置集。 使用符合性策略来:

  • 定义用户和托管设备符合要求所必须满足的规则和设置。 规则的示例包括要求设备运行最低操作系统版本、不越狱或获得 root 权限,以及处于或低于与 Intune 集成的威胁管理软件所指定的威胁级别

  • 支持适用于不符合该策略符合性规则的设备的非 符合性操作 。 针对不合规的操作示例包括将设备标记为不符合、远程锁定,以及发送设备用户有关设备状态的电子邮件,以便他们能够修复设备状态。

使用设备符合性策略时:

  • 某些符合性策略配置可以覆盖你也通过设备配置策略管理的设置的配置。 若要详细了解如何解决策略的冲突,请参阅 符合性和冲突的设备配置策略

  • 策略可以部署到用户组中的用户或设备组中的设备。 将符合性策略部署给用户后,会检查该用户的所有设备是否符合要求。 在此方案中使用设备组有助于生成符合性报告。

  • 如果使用Microsoft Entra条件访问,条件访问策略可以使用设备符合性结果来阻止从不符合的设备访问资源。

  • 与其他Intune策略一样,设备的合规性策略评估取决于设备何时使用Intune签入,以及策略和配置文件刷新周期

可在设备符合性策略中指定的可用设置取决于创建策略时选择的平台类型。 不同的设备平台支持不同的设置,每种平台类型都需要单独的策略。

以下主题链接到专门介绍设备配置策略各个方面的文章。

  • 针对不符合性的操作 - 默认情况下,每个设备符合性策略都包含在设备不符合策略规则时将设备标记为不合规的操作。 每个策略都可以基于设备平台支持更多操作。 额外操作的示例包括:

    • 向用户和组发送电子邮件警报,告知关于不合规设备的详细信息。 可将策略配置为在标记为“不符合”时立即发送电子邮件,然后定期发送,直到设备符合要求为止。
    • 将不符合状态达一段时间的设备远程锁定
    • 在设备的不符合状态达一段时间后停用设备。 此操作将符合条件的设备标记为已准备好停用。 然后,管理员可以查看标记为停用的设备列表,并且必须执行显式操作以停用一个或多个设备。 停用设备将从 Intune 管理中删除该设备并从设备中删除所有公司数据。 有关此操作详细信息,请参阅可用于处理不符合性的操作
  • 创建符合性策略 – 使用链接文章中的信息,可以查看先决条件、完成配置规则的选项、指定不符合操作以及将策略分配给组。 本文还包括有关策略刷新时间的信息。

    请查看不同设备平台的设备符合性设置:

  • 自定义符合性设置 - 使用自定义合规性设置,可以扩展Intune的内置设备符合性选项。 通过自定义设置,可以灵活地根据设备上可用的设置来符合性,而无需等待Intune添加这些设置。

    可以将自定义符合性设置用于以下平台:

    • Linux - Ubuntu 桌面版本 20.04 LTS 和 22.04 LTS
    • Windows 10
    • Windows 11

监视符合性状态

Intune 有一个设备符合性仪表板,你可用它来监视设备的符合性状态,并深入了解策略和设备以获取详细信息。 要详细了解此仪表板,请参阅监视设备符合性

与条件访问集成

使用条件访问时,可将条件访问策略配置为使用设备符合性策略的结果来确定哪些设备可访问组织资源。 此访问控制是对设备符合性策略中包含的针对非符合性的操作的补充,并与之分离。

当设备在 Intune注册时,它会在 Microsoft Entra ID 中注册。 设备的符合性状态将报告给Microsoft Entra ID。 如果条件访问策略将访问控制设置为“要求设备被标记为符合”,则条件访问将使用该符合性状态来确定是授予还是阻止对电子邮件和其他组织资源的访问

如果将设备符合性状态与条件访问策略一起使用,请查看租户如何配置未分配合规性策略选项(在合规性策略设置下管理)的“标记设备”。

有关将条件访问与设备符合性策略配合使用的详细信息,请参阅 基于设备的条件访问

在Microsoft Entra文档中详细了解条件访问:

不同平台上的不符合性和条件访问参考

下表说明了将符合性策略与条件访问策略一起使用时如何管理非符合性设置。

  • 已修正:设备操作系统强制合规性。 例如,强制用户设置 PIN。

  • 已隔离:设备操作系统不会强制执行符合性。 例如,Android 和 Android Enterprise 设备不强制用户加密设备。 设备不符合时,系统将进行以下操作:

    • 如果对用户应用了条件访问策略,设备将被阻止。
    • 公司门户应用会就任何符合性问题通知用户。

策略设置 平台
允许的发行版 Linux (仅) - 已隔离
设备加密 - Android 4.0 及更高版本:已隔离
- Samsung Knox Standard 4.0 及更高版本:已隔离
- Android Enterprise:已隔离

- iOS 8.0 及更高版本:已修正(通过设置 PIN)
- macOS 10.11 及更高版本:已隔离

- Linux:已隔离

- Windows 10/11:已隔离
电子邮件配置文件 - Android 4.0 及更高版本:不适用
- Samsung Knox Standard 4.0 及更高版本:不适用
- Android Enterprise:不适用

- iOS 8.0 及更高版本:已隔离
- macOS 10.11 及更高版本:已隔离

- Linux:不适用

- Windows 10/11:不适用
已越狱或取得 root 权限的设备 - Android 4.0 及更高版本:已隔离(不是设置)
- Samsung Knox Standard 4.0 及更高版本:已隔离(不是设置)
- Android Enterprise::已隔离(不是设置)

- iOS 8.0 及更高版本:已隔离(不是设置)
- macOS 10.11 及更高版本:不适用

- Linux:不适用

- Windows 10/11:不适用
最高操作系统版本 - Android 4.0 及更高版本:已隔离
- Samsung Knox Standard 4.0 及更高版本:已隔离
- Android Enterprise:已隔离

- iOS 8.0 及更高版本:已隔离
- macOS 10.11 及更高版本:已隔离

- Linux:请参阅 允许的发行版

- Windows 10/11:已隔离
最低操作系统版本 - Android 4.0 及更高版本:已隔离
- Samsung Knox Standard 4.0 及更高版本:已隔离
- Android Enterprise:已隔离

- iOS 8.0 及更高版本:已隔离
- macOS 10.11 及更高版本:已隔离

- Linux:请参阅 允许的发行版

- Windows 10/11:已隔离
PIN 或密码配置 - Android 4.0 及更高版本:已隔离
- Samsung Knox Standard 4.0 及更高版本:已隔离
- Android Enterprise:已隔离

- iOS 8.0 及更高版本:已修正
- macOS 10.11 及更高版本:已修正

- Linux:已隔离

- Windows 10/11:修正
Windows 运行状况证明 - Android 4.0 及更高版本:不适用
- Samsung Knox Standard 4.0 及更高版本:不适用
- Android Enterprise:不适用

- iOS 8.0 及更高版本:不适用
- macOS 10.11 及更高版本:不适用

- Linux:不适用

- Windows 10/11:已隔离

注意

当用户登录到应用且设备在 30 天或更长 (未成功签入Intune或设备因) 丢失联系人合规性原因而不符合时,公司门户应用将进入注册修正流。 在此流中,我们尝试再次启动检查。 如果仍不成功,我们将发出停用命令,以允许用户手动重新注册设备。


后续步骤