Udostępnij za pośrednictwem

Używanie niestandardowych zasad i ustawień zgodności dla urządzeń z systemami Linux i Windows w usłudze Microsoft Intune

  • Artykuł

Aby rozwinąć wbudowane opcje zgodności urządzeń w usłudze Intune, możesz użyć zasad niestandardowych ustawień zgodności dla zarządzanych urządzeń z systemami Linux i Windows. Ustawienia niestandardowe zapewniają elastyczność bazowania na ustawieniach dostępnych na urządzeniu bez konieczności oczekiwania na dodanie tych ustawień do wbudowanych szablonów zasad przez usługę Intune.

Ta funkcja ma zastosowanie do:

  • Windows 10/11 (z wyłączeniem systemu Windows 10/11 Home)
  • Linux
    • Ubuntu Desktop, wersja 20.04 LTS i 22.04 LTS
    • RedHat Enterprise Linux 8
    • RedHat Enterprise Linux 9

Przed dodaniem ustawień niestandardowych do zasad należy przygotować plik JSON i skrypt odnajdywania do użycia z każdą obsługiwaną platformą. Zarówno skrypt, jak i kod JSON stają się częścią zasad zgodności. Każda zasada zgodności obsługuje pojedynczy skrypt, a każdy skrypt może odnajdywać wiele ustawień:

  • Plik JSON definiuje ustawienia niestandardowe i wartości, które uważasz za zgodne. Możesz również skonfigurować komunikaty dla użytkowników, aby poinformować ich, jak przywrócić zgodność dla każdego ustawienia. Plik JSON należy dodać podczas tworzenia zasad zgodności tuż po wybraniu skryptu odnajdywania dla tych zasad.

  • Skrypty odnajdywania są specyficzne dla różnych platform i są dostarczane do urządzeń w ramach zasad zgodności. Gdy urządzenie ocenia swoje zasady, skrypt wykrywa (odnajduje) ustawienia z pliku JSON, a następnie raportuje wyniki do usługi Intune. Urządzenia z systemem Windows używają skryptu programu PowerShell, a urządzenia z systemem Linux używają skryptu powłoki zgodnego ze standardem POSIX.

    Skrypty należy przekazać do centrum administracyjnego usługi Microsoft Intune przed utworzeniem zasad zgodności. Skrypt jest wybierany podczas konfigurowania zasad do obsługi ustawień niestandardowych.

Po wdrożeniu niestandardowych ustawień zgodności i raportów urządzeń możesz wyświetlić wyniki wraz ze szczegółowymi informacjami dotyczącymi wbudowanego ustawienia zgodności w centrum administracyjnym usługi Microsoft Intune. Niestandardowych ustawień zgodności można używać do podejmowania decyzji dotyczących dostępu warunkowego w taki sam sposób, jak wbudowane ustawienia zgodności. Razem tworzą złożony zestaw reguł, co ma jednakowy wpływ na stan zgodności urządzenia.

Wymagania wstępne

  • Urządzenia przyłączone do usługi Microsoft Entra, w tym urządzenia przyłączone hybrydowo do usługi Microsoft Entra.

    Urządzenia przyłączone hybrydowo do usługi Microsoft Entra to urządzenia przyłączone do identyfikatora Entra firmy Microsoft, a także przyłączone do lokalnej usługi Active Directory. Aby uzyskać więcej informacji, zobacz Planowanie implementacji przyłączania hybrydowego w usłudze Microsoft Entra.

  • Zarejestrowane w usłudze Microsoft Entra/dołączone do miejsca pracy (WPJ)

    Aby uzyskać informacje o urządzeniach zarejestrowanych w usłudze Microsoft Entra ID, zobacz Dołączanie do miejsca pracy jako bezproblemowe uwierzytelnianie dwuskładnikowe. Zazwyczaj są to urządzenia BYOD (Bring Your Own Device), które mają konto służbowe dodane za pośrednictwem ustawień>Konta>Dostęp do pracy lub szkoły.

    Na urządzeniach WPJ skrypty programu PowerShell kontekstu urządzenia działają, ale skrypty programu PowerShell kontekstu użytkownika są ignorowane.

  • Skrypt odnajdywania — program PowerShell dla systemu Windows lub skrypt powłoki zgodny ze standardem POSIX dla tworzonego systemu Linux. Skrypt jest uruchamiany na urządzeniu w celu odnalezienia ustawień niestandardowych zdefiniowanych w pliku JSON. Skrypt zwraca wartość konfiguracji tych ustawień do usługi Intune. Przed utworzeniem zasad zgodności należy przekazać skrypt do centrum administracyjnego usługi Microsoft Intune, a następnie wybrać skrypt, którego chcesz użyć podczas tworzenia zasad.

    Aby utworzyć niestandardowy skrypt zgodności, zobacz Niestandardowe skrypty odnajdywania zgodności dla usługi Microsoft Intune.

  • Plik JSON — plik JSON definiuje ustawienia niestandardowe i wartość, która ma zostać uznana za zgodną i może zawierać komunikaty dla użytkowników dotyczące sposobu przywracania urządzenia do zgodności dla ustawienia. Aby uzyskać wskazówki dotyczące tworzenia kodu JSON na potrzeby zgodności niestandardowej, zobacz Niestandardowe pliki JSON zgodności.

Tworzenie zasad z niestandardowymi ustawieniami zgodności

Przed rozpoczęciem tworzenia zasad zawierających ustawienia niestandardowe zapoznaj się z wymaganiami wstępnymi.

Najpierw należy przekazać odpowiedni skrypt odnajdywania do usługi Intune i mieć gotowy kod JSON do dodania podczas tworzenia zasad.

Gdy wszystko będzie gotowe, użyj normalnej procedury, aby utworzyć zasady zgodności, które zawierają instrukcje specyficzne dla platformy dotyczące dodawania ustawień niestandardowych do zasad. Ustawienia niestandardowe są dodawane na stronie Ustawienia konfiguracji, konfigurując opcję Zgodność niestandardowa.

Uwaga

Gdy urządzenie z systemem Windows otrzymuje zasady zgodności z ustawieniami niestandardowymi, sprawdza obecność rozszerzeń zarządzania usługi Intune. Jeśli nie zostanie znalezione, na urządzeniu zostanie uruchomiona tożsamość zarządzana, która instaluje rozszerzenia, umożliwiając klientowi pobieranie i uruchamianie skryptów programu PowerShell, które są częścią zasad zgodności, oraz przekazywanie wyników zgodności. Akcje zarządzane przez usługi obejmują:

  • Sprawdzanie nowych lub zaktualizowanych skryptów programu PowerShell co osiem godzin.
  • Uruchamianie skryptów odnajdywania co osiem godzin.
  • Uruchamianie skryptów, które są pobierane, gdy użytkownik wybierze pozycję Sprawdź zgodność na urządzeniu. Jednak po uruchomieniu sprawdzania zgodności nie ma sprawdzania nowych ani zaktualizowanych skryptów.

Nie można wypychać powiadomień do urządzenia, aby umożliwić uruchamianie niestandardowej zgodności na żądanie.

Monitorowanie niestandardowych zasad zgodności

Użyj następujących metod, aby wyświetlić szczegóły dotyczące stanu zgodności urządzenia.

  • W przypadku urządzeń z systemem Linux i Windows można wyświetlić szczegóły zgodności poszczególnych ustawień dla niestandardowych ustawień zgodności w centrum administracyjnym usługi Microsoft Intune.

    W centrum administracyjnym przejdź do pozycji Raporty>zgodności urządzeń, a następnie wybierz kartę Raporty . Wybierz kafelek dla niezgodnych urządzeń i ustawień, a następnie użyj menu rozwijanych, aby skonfigurować raport. Pamiętaj, aby wybrać platformę dla systemu operacyjnego, a następnie wybierz pozycję Generuj raport.

    Aby uzyskać więcej informacji, zobacz Monitorowanie zasad zgodności urządzeń w usłudze Intune.

  • Na urządzeniu z systemem Linux możesz otworzyć aplikację usługi Intune, aby wyświetlić stan urządzenia:

    • Zgodne — urządzenie jest zgodne z zasadami organizacji i powinno mieć dostęp do zasobów organizacji.
    • Sprawdzanie stanu — usługa Intune obecnie ocenia zgodność urządzeń z zasadami organizacji.
    • Niezgodne — urządzenie nie spełnia wymagań dotyczących urządzeń i zabezpieczeń organizacji i może nie mieć dostępu do zasobów organizacji.

    Gdy stan urządzenia jest niezgodny, wybierz pozycję Wyświetl problemy , aby wyświetlić szczegółowe informacje o problemach, które należy rozwiązać, aby zapewnić zgodność tego urządzenia. Aby uzyskać informacje na temat rozwiązywania typowych problemów, zobacz Dodatkowe rozwiązywanie problemów z urządzeniami z systemem Linux w tym artykule.

Rozwiązywanie problemów ze zgodnością niestandardową dla urządzeń

Ustawienia niestandardowe nie są oceniane

Sprawdź raporty zgodności urządzeń, aby uzyskać następujące kody błędów i szczegółowe informacje na temat problemu:

  • 65007: Skrypt zwrócił błąd
  • 65008: Brak ustawienia w wyniku skryptu
  • 65009: Nieprawidłowy kod json dla odnalezionego ustawienia
  • 65010: Nieprawidłowy typ danych dla odnalezionego ustawienia

W systemie Windows można dodać następujący wiersz na końcu skryptu programu PowerShell, aby zwrócić błędy związane ze skryptem programu PowerShell, upewnij się, że następujący wiersz znajduje się na końcu pliku skryptu programu PowerShell: return $hash | ConvertTo-Json -Compress

Skrypty powłoki zgodne z programem PowerShell lub POSIX nie są widoczne do wybrania lub pozostają widoczne po usunięciu

Odśwież bieżący widok. Jeśli problem będzie się powtarzać, anuluj przepływ tworzenia zasad i zacznij od nowa.

Po rozwiązaniu problemu na urządzeniu kolejne synchronizacje nie identyfikują problemu jako rozwiązanego i zgodnego

Może upłynąć do ośmiu godzin, zanim stan niezgodny zostanie wyświetlony jako zgodny po zmianie urządzenia.

Czy użytkownik może ręcznie sprawdzić zgodność po rozwiązaniu problemu na urządzeniu, aby określić, czy problem został rozwiązany i zgodny?

  • W systemie Windows użytkownik może przejść do witryny internetowej Portal firmy i wyzwolić synchronizację w celu zaktualizowania stanu urządzenia po naprawieniu niezgodnego ustawienia zgodności niestandardowej.

  • W systemie Linux użytkownik może otworzyć aplikację usługi Microsoft Intune i wybrać pozycję Odśwież na stronie szczegółów urządzenia lub na stronie problemów ze zgodnością, aby rozpocząć nowe ewidencjonowanie w usłudze Intune.

Dlaczego nie jest obsługiwanych więcej operatorów i operandów?

Skontaktuj się z menedżerem konta, aby poprosić o dodanie określonych operatorów i operandów. Następnie można je rozważyć w celu przyszłej aktualizacji.

Dlaczego nie można zastosować wielu skryptów odnajdywania do jednej niestandardowej zasady zgodności?

Zasady obsługują używanie pojedynczego skryptu. Jednak każdy skrypt obsługuje sprawdzanie pod kątem wielu wartości zgodności.

Dodatkowe rozwiązywanie problemów dotyczących urządzeń z systemem Linux

Aby zidentyfikować ustawienia, które nie są zgodne dla urządzenia:

  • W centrum administracyjnym usługi Microsoft Intune można zidentyfikować urządzenia, które nie są zgodne z zasadami. Przejdź do pozycji Raporty>zgodność urządzeń, wybierz kartę Raporty , a następnie wybierz kafelek dla niezgodnych urządzeń i ustawień. Użyj list rozwijanych, aby skonfigurować odpowiedni raport, a następnie wybierz pozycję Generuj raport.

Centrum administracyjne wyświetla osobny wiersz dla każdego ustawienia, które nie jest zgodne na urządzeniu.

  • Na urządzeniu z systemem Linux otwórz aplikację usługi Microsoft Intune i wyświetl stronę Aktualizowanie ustawień urządzenia .

W poniższych sekcjach omówiono typowe problemy i rozwiązania problemów, które mogą napotkać użytkownicy urządzeń z systemem Linux.

Dystrybucja i wersja systemu operacyjnego

Użytkownicy urządzenia, które nie spełniają wymagań dotyczących zgodności dla dystrybucji systemu Linux lub wersji systemu operacyjnego, mogą otrzymać komunikat wskazujący na konieczność uaktualnienia lub obniżenia poziomu systemu operacyjnego tych urządzeń.

Aby zapewnić zgodność z ustawieniem Dozwolone dystrybucje , urządzenia dystrybucja i wersja systemu Linux muszą spełniać minimalne, maksymalne i wymagania dotyczące typu. W razie potrzeby zainstaluj inną wersję lub dystrybucję systemu Linux, aby zapewnić zgodność urządzenia.

Złożoność hasła

Użytkownicy urządzenia, które nie spełniają wymagań dotyczących zgodności z wymaganiami dotyczącymi złożoności hasła, mogą otrzymać komunikat wskazujący, że muszą używać silnego hasła.

Aby zapewnić zgodność z ustawieniami zasad haseł , skonfiguruj system Linux tak, aby używał haseł spełniających te wymagania. Typowe wymagania organizacji obejmują:

  • Hasła, które zawierają minimalną liczbę liter, cyfr lub znaków specjalnych
  • Hasła o minimalnej długości

Szyfrowanie urządzenia

Użytkownicy urządzenia, które nie spełniają wymagań dotyczących zgodności szyfrowania dysków i partycji, mogą otrzymać komunikat o konieczności zaszyfrowania dysków urządzeń.

Aby było zgodne z ustawieniem Wymagaj szyfrowania urządzenia , szyfrowanie na poziomie urządzenia jest wymagane dla zapisywalnych dysków stałych na urządzeniu z systemem Linux.

Istnieje kilka opcji szyfrowania dysków i partycji w systemach operacyjnych Linux. Usługa Intune rozpoznaje każdy system szyfrowania, który używa bazowego podsystemu dm-crypt. Ten podsystem jest wieloletnim standardem w systemach Linux. Preferowaną metodą konfigurowania funkcji dm-crypt jest użycie formatu LUKS z narzędziem do szyfrowania .

Poniższa lista zawiera ogólne wskazówki dotyczące szyfrowania dysków i partycji:

  • Szyfrowanie woluminów systemu Linux po instalacji jest możliwe, ale potencjalnie czasochłonne. Zalecamy skonfigurowanie szyfrowania dysku podczas instalowania systemu operacyjnego.
  • Nie wszystkie partycje systemu plików muszą być szyfrowane, aby urządzenie spełniało standardy organizacji. Wbudowane ustawienia szyfrowania urządzeń nie oceniają następujących elementów:
    • Partycje tylko do odczytu
    • Pseudo-systemy plików, takie jak /proc lub tmpfs
    • Partycje /boot lub /boot/efi

Odśwież stan zgodności na urządzeniach z systemem Linux

Po wprowadzeniu zmian w urządzeniu w celu zapewnienia zgodności odśwież stan urządzenia za pomocą usługi Intune:

  • Jeśli aplikacja usługi Microsoft Intune jest nadal uruchomiona, wybierz pozycję Odśwież na stronie szczegółów urządzenia lub na stronie problemy ze zgodnością, aby rozpocząć nowe ewidencjonowanie w usłudze Intune.
  • Jeśli aplikacja usługi Microsoft Intune nie jest uruchomiona, zaloguj się do aplikacji, aby rozpocząć nowe ewidencjonowanie.
  • Po zakończeniu instalacji aplikacja usługi Microsoft Intune okresowo loguje się do usługi Intune samodzielnie, o ile urządzenie jest włączone, a użytkownik jest do niej zalogowany.

Następne kroki