Egyéni megfelelőségi szabályzatok és beállítások használata Linux- és Windows-eszközökhöz a Microsoft Intune

  • Cikk

Az Intune beépített eszközmegfelelőségi lehetőségeinek bővítéséhez használjon szabályzatokat a felügyelt Linux- és Windows-eszközök egyéni megfelelőségi beállításaihoz. Az egyéni beállítások rugalmasságot biztosítanak az eszközön elérhető beállításoknak való megfeleléshez anélkül, hogy meg kellene várniuk, amíg az Intune hozzáadja ezeket a beállításokat.

Ez a funkció az alábbiakra vonatkozik:

  • Linux – Ubuntu Desktop, 20.04 LTS és 22.04 LTS verzió
  • Windows 10/11

Mielőtt egyéni beállításokat adhat egy szabályzathoz, elő kell készítenie egy JSON-fájlt és egy észlelési szkriptet az egyes támogatott platformokhoz. A szkript és a JSON is a megfelelőségi szabályzat részévé válik. Minden megfelelőségi szabályzat egyetlen szkriptet támogat, és mindegyik szkript több beállítást is képes észlelni:

  • A JSON-fájl határozza meg az egyéni beállításokat és a megfelelőnek ítélt értékeket. Az üzeneteket úgy is konfigurálhatja a felhasználók számára, hogy közöljék velük, hogyan állíthatják vissza az egyes beállítások megfelelőségét. A JSON-fájlt a megfelelőségi szabályzat létrehozásakor kell hozzáadnia, közvetlenül azután, hogy kiválasztott egy felderítési szkriptet a szabályzathoz.

  • A szkriptek különböző platformokra vonatkoznak, és a megfelelőségi szabályzaton keresztül jutnak el az eszközökhöz. A szabályzat kiértékelésekor a szkript észleli a beállításokat a JSON-fájlból, majd jelenti az eredményeket az Intune-nak. A Windows PowerShell-szkriptet, a Linux pedig POSIX-kompatibilis rendszerhéjszkriptet használ.

    A szkripteket fel kell tölteni a Microsoft Intune Felügyeleti központba, mielőtt megfelelőségi szabályzatot hoz létre. Az egyéni beállításokat támogató szabályzat konfigurálásakor válassza ki a szkriptet.

Miután telepítette az egyéni megfelelőségi beállításokat és eszközöket, a Microsoft Intune Felügyeleti központban megtekintheti az eredményeket a beépített megfelelőségi beállítások részletei mellett. Az egyéni megfelelőségi beállítások feltételes hozzáférési döntésekhez is használhatók, ugyanúgy, mint a beépített megfelelőségi beállítások. Együtt összetett szabálykészletet alkotnak, amely egyformán befolyásolja az eszköz megfelelőségi állapotát.

Előfeltételek

  • Microsoft Entra csatlakoztatott eszközök, beleértve Microsoft Entra hibrid csatlakoztatott eszközöket.

    Microsoft Entra hibrid csatlakoztatott eszközök olyan eszközök, amelyek Microsoft Entra ID csatlakoznak, és helyi Active Directory is csatlakoznak. További információ: A Microsoft Entra hibrid illesztés implementációjának megtervezve.

  • regisztrált/munkahelyhez csatlakoztatott (WPJ) Microsoft Entra

    A Microsoft Entra ID regisztrált eszközökről további információt a Munkahelyi csatlakoztatás zökkenőmentes másodiktényezős hitelesítésként című témakörben talál. Ezek általában a Saját eszközök használata (BYOD) eszközök, amelyekhez munkahelyi vagy iskolai fiók lett hozzáadva a Beállítások>Fiókok Hozzáférés munkahelyi vagy iskolai rendszerhez>szolgáltatáson keresztül.

    WPJ-eszközökön az eszközkörnyezeti PowerShell-szkriptek működnek, de a felhasználói környezet PowerShell-szkriptjei figyelmen kívül lesznek hagyva.

  • Felderítési szkript – Egy Windowshoz készült PowerShell vagy egy POSIX-kompatibilis rendszerhéjszkript Linuxhoz, amelyet ön hoz létre. A szkript egy eszközön fut, hogy felderítse a JSON-fájlban meghatározott egyéni beállításokat. A szkript ezeknek a beállításoknak a konfigurációs értékét adja vissza az Intune-nak. A megfelelőségi szabályzat létrehozása előtt fel kell töltenie a szkriptet a Microsoft Intune Felügyeleti központba, majd ki kell választania a szabályzat létrehozásakor használni kívánt szkriptet.

    Egyéni megfelelőségi szkript létrehozásához lásd: Egyéni megfelelőségi felderítési szkriptek Microsoft Intune.

  • JSON-fájl – A JSON-fájl határozza meg az egyéni beállításokat és a megfelelőnek ítélt értéket, és üzeneteket tartalmazhat a felhasználóknak arról, hogyan állíthatja vissza az eszközt a beállítás megfelelőségére. Az egyéni megfelelőség JSON-fájljainak létrehozásával kapcsolatos útmutatásért lásd: Egyéni megfelelőségi JSON-fájlok.

Szabályzat létrehozása egyéni megfelelőségi beállításokkal

Mielőtt egyéni beállításokat tartalmazó szabályzatot hoz létre, tekintse át az előfeltételeket.

Először fel kell töltenie egy megfelelő felderítési szkriptet az Intune-ba, és rendelkeznie kell egy kész JSON-nal a szabályzat létrehozásakor.

Ha készen áll, a normál eljárással hozzon létre egy megfelelőségi szabályzatot, amely platformspecifikus utasításokat tartalmaz az egyéni beállítások szabályzathoz való hozzáadásához. Az egyéni beállítások a Konfigurációs beállítások lapon jelennek meg az Egyéni megfelelőség beállítás konfigurálásával.

Megjegyzés:

Amikor egy Windows-eszköz egyéni beállításokkal rendelkező megfelelőségi szabályzatot kap, ellenőrzi az Intune felügyeleti bővítmények meglétét. Ha nem található, az eszköz egy MSI-t futtat, amely telepíti a bővítményeket, lehetővé téve az ügyfél számára a megfelelőségi szabályzat részét képező PowerShell-szkriptek letöltését és futtatását, valamint a megfelelőségi eredmények feltöltését. A szolgáltatások által kezelt műveletek a következők:

  • Új vagy frissített PowerShell-szkriptek keresése nyolc óránként.
  • A felderítési szkriptek nyolcóránként történő futtatása.
  • Olyan szkriptek futtatása, amelyek akkortöltődnek le, ha a felhasználó a Megfelelőség ellenőrzése lehetőséget választja az eszközön. A Megfelelőség ellenőrzése futtatásakor azonban nem történik új vagy frissített szkriptek keresése.

Az egyéni megfelelőség igény szerinti futtatásához nem lehet leküldéses értesítéseket küldeni az eszközökre.

Egyéni megfelelőségi szabályzat figyelése

Az alábbi módszerekkel megtekintheti az eszköz megfelelőségi állapotának részleteit.

  • Linux- és Windows-eszközök esetén az egyéni megfelelőségi beállítások beállításonkénti megfelelőségi adatait a Microsoft Intune Felügyeleti központban tekintheti meg.

    A felügyeleti központban lépjen a Jelentések>Eszközmegfelelés elemre, majd válassza a Jelentések lapot. Válassza a Nem megfelelő eszközök és beállítások csempét, majd a legördülő menükkel konfigurálja a jelentést. Mindenképpen válasszon platformot az operációs rendszerhez, majd válassza a Jelentés létrehozása lehetőséget.

    További információ: Az Intune eszközmegfelelési szabályzatainak figyelése.

  • Linux-eszközön megnyithatja az Intune alkalmazást az eszköz állapotának megtekintéséhez:

    • Megfelelő – Az eszköznek meg kell felelnie a szervezet szabályzatainak, és hozzá kell tudnia férni a szervezeti erőforrásokhoz.
    • Állapot ellenőrzése – Az Intune jelenleg azt értékeli, hogy az eszközök megfelelnek-e a szervezet szabályzatainak.
    • Nem megfelelő – Az eszköz nem felel meg a szervezet eszköz- és biztonsági követelményeinek, és előfordulhat, hogy nem fér hozzá a szervezet erőforrásaihoz.

    Ha az eszköz állapota Nem megfelelő, válassza a Problémák megtekintése lehetőséget azoknak a problémáknak a részleteinek megtekintéséhez, amelyeket meg kell oldani az eszköz megfelelőségének biztosításához. További információ a gyakori problémák megoldásáról: További hibaelhárítás Linux-eszközök esetén.

Eszközök egyéni megfelelőségének hibaelhárítása

Az egyéni beállítások kiértékelése nem történik meg

Ellenőrizze az eszközmegfelelési jelentéseket a következő hibakódokért és a problémára vonatkozó megállapításokért:

  • 65007: A szkript hibát adott vissza
  • 65008: A beállítás hiányzik a szkript eredményéből
  • 65009: Érvénytelen json a felderített beállításhoz
  • 65010: Érvénytelen adattípus a felderített beállításhoz

Windows rendszeren hozzáadhatja a következő sort a PowerShell-szkript végéhez a PowerShell-szkripttel kapcsolatos hibák visszaadásához. Győződjön meg arról, hogy a következő sor a PowerShell-szkriptfájl végén található: return $hash | ConvertTo-Json -Compress

A PowerShell- vagy POSIX-kompatibilis rendszerhéjszkriptek nem jelölhetők ki, illetve nem láthatók a törlés után

Frissítse az aktuális nézetet. Ha a probléma továbbra is fennáll, szakítsa meg a szabályzatlétrehozás folyamatát, és kezdje újra.

Miután kijavítottunk egy hibát egy eszközön, a későbbi szinkronizálások nem azonosítják a problémát megoldottként és megfelelőként

Akár nyolc órát is igénybe vehet, amíg a nem megfelelő állapot megfelelőként jelenik meg az eszköz módosítása után.

A felhasználó manuálisan ellenőrizheti a megfelelőséget egy eszközön jelentkező probléma kijavítása után annak megállapításához, hogy a probléma megoldódott-e, és megfelelő-e?

  • Windows rendszeren a felhasználó megnyithatja a Céges portál webhelyet, és elindíthat egy szinkronizálást az eszköz állapotának frissítéséhez egy nem megfelelő egyéni megfelelőségi beállítás kijavítása után.

  • Linux rendszeren a felhasználók megnyithatják a Microsoft Intune alkalmazást, és az eszközadatok vagy a megfelelőségi problémák oldalán a Frissítés lehetőséget választva új bejelentkezést indíthatnak az Intune-nal.

Miért nem támogatott több operátor és operandus?

Vegye fel a kapcsolatot a fiókkezelővel, és kérje adott operátorok és operandusok hozzáadását. Ezután egy későbbi frissítéshez figyelembe lehet venni őket.

Miért nem tudok több felderítési szkriptet alkalmazni egy egyéni megfelelőségi szabályzatra?

A szabályzatok egyetlen szkript használatát támogatják. Azonban minden szkript támogatja több megfelelőségi érték keresését.

További hibaelhárítás Linux-eszközök esetén

Az eszközhöz nem megfelelő beállítások azonosítása:

  • A Microsoft Intune Felügyeleti központban azonosíthatja azokat az eszközöket, amelyek nem felelnek meg a szabályzatnak. Lépjen a Jelentések>Eszközmegfelelés területre, válassza a Jelentések lapot, majd a Nem megfelelő eszközök és beállítások csempét. A legördülő listák segítségével konfigurálja a kívánt jelentést, majd válassza a Jelentés létrehozása lehetőséget.

A felügyeleti központ külön sorokat jelenít meg minden olyan beállításhoz, amely nem felel meg az eszköznek.

  • A Linux-eszközön nyissa meg a Microsoft Intune alkalmazást, és tekintse meg az Eszközbeállítások frissítése lapot.

A következő szakaszok a Linux-eszközök felhasználói által tapasztalt gyakori problémákat és megoldásokat ismertetik.

Operációs rendszer disztribúciója és verziója

Azoknak az eszközöknek a felhasználói, amelyek nem felelnek meg a Linux-disztribúció vagy az operációs rendszer verziójának eszközmegfelelési konfigurációjának, olyan üzenetet kaphatnak, amely jelzi, hogy frissíteni vagy vissza kell váltani az eszköz operációs rendszerét.

Az Engedélyezett disztribúció beállításnak való megfeleléshez a Linux-disztribúció és -verziójú eszközöknek meg kell felelniük a minimális, maximális és típuskövetelményeknek. Ha szükséges, telepítsen egy másik Linux-verziót vagy -disztribúciót az eszköz megfelelőségének biztosításához.

Jelszó összetettsége

Azoknak az eszközöknek a felhasználói, amelyek nem felelnek meg az eszközmegfelelési konfigurációnak a jelszó összetettségi követelményeinek, egy üzenetet kaphatnak, amely jelzi, hogy erős jelszót kell használniuk.

A jelszóházirend-beállításoknak való megfelelés érdekében konfigurálja a Linux rendszert azoknak a jelszavaknak a használatára, amelyek megfelelnek ezeknek a követelményeknek. A gyakori szervezeti követelmények a következők:

  • A betűk, számjegyek vagy speciális karakterek minimális számát tartalmazó jelszavak
  • Minimális hosszúságú jelszavak

Eszköztitkosítás

Azoknak az eszközöknek a felhasználói, amelyek nem felelnek meg a lemez- és partíciótitkosítás megfelelőségi beállításainak, üzenetet kaphatnak arról, hogy titkosítaniuk kell az eszközmeghajtókat.

Ahhoz, hogy megfeleljen az Eszköztitkosítás megkövetelése beállításnak, eszközszintű titkosításra van szükség a Linux-eszközön írható rögzített lemezekhez.

Linux operációs rendszereken számos lehetőség van a lemez- és partíciótitkosításra. Az Intune felismeri a mögöttes dm-crypt alrendszert használó titkosítási rendszereket. Ez az alrendszer már egy ideje szabványos linuxos rendszereken. A dm-crypt beállításának elsődleges módja a LUKS formátum használata a cryptsetup eszközzel.

A lemezek és partíciók titkosításához az alábbiakban általános útmutatást talál:

  • A Linux rendszerköteteinek titkosítása a telepítés után lehetséges, de akár időigényes is. Javasoljuk, hogy az operációs rendszer telepítésekor állítsa be a lemeztitkosítást.
  • Nem minden fájlrendszerpartíciót kell titkosítani ahhoz, hogy az eszköz megfeleljen a szervezeti szabványoknak. A beépített eszköztitkosítási beállítások nem értékelik ki a következőket:
    • Írásvédett partíciók
    • Pszeudo-fájlrendszerek, például /proc vagy tmpfs
    • A /boot vagy /boot/efi a partíció

Megfelelőségi állapot frissítése Linux-eszközökön

Miután módosított egy eszközt a megfelelőség érdekében, frissítse az eszköz állapotát az Intune-nal:

  • Ha az Microsoft Intune alkalmazás továbbra is fut, válassza a Frissítés lehetőséget az eszköz részleteinek lapján, vagy a megfelelőségi problémák oldalán egy új bejelentkezés indításához az Intune-ban.
  • Ha az Microsoft Intune alkalmazás nem fut, jelentkezzen be az alkalmazásba, amely új bejelentkezést indít el.
  • A telepítést követően a Microsoft Intune alkalmazás rendszeres időközönként bejelentkezik az Intune-ba, amíg az eszköz be van kapcsolva, és a felhasználó be van jelentkezve.

Következő lépések