31/01/2025
I en verden, hvor mobile enheder er uundværlige værktøjer i både professionelle og personlige liv, er det afgørende at sikre, at disse enheder overholder organisationens sikkerhedsstandarder. Microsoft Intune tilbyder en robust løsning til administration og sikring af enheder gennem compliance policies. Disse policies fungerer som et sæt regler og betingelser, der evaluerer enheders konfiguration og sikrer, at kun godkendte og sikre enheder får adgang til organisationens data og ressourcer. Dette artikel dykker ned i, hvad Intune compliance policies er, hvordan de fungerer, og hvordan de kan integreres med andre sikkerhedsforanstaltninger som Microsoft Entra Conditional Access for at skabe et stærkt forsvar mod uautoriseret adgang og datatab.
Hvad er Intune Compliance Policies?
Intune compliance policies er grundlæggende et sæt af definerede regler, som enheder skal overholde for at blive betragtet som 'compliant' af Intune. Disse regler kan omfatte alt fra operativsystemversioner, krypteringsstatus, adgangskoder, til tilstedeværelsen af skadelig software. Når en enhed administreres af Intune, evalueres den løbende i forhold til disse policies. Hvis en enhed ikke lever op til de definerede krav, markeres den som 'non-compliant'. Denne status kan derefter bruges til at udløse specifikke handlinger, såsom at blokere adgangen til følsomme virksomhedsdata eller at sende en notifikation til brugeren om at rette op på problemet.
Der er to primære områder inden for Intune compliance policies:
- Compliance policy settings: Dette er globale konfigurationer, der fungerer som en standard compliance policy for alle enheder i din Intune-tenant. De definerer den overordnede adfærd for, hvordan compliance håndteres, herunder hvordan enheder, der ikke er tildelt en specifik enhedsc compliance policy, skal behandles.
- Device compliance policies: Dette er de mere specifikke, platform-afhængige sæt af regler og indstillinger, som du implementerer på grupper af brugere eller enheder. Disse policies er kernen i din compliance-strategi og definerer de konkrete krav, enhederne skal opfylde.
Compliance Policy Settings: Den Globale Ramme
Compliance policy settings er de tenant-brede konfigurationer, der styrer, hvordan Intunes compliance-tjeneste interagerer med dine enheder. Disse indstillinger er adskilt fra de individuelle indstillinger, du konfigurerer i en specifik device compliance policy.
For at administrere disse indstillinger skal du logge ind på Microsoft Intune admin center og navigere til Endpoint security > Device compliance > Compliance policy settings.
Nogle af de vigtigste compliance policy settings inkluderer:
Mark devices with no compliance policy assigned as
Denne indstilling bestemmer, hvordan Intune behandler enheder, der ikke har fået tildelt en specifik device compliance policy. Den har to værdier:
- Compliant (standard): Når denne indstilling er valgt, er sikkerhedsfunktionen slået fra. Enheder uden en tildelt compliance policy betragtes som compliant. Dette kan være nyttigt i mindre restriktive miljøer eller under testfasen.
- Not compliant: Med denne indstilling slået til, betragtes enheder uden en tildelt compliance policy som non-compliant. Dette er en kritisk sikkerhedsfunktion, især hvis du bruger Conditional Access. Ved at sætte denne indstilling til 'Not compliant' sikrer du, at kun enheder, der eksplicit er bekræftet som compliant, kan få adgang til dine ressourcer. Hvis en slutbruger ikke er compliant, fordi der ikke er tildelt en policy til dem, vil Company Portal-appen vise en besked om, at ingen compliance policies er tildelt.
Compliance status validity period (days)
Denne indstilling definerer en tidsperiode, inden for hvilken enheder skal rapportere deres compliance-status for alle modtagne policies. Hvis en enhed undlader at rapportere sin status inden for denne gyldighedsperiode, behandles den som non-compliant. Standardperioden er 30 dage, men du kan konfigurere den til at være et sted mellem 1 og 120 dage. Du kan overvåge detaljer om enhedens compliance i forhold til denne indstilling ved at navigere til Devices > Monitor > Setting compliance. Indstillingen vises her som 'Is active' i kolonnen 'Setting'.
Device Compliance Policies: Definer Dine Krav
Device compliance policies er de konkrete regler, du opretter og tildeler til dine brugere og enheder. Disse policies er platform-specifikke, hvilket betyder, at du skal oprette separate policies for iOS, Android, Windows og macOS.
Med device compliance policies kan du:
- Definere regler og indstillinger: Fastlæg de krav, som brugere og administrerede enheder skal opfylde for at blive betragtet som compliant. Eksempler inkluderer:
- Minimum operativsystemversion (f.eks. kræv iOS 15 eller nyere).
- Forhindring af jailbreaking eller rooting af enheder.
- Krav om, at enheden skal være krypteret.
- Minimum kompleksitet af adgangskode/PIN.
- Tjek af enhedens trusselsniveau via integration med endpoint-detektions- og svarløsninger (EDR).
- Understøtte 'actions for noncompliance': Konfigurer handlinger, der skal iværksættes, når en enhed ikke overholder dine policies. Disse handlinger kan omfatte:
- Markering af enheden som non-compliant.
- Fjernlåsning af enheden.
- Afsendelse af en e-mail til enhedens bruger med information om status og vejledning til at rette op på problemet.
- Fjernelse af organisationens data fra enheden (remote wipe).
- Tildeling af et adgangsforbud via Conditional Access.
Policykonflikter og Tildelinger
Det er vigtigt at være opmærksom på, at nogle compliance policy-konfigurationer kan tilsidesætte indstillinger, der administreres gennem device configuration policies. Microsoft Intune har en mekanisme til at håndtere disse konflikter, men det er altid en god idé at gennemgå og forstå potentielle overlap for at undgå uventet adfærd.
Policies kan tildeles til brugere via brugergrupper eller til enheder via enhedsgrupper. Når en compliance policy tildeles en bruger, vil alle brugerens enheder blive kontrolleret for compliance. Brug af enhedsgrupper kan være særligt nyttigt til at organisere og rapportere om compliance-status.
Evaluering af Compliance
Ligesom med andre Intune policies, afhænger evalueringen af enheders compliance af, hvornår enheden synkroniserer med Intune, samt policy- og profilopdateringscyklusser. Enheder skal regelmæssigt 'checke ind' med Intune for at rapportere deres compliance-status.
De tilgængelige indstillinger i en device compliance policy varierer afhængigt af den valgte platform. Hver platform understøtter forskellige indstillinger og kræver en separat policy.
Overvågning af Compliance-Status
Intune tilbyder et omfattende device compliance dashboard, der giver dig et overblik over compliance-status for alle dine administrerede enheder. Her kan du dykke ned i specifikke policies og enheder for at få detaljeret information. Dette dashboard er et uvurderligt værktøj til at identificere potentielle sikkerhedsrisici og proaktivt adressere non-compliant enheder.
Du kan få adgang til dashboardet ved at navigere til Devices > Overview > Device compliance.
Integration med Microsoft Entra Conditional Access
Den mest kraftfulde anvendelse af Intune compliance policies opnås ved at integrere dem med Microsoft Entra Conditional Access. Conditional Access-politikker kan konfigureres til at bruge enheders compliance-resultater til at bestemme, hvilke enheder der får adgang til organisationens ressourcer, såsom e-mail, SharePoint eller interne applikationer.
Når en enhed tilmelder sig Intune, registreres den også i Microsoft Entra ID. Compliance-status rapporteres til Microsoft Entra ID. Hvis dine Conditional Access-politikker er konfigureret til at kræve, at enheden er markeret som 'compliant', vil Conditional Access bruge denne status til at give eller nægte adgang.
Dette skaber et ekstra lag af sikkerhed: En enhed kan være teknisk i stand til at oprette forbindelse, men hvis den ikke opfylder de definerede compliance-krav (f.eks. er ikke krypteret eller kører en forældet OS-version), vil Conditional Access blokere adgangen, indtil problemet er løst.
Vigtigheden af 'Mark devices with no compliance policy assigned as' ved Conditional Access
Det er afgørende at konfigurere indstillingen 'Mark devices with no compliance policy assigned as' korrekt, når du bruger Conditional Access. Hvis den er sat til 'Compliant' (standard), kan enheder uden en tildelt policy stadig få adgang til ressourcer, hvilket potentielt kompromitterer sikkerheden. Ved at sætte den til 'Not compliant' sikrer du, at kun enheder, der aktivt er blevet vurderet og fundet at være compliant, kan få adgang.
Håndtering af Non-Compliance på Tværs af Platforme
Hvordan en enhed håndteres, når den er non-compliant, kan variere afhængigt af platformen og den specifikke compliance-indstilling. Generelt kan handlingerne kategoriseres som 'Remediated' eller 'Quarantined'.
- Remediated: Enheden forsøger selv at håndhæve overholdelse. For eksempel kan brugeren blive tvunget til at indstille en PIN-kode på iOS- eller Windows-enheder.
- Quarantined: Enheden håndhæver ikke selv overholdelse. For eksempel kan Android-enheder muligvis ikke tvinge brugeren til at kryptere enheden. Når enheden er non-compliant i denne kategori, blokeres den typisk af en Conditional Access-policy, og brugeren får besked via Company Portal-appen om problemet.
Her er en oversigt over, hvordan forskellige compliance-indstillinger håndteres på tværs af platforme:
| Policy Indstilling | Platform | Tilladte Distros (Linux) | Håndtering ved Non-compliance |
|---|---|---|---|
| Device encryption | Android 4.0+ | Quarantined | |
| Samsung Knox Standard 4.0+ | Quarantined | ||
| Android Enterprise | Quarantined | ||
| iOS 8.0+ | Remediated (ved indstilling af PIN) | ||
| macOS 10.11+ | Quarantined | ||
| Linux | Quarantined | ||
| Windows 10/11 | Quarantined | ||
| Email profile | Android 4.0+ | Not applicable | |
| Samsung Knox Standard 4.0+ | Not applicable | ||
| Android Enterprise | Not applicable | ||
| iOS 8.0+ | Quarantined | ||
| macOS 10.11+ | Quarantined | ||
| Linux | Not applicable | ||
| Windows 10/11 | Not applicable | ||
| Jailbroken or rooted device | Android 4.0+ | Quarantined (ikke en indstilling) | |
| Samsung Knox Standard 4.0+ | Quarantined (ikke en indstilling) | ||
| Android Enterprise | Quarantined (ikke en indstilling) | ||
| iOS 8.0+ | Quarantined (ikke en indstilling) | ||
| macOS 10.11+ | Not applicable | ||
| Linux | Not applicable | ||
| Windows 10/11 | Not applicable | ||
| Maximum OS version | Android 4.0+ | Quarantined | |
| Samsung Knox Standard 4.0+ | Quarantined | ||
| Android Enterprise | Quarantined | ||
| iOS 8.0+ | Quarantined | ||
| macOS 10.11+ | Quarantined | ||
| Linux | Se Allowed Distros | ||
| Windows 10/11 | Quarantined | ||
| Minimum OS version | Android 4.0+ | Quarantined | |
| Samsung Knox Standard 4.0+ | Quarantined | ||
| Android Enterprise | Quarantined | ||
| iOS 8.0+ | Quarantined | ||
| macOS 10.11+ | Quarantined | ||
| Linux | Se Allowed Distros | ||
| Windows 10/11 | Quarantined | ||
| PIN or password configuration | Android 4.0+ | Quarantined | |
| Samsung Knox Standard 4.0+ | Quarantined | ||
| Android Enterprise | Quarantined | ||
| iOS 8.0+ | Remediated | ||
| macOS 10.11+ | Remediated | ||
| Linux | Quarantined | ||
| Windows 10/11 | Remediated | ||
| Windows health attestation | Android 4.0+ | Not applicable | |
| Samsung Knox Standard 4.0+ | Not applicable | ||
| Android Enterprise | Not applicable | ||
| iOS 8.0+ | Not applicable | ||
| macOS 10.11+ | Not applicable | ||
| Linux | Not applicable | ||
| Windows 10/11 | Quarantined |
Company Portal og Fejlfinding
Company Portal-appen spiller en central rolle i brugeroplevelsen. Når en enhed bliver non-compliant, modtager brugeren en notifikation via denne app. Appen guider også brugeren gennem processen med at rette op på eventuelle compliance-problemer. I tilfælde af langvarig inaktivitet eller manglende check-ins, kan Company Portal starte en 'enrollment remediation flow', hvor den forsøger at genoprette forbindelsen eller guider brugeren til manuelt at genregistrere enheden.
Opsummering og Bedste Praksis
Intune compliance policies er en fundamental del af en moderne mobilenhedsadministrationsstrategi. Ved at definere klare regler og integrere dem med Conditional Access kan organisationer effektivt beskytte deres data og ressourcer mod trusler fra usikre eller ukendte enheder.
- Start med det grundlæggende: Implementer minimumskrav som OS-version, en kryptering og en stærk adgangskode-policy.
- Brug Conditional Access: Maksimer sikkerheden ved at tvinge enheder til at være compliant, før de får adgang til ressourcer.
- Overvåg løbende: Brug compliance-dashboardet til at identificere og adressere non-compliant enheder proaktivt.
- Tilpas til platforme: Opret specifikke policies for hver enhedsplatform for at udnytte de mest relevante sikkerhedsindstillinger.
- Uddan brugerne: Sørg for, at brugerne forstår vigtigheden af compliance og ved, hvordan de skal reagere på notifikationer fra Company Portal.
Ved at implementere og vedligeholde effektive Intune compliance policies kan din organisation opnå et markant højere sikkerhedsniveau og minimere risikoen for databrud i en stadig mere forbundet verden.
Hvis du vil læse andre artikler, der ligner Intune Compliance Policies: Sikkerhed for dine enheder, kan du besøge kategorien Teknologi.