Share via

  • 项目

Configuration Manager 中的符合性策略

 

适用对象:System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1

本主题中的信息适用于 System Center 2012 Configuration Manager SP1 和更高版本以及 System Center 2012 R2 Configuration Manager 和更高版本。

配置管理器 中的符合性策略定义设备必须遵从的规则和设置,以便被视为符合条件访问策略。 也可使用符合性策略来监视和修正独立于条件访问的设备符合性问题。

System_CAPS_important重要事项

符合性策略仅适用于由 Microsoft Intune 托管的设备。

这些规则包括:

  • PIN 和密码

  • 加密

  • 设备是否已越狱或取得 root 权限

  • 设备上的电子邮件是否由 Intune 策略管理

  • 所需的最低操作系统版本 - 这通常取决于你公司的符合性策略和安全要求。 这有助于防止访问可能因使用较旧的操作系统版本而具有安全漏洞的设备。

  • 允许的最高操作系统版本 - 你可以选择不支持在测试之前或因其他原因提供的最新操作系统版本。 你可以选择阻止版本高于你所指定版本的设备。 该设备不能访问公司资源,直至策略变更。

System_CAPS_note注意

为使用最低和最高操作系统版本规则,你必须使用 System Center 2012 R2 Configuration Manager SP1 的最新条件访问扩展。
System_CAPS_note注意

在 Windows PC 上,Windows 操作系统版本 8.1 被报告为 6.3 而非 8.1。 对于 Windows,如果操作系统版本规则设置为 Windows 8.1,则该设备将报告为不符合要求,即使该设备具有 Windows 操作系统 8.1 也是如此。 确保针对最低和最高操作系统规则设置正确的 Windows“报告”版本。 版本号必须与 winver 命令返回的版本一致。

Windows Phone 不具有此问题,版本按预期报告为 8.1。

将符合性策略部署到用户集合。 将合规性策略部署到用户后,会对所有用户设备检查合规性。

下表列出了合规性策略支持的设备类型,也列出了当该策略与条件访问策略一起使用时托管不符合合规性的设置的方式。

设备类型

PIN 或密码配置

设备加密

已越狱或取得 root 权限的设备

电子邮件配置文件

最低操作系统版本

最高操作系统版本

Windows 8.1 及更高版本

已修正

不适用

不适用

不适用

已隔离

已隔离

Windows Phone 8.1 及更高版本

已修正

已修正

不适用

不适用

已隔离

已隔离

iOS 6.0 及更高版本

已修正

已修正(通过设置 PIN)

已隔离(非设置)

已隔离

已隔离

已隔离

Android 4.0 及更高版本

已隔离

已隔离

已隔离(非设置)

不适用

已隔离

已隔离

Samsung KNOX 标准版 4.0 和更高版本

已隔离

已隔离

已隔离(非设置)

不适用

已隔离

已隔离

修正 = 法规遵从性由设备操作系统强制执行(例如,强制用户设置 PIN)。 设置永远不会不符合要求。

已隔离 = 设备操作系统并不强制合规性(例如,Android 设备不强制用户加密设备)。 这种情况下:

  • 如果条件访问策略将用户作为目标,则会阻止设备。

  • 公司门户或 Web 门户将通知用户任何合规性问题。

步骤 1:创建符合性策略

  1. 在 配置管理器 控制台中,单击“资产和符合性”。

  2. 在“资产和符合性”工作区中,展开“符合性设置”,然后单击“符合性策略”。

  3. 在“主页”选项卡上的“创建”组中,单击“创建符合性策略”。

  4. 在“创建符合性策略向导”的“常规”页上,指定下列信息:

    设置

    更多信息

    Name

    输入合规性策略的唯一名称。 最多可以使用 256 个字符。

    描述

    输入对 VPN 配置文件进行概述以及可帮助在 配置管理器 控制台中对其进行识别的描述。 最多可以使用 256 个字符。

    报表的不符合性严重程度

    指定此合规性策略被评估为不符合时报告的严重性级别。 可用的严重性级别如下:

    • “不报告”- 对于 配置管理器 报表,不符合此符合性规则的设备不报告故障严重性。

    • “信息”- 对于 配置管理器 报表,不符合此符合性规则的设备将报告“信息”这一故障严重性。

    • “警告”- 对于 配置管理器 报表,不符合此符合性规则的设备将报告“警告”这一故障严重性。

    • “严重”- 对于 配置管理器 报表,不符合此符合性规则的设备将报告“严重”这一故障严重性。

    • “事件严重”- 对于 配置管理器 报表,不符合此符合性规则的设备将报告“严重”这一故障严重性。 应用程序事件日志中也会以 Windows 事件的形式记录此严重性级别。

  5. 在“受支持的平台”页上,选择将在其上评估符合性策略的设备平台,或者单击“选择全部”以选择所有设备平台。

  6. 在“规则”页上,定义一个或多个规则,这些规则定义设备为评估为合规而必需具有的配置。 下表显示可用的规则。 当创建符合性策略时,会默认启用某些规则,但你可以编辑或删除这些规则。

    规则名称

    更多信息

    受支持的平台

    移动设备上需要密码设置

    要求用户输入密码后才能访问其设备。

    (默认情况下启用)

    • Windows Phone 8 及更高版本

    • iOS 6 及更高版本

    • Android 4.0 及更高版本

    • Samsung KNOX 标准版 4.0 和更高版本

    允许简单密码

    用户可以创建简单密码,如“1234”或“1111”。

    (默认情况下禁用)

    • Windows Phone 8 及更高版本

    • iOS 6 及更高版本

    最短密码长度1

    指定用户密码必须包含的最小位数或最小字符数。

    (默认值为 6

    • Windows Phone 8 及更高版本

    • Windows 8.1

    • iOS 6 及更高版本

    • Android 4.0 及更高版本

    • Samsung KNOX 标准版 4.0 和更高版本

    移动设备上的文件加密

    要求设备进行加密以连接到资源。

    运行 Windows Phone 8 的设备进行自动加密。

    System_CAPS_important重要事项

    当配置设置“移动设备上需要密码设置”时,运行 iOS 的设备将加密。

    (默认情况下启用)

    • Windows Phone 8 及更高版本

    • Android 4.0 及更高版本

    • Samsung KNOX 标准版 4.0 和更高版本

    设备不能已越狱或取得 root 权限

    如果启用,已越狱 (iOS) 或取得 root 权限的 (Android) 设备将不会符合。

    (默认情况下禁用)

    • iOS 6 和更高版本

    • Android 4.0 及更高版本

    • Samsung KNOX 标准版 4.0 和更高版本

    必须由 Intune 管理电子邮件配置文件

    选中此选项后,如果用户已在设备上设置了电子邮件帐户,且该账户匹配 IT 管理员部署到设备上的电子邮件配置文件,那么设备将被报告为不符合要求。配置管理器 不能覆盖用户设置的配置文件,因此无法管理它。

    要确保符合性,用户必须删除现有的电子邮件设置,然后 配置管理器 可以安装托管的电子邮件配置文件。

    有关电子邮件配置文件的详细信息,请参阅使用 Microsoft Intune 启用对使用电子邮件配置文件的公司电子邮件的访问

    (默认情况下禁用)

    • iOS 6 和更高版本

    电子邮件配置文件

    如果“必须由 Intune 管理电子邮件帐户”处于选中状态,单击“选择”以选择设备必须由其管理的电子邮件配置文件。 电子邮件配置文件必须存在于设备上。

    • iOS 6 及更高版本

    所需的最低操作系统

    当设备不满足最低操作系统版本要求时,它将被报告为不符合要求。 将显示一个链接,链接中包含有关如何升级的信息。 最终用户可以选择升级其设备,升级后他们将可以访问公司资源。

    • Windows Phone 8 及更高版本

    • Windows 8.1

    • iOS 6 及更高版本

    • Android 4.0 及更高版本

    • Samsung KNOX 标准版 4.0 和更高版本

    允许的最高操作系统版本

    当设备使用的操作系统版本高于规则中指定的版本时,将阻止访问公司资源,并要求用户联系其 IT 管理员。 除非变更规则以允许该操作系统版本,否则该设备将不能用于访问公司资源。

    • Windows Phone 8 及更高版本

    • Windows 8.1

    • iOS 6 及更高版本

    • Android 4.0 及更高版本

    • Samsung KNOX 标准版 4.0 和更高版本

    1 对于运行 Windows 和配备 Microsoft 帐户的设备,合规性策略将无法正确评估最短密码长度是否超过 8 个字符或者最小字符集数是否大于 2。

  7. 在向导的“摘要”页上,查看已作出的设置,然后完成向导。

新的策略将在“资产和符合性”工作区的“符合性策略”节点处显示。

部署合规性策略

  1. 在 配置管理器 控制台中,单击“资产和符合性”。

  2. 在“资产和符合性”工作区中,展开“符合性设置”,然后单击“符合性策略”。

  3. 在“主页”选项卡上的“部署”组中,单击“部署”。

  4. 在“部署符合性策略”对话框中,单击“浏览”以选择要将策略部署到的用户集合。

    此外,当策略不合规时可以选择选项以生成警报,还可配置将按其评估策略符合性的计划。

  5. 完成后,请单击“确定”。

监视合规性策略

在 Configuration Manager 控制台查看符合性结果

  1. 在 配置管理器 控制台中,单击“监视”。

  2. 在“监视”工作区中,单击“部署”。

  3. 在“部署”列表中,选择要查看其符合性信息的符合性策略部署。

  4. 你可以在主页上查看有关策略部署符合性的摘要信息。 若要查看更详细的信息,请选择部署,然后在“主页”选项卡上的“部署”组中,单击“查看状态”以打开“部署状态”页。

    “部署状态”页包含下列选项卡:

    - “符合性”:显示基于受影响资产数量的策略符合性。 你可以单击规则以在“资产和符合性”工作区中的“用户”或“设备”节点下创建一个临时节点,其中包含符合此规则的所有用户或设备。 “资产详细信息”窗格显示符合策略的用户或设备。 双击列表中的用户或设备以显示其他信息。

- “错误”:显示基于受影响资产数量的所选策略部署的所有错误的列表。 你可以单击规则以在“资产和符合性”工作区的“用户”或“设备”节点下创建一个临时节点,其中包含对于此规则生成了错误的所有用户或设备。 当你选择某个用户或设备时,“资产详细信息”窗格将显示受所选问题影响的用户或设备。 双击列表中的用户或设备以显示有关问题的其他信息。

- “不符合性”:显示基于受影响资产数量的策略内所有不符合规则的列表。 你可以单击规则以在“资产和符合性”工作区的“用户”或“设备”节点下创建一个临时节点,其中包含不符合此规则的所有用户或设备。 当你选择某个用户或设备时,“资产详细信息”窗格将显示受所选问题影响的用户或设备。 双击列表中的用户或设备以显示有关问题的进一步信息。

- “未知”:显示没有为所选策略部署报告符合性的所有用户和设备的列表,以及设备的当前客户端状态。

后续步骤

现在可将合规性策略与条件访问策略一起使用,以便控制对组织中服务的访问。