Windows intune windows 10

Параметры Windows 10 и более поздних версий, позволяющие пометить устройства как соответствующие или не соответствующие политике с помощью Intune Windows 10 and later settings to mark devices as compliant or not compliant using Intune

В этой статье перечислены и описаны параметры соответствия, которыми можно управлять на устройствах с Windows 10 и более поздних версий. This article lists and describes the different compliance settings you can configure on Windows 10 and later devices in Intune. Используйте эти параметры в рамках решения для управления мобильными устройствами, чтобы требовать BitLocker, задать минимальную и максимальную версию операционной системы, установить уровень риска с помощью Advanced Threat Protection (ATP) в Microsoft Defender и многое другое. As part of your mobile device management (MDM) solution, use these settings to require BitLocker, set a minimum and maximum operating system, set a risk level using Microsoft Defender Advanced Threat Protection (ATP), and more.

Данная функция применяется к: This feature applies to:

Windows 10 и более поздней версии Windows 10 and later
Windows Holographic for Business Windows Holographic for Business
Surface Hub. Surface Hub

Как администратор Intune используйте эти параметры соответствия для защиты ресурсов организации. As an Intune administrator, use these compliance settings to help protect your organizational resources. Дополнительные сведения о политиках соответствия требованиям и их действии см. в статье Начало работы с политиками соответствия устройств. To learn more about compliance policies, and what they do, see get started with device compliance.

Подготовка к работе Before you begin

Создание политики соответствия Create a compliance policy. В поле Платформа выберите Windows 10 и более поздние версии. For Platform, select Windows 10 and later.

Работоспособность устройств Device Health

Правила оценки службы подтверждения работоспособности Windows Windows Health Attestation Service evaluation rules

Требовать BitLocker. Require BitLocker:
Шифрование диска BitLocker шифрует все данные, хранящиеся на томе операционной системы Windows. Windows BitLocker Drive Encryption encrypts all data stored on the Windows operating system volume. BitLocker использует доверенный платформенный модуль (TPM) для защиты операционной системы Windows и пользовательских данных. BitLocker uses the Trusted Platform Module (TPM) to help protect the Windows operating system and user data. Он позволяет исключить возможность незаконного изменения данных на компьютере, даже если такой компьютер оставлен без присмотра, утерян или украден. It also helps confirm that a computer isn’t tampered with, even if its left unattended, lost, or stolen. Если компьютер снабжен совместимым доверенным платформенным модулем (TPM), BitLocker использует его для блокировки ключей шифрования, защищающих данные. If the computer is equipped with a compatible TPM, BitLocker uses the TPM to lock the encryption keys that protect the data. В результате ключи остаются недоступными, пока доверенный платформенный модуль не проверит состояние компьютера. As a result, the keys can’t be accessed until the TPM verifies the state of the computer.

Не настроено (по умолчанию) — этот параметр не учитывается при оценке соответствия требованиям. Not configured (default) — This setting isn’t evaluated for compliance or non-compliance.
Требовать — устройство может защищать данные, хранящиеся на диске, от несанкционированного доступа, когда система выключена или находится в спящем режиме. Require — The device can protect data that’s stored on the drive from unauthorized access when the system is off, or hibernates.

Требовать включение безопасной загрузки на устройстве. Require Secure Boot to be enabled on the device:

Не настроено (по умолчанию) — этот параметр не учитывается при оценке соответствия требованиям. Not configured (default) — This setting isn’t evaluated for compliance or non-compliance.
Требовать — при включенной безопасной загрузке система принудительно загружается в доверенном заводском состоянии. Require — The system is forced to boot to a factory trusted state. Основные компоненты, используемые для загрузки компьютера, должны иметь правильные криптографические подписи, которым доверяет организация, изготовившая устройство. The core components that are used to boot the machine must have correct cryptographic signatures that are trusted by the organization that manufactured the device. Встроенное ПО UEFI проверяет подпись, после чего позволяет запустить компьютер. The UEFI firmware verifies the signature before it lets the machine start. Система не выполнит загрузку, если произошло незаконное изменение файлов, что прервало их подпись. If any files are tampered with, which breaks their signature, the system doesn’t boot.

Параметр Обязательное включение безопасной загрузки на устройстве поддерживается на некоторых устройствах с доверенным платформенным модулем версий 1.2 и 2.0. The Require Secure Boot to be enabled on the device setting is supported on some TPM 1.2 and 2.0 devices. Для устройств, которые не поддерживают доверенный платформенный модуль версии 2.0 или более поздней, в Intune отображается состояние политики Несовместим. For devices that don’t support TPM 2.0 or later, the policy status in Intune shows as Not Compliant. Дополнительные сведения о поддерживаемых версиях см. в разделе Аттестация работоспособности устройств. For more information on supported versions, see Device Health Attestation.

Требовать целостность кода. Require code integrity:
Целостность кода — это функция, которая проверяет целостность драйвера или системного файла при каждой его загрузке в память. Code integrity is a feature that validates the integrity of a driver or system file each time it’s loaded into memory.

Не настроено (по умолчанию) — этот параметр не учитывается при оценке соответствия требованиям. Not configured (default) — This setting isn’t evaluated for compliance or non-compliance.
Требовать — требуется целостность кода, определяющая, загружается ли в ядро неподписанный драйвер или системный файл. Require — Require code integrity, which detects if an unsigned driver or system file is being loaded into the kernel. Он также определяет, был ли системный файл изменен вредоносным программным обеспечением или запущен учетной записью пользователя с правами администратора. It also detects if a system file is changed by malicious software or run by a user account with administrator privileges.

Дополнительные ресурсы: More resources:

Свойства устройства Device Properties

Версия операционной системы Operating System Version

Минимальная версия ОС. Minimum OS version:
Введите минимальную допустимую версию в формате основной_номер.дополнительный_номер.сборка.номер_накопительного_обновления. Enter the minimum allowed version in the major.minor.build.CU number format. Чтобы получить правильное значение, откройте командную строку и введите команду ver . To get the correct value, open a command prompt, and type ver . Команда ver возвращает номер версии в следующем формате: The ver command returns the version in the following format:

Microsoft Windows [Version 10.0.17134.1]

Если версия устройства более ранняя, чем указанная, оно считается несоответствующим. When a device has an earlier version than the OS version you enter, it’s reported as noncompliant. Приводится ссылка на сведения о том, как выполнить обновление. A link with information on how to upgrade is shown. При желании пользователь может обновить свои устройства. The end user can choose to upgrade their device. После этого он сможет получить доступ к ресурсам организации. After they upgrade, they can access company resources.

Максимальная версия ОС. Maximum OS version:
Введите максимальную допустимую версию в формате основной_номер.дополнительный_номер.сборка.номер_редакции. Enter the maximum allowed version, in the major.minor.build.revision number format. Чтобы получить правильное значение, откройте командную строку и введите команду ver . To get the correct value, open a command prompt, and type ver . Команда ver возвращает номер версии в следующем формате: The ver command returns the version in the following format:

Microsoft Windows [Version 10.0.17134.1]

Если устройство использует версию ОС, более позднюю по сравнению с указанной, доступ к ресурсам организации блокируется. When a device is using an OS version later than the version entered, access to organization resources is blocked. Пользователю будет предложено обратиться к ИТ-администратору. The end user is asked to contact their IT administrator. Пока вы не измените правило для разрешения конкретной версии ОС, это устройство не сможет получать доступ к ресурсам организации. The device can’t access organization resources until the rule is changed to allow the OS version.

Минимальная версия ОС для мобильных устройств. Minimum OS required for mobile devices:
Введите минимальную допустимую версию в формате основной_номер.дополнительный_номер.сборка.номер_сборки. Enter the minimum allowed version, in the major.minor.build number format.

Если версия устройства более ранняя, чем указанная, оно считается несоответствующим. When a device has an earlier version that the OS version you enter, it’s reported as noncompliant. Приводится ссылка на сведения о том, как выполнить обновление. A link with information on how to upgrade is shown. При желании пользователь может обновить свои устройства. The end user can choose to upgrade their device. После этого он сможет получить доступ к ресурсам организации. After they upgrade, they can access company resources.

Максимальная версия ОС для мобильных устройств. Maximum OS required for mobile devices:
Введите максимальную допустимую версию в формате основной_номер.дополнительный_номер.сборка.номер_сборки. Enter the maximum allowed version, in the major.minor.build number.

Допустимые сборки операционной системы. Valid operating system builds:
Укажите диапазон допустимых версий операционных систем, включая минимальную и максимальную. Enter a range for the acceptable operating systems versions, including a minimum and maximum. Вы также можете экспортировать список файлов допустимых номеров сборки с разделителями-запятыми (CSV-файл). You can also Export a comma-separated values (CSV) file list of these acceptable OS build numbers.

Соответствие Configuration Manager Configuration Manager Compliance

Применяется только к совместно управляемым устройствам под управлением Windows 10 или более поздней версией. Applies only to co-managed devices running Windows 10 and later. Устройства, работающие только с Intune, возвращают состояние «недоступно». Intune-only devices return a not available status.

Требовать соответствия устройств в Configuration Manager. Require device compliance from Configuration Manager:

Не настроено (по умолчанию) — Intune не проверяет какие-либо параметры Configuration Manager на соответствие. Not configured (default) — Intune doesn’t check for any of the Configuration Manager settings for compliance.

Требовать — нужно, чтобы все параметры (элементы конфигурации) в Configuration Manager соответствовали требованиям. Require — Require all settings (configuration items) in Configuration Manager to be compliant.

Например, можно затребовать установку всех обновлений программного обеспечения на устройствах. For example, you require all software updates to be installed on devices. В Configuration Manager это требование имеет состояние «Установлено». In Configuration Manager, this requirement has the «Installed» state. Если состояние каких-либо программ на устройстве неизвестно, устройство указано как несоответствующее в Intune. If any programs on the device are in an unknown state, then the device is non-compliant in Intune.

Используйте параметр Требовать соответствия устройств в Configuration Manager только в том случае, если рабочая нагрузка соответствия для совместного управления настроена для работы с Configuration Manager. Only use Require device compliance from Configuration Manager when the Compliance workload for co-management is set to Configuration Manager. При использовании этого параметра с рабочей нагрузкой соответствия, настроенной для работы с Intune, общая оценка соответствия может ухудшиться. When you use this setting with the Compliance workload set to Intune, it can affect overall compliance evaluations.

Безопасность системы System Security

Пароль Password

Требовать пароль для разблокировки мобильных устройств Require a password to unlock mobile devices:

Не настроено (по умолчанию) — этот параметр не учитывается при оценке соответствия требованиям. Not configured (default) — This setting isn’t evaluated for compliance or non-compliance.
Требовать — пользователи должны ввести пароль, прежде чем они смогут получить доступ к своему устройству. Require — Users must enter a password before they can access their device.

Простые пароли. Simple passwords:

Не настроено (по умолчанию) — пользователи могут создавать простые пароли, например 1234 или 1111. Not configured (default) — Users can create simple passwords, such as 1234 or 1111.
Блокировать — пользователи не могут создавать простые пароли, такие как 1234 или 1111. Block — Users can’t create simple passwords, such as 1234 or 1111.

Тип пароля. Password type:
Выберите требуемый тип пароля или PIN-кода. Choose the type of password or PIN required. Доступны следующие параметры: Your options:

Настройка устройства по умолчанию(по умолчанию) — требовать пароль, цифровой или буквенно-цифровой ПИН-код. Device default (default) — Require a password, numeric PIN, or alphanumeric PIN
Числовой — требовать пароль или цифровой ПИН-код. Numeric — Require a password or numeric PIN
Буквенно-цифровой — требовать пароль или буквенно-цифровой ПИН-код. Alphanumeric — Require a password, or alphanumeric PIN.

Если задано значение Буквенно-цифровой, доступны следующие параметры. When set to Alphanumeric, the following settings are available:

Сложность пароля: Password complexity:
Доступны следующие параметры: Your options:

Требовать цифры и строчные буквы (по умолчанию) Require digits and lowercase letters (default)
Требовать цифры, строчные и прописные буквыRequire digits, lowercase letters, and uppercase letters
Require digits, lowercase letters, uppercase letters, and special characters (Требуются цифры, строчные буквы, прописные буквы и специальные знаки) Require digits, lowercase letters, uppercase letters, and special characters

Правила для буквенно-цифровых паролей могут быть сложными. The Alphanumeric password policies can be complex. Мы рекомендуем администраторам читать CSP для получения дополнительных сведений: We encourage administrators to read the CSPs for more information:

Минимальная длина пароля. Minimum password length:
Введите минимальное число цифр или символов в пароле пользователя. Enter the minimum number of digits or characters that the password must have.

Максимальное время бездействия (в минутах), по истечении которого запрашивается пароль. Maximum minutes of inactivity before password is required:
Введите время бездействия, по истечении которого пользователю потребуется ввести пароль повторно. Enter the idle time before the user must reenter their password.

Срок действия пароля (в днях) . Password expiration (days):
Введите число дней (от 1 до 730), по истечении которых пользователь должен создать новый пароль. Enter the number of days before the password expires, and they must create a new one, from 1-730.

Число предыдущих паролей для запрета повторного использования. Number of previous passwords to prevent reuse:
Введите число предыдущих паролей, которые нельзя использовать повторно. Enter the number of previously used passwords that can’t be used.

Требовать пароль при возврате устройства в состояние простоя (Mobile и Holographic) . Require password when device returns from idle state (Mobile and Holographic):

Не настроено (по умолчанию) Not configured (default)
Требовать — обязательный ввод пароля пользователем при каждом выходе устройства из состояния простоя. Require — Require device users to enter the password every time the device returns from an idle state.

Когда на настольном компьютере Windows изменяются требования к паролю, это влияет на процедуру следующего входа пользователей (аналогично ситуации, когда устройство переходит из неактивного в активный режим). When the password requirement is changed on a Windows desktop, users are impacted the next time they sign in, as that’s when the device goes from idle to active. Пользователям с паролями, которые отвечают требованию, по-прежнему будет предлагаться изменить пароль. Users with passwords that meet the requirement are still prompted to change their passwords.

Encryption Encryption

Шифрование хранилища данных на устройстве. Encryption of data storage on a device:
Этот параметр применяется ко всем дискам на устройстве. This setting applies to all drives on a device.

Не настроено (по умолчанию) Not configured (default)
Требовать — используйте параметр Требовать для шифрования хранилища данных на ваших устройствах. Require — Use Require to encrypt data storage on your devices.

Параметр Шифрование хранилища данных на устройстве обычно проверяет наличие шифрования на устройстве, а именно на уровне диска ОС. The Encryption of data storage on a device setting generically checks for the presence of encryption on the device, more specifically at the OS drive level. Для более надежного шифрования можно указать параметр Требовать BitLocker, который использует подтверждение работоспособности устройства Windows, чтобы проверить состояние Bitlocker на уровне доверенного платформенного модуля. For a more robust encryption setting, consider using Require BitLocker, which leverages Windows Device Health Attestation to validate Bitlocker status at the TPM level.

Безопасность устройств Device Security

Брандмауэр. Firewall:

Не настроен (по умолчанию) — Intune не контролирует брандмауэр Microsoft Defender и не изменяет существующие параметры. Not configured (default) — Intune doesn’t control the Microsoft Defender Firewall, nor change existing settings.
Требовать— включает брандмауэр Microsoft Defender и не позволяет пользователям отключить его. Require — Turn on the Microsoft Defender Firewall, and prevent users from turning it off.

Если устройство немедленно синхронизируется после перезагрузки или сразу же синхронизируется при выходе из спящего режима, этот параметр может сообщить об ошибке. If the device immediately syncs after a reboot, or immediately syncs waking from sleep, then this setting may report as an Error. Этот сценарий может не влиять на общее состояние соответствия устройства. This scenario might not affect the overall device compliance status. Чтобы повторно оценить состояние соответствия, нужно вручную синхронизировать устройство. To re-evaluate the compliance status, manually sync the device.

Доверенный платформенный модуль (TPM) : Trusted Platform Module (TPM):

Не настроен (по умолчанию) — Intune не проверяет версию микросхемы доверенного платформенного модуля на устройстве. Not configured (default) — Intune doesn’t check the device for a TPM chip version.
Требовать — Intune проверяет версию микросхемы доверенного платформенного модуля на соответствие требованиям. Require — Intune checks the TPM chip version for compliance. Устройство соответствует требованиям, если версия микросхемы TPM больше 0 (нуля). The device is compliant if the TPM chip version is greater than 0 (zero). Устройство не соответствует требованиям, если на нем отсутствует версия TPM. The device isn’t compliant if there isn’t a TPM version on the device.

Антивирусная программа. Antivirus:

Не настроено (по умолчанию) — Intune не проверяет наличие антивирусных решений, установленных на устройстве. Not configured (default) — Intune doesn’t check for any antivirus solutions installed on the device.
Требовать — проверка соответствия с помощью антивирусных решений, зарегистрированных в Центре безопасности Windows, таких как Symantec и Microsoft Defender. Require — Check compliance using antivirus solutions that are registered with Windows Security Center, such as Symantec and Microsoft Defender.

Антишпионское ПО: Antispyware:

Не настроено (по умолчанию) — Intune не проверяет наличие антивирусных решений, установленных на устройстве. Not configured (default) — Intune doesn’t check for any antispyware solutions installed on the device.
Требовать — проверка соответствия с помощью решений антишпионского ПО, зарегистрированных в Центре безопасности Windows, таких как Symantec и Microsoft Defender. Require — Check compliance using antispyware solutions that are registered with Windows Security Center, such as Symantec and Microsoft Defender.

Защитник Defender

В Windows 10 Desktop поддерживаются следующие параметры соответствия. The following compliance settings are supported with Windows 10 Desktop.

Антивредоносная программа в Microsoft Defender. Microsoft Defender Antimalware:

Не настроен (по умолчанию) — Intune не контролирует службу и не изменяет существующие параметры. Not configured (default) — Intune doesn’t control the service, nor change existing settings.
Требовать — включает брандмауэр Microsoft Defender и не позволяет пользователям отключить его. Require — Turn on the Microsoft Defender anti-malware service, and prevent users from turning it off.

Минимальная версия антивредоносной программы в Microsoft Defender. Microsoft Defender Antimalware minimum version:
Введите минимально допустимую версию службы защиты от вредоносных программ Microsoft Defender. Enter the minimum allowed version of Microsoft Defender anti-malware service. Например, введите 4.11.0.0 . For example, enter 4.11.0.0 . Если оставить это поле пустым, можно использовать любую версию службы защиты от вредоносных программ Microsoft Defender. When left blank, any version of the Microsoft Defender anti-malware service can be used.

По умолчанию версия не настроена. By default, no version is configured.

Актуальность механизма обнаружения угроз антивредоносного ПО в Microsoft Defender. Microsoft Defender Antimalware security intelligence up-to-date:
Управляет обновлениями вирусов и защиты от угроз для системы безопасности Windows на устройствах. Controls the Windows Security virus and threat protection updates on the devices.

Не настроено (по умолчанию) — Intune не применяет требования. Not configured (default) — Intune doesn’t enforce any requirements.
Требовать — механизм обнаружения угроз Microsoft Defender принудительно поддерживается в актуальном состоянии. Require — Force the Microsoft Defender security intelligence be up-to-date.

Защита в режиме реального времени: Real-time protection:

Не настроен (по умолчанию) — Intune не контролирует функцию и не изменяет существующие параметры. Not configured (default) — Intune doesn’t control this feature, nor change existing settings.
Требовать — включает защиту в режиме реального времени на наличие вредоносных программ, шпионского ПО и другого нежелательного программного обеспечения. Require — Turn on real-time protection, which scans for malware, spyware, and other unwanted software.

ATP в Microsoft Defender Microsoft Defender ATP

Правила расширенной защиты от угроз в Microsoft Defender Microsoft Defender Advanced Threat Protection rules

Require the device to be at or under the machine risk score (Требовать тот же или более низкий уровень риска устройства). Require the device to be at or under the machine risk score:
Этот параметр позволяет использовать оценку рисков в службах защиты от угроз как условие для проверки соответствия требованиям. Use this setting to take the risk assessment from your defense threat services as a condition for compliance. Выберите максимально допустимый уровень угроз: Choose the maximum allowed threat level:

Не настроено (по умолчанию) Not configured (default)
Чистое — это самый безопасный уровень, при котором устройство не может содержать никаких угроз. Clear -This option is the most secure, as the device can’t have any threats. В случае обнаружения на устройстве угрозы любого уровня оно оценивается как не соответствующее требованиям. If the device is detected as having any level of threats, it’s evaluated as non-compliant.
Низкий — если обнаруженные на устройстве угрозы имеют низкий уровень, считается, что оно соответствует требованиям. Low — The device is evaluated as compliant if only low-level threats are present. Любая угроза с более высоким уровнем приводит к тому, что устройство признается несоответствующим требованиям. Anything higher puts the device in a non-compliant status.
Средний — если обнаруженные на устройстве угрозы имеют низкий или средний уровень, считается, что оно соответствует требованиям. Medium — The device is evaluated as compliant if existing threats on the device are low or medium level. Если на устройстве найдены угрозы с высоким уровнем, оно признается не соответствующим требованиям. If the device is detected to have high-level threats, it’s determined to be non-compliant.
Высокий — этот уровень является наименее безопасным и включает все уровни угроз. High — This option is the least secure, and allows all threat levels. Он может быть полезным при использовании решения только для формирования отчетов. It may be useful if you’re using this solution only for reporting purposes.

Чтобы настроить ATP (Advanced Threat Protection) в Microsoft Defender в качестве службы защиты от угроз, см. статью Обеспечение соответствия требованиям ATP в Microsoft Defender с помощью условного доступа в Intune. To set up Microsoft Defender ATP (Advanced Threat Protection) as your defense threat service, see Enable Microsoft Defender ATP with Conditional Access.

Windows Holographic for Business Windows Holographic for Business

Windows Holographic for Business использует платформу Windows 10 и более поздних версий. Windows Holographic for Business uses the Windows 10 and later platform. Windows Holographic for Business поддерживает следующие параметры: Windows Holographic for Business supports the following setting:

Безопасность системы >Шифрование >Encryption of data storage on device (Шифрование хранилища данных на устройстве). System Security >Encryption >Encryption of data storage on device.

Сведения о проверке шифрования устройства в Microsoft HoloLens см. в статье Проверка шифрования устройства. To verify device encryption on the Microsoft HoloLens, see Verify device encryption.

Surface Hub. Surface Hub

Surface Hub использует платформу Windows 10 и более поздних версий. Surface Hub uses the Windows 10 and later platform. Surface Hub поддерживается как для обеспечения соответствия требованиям, так и для условного доступа. Surface Hubs are supported for both compliance and Conditional Access. Чтобы включить эти функции в Surface Hub, мы рекомендуем включить автоматическую регистрацию Windows 10 в Intune (необходимо использовать Azure Active Directory (Azure AD)) и отметить устройства Surface Hub как группы устройств. To enable these features on Surface Hubs, we recommend you enable Windows 10 automatic enrollment in Intune (requires Azure Active Directory (Azure AD)), and target the Surface Hub devices as device groups. Surface Hub необходимо присоединить к Azure AD для работы функций обеспечения соответствия и условного доступа. Surface Hubs are required to be Azure AD joined for compliance and Conditional Access to work.

Источник