Konfigurace akcí pro zařízení nedodržující předpisy v Intune

Jako součást zásad dodržování předpisů , které chrání prostředky organizace před zařízeními, která nesplňují vaše požadavky na zabezpečení, zahrnují zásady dodržování předpisů také akce při nedodržení předpisů. Akce při nedodržení předpisů jsou jedna nebo více akcí s časovým pořadím, které zásady provádí k ochraně zařízení a vaší organizace. Například akce při nedodržení předpisů může vzdáleně uzamknout zařízení, aby se zajistilo, že je chráněné, nebo odeslat oznámení zařízením nebo uživatelům, které jim pomůže pochopit a vyřešit stav nedodržování předpisů.

Důležité

31. prosince 2024 končí podpora správy správců zařízení s Androidem na zařízeních s přístupem k Google Mobile Services (GMS). Po tomto datu nebude registrace zařízení, technická podpora, opravy chyb a opravy zabezpečení k dispozici. Pokud aktuálně používáte správu správce zařízení, doporučujeme před ukončením podpory přepnout na jinou možnost správy Androidu v Intune. Další informace najdete v tématu Ukončení podpory správce zařízení s Androidem na zařízeních GMS.

Přehled

Ve výchozím nastavení každá zásada dodržování předpisů zahrnuje akci pro nedodržení předpisů Označit zařízení jako nevyhovující s plánem nula dnů (0). Výsledkem tohoto výchozího nastavení je, že když Intune zjistí, že zařízení nedodržuje předpisy, Intune ho okamžitě označí jako nedodržující předpisy. Jakmile je zařízení označené jako nevyhovující, může ho podmíněný přístup Microsoft Entra zablokovat.

Konfigurací akcí pro nedodržování předpisů získáte flexibilitu při rozhodování o tom, co a kdy v případě nevyhovujících zařízení dělat. Můžete se například rozhodnout, že zařízení nebudete blokovat okamžitě a poskytnete uživateli lhůtu na dodržování předpisů.

Pro každou akci, kterou nastavíte, můžete nakonfigurovat plán, který určuje, kdy se tato akce projeví. Plán je několik dní poté, co je zařízení označeno jako nevyhovující. Můžete také nakonfigurovat více instancí akce. Když v zásadě nastavíte více instancí akce, akce se spustí znovu v pozdější naplánovaný čas, pokud zařízení nedodržuje předpisy.

Ne všechny akce jsou dostupné pro všechny platformy.

Poznámka

Centrum pro správu Microsoft Intune zobrazuje plán (dny po nedodržení předpisů) ve dnech. Je však možné zadat podrobnější interval (hodiny), pomocí desetinných zlomků, například 0,25 (6 hodin), 0,5 (12 hodin), 1,5 (36 hodin) atd. I když jsou možné i jiné hodnoty, je možné je nakonfigurovat pouze pomocí Microsoft Graphu , a ne prostřednictvím Centra pro správu. Při pokusu o použití jiných hodnot v Centru pro správu, například 0,33 (8 hodin), dojde při pokusu o uložení zásady k chybě.

Dostupné akce pro nedodržování předpisů

Níže jsou uvedené dostupné akce při nedodržení předpisů:

  • Označit zařízení jako nevyhovující: Ve výchozím nastavení je tato akce nastavená pro každou zásadu dodržování předpisů a má plán nula (0) dnů a zařízení se okamžitě označí jako nedodržující předpisy.

    Když změníte výchozí plán, poskytnete období odkladu, ve kterém může uživatel napravit problémy nebo se stát kompatibilním, aniž by byl označen jako nedodržující předpisy.

    Tato akce je podporovaná na všech platformách podporovaných službou Intune.

  • Odeslat e-mail koncovému uživateli: Tato akce odešle uživateli e-mailové oznámení. Když povolíte tuto akci:

    • Vyberte šablonu zprávy s oznámením , kterou tato akce odešle. Před přiřazením šablony k této akci vytvoříte šablonu zprávy s oznámením. Při vytváření vlastního oznámení přizpůsobíte národní prostředí, předmět, text zprávy a můžete zahrnout logo společnosti, název společnosti a další kontaktní informace.
    • Výběrem jedné nebo více skupin Microsoft Entra se rozhodnete zprávu odeslat více příjemcům.

    Intune používá e-mailovou adresu definovanou v profilu koncového uživatele, a ne hlavní název uživatele (UPN). Pokud v profilu uživatele není definovaná žádná definovaná e-mailová adresa, Intune e-mail s oznámením neodešle. Když se e-mail odešle, Intune do e-mailového oznámení zahrne podrobnosti o zařízení, které nedodržuje předpisy.

    Tato akce je podporovaná na všech platformách podporovaných službou Intune.

    Poznámka

    E-maily s oznámeními se odesílají z: microsoft-noreply@microsoft.com

    Ujistěte se, že nemáte žádné zásady poštovní schránky, které by bránily doručování e-mailů z těchto adres, jinak koncoví uživatelé nemusí dostávat e-mailové oznámení.

    Před prosincem 2022 se e-maily s oznámeními v komerčním cloudu odesílaly z: IntuneNotificationService@microsoft.com

  • Vzdálené uzamčení nevyhovujícího zařízení: Tato akce slouží k vydání vzdáleného zámku zařízení. Uživateli se pak zobrazí výzva k zadání KÓDU PIN nebo hesla k odemknutí zařízení. Další informace o funkci Vzdálené uzamčení .

    Tuto akci podporují následující platformy:

    • Registrace správce zařízení s Androidem
    • Android (AOSP)
    • Android Enterprise:
      • Plně spravovaná
      • Oddaný
      • pracovní profil Corporate-Owned
      • Pracovní profil v osobním vlastnictví
      • Zařízení s androidem Enterprise v beznabídkovém režimu
    • iOS/iPadOS
    • macOS
  • Přidání zařízení do seznamu vyřazení: Když se tato akce provede na zařízení, přidá se zařízení do seznamu vyřazených zařízení nesplňujících předpisy v Centru pro správu Intune. Seznam zobrazíte tak, že přejdete do částiDodržování předpisůzařízením> a vyberete kartu Vyřadit zařízení nedodržující předpisy. Zařízení se ale nevyřadí, dokud správce explicitně nezahájí proces vyřazení. Když správce zařízení ze seznamu vyřadí, odebere ze zařízení všechna firemní data a odebere toto zařízení ze správy Intune.

    Tuto akci podporují následující platformy:

    • Registrace správce zařízení s Androidem
    • Android (AOSP)
    • Android Enterprise:
      • Plně spravovaná
      • Oddaný
      • pracovní profil Corporate-Owned
      • Pracovní profil v osobním vlastnictví
    • iOS/iPadOS
    • macOS
    • Windows 10/11

    Poznámka

    Na kartě Vyřazení vybraných zařízení se zobrazí jenom zařízení, u kterých se aktivovala akce Přidat zařízení k vyřazení ze seznamu. Pokud chcete zobrazit seznam všech zařízení, která nedodržují předpisy, podívejte se na sestavu nevyhovujících zařízení uvedenou v tématu Monitorování zásad dodržování předpisů zařízením.

    Pokud chcete ze seznamu vyřadit jedno nebo více zařízení, vyberte zařízení, která chcete vyřadit, a pak vyberte Vyřadit vybraná zařízení. Když zvolíte akci, která zařízení vyřadí, zobrazí se dialogové okno pro potvrzení akce. Až po potvrzení záměru vyřadit zařízení se vymažou z firemních dat a odeberou se ze správy Intune.

    Mezi další možnosti patří Vyřazení všech zařízení, Vymazat stav vyřazení všech zařízení a Vymazat stav vyřazení vybraných zařízení. Vymazání stavu vyřazení zařízení odebere zařízení ze seznamu zařízení, která je možné vyřadit, dokud se akce Přidat seznam zařízení k vyřazení znovu nepoužije.

    Přečtěte si další informace o vyřazení zařízení.

  • Odeslání nabízeného oznámení koncovému uživateli: Tuto akci nakonfigurujte tak, aby se na zařízení odeslalo nabízené oznámení o nedodržení předpisů prostřednictvím aplikace Portál společnosti nebo aplikace Intune na zařízení.

    Tuto akci podporují následující platformy:

    • Registrace správce zařízení s Androidem
    • Android Enterprise:
      • Plně spravovaná
      • Oddaný
      • pracovní profil Corporate-Owned
      • Pracovní profil v osobním vlastnictví
    • iOS/iPadOS

    Nabízené oznámení se odešle při prvním přihlášení zařízení k Intune a zjistí se, že nedodržuje zásady dodržování předpisů. Když uživatel vybere oznámení, otevře se aplikace Portál společnosti nebo Aplikace Intune a zobrazí informace o tom, proč nedodržuje předpisy. Uživatel pak může podniknout kroky k vyřešení problému. Podrobnosti zprávy o nedodržování předpisů generuje Intune a nedá se přizpůsobit.

    Důležité

    Intune, aplikace Portál společnosti a Aplikace Microsoft Intune nemůžou zaručit doručení nabízeného oznámení. Oznámení se můžou zobrazit po několika hodinách zpoždění, pokud vůbec. To platí i v případě, že uživatelé vypnuli nabízená oznámení.

    Nespoléhejte na tuto metodu oznámení pro naléhavé zprávy.

    Každá instance akce odešle oznámení jednou. Pokud chcete znovu odeslat stejné oznámení ze zásady, nakonfigurujte v této zásadě více instancí akce, z nichž každá má jiný plán.

    Můžete například naplánovat první akci na nula dnů a pak přidat druhou instanci akce nastavené na tři dny. Toto zpoždění před druhým oznámením poskytuje uživateli několik dní na vyřešení problému a vyhnout se druhému oznámení.

    Pokud se chcete vyhnout spamování uživatelů s příliš mnoha duplicitními zprávami, zkontrolujte a zjednodušte, které zásady dodržování předpisů zahrnují nabízená oznámení pro nedodržení předpisů, a zkontrolujte plány, abyste se vyhnuli opakování oznámení příliš často.

    Uvažovat:

    • Pro jednu zásadu, která zahrnuje více instancí nabízeného oznámení nastaveného pro stejný den, se pro daný den odešle jenom jedno oznámení.

    • Pokud více zásad dodržování předpisů zahrnuje stejné podmínky dodržování předpisů a akci nabízených oznámení se stejným plánem, Intune odešle více oznámení do stejného zařízení ve stejný den.

Poznámka

Následující akce při nedodržení předpisů se nepodporují u zařízení spravovaných partnerem pro správu dodržování předpisů zařízením:

  • Odeslání e-mailu koncovému uživateli
  • Vzdálené uzamčení nevyhovujícího zařízení
  • Přidání seznamu zařízení k vyřazení
  • Odeslání nabízeného oznámení koncovému uživateli

Než začnete

Akce pro nedodržení předpisů můžete přidat při konfiguraci zásad dodržování předpisů zařízením nebo později úpravou zásad. Ke každé zásadě můžete přidat další akce, které vyhovují vašim potřebám. Mějte na paměti, že každá zásada dodržování předpisů automaticky zahrnuje výchozí akci při nedodržení předpisů, která označuje zařízení jako nevyhovující, s plánem nastaveným na nula dnů.

Pokud chcete používat zásady dodržování předpisů zařízením k blokování zařízení z podnikových prostředků, musí být nastavený podmíněný přístup Microsoft Entra. Pokyny najdete v tématu Podmíněný přístup v Microsoft Entra ID nebo běžné způsoby použití podmíněného přístupu s Intune .

Pokud chcete vytvořit zásady dodržování předpisů zařízením, projděte si následující doprovodné materiály pro konkrétní platformu:

Vytvoření šablony zprávy s oznámením

Pokud chcete uživatelům posílat e-maily, vytvořte šablonu zprávy s oznámením a přidružte ji k zásadám dodržování předpisů jako akci při nedodržení předpisů. Když pak zařízení nedodržuje předpisy, podrobnosti, které zadáte do šablony, se zobrazí v e-mailu odeslaném vašim uživatelům.

Šablona zprávy s oznámením může obsahovat více zpráv, z nichž každá má jiné národní prostředí. Když zadáte více zpráv a národních prostředí, koncoví uživatelé nedodržující předpisy obdrží příslušnou lokalizovanou zprávu na základě preferovaného jazyka O365.

Přidáním proměnných do zprávy vytvoříte přizpůsobený e-mail s dynamickým obsahem. Následující tabulka popisuje proměnné, které můžete použít v řádku předmětu a textu zprávy.

Název proměnné Token, který se má použít Popis
Uživatelské jméno {{UserName}} Přidejte název primárního uživatele zařízení, které nedodržuje předpisy.
Například: John Doe
Název zařízení {{DeviceName}} Přidejte název nevyhovujícího zařízení, které je zaznamenané v Microsoft Intune.
Například: John's iPad
ID zařízení {{DeviceId}} Přidejte ID zařízení Intune, které patří zařízení, které nedodržuje předpisy.
Například: 12ab345c-6789-def0-1234-000000000000
Verze operačního systému zařízení {{OSAndVersion}} Přidejte operační systém a verzi zařízení, které nedodržuje předpisy.
Například: Android 12

Vytvoření šablony

  1. Přihlaste se k Centru pro správu Microsoft 365.

  2. Vyberte Zabezpečení >koncového boduOznámení o>dodržování předpisů> zařízenímVytvořit oznámení.

  3. Na stránce Základy dejte šabloně popisný název, který vám pomůže ji identifikovat. Pak vyberte Další.

  4. Na stránce Nastavení záhlaví a zápatí přidejte podrobnosti a logo vaší společnosti.

    Snímek obrazovky znázorňující příklad stránky nastavení záhlaví a zápatí pro zprávu s oznámením v Intune

    Možnosti:

    • Záhlaví e-mailu – Zobrazení loga společnosti (výchozí nastavení = Povolit) – Nahrajte logo pro přidání brandingu vaší organizace do e-mailových šablon. Další informace o brandingu portálu společnosti najdete v tématu Přizpůsobení brandingu identity společnosti.
    • Zápatí e-mailu – Zobrazení názvu společnosti (výchozí nastavení = Povolit) – Povolením tohoto nastavení zobrazíte název vaší společnosti v e-mailu. Pokud chcete zkontrolovat název společnosti v záznamu, podívejte se na hodnotu tenanta .
    • Zápatí e-mailu – Zobrazení kontaktních informací (výchozí nastavení = Povolit) – Povolením tohoto nastavení zobrazíte v e-mailu kontaktní informace vaší organizace, jako je jméno, telefonní číslo a e-mailová adresa. Pokud chcete zkontrolovat kontaktní informace v záznamu, podívejte se na hodnotu tenanta .
    • Zápatí e-mailu – Zobrazení odkazu na web portálu společnosti (výchozí nastavení = Zakázat) – Povolením tohoto nastavení zahrnete do e-mailu odkaz na web Portál společnosti. Pokud chcete zkontrolovat odkaz na web zobrazený uživatelům, přečtěte si téma Hodnota tenanta .

    Pokračujte výběrem možnosti Další.

  5. Na stránce Šablony zpráv oznámení nakonfigurujte jednu nebo více zpráv. Pro každou zprávu zadejte následující podrobnosti:

    • Národní prostředí: Vyberte jazyk, který koreluje s národním prostředím uživatele zařízení.
    • Předmět: Přidejte řádek předmětu e-mailu. Můžete zadat až 78 znaků.
    • Nezpracovaný editor HTML: Zapněte editor HTML, abyste při přidávání formátování HTML a odkazů na zprávu dostávali návrhy. Pomocí atributu href můžete přidat odkaz (musí to být adresa URL https). Mezi podporované značky HTML patří: <a>, <strong>, <b>, <u><ol>, <ul>, <li>, <p>, <br>, <code>, <table>, <tbody>, , <tr>, <td>, , <thead>. <th> Nemusíte používat editor HTML a můžete přidat podporovaný kód HTML bez zapnutí editoru.
    • Zpráva: Vytvořte zprávu s vysvětlením důvodu nedodržování předpisů. Můžete zadat až 2 000 znaků.

    Pokud chcete vytvořit šablonu s dynamickým obsahem, vložte token podporované proměnné do řádku předmětu nebo zprávy. Seznam podporovaných proměnných najdete v tabulce v části Vytvoření šablony oznámení v tomto článku.

    Důležité

    V textu zprávy nezapomeňte používat jenom značky a atributy HTML podporované Intune. Intune bude odesílat zprávy, které obsahují jiné typy značek, elementů nebo stylů, jako prostý text místo formátu HTML. To zahrnuje zprávy, které obsahují:

    • CSS
    • Značky a atributy, které nejsou uvedené v tomto článku

    Poznámka

    Intune převádí nové znaky čar ve stylu Windows na <br> značky HTML, ale ignoruje všechny ostatní typy nových znaků řádků, včetně znaků pro macOS a Linux. Pokud chcete zajistit správné vykreslení konců řádků v šablonách, doporučujeme použít <br> značku k označení konce řádku.

  6. Zaškrtněte políčko Je výchozí pro jednu ze zpráv. Intune odešle výchozí zprávu uživatelům, kteří nenastavili upřednostňovaný jazyk, nebo pokud šablona neobsahuje konkrétní zprávu pro jejich národní prostředí. Jako výchozí lze nastavit pouze jednu zprávu. Pokud chcete zprávu odstranit, vyberte tři tečky (...) a pak Odstranit.

    Pokračujte výběrem možnosti Další.

  7. Na stránce Značky oboru vyberte značky, abyste omezili viditelnost a správu této zprávy na konkrétní skupiny správců Intune, například US-NC IT Team nebo JohnGlenn_ITDepartment. Další informace o značkách oboru najdete v tématu Použití RBAC a značek oboru pro distribuované IT.

    Pokračujte výběrem možnosti Další.

  8. Na stránce Zkontrolovat a vytvořit zkontrolujte konfigurace a ujistěte se, že je šablona zprávy s oznámením připravená k použití. Výběrem možnosti Vytvořit dokončete vytváření oznámení.

Zobrazení a úprava oznámení

Vytvořená oznámení jsou k dispozici na stránceOznámenízásad> dodržování předpisů. Na stránce můžete vybrat oznámení a zobrazit jeho konfiguraci a:

  • Výběrem možnosti Odeslat e-mail s náhledem odešlete náhled e-mailu s oznámením na účet, který jste použili k přihlášení k Intune.

    Pokud chcete úspěšně odeslat e-mail s náhledem, musí mít váš účet oprávnění rovna těmto skupinám Microsoft Entra nebo rolím Intune: Správce Intune (označovaný také jako Správce služeb Intune) nebo Správce zásad a profilů.

  • Pokud chcete provést změnu, vyberte Upravit u značekZáklady nebo Obor.

Poznámka

E-mail s náhledem neobsahuje proměnné zařízení zadané v šabloně zprávy oznámení.

Přidání akcí pro nedodržení předpisů

Když vytvoříte zásadu dodržování předpisů zařízením, Intune automaticky vytvoří akci pro nedodržování předpisů. Pokud zařízení nesplňuje vaše zásady dodržování předpisů, označí tato akce zařízení jako nevyhovující předpisům. Můžete přizpůsobit, jak dlouho bude zařízení označené jako nevyhovující. Tuto akci nelze odebrat.

Volitelné akce můžete přidat při vytváření zásad dodržování předpisů nebo při aktualizaci existujících zásad.

  1. Přihlaste se k Centru pro správu Microsoft 365.

  2. Přejděte naDodržování předpisůzařízením>.

  3. Vyberte zásadu a pak vyberte Vlastnosti.

    Ještě nemáte zásadu? Vytvořte zásadu platformy pro Android, iOS, Windows nebo jinou platformu.

    Poznámka

    Zařízení spravovaná externími partnery pro dodržování předpisů zařízeními, na která cílí skupiny zařízení, v tuto chvíli nemůžou přijímat akce dodržování předpisů.

  4. Vyberte Akce pro nedodržování předpisů>Upravit.

  5. Vyberte akci:

    • Odeslání e-mailu koncovým uživatelům: Pokud zařízení nedodržuje předpisy, zvolte, že chcete uživateli poslat e-mail. Také:

      • Zvolte šablonu Zprávy , kterou jste vytvořili dříve.
      • Výběrem skupin zadejte libovolné další příjemce .
    • Vzdálené uzamčení nevyhovujícího zařízení: Pokud zařízení nedodržuje předpisy, zamkněte ho. Tato akce vynutí, aby uživatel zadal PIN kód nebo heslo k odemknutí zařízení.

    • Přidat seznam zařízení k vyřazení: Pokud zařízení nedodržuje předpisy, odeberte ze zařízení všechna firemní data a odeberte zařízení ze správy Intune.

    • Odeslání nabízeného oznámení koncovému uživateli: Tuto akci nakonfigurujte tak, aby se na zařízení odeslalo nabízené oznámení o nedodržení předpisů prostřednictvím aplikace Portál společnosti nebo aplikace Intune na zařízení.

  6. Konfigurace plánu: Zadejte počet dnů (0 až 365) po nedodržování předpisů, aby se akce aktivovala na zařízeních uživatelů. Po uplynutí této doby odkladu můžete vynutit zásady podmíněného přístupu . Pokud zadáte 0 (nula) počet dnů, projeví se podmíněný přístup okamžitě. Pokud například zařízení nedodržuje předpisy, pomocí podmíněného přístupu okamžitě zablokujte přístup k e-mailu, SharePointu a dalším prostředkům organizace.

    Když vytvoříte zásadu dodržování předpisů, automaticky se vytvoří akce Označit zařízení jako nevyhovující a automaticky se nastaví na 0 dnů (okamžitě). Když se zařízení přihlásí ke službě Intune a vyhodnotí zásadu, v případě, že není kompatibilní s touto zásadou, Intune toto zařízení okamžitě označí jako nevyhovující. Pokud se klient přihlásí později po nápravě problémů, které vedou k nedodržování předpisů, aktualizuje se jeho stav na nový stav dodržování předpisů. Pokud používáte podmíněný přístup, použijí se tyto zásady také, jakmile se zařízení označí jako nevyhovující. Pokud chcete nastavit období odkladu, které umožní napravit stav nedodržování předpisů, než bude zařízení označeno jako nevyhovující, změňte plán akce Označit zařízení jako nevyhovující .

    V zásadách dodržování předpisů chcete například také upozornit uživatele. Můžete přidat akci Odeslat e-mail koncovému uživateli . U této akce Odeslat e-mail nastavíte plán na dva dny. Pokud je zařízení nebo koncový uživatel stále vyhodnocen jako nedodržující předpisy druhý den, odešle se váš e-mail druhý den. Pokud chcete uživateli znovu poslat e-mail v den pátého nedodržování předpisů, přidejte další akci a nastavte Plán na pět dní.

    Další informace o dodržování předpisů a předdefinovaných akcích najdete v přehledu dodržování předpisů.

  7. Až budete hotovi, vyberte Přidat>OK a uložte změny.

Další kroky

Monitorujte své zásady.