Condividi tramite

Usare criteri e impostazioni di conformità personalizzati per i dispositivi Linux e Windows con Microsoft Intune

  • Articolo

Per espandere le opzioni di conformità dei dispositivi predefinite di Intune, è possibile usare i criteri per le impostazioni di conformità personalizzate per i dispositivi Linux e Windows gestiti. Le impostazioni personalizzate offrono flessibilità per basare la conformità sulle impostazioni disponibili in un dispositivo senza dover attendere che Intune aggiurti queste impostazioni ai modelli di criteri predefiniti.

Questa funzionalità si applica a:

  • Windows 10/11 (escluso Windows 10/11 Home)
  • Linux
    • Ubuntu Desktop, versione 20.04 LTS e 22.04 LTS
    • RedHat Enterprise Linux 8
    • RedHat Enterprise Linux 9

Prima di poter aggiungere impostazioni personalizzate a un criterio, è necessario preparare un file JSON e uno script di individuazione da usare con ogni piattaforma supportata. Sia lo script che il codice JSON diventano parte dei criteri di conformità. Ogni criterio di conformità supporta un singolo script e ogni script può individuare più impostazioni:

  • Il file JSON definisce le impostazioni personalizzate e i valori considerati conformi. È anche possibile configurare i messaggi per gli utenti per indicare loro come ripristinare la conformità per ogni impostazione. Aggiungere il file JSON quando si creano criteri di conformità, subito dopo aver selezionato uno script di individuazione per tale criterio.

  • Gli script di individuazione sono specifici per le diverse piattaforme e vengono recapitati ai dispositivi come parte dei criteri di conformità. Quando un dispositivo valuta i criteri, lo script rileva (individua) le impostazioni dal file JSON e quindi segnala i risultati a Intune. I dispositivi Windows usano uno script di PowerShell e i dispositivi Linux usano uno script della shell conforme a POSIX.

    Gli script devono essere caricati nell'interfaccia di amministrazione di Microsoft Intune prima di creare un criterio di conformità. È possibile selezionare lo script quando si configura un criterio per supportare le impostazioni personalizzate.

Dopo aver distribuito le impostazioni di conformità personalizzate e i dispositivi, è possibile visualizzare i risultati insieme ai dettagli delle impostazioni di conformità predefinite nell'interfaccia di amministrazione di Microsoft Intune. Le impostazioni di conformità personalizzate possono essere usate per le decisioni relative all'accesso condizionale allo stesso modo delle impostazioni di conformità predefinite. Insieme formano un set di regole composto, che influisce ugualmente sullo stato di conformità del dispositivo.

Prerequisiti

  • Dispositivi aggiunti a Microsoft Entra , inclusi i dispositivi aggiunti a Microsoft Entra ibrido.

    I dispositivi aggiunti a Microsoft Entra ibrido sono dispositivi aggiunti a Microsoft Entra ID e aggiunti anche ad Active Directory locale. Per altre informazioni, vedere Pianificare l'implementazione dell'aggiunta ibrida di Microsoft Entra.

  • Microsoft Entra registrato/aggiunto a Workplace (WPJ)

    Per informazioni sui dispositivi registrati in Microsoft Entra ID, vedere Aggiunta all'area di lavoro come autenticazione a secondo fattore senza problemi. In genere questi dispositivi sono dispositivi Bring Your Own Device (BYOD) con un account aziendale o dell'istituto di istruzione aggiunto tramite Impostazioni>Account>accesso aziendale o dell'istituto di istruzione.

    Nei dispositivi WPJ gli script di PowerShell del contesto del dispositivo funzionano, ma gli script di PowerShell del contesto utente vengono ignorati.

  • Script di individuazione : PowerShell per Windows o uno script della shell conforme a POSIX per Linux creato. Lo script viene eseguito in un dispositivo per individuare le impostazioni personalizzate definite nel file JSON. Lo script restituisce il valore di configurazione di tali impostazioni in Intune. È necessario caricare lo script nell'interfaccia di amministrazione di Microsoft Intune prima di creare un criterio di conformità e quindi selezionare lo script da usare durante la creazione di un criterio.

    Per creare uno script di conformità personalizzato, vedere Script di individuazione della conformità personalizzati per Microsoft Intune.

  • File JSON : il file JSON definisce le impostazioni personalizzate e il valore che deve essere considerato conforme e può contenere messaggi per gli utenti su come ripristinare la conformità del dispositivo per l'impostazione. Per indicazioni sulla creazione di un codice JSON per la conformità personalizzata, vedere File JSON di conformità personalizzati.

Creare un criterio con impostazioni di conformità personalizzate

Prima di iniziare a creare un criterio che include impostazioni personalizzate, esaminare i prerequisiti.

È innanzitutto necessario caricare uno script di individuazione applicabile in Intune e disporre di un codice JSON pronto da aggiungere durante la creazione dei criteri.

Quando si è pronti, usare la procedura normale per creare un criterio di conformità, che include istruzioni specifiche della piattaforma per l'aggiunta di impostazioni personalizzate ai criteri. Le impostazioni personalizzate vengono aggiunte durante la pagina Impostazioni di configurazione configurando l'opzione per Conformità personalizzata.

Nota

Quando un dispositivo Windows riceve un criterio di conformità con impostazioni personalizzate, verifica la presenza di estensioni di gestione di Intune. Se non viene trovato, il dispositivo esegue un'identità del servizio gestito che installa le estensioni, consentendo al client di scaricare ed eseguire script di PowerShell che fanno parte di un criterio di conformità e di caricare i risultati della conformità. Le azioni gestite dai servizi includono:

  • Verifica della presenza di script di PowerShell nuovi o aggiornati ogni otto ore.
  • Esecuzione degli script di individuazione ogni otto ore.
  • Esecuzione di script che si scaricano quando un utente seleziona Verifica conformità nel dispositivo. Tuttavia, non viene eseguito alcun controllo per gli script nuovi o aggiornati quando viene eseguita la verifica della conformità.

Non è possibile inviare notifiche push a un dispositivo per consentire l'esecuzione su richiesta della conformità personalizzata.

Monitorare i criteri di conformità personalizzati

Usare i metodi seguenti per visualizzare i dettagli sullo stato di conformità di un dispositivo.

  • Per i dispositivi Linux e Windows, è possibile visualizzare i dettagli di conformità dei dispositivi per impostazione per le impostazioni di conformità personalizzate nell'interfaccia di amministrazione di Microsoft Intune.

    Nell'interfaccia di amministrazione passare a Report>Conformità dispositivo e quindi selezionare la scheda Report . Selezionare il riquadro per i dispositivi e le impostazioni non conformi e quindi usare i menu a discesa per configurare il report. Assicurarsi di selezionare una piattaforma per il sistema operativo e quindi selezionare Genera report.

    Per altre informazioni, vedere Monitorare i criteri di conformità dei dispositivi di Intune.

  • In un dispositivo Linux è possibile aprire l'app Intune per visualizzare lo stato del dispositivo:

    • Conforme : il dispositivo è conforme ai criteri dell'organizzazione e deve essere in grado di accedere alle risorse dell'organizzazione.
    • Verifica dello stato : Intune sta attualmente valutando la conformità dei dispositivi ai criteri dell'organizzazione.
    • Non conforme : il dispositivo non soddisfa i requisiti di sicurezza e dispositivo dell'organizzazione e potrebbe non avere accesso alle risorse dell'organizzazione.

    Quando lo stato del dispositivo non è conforme, selezionare Visualizza problemi per visualizzare i dettagli sui problemi che devono essere risolti per garantire la conformità del dispositivo. Per informazioni sulla risoluzione dei problemi comuni, vedere Risoluzione dei problemi aggiuntivi per i dispositivi Linux in questo articolo.

Risolvere i problemi di conformità personalizzata per i dispositivi

Le impostazioni personalizzate non vengono valutate

Controllare i report di conformità del dispositivo per i codici di errore e le informazioni dettagliate seguenti sul problema:

  • 65007: Errore dello script restituito
  • 65008: impostazione mancante nel risultato dello script
  • 65009: JSON non valido per l'impostazione individuata
  • 65010: tipo di dati non valido per l'impostazione individuata

In Windows è possibile aggiungere la riga seguente alla fine dello script di PowerShell per restituire gli errori relativi allo script di PowerShell, assicurarsi che la riga seguente sia alla fine del file di script di PowerShell: return $hash | ConvertTo-Json -Compress

Gli script della shell conformi a PowerShell o POSIX non sono visibili per la selezione o rimangono visibili dopo l'eliminazione

Aggiornare la visualizzazione corrente. Se il problema persiste, annullare il flusso di creazione dei criteri e ricominciare.

Dopo aver risolto un problema in un dispositivo, le sincronizzazioni successive non identificano il problema come risolto e conforme

Possono essere necessari fino a otto ore prima che uno stato non conforme venga visualizzato come conforme dopo una modifica al dispositivo.

Un utente può verificare manualmente la conformità dopo aver risolto un problema in un dispositivo per identificare se il problema è stato risolto e conforme?

  • In Windows, un utente può accedere al sito Web del portale aziendale e attivare una sincronizzazione per aggiornare lo stato del dispositivo dopo aver corretto un'impostazione di conformità personalizzata non conforme.

  • In Linux un utente può aprire l'app Microsoft Intune e selezionare Aggiorna nella pagina dei dettagli del dispositivo o nella pagina dei problemi di conformità per avviare un nuovo check-in con Intune.

Perché non sono supportati altri operatori e operandi?

Contattare il responsabile dell'account per richiedere l'aggiunta di operatori e operandi specifici. Possono quindi essere considerati per un aggiornamento futuro.

Perché non è possibile applicare più script di individuazione a un criterio di conformità personalizzato?

I criteri supportano l'uso di un singolo script. Tuttavia, ogni script supporta il controllo di più valori di conformità.

Risoluzione dei problemi aggiuntiva per i dispositivi Linux

Per identificare le impostazioni non conformi per un dispositivo:

  • Nell'interfaccia di amministrazione di Microsoft Intune è possibile identificare i dispositivi non conformi ai criteri. Passare a Report>Conformità dispositivo, selezionare la scheda Report e quindi selezionare il riquadro per i dispositivi e le impostazioni non conformi. Usare gli elenchi a discesa per configurare il report desiderato e quindi selezionare Genera report.

L'interfaccia di amministrazione visualizza una riga separata per ogni impostazione non conforme in un dispositivo.

  • Nel dispositivo Linux aprire l'app Microsoft Intune e visualizzare la pagina Aggiorna impostazioni dispositivo .

Le sezioni seguenti illustrano i problemi comuni e le soluzioni per i problemi che potrebbero verificarsi negli utenti di dispositivi Linux.

Distribuzione e versione del sistema operativo

Gli utenti di un dispositivo che non soddisfano i requisiti di conformità per la versione del sistema operativo o della distribuzione Linux potrebbero ricevere un messaggio che indica la necessità di aggiornare o effettuare il downgrade del sistema operativo dei dispositivi.

Per essere conformi all'impostazione Distribuzioni consentite, la distribuzione e la versione di Linux devono soddisfare i requisiti minimi, massimi e di tipo. Se necessario, installare una versione o una distribuzione diversa di Linux per garantire la conformità del dispositivo.

Complessità delle password

Gli utenti di un dispositivo che non soddisfano i requisiti di conformità per i requisiti di complessità delle password potrebbero ricevere un messaggio che indica che devono usare una password complessa.

Per essere conforme alle impostazioni dei criteri password , configurare il sistema Linux per l'uso delle password che soddisfano tali requisiti. I requisiti comuni dell'organizzazione includono:

  • Password che includono un numero minimo di lettere, cifre o caratteri speciali
  • Password di lunghezza minima

Crittografia del dispositivo

Gli utenti di un dispositivo che non soddisfano i requisiti di conformità per la crittografia del disco e della partizione potrebbero ricevere un messaggio che indica che devono crittografare le unità del dispositivo.

Per essere conforme all'impostazione Richiedi crittografia dispositivo , è necessaria la crittografia a livello di dispositivo per i dischi fissi scrivibili nel dispositivo Linux.

Esistono diverse opzioni per la crittografia del disco e della partizione nei sistemi operativi Linux. Intune riconosce qualsiasi sistema di crittografia che usa il sottosistema dm-crypt sottostante. Questo sottosistema è uno standard a lungo termine nei sistemi Linux. Il metodo preferito per configurare dm-crypt consiste nell'usare il formato LUKS con lo strumento cryptsetup .

L'elenco seguente fornisce indicazioni generali per la crittografia di dischi e partizioni:

  • La crittografia dei volumi di sistema Linux dopo l'installazione è possibile, ma potenzialmente richiede molto tempo. È consigliabile configurare la crittografia del disco durante l'installazione del sistema operativo.
  • Non tutte le partizioni del file system devono essere crittografate affinché un dispositivo soddisfi gli standard dell'organizzazione. Le impostazioni di crittografia dei dispositivi predefinite non valutano quanto segue:
    • Partizioni di sola lettura
    • Pseudo-file system, ad esempio /proc o tmpfs
    • Partizioni /boot o /boot/efi

Aggiornare lo stato di conformità nei dispositivi Linux

Dopo aver apportato modifiche a un dispositivo per renderlo conforme, aggiornare lo stato del dispositivo con Intune:

  • Se l'app Microsoft Intune è ancora in esecuzione, selezionare Aggiorna nella pagina dei dettagli del dispositivo o nella pagina dei problemi di conformità per avviare un nuovo check-in con Intune.
  • Se l'app Microsoft Intune non è in esecuzione, accedere all'app per avviare un nuovo check-in.
  • Dopo l'installazione, l'app Microsoft Intune esegue periodicamente l'accesso con Intune autonomamente, purché il dispositivo sia acceso e un utente vi sia connesso.

Passaggi successivi