Verwenden von benutzerdefinierten Konformitätsrichtlinien und -einstellungen für Linux- und Windows-Geräte mit Microsoft Intune

  • Artikel

Wenn Sie die in Intune integrierten Gerätekonformitätsoptionen erweitern, verwenden Sie Richtlinien für benutzerdefinierte Konformitätseinstellungen für verwaltete Linux- und Windows-Geräte. Benutzerdefinierte Einstellungen bieten Flexibilität, um die Konformität auf den Einstellungen zu basieren, die auf einem Gerät verfügbar sind, ohne warten zu müssen, bis Intune diese Einstellungen hinzugefügt hat.

Diese Funktion gilt für:

  • Linux – Ubuntu Desktop, Version 20.04 LTS und 22.04 LTS
  • Windows 10/11

Bevor Sie einer Richtlinie benutzerdefinierte Einstellungen hinzufügen können, müssen Sie eine JSON-Datei und ein Erkennungsskript für die Verwendung mit jeder unterstützten Plattform vorbereiten. Sowohl das Skript als auch json werden Teil der Konformitätsrichtlinie. Jede Konformitätsrichtlinie unterstützt ein einzelnes Skript, und jedes Skript kann mehrere Einstellungen erkennen:

  • Die JSON-Datei definiert die benutzerdefinierten Einstellungen und die Werte, die als kompatibel betrachtet werden. Sie können auch Nachrichten für Benutzer konfigurieren, um ihnen mitzuteilen, wie die Konformität für jede Einstellung wiederhergestellt werden soll. Sie fügen Ihre JSON-Datei beim Erstellen einer Konformitätsrichtlinie hinzu, nachdem Sie ein Ermittlungsskript für diese Richtlinie ausgewählt haben.

  • Skripts sind spezifisch für verschiedene Plattformen und werden über die Konformitätsrichtlinie an Geräte übermittelt. Wenn die Richtlinie ausgewertet wird, erkennt das Skript die Einstellungen aus der JSON-Datei und meldet dann die Ergebnisse an Intune. Windows verwendet ein PowerShell-Skript und Linux ein POSIX-kompatibles Shellskript.

    Die Skripts müssen in das Microsoft Intune Admin Center hochgeladen werden, bevor Sie eine Konformitätsrichtlinie erstellen. Sie wählen das Skript aus, wenn Sie eine Richtlinie zur Unterstützung benutzerdefinierter Einstellungen konfigurieren.

Nachdem Sie benutzerdefinierte Konformitätseinstellungen bereitgestellt haben und Geräte Berichte zurückgemeldet haben, können Sie die Ergebnisse zusammen mit den details der integrierten Konformitätseinstellung im Microsoft Intune Admin Center anzeigen. Benutzerdefinierte Konformitätseinstellungen können für Entscheidungen über bedingten Zugriff verwendet werden, genauso wie integrierte Konformitätseinstellungen. Zusammen bilden sie einen zusammengesetzten Regelsatz, der sich gleichermaßen auf den Konformitätszustand des Geräts auswirkt.

Voraussetzungen

  • Microsoft Entra verbundene Geräte, einschließlich Microsoft Entra hybrid eingebundenen Geräten.

    Microsoft Entra hybrid eingebundenen Geräte sind Geräte, die mit Microsoft Entra ID und auch mit lokales Active Directory verknüpft sind. Weitere Informationen finden Sie unter Planen Ihrer Microsoft Entra Hybrid Join-Implementierung.

  • Microsoft Entra registriert/Arbeitsplatzbeitritt (WPJ)

    Geräte, die in Microsoft Entra ID registriert sind, finden Sie unter Arbeitsplatzbeitritt als nahtlose Authentifizierung mit zweitem Faktor für weitere Informationen. In der Regel handelt es sich dabei um BYOD-Geräte (Bring Your Own Device), auf denen ein Geschäfts-, Schul- oder Unikonto über Einstellungen>Konten>Zugriff auf Geschäfts-, Schul- oder Unikonten hinzugefügt wurde.

    Auf WPJ-Geräten funktionieren PowerShell-Skripts im Gerätekontext, aber PowerShell-Skripts im Benutzerkontext werden ignoriert.

  • Ermittlungsskript : Ein PowerShell für Windows oder ein POSIX-kompatibles Shellskript für Linux, das Sie erstellen. Das Skript wird auf einem Gerät ausgeführt, um die in Ihrer JSON-Datei definierten benutzerdefinierten Einstellungen zu ermitteln. Das Skript gibt den Konfigurationswert dieser Einstellungen an Intune zurück. Sie müssen Ihr Skript in das Microsoft Intune Admin Center hochladen, bevor Sie eine Konformitätsrichtlinie erstellen, und dann das Skript auswählen, das Sie beim Erstellen einer Richtlinie verwenden möchten.

    Informationen zum Erstellen eines benutzerdefinierten Konformitätsskripts finden Sie unter Benutzerdefinierte Konformitätsermittlungsskripts für Microsoft Intune.

  • JSON-Datei : Die JSON-Datei definiert die benutzerdefinierten Einstellungen und den Wert, der als konform betrachtet werden soll, und kann Meldungen für Benutzer enthalten, wie das Gerät für die Einstellung wiederhergestellt werden kann. Eine Anleitung zum Erstellen eines JSON-Codes für benutzerdefinierte Konformität finden Sie unter Json-Dateien mit benutzerdefinierter Konformität.

Erstellen einer Richtlinie mit benutzerdefinierten Konformitätseinstellungen

Bevor Sie mit dem Erstellen einer Richtlinie beginnen, die benutzerdefinierte Einstellungen enthält, überprüfen Sie die Voraussetzungen.

Sie müssen zunächst ein entsprechendes Ermittlungsskript in Intune hochladen und beim Erstellen der Richtlinie einen json-Code hinzufügen können.

Wenn Sie bereit sind, verwenden Sie das normale Verfahren, um eine Konformitätsrichtlinie zu erstellen, die plattformspezifische Anweisungen zum Hinzufügen benutzerdefinierter Einstellungen zur Richtlinie enthält. Benutzerdefinierte Einstellungen werden auf der Seite Konfigurationseinstellungen hinzugefügt, indem die Option für benutzerdefinierte Kompatibilität konfiguriert wird.

Hinweis

Wenn ein Windows-Gerät eine Konformitätsrichtlinie mit benutzerdefinierten Einstellungen empfängt, wird überprüft, ob Intune-Verwaltungserweiterungen vorhanden sind. Wenn das Gerät nicht gefunden wird, führt das Gerät eine MSI aus, die die Erweiterungen installiert, sodass der Client PowerShell-Skripts, die Teil einer Konformitätsrichtlinie sind, herunterladen und ausführen und Konformitätsergebnisse hochladen kann. Zu den von den Diensten verwalteten Aktionen gehören:

  • Suchen Sie alle acht Stunden nach neuen oder aktualisierten PowerShell-Skripts.
  • Ausführen der Ermittlungsskripts alle acht Stunden.
  • Ausführen von Skripts, die heruntergeladen werden, wenn ein Benutzer Kompatibilität überprüfen auf dem Gerät auswählt. Es wird jedoch keine Überprüfung auf neue oder aktualisierte Skripts durchgeführt, wenn Kompatibilität überprüfen ausgeführt wird.

Es ist nicht möglich, Pushbenachrichtigungen an ein Gerät zu senden, um benutzerdefinierte Compliance bei Bedarf auszuführen.

Überwachen einer benutzerdefinierten Konformitätsrichtlinie

Verwenden Sie die folgenden Methoden, um Details zur Kompatibilität eines Geräts status anzuzeigen.

  • Sowohl für Linux- als auch für Windows-Geräte können Sie details zur Gerätekonformität pro Einstellung für benutzerdefinierte Konformitätseinstellungen im Microsoft Intune Admin Center anzeigen.

    Wechseln Sie im Admin Center zu Berichte>Gerätekonformität, und wählen Sie dann die Registerkarte Berichte aus. Wählen Sie die Kachel für Nicht konforme Geräte und Einstellungen aus, und verwenden Sie dann die Dropdownmenüs, um den Bericht zu konfigurieren. Achten Sie darauf, eine Plattform für das Betriebssystem auszuwählen, und wählen Sie dann Bericht generieren aus.

    Weitere Informationen finden Sie unter Überwachen von Intune-Gerätekonformitätsrichtlinien.

  • Auf einem Linux-Gerät können Sie die Intune-App öffnen, um die status des Geräts anzuzeigen:

    • Konform: Ihr Gerät ist mit den Richtlinien Ihrer organization konform und sollte auf Organisationsressourcen zugreifen können.
    • Überprüfen status – Intune bewertet derzeit die Gerätekonformität mit den Richtlinien Ihrer organization.
    • Nicht konform: Das Gerät erfüllt die Geräte- und Sicherheitsanforderungen Ihrer organization nicht und hat möglicherweise keinen Zugriff auf die Ressourcen Ihrer organization.

    Wenn das Gerät status nicht konform ist, wählen Sie Probleme anzeigen aus, um Details zu Problemen anzuzeigen, die behoben werden müssen, um dieses Gerät in Konformität zu bringen. Informationen zum Beheben häufiger Probleme finden Sie unter Zusätzliche Problembehandlung für Linux-Geräte.

Problembehandlung bei der benutzerdefinierten Kompatibilität für Geräte

Benutzerdefinierte Einstellungen werden nicht ausgewertet

Überprüfen Sie die Gerätekonformitätsberichte auf die folgenden Fehlercodes und Einblicke in das Problem:

  • 65007: Skriptfehler zurückgegeben
  • 65008: Einstellung fehlt im Skriptergebnis
  • 65009: Ungültiger JSON-Code für die ermittelte Einstellung
  • 65010: Ungültiger Datentyp für die ermittelte Einstellung

Unter Windows können Sie die folgende Zeile am Ende des PowerShell-Skripts hinzufügen, um Fehler im Zusammenhang mit dem PowerShell-Skript zurückzugeben. Stellen Sie sicher, dass sich die folgende Zeile am Ende der PowerShell-Skriptdatei befindet: return $hash | ConvertTo-Json -Compress

PowerShell- oder POSIX-kompatible Shellskripts sind nicht zur Auswahl sichtbar oder bleiben nach dem Löschen sichtbar.

Aktualisieren der aktuellen Ansicht Wenn das Problem weiterhin besteht, brechen Sie den Richtlinienerstellungsflow ab, und beginnen Sie erneut.

Nachdem ein Problem auf einem Gerät behoben wurde, identifizieren nachfolgende Synchronisierungen das Problem nicht als gelöst und konform.

Es kann bis zu acht Stunden dauern, bis ein nicht konformer status nach einer Änderung des Geräts als konform angezeigt wird.

Kann ein Benutzer nach der Behebung eines Problems auf einem Gerät manuell überprüfen, ob das Problem behoben und konform ist?

  • Unter Windows kann ein Benutzer zur Unternehmensportal Website wechseln und eine Synchronisierung auslösen, um das Gerät status zu aktualisieren, nachdem er eine nicht konforme benutzerdefinierte Konformitätseinstellung korrigiert hat.

  • Unter Linux kann ein Benutzer die Microsoft Intune-App öffnen und auf der Seite mit den Gerätedetails oder auf der Seite mit Konformitätsproblemen aktualisieren auswählen, um einen neuen Check-In bei Intune zu starten.

Warum werden keine weiteren Operatoren und Operanden unterstützt?

Wenden Sie sich an Ihren Konto-Manager, um das Hinzufügen bestimmter Operatoren und Operanden anzufordern. Sie können dann für ein zukünftiges Update in Betracht gezogen werden.

Warum kann ich nicht mehrere Ermittlungsskripts auf eine benutzerdefinierte Konformitätsrichtlinie anwenden?

Richtlinien unterstützen die Verwendung eines einzelnen Skripts. Jedes Skript unterstützt jedoch die Überprüfung auf mehrere Konformitätswerte.

Zusätzliche Problembehandlung für Linux-Geräte

So identifizieren Sie Einstellungen, die für ein Gerät nicht kompatibel sind:

  • Im Microsoft Intune Admin Center können Sie Geräte identifizieren, die nicht mit der Richtlinie kompatibel sind. Wechseln Sie zu Berichte>Gerätekonformität, wählen Sie die Registerkarte Berichte und dann die Kachel für Nicht konforme Geräte und Einstellungen aus. Verwenden Sie die Dropdownlisten, um den gewünschten Bericht zu konfigurieren, und wählen Sie dann Bericht generieren aus.

Das Admin Center zeigt eine separate Zeile für jede Einstellung an, die auf einem Gerät nicht kompatibel ist.

  • Öffnen Sie auf dem Linux-Gerät die Microsoft Intune-App, und zeigen Sie die Seite Geräteeinstellungen aktualisieren an.

In den folgenden Abschnitten werden häufige Probleme und Lösungen für Probleme erläutert, die bei Benutzern von Linux-Geräten auftreten können.

Betriebssystem-Distribution und -Version

Benutzer von Geräten, die die Gerätekonformitätskonfiguration für Linux-Distributions- oder Betriebssystemversionen nicht erfüllen, erhalten möglicherweise eine Meldung, die angibt, dass das Gerätebetriebssystem aktualisiert oder herabgestuft werden muss.

Um mit der Einstellung Zulässige Distributionen kompatibel zu sein, müssen Linux-Geräte die Mindest-, Höchst- und Typanforderungen erfüllen. Installieren Sie bei Bedarf eine andere Version oder Distribution von Linux, um die Konformität des Geräts zu gewährleisten.

Kennwortkomplexität

Benutzer von Geräten, die die Gerätekonformitätskonfiguration für anforderungen an die Kennwortkomplexität nicht erfüllen, erhalten möglicherweise eine Meldung, die angibt, dass sie ein sicheres Kennwort verwenden müssen.

Um mit den Kennwortrichtlinieneinstellungen kompatibel zu sein, konfigurieren Sie das Linux-System so, dass Kennwörter verwendet werden, die diese Anforderungen erfüllen. Zu den allgemeinen organization Anforderungen gehören:

  • Kennwörter, die eine Mindestanzahl von Buchstaben, Ziffern oder Sonderzeichen enthalten
  • Kennwörter mit einer Mindestlänge

Geräteverschlüsselung

Benutzer von Geräten, die die Konformitätseinstellungen für die Datenträger- und Partitionsverschlüsselung nicht erfüllen, erhalten möglicherweise eine Meldung, dass sie die Gerätelaufwerke verschlüsseln müssen.

Um mit der Einstellung Geräteverschlüsselung erforderlich kompatibel zu sein, ist verschlüsselung auf Geräteebene für beschreibbare Festplatten auf dem Linux-Gerät erforderlich.

Es gibt mehrere Optionen für die Datenträger- und Partitionsverschlüsselung unter Linux-Betriebssystemen. Intune erkennt jedes Verschlüsselungssystem, das das zugrunde liegende dm-crypt-Subsystem verwendet. Dieses Subsystem ist auf Linux-Systemen seit einiger Zeit Standard. Die bevorzugte Methode zum Einrichten von dm-crypt ist die Verwendung des LUKS-Formats mit dem cryptsetup-Tool.

Im Folgenden finden Sie eine allgemeine Anleitung zum Verschlüsseln von Datenträgern und Partitionen:

  • Das Verschlüsseln von Linux-Systemvolumes nach der Installation ist möglich, aber möglicherweise zeitaufwändig. Es wird empfohlen, die Datenträgerverschlüsselung während der Installation des Betriebssystems einzurichten.
  • Nicht alle Dateisystempartitionen müssen verschlüsselt werden, damit ein Gerät den Organisationsstandards entspricht. Die folgenden Einstellungen werden von den integrierten Geräteverschlüsselungseinstellungen nicht ausgewertet:
    • Schreibgeschützte Partitionen
    • Pseudodateisysteme, wie /proc oder tmpfs
    • Die /boot Partitionen oder /boot/efi

Aktualisieren Ihrer Compliance-status auf Linux-Geräten

Nachdem Sie Änderungen an einem Gerät vorgenommen haben, um es in Einklang zu bringen, aktualisieren Sie das Gerät status mit Intune:

  • Wenn die Microsoft Intune-App noch ausgeführt wird, wählen Sie aktualisieren auf der Seite mit den Gerätedetails oder auf der Seite mit Kompatibilitätsproblemen aus, um einen neuen Check-In bei Intune zu starten.
  • Wenn die Microsoft Intune-App nicht ausgeführt wird, melden Sie sich bei der App an, wodurch ein neuer Check-In gestartet wird.
  • Nach der Installation checkt die Microsoft Intune-App regelmäßig eigenständig bei Intune ein, solange das Gerät eingeschaltet ist und ein Benutzer angemeldet ist.

Nächste Schritte