Använd efterlevnadsprinciper för att ange regler för enheter som du hanterar med Intune

Microsoft Intune-efterlevnadsprinciper är uppsättningar med regler och villkor som du använder för att utvärdera konfigurationen av dina hanterade enheter. Dessa principer kan hjälpa dig att skydda organisationsdata och resurser från enheter som inte uppfyller dessa konfigurationskrav. Hanterade enheter måste uppfylla de villkor som du anger i dina principer för att anses vara kompatibla med Intune.

Om du också integrerar efterlevnadsresultaten från dina principer med villkorsstyrd åtkomst i Microsoft Entra kan du dra nytta av ett extra säkerhetslager. Villkorsstyrd åtkomst kan framtvinga Microsoft Entra-åtkomstkontroller baserat på en enhets aktuella efterlevnadsstatus för att säkerställa att endast enheter som är kompatibla har åtkomst till företagsresurser.

Intunes efterlevnadsprinciper är indelade i två områden:

  • Inställningar för efterlevnadsprinciper är konfigurationer för hela klientorganisationen som fungerar som en inbyggd efterlevnadsprincip som varje enhet tar emot. Inställningar för efterlevnadsprinciper fastställer hur efterlevnadsprinciper fungerar i Din Intune-miljö, inklusive hur du hanterar enheter som inte har tilldelats en explicit princip för enhetsefterlevnad.

  • Principer för enhetsefterlevnad är diskreta uppsättningar med plattformsspecifika regler och inställningar som du distribuerar till grupper av användare eller enheter. Enheter utvärderar reglerna i principen för att rapportera en enhetsefterlevnadsstatus. En inkompatibel status kan resultera i en eller flera åtgärder för inkompatibilitet. Microsoft Entra-principer för villkorsstyrd åtkomst kan också använda den statusen för att blockera åtkomst till organisationsresurser från den enheten.

Inställningar för efterlevnadsprinciper

Inställningar för efterlevnadsprinciper är inställningar för hela klientorganisationen som avgör hur Intunes efterlevnadstjänst interagerar med dina enheter. De här inställningarna skiljer sig från de inställningar som du konfigurerar i en enhetsefterlevnadsprincip.

Om du vill hantera inställningarna för efterlevnadsprinciper loggar du in på administrationscentret för Microsoft Intune och går tillPrincipinställningar för enhetsefterlevnad> för slutpunktssäkerhet>.

Inställningarna för efterlevnadsprinciper innehåller följande inställningar:

  • Markera enheter utan tilldelad efterlevnadsprincip som

    Den här inställningen bestämmer hur Intune behandlar enheter som inte har tilldelats en princip för enhetsefterlevnad. Den här inställningen har två värden:

    • Kompatibel (standard): Den här säkerhetsfunktionen är inaktiverad. Enheter som inte har skickat en enhetsefterlevnadsprincip anses vara kompatibla.
    • Inte kompatibel: Den här säkerhetsfunktionen är aktiverad. Enheter utan en enhetsefterlevnadsprincip anses vara inkompatibla.

    Om du använder villkorlig åtkomst med enhetsefterlevnadsprinciperna ändrar du den här inställningen till Inte kompatibel för att säkerställa att endast enheter som har bekräftats som kompatibla kan komma åt dina resurser.

    Om en slutanvändare inte är kompatibel eftersom en princip inte har tilldelats dem visar företagsportalappen Inga efterlevnadsprinciper har tilldelats.

  • Giltighetsperiod för efterlevnadsstatus (dagar)

    Ange en period då enheterna måste rapportera om alla mottagna efterlevnadsprinciper. Om en enhet inte kan rapportera sin efterlevnadsstatus för en princip innan giltighetsperioden går ut behandlas enheten som inkompatibel.

    Som standard är perioden inställd på 30 dagar. Du kan konfigurera en period från 1 till 120 dagar.

    Du kan visa information om enheters kompatibilitet med inställningen för giltighetsperiod. Logga in på administrationscentret för Microsoft Intune och gå till Enheter>Övervaka>inställningsefterlevnad. Den här inställningen har namnet Är aktiv i kolumnen Inställning . Mer information om den här och relaterade kompatibilitetsstatusvyer finns i Övervaka enhetsefterlevnad.

Principer för enhetsefterlevnad

Efterlevnadsprinciper för Intune-enheter är diskreta uppsättningar med plattformsspecifika regler och inställningar som du distribuerar till grupper av användare eller enheter. Använd efterlevnadsprinciper för att:

  • Definiera de regler och inställningar som användare och hanterade enheter måste uppfylla för att vara kompatibla. Exempel på regler är att kräva att enheter kör en lägsta version av operativsystemet, att de inte är jailbreakade eller rotade och att de är på eller under en hotnivå som anges av programvara för hothantering som integreras med Intune.

  • Stödåtgärder för inkompatibilitet som gäller för enheter som inte uppfyller principernas efterlevnadsregler. Exempel på åtgärder för inkompatibilitet är att markera enheten som inkompatibel, fjärrlåst och skicka ett e-postmeddelande till enhetsanvändaren om enhetens status så att de kan åtgärda den.

När du använder principer för enhetsefterlevnad:

  • Vissa konfigurationer av efterlevnadsprinciper kan åsidosätta konfigurationen av inställningar som du också hanterar via enhetskonfigurationsprinciper. Mer information om konfliktlösning för principer finns i Efterlevnads- och enhetskonfigurationsprinciper som är i konflikt.

  • Principer kan distribueras till användare i användargrupper eller enheter i enhetsgrupper. När en efterlevnadsprincip distribueras till en användare kontrolleras alla användarens enheter för efterlevnad. Användning av enhetsgrupper i det här scenariot hjälper till med efterlevnadsrapportering.

  • Om du använder villkorsstyrd åtkomst i Microsoft Entra kan dina principer för villkorsstyrd åtkomst använda resultatet av enhetsefterlevnad för att blockera åtkomst till resurser från inkompatibla enheter.

  • Precis som andra Intune-principer beror utvärderingar av efterlevnadsprinciper för en enhet på när enheten checkar in med Intune och princip- och profiluppdateringscykler.

De tillgängliga inställningar som du kan ange i en enhetsefterlevnadsprincip beror på vilken plattformstyp du väljer när du skapar en princip. Olika enhetsplattformar stöder olika inställningar, och varje plattformstyp kräver en separat princip.

Följande ämnen länkar till dedikerade artiklar för olika aspekter av enhetskonfigurationsprincipen.

  • Åtgärder för inkompatibilitet – Som standard innehåller varje enhetsefterlevnadsprincip åtgärden för att markera en enhet som inkompatibel om den inte uppfyller en principregel. Varje princip kan stödja fler åtgärder baserat på enhetsplattformen. Exempel på extra åtgärder är:

    • Skicka e-postaviseringar till användare och grupper med information om den inkompatibla enheten. Du kan konfigurera principen att skicka ett e-postmeddelande omedelbart när den markeras som inkompatibel och sedan igen, regelbundet, tills enheten blir kompatibel.
    • Fjärrlåsa enheter som inte har varit kompatibla under en tid.
    • Dra tillbaka enheter efter att de har varit inkompatibla under en tid. Den här åtgärden markerar en kvalificerande enhet som redo att dras tillbaka. En administratör kan sedan visa en lista över enheter som har markerats för tillbakadragning och måste vidta en explicit åtgärd för att dra tillbaka en eller flera enheter. Om du drar tillbaka en enhet tas enheten bort från Intune-hanteringen och alla företagsdata tas bort från enheten. Mer information om den här åtgärden finns i Tillgängliga åtgärder för inkompatibilitet.
  • Skapa en efterlevnadsprincip – Med informationen i den länkade artikeln kan du granska förutsättningarna, gå igenom alternativen för att konfigurera regler, ange åtgärder för inkompatibilitet och tilldela principen till grupper. Den här artikeln innehåller även information om uppdateringstider för principer.

    Visa inställningarna för enhetsefterlevnad för de olika enhetsplattformarna:

  • Anpassade kompatibilitetsinställningar – Med anpassade kompatibilitetsinställningar kan du utöka Intunes inbyggda alternativ för enhetsefterlevnad. Anpassade inställningar ger flexibilitet att basera kompatibiliteten på de inställningar som är tillgängliga på en enhet utan att behöva vänta tills Intune har lagt till inställningarna.

    Du kan använda anpassade kompatibilitetsinställningar med följande plattformar:

    • Linux – Ubuntu Desktop, version 20.04 LTS och 22.04 LTS
    • Windows 10
    • Windows 11

Övervaka efterlevnadsstatus

Intune innehåller en instrumentpanel för enhetsefterlevnad som du använder för att övervaka enheternas efterlevnadsstatus och för att granska principer och enheter för mer information. Mer information om den här instrumentpanelen finns i Övervaka enhetsefterlevnad.

Integrera med villkorsstyrd åtkomst

När du använder villkorsstyrd åtkomst kan du konfigurera dina principer för villkorsstyrd åtkomst för att använda resultatet av dina principer för enhetsefterlevnad för att avgöra vilka enheter som har åtkomst till organisationens resurser. Den här åtkomstkontrollen är utöver och separat från de åtgärder för inkompatibilitet som du inkluderar i dina principer för enhetsefterlevnad.

När en enhet registreras i Intune registreras den i Microsoft Entra-ID. Efterlevnadsstatusen för enheter rapporteras till Microsoft Entra-ID. Om dina principer för villkorsstyrd åtkomst har åtkomstkontroller inställda på Kräv att enheten ska markeras som kompatibel, använder villkorsstyrd åtkomst den kompatibilitetsstatusen för att avgöra om åtkomst till e-post och andra organisationsresurser ska beviljas eller blockeras.

Om du använder enhetsefterlevnadsstatus med principer för villkorsstyrd åtkomst granskar du hur din klientorganisation konfigurerar alternativet Markera enheter utan någon tilldelad efterlevnadsprincip , som du hanterar under Inställningar för efterlevnadsprinciper.

Mer information om hur du använder villkorlig åtkomst med enhetsefterlevnadsprinciper finns i Enhetsbaserad villkorlig åtkomst.

Läs mer om villkorlig åtkomst i Microsoft Entra-dokumentationen:

Referens för inkompatibilitet och villkorsstyrd åtkomst på de olika plattformarna

I följande tabell beskrivs hur inkompatibla inställningar hanteras när en efterlevnadsprincip används med en princip för villkorsstyrd åtkomst.

  • Åtgärdad: Enhetens operativsystem framtvingar kompatibilitet. Användaren tvingas till exempel att ange en PIN-kod.

  • I karantän: Enhetens operativsystem tillämpar inte kompatibilitet. Android- och Android Enterprise-enheter tvingar till exempel inte användaren att kryptera enheten. När enheten inte är kompatibel utförs följande åtgärder:

    • Om en princip för villkorsstyrd åtkomst gäller för användaren blockeras enheten.
    • Företagsportalappen meddelar användaren om eventuella efterlevnadsproblem.

Sekretessinställning Plattform
Tillåtna distributioner Linux(endast) – I karantän
Enhetskryptering - Android 4.0 och senare: I karantän
- Samsung Knox Standard 4.0 och senare: I karantän
- Android Enterprise: I karantän

- iOS 8.0 och senare: Åtgärdad (genom att ange PIN-kod)
- macOS 10.11 och senare: I karantän

- Linux: I karantän

- Windows 10/11: I karantän
E-postprofil - Android 4.0 och senare: Ej tillämpligt
- Samsung Knox Standard 4.0 och senare: Ej tillämpligt
- Android Enterprise: Ej tillämpligt

- iOS 8.0 och senare: I karantän
- macOS 10.11 och senare: I karantän

- Linux: Ej tillämpligt

- Windows 10/11: Ej tillämpligt
Jailbrokad eller rotad enhet - Android 4.0 och senare: I karantän (inte en inställning)
- Samsung Knox Standard 4.0 och senare: I karantän (inte en inställning)
- Android Enterprise: I karantän (inte en inställning)

- iOS 8.0 och senare: I karantän (inte en inställning)
- macOS 10.11 och senare: Ej tillämpligt

- Linux: Ej tillämpligt

- Windows 10/11: Ej tillämpligt
Högsta operativsystemversion - Android 4.0 och senare: I karantän
- Samsung Knox Standard 4.0 och senare: I karantän
- Android Enterprise: I karantän

- iOS 8.0 och senare: I karantän
- macOS 10.11 och senare: I karantän

- Linux: Se Tillåtna distributioner

- Windows 10/11: I karantän
Lägsta operativsystemversion - Android 4.0 och senare: I karantän
- Samsung Knox Standard 4.0 och senare: I karantän
- Android Enterprise: I karantän

- iOS 8.0 och senare: I karantän
- macOS 10.11 och senare: I karantän

- Linux: Se Tillåtna distributioner

- Windows 10/11: I karantän
Konfiguration av PIN-kod eller lösenord - Android 4.0 och senare: I karantän
- Samsung Knox Standard 4.0 och senare: I karantän
- Android Enterprise: I karantän

- iOS 8.0 och senare: Åtgärdat
- macOS 10.11 och senare: Åtgärdad

- Linux: I karantän

- Windows 10/11: Åtgärdat
Hälsoattestering för Windows - Android 4.0 och senare: Ej tillämpligt
- Samsung Knox Standard 4.0 och senare: Ej tillämpligt
- Android Enterprise: Ej tillämpligt

- iOS 8.0 och senare: Ej tillämpligt
- macOS 10.11 och senare: Ej tillämpligt

- Linux: Ej tillämpligt

- Windows 10/11: I karantän

Obs!

Företagsportalappen anger registreringsåtgärdsflödet när användaren loggar in i appen och enheten inte har checkats in med Intune på 30 dagar eller mer (eller om enheten inte är kompatibel på grund av en kompatibilitetsorsak till förlorad kontakt ). I det här flödet försöker vi initiera en incheckning en gång till. Om det fortfarande inte lyckas utfärdar vi ett dra tillbaka-kommando så att användaren kan registrera enheten manuellt.


Nästa steg