Usa i criteri di conformità per impostare le regole per i dispositivi gestiti con Intune

I criteri di conformità di Microsoft Intune sono set di regole e condizioni usati per valutare la configurazione dei dispositivi gestiti. Questi criteri consentono di proteggere i dati e le risorse dell'organizzazione da dispositivi che non soddisfano tali requisiti di configurazione. I dispositivi gestiti devono soddisfare le condizioni impostate nei criteri per essere considerati conformi da Intune.

Se si integrano anche i risultati della conformità dei criteri con l'accesso condizionale di Microsoft Entra, è possibile usufruire di un ulteriore livello di sicurezza. L'accesso condizionale può applicare i controlli di accesso di Microsoft Entra in base allo stato di conformità corrente dei dispositivi per garantire che solo i dispositivi conformi siano autorizzati ad accedere alle risorse aziendali.

I criteri di conformità di Intune sono suddivisi in due aree:

  • Le impostazioni dei criteri di conformità sono configurazioni a livello di tenant che agiscono come criteri di conformità predefiniti ricevuti da ogni dispositivo. Le impostazioni dei criteri di conformità stabiliscono il funzionamento dei criteri di conformità nell'ambiente di Intune, incluso come trattare i dispositivi a cui non è assegnato un criterio esplicito di conformità dei dispositivi.

  • I criteri di conformità dei dispositivi sono set discreti di regole e impostazioni specifiche della piattaforma distribuite in gruppi di utenti o dispositivi. I dispositivi valutano le regole nei criteri per segnalare uno stato di conformità del dispositivo. Uno stato non conforme può comportare una o più azioni per la mancata conformità. I criteri di accesso condizionale di Microsoft Entra possono anche usare tale stato per bloccare l'accesso alle risorse dell'organizzazione da tale dispositivo.

Impostazioni dei criteri di conformità

Le impostazioni dei criteri di conformità sono impostazioni a livello di tenant che determinano il modo in cui il servizio di conformità di Intune interagisce con i dispositivi. Queste impostazioni sono distinte dalle impostazioni configurate in un criterio di conformità del dispositivo.

Per gestire le impostazioni dei criteri di conformità, accedere all'interfaccia di amministrazione di Microsoft Intune e passare alleimpostazioni dei criteri diconformità dei dispositivi> di sicurezza> degli endpoint.

Le impostazioni dei criteri di conformità includono le impostazioni seguenti:

  • Contrassegnare i dispositivi senza criteri di conformità assegnati come

    Questa impostazione determina il modo in cui Intune gestisce i dispositivi a cui non è assegnato un criterio di conformità dei dispositivi. Questa impostazione ha due valori:

    • Conforme (impostazione predefinita): questa funzionalità di sicurezza è disattivata. I dispositivi a cui non viene inviato un criterio di conformità del dispositivo sono considerati conformi.
    • Non conforme: questa funzionalità di sicurezza è attivata. I dispositivi senza criteri di conformità dei dispositivi sono considerati non conformi.

    Se si usa l'accesso condizionale con i criteri di conformità del dispositivo, modificare questa impostazione in Non conforme per assicurarsi che solo i dispositivi confermati come conformi possano accedere alle risorse.

    Se un utente finale non è conforme perché non sono stati assegnati criteri, l'app Portale aziendale mostra che non sono stati assegnati criteri di conformità.

  • Periodo di validità dello stato di conformità (giorni)

    Specificare un periodo in cui i dispositivi devono segnalare correttamente tutti i criteri di conformità ricevuti. Se un dispositivo non riesce a segnalare lo stato di conformità per un criterio prima della scadenza del periodo di validità, il dispositivo viene considerato non conforme.

    Per impostazione predefinita, il periodo è impostato su 30 giorni. È possibile configurare un periodo compreso tra 1 e 120 giorni.

    È possibile visualizzare i dettagli su una conformità dei dispositivi all'impostazione del periodo di validità. Accedere all'interfaccia di amministrazione di Microsoft Intune e passare a Conformità delleimpostazioni diMonitoraggio>dispositivi>. Questa impostazione ha il nome Is active nella colonna Setting ( Impostazione). Per altre informazioni su questa e sulle visualizzazioni dello stato di conformità correlate, vedere Monitorare la conformità dei dispositivi.

Criteri di conformità dei dispositivi

I criteri di conformità dei dispositivi di Intune sono set discreti di regole e impostazioni specifiche della piattaforma distribuite in gruppi di utenti o dispositivi. Usare i criteri di conformità per:

  • Definire le regole e le impostazioni che gli utenti e i dispositivi gestiti devono soddisfare per essere conformi. Esempi di regole includono la richiesta di dispositivi che eseguono una versione minima del sistema operativo, non essere jail-broken o rooted e trovarsi al livello di minaccia o sotto un livello di minaccia come specificato dal software di gestione delle minacce che si integra con Intune.

  • Supporto delle azioni per la non conformità che si applicano ai dispositivi che non soddisfano le regole di conformità dei criteri. Esempi di azioni per la non conformità includono contrassegnare il dispositivo come non conforme, essere bloccato in remoto e inviare un messaggio di posta elettronica dell'utente del dispositivo sullo stato del dispositivo in modo che possa correggerlo.

Quando si usano i criteri di conformità dei dispositivi:

  • Alcune configurazioni dei criteri di conformità possono ignorare la configurazione delle impostazioni gestite anche tramite i criteri di configurazione del dispositivo. Per altre informazioni sulla risoluzione dei conflitti per i criteri, vedere Criteri di conformità e configurazione dei dispositivi in conflitto.

  • I criteri possono essere distribuiti agli utenti in gruppi di utenti o dispositivi in gruppi di dispositivi. Quando un criterio di conformità viene distribuito a un utente, tutti i dispositivi dell'utente vengono controllati per la conformità. L'uso dei gruppi di dispositivi in questo scenario cè utile per i report di conformità.

  • Se si usa l'accesso condizionale di Microsoft Entra, i criteri di accesso condizionale possono usare i risultati di conformità del dispositivo per bloccare l'accesso alle risorse da dispositivi non conformi.

  • Come altri criteri di Intune, le valutazioni dei criteri di conformità per un dispositivo dipendono da quando il dispositivo esegue l'accesso con Intune e dai cicli di aggiornamento dei criteri e dei profili.

Le impostazioni disponibili che è possibile specificare in un criterio di conformità del dispositivo dipendono dal tipo di piattaforma selezionato durante la creazione di un criterio. Piattaforme di dispositivi diverse supportano impostazioni diverse e ogni tipo di piattaforma richiede un criterio separato.

Gli argomenti seguenti sono collegati ad articoli dedicati per diversi aspetti dei criteri di configurazione dei dispositivi.

  • Azioni per la non conformità: per impostazione predefinita, ogni criterio di conformità del dispositivo include l'azione per contrassegnare un dispositivo come non conforme se non soddisfa una regola dei criteri. Ogni criterio può supportare più azioni basate sulla piattaforma del dispositivo. Esempi di azioni aggiuntive includono:

    • Invio di avvisi di posta elettronica a utenti e gruppi con dettagli sul dispositivo non conforme. È possibile configurare i criteri per inviare un messaggio di posta elettronica immediatamente dopo essere stato contrassegnato come non conforme e quindi, periodicamente, fino a quando il dispositivo non diventa conforme.
    • Bloccare in remoto i dispositivi che non sono conformi da tempo.
    • Ritirare i dispositivi dopo che sono stati non conformi per qualche tempo. Questa azione contrassegna un dispositivo idoneo come pronto per il ritiro. Un amministratore può quindi visualizzare un elenco di dispositivi contrassegnati per il ritiro e deve eseguire un'azione esplicita per ritirare uno o più dispositivi. Il ritiro di un dispositivo rimuove il dispositivo dalla gestione di Intune e rimuove tutti i dati aziendali dal dispositivo. Per altre informazioni su questa azione, vedere Azioni disponibili per la non conformità.
  • Creare un criterio di conformità : con le informazioni contenute nell'articolo collegato, è possibile esaminare i prerequisiti, usare le opzioni per configurare le regole, specificare azioni per la non conformità e assegnare i criteri ai gruppi. Questo articolo include anche informazioni sui tempi di aggiornamento dei criteri.

    Visualizzare le impostazioni di conformità del dispositivo per le diverse piattaforme del dispositivo:

  • Impostazioni di conformità personalizzate : con le impostazioni di conformità personalizzate è possibile espandere le opzioni di conformità dei dispositivi predefinite di Intune. Le impostazioni personalizzate offrono flessibilità per basare la conformità sulle impostazioni disponibili in un dispositivo senza dover attendere l'aggiunta di tali impostazioni da parte di Intune.

    È possibile usare impostazioni di conformità personalizzate con le piattaforme seguenti:

    • Linux - Ubuntu Desktop, versione 20.04 LTS e 22.04 LTS
    • Windows 10
    • Windows 11

Monitorare lo stato di conformità

Intune include un dashboard di conformità del dispositivo usato per monitorare lo stato di conformità dei dispositivi e per eseguire il drill-in di criteri e dispositivi per altre informazioni. Per altre informazioni su questo dashboard, vedere Monitorare la conformità dei dispositivi.

Integrazione con l'accesso condizionale

Quando si usa l'accesso condizionale, è possibile configurare i criteri di accesso condizionale per usare i risultati dei criteri di conformità dei dispositivi per determinare quali dispositivi possono accedere alle risorse dell'organizzazione. Questo controllo di accesso si aggiunge e si distingue dalle azioni per la non conformità incluse nei criteri di conformità del dispositivo.

Quando un dispositivo si registra in Intune, si registra in Microsoft Entra ID. Lo stato di conformità per i dispositivi viene segnalato all'ID Microsoft Entra. Se i criteri di accesso condizionale hanno controlli di accesso impostati su Richiedi che il dispositivo sia contrassegnato come conforme, l'accesso condizionale usa tale stato di conformità per determinare se concedere o bloccare l'accesso alla posta elettronica e ad altre risorse dell'organizzazione.

Se si usa lo stato di conformità del dispositivo con i criteri di accesso condizionale, esaminare il modo in cui il tenant configura l'opzione Contrassegna i dispositivi senza criteri di conformità assegnati come , gestiti in Impostazioni dei criteri di conformità.

Per altre informazioni sull'uso dell'accesso condizionale con i criteri di conformità del dispositivo, vedere Accesso condizionale basato su dispositivo.

Per altre informazioni sull'accesso condizionale, vedere la documentazione di Microsoft Entra:

Riferimento per la non conformità e l'accesso condizionale nelle diverse piattaforme

Nella tabella seguente viene descritto come vengono gestite le impostazioni non conformi quando un criterio di conformità viene usato con un criterio di accesso condizionale.

  • Correzione: il sistema operativo del dispositivo applica la conformità. Ad esempio, l'utente è costretto a impostare un PIN.

  • In quarantena: il sistema operativo del dispositivo non applica la conformità. Ad esempio, i dispositivi Android e Android Enterprise non forzano l'utente a crittografare il dispositivo. Quando il dispositivo non è conforme, vengono eseguite le azioni seguenti:

    • Se un criterio di accesso condizionale si applica all'utente, il dispositivo viene bloccato.
    • L'app Portale aziendale notifica all'utente eventuali problemi di conformità.

Impostazione criteri Piattaforma
Distribuzioni consentite Linux(solo) - In quarantena
Crittografia del dispositivo - Android 4.0 e versioni successive: in quarantena
- Samsung Knox Standard 4.0 e versioni successive: In quarantena
- Android Enterprise: in quarantena

- iOS 8.0 e versioni successive: correzione (impostando il PIN)
- macOS 10.11 e versioni successive: In quarantena

- Linux: in quarantena

- Windows 10/11: in quarantena
Profilo di posta elettronica - Android 4.0 e versioni successive: Non applicabile
- Samsung Knox Standard 4.0 e versioni successive: Non applicabile
- Android Enterprise: non applicabile

- iOS 8.0 e versioni successive: in quarantena
- macOS 10.11 e versioni successive: In quarantena

- Linux: non applicabile

- Windows 10/11: non applicabile
Dispositivo jailbroken o rooted - Android 4.0 e versioni successive: in quarantena (non un'impostazione)
- Samsung Knox Standard 4.0 e versioni successive: In quarantena (non un'impostazione)
- Android Enterprise: in quarantena (non un'impostazione)

- iOS 8.0 e versioni successive: in quarantena (non un'impostazione)
- macOS 10.11 e versioni successive: Non applicabile

- Linux: non applicabile

- Windows 10/11: non applicabile
Versione massima del sistema operativo - Android 4.0 e versioni successive: in quarantena
- Samsung Knox Standard 4.0 e versioni successive: In quarantena
- Android Enterprise: in quarantena

- iOS 8.0 e versioni successive: in quarantena
- macOS 10.11 e versioni successive: In quarantena

- Linux: vedere Distribuzioni consentite

- Windows 10/11: in quarantena
Versione minima del sistema operativo - Android 4.0 e versioni successive: in quarantena
- Samsung Knox Standard 4.0 e versioni successive: In quarantena
- Android Enterprise: in quarantena

- iOS 8.0 e versioni successive: in quarantena
- macOS 10.11 e versioni successive: In quarantena

- Linux: vedere Distribuzioni consentite

- Windows 10/11: in quarantena
Configurazione del PIN o della password - Android 4.0 e versioni successive: in quarantena
- Samsung Knox Standard 4.0 e versioni successive: In quarantena
- Android Enterprise: in quarantena

- iOS 8.0 e versioni successive: correzione
- macOS 10.11 e versioni successive: correzione

- Linux: in quarantena

- Windows 10/11: correzione
Attestazione dell'integrità di Windows - Android 4.0 e versioni successive: Non applicabile
- Samsung Knox Standard 4.0 e versioni successive: Non applicabile
- Android Enterprise: non applicabile

- iOS 8.0 e versioni successive: Non applicabile
- macOS 10.11 e versioni successive: Non applicabile

- Linux: non applicabile

- Windows 10/11: in quarantena

Nota

L'app Portale aziendale immette il flusso di correzione della registrazione quando l'utente accede all'app e il dispositivo non è stato archiviato correttamente con Intune per 30 giorni o più oppure il dispositivo non è conforme a causa di un motivo di conformità contatto perso . In questo flusso si tenta di avviare un'altra operazione di archiviazione. Se questa operazione non riesce, viene eseguito un comando di ritiro per consentire all'utente di registrare nuovamente il dispositivo manualmente.


Passaggi successivi