Поделиться через

  • Статья

Политики соответствия требованиям в Configuration Manager

 

Применимо к:System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1

Указанные в этом разделе сведения относятся к System Center 2012 Configuration Manager с пакетом обновления 1 (SP1) и System Center 2012 R2 Configuration Manager или более поздних версий.

Политики соответствия в Configuration Manager определяют правила и параметры, которым должно соответствовать устройство, чтобы согласно политикам условного доступа оно рассматривалось как совместимое. Политики соответствия также можно использовать для отслеживания и устранения проблем совместимости у устройств, независимо от условного доступа.

System_CAPS_importantВажно

Политики соответствия требованиям применяются только к устройствам, которые управляются Microsoft Intune.

Эти правила включают в себя следующее:

  • ПИН-код и пароли

  • Шифрование

  • Выполнено ли на устройстве рутирование или джейлбрейк

  • Управляется ли электронная почта на устройстве политикой Intune

  • Минимальная требуемая версия ОС обычно зависит от политик соответствия требованиям и требований к безопасности компании. Это помогает ограничить доступ к устройствам, в которых могут быть уязвимости безопасности, так как они используют более старую версию ОС.

  • Максимально допустимая версия ОС — вы можете отказаться от поддержки последней доступной версии ОС (поскольку необходимо ее тестирование или по другим причинам). Вы можете заблокировать устройства с версией, более поздней по сравнению с указанной. Устройство не сможет получить доступ к ресурсам компании, пока не изменится политика.

System_CAPS_noteПримечание

Чтобы применять правила минимальной и максимальной версии ОС, необходимо использовать последнее расширение условного доступа для System Center 2012 R2 Configuration Manager с пакетом обновления 1 (SP1).
System_CAPS_noteПримечание

На ПК с Windows версия операционной системы Windows 8.1 отображается как 6.3. Если правило ОС применяется к Windows 8.1 для Windows, устройство будет отмечено как не соответствующее, даже если на устройстве установлена версия ОС Windows 8.1. Убедитесь, что вы настроили правильную версию Windows для правил минимальной и максимальной ОС. Номер версии должен совпадать с версией, возвращенной командой winver.

На Windows Phone нет этой проблемы: версия 8.1 так и остается версией 8.1.

Политики соответствия требованиям развертываются для коллекций пользователей. При развертывании политики соответствия для пользователя все его устройства проверяются на соответствие.

В следующей таблице перечислены типы устройств, поддерживаемые политиками соответствия, а также способы управления несоответствующими параметрами при использовании политики с политикой условного доступа.

Тип устройства

Конфигурация ПИН-кода или пароля

Шифрование устройства

Устройство со снятой защитой или административным доступом

Профиль электронной почты

Минимальная версия ОС

Максимальная версия ОС

Windows 8.1 и более поздние версии

Исправлено

Н/Д

Н/Д

Н/Д

Помещено в карантин

Помещено в карантин

Windows Phone 8.1 и более поздней версии

Исправлено

Исправлено

Н/Д

Н/Д

Помещено в карантин

Помещено в карантин

iOS 6.0 и более поздних версий

Исправлено

Исправлено (путем установки ПИН-кода)

Карантин (не параметр)

Помещено в карантин

Помещено в карантин

Помещено в карантин

Android 4.0 и более поздней версии

Помещено в карантин

Помещено в карантин

Карантин (не параметр)

Н/Д

Помещено в карантин

Помещено в карантин

Samsung KNOX Standard 4.0 и более поздние версии

Помещено в карантин

Помещено в карантин

Карантин (не параметр)

Н/Д

Помещено в карантин

Помещено в карантин

Исправлено: соответствие обеспечивается операционной системой устройства (например, пользователь вынужден установить ПИН-код). Параметр ни в коем случае не может быть несоответствующим.

Карантин: операционная система устройства не применяет шаги по обеспечению соответствия (например, не используется принудительное шифрование устройств Android пользователями). В этом случае:

  • Устройство будет заблокировано, если пользователь является целью для политики условного доступа.

  • Корпоративный портал или веб-портал будет уведомлять пользователя о любых проблемах соответствия.

Шаг 1. Создание политики соответствия требованиям

  1. В консоли Configuration Manager щелкните элемент Активы и соответствие.

  2. В рабочей области Активы и соответствие разверните узел Параметры соответствия и выберите пункт Политики соответствия.

  3. На вкладке Главная в группе Создать щелкните элемент Создать политику соответствия.

  4. На странице Общие мастера создания политики соответствия укажите перечисленные ниже сведения.

    Параметр

    Дополнительные сведения

    Имя

    Введите уникальное имя для политики соответствия. Можно использовать не более 256 символов.

    Описание

    Введите описание, которое позволяет получить представление о профиле VPN и помогает идентифицировать его в консоли Configuration Manager. Можно использовать не более 256 символов.

    Степень важности несоответствия для отчетов

    Укажите степень важности, который сообщается, если по этой политике определяется несоответствие. Ниже перечислены доступные степени важности.

    • Нет. Устройства, для которых не выполняется данное правило соответствия, не передают серьезность сбоя для отчетов Configuration Manager.

    • Информация. Устройства, для которых не выполняется данное правило соответствия, передают для отчетов Configuration Manager серьезность сбоя со степенью Информация.

    • Предупреждение. Устройства, для которых не выполняется данное правило соответствия, передают для отчетов Configuration Manager серьезность сбоя со степенью Предупреждение.

    • Ошибка. Устройства, для которых не выполняется данное правило соответствия, передают для отчетов Configuration Manager серьезность сбоя со степенью Ошибка.

    • Ошибка с событием. Устройства, для которых не выполняется данное правило соответствия, передают для отчетов Configuration Manager серьезность сбоя со степенью Ошибка с событием. Указанная степень серьезности также регистрируется в журнале событий приложений в качестве события Windows.

  5. На странице Поддерживаемые платформы выберите платформы устройств, для которых будет определяться соответствие этой политике, или нажмите Выбрать все, чтобы выбрать все платформы устройств.

  6. На странице Правила задайте одно или несколько правил, определяющих конфигурацию, которую должны иметь устройства, чтобы они рассматривались как соответствующие. В следующей таблице приведены доступные правила. При создании политики соответствия некоторые правила включаются по умолчанию, но их можно изменить или удалить.

    Имя правила

    Дополнительные сведения

    Поддерживаемые платформы

    Требуются параметры пароля для мобильных устройств

    Включите вывод запроса на ввод пароля для пользователей при доступе к их устройствам.

    (Включено по умолчанию)

    • Windows Phone 8 и более поздней версии

    • iOS 6 и более поздних версий

    • Android 4.0 и более поздней версии

    • Samsung KNOX Standard 4.0 и более поздние версии

    Разрешить простые пароли

    Разрешите пользователям создавать простые пароли, такие как "1234" или "1111".

    (По умолчанию отключено)

    • Windows Phone 8 и более поздней версии

    • iOS 6 и более поздних версий

    Минимальная длина пароля1

    Указывает минимальное число цифр или символов в пароле пользователя.

    (6 по умолчанию)

    • Windows Phone 8 и более поздней версии

    • Windows 8.1

    • iOS 6 и более поздних версий

    • Android 4.0 и более поздней версии

    • Samsung KNOX Standard 4.0 и более поздние версии

    Шифрование файлов на мобильном устройстве

    Требуется шифрование устройства для подключения к ресурсам.

    Устройства под управлением Windows Phone 8, автоматически шифруются.

    System_CAPS_importantВажно

    Устройства под управлением iOS шифруются, если включен параметр Требовать параметры пароля на мобильных устройствах.

    (Включено по умолчанию)

    • Windows Phone 8 и более поздней версии

    • Android 4.0 и более поздней версии

    • Samsung KNOX Standard 4.0 и более поздние версии

    На устройстве не должно быть снятой защиты или административного доступа

    Если этот параметр включен, устройства, на которых снята защита (iOS) или открыт административный доступ (Android), не соответствуют требованиям.

    (По умолчанию отключено)

    • iOS 6 и более поздних версий

    • Android 4.0 и более поздней версии

    • Samsung KNOX Standard 4.0 и более поздние версии

    Профиль электронной почты должен управляться Intune

    При выборе этого варианта устройство будет считаться несоответствующим, если пользователь настроил на устройстве учетную запись электронной почты, совпадающую с профилем электронной почты, который был развернут на устройстве ИТ-администратором.Configuration Manager не может перезаписывать профиль, созданный пользователем, поэтому не может управлять им.

    Чтобы обеспечить соответствие требованиям, пользователь должен удалить существующие параметры электронной почты, после чего Configuration Manager сможет установить профиль электронной почты и осуществлять управление им.

    Дополнительные сведения о профилях электронной почты см. в разделе Обеспечение доступа к корпоративной электронной почте с помощью профилей электронной почты с Microsoft Intune.

    (По умолчанию отключено)

    • iOS 6 и более поздних версий

    Профиль электронной почты

    Если выбран вариант Учетная запись электронной почты должна управляться Intune, нажмите кнопку Выбрать, чтобы выбрать профиль электронной почты, который будет управлять устройствами. На устройстве должен быть профиль электронной почты.

    • iOS 6 и более поздних версий

    Минимальная требуемая ОС

    Если устройство не соответствует требованию к минимальной версии ОС, оно будет отмечено как не соответствующее требованиям. Появится ссылка со сведениями о том, как выполнить обновление. Конечный пользователь может обновить устройство, после чего он получит доступ к ресурсам компании.

    • Windows Phone 8 и более поздней версии

    • Windows 8.1

    • iOS 6 и более поздних версий

    • Android 4.0 и более поздней версии

    • Samsung KNOX Standard 4.0 и более поздние версии

    Максимально допустимая версия ОС

    Если устройство использует версию ОС, более позднюю по сравнению с указанной в правиле, доступ к ресурсам компании блокируется, и пользователя просят связаться с ИТ-администратором. До изменения правила для разрешения конкретной версии ОС это устройство невозможно будет использовать для доступа к ресурсам компании.

    • Windows Phone 8 и более поздней версии.

    • Windows 8.1

    • iOS 6 и более поздних версий

    • Android 4.0 и более поздней версии

    • Samsung KNOX Standard 4.0 и более поздние версии

    1 Для устройств под управлением Windows, защищенных с помощью учетной записи Майкрософт, политика соответствия не сможет правильно выполнить оценку, если Минимальная длина пароля больше 8 символов или если Минимальное количество наборов символов больше, чем 2.

  7. На странице мастера Сводка просмотрите сделанные изменения в параметрах и завершите работу мастера.

Новая политика будет отображаться в узле Политики соответствия рабочей области Активы и соответствие.

Развертывание политики соответствия

  1. В консоли Configuration Manager щелкните элемент Активы и соответствие.

  2. В рабочей области Активы и соответствие разверните узел Параметры соответствия и выберите пункт Политики соответствия.

  3. На вкладке Главная в группе Развертывание нажмите кнопку Развернуть.

  4. В диалоговом окне Развернуть политику соответствия нажмите кнопку Обзор, чтобы выбрать коллекцию пользователей, для которой необходимо развернуть политику.

    Кроме того, можно определить выдачу предупреждений в случаях несоответствия политике, а также составить расписание, согласно которому будет проверяться соответствие этой политике.

  5. По завершении нажмите кнопку ОК.

Мониторинг политики соответствия

Просмотр результатов проверки на соответствие в консоли Configuration Manager

  1. В консоли Configuration Manager щелкните элемент Мониторинг.

  2. В рабочей области Мониторинг щелкните элемент Развертывания.

  3. В списке Развертывания выберите развертывание политики соответствия, для которой требуется просмотреть сведения о соответствии.

  4. Сводные сведения о соответствии развертывания политики можно просмотреть на главной странице. Для просмотра подробных сведений выберите развертывание, а затем на вкладке Главная в группе Развертывание щелкните элемент Просмотр состояния, чтобы открыть страницу Состояние развертывания.

    Страница Состояние развертывания содержит следующие вкладки.

    - **Соответствует**. Содержит сведения о соответствии политики в зависимости от числа затронутых активов. Вы можете щелкнуть правило, чтобы создать временный узел в узле **Пользователи** или **Устройства**, находящемся в рабочей области **Активы и соответствие**. Этот узел будет включать всех пользователей и устройства, которые удовлетворяют данному правилу. В области **Сведения об активе** отображаются пользователи или устройства, соответствующие политике. Чтобы просмотреть дополнительные сведения, дважды щелкните пользователя или устройство в списке.

- **Ошибка**. Содержит список всех ошибок для выбранного развертывания политики в зависимости от числа затронутых активов. Можно щелкнуть правило, чтобы создать временный узел в узле **Пользователи** или **Устройства** рабочей области **Активы и соответствие**. Этот узел будет включать всех пользователей и устройства, которые содержат ошибки, связанные с этим правилом. При выборе ошибки в области **Сведения об активе** отображаются пользователи или устройства, затронутые выбранной проблемой. Чтобы просмотреть дополнительные сведения о проблеме, дважды щелкните пользователя или устройство в списке.

- **Не соответствует**. Содержит список всех несоответствующих правил в политике в зависимости от числа затронутых активов. Можно щелкнуть правило, чтобы создать временный узел в узле **Пользователи** или **Устройства** рабочей области **Активы и соответствие**. Этот узел будет включать всех пользователей и устройства, которые не соответствуют данному правилу. При выборе ошибки в области **Сведения об активе** отображаются пользователи или устройства, затронутые выбранной проблемой. Чтобы вывести дополнительные сведения о проблеме, дважды щелкните пользователя или устройство в списке.

- **Неизвестно**. Содержит список всех пользователей и устройств, не передавших данные о соответствии для выбранного развертывания политики, а также сведения о текущем состоянии клиента на устройствах.

Следующие действия

Теперь можно использовать политику соответствия с политиками условного доступа для управления доступом к службам в вашей организации.