Použití vlastních zásad dodržování předpisů a nastavení pro zařízení s Linuxem a Windows s Microsoft Intune

  • Článek

Rozšířením integrovaných možností dodržování předpisů zařízením v Intune použijte zásady pro vlastní nastavení dodržování předpisů pro spravovaná zařízení s Linuxem a Windows. Vlastní nastavení umožňují flexibilně založit dodržování předpisů na nastaveních, která jsou k dispozici na zařízení, aniž byste museli čekat, až Intune tato nastavení přidá.

Tato funkce platí pro:

  • Linux – Ubuntu Desktop verze 20.04 LTS a 22.04 LTS
  • Windows 10/11

Než budete moct do zásady přidat vlastní nastavení, budete muset připravit soubor JSON a skript detekce pro použití s každou podporovanou platformou. Skript i JSON se stanou součástí zásad dodržování předpisů. Každá zásada dodržování předpisů podporuje jeden skript a každý skript dokáže rozpoznat více nastavení:

  • Soubor JSON definuje vlastní nastavení a hodnoty, které jsou považovány za vyhovující. Můžete také nakonfigurovat zprávy pro uživatele, které jim řeknou, jak obnovit dodržování předpisů pro jednotlivá nastavení. Soubor JSON přidáte při vytváření zásad dodržování předpisů hned poté, co pro tuto zásadu vyberete skript zjišťování.

  • Skripty jsou specifické pro různé platformy a doručují se do zařízení prostřednictvím zásad dodržování předpisů. Když se zásady vyhodnotí, skript zjistí nastavení ze souboru JSON a pak nahlásí výsledky do Intune. Windows používá skript PowerShellu a Linux používá skript prostředí kompatibilní s POSIX.

    Před vytvořením zásad dodržování předpisů se skripty musí nahrát do Centra pro správu Microsoft Intune. Skript vyberete, když konfigurujete zásadu pro podporu vlastních nastavení.

Jakmile nasadíte vlastní nastavení dodržování předpisů a zařízení se vrátí zpět, budete moct zobrazit výsledky společně s integrovanými podrobnostmi o nastavení dodržování předpisů v Centru pro správu Microsoft Intune. Vlastní nastavení dodržování předpisů je možné použít pro rozhodování o podmíněném přístupu stejným způsobem jako předdefinované nastavení dodržování předpisů. Společně tvoří složenou sadu pravidel, která má stejný vliv na stav dodržování předpisů zařízením.

Požadavky

  • Microsoft Entra připojená zařízení, včetně Microsoft Entra hybridních zařízení.

    Microsoft Entra zařízení připojená k hybridnímu připojení jsou zařízení, která jsou připojená k Microsoft Entra ID a také připojená k místní Active Directory. Další informace najdete v tématu Plánování implementace hybridního připojení Microsoft Entra.

  • Microsoft Entra zaregistrované nebo připojené k pracovišti (WPJ)

    Další informace najdete v tématu Připojení k pracovišti jako bezproblémové ověřování druhého faktoru pro zařízení zaregistrovaná v Microsoft Entra ID. Obvykle se jedná o zařízení přineste si vlastní zařízení (BYOD), u kterých byl pracovní nebo školní účet přidaný prostřednictvím nastavení>Účty>Přístup do práce nebo do školy.

    Na zařízeních WPJ fungují skripty PowerShellu pro kontext zařízení, ale skripty PowerShellu kontextu uživatele se ignorují.

  • Skript zjišťování – PowerShell pro Windows nebo skript prostředí kompatibilní s POSIX pro Linux, který vytvoříte. Skript se spustí na zařízení, aby zjistil vlastní nastavení definované v souboru JSON. Skript vrátí hodnotu konfigurace těchto nastavení do Intune. Než vytvoříte zásadu dodržování předpisů, musíte skript nahrát do Centra pro správu Microsoft Intune a pak vybrat skript, který chcete použít při vytváření zásad.

    Pokud chcete vytvořit vlastní skript dodržování předpisů, přečtěte si téma Vlastní skripty pro zjišťování dodržování předpisů pro Microsoft Intune.

  • Soubor JSON – Soubor JSON definuje vlastní nastavení a hodnotu, která se má považovat za vyhovující, a může obsahovat zprávy pro uživatele o tom, jak obnovit zařízení do souladu s nastavením. Pokyny k vytvoření FORMÁTU JSON pro vlastní dodržování předpisů najdete v tématu Soubory JSON vlastního dodržování předpisů.

Vytvoření zásady s vlastním nastavením dodržování předpisů

Než začnete vytvářet zásady, které budou obsahovat vlastní nastavení, projděte si požadavky.

Nejprve musíte do Intune nahrát příslušný skript zjišťování a mít připravený kód JSON, který chcete přidat při vytváření zásad.

Až budete připravení, vytvořte zásadu dodržování předpisů pomocí normálního postupu, který zahrnuje pokyny specifické pro konkrétní platformu pro přidání vlastních nastavení do zásad. Vlastní nastavení se přidávají na stránce Nastavení konfigurace tak, že nakonfigurujete možnost Pro vlastní dodržování předpisů.

Poznámka

Když zařízení s Windows obdrží zásady dodržování předpisů s vlastním nastavením, zkontroluje přítomnost rozšíření pro správu Intune. Pokud se nenajde, zařízení spustí MSI, která nainstaluje rozšíření, což klientovi umožní stahovat a spouštět skripty PowerShellu, které jsou součástí zásad dodržování předpisů, a nahrávat výsledky dodržování předpisů. Mezi akce spravované službami patří:

  • Každých osm hodin se kontrolují nové nebo aktualizované skripty PowerShellu.
  • Spouštění skriptů zjišťování každých osm hodin
  • Spouštění skriptů, které se stahují, když uživatel vybere možnost Zkontrolovat dodržování předpisů na zařízení. Při spuštění kontroly dodržování předpisů ale nedochází k žádné kontrole nových nebo aktualizovaných skriptů.

Pro zařízení není možné odesílat nabízená oznámení, aby bylo možné spouštět vlastní dodržování předpisů na vyžádání.

Monitorování vlastních zásad dodržování předpisů

Pomocí následujících metod můžete zobrazit podrobnosti o stavu dodržování předpisů zařízení.

  • U zařízení s Linuxem i Windows můžete zobrazit podrobnosti o dodržování předpisů podle nastavení pro vlastní nastavení dodržování předpisů v Centru pro správu Microsoft Intune.

    V Centru pro správu přejděte na Sestavy Dodržování>předpisů zařízením a pak vyberte kartu Sestavy . Vyberte dlaždici zařízení a nastavení nedodržující předpisy a pak pomocí rozevíracích nabídek nakonfigurujte sestavu. Nezapomeňte vybrat platformu operačního systému a pak Generovat sestavu.

    Další informace najdete v tématu Monitorování zásad dodržování předpisů zařízením v Intune.

  • Na zařízení s Linuxem můžete otevřít aplikaci Intune a zobrazit stav zařízení:

    • Kompatibilní – Vaše zařízení je v souladu se zásadami vaší organizace a mělo by mít přístup k prostředkům organizace.
    • Kontrola stavu – Intune v současné době vyhodnocuje dodržování předpisů zařízení se zásadami vaší organizace.
    • Nekompatibilní – zařízení nesplňuje požadavky vaší organizace na zařízení a zabezpečení a nemusí mít přístup k prostředkům vaší organizace.

    Pokud je stav zařízení nevyhovující předpisům, vyberte Zobrazit problémy a podívejte se na podrobnosti o problémech, které je potřeba vyřešit, aby zařízení bylo kompatibilní. Informace o řešení běžných problémů najdete v tématu Další řešení potíží pro zařízení s Linuxem.

Řešení potíží s vlastním dodržováním předpisů pro zařízení

Vlastní nastavení se nevyhodnocují

V sestavách dodržování předpisů zařízení vyhledejte následující kódy chyb a přehled o problému:

  • 65007: Chyba vrácená skriptem
  • 65008: Ve výsledku skriptu chybí nastavení
  • 65009: Neplatný kód JSON pro zjištěné nastavení
  • 65010: Neplatný datový typ pro zjištěné nastavení

Ve Windows můžete na konec skriptu PowerShellu přidat následující řádek, který vrátí chyby související se skriptem PowerShellu. Ujistěte se, že následující řádek je na konci souboru skriptu PowerShellu: return $hash | ConvertTo-Json -Compress

Skripty prostředí kompatibilní s PowerShellem nebo POSIX se nezobrazují nebo zůstávají viditelné i po odstranění.

Aktualizujte aktuální zobrazení. Pokud problém přetrvává, zrušte tok vytváření zásad a spusťte znovu.

Jakmile se problém na zařízení opraví, následné synchronizace problém neidentifikují jako vyřešený a vyhovující.

Může trvat až osm hodin, než se po změně zařízení zobrazí stav nedodržující předpisy.

Může uživatel po opravě problému na zařízení ručně zkontrolovat dodržování předpisů, aby zjistil, jestli je problém vyřešený a kompatibilní?

  • Ve Windows může uživatel přejít na web Portál společnosti a aktivovat synchronizaci, která aktualizuje stav zařízení po opravě nevyhovujícího vlastního nastavení dodržování předpisů.

  • V Linuxu může uživatel otevřít aplikaci Microsoft Intune a vybrat Aktualizovat na stránce podrobností o zařízení nebo na stránce problémů s dodržováním předpisů a zahájit nové ohlášení se změnami v Intune.

Proč se nepodporuje více operátorů a operandů?

Požádejte svého account manažera o přidání konkrétních operátorů a operandů. Pak je můžete zvážit pro budoucí aktualizaci.

Proč nemůžu použít více skriptů zjišťování na jednu vlastní zásadu dodržování předpisů?

Zásady podporují použití jednoho skriptu. Každý skript ale podporuje kontrolu více hodnot dodržování předpisů.

Další řešení potíží pro zařízení s Linuxem

Identifikace nastavení, která nevyhovují předpisům pro zařízení:

  • V Centru pro správu Microsoft Intune můžete identifikovat zařízení, která nevyhovují zásadám. Přejděte na Sestavy>Dodržování předpisů zařízením, vyberte kartu Sestavy a pak vyberte dlaždici Nevyhovující zařízení a nastavení. Pomocí rozevíracích seznamu nakonfigurujte požadovanou sestavu a pak vyberte Generovat sestavu.

Centrum pro správu zobrazí samostatný řádek pro každé nastavení, které na zařízení nevyhovuje předpisům.

  • Na zařízení s Linuxem otevřete aplikaci Microsoft Intune a podívejte se na stránku Aktualizovat nastavení zařízení.

Následující části probírají běžné problémy a jejich řešení, se kterými se můžou setkat uživatelé zařízení s Linuxem.

Distribuce a verze operačního systému

Uživatelům zařízení, která nesplňují konfiguraci dodržování předpisů zařízením pro distribuci Linuxu nebo verze operačního systému, se může zobrazit zpráva, že je potřeba upgradovat nebo downgradovat operační systém zařízení.

Aby zařízení s linuxovou distribucí a jejich verze splňovala nastavení Povolené distribuce , musí splňovat požadavky na minimální, maximální a typ. V případě potřeby nainstalujte jinou verzi nebo distribuci Linuxu, aby zařízení bylo kompatibilní.

Složitost hesla

Uživatelům zařízení, která nesplňují konfiguraci dodržování předpisů zařízením pro požadavky na složitost hesla, se může zobrazit zpráva, že musí použít silné heslo.

Pokud chcete dodržovat nastavení zásad hesel , nakonfigurujte systém Linux tak, aby používal hesla, která splňují tyto požadavky. Mezi běžné požadavky organizace patří:

  • Hesla obsahující minimální počet písmen, číslic nebo speciálních znaků
  • Hesla minimální délky

Šifrování zařízení

Uživatelům zařízení, která nesplňují nastavení dodržování předpisů pro šifrování disků a oddílů, se může zobrazit zpráva, že musí jednotky zařízení zašifrovat.

Aby bylo zařízení kompatibilní s nastavením Vyžadovat šifrování zařízení , vyžaduje se šifrování na úrovni zařízení pro zapisovatelné pevné disky na zařízení s Linuxem.

Existuje několik možností šifrování disků a oddílů v operačních systémech Linux. Intune rozpozná jakýkoli šifrovací systém, který používá základní subsystém dm-crypt. Tento subsystém je v systémech Linux už nějakou dobu standardem. Upřednostňovanou metodou nastavení dm-crypt je použití formátu LUKS s nástrojem cryptsetup.

Následující obecné pokyny najdete při šifrování disků a oddílů:

  • Šifrování systémových svazků s Linuxem po instalaci je možné, ale může to být časově náročné. Při instalaci operačního systému doporučujeme nastavit šifrování disku.
  • Ne všechny oddíly systému souborů musí být šifrované, aby zařízení splňovalo standardy organizace. Předdefinované nastavení šifrování zařízení nevyhodnocují následující:
    • Oddíly jen pro čtení
    • Pseudosouborové systémy, jako je nebo /proctmpfs
    • Oddíly /boot nebo /boot/efi

Aktualizace stavu dodržování předpisů na zařízeních s Linuxem

Po provedení změn zařízení za účelem zajištění dodržování předpisů aktualizujte stav zařízení pomocí Intune:

  • Pokud je aplikace Microsoft Intune stále spuštěná, vyberte Aktualizovat na stránce podrobností o zařízení nebo na stránce problémů s dodržováním předpisů a spusťte nové ohlášení se změnami v Intune.
  • Pokud aplikace Microsoft Intune není spuštěná, přihlaste se k aplikaci, čímž se spustí nové ohlášení.
  • Po instalaci se aplikace Microsoft Intune pravidelně přihlašuje k Intune, pokud je zařízení zapnuté a uživatel je k němu přihlášený.

Další kroky