共用方式為


在 Microsoft Intune 中建立合規性

使用 Intune 來保護貴組織的資源時,裝置合規性原則是一項重要功能。 在 Intune 中,您可以建立裝置必須符合才能視為符合規範的規則和設定,例如最低 OS 版本。 如果裝置不符合規範,您可以使用 條件式存取來封鎖對數據和資源的存取。

您也可以採取不符合規範的動作,例如傳送通知電子郵件給使用者。 如需合規性原則的用途及其使用方式的概觀,請參閱 開始使用裝置合規性

本文內容:

  • 清單 建立相容性原則的必要條件和步驟。
  • 示範如何將原則指派給您的用戶和裝置群組。
  • 描述其他功能,包括範圍標籤以「篩選」您的原則,以及您可以在不符合規範的裝置上採取的步驟。
  • 清單 裝置接收原則更新時的簽入重新整理周期時間。

開始之前

若要使用裝置合規性政策,請確定您:

  • 使用下列訂用帳戶:

    • Intune
    • 如果您使用條件式存取,則需要 Microsoft Entra ID P1 或 P2 版本。 Microsoft Entra 定價會列出您在不同版本中取得的內容。 Intune 合規性不需要 Microsoft Entra ID。
  • 使用支援的平臺:

    • Android 裝置系統管理員
    • Android AOSP
    • Android Enterprise
    • iOS
    • Linux - Ubuntu Desktop,20.04 版 LTS 和 22.04 LTS
    • macOS
    • Windows 10/11

重要事項

Microsoft Intune 於 2024 年 12 月 31 日終止在可存取 Google 行動服務 (GMS) 的裝置上進行 Android 裝置系統管理員管理的支援。 在該日期之後,裝置註冊、技術支援、錯誤修正和安全性修正將無法使用。 如果您目前使用裝置系統管理員管理,建議您在支持結束之前,切換至 Intune 中的另一個 Android 管理選項。 如需詳細資訊,請參閱 在 GMS 裝置上終止對 Android 裝置系統管理員的支援

  • 在 Intune (註冊裝置,以查看合規性狀態)

  • 向一位用戶註冊裝置,或在沒有主要用戶的情況下進行註冊。 單一裝置無法向多位用戶註冊。

除了內建於 Intune 的合規性設定之外,下列平臺還支援將自定義合規性設定新增至合規性政策:

  • Ubuntu Desktop 20.04 版 LTS 和 22.04 LTS
  • Windows 10/11

您必須先準備自定義 JSON 檔案,以定義您想要以自定義合規性為基礎之設定的自定義 JSON 檔案,以及在裝置上執行以偵測 JSON 中定義之設定的腳本,才能新增自定義設定。

如需使用自定義合規性設定的詳細資訊,包括支援的平臺、必要條件,以及如何在建立原則時設定 自定義合規性 類別,請 參閱使用自定義合規性設定

建立原則

  1. 登入 Microsoft Intune 系統管理中心

  2. 移至 [ 裝置>合規性 ],然後選擇 [ 建立原則]

  3. 從下列選項中選取此原則的 [平臺 ]:

    • Android 裝置系統管理員
    • Android (AOSP)
    • Android 企業版
    • iOS/iPadOS
    • Linux - (Ubuntu Desktop、20.04 版 LTS 和 22.04 LTS、RedHat Enterprise Linux 8 或 RedHat Enterprise Linux 9)
    • macOS
    • Windows 8.1 和更新版本
    • Windows 10 和更新版本

    針對 Android Enterprise,您也會選取原則 類型

    • 完全受控、專用和公司擁有的工作配置檔
    • 個人擁有的工作配置檔

    然後選 取 [建立 ] 以開啟組態頁面。

  4. 在 [ 基本] 索引標籤上 ,指定可協助您稍後識別它們的 [名稱 ]。 例如,良好的原則名稱是 將iOS/iPadOS越獄裝置標示為不符合規範

    您也可以選擇指定 [描述]

  5. 在 [ 兼容性設定] 索引標籤 上,展開可用的類別,並設定原則的設定。 下列文章說明每個平臺的可用合規性設定:

  6. 將自訂設定新增至支援平台的原則。

    提示

    這是僅支援下列平台的選擇性步驟:

    • Linux - Ubuntu Desktop,20.04 版 LTS 和 22.04 LTS
    • Windows 10/11 在您可以將自定義設定新增至原則之前,您必須已將偵測腳本上傳至 Intune,並備妥 JSON 檔案,以定義您想要用於合規性的設定。 請參閱 自定義合規性設定

    在 [ 兼容性設定] 頁面上,展開 [ 自定義合規性] 類別:

    針對 Windows

    1. 在 [ 兼容性設定] 頁面上,展開 [ 自定義合規性 ],並將 [自定義合規性 ] 設定為 [需要]
    2. 針對 [選取您的探索腳本],選取 [按兩下以選取],然後指定先前新增至 Microsoft Intune 系統管理中心的腳本。 您必須先上傳此腳本,才能開始建立原則。
    3. 針對 [使用自定義兼容性設定上傳及驗證 JSON 檔案],選取資料夾圖示,然後找出並新增您要與此原則搭配使用的 Windows JSON 檔案。 如需 JSON 的協助,請參閱 建立自定義合規性設定的 JSON

    針對 Linux

    1. 在 [ 兼容性設定] 頁面上,選取 [ 新增設定 ] 以開啟 [ 設定選擇器] 窗格。
    2. 取 [自定義合規性],然後選取 [8]。
    3. 回到 [ 兼容性設定] 頁面,選取 [ 需要自定義兼容性 ] 的切換開關,將它變更為 True
    4. 針對 [選取您的探索腳本],選取 [設定可重複使用的設定],然後指定先前新增至 Microsoft Intune 系統管理中心的腳本。 在您開始建立原則之前,必須先上傳此腳本。
    5. 針對 [選取您的規則檔案],選取資料夾圖示,然後找出並新增您要與此原則搭配使用的Linux JSON 檔案。 如需 JSON 的協助,請參閱 建立自定義合規性設定的 JSON

    您輸入的 JSON 會經過驗證,而且會顯示任何問題。 驗證 JSON 內容之後,JSON 中的規則會以數據表格式顯示。

  7. 在 [不符合 規範的 動作] 索引標籤上,指定要自動套用至不符合此合規性原則之裝置的一系列動作。

    您可以新增多個動作,並設定某些動作的排程和詳細數據。 例如,您可能會將預設動作 標記裝置不符合規範 的排程變更為在一天后發生。 然後,您可以新增動作,以在裝置不符合規範時傳送電子郵件給使用者,以警告他們該狀態。 您也可以新增鎖定或淘汰保持不相容裝置的動作。

    如需您可以設定之動作的相關信息,請參閱 新增不符合規範裝置的動作,包括如何建立通知電子郵件以傳送給您的使用者。

    另一個範例包括使用您至少將一個位置新增至合規性政策的位置。 在此情況下,當您選取至少一個位置時,會套用不符合規範的默認動作。 如果裝置未連線到任何選取的位置,則會被視為不符合規範。 您可以設定排程,為使用者提供寬限期,例如一天。

  8. 在 [ 範圍卷標] 索引 標籤上,選取標籤以協助篩選特定群組的原則,例如 US-NC IT TeamJohnGlenn_ITDepartment。 新增設定之後,您也可以將範圍標籤新增至合規性原則。

    如需使用範圍標籤的相關信息,請 參閱使用範圍標籤來篩選原則

  9. 在 [ 指派] 索引標籤 上,將原則指派給您的群組。

取 [+ 選取要包含的群組] ,然後將原則指派給一或多個群組。 當您在下一個步驟之後儲存原則時,原則會套用至這些群組。

Linux 的原則不支援以用戶為基礎的指派,而且只能指派給裝置群組。

  1. 在 [ 檢閱 + 建立] 索引卷標上,檢閱設定, 然後選取 [準備好儲存合規性政策時建立]。

    當使用者或裝置使用 Intune 簽入時,系統會評估您原則的目標使用者或裝置是否符合規範。

重新整理週期時間

Intune 使用不同的重新整理週期來檢查合規性原則的更新。 如果裝置最近註冊,則調查執行的頻率會更高。 原則和設定檔重新整理週期 列出了估計的重新整理時間。

用戶隨時都可以開啟 公司入口網站 應用程式,並同步裝置以立即檢查原則更新。

指派 InGracePeriod 狀態

合規性原則的 InGracePeriod 狀態是一個值。 此值取決於裝置寬限期的組合,以及該合規性原則的裝置實際狀態。

具體來說,如果裝置具有指派合規性原則的不符合規範狀態,以及:

  • 裝置沒有指派寬限期,則合規性政策指派的值為 NonCompliant
  • 裝置的寬限期已過期,則合規性政策指派的值為 NonCompliant
  • 裝置具有未來的寬限期,則合規性政策指派的值為 InGracePeriod

下表摘要說明下列幾點:

實際合規性狀態 指派寬限期的值 有效的合規性狀態
不符合規範 未指派寬限期 不符合規範
不符合規範 昨天的日期 不符合規範
不符合規範 明天的日期 InGracePeriod

如需監視裝置合規性原則的詳細資訊,請參閱監視 Intune 裝置合規性原則

指派產生的合規性政策狀態

如果裝置有多個合規性政策,且裝置對於兩個或多個指派的合規性原則有不同的合規性狀態,則會指派單一產生的合規性狀態。 此指派是以指派給每個合規性狀態的概念性嚴重性層級為基礎。 每個合規性狀態都有下列嚴重性層級:

狀態 嚴重性
Unknown 1
NotApplicable 2
Compliant 3
InGracePeriod 4
不符合規範 5
錯誤 6

當裝置有多個合規性原則時,則會將所有原則的最高嚴重性層級指派給該裝置。

例如,裝置有三個指派的合規性原則:一個未知狀態 (嚴重性 = 1) 、一個相容狀態 (嚴重性 = 3) ,另一個 InGracePeriod 狀態 (嚴重性 = 4) 。 InGracePeriod 狀態具有最高嚴重性層級。 因此,這三個原則都有 InGracePeriod 合規性狀態。

後續步驟

監視您的原則