Megosztás a következőn keresztül:

Egyéni megfelelőségi szabályzatok és beállítások használata Linux- és Windows-eszközökhöz a Microsoft Intune-nal

  • Cikk

Az Intune beépített eszközmegfelelési lehetőségeinek bővítéséhez szabályzatokat használhat a felügyelt Linux- és Windows-eszközök egyéni megfelelőségi beállításaihoz. Az egyéni beállítások rugalmasan biztosítják az eszközön elérhető beállítások megfelelőségét anélkül, hogy meg kellene várniuk, amíg az Intune hozzáadja ezeket a beállításokat a beépített szabályzatsablonokhoz.

Ez a funkció az alábbiakra vonatkozik:

  • Linux – Ubuntu Desktop, 20.04 LTS és 22.04 LTS verzió
  • Windows 10/11 (a Windows 10/11 Home kivételével)

Mielőtt egyéni beállításokat adhat egy szabályzathoz, elő kell készítenie egy JSON-fájlt és egy felderítési szkriptet az egyes támogatott platformokkal való használatra. A szkript és a JSON is a megfelelőségi szabályzat részévé válik. Minden megfelelőségi szabályzat egyetlen szkriptet támogat, és mindegyik szkript több beállítást is felderíthet:

  • A JSON-fájl határozza meg az egyéni beállításokat és a megfelelőnek ítélt értékeket. Az üzeneteket úgy is konfigurálhatja a felhasználók számára, hogy közöljék velük, hogyan állíthatják vissza az egyes beállítások megfelelőségét. A JSON-fájlt a megfelelőségi szabályzat létrehozásakor kell hozzáadnia, közvetlenül azután, hogy kiválasztott egy felderítési szkriptet a szabályzathoz.

  • A felderítési szkriptek a különböző platformokra vonatkoznak, és a megfelelőségi szabályzat részeként érkeznek az eszközökre. Amikor egy eszköz kiértékeli a szabályzatát, a szkript észleli (felderíti) a beállításokat a JSON-fájlból, majd jelenti az eredményeket az Intune-nak. A Windows-eszközök PowerShell-szkriptet, a Linux-eszközök pedig POSIX-kompatibilis rendszerhéjszkriptet használnak.

    A szkripteket fel kell tölteni a Microsoft Intune felügyeleti központjába, mielőtt megfelelőségi szabályzatot hoz létre. Az egyéni beállításokat támogató szabályzat konfigurálásakor válassza ki a szkriptet.

Miután telepítette az egyéni megfelelőségi beállításokat és eszközöket, a Microsoft Intune Felügyeleti központban megtekintheti az eredményeket a beépített megfelelőségi beállítások részletei mellett. Az egyéni megfelelőségi beállítások ugyanúgy használhatók feltételes hozzáférési döntésekhez, mint a beépített megfelelőségi beállítások. Együtt összetett szabálykészletet alkotnak, amely egyformán befolyásolja az eszköz megfelelőségi állapotát.

Előfeltételek

  • Microsoft Entra-csatlakoztatott eszközök, beleértve a Hibrid Microsoft Entra csatlakoztatott eszközöket.

    A Microsoft Entra hibrid csatlakoztatott eszközök olyan eszközök, amelyek a Microsoft Entra ID azonosítóhoz csatlakoznak, és a helyszíni Active Directoryhoz is csatlakoznak. További információkért lásd: A Microsoft Entra hibrid csatlakozás implementálásának tervezése.

  • Regisztrált Microsoft Entra/Munkahelyhez csatlakoztatott (WPJ)

    A Microsoft Entra-azonosítóban regisztrált eszközökkel kapcsolatos információkért lásd: Workplace Join as a seamless second factor authentication (Munkahelyi csatlakoztatás zökkenőmentes másodiktényezős hitelesítésként). Ezek az eszközök általában saját eszközök használata (BYOD), amelyekhez munkahelyi vagy iskolai fiók van hozzáadva a Beállítások>Fiókok Hozzáférés munkahelyi vagy iskolai rendszerhez>szolgáltatáson keresztül.

    WPJ-eszközökön az eszközkörnyezeti PowerShell-szkriptek működnek, de a felhasználói környezet PowerShell-szkriptjei figyelmen kívül lesznek hagyva.

  • Felderítési szkript – Egy Windowshoz készült PowerShell vagy egy POSIX-kompatibilis rendszerhéjszkript Linuxhoz, amelyet ön hoz létre. A szkript egy eszközön fut, hogy felderítse a JSON-fájlban meghatározott egyéni beállításokat. A szkript ezeknek a beállításoknak a konfigurációs értékét adja vissza az Intune-nak. A megfelelőségi szabályzat létrehozása előtt fel kell töltenie a szkriptet a Microsoft Intune felügyeleti központjába, majd ki kell választania a szabályzat létrehozásakor használni kívánt szkriptet.

    Egyéni megfelelőségi szkript létrehozásához lásd: Egyéni megfelelőségi felderítési szkriptek a Microsoft Intune-hoz.

  • JSON-fájl – A JSON-fájl határozza meg az egyéni beállításokat és a megfelelőnek ítélt értéket, és üzeneteket tartalmazhat a felhasználóknak arról, hogyan állíthatja vissza az eszközt a beállítás megfelelőségére. Az egyéni megfelelőség JSON-fájljainak létrehozásával kapcsolatos útmutatásért lásd: Egyéni megfelelőségi JSON-fájlok.

Szabályzat létrehozása egyéni megfelelőségi beállításokkal

Mielőtt egyéni beállításokat tartalmazó szabályzatot hoz létre, tekintse át az előfeltételeket.

Először fel kell töltenie egy megfelelő felderítési szkriptet az Intune-ba, és rendelkeznie kell egy kész JSON-nal a szabályzat létrehozásakor.

Ha készen áll, a normál eljárással hozzon létre egy megfelelőségi szabályzatot, amely platformspecifikus utasításokat tartalmaz az egyéni beállítások szabályzathoz való hozzáadásához. Az egyéni beállítások a Konfigurációs beállítások lapon jelennek meg az Egyéni megfelelőség beállítás konfigurálásával.

Megjegyzés:

Amikor egy Windows-eszköz egyéni beállításokkal rendelkező megfelelőségi szabályzatot kap, ellenőrzi az Intune felügyeleti bővítmények meglétét. Ha nem található, az eszköz egy MSI-t futtat, amely telepíti a bővítményeket, lehetővé téve az ügyfél számára a megfelelőségi szabályzat részét képező PowerShell-szkriptek letöltését és futtatását, valamint a megfelelőségi eredmények feltöltését. A szolgáltatások által kezelt műveletek a következők:

  • Új vagy frissített PowerShell-szkriptek keresése nyolc óránként.
  • A felderítési szkriptek nyolcóránként történő futtatása.
  • Olyan szkriptek futtatása, amelyek akkortöltődnek le, ha a felhasználó a Megfelelőség ellenőrzése lehetőséget választja az eszközön. A Megfelelőség ellenőrzése futtatásakor azonban nem történik új vagy frissített szkriptek keresése.

Az egyéni megfelelőség igény szerinti futtatásához nem lehet leküldéses értesítéseket küldeni az eszközökre.

Egyéni megfelelőségi szabályzat figyelése

Az alábbi módszerekkel megtekintheti az eszköz megfelelőségi állapotának részleteit.

  • Linux és Windows rendszerű eszközök esetén az egyéni megfelelőségi beállítások beállításonkénti megfelelőségi adatait a Microsoft Intune Felügyeleti központban tekintheti meg.

    A felügyeleti központban lépjen a Jelentések>Eszközmegfelelés elemre, majd válassza a Jelentések lapot. Válassza a Nem megfelelő eszközök és beállítások csempét, majd a legördülő menükkel konfigurálja a jelentést. Mindenképpen válasszon platformot az operációs rendszerhez, majd válassza a Jelentés létrehozása lehetőséget.

    További információ: Az Intune eszközmegfelelési szabályzatainak figyelése.

  • Linux-eszközön megnyithatja az Intune alkalmazást az eszköz állapotának megtekintéséhez:

    • Megfelelő – Az eszköznek meg kell felelnie a szervezet szabályzatainak, és hozzá kell tudnia férni a szervezeti erőforrásokhoz.
    • Állapot ellenőrzése – Az Intune jelenleg azt értékeli, hogy az eszközök megfelelnek-e a szervezet szabályzatainak.
    • Nem megfelelő – Az eszköz nem felel meg a szervezet eszköz- és biztonsági követelményeinek, és előfordulhat, hogy nem fér hozzá a szervezet erőforrásaihoz.

    Ha az eszköz állapota Nem megfelelő, válassza a Problémák megtekintése lehetőséget azoknak a problémáknak a részleteinek megtekintéséhez, amelyeket meg kell oldani az eszköz megfelelőségének biztosításához. A gyakori problémák megoldásával kapcsolatos információkért tekintse meg a jelen cikk Linux-eszközökkel kapcsolatos további hibaelhárítását ismertető cikket.

Eszközök egyéni megfelelőségének hibaelhárítása

Az egyéni beállítások kiértékelése nem történik meg

Ellenőrizze az eszközmegfelelési jelentéseket a következő hibakódokért és a problémára vonatkozó megállapításokért:

  • 65007: A szkript hibát adott vissza
  • 65008: A beállítás hiányzik a szkript eredményéből
  • 65009: Érvénytelen json a felderített beállításhoz
  • 65010: Érvénytelen adattípus a felderített beállításhoz

Windows rendszeren hozzáadhatja a következő sort a PowerShell-szkript végéhez a PowerShell-szkripttel kapcsolatos hibák visszaadásához. Győződjön meg arról, hogy a következő sor a PowerShell-szkriptfájl végén található: return $hash | ConvertTo-Json -Compress

A PowerShell- vagy POSIX-kompatibilis rendszerhéjszkriptek nem jelölhetők ki, illetve nem láthatók a törlés után

Frissítse az aktuális nézetet. Ha a probléma továbbra is fennáll, szakítsa meg a szabályzatlétrehozás folyamatát, és kezdje újra.

Miután kijavítottunk egy hibát egy eszközön, a későbbi szinkronizálások nem azonosítják a problémát megoldottként és megfelelőként

Akár nyolc órát is igénybe vehet, amíg a nem megfelelő állapot megfelelőként jelenik meg az eszköz módosítása után.

A felhasználó manuálisan ellenőrizheti a megfelelőséget egy eszközön jelentkező probléma kijavítása után annak megállapításához, hogy a probléma megoldódott-e, és megfelelő-e?

  • Windows rendszeren a felhasználók megnyithatják a Vállalati portál webhelyét , és elindíthatnak egy szinkronizálást az eszköz állapotának frissítéséhez egy nem megfelelő egyéni megfelelőségi beállítás kijavítása után.

  • Linux rendszeren a felhasználók megnyithatják a Microsoft Intune alkalmazást , és az eszközadatok vagy a megfelelőségi problémák oldalán a Frissítés lehetőséget választva új bejelentkezést indíthatnak az Intune-nal.

Miért nem támogatott több operátor és operandus?

Vegye fel a kapcsolatot a fiókkezelővel, és kérje adott operátorok és operandusok hozzáadását. Ezután egy későbbi frissítéshez figyelembe lehet venni őket.

Miért nem tudok több felderítési szkriptet alkalmazni egy egyéni megfelelőségi szabályzatra?

A szabályzatok egyetlen szkript használatát támogatják. Azonban minden szkript támogatja több megfelelőségi érték keresését.

További hibaelhárítás Linux-eszközök esetén

Az eszközhöz nem megfelelő beállítások azonosítása:

  • A Microsoft Intune Felügyeleti központban azonosíthatja azokat az eszközöket, amelyek nem felelnek meg a szabályzatnak. Lépjen a Jelentések>Eszközmegfelelés területre, válassza a Jelentések lapot, majd a Nem megfelelő eszközök és beállítások csempét. A legördülő listák segítségével konfigurálja a kívánt jelentést, majd válassza a Jelentés létrehozása lehetőséget.

A felügyeleti központ külön sorokat jelenít meg minden olyan beállításhoz, amely nem felel meg az eszköznek.

  • A Linux-eszközön nyissa meg a Microsoft Intune alkalmazást, és tekintse meg az Eszközbeállítások frissítése lapot.

A következő szakaszok a Linux-eszközök felhasználói által tapasztalt gyakori problémákat és megoldásokat ismertetik.

Operációs rendszer disztribúciója és verziója

Előfordulhat, hogy egy olyan eszköz felhasználói, amelyek nem felelnek meg a Linux-disztribúció vagy az operációs rendszer verziójának megfelelőségi követelményeinek, olyan üzenetet kaphatnak, amely az eszközök operációs rendszerének frissítésére vagy korábbi verzióra való váltására utal.

Az Engedélyezett disztribúció beállításnak való megfeleléshez a Linux-disztribúció és -verziójú eszközöknek meg kell felelniük a minimális, maximális és típuskövetelményeknek. Ha szükséges, telepítsen egy másik Linux-verziót vagy -disztribúciót az eszköz megfelelőségének biztosításához.

Jelszó összetettsége

Egy olyan eszköz felhasználói, akik nem felelnek meg a jelszó összetettségi követelményeire vonatkozó megfelelőségi követelményeknek, üzenetet kaphatnak, amely jelzi, hogy erős jelszót kell használniuk.

A jelszóházirend-beállításoknak való megfelelés érdekében konfigurálja a Linux rendszert azoknak a jelszavaknak a használatára, amelyek megfelelnek ezeknek a követelményeknek. A gyakori szervezeti követelmények a következők:

  • A betűk, számjegyek vagy speciális karakterek minimális számát tartalmazó jelszavak
  • Minimális hosszúságú jelszavak

Eszköztitkosítás

Az olyan eszközök felhasználói, amelyek nem felelnek meg a lemez- és partíciótitkosítás megfelelőségi követelményeinek, üzenetet kaphatnak arról, hogy titkosítaniuk kell az eszközmeghajtókat.

Ahhoz, hogy megfeleljen az Eszköztitkosítás megkövetelése beállításnak, eszközszintű titkosításra van szükség a Linux-eszközön írható rögzített lemezekhez.

Linux operációs rendszereken számos lehetőség van a lemez- és partíciótitkosításra. Az Intune felismeri a mögöttes dm-crypt alrendszert használó titkosítási rendszereket. Ez az alrendszer linuxos rendszereken hosszú távú szabvány. A dm-crypt beállításának elsődleges módja a LUKS formátum használata a cryptsetup eszközzel.

Az alábbi lista általános útmutatást nyújt a lemezek és partíciók titkosításához:

  • A Linux rendszerköteteinek titkosítása a telepítés után lehetséges, de akár időigényes is. Javasoljuk, hogy az operációs rendszer telepítésekor állítsa be a lemeztitkosítást.
  • Nem minden fájlrendszerpartíciót kell titkosítani ahhoz, hogy az eszköz megfeleljen a szervezeti szabványoknak. A beépített eszköztitkosítási beállítások nem értékelik ki a következőket:
    • Írásvédett partíciók
    • Pszeudo-fájlrendszerek, például /proc vagy tmpfs
    • A /boot vagy /boot/efi a partíció

Megfelelőségi állapot frissítése Linux-eszközökön

Miután módosított egy eszközt a megfelelőség érdekében, frissítse az eszköz állapotát az Intune-nal:

  • Ha a Microsoft Intune alkalmazás továbbra is fut, válassza a Frissítés lehetőséget az eszköz részleteit tartalmazó lapon, vagy a megfelelőségi problémák oldalán az Intune-nal való új bejelentkezés indításához.
  • Ha a Microsoft Intune alkalmazás nem fut, jelentkezzen be az alkalmazásba egy új bejelentkezés elindításához.
  • A telepítést követően a Microsoft Intune alkalmazás rendszeres időközönként bejelentkezik az Intune-nal, amíg az eszköz be van kapcsolva, és a felhasználó be van jelentkezve.

Következő lépések