在 Microsoft Intune 中建立合規性
使用 Intune 來保護貴組織的資源時,裝置合規性原則是一項重要功能。 在 Intune 中,您可以建立裝置必須符合才能視為符合規範的規則和設定,例如最低 OS 版本。 如果裝置不符合規範,您可以使用 條件式存取來封鎖對數據和資源的存取。
您也可以採取不符合規範的動作,例如傳送通知電子郵件給使用者。 如需合規性原則的用途及其使用方式的概觀,請參閱 開始使用裝置合規性。
本文內容:
- 清單 建立相容性原則的必要條件和步驟。
- 示範如何將原則指派給您的用戶和裝置群組。
- 描述其他功能,包括範圍標籤以「篩選」您的原則,以及您可以在不符合規範的裝置上採取的步驟。
- 清單 裝置接收原則更新時的簽入重新整理周期時間。
開始之前
若要使用裝置合規性政策,請確定您:
使用下列訂用帳戶:
- Intune
- 如果您使用條件式存取,則需要 Microsoft Entra ID P1 或 P2 版本。 Microsoft Entra 定價會列出您在不同版本中取得的內容。 Intune 合規性不需要 Microsoft Entra ID。
使用支援的平臺:
- Android 裝置系統管理員
- Android AOSP
- Android Enterprise
- iOS
- Linux - Ubuntu Desktop,20.04 版 LTS 和 22.04 LTS
- macOS
- Windows 10/11
重要事項
Microsoft Intune 於 2024 年 12 月 31 日終止在可存取 Google 行動服務 (GMS) 的裝置上進行 Android 裝置系統管理員管理的支援。 在該日期之後,裝置註冊、技術支援、錯誤修正和安全性修正將無法使用。 如果您目前使用裝置系統管理員管理,建議您在支持結束之前,切換至 Intune 中的另一個 Android 管理選項。 如需詳細資訊,請參閱 在 GMS 裝置上終止對 Android 裝置系統管理員的支援。
在 Intune (註冊裝置,以查看合規性狀態)
向一位用戶註冊裝置,或在沒有主要用戶的情況下進行註冊。 單一裝置無法向多位用戶註冊。
除了內建於 Intune 的合規性設定之外,下列平臺還支援將自定義合規性設定新增至合規性政策:
- Ubuntu Desktop 20.04 版 LTS 和 22.04 LTS
- Windows 10/11
您必須先準備自定義 JSON 檔案,以定義您想要以自定義合規性為基礎之設定的自定義 JSON 檔案,以及在裝置上執行以偵測 JSON 中定義之設定的腳本,才能新增自定義設定。
如需使用自定義合規性設定的詳細資訊,包括支援的平臺、必要條件,以及如何在建立原則時設定 自定義合規性 類別,請 參閱使用自定義合規性設定。
建立原則
移至 [ 裝置>合規性 ],然後選擇 [ 建立原則]。
從下列選項中選取此原則的 [平臺 ]:
- Android 裝置系統管理員
- Android (AOSP)
- Android 企業版
- iOS/iPadOS
- Linux - (Ubuntu Desktop、20.04 版 LTS 和 22.04 LTS、RedHat Enterprise Linux 8 或 RedHat Enterprise Linux 9)
- macOS
- Windows 8.1 和更新版本
- Windows 10 和更新版本
針對 Android Enterprise,您也會選取原則 類型:
- 完全受控、專用和公司擁有的工作配置檔
- 個人擁有的工作配置檔
然後選 取 [建立 ] 以開啟組態頁面。
在 [ 基本] 索引標籤上 ,指定可協助您稍後識別它們的 [名稱 ]。 例如,良好的原則名稱是 將iOS/iPadOS越獄裝置標示為不符合規範。
您也可以選擇指定 [描述]。
在 [ 兼容性設定] 索引標籤 上,展開可用的類別,並設定原則的設定。 下列文章說明每個平臺的可用合規性設定:
將自訂設定新增至支援平台的原則。
提示
這是僅支援下列平台的選擇性步驟:
- Linux - Ubuntu Desktop,20.04 版 LTS 和 22.04 LTS
- Windows 10/11 在您可以將自定義設定新增至原則之前,您必須已將偵測腳本上傳至 Intune,並備妥 JSON 檔案,以定義您想要用於合規性的設定。 請參閱 自定義合規性設定。
在 [ 兼容性設定] 頁面上,展開 [ 自定義合規性] 類別:
針對 Windows:
- 在 [ 兼容性設定] 頁面上,展開 [ 自定義合規性 ],並將 [自定義合規性 ] 設定為 [需要]。
- 針對 [選取您的探索腳本],選取 [按兩下以選取],然後指定先前新增至 Microsoft Intune 系統管理中心的腳本。 您必須先上傳此腳本,才能開始建立原則。
- 針對 [使用自定義兼容性設定上傳及驗證 JSON 檔案],選取資料夾圖示,然後找出並新增您要與此原則搭配使用的 Windows JSON 檔案。 如需 JSON 的協助,請參閱 建立自定義合規性設定的 JSON。
針對 Linux:
- 在 [ 兼容性設定] 頁面上,選取 [ 新增設定 ] 以開啟 [ 設定選擇器] 窗格。
- 選 取 [自定義合規性],然後選取 [8]。
- 回到 [ 兼容性設定] 頁面,選取 [ 需要自定義兼容性 ] 的切換開關,將它變更為 True。
- 針對 [選取您的探索腳本],選取 [設定可重複使用的設定],然後指定先前新增至 Microsoft Intune 系統管理中心的腳本。 在您開始建立原則之前,必須先上傳此腳本。
- 針對 [選取您的規則檔案],選取資料夾圖示,然後找出並新增您要與此原則搭配使用的Linux JSON 檔案。 如需 JSON 的協助,請參閱 建立自定義合規性設定的 JSON。
您輸入的 JSON 會經過驗證,而且會顯示任何問題。 驗證 JSON 內容之後,JSON 中的規則會以數據表格式顯示。
在 [不符合 規範的 動作] 索引標籤上,指定要自動套用至不符合此合規性原則之裝置的一系列動作。
您可以新增多個動作,並設定某些動作的排程和詳細數據。 例如,您可能會將預設動作 標記裝置不符合規範 的排程變更為在一天后發生。 然後,您可以新增動作,以在裝置不符合規範時傳送電子郵件給使用者,以警告他們該狀態。 您也可以新增鎖定或淘汰保持不相容裝置的動作。
如需您可以設定之動作的相關信息,請參閱 新增不符合規範裝置的動作,包括如何建立通知電子郵件以傳送給您的使用者。
另一個範例包括使用您至少將一個位置新增至合規性政策的位置。 在此情況下,當您選取至少一個位置時,會套用不符合規範的默認動作。 如果裝置未連線到任何選取的位置,則會被視為不符合規範。 您可以設定排程,為使用者提供寬限期,例如一天。
在 [ 範圍卷標] 索引 標籤上,選取標籤以協助篩選特定群組的原則,例如
US-NC IT Team
或JohnGlenn_ITDepartment
。 新增設定之後,您也可以將範圍標籤新增至合規性原則。如需使用範圍標籤的相關信息,請 參閱使用範圍標籤來篩選原則。
在 [ 指派] 索引標籤 上,將原則指派給您的群組。
選 取 [+ 選取要包含的群組] ,然後將原則指派給一或多個群組。 當您在下一個步驟之後儲存原則時,原則會套用至這些群組。
Linux 的原則不支援以用戶為基礎的指派,而且只能指派給裝置群組。
在 [ 檢閱 + 建立] 索引卷標上,檢閱設定, 然後選取 [準備好儲存合規性政策時建立]。
當使用者或裝置使用 Intune 簽入時,系統會評估您原則的目標使用者或裝置是否符合規範。
重新整理週期時間
Intune 使用不同的重新整理週期來檢查合規性原則的更新。 如果裝置最近註冊,則調查執行的頻率會更高。 原則和設定檔重新整理週期 列出了估計的重新整理時間。
用戶隨時都可以開啟 公司入口網站 應用程式,並同步裝置以立即檢查原則更新。
指派 InGracePeriod 狀態
合規性原則的 InGracePeriod 狀態是一個值。 此值取決於裝置寬限期的組合,以及該合規性原則的裝置實際狀態。
具體來說,如果裝置具有指派合規性原則的不符合規範狀態,以及:
- 裝置沒有指派寬限期,則合規性政策指派的值為 NonCompliant
- 裝置的寬限期已過期,則合規性政策指派的值為 NonCompliant
- 裝置具有未來的寬限期,則合規性政策指派的值為 InGracePeriod
下表摘要說明下列幾點:
實際合規性狀態 | 指派寬限期的值 | 有效的合規性狀態 |
---|---|---|
不符合規範 | 未指派寬限期 | 不符合規範 |
不符合規範 | 昨天的日期 | 不符合規範 |
不符合規範 | 明天的日期 | InGracePeriod |
如需監視裝置合規性原則的詳細資訊,請參閱監視 Intune 裝置合規性原則。
指派產生的合規性政策狀態
如果裝置有多個合規性政策,且裝置對於兩個或多個指派的合規性原則有不同的合規性狀態,則會指派單一產生的合規性狀態。 此指派是以指派給每個合規性狀態的概念性嚴重性層級為基礎。 每個合規性狀態都有下列嚴重性層級:
狀態 | 嚴重性 |
---|---|
Unknown | 1 |
NotApplicable | 2 |
Compliant | 3 |
InGracePeriod | 4 |
不符合規範 | 5 |
錯誤 | 6 |
當裝置有多個合規性原則時,則會將所有原則的最高嚴重性層級指派給該裝置。
例如,裝置有三個指派的合規性原則:一個未知狀態 (嚴重性 = 1) 、一個相容狀態 (嚴重性 = 3) ,另一個 InGracePeriod 狀態 (嚴重性 = 4) 。 InGracePeriod 狀態具有最高嚴重性層級。 因此,這三個原則都有 InGracePeriod 合規性狀態。