Inställningar för enhetsefterlevnad för Windows 10/11 i Intune

Den här artikeln visar och beskriver de olika kompatibilitetsinställningar som du kan konfigurera på Windows-enheter i Intune. Som en del av din MDM-lösning (hantering av mobila enheter) använder du de här inställningarna för att kräva BitLocker, anger ett lägsta och högsta operativsystem, anger en risknivå med hjälp av Microsoft Defender för Endpoint med mera.

Den här funktionen gäller för:

  • Windows 10/11
  • Windows Holographic for Business
  • Surface Hub

Som Intune-administratör använder du dessa kompatibilitetsinställningar för att skydda organisationens resurser. Mer information om efterlevnadsprinciper och vad de gör finns i Komma igång med enhetsefterlevnad.

Innan du börjar

Skapa en efterlevnadsprincip. För Plattform väljer du Windows 10 och senare.

Enhetens hälsotillstånd

För att säkerställa att enheterna startar till ett betrott tillstånd använder Intune Microsofts enhetsattesteringstjänster. Enheter i kommersiella Intune-, US Government GCC High- och DoD-tjänster som kör Windows 10 använder tjänsten Hälsoattestering för enhet (DHA).

Mer information finns i:

Utvärderingsregler för Windows Health Attestation Service

  • Kräv BitLocker:
    Windows BitLocker-diskkryptering krypterar alla data som lagras på Windows-operativsystemets volym. BitLocker använder TPM (Trusted Platform Module) för att skydda Windows-operativsystemet och användardata. Det hjälper också att bekräfta att en dator inte manipuleras, även om den lämnas obevakad, förlorad eller stulen. Om datorn är utrustad med en kompatibel TPM använder BitLocker TPM för att låsa de krypteringsnycklar som skyddar data. Därför kan nycklarna inte nås förrän TPM verifierar datorns tillstånd.

    • Inte konfigurerad (standard) – Den här inställningen utvärderas inte för kompatibilitet eller inkompatibilitet.
    • Kräv – Enheten kan skydda data som lagras på enheten från obehörig åtkomst när systemet är avstängt eller i viloläge.

    CSP:n Device HealthAttestation – BitLockerStatus

    Obs!

    Om du använder en enhetsefterlevnadsprincip i Intune bör du vara medveten om att tillståndet för den här inställningen endast mäts vid starttiden. Även om BitLocker-krypteringen kan ha slutförts krävs därför en omstart för att enheten ska kunna identifiera detta och bli kompatibel. Mer information finns i följande Microsoft-supportblogg om hälsoattestering för enheter.

  • Kräv säker start för att aktiveras på enheten:

    • Inte konfigurerad (standard) – Den här inställningen utvärderas inte för kompatibilitet eller inkompatibilitet.
    • Kräv – systemet tvingas starta till ett fabriksbetrott tillstånd. Kärnkomponenterna som används för att starta datorn måste ha rätt kryptografiska signaturer som är betrodda av den organisation som tillverkade enheten. Den inbyggda UEFI-programvaran verifierar signaturen innan den låter datorn starta. Om några filer manipuleras, vilket bryter signaturen, startar inte systemet.

    Obs!

    Inställningen Kräv säker start för att aktiveras på enheten stöds på vissa TPM 1.2- och 2.0-enheter. För enheter som inte stöder TPM 2.0 eller senare visas principstatusen i Intune som Inte kompatibel. Mer information om versioner som stöds finns i Hälsoattestering av enheter.

  • Kräv kodintegritet:
    Kodintegritet är en funktion som validerar integriteten för en drivrutin eller systemfil varje gång den läses in i minnet.

    • Inte konfigurerad (standard) – Den här inställningen utvärderas inte för kompatibilitet eller inkompatibilitet.
    • Kräv – Kräv kodintegritet, som identifierar om en osignerad drivrutin eller systemfil läses in i kerneln. Den identifierar också om en systemfil ändras av skadlig programvara eller körs av ett användarkonto med administratörsbehörighet.

Mer information finns i:

Enhetsegenskaper

Operativsystemversion

Information om hur du identifierar versionsversioner för alla windows 10/11-funktionsuppdateringar och kumulativa uppdateringar (som ska användas i några av fälten nedan) finns i Versionsinformation för Windows. Se till att inkludera rätt versionsprefix före versionsnumren, t.ex. 10.0 för Windows 10, som följande exempel illustrerar.

  • Lägsta operativsystemversion:
    Ange den lägsta tillåtna versionen i formatet major.minor.build.revision . Om du vill hämta rätt värde öppnar du en kommandotolk och skriver ver. Kommandot ver returnerar versionen i följande format:

    Microsoft Windows [Version 10.0.17134.1]

    När en enhet har en tidigare version än den operativsystemversion som du anger rapporteras den som inkompatibel. En länk med information om hur du uppgraderar visas. Slutanvändaren kan välja att uppgradera sin enhet. När de har uppgraderat kan de komma åt företagsresurser.

  • Högsta operativsystemversion:
    Ange den högsta tillåtna versionen i formatet major.minor.build.revision . Om du vill hämta rätt värde öppnar du en kommandotolk och skriver ver. Kommandot ver returnerar versionen i följande format:

    Microsoft Windows [Version 10.0.17134.1]

    När en enhet använder en senare version av operativsystemet än den angivna versionen blockeras åtkomsten till organisationens resurser. Slutanvändaren uppmanas att kontakta it-administratören. Enheten kan inte komma åt organisationsresurser förrän regeln har ändrats för att tillåta operativsystemversionen.

  • Lägsta operativsystem som krävs för mobila enheter:
    Ange den lägsta tillåtna versionen i formatet major.minor.build.

    När en enhet har en tidigare version som den operativsystemversion du anger rapporteras den som inkompatibel. En länk med information om hur du uppgraderar visas. Slutanvändaren kan välja att uppgradera sin enhet. När de har uppgraderat kan de komma åt företagsresurser.

  • Maximalt operativsystem som krävs för mobila enheter:
    Ange den högsta tillåtna versionen i major.minor.build-numret.

    När en enhet använder en senare version av operativsystemet än den angivna versionen blockeras åtkomsten till organisationens resurser. Slutanvändaren uppmanas att kontakta it-administratören. Enheten kan inte komma åt organisationsresurser förrän regeln har ändrats för att tillåta operativsystemversionen.

  • Giltiga operativsystemversioner:
    Ange en lista över lägsta och högsta operativsystemversioner. Giltiga operativsystemversioner ger ytterligare flexibilitet jämfört med lägsta och högsta operativsystemversioner. Tänk dig ett scenario där lägsta version av operativsystemet är inställd på 10.0.18362.xxx (Windows 10 1903) och den högsta operativsystemversionen är inställd på 10.0.18363.xxx (Windows 10 1909). Den här konfigurationen kan göra att en Windows 10 1903-enhet som inte har de senaste kumulativa uppdateringarna installerade kan identifieras som kompatibla. Lägsta och högsta operativsystemversioner kan vara lämpliga om du har standardiserat på en enda Windows 10-version, men kanske inte uppfyller dina krav om du behöver använda flera versioner, var och en med specifika korrigeringsnivåer. I så fall bör du överväga att använda giltiga operativsystemversioner i stället, vilket gör att flera versioner kan anges enligt följande exempel.

    Det största värdet som stöds för varje version, huvudfält, delfält och byggfält är 65535. Det största värdet du kan ange är till exempel 65535.65535.65535.65535.

    Exempel:
    Följande tabell är ett exempel på ett intervall för de godkända operativsystemversionerna för olika Windows 10-versioner. I det här exemplet har tre olika funktionsuppdateringar tillåtits (1809, 1909 och 2004). Mer specifikt anses endast de versioner av Windows och som har tillämpat kumulativa uppdateringar från juni till september 2020 vara kompatibla. Detta är endast exempeldata. Tabellen innehåller en första kolumn som innehåller all text som du vill beskriva posten, följt av den lägsta och högsta operativsystemversionen för den posten. Den andra och tredje kolumnen måste följa giltiga versioner av operativsystemet i talformatet major.minor.build.revision . När du har definierat en eller flera poster kan du exportera listan som en fil med kommaavgränsade värden (CSV).

    Beskrivning Lägsta operativsystemversion Högsta operativsystemversion
    Win 10 2004 (jun-sept 2020) 10.0.19041.329 10.0.19041.508
    Win 10 1909 (jun-sept 2020) 10.0.18363.900 10.0.18363.1110
    Win 10 1809 (jun-sept 2020) 10.0.17763.1282 10.0.17763.1490

    Obs!

    Om du anger flera intervall av versioner av operativsystemet i din princip och en enhet har en version utanför de kompatibla intervallen, meddelar företagsportalen enhetsanvändaren att enheten inte är kompatibel med den här inställningen. Tänk dock på att meddelandet om efterlevnadsreparation på grund av tekniska begränsningar bara visar det första os-versionsintervallet som anges i principen. Vi rekommenderar att du dokumenterar de godkända operativsystemversionsintervallen för hanterade enheter i din organisation.

Efterlevnad för Configuration Manager

Gäller endast för samhanterade enheter som kör Windows 10/11. Endast Intune-enheter returnerar en status som inte är tillgänglig.

  • Kräv enhetsefterlevnad från Configuration Manager:
    • Inte konfigurerad (standard) – Intune söker inte efter någon av Configuration Manager-inställningarna för efterlevnad.
    • Kräv – Kräv att alla inställningar (konfigurationsobjekt) i Configuration Manager är kompatibla.

Systemsäkerhet

Lösenord

  • Kräv lösenord för att låsa upp mobila enheter:

    • Inte konfigurerad (standard) – Den här inställningen utvärderas inte för kompatibilitet eller inkompatibilitet.
    • Kräv – Användarna måste ange ett lösenord innan de kan komma åt sin enhet.
  • Enkla lösenord:

    • Inte konfigurerad (standard) – Användare kan skapa enkla lösenord, till exempel 1234 eller 1111.
    • Blockera – Användare kan inte skapa enkla lösenord, till exempel 1234 eller 1111.
  • Lösenordstyp:
    Välj vilken typ av lösenord eller PIN-kod som krävs. Dina alternativ:

    • Enhetsstandard (standard) – Kräv lösenord, numerisk PIN-kod eller alfanumerisk PIN-kod
    • Numeriskt – Kräv lösenord eller numerisk PIN-kod
    • Alfanumeriskt – Kräv lösenord eller alfanumerisk PIN-kod.

    När värdet är Alfanumeriskt är följande inställningar tillgängliga:

  • Minsta längd på lösenord:
    Ange det minsta antal siffror eller tecken som lösenordet måste innehålla.

  • Maximalt antal minuter av inaktivitet innan lösenord krävs:
    Ange inaktivitetstiden innan användaren måste ange sitt lösenord igen.

  • Lösenordets giltighetstid (dagar):
    Ange antalet dagar innan lösenordet upphör att gälla och de måste skapa ett nytt mellan 1 och 730.

  • Antal tidigare lösenord för att förhindra återanvändning:
    Ange antalet tidigare använda lösenord som inte kan användas.

  • Kräv lösenord när enheten återgår från inaktivt tillstånd (Mobil och Holographic):

    • Inte konfigurerad (standard)
    • Kräv – Kräv att enhetsanvändare anger lösenordet varje gång enheten återgår från ett inaktivt tillstånd.

    Viktigt

    När lösenordskravet ändras på ett Windows-skrivbord påverkas användarna nästa gång de loggar in, eftersom det är då enheten går från inaktiv till aktiv. Användare med lösenord som uppfyller kraven uppmanas fortfarande att ändra sina lösenord.

Kryptering

  • Kryptering av datalagring på en enhet:
    Den här inställningen gäller för alla enheter på en enhet.

    • Inte konfigurerad (standard)
    • Kräv – Använd Kräv för att kryptera datalagring på dina enheter.

    DeviceStatus CSP – DeviceStatus/Compliance/EncryptionCompliance

    Obs!

    Inställningen Kryptering av datalagring på en enhet kontrollerar allmänt om det finns kryptering på enheten, mer specifikt på operativsystemenhetsnivå. För närvarande stöder Intune endast krypteringskontroll med BitLocker. Om du vill ha en mer robust krypteringsinställning bör du överväga att använda Kräv BitLocker, som använder Hälsoattestering för Windows-enheter för att verifiera BitLocker-status på TPM-nivå. När du använder den här inställningen bör du dock vara medveten om att en omstart kan krävas innan enheten visas som kompatibel.

Enhetssäkerhet

  • Brandvägg:

    • Inte konfigurerad (standard) – Intune styr inte Windows-brandväggen eller ändrar befintliga inställningar.
    • Kräv – Aktivera Windows-brandväggen och förhindra att användarna inaktiverar den.

    CSP för brandvägg

    Obs!

    • Om enheten omedelbart synkroniseras efter en omstart eller omedelbart synkroniseras när den vaknar från strömsparläge kan den här inställningen rapporteras som ett fel. Det här scenariot kanske inte påverkar den övergripande enhetsefterlevnadsstatusen. Synkronisera enheten manuellt för att utvärdera efterlevnadsstatusen igen.

    • Om en konfiguration tillämpas (till exempel via en grupprincip) på en enhet som konfigurerar Windows-brandväggen för att tillåta all inkommande trafik, eller inaktiverar brandväggen, returnerar inställningen Brandvägg till KrävInte kompatibel, även om Intunes enhetskonfigurationsprincip aktiverar brandväggen. Det beror på att grupprincipobjektet åsidosätter Intune-principen. För att åtgärda det här problemet rekommenderar vi att du tar bort eventuella motstridiga grupprincipinställningar eller att du migrerar dina brandväggsrelaterade grupprincipinställningar till Intunes enhetskonfigurationsprincip. I allmänhet rekommenderar vi att du behåller standardinställningarna, inklusive blockering av inkommande anslutningar. Mer information finns i Metodtips för att konfigurera Windows-brandväggen.

  • Trusted Platform Module (TPM):

    • Inte konfigurerad (standard) – Intune kontrollerar inte om enheten har en TPM-chipversion.
    • Kräv – Intune kontrollerar TPM-chipversionen för efterlevnad. Enheten är kompatibel om TPM-chipversionen är större än 0 (noll). Enheten är inte kompatibel om det inte finns någon TPM-version på enheten.

    DeviceStatus CSP – DeviceStatus/TPM/SpecificationVersion

  • Antivirusprogram:

    • Inte konfigurerad (standard) – Intune söker inte efter några antiviruslösningar som är installerade på enheten.
    • Kräv – Kontrollera efterlevnaden med antiviruslösningar som är registrerade i Windows Security Center, till exempel Symantec och Microsoft Defender. När det här är inställt på Kräv är en enhet som har antivirusprogrammet inaktiverat eller inaktuellt inkompatibelt.

    DeviceStatus CSP – DeviceStatus/Antivirus/Status

  • Antispionprogram:

    • Inte konfigurerad (standard) – Intune söker inte efter några antispionprogramlösningar som är installerade på enheten.
    • Kräv – Kontrollera efterlevnaden med hjälp av antispionprogramlösningar som är registrerade i Windows Security Center, till exempel Symantec och Microsoft Defender. När det här är inställt på Kräv är en enhet som har program mot skadlig kod inaktiverad eller inaktuell.

    DeviceStatus CSP – DeviceStatus/Antispyware/Status

Defender

Följande kompatibilitetsinställningar stöds med Windows 10/11 Desktop.

  • Microsoft Defender Antimalware:

    • Inte konfigurerad (standard) – Intune styr inte tjänsten eller ändrar befintliga inställningar.
    • Kräv – Aktivera microsoft Defender-tjänsten för skydd mot skadlig kod och förhindra att användarna inaktiverar den.
  • Lägsta version av Microsoft Defender Antimalware:
    Ange den lägsta tillåtna versionen av Microsoft Defender-tjänsten för skydd mot skadlig kod. Ange till exempel 4.11.0.0. När den lämnas tom kan alla versioner av microsoft Defender-tjänsten mot skadlig kod användas.

    Som standard är ingen version konfigurerad.

  • Säkerhetsinformation för Microsoft Defender Antimalware uppdaterad:
    Styr uppdateringarna av Windows-säkerhetsvirus och skydd mot hot på enheterna.

    • Inte konfigurerad (standard) – Intune tillämpar inga krav.
    • Kräv – Tvinga Microsoft Defender-säkerhetsinformationen att vara uppdaterad.

    CSP för Defender – Defender/Health/SignatureOutOfDate CSP

    Mer information finns i Säkerhetsinformationsuppdateringar för Microsoft Defender Antivirus och andra Microsoft-program mot skadlig kod.

  • Realtidsskydd:

    • Inte konfigurerad (standard) – Intune styr inte den här funktionen eller ändrar befintliga inställningar.
    • Kräv – Aktivera realtidsskydd som söker efter skadlig kod, spionprogram och annan oönskad programvara.

    CSP-princip – Csp för Defender/AllowRealtimeMonitoring

Microsoft Defender för Endpoint

Microsoft Defender för Endpoint-regler

Mer information om Microsoft Defender för Endpoint-integrering i scenarier med villkorsstyrd åtkomst finns i Konfigurera villkorlig åtkomst i Microsoft Defender för Endpoint.

  • Kräv att enheten är vid eller under riskpoängen för datorn:
    Använd den här inställningen för att ta riskbedömningen från dina tjänster för skyddshot som ett villkor för efterlevnad. Välj den högsta tillåtna hotnivån:

    • Inte konfigurerad (standard)
    • Rensa – Det här alternativet är det säkraste eftersom enheten inte kan ha några hot. Om enheten identifieras ha någon nivå av hot utvärderas den som icke-kompatibel.
    • Låg – Enheten utvärderas som kompatibel om det bara finns hot på låg nivå. Allt högre placerar enheten i en icke-kompatibel status.
    • Medel – Enheten utvärderas som kompatibel om befintliga hot på enheten är på en låg eller medelhög nivå. Om enheten identifieras ha hot på hög nivå är den fast besluten att vara icke-kompatibel.
    • Hög – Det här alternativet är det minst säkra och tillåter alla hotnivåer. Det kan vara användbart om du bara använder den här lösningen i rapporteringssyfte.

    Information om hur du konfigurerar Microsoft Defender för Endpoint som din tjänst för skyddshot finns i Aktivera Microsoft Defender för Endpoint med villkorlig åtkomst.

Windows Holographic for Business

Windows Holographic for Business använder plattformen Windows 10 och senare . Windows Holographic for Business stöder följande inställning:

  • Systemsäkerhet>Kryptering>Kryptering av datalagring på enheten.

Information om hur du verifierar enhetskryptering på Microsoft HoloLens finns i Verifiera enhetskryptering.

Surface Hub

Surface Hub använder plattformen Windows 10 och senare . Surface Hubs stöds för både efterlevnad och villkorsstyrd åtkomst. Om du vill aktivera dessa funktioner på Surface Hubs rekommenderar vi att du aktiverar automatisk registrering av Windows i Intune (kräver Microsoft Entra-ID) och riktar in dig på Surface Hub-enheterna som enhetsgrupper. Surface Hubs måste vara Microsoft Entra-anslutna för att efterlevnad och villkorsstyrd åtkomst ska fungera.

Vägledning finns i Konfigurera registrering för Windows-enheter.

Särskilt att tänka på för Surface Hubs som kör Windows 10/11 Team OS:
Surface Hubs som kör Windows 10/11 Team OS stöder för närvarande inte microsoft Defender för Endpoint- och lösenordsefterlevnadsprinciper. För Surface Hubs som kör Windows 10/11 Team OS anger du därför följande två inställningar till standardvärdet Inte konfigurerad:

  • I kategorin Lösenord anger du Kräv lösenord för att låsa upp mobila enheter till standardvärdet Inte konfigurerad.

  • I kategorin Microsoft Defender för Endpoint anger du Kräv att enheten ska vara på eller under riskpoängen för datorn till standardvärdet Inte konfigurerad.

Nästa steg