Używanie niestandardowych zasad zgodności i ustawień dla urządzeń z systemami Linux i Windows przy użyciu Microsoft Intune

  • Artykuł

Rozszerzając wbudowane opcje zgodności urządzeń w usłudze Intune, użyj zasad niestandardowych ustawień zgodności dla zarządzanych urządzeń z systemami Linux i Windows. Ustawienia niestandardowe zapewniają elastyczność bazowania na ustawieniach dostępnych na urządzeniu bez konieczności oczekiwania na dodanie tych ustawień przez usługę Intune.

Ta funkcja ma zastosowanie do:

  • Linux — Ubuntu Desktop, wersja 20.04 LTS i 22.04 LTS
  • Windows 10/11

Przed dodaniem ustawień niestandardowych do zasad należy przygotować plik JSON i skrypt wykrywania do użycia z każdą obsługiwaną platformą. Zarówno skrypt, jak i kod JSON stają się częścią zasad zgodności. Każda zasada zgodności obsługuje pojedynczy skrypt, a każdy skrypt może wykrywać wiele ustawień:

  • Plik JSON definiuje ustawienia niestandardowe i wartości, które są uważane za zgodne. Możesz również skonfigurować komunikaty dla użytkowników, aby poinformować ich, jak przywrócić zgodność dla każdego ustawienia. Plik JSON można dodać podczas tworzenia zasad zgodności tuż po wybraniu skryptu odnajdywania dla tych zasad.

  • Skrypty są specyficzne dla różnych platform i dostarczane do urządzeń za pośrednictwem zasad zgodności. Po ocenie zasad skrypt wykrywa ustawienia z pliku JSON, a następnie raportuje wyniki do usługi Intune. System Windows używa skryptu programu PowerShell, a system Linux używa skryptu powłoki zgodnego ze standardem POSIX.

    Skrypty muszą zostać przekazane do centrum administracyjnego Microsoft Intune przed utworzeniem zasad zgodności. Skrypt jest wybierany podczas konfigurowania zasad do obsługi ustawień niestandardowych.

Po wdrożeniu niestandardowych ustawieńzgodnościia i urządzeń będzie można wyświetlić wyniki wraz z wbudowanymi ustawieniami zgodności w centrum administracyjnym Microsoft Intune. Niestandardowych ustawień zgodności można używać do podejmowania decyzji dotyczących dostępu warunkowego, tak samo jak wbudowane ustawienia zgodności. Razem tworzą złożony zestaw reguł, co ma jednakowy wpływ na stan zgodności urządzenia.

Wymagania wstępne

  • Microsoft Entra dołączonych urządzeń, w tym Microsoft Entra urządzeń przyłączonych hybrydowo.

    Microsoft Entra urządzenia przyłączone hybrydowo są urządzeniami przyłączonymi do Tożsamość Microsoft Entra, a także przyłączonymi do lokalna usługa Active Directory. Aby uzyskać więcej informacji, zobacz Planowanie implementacji przyłączania hybrydowego Microsoft Entra.

  • Microsoft Entra zarejestrowane/przyłączone do miejsca pracy (WPJ)

    Aby uzyskać więcej informacji, zobacz Dołączanie do miejsca pracy jako bezproblemowe uwierzytelnianie drugiego czynnika zarejestrowane w Tożsamość Microsoft Entra. Zazwyczaj są to urządzenia BYOD (Bring Your Own Device), na których dodano konto służbowe za pośrednictwem ustawień>Konta>Dostęp do pracy lub szkoły.

    Na urządzeniach WPJ skrypty programu PowerShell kontekstu urządzenia działają, ale skrypty programu PowerShell kontekstu użytkownika są ignorowane.

  • Skrypt odnajdywania — program PowerShell dla systemu Windows lub skrypt powłoki zgodny ze standardem POSIX dla tworzonego systemu Linux. Skrypt jest uruchamiany na urządzeniu w celu odnalezienia ustawień niestandardowych zdefiniowanych w pliku JSON. Skrypt zwraca wartość konfiguracji tych ustawień do usługi Intune. Przed utworzeniem zasad zgodności należy przekazać skrypt do centrum administracyjnego Microsoft Intune, a następnie wybrać skrypt, którego chcesz użyć podczas tworzenia zasad.

    Aby utworzyć niestandardowy skrypt zgodności, zobacz Niestandardowe skrypty odnajdywania zgodności dla Microsoft Intune.

  • Plik JSON — plik JSON definiuje ustawienia niestandardowe i wartość, która ma zostać uznana za zgodną i może zawierać komunikaty dla użytkowników dotyczące sposobu przywracania urządzenia do zgodności dla ustawienia. Aby uzyskać wskazówki dotyczące tworzenia kodu JSON na potrzeby zgodności niestandardowej, zobacz Niestandardowe pliki JSON zgodności.

Tworzenie zasad z niestandardowymi ustawieniami zgodności

Przed rozpoczęciem tworzenia zasad, które będą zawierać ustawienia niestandardowe, zapoznaj się z wymaganiami wstępnymi.

Najpierw należy przekazać odpowiedni skrypt odnajdywania do usługi Intune i mieć gotowy kod JSON do dodania podczas tworzenia zasad.

Gdy wszystko będzie gotowe, użyj normalnej procedury, aby utworzyć zasady zgodności, które zawierają instrukcje specyficzne dla platformy dotyczące dodawania ustawień niestandardowych do zasad. Ustawienia niestandardowe są dodawane na stronie Ustawienia konfiguracji, konfigurując opcję Zgodność niestandardowa.

Uwaga

Gdy urządzenie z systemem Windows otrzymuje zasady zgodności z ustawieniami niestandardowymi, sprawdza obecność rozszerzeń zarządzania usługi Intune. Jeśli nie zostanie znalezione, na urządzeniu zostanie uruchomiona tożsamość zarządzana, która instaluje rozszerzenia, umożliwiając klientowi pobieranie i uruchamianie skryptów programu PowerShell, które są częścią zasad zgodności, oraz przekazywanie wyników zgodności. Akcje zarządzane przez usługi obejmują:

  • Sprawdzanie nowych lub zaktualizowanych skryptów programu PowerShell co osiem godzin.
  • Uruchamianie skryptów odnajdywania co osiem godzin.
  • Uruchamianie skryptów, które są pobierane, gdy użytkownik wybierze pozycję Sprawdź zgodność na urządzeniu. Jednak po uruchomieniu sprawdzania zgodności nie ma sprawdzania nowych ani zaktualizowanych skryptów.

Nie można wypychać powiadomień do urządzenia, aby umożliwić uruchamianie niestandardowej zgodności na żądanie.

Monitorowanie niestandardowych zasad zgodności

Użyj następujących metod, aby wyświetlić szczegóły dotyczące stanu zgodności urządzenia.

  • W przypadku urządzeń z systemem Linux i Windows można wyświetlić szczegóły zgodności poszczególnych ustawień dla niestandardowych ustawień zgodności w centrum administracyjnym Microsoft Intune.

    W centrum administracyjnym przejdź do pozycji Raporty>zgodności urządzeń, a następnie wybierz kartę Raporty . Wybierz kafelek dla niezgodnych urządzeń i ustawień, a następnie użyj menu rozwijanych, aby skonfigurować raport. Pamiętaj, aby wybrać platformę dla systemu operacyjnego, a następnie wybierz pozycję Generuj raport.

    Aby uzyskać więcej informacji, zobacz Monitorowanie zasad zgodności urządzeń w usłudze Intune.

  • Na urządzeniu z systemem Linux możesz otworzyć aplikację usługi Intune, aby wyświetlić stan urządzenia:

    • Zgodne — urządzenie jest zgodne z zasadami organizacji i powinno mieć dostęp do zasobów organizacji.
    • Sprawdzanie stanu — usługa Intune obecnie ocenia zgodność urządzeń z zasadami organizacji.
    • Niezgodne — urządzenie nie spełnia wymagań dotyczących urządzeń i zabezpieczeń organizacji i może nie mieć dostępu do zasobów organizacji.

    Gdy stan urządzenia jest niezgodny, wybierz pozycję Wyświetl problemy , aby wyświetlić szczegółowe informacje o problemach, które należy rozwiązać, aby zapewnić zgodność tego urządzenia. Aby uzyskać informacje na temat rozwiązywania typowych problemów, zobacz Dodatkowe rozwiązywanie problemów dla urządzeń z systemem Linux.

Rozwiązywanie problemów ze zgodnością niestandardową dla urządzeń

Ustawienia niestandardowe nie są oceniane

Sprawdź raporty zgodności urządzeń, aby uzyskać następujące kody błędów i szczegółowe informacje na temat problemu:

  • 65007: Skrypt zwrócił błąd
  • 65008: Brak ustawienia w wyniku skryptu
  • 65009: Nieprawidłowy kod json dla odnalezionego ustawienia
  • 65010: Nieprawidłowy typ danych dla odnalezionego ustawienia

W systemie Windows można dodać następujący wiersz na końcu skryptu programu PowerShell, aby zwrócić błędy związane ze skryptem programu PowerShell, upewnij się, że następujący wiersz znajduje się na końcu pliku skryptu programu PowerShell: return $hash | ConvertTo-Json -Compress

Skrypty powłoki zgodne z programem PowerShell lub POSIX nie są widoczne do wybrania lub pozostają widoczne po usunięciu

Odśwież bieżący widok. Jeśli problem będzie się powtarzać, anuluj przepływ tworzenia zasad i zacznij od nowa.

Po rozwiązaniu problemu na urządzeniu kolejne synchronizacje nie identyfikują problemu jako rozwiązanego i zgodnego

Może upłynąć do ośmiu godzin, zanim stan niezgodny zostanie wyświetlony jako zgodny po zmianie urządzenia.

Czy użytkownik może ręcznie sprawdzić zgodność po rozwiązaniu problemu na urządzeniu, aby określić, czy problem został rozwiązany i zgodny?

  • W systemie Windows użytkownik może przejść do witryny internetowej Portal firmy i wyzwolić synchronizację w celu zaktualizowania stanu urządzenia po naprawieniu niezgodnego ustawienia zgodności niestandardowej.

  • W systemie Linux użytkownik może otworzyć aplikację Microsoft Intune i wybrać pozycję Odśwież na stronie szczegółów urządzenia lub na stronie problemów ze zgodnością, aby rozpocząć nowe ewidencjonowanie w usłudze Intune.

Dlaczego nie jest obsługiwanych więcej operatorów i operandów?

Skontaktuj się z menedżerem konta, aby poprosić o dodanie określonych operatorów i operandów. Następnie można je rozważyć w celu przyszłej aktualizacji.

Dlaczego nie można zastosować wielu skryptów odnajdywania do jednej niestandardowej zasady zgodności?

Zasady obsługują używanie pojedynczego skryptu. Jednak każdy skrypt obsługuje sprawdzanie pod kątem wielu wartości zgodności.

Dodatkowe rozwiązywanie problemów dotyczących urządzeń z systemem Linux

Aby zidentyfikować ustawienia, które nie są zgodne dla urządzenia:

  • W centrum administracyjnym Microsoft Intune można zidentyfikować urządzenia, które nie są zgodne z zasadami. Przejdź do pozycji Raporty>zgodność urządzeń, wybierz kartę Raporty , a następnie wybierz kafelek dla niezgodnych urządzeń i ustawień. Użyj list rozwijanych, aby skonfigurować odpowiedni raport, a następnie wybierz pozycję Generuj raport.

Centrum administracyjne wyświetla osobny wiersz dla każdego ustawienia, które nie jest zgodne na urządzeniu.

  • Na urządzeniu z systemem Linux otwórz aplikację Microsoft Intune i wyświetl stronę Aktualizowanie ustawień urządzenia.

W poniższych sekcjach omówiono typowe problemy i rozwiązania problemów, które mogą napotkać użytkownicy urządzeń z systemem Linux.

Dystrybucja i wersja systemu operacyjnego

Użytkownicy urządzeń, które nie spełniają konfiguracji zgodności urządzeń dla dystrybucji systemu Linux lub wersji systemu operacyjnego Linux, mogą otrzymać komunikat wskazujący na konieczność uaktualnienia lub obniżenia poziomu systemu operacyjnego urządzenia.

Aby zapewnić zgodność z ustawieniem Dozwolone dystrybucje , urządzenia dystrybucja i wersja systemu Linux muszą spełniać minimalne, maksymalne i wymagania dotyczące typu. W razie potrzeby zainstaluj inną wersję lub dystrybucję systemu Linux, aby zapewnić zgodność urządzenia.

Złożoność hasła

Użytkownicy urządzeń, które nie spełniają wymagań dotyczących złożoności hasła w konfiguracji zgodności urządzeń, mogą otrzymać komunikat wskazujący, że muszą używać silnego hasła.

Aby zapewnić zgodność z ustawieniami zasad haseł , skonfiguruj system Linux tak, aby używał haseł spełniających te wymagania. Typowe wymagania organizacji obejmują:

  • Hasła, które zawierają minimalną liczbę liter, cyfr lub znaków specjalnych
  • Hasła o minimalnej długości

Szyfrowanie urządzenia

Użytkownicy urządzeń, które nie spełniają ustawień zgodności szyfrowania dysków i partycji, mogą otrzymać komunikat o konieczności zaszyfrowania dysków urządzeń.

Aby było zgodne z ustawieniem Wymagaj szyfrowania urządzenia , szyfrowanie na poziomie urządzenia jest wymagane dla zapisywalnych dysków stałych na urządzeniu z systemem Linux.

Istnieje kilka opcji szyfrowania dysków i partycji w systemach operacyjnych Linux. Usługa Intune rozpoznaje każdy system szyfrowania, który używa bazowego podsystemu dm-crypt. Ten podsystem od pewnego czasu jest standardowy w systemach Linux. Preferowaną metodą konfigurowania funkcji dm-crypt jest użycie formatu LUKS z narzędziem do szyfrowania.

Poniżej przedstawiono ogólne wskazówki dotyczące szyfrowania dysków i partycji:

  • Szyfrowanie woluminów systemu Linux po instalacji jest możliwe, ale potencjalnie czasochłonne. Zalecamy skonfigurowanie szyfrowania dysku podczas instalowania systemu operacyjnego.
  • Nie wszystkie partycje systemu plików muszą być szyfrowane, aby urządzenie spełniało standardy organizacji. Wbudowane ustawienia szyfrowania urządzeń nie oceniają następujących elementów:
    • Partycje tylko do odczytu
    • Pseudo-systemy plików, takie jak /proc lub tmpfs
    • Partycje /boot lub /boot/efi

Odśwież stan zgodności na urządzeniach z systemem Linux

Po wprowadzeniu zmian w urządzeniu w celu zapewnienia zgodności odśwież stan urządzenia za pomocą usługi Intune:

  • Jeśli aplikacja Microsoft Intune jest nadal uruchomiona, wybierz pozycję Odśwież na stronie szczegółów urządzenia lub na stronie problemy ze zgodnością, aby rozpocząć nowe ewidencjonowanie w usłudze Intune.
  • Jeśli aplikacja Microsoft Intune nie jest uruchomiona, zaloguj się do aplikacji, która rozpocznie nowe ewidencjonowanie.
  • Po instalacji aplikacja Microsoft Intune okresowo loguje się do usługi Intune samodzielnie, o ile urządzenie jest włączone, a użytkownik jest do niej zalogowany.

Następne kroki