Microsoft Intune – zgodność urządzeń w firmie krok po kroku

Czym są polityki zgodności w Microsoft Intune?

Polityka zgodności (compliance policy) to zestaw reguł i wymagań, które urządzenie musi spełnić, by zostać uznane za bezpieczne. Microsoft Intune regularnie sprawdza każde zarządzane urządzenie i nadaje mu jeden z trzech statusów: zgodne (Compliant), niezgodne (Not Compliant) lub bez oceny (Not Evaluated – brak danych lub brak przypisanej polityki).

Status zgodności nabiera szczególnego znaczenia w połączeniu z Dostępem warunkowym (Conditional Access) w Microsoft Entra ID. Dzięki tej integracji możesz automatycznie zablokować dostęp do poczty, Microsoft Teams czy SharePoint urządzeniom, które nie spełniają wymagań – na przykład nie mają włączonego szyfrowania dysku lub korzystają z przestarzałej wersji systemu operacyjnego.

Typowe wymagania definiowane w politykach zgodności obejmują:

• Szyfrowanie dysku (BitLocker dla Windows, FileVault dla macOS)
• Aktywny program antywirusowy i zapora sieciowa (firewall)
• Minimalną wymaganą wersję systemu operacyjnego
• Wymagania dotyczące hasła lub PINu urządzenia
• Brak rootowania lub jailbreaka (dla Android i iOS)
• Włączone skanowanie w czasie rzeczywistym przez Microsoft Defender

Wymagania wstępne przed konfiguracją

Zanim zaczniesz tworzyć polityki zgodności w Intune, upewnij się, że spełniasz następujące warunki:

• Licencje: Do korzystania z polityk zgodności potrzebujesz licencji Microsoft 365 Business Premium, Microsoft 365 E3/E5 lub samodzielnej licencji Microsoft Intune Plan 1. Wszystkie te plany obsługują pełną funkcjonalność compliance.
• Rejestracja urządzeń w Intune: Polityki działają wyłącznie na urządzeniach zarejestrowanych w Intune. Możesz je rejestrować przez Windows Autopilot, ręcznie z poziomu ustawień systemu lub automatycznie przez Microsoft Entra Join.
• Uprawnienia administratora: Do konfiguracji potrzebujesz roli Intune Administrator lub Global Administrator w Microsoft Entra ID.
• Grupy użytkowników lub urządzeń: Polityki zgodności przypisujesz do grup w Microsoft Entra ID, dlatego warto wcześniej przygotować logiczne grupy – na przykład według działu lub typu urządzenia.

Opcjonalnie: jeśli chcesz egzekwować zgodność przez blokowanie dostępu do zasobów, skonfiguruj wcześniej polityki Conditional Access w Microsoft Entra ID. Bez nich urządzenie niezgodne zostanie oznaczone jako niezgodne w systemie, ale dostęp nie będzie automatycznie blokowany.

Konfiguracja polityki zgodności dla Windows 10 i 11

Poniżej znajdziesz kroki konfiguracji podstawowej polityki zgodności dla urządzeń Windows w centrum administracyjnym Intune:

1. Zaloguj się do centrum administracyjnego Intune (intune.microsoft.com) jako administrator.
2. Przejdź do Devices > Compliance policies > Create policy.
3. Wybierz platformę Windows 10 and later i kliknij Create.
4. W zakładce Basics podaj nazwę polityki, np. Zgodnosc – Windows firmowy, oraz opcjonalny opis.
5. W zakładce Compliance settings, sekcja Device Health: włącz wymaganie BitLocker, Secure Boot i Code Integrity.
6. W sekcji Device Properties ustaw minimalną wersję OS, np. 10.0.19045 (Windows 10 22H2) lub 10.0.22621 (Windows 11 22H2).
7. W sekcji System Security wymagaj hasła (min. 8 znaków), szyfrowania dysku, aktywnego antywirusa, firewalla i ochrony w czasie rzeczywistym przez Microsoft Defender.
8. W zakładce Actions for noncompliance zdefiniuj reakcję na urządzenia niezgodne – szczegóły w kolejnej sekcji.
9. W zakładce Assignments przypisz politykę do wybranej grupy użytkowników lub urządzeń.
10. Przejrzyj ustawienia w Review + create i potwierdź, klikając Create.

Polityka zaczyna działać zazwyczaj w ciągu kilku do kilkunastu minut od przypisania – Intune wymusi synchronizację z urządzeniami przy najbliższym meldowaniu (check-in).

Polityki zgodności dla urządzeń mobilnych (iOS i Android)

W firmach, w których pracownicy obsługują pocztę lub aplikacje biznesowe na smartfonach, warto skonfigurować odrębne polityki dla urządzeń mobilnych. Kluczowe ustawienia różnią się w zależności od systemu.

Dla urządzeń iOS/iPadOS:

• Minimalna wersja systemu: iOS 16 lub nowszy
• Wymaganie kodu dostępu (passcode) – bez tego urządzenie jest niezgodne
• Maksymalny czas bezczynności ekranu przed automatycznym zablokowaniem
• Blokada urządzeń z jailbreakiem: Yes – jeden z najważniejszych parametrów dla iOS
• Minimalna wersja poprawek zabezpieczeń

Dla urządzeń Android:

• Minimalna wersja systemu: Android 10 lub nowszy
• Blokada urządzeń z rootem: Yes
• Wymaganie szyfrowania całego urządzenia
• Minimalny poziom poprawek bezpieczeństwa (zalecane: nie starszy niż 90 dni)
• Typ wymaganego hasła: alfanumeryczne, minimum 8 znaków

Pamiętaj, że dla urządzeń prywatnych pracowników (BYOD) możesz zastosować łagodniejsze wymagania lub skorzystać z zasad ochrony aplikacji (App Protection Policies), zamiast pełnego zarządzania całym urządzeniem.

Działania w przypadku niezgodności – co ustawić?

Każda polityka zgodności wymaga zdefiniowania, co ma się wydarzyć, gdy urządzenie nie spełni wymagań. Intune oferuje kilka Actions for noncompliance, które możesz skonfigurować niezależnie dla różnych przedziałów czasowych:

• Mark device as noncompliant – natychmiast lub po zdefiniowanym czasie karencji (np. 3 dni). Daje to użytkownikom czas na samodzielne naprawienie problemu zanim stracą dostęp.
• Send email to end user – automatyczna wiadomość do użytkownika z informacją o niezgodności i instrukcją naprawy. Treść możesz dostosować w sekcji Notification message templates.
• Send push notification – powiadomienie push bezpośrednio na urządzeniu mobilnym użytkownika.
• Remotely lock the device – zdalne zablokowanie urządzenia po dłuższym czasie niezgodności (np. 14 dni).
• Retire – usunięcie danych firmowych z urządzenia po bardzo długim czasie niezgodności (np. 30 dni). Tej opcji używaj z rozwagą i tylko po konsultacji z działem prawnym lub HR.

Zalecana konfiguracja dla MŚP: ustaw okres karencji 3–5 dni przed oznaczeniem urządzenia jako niezgodne, automatyczną wiadomość e-mail od razu po wykryciu niezgodności, a blokadę dostępu przez Conditional Access dopiero po upływie okresu karencji. Taka konfiguracja jest skuteczna, ale nie penalizuje użytkowników za drobne opóźnienia w aktualizacjach systemu.

Monitorowanie zgodności i raportowanie w Intune

Po wdrożeniu polityk warto regularnie monitorować stan zgodności urządzeń w firmie. Microsoft Intune oferuje kilka przydatnych widoków i raportów dostępnych w centrum administracyjnym:

• Devices > Monitor > Device compliance – ogólny przegląd statusu wszystkich urządzeń: ile jest zgodnych, niezgodnych i bez przypisanej polityki.
• Device compliance report – szczegółowy raport na poziomie każdego urządzenia: jakie polityki są przypisane, jaki jest status i kiedy odbyło się ostatnie sprawdzenie.
• Setting compliance report – raport pokazujący, które konkretne ustawienia powodują niezgodność. Bardzo przydatny do identyfikacji najczęstszych problemów w firmie.
• Noncompliant devices report – lista urządzeń niezgodnych z możliwością szybkiego podjęcia działań.

Intune integruje się także z Microsoft Defender for Endpoint – jeśli posiadasz tę licencję, możesz wzbogacić polityki zgodności o sygnały zagrożeń, takie jak poziom ryzyka urządzenia (Device risk level). Urządzenie z aktywnym zagrożeniem zostanie automatycznie oznaczone jako niezgodne i utraci dostęp do zasobów firmy.

Jeśli konfiguracja Microsoft Intune wydaje Ci się skomplikowana lub brakuje Ci zasobów do samodzielnego wdrożenia, NovaSys oferuje profesjonalne wsparcie IT dla MŚP we Wrocławiu – od konfiguracji środowiska po bieżący monitoring zgodności urządzeń.