Udostępnij za pośrednictwem

Tworzenie zasad zgodności w Microsoft Intune

  • Artykuł

Zasady zgodności urządzeń są kluczową funkcją w przypadku używania Intune do ochrony zasobów organizacji. W Intune można utworzyć reguły i ustawienia, które urządzenia muszą spełniać, aby były uważane za zgodne, na przykład minimalną wersję systemu operacyjnego. Jeśli urządzenie nie jest zgodne, możesz zablokować dostęp do danych i zasobów przy użyciu dostępu warunkowego.

Możesz również podjąć działania w przypadku niezgodności, takie jak wysyłanie wiadomości e-mail z powiadomieniem do użytkownika. Aby zapoznać się z omówieniem działania zasad zgodności i sposobu ich użycia, zobacz Wprowadzenie do zgodności urządzeń.

Ten artykuł:

  • Listy wymagania wstępne i kroki tworzenia zasad zgodności.
  • Przedstawia sposób przypisywania zasad do grup użytkowników i urządzeń.
  • Opisuje inne funkcje, w tym tagi zakresu do "filtrowania" zasad oraz kroki, które można wykonać na urządzeniach, które nie są zgodne.
  • Listy czasy cyklu odświeżania ewidencjonowania, gdy urządzenia otrzymują aktualizacje zasad.

Przed rozpoczęciem

Aby korzystać z zasad zgodności urządzeń, upewnij się, że:

  • Użyj następujących subskrypcji:

    • Intune
    • Jeśli używasz dostępu warunkowego, musisz Tożsamość Microsoft Entra wersji P1 lub P2. Microsoft Entra cennik zawiera informacje o różnych wersjach. Intune zgodność nie wymaga Tożsamość Microsoft Entra.

  • Użyj obsługiwanej platformy:

    • Administratora urządzenia z systemem Android
    • Android AOSP
    • Android Enterprise
    • iOS
    • Linux — Ubuntu Desktop, wersja 20.04 LTS i 22.04 LTS
    • macOS
    • Windows 10/11

Ważna

Zarządzanie administratorem urządzeń z systemem Android jest przestarzałe i nie jest już dostępne dla urządzeń z dostępem do usług Google Mobile Services (GMS). Jeśli obecnie używasz zarządzania administratorem urządzeń, zalecamy przełączenie się na inną opcję zarządzania systemem Android. Dokumentacja pomocy i pomocy pozostaje dostępna dla niektórych urządzeń bez systemu GMS z systemem Android 15 lub starszym. Aby uzyskać więcej informacji, zobacz Zakończ obsługę administratora urządzeń z systemem Android na urządzeniach GMS.

  • Rejestrowanie urządzeń w Intune (wymagane do wyświetlenia stanu zgodności)

  • Rejestrowanie urządzeń dla jednego użytkownika lub rejestrowanie bez użytkownika podstawowego. Nie można zarejestrować pojedynczych urządzeń dla wielu użytkowników.

Oprócz ustawień zgodności wbudowanych w Intune następujące platformy obsługują dodawanie niestandardowych ustawień zgodności do zasad zgodności:

  • Ubuntu Desktop, wersja 20.04 LTS i 22.04 LTS
  • Windows 10/11

Przed dodaniem ustawień niestandardowych należy przygotować niestandardowy plik JSON definiujący ustawienia, na których chcesz oprzeć zgodność niestandardową, oraz skrypt uruchamiany na urządzeniach w celu wykrycia ustawień zdefiniowanych w formacie JSON.

Aby uzyskać więcej informacji na temat korzystania z niestandardowych ustawień zgodności, w tym obsługiwanych platform, wymagań wstępnych i sposobu konfigurowania kategorii Zgodność niestandardowa podczas tworzenia zasad, zobacz Używanie niestandardowych ustawień zgodności.

Tworzenie zasad

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

  2. Przejdź do pozycji Urządzenia.

  3. W obszarze Zarządzanie urządzeniami wybierz pozycję Zgodność. Następnie wybierz pozycję Utwórz zasady.

  4. Wybierz platformę dla tych zasad z następujących opcji:

    • Administrator urządzenia z systemem Android
    • Android (AOSP)
    • Android Enterprise
    • iOS/iPadOS
    • Linux — (Ubuntu Desktop, wersja 20.04 LTS i 22.04 LTS, RedHat Enterprise Linux 8 lub RedHat Enterprise Linux 9)
    • macOS
    • Windows 10 lub nowszy
    • System Windows 8.1 lub nowszy

    W przypadku systemu Android Enterprise możesz również wybrać typ profilu. Dostępne opcje:

    • W pełni zarządzany, dedykowany i należący do firmy profil służbowy
    • Profil służbowy należący do użytkownika

    Następnie wybierz pozycję Utwórz , aby otworzyć stronę konfiguracji.

  5. Na karcie Podstawy wprowadź nazwę , która ułatwia późniejsze zidentyfikowanie tych zasad. Na przykład dobrą nazwą zasad jest oznaczenie urządzeń ze zdjętymi zabezpieczeniami systemu iOS/iPadOS jako niezgodnych.

    Opcjonalnie wprowadź opis zasad.

  6. Na karcie Ustawienia zgodności rozwiń dostępne kategorie i skonfiguruj ustawienia dla zasad. W poniższych artykułach opisano dostępne ustawienia zgodności dla każdej platformy:

  7. Opcjonalnie można dodać ustawienia niestandardowe dla obsługiwanych platform.

    Porada

    Jest to opcjonalny krok obsługiwany na następujących platformach:

    • Linux — Ubuntu Desktop, wersja 20.04 LTS i 22.04 LTS
    • Windows 10 lub nowszy
      Aby można było dodać ustawienia niestandardowe do zasad, musisz przekazać skrypt wykrywania do Intune i przygotować plik JSON definiujący ustawienia, których chcesz użyć do zapewnienia zgodności. Zobacz Niestandardowe ustawienia zgodności.

    Na stronie Ustawienia zgodności rozwiń kategorię Zgodność niestandardowa :

    W przypadku systemu Windows:

    1. Na stronie Ustawienia zgodności rozwiń węzeł Zgodność niestandardowa i ustaw wartość Zgodność niestandardowa na Wymagaj.
    2. W obszarze Wybierz skrypt odnajdywania wybierz pozycję Kliknij, aby wybrać, a następnie wprowadź nazwę skryptu, który został wcześniej dodany do centrum administracyjnego Microsoft Intune. Ten skrypt musi zostać przekazany przed rozpoczęciem tworzenia zasad. Wybierz pozycję Wybierz , aby przejść do następnego kroku.
    3. W obszarze Przekaż i zweryfikuj plik JSON przy użyciu niestandardowych ustawień zgodności wybierz ikonę folderu, a następnie znajdź i dodaj plik JSON dla systemu Windows, którego chcesz użyć z tą zasadą. Aby uzyskać pomoc dotyczącą kodu JSON, zobacz Tworzenie kodu JSON dla niestandardowych ustawień zgodności.

    W przypadku systemu Linux:

    1. Na stronie Ustawienia zgodności wybierz pozycję Dodaj ustawienia , aby otworzyć selektor Ustawień.
    2. Wybierz pozycję Zgodność niestandardowa. Następnie zamknij selektor ustawień.
    3. Przełącz opcję Wymagaj zgodności niestandardowej na wartość True. T
    4. W obszarze Wybierz skrypt odnajdywania wybierz pozycję Wybierz skrypt. Następnie wybierz skrypt, który został wcześniej dodany do centrum administracyjnego Microsoft Intune. Ten skrypt musi zostać przekazany przed rozpoczęciem tworzenia zasad.
    5. W obszarze Wybierz plik reguł wybierz ikonę folderu, a następnie znajdź i dodaj plik JSON dla systemu Linux, którego chcesz użyć z tą zasadą. Aby uzyskać pomoc dotyczącą kodu JSON, zobacz Tworzenie kodu JSON dla niestandardowych ustawień zgodności.

    Poczekaj, Intune weryfikuje kod JSON. Problemy, które należy rozwiązać, pojawiają się na ekranie. Po walidacji zawartości JSON reguły w formacie JSON są wyświetlane w formacie tabeli.

  8. Na karcie Akcje dotyczące niezgodności wybierz sekwencję akcji, które mają być automatycznie stosowane do urządzeń, które nie spełniają tych zasad zgodności.

    Możesz dodać wiele akcji oraz skonfigurować harmonogramy i szczegóły niektórych akcji. Możesz na przykład zmienić harmonogram domyślnej akcji Oznacz urządzenie jako niezgodne po jednym dniu. Następnie możesz dodać akcję wysyłania wiadomości e-mail do użytkownika, gdy urządzenie nie jest zgodne, aby ostrzec go o tym stanie. Można również dodać akcje, które blokują lub wycofają urządzenia, które pozostają niezgodne.

    Aby uzyskać informacje o akcjach, które można skonfigurować, zobacz Dodawanie akcji dla niezgodnych urządzeń, w tym sposób tworzenia wiadomości e-mail z powiadomieniami do wysyłania do użytkowników.

    Inny przykład obejmuje użycie lokalizacji, w których do zasad zgodności dodaje się co najmniej jedną lokalizację. W takim przypadku domyślna akcja niezgodności ma zastosowanie po wybraniu co najmniej jednej lokalizacji. Jeśli urządzenie nie jest połączone z żadną z wybranych lokalizacji, jest uznawane za niezgodne. Możesz skonfigurować harmonogram, aby zapewnić użytkownikom okres prolongaty, na przykład jeden dzień.

  9. Na karcie Tagi zakresu wybierz tagi, aby ułatwić filtrowanie zasad do określonych grup, takich jak US-NC IT Team lub JohnGlenn_ITDepartment. Po dodaniu ustawień możesz również dodać tag zakresu do zasad zgodności.

    Aby uzyskać informacje na temat korzystania z tagów zakresu, zobacz Używanie tagów zakresu do filtrowania zasad.

  10. Na karcie Przypisania przypisz zasady do grup.

Wybierz pozycję Dodaj grupy, a następnie przypisz zasady do co najmniej jednej grupy. Zasady będą stosowane do tych grup po zapisaniu zasad po następnym kroku.

Zasady dla systemu Linux nie obsługują przypisań opartych na użytkownikach i mogą być przypisywane tylko do grup urządzeń.

  1. Na karcie Przeglądanie i tworzenie przejrzyj ustawienia i wybierz pozycję Utwórz , gdy wszystko będzie gotowe do zapisania zasad zgodności.

    Użytkownicy lub urządzenia objęte zasadami są oceniani pod kątem zgodności podczas ewidencjonowania za pomocą Intune.

Czasy cyklu odświeżania

Intune używa różnych cykli odświeżania do sprawdzania dostępności aktualizacji zasad zgodności. Jeśli urządzenie zostało niedawno zarejestrowane, ewidencjonowanie jest uruchamiane częściej. Cykle odświeżania zasad i profilów zawierają listę szacowanych czasów odświeżania.

W dowolnym momencie użytkownicy mogą otworzyć aplikację Portal firmy i zsynchronizować urządzenie, aby natychmiast sprawdzić aktualizacje zasad.

Przypisywanie stanu InGracePeriod

Stan InGracePeriod dla zasad zgodności jest wartością. Ta wartość jest określana przez kombinację okresu prolongaty urządzenia i rzeczywistego stanu urządzenia dla tych zasad zgodności.

W szczególności, jeśli urządzenie ma stan Niezgodność dla przypisanych zasad zgodności i:

  • Urządzenie nie ma przypisanego okresu prolongaty, a następnie przypisana wartość zasad zgodności jest niezgodna
  • Urządzenie ma wygasły okres prolongaty, a przypisana wartość zasad zgodności to NonCompliant
  • Urządzenie ma okres prolongaty, który jest w przyszłości, a następnie przypisaną wartością zasad zgodności jest InGracePeriod

Poniższa tabela zawiera podsumowanie następujących punktów:

Rzeczywisty stan zgodności Wartość przypisanego okresu prolongaty Efektywny stan zgodności
Niezgodnych Nie przypisano okresu prolongaty Niezgodnych
Niezgodnych Data wczorajsza Niezgodnych
Niezgodnych Data jutrzejsza InGracePeriod

Aby uzyskać więcej informacji na temat monitorowania zasad zgodności urządzeń, zobacz Monitorowanie zasad zgodności urządzeń Intune.

Przypisywanie wynikowego stanu zasad zgodności

Jeśli urządzenie ma wiele zasad zgodności, a urządzenie ma różne stany zgodności dla co najmniej dwóch przypisanych zasad zgodności, zostanie przypisany jeden wynikowy stan zgodności. To przypisanie jest oparte na poziomie ważności koncepcyjnej przypisanym do każdego stanu zgodności. Każdy stan zgodności ma następujący poziom ważności:

Stan Waga
Unknown 1
NotApplicable 2
Zgodny 3
InGracePeriod 4
Niezgodnych 5
Error 6

Jeśli urządzenie ma wiele zasad zgodności, do tego urządzenia jest przypisywany najwyższy poziom ważności wszystkich zasad.

Na przykład urządzenie ma przypisane trzy zasady zgodności: jeden nieznany stan (ważność = 1), jeden stan zgodności (ważność = 3) i jeden stan InGracePeriod (ważność = 4). Stan InGracePeriod ma najwyższy poziom ważności. Dlatego wszystkie trzy zasady mają stan zgodności InGracePeriod.

Następne kroki

Monitorowanie zasad.