Configuration Manager 中的相容性原則
適用於: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1
本主題資訊僅適用於 System Center 2012 Configuration Manager SP1 或更新版本,以及 System Center 2012 R2 Configuration Manager 或更新版本。
Configuration Manager 中的相容性原則會定義裝置必須符合才能被條件式存取原則視為相容的規則與設定。 您也可以使用相容性原則,來監視和修復與條件式存取無關的裝置相容性問題。
.jpeg "System_CAPS_important") 重要事項 |
|---|
相容性原則只會套用至由 Microsoft Intune 管理的裝置。 |
這些規則包括:
PIN 和密碼
加密
裝置為 jailbroken 或根目錄
裝置上的電子郵件是否由 Intune 原則管理
需要最低 OS 版本 - 一般而言這取決於您公司的相容性原則與安全性需求。 這有助於防止存取因使用較舊的 OS 版本而可能具有安全性漏洞的裝置。
允許的最高 OS 版本 - 您可在測試之前或因為其他原因而選擇不支援最新的 OS 版本。 您可以選擇封鎖版本比您所指定還新的裝置。 在變更原則前,裝置將無法存取公司資源。
.jpeg "System_CAPS_note") 注意事項 |
|---|
若要使用最低和最高 OS 版本規則,則必須使用 System Center 2012 R2 Configuration Manager SP1 的最新條件存取擴充功能。 |
| 注意事項 |
|---|
在 Windows 作業系統 8.1 版的 Windows 電腦上回報為 6.3,而不是 8.1。 如果 Windows 的 OS 版本規則設為 Windows 8.1,則即使裝置具有 Windows OS 8.1,還是會回報為不相容。 請確定您針對最低和最高 OS 規則所設的回報 Windows 版本是正確的。 版本號碼必須符合 winver 命令所傳回的版本。 Windows Phone 沒有這個問題,版本會如預期般回報為 8.1。 |
您可以將相容性原則部署到使用者集合。 將相容性原則部署到使用者時,即會檢查所有使用者裝置的相容性。
下表列出相容性原則支援的裝置類型,以及在將該原則與條件式存取原則搭配使用時如何管理不相容的設定。
裝置類型: |
PIN 碼或密碼設定 |
裝置加密 |
Jailbroken 或根目錄的裝置 |
電子郵件設定檔 |
最低 OS 版本 |
最高 OS 版本 |
|---|---|---|---|---|---|---|
Windows 8.1 及更新版本 |
已修復 |
N/A |
N/A |
N/A |
已隔離 |
已隔離 |
Windows Phone 8.1 和更新版本 |
已修復 |
已修復 |
N/A |
N/A |
已隔離 |
已隔離 |
iOS 6.0 和更新版本 |
已修復 |
已修復 (藉由設定 PIN 碼) |
隔離 (非設定) |
已隔離 |
已隔離 |
已隔離 |
Android 4.0 及更新版本 |
已隔離 |
已隔離 |
隔離 (非設定) |
N/A |
已隔離 |
已隔離 |
Samsung KNOX 標準 4.0 及更新版本 |
已隔離 |
已隔離 |
隔離 (非設定) |
N/A |
已隔離 |
已隔離 |
已修復= 相容性由裝置作業系統執行 (例如強制使用者設定 PIN 碼)。 永遠不可能發生設定值不相容的情況。
已隔離 = 裝置作業系統不會強制要求相容性 (例如,Android 裝置不會強制要求使用者加密裝置)。 在此情況下:
如果使用者是條件式存取原則的目標,則將會封鎖該裝置。
公司入口網站或 Web 入口網站將通知使用者任何相容性相關問題。
步驟 1:建立法務遵循政策
-
在 Configuration Manager 主控台中,按一下 [資產與相容性]。
-
在 [資產與相容性] 工作區中,展開 [相容性設定],然後按一下 [相容性原則]。
-
在 [常用] 索引標籤的 [建立] 群組中,按一下 [建立相容性原則]。
-
在 [建立相容性原則精靈] 的 [一般] 頁面上,指定下列資訊:
設定
詳細資訊
Name
輸入相容性原則的唯一名稱。 您最多可以使用 256 個字元。
說明
輸入一段描述以提供 VPN 設定檔的概觀,並協助在 Configuration Manager 主控台中進行識別。 您最多可以使用 256 個字元。
報告的不相容嚴重性
指定在這個相容性原則評估為不相容時所報告的嚴重性等級。 可用的嚴重性等級如下:
無:不符合這項相容性規則的裝置不會回報 Configuration Manager 報告的失敗嚴重性。
資訊:不符合這項相容性規則的裝置會回報 Configuration Manager 報告的 [資訊] 失敗嚴重性。
警告:不符合這項相容性規則的裝置會回報 Configuration Manager 報告的 [警告] 失敗嚴重性。
重大:不符合這項相容性規則的裝置會回報 Configuration Manager 報告的 [重大] 失敗嚴重性。
重大事件:不符合這項相容性規則的裝置會回報 Configuration Manager 報告的 [重大] 失敗嚴重性。 這個嚴重性層級也會在應用程式事件記錄檔中記錄為 Windows 事件。
-
在 [支援的平台] 頁面上,選擇這項相容性原則評估所在的裝置平台,或按一下 [全選] 選擇所有裝置平台。
-
在 [規則] 頁面上,您可以定義一或多項規則,以定義裝置必須具備才能評估為相容的設定。 下表顯示可用的規則。 當您建立相容性原則時,預設會啟用一些規則,但您可以編輯或刪除這些規則。
規則名稱
詳細資訊
支援的平台
行動裝置需要密碼設定
要求使用者輸入密碼,然後才能存取裝置。
(預設為啟用)
Windows Phone 8 和更新版本
iOS 6 和更新版本
Android 4.0 及更新版本
Samsung KNOX 標準 4.0 及更新版本
允許簡單密碼
讓使用者能夠建立簡單密碼,例如 ‘1234’ 或 ‘1111’。
(預設為停用)
Windows Phone 8 和更新版本
iOS 6 和更新版本
最小密碼長度1
指定使用者密碼中至少必須包含的數字位數或字元數。
(預設為 6)
Windows Phone 8 和更新版本
Windows 8.1
iOS 6 和更新版本
Android 4.0 及更新版本
Samsung KNOX 標準 4.0 及更新版本
在行動裝置上執行檔案加密
裝置必須加密,才能連接到資源。
執行 Windows Phone 8 的裝置會自動加密。
重要事項如有設定 [行動裝置需要密碼設定],執行 iOS 的裝置會加密。
(預設為啟用)
Windows Phone 8 和更新版本
Android 4.0 及更新版本
Samsung KNOX 標準 4.0 及更新版本
裝置不得是 Jailbroken 或根目錄
如有啟用,Jailbroken (iOS) 或根目錄 (Android) 裝置將變會不相容。
(預設為停用)
iOS 6 和更新版本
Android 4.0 及更新版本
Samsung KNOX 標準 4.0 及更新版本
電子郵件設定檔必須由 Intune 管理
選取這個選項時,如果使用者在符合 IT 系統管理員部署到裝置之電子郵件設定檔的裝置上設定電子郵件帳戶,就會將該裝置回報為不相容。Configuration Manager 無法覆寫使用者所佈建的設定檔,因此也無法加以管理。
為確保相容,使用者必須先移除現有的電子郵件設定,讓 Configuration Manager 可以安裝受管理電子郵件設定檔。
如需電子郵件設定檔的詳細資訊,請參閱將電子郵件設定檔與 Microsoft Intune 搭配使用,以存取公司電子郵件。
(預設為停用)
iOS 6 和更新版本
電子郵件設定檔
如有選取 [電子郵件帳戶必須由 Intune 管理],請按一下 [選取],以選擇裝置必須受管理的電子郵件設定檔。 電子郵件設定檔必須在裝置上。
iOS 6 和更新版本
需要最低 OS
當裝置不符合最低的 OS 版本需求時,將會回報為不相容。 會顯示如何升級的資訊連結。 終端使用者可以選擇升級裝置,之後便可以存取公司資源。
Windows Phone 8 和更新版本
Windows 8.1
iOS 6 和更新版本
Android 4.0 及更新版本
Samsung KNOX 標準 4.0 及更新版本
允許的最高 OS 版本
當裝置使用的 OS 版本晚於規則中所指定的版本時,系統便會封鎖對公司資源的存取權,並要求使用者連絡其 IT 管理員。 在將規則變更為允許該 OS 版本之前,此裝置無法用來存取公司資源。
Windows Phone 8 和更新版本
Windows 8.1
iOS 6 和更新版本
Android 4.0 及更新版本
Samsung KNOX 標準 4.0 及更新版本
1 對於執行 Windows 並使用 Microsoft 帳戶保護的裝置,若 [密碼長度下限] 超過 8 個字元,或 [字元集數目下限] 大於 2,相容性原則將無法正確進行評估。
-
在精靈的 [摘要] 頁面上,檢閱您所進行的設定,然後完成精靈。
新的原則會顯示在 [資產與相容性] 工作區的 [相容性原則] 節點中。
部署相容性原則
-
在 Configuration Manager 主控台中,按一下 [資產與相容性]。
-
在 [資產與相容性] 工作區中,展開 [相容性設定],然後按一下 [相容性原則]。
-
在 [首頁] 索引標籤的 [部署] 群組中,按一下 [部署]。
-
在 [部署相容性原則] 對話方塊中,按一下 [瀏覽] 選取要部署原則的使用者集合。
此外,您可以選取選項以在原則不相容時產生警示,同時設定評估這項原則是否相符所依據的排程。
-
完成之後,請按一下 [確定]。
監視相容性原則
在 Configuration Manager 主控台中檢視相容性結果
-
在 Configuration Manager 主控台中,按一下 [監視]。
-
在 [監視] 工作區中按一下 [部署]。
-
在 [部署] 清單中,選取您要檢閱相容性資訊的相容性原則部署。
-
您可以在主頁面檢閱有關原則部署相容性的摘要資訊。 若要檢視更詳細的資訊,請選取部署,然後在 [常用] 索引標籤的 [部署] 群組中,按一下 [檢視狀態] 以開啟 [部署狀態] 頁面。
[部署狀態] 頁面包含下列索引標籤:
- **相容性**:根據受影響的資產數目,顯示原則的相容性。 您可以按一下規則,在 \[資產與相容性\] 工作區的 \[使用者\] 或 \[裝置\] 節點下方建立臨時節點,其中包含與這項規則相容的所有使用者或裝置。 \[資產詳細資料\] 窗格會顯示與這項原則相容的使用者或裝置。 按兩下清單中的使用者或裝置以顯示其他資訊。 - **錯誤**:根據受影響的資產數目,顯示一份所選原則部署的所有錯誤清單。 您可以按一下規則,在 \[資產與相容性\] 工作區的 \[使用者\] 或 \[裝置\] 節點下方建立臨時節點,其中包含因這項規則而產生錯誤的所有使用者或裝置。 當您選取使用者或裝置時,\[資產詳細資料\] 窗格會顯示受到所選問題影響的使用者或裝置。 按兩下清單中的使用者或裝置以顯示這個問題的其他資訊。 - **不相容**:根據受影響的資產數目,顯示一份原則中所有不相容規則的清單。 您可以按一下規則,在 \[資產與相容性\] 工作區的 \[使用者\] 或 \[裝置\] 節點下方建立臨時節點,其中包含與這項規則不相容的所有使用者或裝置。 當您選取使用者或裝置時,\[資產詳細資料\] 窗格會顯示受到所選問題影響的使用者或裝置。 按兩下清單中的使用者或裝置以顯示這個問題的進一步資訊。 - **未知**:顯示未針對所選原則部署回報相容性的所有使用者和裝置清單,以及裝置目前的用戶端狀態。
後續步驟
您現在可以使用相容性原則搭配條件式存取原則,在組織中控制服務的存取。