Verwenden von benutzerdefinierten Konformitätsrichtlinien und -einstellungen für Linux- und Windows-Geräte mit Microsoft Intune
Um die integrierten Gerätekonformitätsoptionen von Intune zu erweitern, können Sie Richtlinien für benutzerdefinierte Konformitätseinstellungen für verwaltete Linux- und Windows-Geräte verwenden. Benutzerdefinierte Einstellungen bieten Flexibilität, die Konformität auf den Einstellungen zu basieren, die auf einem Gerät verfügbar sind, ohne warten zu müssen, bis Intune diese Einstellungen den integrierten Richtlinienvorlagen hinzugefügt hat.
Diese Funktion gilt für:
- Windows 10/11 (ohne Windows 10/11 Home)
- Linux
- Ubuntu Desktop, Version 20.04 LTS und 22.04 LTS
- RedHat Enterprise Linux 8
- RedHat Enterprise Linux 9
Bevor Sie einer Richtlinie benutzerdefinierte Einstellungen hinzufügen können, müssen Sie eine JSON-Datei und ein Ermittlungsskript für die Verwendung mit jeder unterstützten Plattform vorbereiten. Sowohl das Skript als auch json werden Teil der Konformitätsrichtlinie. Jede Konformitätsrichtlinie unterstützt ein einzelnes Skript, und jedes Skript kann mehrere Einstellungen ermitteln:
Die JSON-Datei definiert die benutzerdefinierten Einstellungen und die Werte, die Sie als konform betrachtet haben. Sie können auch Nachrichten für Benutzer konfigurieren, um ihnen mitzuteilen, wie die Konformität für jede Einstellung wiederhergestellt werden soll. Sie fügen Ihre JSON-Datei hinzu, wenn Sie eine Konformitätsrichtlinie erstellen, nachdem Sie ein Ermittlungsskript für diese Richtlinie ausgewählt haben.
Ermittlungsskripts sind für die verschiedenen Plattformen spezifisch und werden im Rahmen der Konformitätsrichtlinie an Geräte übermittelt. Wenn ein Gerät seine Richtlinie auswertet, erkennt (ermittelt) das Skript die Einstellungen aus der JSON-Datei und meldet dann die Ergebnisse an Intune. Windows-Geräte verwenden ein PowerShell-Skript und Linux-Geräte ein POSIX-kompatibles Shellskript.
Die Skripts müssen in das Microsoft Intune Admin Center hochgeladen werden, bevor Sie eine Konformitätsrichtlinie erstellen. Sie wählen das Skript aus, wenn Sie eine Richtlinie zur Unterstützung benutzerdefinierter Einstellungen konfigurieren.
Nachdem Sie benutzerdefinierte Konformitätseinstellungen bereitgestellt haben und Geräte berichte, können Sie die Ergebnisse zusammen mit den details der integrierten Konformitätseinstellung im Microsoft Intune Admin Center anzeigen. Benutzerdefinierte Konformitätseinstellungen können für Entscheidungen über bedingten Zugriff auf die gleiche Weise wie integrierte Konformitätseinstellungen verwendet werden. Zusammen bilden sie einen zusammengesetzten Regelsatz, der sich gleichermaßen auf den Konformitätszustand des Geräts auswirkt.
Voraussetzungen
In Microsoft Entra eingebundene Geräte, einschließlich hybrid eingebundener Microsoft Entra-Geräte.
Hybrid eingebundene Microsoft Entra-Geräte sind Geräte, die mit Microsoft Entra ID und auch mit lokalem Active Directory verknüpft sind. Weitere Informationen finden Sie unter Planen ihrer Microsoft Entra Hybrid Join-Implementierung.
Microsoft Entra registriert/Arbeitsplatzbeitritt (WPJ)
Informationen zu Geräten, die in Microsoft Entra ID registriert sind , finden Sie unter Workplace Join als nahtlose Authentifizierung mit zweitem Faktor. In der Regel handelt es sich bei diesen Geräten um BYOD-Geräte (Bring Your Own Device), bei denen ein Geschäfts-, Schul- oder Unikonto über Einstellungen>Konten>Zugriff auf Geschäfts-, Schul- oder Unikonten hinzugefügt wurde.
Auf WPJ-Geräten funktionieren PowerShell-Skripts im Gerätekontext, aber PowerShell-Skripts im Benutzerkontext werden ignoriert.
Ermittlungsskript : Ein PowerShell für Windows oder ein POSIX-kompatibles Shellskript für Linux, das Sie erstellen. Das Skript wird auf einem Gerät ausgeführt, um die in Ihrer JSON-Datei definierten benutzerdefinierten Einstellungen zu ermitteln. Das Skript gibt den Konfigurationswert dieser Einstellungen an Intune zurück. Sie müssen Ihr Skript in das Microsoft Intune Admin Center hochladen, bevor Sie eine Konformitätsrichtlinie erstellen und dann das Skript auswählen, das Sie beim Erstellen einer Richtlinie verwenden möchten.
Informationen zum Erstellen eines benutzerdefinierten Complianceskripts finden Sie unter Benutzerdefinierte Complianceermittlungsskripts für Microsoft Intune.
JSON-Datei : Die JSON-Datei definiert die benutzerdefinierten Einstellungen und den Wert, der als konform betrachtet werden soll, und kann Meldungen für Benutzer enthalten, wie das Gerät für die Einstellung wiederhergestellt werden kann. Eine Anleitung zum Erstellen eines JSON-Codes für benutzerdefinierte Konformität finden Sie unter Json-Dateien mit benutzerdefinierter Konformität.
Erstellen einer Richtlinie mit benutzerdefinierten Konformitätseinstellungen
Bevor Sie mit dem Erstellen einer Richtlinie beginnen, die benutzerdefinierte Einstellungen enthält, überprüfen Sie die Voraussetzungen.
Sie müssen zunächst ein entsprechendes Ermittlungsskript in Intune hochladen und beim Erstellen der Richtlinie einen json-Code hinzufügen können.
Wenn Sie bereit sind, verwenden Sie das normale Verfahren, um eine Konformitätsrichtlinie zu erstellen, die plattformspezifische Anweisungen zum Hinzufügen benutzerdefinierter Einstellungen zur Richtlinie enthält. Benutzerdefinierte Einstellungen werden auf der Seite Konfigurationseinstellungen hinzugefügt, indem die Option für benutzerdefinierte Kompatibilität konfiguriert wird.
Hinweis
Wenn ein Windows-Gerät eine Konformitätsrichtlinie mit benutzerdefinierten Einstellungen empfängt, wird überprüft, ob Intune-Verwaltungserweiterungen vorhanden sind. Wenn das Gerät nicht gefunden wird, führt das Gerät eine MSI aus, die die Erweiterungen installiert, sodass der Client PowerShell-Skripts, die Teil einer Konformitätsrichtlinie sind, herunterladen und ausführen und Konformitätsergebnisse hochladen kann. Zu den von den Diensten verwalteten Aktionen gehören:
- Suchen Sie alle acht Stunden nach neuen oder aktualisierten PowerShell-Skripts.
- Ausführen der Ermittlungsskripts alle acht Stunden.
- Ausführen von Skripts, die heruntergeladen werden, wenn ein Benutzer Kompatibilität überprüfen auf dem Gerät auswählt. Es wird jedoch keine Überprüfung auf neue oder aktualisierte Skripts durchgeführt, wenn Kompatibilität überprüfen ausgeführt wird.
Es ist nicht möglich, Pushbenachrichtigungen an ein Gerät zu senden, um benutzerdefinierte Compliance bei Bedarf auszuführen.
Überwachen einer benutzerdefinierten Konformitätsrichtlinie
Verwenden Sie die folgenden Methoden, um Details zum Konformitätsstatus eines Geräts anzuzeigen.
Sowohl für Linux- als auch für Windows-Geräte können Sie details zur Gerätekonformität pro Einstellung für benutzerdefinierte Konformitätseinstellungen im Microsoft Intune Admin Center anzeigen.
Wechseln Sie im Admin Center zu Berichte>Gerätekonformität, und wählen Sie dann die Registerkarte Berichte aus. Wählen Sie die Kachel für Nicht konforme Geräte und Einstellungen aus, und verwenden Sie dann die Dropdownmenüs, um den Bericht zu konfigurieren. Achten Sie darauf, eine Plattform für das Betriebssystem auszuwählen, und wählen Sie dann Bericht generieren aus.
Weitere Informationen finden Sie unter Überwachen von Intune-Gerätekonformitätsrichtlinien.
Auf einem Linux-Gerät können Sie die Intune-App öffnen, um den Status des Geräts anzuzeigen:
- Konform : Ihr Gerät ist mit den Richtlinien Ihrer Organisation konform und sollte auf Organisationsressourcen zugreifen können.
- Überprüfen des Status : Intune wertet derzeit die Gerätekonformität mit den Richtlinien Ihrer Organisation aus.
- Nicht konform : Das Gerät erfüllt nicht die Geräte- und Sicherheitsanforderungen Ihrer Organisation und hat möglicherweise keinen Zugriff auf die Ressourcen Ihrer Organisation.
Wenn der Gerätestatus Nicht konform lautet, wählen Sie Probleme anzeigen aus, um Details zu Problemen anzuzeigen, die behoben werden müssen, um das Gerät in Konformität zu bringen. Informationen zum Beheben häufiger Probleme finden Sie in diesem Artikel unter Zusätzliche Problembehandlung für Linux-Geräte .
Problembehandlung bei der benutzerdefinierten Kompatibilität für Geräte
Benutzerdefinierte Einstellungen werden nicht ausgewertet
Überprüfen Sie die Gerätekonformitätsberichte auf die folgenden Fehlercodes und Einblicke in das Problem:
- 65007: Skriptfehler zurückgegeben
- 65008: Einstellung fehlt im Skriptergebnis
- 65009: Ungültiger JSON-Code für die ermittelte Einstellung
- 65010: Ungültiger Datentyp für die ermittelte Einstellung
Unter Windows können Sie die folgende Zeile am Ende des PowerShell-Skripts hinzufügen, um Fehler im Zusammenhang mit dem PowerShell-Skript zurückzugeben. Stellen Sie sicher, dass sich die folgende Zeile am Ende der PowerShell-Skriptdatei befindet: return $hash | ConvertTo-Json -Compress
PowerShell- oder POSIX-kompatible Shellskripts sind nicht zur Auswahl sichtbar oder bleiben nach dem Löschen sichtbar.
Aktualisieren der aktuellen Ansicht Wenn das Problem weiterhin besteht, brechen Sie den Richtlinienerstellungsflow ab, und beginnen Sie erneut.
Nachdem ein Problem auf einem Gerät behoben wurde, identifizieren nachfolgende Synchronisierungen das Problem nicht als gelöst und konform.
Es kann bis zu acht Stunden dauern, bis ein nicht konformer Status nach einer Änderung des Geräts als konform angezeigt wird.
Kann ein Benutzer nach der Behebung eines Problems auf einem Gerät manuell überprüfen, ob das Problem behoben und konform ist?
Unter Windows kann ein Benutzer zur Unternehmensportalwebsite wechseln und eine Synchronisierung auslösen, um den Gerätestatus zu aktualisieren, nachdem er eine nicht konforme benutzerdefinierte Konformitätseinstellung korrigiert hat.
Unter Linux kann ein Benutzer die Microsoft Intune-App öffnen und auf der Seite mit den Gerätedetails oder auf der Seite mit Konformitätsproblemen aktualisieren auswählen, um einen neuen Check-In bei Intune zu starten.
Warum werden keine weiteren Operatoren und Operanden unterstützt?
Wenden Sie sich an Ihren Konto-Manager, um das Hinzufügen bestimmter Operatoren und Operanden anzufordern. Sie können dann für ein zukünftiges Update in Betracht gezogen werden.
Warum kann ich nicht mehrere Ermittlungsskripts auf eine benutzerdefinierte Konformitätsrichtlinie anwenden?
Richtlinien unterstützen die Verwendung eines einzelnen Skripts. Jedes Skript unterstützt jedoch die Überprüfung auf mehrere Konformitätswerte.
Zusätzliche Problembehandlung für Linux-Geräte
So identifizieren Sie Einstellungen, die für ein Gerät nicht kompatibel sind:
- Im Microsoft Intune Admin Center können Sie Geräte identifizieren, die nicht mit der Richtlinie konform sind. Wechseln Sie zu Berichte>Gerätekonformität, wählen Sie die Registerkarte Berichte und dann die Kachel für Nicht konforme Geräte und Einstellungen aus. Verwenden Sie die Dropdownlisten, um den gewünschten Bericht zu konfigurieren, und wählen Sie dann Bericht generieren aus.
Das Admin Center zeigt eine separate Zeile für jede Einstellung an, die auf einem Gerät nicht kompatibel ist.
- Öffnen Sie auf dem Linux-Gerät die Microsoft Intune-App, und zeigen Sie die Seite Geräteeinstellungen aktualisieren an.
In den folgenden Abschnitten werden häufige Probleme und Lösungen für Probleme erläutert, die bei Benutzern von Linux-Geräten auftreten können.
Betriebssystem-Distribution und -Version
Benutzer eines Geräts, das die Konformitätsanforderungen für die Linux-Distribution oder Betriebssystemversion nicht erfüllt, erhalten möglicherweise eine Meldung, die darauf hinweist, dass das Betriebssystem des Geräts aktualisiert oder herabgestuft werden muss.
Um mit der Einstellung Zulässige Distributionen kompatibel zu sein, müssen Linux-Geräte die Mindest-, Höchst- und Typanforderungen erfüllen. Installieren Sie bei Bedarf eine andere Version oder Distribution von Linux, um die Konformität des Geräts zu gewährleisten.
Kennwortkomplexität
Benutzer eines Geräts, das die Konformitätsanforderungen für die Kennwortkomplexität nicht erfüllt, erhalten möglicherweise eine Meldung, die angibt, dass sie ein sicheres Kennwort verwenden müssen.
Um mit den Kennwortrichtlinieneinstellungen kompatibel zu sein, konfigurieren Sie das Linux-System so, dass Kennwörter verwendet werden, die diese Anforderungen erfüllen. Zu den allgemeinen Organisationsanforderungen gehören:
- Kennwörter, die eine Mindestanzahl von Buchstaben, Ziffern oder Sonderzeichen enthalten
- Kennwörter mit einer Mindestlänge
Geräteverschlüsselung
Benutzer eines Geräts, das die Konformitätsanforderungen für die Datenträger- und Partitionsverschlüsselung nicht erfüllt, erhalten möglicherweise eine Meldung, dass sie die Gerätelaufwerke verschlüsseln müssen.
Um mit der Einstellung Geräteverschlüsselung erforderlich kompatibel zu sein, ist verschlüsselung auf Geräteebene für beschreibbare Festplatten auf dem Linux-Gerät erforderlich.
Es gibt mehrere Optionen für die Datenträger- und Partitionsverschlüsselung unter Linux-Betriebssystemen. Intune erkennt jedes Verschlüsselungssystem, das das zugrunde liegende dm-crypt-Subsystem verwendet. Dieses Subsystem ist ein langfristiger Standard für Linux-Systeme. Die bevorzugte Methode zum Einrichten von dm-crypt ist die Verwendung des LUKS-Formats mit dem cryptsetup-Tool .
Die folgende Liste enthält allgemeine Anleitungen zum Verschlüsseln von Datenträgern und Partitionen:
- Das Verschlüsseln von Linux-Systemvolumes nach der Installation ist möglich, aber möglicherweise zeitaufwändig. Es wird empfohlen, die Datenträgerverschlüsselung während der Installation des Betriebssystems einzurichten.
- Nicht alle Dateisystempartitionen müssen verschlüsselt werden, damit ein Gerät den Organisationsstandards entspricht. Die folgenden Einstellungen werden von den integrierten Geräteverschlüsselungseinstellungen nicht ausgewertet:
- Schreibgeschützte Partitionen
- Pseudodateisysteme, wie
/proc
odertmpfs
- Die
/boot
Partitionen oder/boot/efi
Aktualisieren Des Konformitätsstatus auf Linux-Geräten
Nachdem Sie Änderungen an einem Gerät vorgenommen haben, um es in Einklang zu bringen, aktualisieren Sie den Gerätestatus mit Intune:
- Wenn die Microsoft Intune-App noch ausgeführt wird, wählen Sie aktualisieren auf der Seite mit den Gerätedetails oder auf der Seite mit Kompatibilitätsproblemen aus, um einen neuen Check-In bei Intune zu starten.
- Wenn die Microsoft Intune-App nicht ausgeführt wird, melden Sie sich bei der App an, um einen neuen Check-In zu starten.
- Nach der Installation checkt die Microsoft Intune-App regelmäßig eigenständig bei Intune ein, solange das Gerät eingeschaltet ist und ein Benutzer angemeldet ist.