Usare criteri e impostazioni di conformità personalizzati per i dispositivi Linux e Windows con Microsoft Intune

Espandendo le opzioni di conformità dei dispositivi predefinite di Intune, usare i criteri per le impostazioni di conformità personalizzate per i dispositivi Linux e Windows gestiti. Le impostazioni personalizzate offrono flessibilità per basare la conformità sulle impostazioni disponibili in un dispositivo senza dover attendere che Intune aggiurti queste impostazioni.

Questa funzionalità si applica a:

  • Linux - Ubuntu Desktop, versione 20.04 LTS e 22.04 LTS
  • Windows 10/11

Prima di poter aggiungere impostazioni personalizzate a un criterio, è necessario preparare un file JSON e uno script di rilevamento da usare con ogni piattaforma supportata. Sia lo script che il codice JSON diventano parte dei criteri di conformità. Ogni criterio di conformità supporta un singolo script e ogni script può rilevare più impostazioni:

  • Il file JSON definisce le impostazioni personalizzate e i valori considerati conformi. È anche possibile configurare i messaggi per gli utenti per indicare loro come ripristinare la conformità per ogni impostazione. Aggiungere il file JSON durante la creazione di un criterio di conformità, subito dopo aver selezionato uno script di individuazione per tale criterio.

  • Gli script sono specifici per piattaforme diverse e distribuiti ai dispositivi tramite i criteri di conformità. Quando i criteri vengono valutati, lo script rileva le impostazioni dal file JSON e quindi segnala i risultati a Intune. Windows usa uno script di PowerShell e Linux usa uno script della shell conforme a POSIX.

    Gli script devono essere caricati nell'interfaccia di amministrazione Microsoft Intune prima di creare un criterio di conformità. È possibile selezionare lo script quando si configura un criterio per supportare le impostazioni personalizzate.

Dopo aver distribuito le impostazioni di conformità personalizzate e i dispositivi hanno restituito il report, sarà possibile visualizzare i risultati insieme ai dettagli delle impostazioni di conformità predefinite nell'interfaccia di amministrazione Microsoft Intune. Le impostazioni di conformità personalizzate possono essere usate per le decisioni di accesso condizionale, allo stesso modo delle impostazioni di conformità predefinite. Insieme formano un set di regole composto, che influisce ugualmente sullo stato di conformità del dispositivo.

Prerequisiti

  • Microsoft Entra dispositivi aggiunti, inclusi Microsoft Entra dispositivi aggiunti ibridi.

    Microsoft Entra dispositivi aggiunti ibridi sono dispositivi aggiunti a Microsoft Entra ID e aggiunti anche a Active Directory locale. Per altre informazioni, vedere Pianificare l'implementazione di join ibridi Microsoft Entra.

  • Microsoft Entra registrati/aggiunti a Workplace (WPJ)

    Dispositivi registrati in Microsoft Entra ID, per altre informazioni, vedere Aggiunta all'area di lavoro come autenticazione a secondo fattore senza problemi. In genere si tratta di dispositivi Bring Your Own Device (BYOD) che hanno aggiunto un account aziendale o dell'istituto di istruzione tramite Impostazioni>Account>accesso aziendale o dell'istituto di istruzione.

    Nei dispositivi WPJ gli script di PowerShell del contesto del dispositivo funzionano, ma gli script di PowerShell del contesto utente vengono ignorati.

  • Script di individuazione : PowerShell per Windows o uno script della shell conforme a POSIX per Linux creato. Lo script viene eseguito in un dispositivo per individuare le impostazioni personalizzate definite nel file JSON. Lo script restituisce il valore di configurazione di tali impostazioni in Intune. È necessario caricare lo script nell'interfaccia di amministrazione Microsoft Intune prima di creare un criterio di conformità e quindi selezionare lo script da usare durante la creazione di un criterio.

    Per creare uno script di conformità personalizzato, vedere Script di individuazione della conformità personalizzati per Microsoft Intune.

  • File JSON : il file JSON definisce le impostazioni personalizzate e il valore che deve essere considerato conforme e può contenere messaggi per gli utenti su come ripristinare la conformità del dispositivo per l'impostazione. Per indicazioni sulla creazione di un codice JSON per la conformità personalizzata, vedere File JSON di conformità personalizzati.

Creare un criterio con impostazioni di conformità personalizzate

Prima di iniziare a creare un criterio che includerà impostazioni personalizzate, esaminare i prerequisiti.

È innanzitutto necessario caricare uno script di individuazione applicabile in Intune e disporre di un codice JSON pronto da aggiungere durante la creazione dei criteri.

Quando si è pronti, usare la procedura normale per creare un criterio di conformità, che include istruzioni specifiche della piattaforma per l'aggiunta di impostazioni personalizzate ai criteri. Le impostazioni personalizzate vengono aggiunte durante la pagina Impostazioni di configurazione configurando l'opzione per Conformità personalizzata.

Nota

Quando un dispositivo Windows riceve un criterio di conformità con impostazioni personalizzate, verifica la presenza di estensioni di gestione di Intune. Se non viene trovato, il dispositivo esegue un'identità del servizio gestito che installa le estensioni, consentendo al client di scaricare ed eseguire script di PowerShell che fanno parte di un criterio di conformità e di caricare i risultati della conformità. Le azioni gestite dai servizi includono:

  • Verifica della presenza di script di PowerShell nuovi o aggiornati ogni otto ore.
  • Esecuzione degli script di individuazione ogni otto ore.
  • Esecuzione di script che si scaricano quando un utente seleziona Verifica conformità nel dispositivo. Tuttavia, non viene eseguito alcun controllo per gli script nuovi o aggiornati quando viene eseguita la verifica della conformità.

Non è possibile inviare notifiche push a un dispositivo per consentire l'esecuzione su richiesta della conformità personalizzata.

Monitorare i criteri di conformità personalizzati

Usare i metodi seguenti per visualizzare i dettagli sullo stato di conformità di un dispositivo.

  • Per i dispositivi Linux e Windows, è possibile visualizzare i dettagli di conformità dei dispositivi per impostazione per le impostazioni di conformità personalizzate nell'interfaccia di amministrazione Microsoft Intune.

    Nell'interfaccia di amministrazione passare a Report>Conformità dispositivo e quindi selezionare la scheda Report . Selezionare il riquadro per i dispositivi e le impostazioni non conformi e quindi usare i menu a discesa per configurare il report. Assicurarsi di selezionare una piattaforma per il sistema operativo e quindi selezionare Genera report.

    Per altre informazioni, vedere Monitorare i criteri di conformità dei dispositivi di Intune.

  • In un dispositivo Linux è possibile aprire l'app Intune per visualizzare lo stato del dispositivo:

    • Conforme : il dispositivo è conforme ai criteri dell'organizzazione e deve essere in grado di accedere alle risorse dell'organizzazione.
    • Verifica dello stato : Intune sta attualmente valutando la conformità dei dispositivi ai criteri dell'organizzazione.
    • Non conforme : il dispositivo non soddisfa i requisiti di sicurezza e dispositivo dell'organizzazione e potrebbe non avere accesso alle risorse dell'organizzazione.

    Quando lo stato del dispositivo non è conforme, selezionare Visualizza problemi per visualizzare i dettagli sui problemi che devono essere risolti per garantire la conformità del dispositivo. Per informazioni sulla risoluzione dei problemi comuni, vedere Risoluzione dei problemi aggiuntivi per i dispositivi Linux.

Risolvere i problemi di conformità personalizzata per i dispositivi

Le impostazioni personalizzate non vengono valutate

Controllare i report di conformità del dispositivo per i codici di errore e le informazioni dettagliate seguenti sul problema:

  • 65007: Errore dello script restituito
  • 65008: impostazione mancante nel risultato dello script
  • 65009: JSON non valido per l'impostazione individuata
  • 65010: tipo di dati non valido per l'impostazione individuata

In Windows è possibile aggiungere la riga seguente alla fine dello script di PowerShell per restituire gli errori relativi allo script di PowerShell, assicurarsi che la riga seguente sia alla fine del file di script di PowerShell: return $hash | ConvertTo-Json -Compress

Gli script della shell conformi a PowerShell o POSIX non sono visibili per la selezione o rimangono visibili dopo l'eliminazione

Aggiornare la visualizzazione corrente. Se il problema persiste, annullare il flusso di creazione dei criteri e ricominciare.

Dopo aver risolto un problema in un dispositivo, le sincronizzazioni successive non identificano il problema come risolto e conforme

Possono essere necessari fino a otto ore prima che uno stato non conforme venga visualizzato come conforme dopo una modifica al dispositivo.

Un utente può verificare manualmente la conformità dopo aver risolto un problema in un dispositivo per identificare se il problema è stato risolto e conforme?

  • In Windows, un utente può accedere al sito Web Portale aziendale e attivare una sincronizzazione per aggiornare lo stato del dispositivo dopo aver corretto un'impostazione di conformità personalizzata non conforme.

  • In Linux un utente può aprire l'app Microsoft Intune e selezionare Aggiorna nella pagina dei dettagli del dispositivo o nella pagina dei problemi di conformità per avviare un nuovo check-in con Intune.

Perché non sono supportati altri operatori e operandi?

Contattare il responsabile dell'account per richiedere l'aggiunta di operatori e operandi specifici. Possono quindi essere considerati per un aggiornamento futuro.

Perché non è possibile applicare più script di individuazione a un criterio di conformità personalizzato?

I criteri supportano l'uso di un singolo script. Tuttavia, ogni script supporta il controllo di più valori di conformità.

Risoluzione dei problemi aggiuntiva per i dispositivi Linux

Per identificare le impostazioni non conformi per un dispositivo:

  • Nell'interfaccia di amministrazione Microsoft Intune è possibile identificare i dispositivi non conformi ai criteri. Passare a Report>Conformità dispositivo, selezionare la scheda Report e quindi selezionare il riquadro per i dispositivi e le impostazioni non conformi. Usare gli elenchi a discesa per configurare il report desiderato e quindi selezionare Genera report.

L'interfaccia di amministrazione visualizza una riga separata per ogni impostazione non conforme in un dispositivo.

  • Nel dispositivo Linux aprire l'app Microsoft Intune e visualizzare la pagina Aggiorna impostazioni dispositivo.

Le sezioni seguenti illustrano i problemi comuni e le soluzioni per i problemi che potrebbero verificarsi negli utenti di dispositivi Linux.

Distribuzione e versione del sistema operativo

Gli utenti di dispositivi che non soddisfano la configurazione di conformità del dispositivo per la distribuzione Linux o le versioni del sistema operativo potrebbero ricevere un messaggio che indica la necessità di aggiornare o effettuare il downgrade del sistema operativo del dispositivo.

Per essere conformi all'impostazione Distribuzioni consentite, la distribuzione e la versione di Linux devono soddisfare i requisiti minimi, massimi e di tipo. Se necessario, installare una versione o una distribuzione diversa di Linux per garantire la conformità del dispositivo.

Complessità delle password

Gli utenti di dispositivi che non soddisfano la configurazione di conformità del dispositivo per i requisiti di complessità delle password potrebbero ricevere un messaggio che indica che devono usare una password complessa.

Per essere conforme alle impostazioni dei criteri password , configurare il sistema Linux per l'uso delle password che soddisfano tali requisiti. I requisiti comuni dell'organizzazione includono:

  • Password che includono un numero minimo di lettere, cifre o caratteri speciali
  • Password di lunghezza minima

Crittografia del dispositivo

Gli utenti di dispositivi che non soddisfano le impostazioni di conformità per la crittografia del disco e della partizione potrebbero ricevere un messaggio che indica che devono crittografare le unità del dispositivo.

Per essere conforme all'impostazione Richiedi crittografia dispositivo , è necessaria la crittografia a livello di dispositivo per i dischi fissi scrivibili nel dispositivo Linux.

Esistono diverse opzioni per la crittografia del disco e della partizione nei sistemi operativi Linux. Intune riconosce qualsiasi sistema di crittografia che usa il sottosistema dm-crypt sottostante. Questo sottosistema è stato standard nei sistemi Linux per qualche tempo. Il metodo preferito per configurare dm-crypt consiste nell'usare il formato LUKS con lo strumento cryptsetup.

Di seguito sono riportate indicazioni generali per la crittografia di dischi e partizioni:

  • La crittografia dei volumi di sistema Linux dopo l'installazione è possibile, ma potenzialmente richiede molto tempo. È consigliabile configurare la crittografia del disco durante l'installazione del sistema operativo.
  • Non tutte le partizioni del file system devono essere crittografate affinché un dispositivo soddisfi gli standard dell'organizzazione. Le impostazioni di crittografia dei dispositivi predefinite non valutano quanto segue:
    • Partizioni di sola lettura
    • Pseudo-file system, ad esempio /proc o tmpfs
    • Partizioni /boot o /boot/efi

Aggiornare lo stato di conformità nei dispositivi Linux

Dopo aver apportato modifiche a un dispositivo per renderlo conforme, aggiornare lo stato del dispositivo con Intune:

  • Se l'app Microsoft Intune è ancora in esecuzione, selezionare Aggiorna nella pagina dei dettagli del dispositivo o nella pagina dei problemi di conformità per avviare un nuovo check-in con Intune.
  • Se l'app Microsoft Intune non è in esecuzione, accedere all'app, che avvierà un nuovo check-in.
  • Dopo l'installazione, l'app Microsoft Intune esegue periodicamente il check-in con Intune autonomamente, purché il dispositivo sia acceso e un utente vi sia connesso.

Passaggi successivi