Partilhar via


Utilizar políticas e definições de conformidade personalizadas para dispositivos Linux e Windows com o Microsoft Intune

Para expandir as opções de conformidade de dispositivos incorporadas do Intune, pode utilizar políticas para definições de conformidade personalizadas para dispositivos Linux e Windows geridos. As definições personalizadas proporcionam flexibilidade para basear a conformidade nas definições que estão disponíveis num dispositivo sem ter de esperar que o Intune adicione estas definições aos modelos de política incorporados.

Esse recurso aplica-se a:

  • Windows 10/11 (excluindo Windows 10/11 Home)
  • Linux
    • Ubuntu Desktop, versão 20.04 LTS e 22.04 LTS
    • RedHat Enterprise Linux 8
    • RedHat Enterprise Linux 9

Antes de poder adicionar definições personalizadas a uma política, tem de preparar um ficheiro JSON e um script de deteção para utilização com cada plataforma suportada. Tanto o script como o JSON tornam-se parte da política de conformidade. Cada política de conformidade suporta um único script e cada script pode detetar várias definições:

  • O ficheiro JSON define as definições personalizadas e os valores que considerou conformes. Também pode configurar mensagens para que os utilizadores lhes digam como restaurar a conformidade para cada definição. Adiciona o ficheiro JSON quando cria uma política de conformidade, logo após selecionar um script de deteção para essa política.

  • Os scripts de deteção são específicos das diferentes plataformas e são entregues aos dispositivos como parte da política de conformidade. Quando um dispositivo avalia a respetiva política, o script deteta (deteta) as definições do ficheiro JSON e, em seguida, comunica os resultados ao Intune. Os dispositivos Windows utilizam um script do PowerShell e os dispositivos Linux utilizam um script de shell compatível com POSIX.

    Os scripts têm de ser carregados para o centro de administração do Microsoft Intune antes de criar uma política de conformidade. Selecione o script quando estiver a configurar uma política para suportar definições personalizadas.

Depois de implementar o relatório de definições de conformidade e dispositivos personalizados, pode ver os resultados juntamente com os detalhes das definições de conformidade incorporadas no centro de administração do Microsoft Intune. As definições de conformidade personalizadas podem ser utilizadas para decisões de acesso condicional da mesma forma que as definições de conformidade incorporadas. Em conjunto, formam um conjunto de regras compostas, afetando igualmente o estado de conformidade do dispositivo.

Pré-requisitos

  • Dispositivos associados à Microsoft Entra , incluindo dispositivos associados híbridos à Microsoft Entra.

    Os dispositivos associados híbridos do Microsoft Entra são dispositivos associados ao Microsoft Entra ID e também associados ao Active Directory no local. Para obter mais informações, consulte Planear a implementação da associação híbrida do Microsoft Entra.

  • Microsoft Entra registered/Workplace joined (WPJ)

    Para obter informações sobre os dispositivos registados no Microsoft Entra ID, veja Workplace Join as a seamless second factor authentication (Associação à Área de Trabalho como uma autenticação de segundo fator totalmente integrada). Normalmente, estes dispositivos são dispositivos ByOD (Bring Your Own Device) que têm uma conta escolar ou profissional adicionada através de Contas>de Definições>Acesso profissional ou escolar.

    Em dispositivos WPJ, os scripts do PowerShell de contexto do dispositivo funcionam, mas os scripts do PowerShell de contexto de utilizador são ignorados.

  • Script de deteção – um PowerShell para Windows ou um script de shell compatível com POSIX para Linux que criar. O script é executado num dispositivo para detetar as definições personalizadas definidas no ficheiro JSON. O script devolve o valor de configuração dessas definições ao Intune. Tem de carregar o script para o centro de administração do Microsoft Intune antes de criar uma política de conformidade e, em seguida, selecionar o script que pretende utilizar ao criar uma política.

    Para criar um script de conformidade personalizado, veja Scripts de deteção de conformidade personalizados para o Microsoft Intune.

  • Ficheiro JSON – o ficheiro JSON define as definições personalizadas e o valor que deve ser considerado conforme e pode conter mensagens para os utilizadores sobre como restaurar o dispositivo para conformidade para a definição. Para obter orientações sobre como criar um JSON para conformidade personalizada, veja Ficheiros JSON de conformidade personalizados.

Criar uma política com definições de conformidade personalizadas

Antes de começar a criar uma política que inclua definições personalizadas, reveja os pré-requisitos.

Primeiro, tem de carregar um script de deteção aplicável para o Intune e ter um JSON pronto para adicionar durante a criação da política.

Quando estiver pronto, utilize o procedimento normal para criar uma política de conformidade, que inclui instruções específicas da plataforma para adicionar definições personalizadas à política. As definições personalizadas são adicionadas na página Definições de configuração ao configurar a opção de Conformidade Personalizada.

Observação

Quando um dispositivo Windows recebe uma política de conformidade com definições personalizadas, verifica a presença das Extensões de Gestão do Intune. Se não for encontrado, o dispositivo executa um MSI que instala as extensões, permitindo ao cliente transferir e executar scripts do PowerShell que fazem parte de uma política de conformidade e carregar resultados de conformidade. As ações geridas pelos serviços incluem:

  • Verificar a existência de scripts do PowerShell novos ou atualizados a cada oito horas.
  • Executar os scripts de deteção a cada oito horas.
  • Executar scripts que são transferidos quando um utilizador seleciona Verificar Conformidade no dispositivo. No entanto, não existe nenhuma verificação de scripts novos ou atualizados quando a opção Verificar Compatibilidade é executada.

Não é possível enviar notificações push para um dispositivo para permitir que a conformidade personalizada seja executada a pedido.

Monitorizar a política de conformidade personalizada

Utilize os seguintes métodos para ver detalhes sobre o estado de conformidade de um dispositivo.

  • Para dispositivos Linux e Windows, pode ver os detalhes de conformidade do dispositivo por definição para definições de conformidade personalizadas no centro de administração do Microsoft Intune.

    No centro de administração, aceda a Relatórios>Conformidade do dispositivo e, em seguida, selecione o separador Relatórios . Selecione o mosaico para Dispositivos e definições não conformes e, em seguida, utilize os menus pendentes para configurar o relatório. Certifique-se de que seleciona uma plataforma para o SO e, em seguida, selecione Gerar relatório.

    Para obter mais informações, veja Monitorizar políticas de conformidade de dispositivos do Intune.

  • Num dispositivo Linux, pode abrir a aplicação Intune para ver o estado do dispositivo:

    • Compatível – o seu dispositivo está em conformidade com as políticas da sua organização e deve conseguir aceder aos recursos organizacionais.
    • Verificar o estado – o Intune está atualmente a avaliar a conformidade dos dispositivos com as políticas da sua organização.
    • Não conforme – o dispositivo não cumpre os requisitos de segurança e dispositivo da sua organização e pode não ter acesso aos recursos da sua organização.

    Quando o estado do dispositivo não estiver em conformidade, selecione Ver problemas para ver detalhes sobre os problemas que têm de ser resolvidos para que esse dispositivo fique em conformidade. Para obter informações sobre como resolver problemas comuns, veja Resolução de problemas adicionais para dispositivos Linux neste artigo.

Resolver problemas de conformidade personalizada para dispositivos

As definições personalizadas não são avaliadas

Verifique os relatórios de conformidade do dispositivo para obter os seguintes códigos de erro e informações sobre o problema:

  • 65007: Falha no script devolvido
  • 65008: Definição em falta no resultado do script
  • 65009: json inválido para a definição detetada
  • 65010: tipo de dados inválido para a definição detetada

No Windows, pode adicionar a seguinte linha no final do script do PowerShell para devolver erros relacionados com o script do PowerShell. Certifique-se de que a seguinte linha está no final do ficheiro de script do PowerShell: return $hash | ConvertTo-Json -Compress

Os scripts de shell compatíveis com o PowerShell ou POSIX não estão visíveis para selecionar ou permanecem visíveis depois de serem eliminados

Atualize a vista atual. Se o problema persistir, cancele o fluxo de criação de políticas e recomeça.

Depois de um problema num dispositivo ser corrigido, as sincronizações subsequentes não identificam o problema como resolvido e conforme

Pode demorar até oito horas até que um estado não conforme seja apresentado como conforme após uma alteração ao dispositivo.

Um utilizador pode verificar manualmente a conformidade depois de corrigir um problema num dispositivo para identificar se o problema está resolvido e em conformidade?

  • No Windows, um utilizador pode aceder ao site do Portal da Empresa e acionar uma sincronização para atualizar o estado do dispositivo depois de corrigir uma definição de conformidade personalizada não conforme.

  • No Linux, um utilizador pode abrir a aplicação Microsoft Intune e selecionar Atualizar na página de detalhes do dispositivo ou na página de problemas de conformidade para iniciar uma nova entrada com o Intune.

Por que motivo não são suportados mais operadores e operandos?

Contacte o gestor de conta para pedir a adição de operadores e operandos específicos. Em seguida, podem ser considerados para uma atualização futura.

Por que motivo não consigo aplicar vários scripts de deteção a uma política de conformidade personalizada?

As políticas suportam a utilização de um único script. No entanto, cada script suporta a verificação de vários valores de compatibilidade.

Resolução de problemas adicional para dispositivos Linux

Para identificar definições que não são compatíveis com um dispositivo:

  • No centro de administração do Microsoft Intune, pode identificar dispositivos que não estão em conformidade com a política. Aceda a Relatórios>Conformidade do dispositivo, selecione o separador Relatórios e, em seguida, selecione o mosaico para Dispositivos e definições não conformes. Utilize as listas pendentes para configurar o relatório pretendido e, em seguida, selecione Gerar relatório.

O centro de administração apresenta uma linha separada para cada definição que não esteja em conformidade num dispositivo.

  • No dispositivo Linux, abra a aplicação Microsoft Intune e veja a página Atualizar definições do dispositivo .

As secções seguintes abordam problemas comuns e resoluções para problemas que os utilizadores de dispositivos Linux possam encontrar.

Distribuição e versão do sistema operativo

Os utilizadores de um dispositivo que não cumpram os requisitos de conformidade da distribuição do Linux ou da versão do sistema operativo poderão receber uma mensagem que indica a necessidade de atualizar ou mudar para uma versão anterior do sistema operativo dos dispositivos.

Para estar em conformidade com a definição Distribuições Permitidas , a distribuição e a versão do Linux dos dispositivos têm de cumprir os requisitos mínimos, máximos e de tipo. Se necessário, instale uma versão ou distribuição diferente do Linux para que o dispositivo esteja em conformidade.

Complexidade da palavra-passe

Os utilizadores de um dispositivo que não cumpram os requisitos de conformidade dos requisitos de complexidade de palavras-passe podem receber uma mensagem que indica que têm de utilizar uma palavra-passe segura.

Para estar em conformidade com as definições da Política de Palavras-passe , configure o sistema Linux para utilizar palavras-passe que cumpram esses requisitos. Os requisitos comuns da organização incluem:

  • Palavras-passe que incluem um número mínimo de letras, dígitos ou carateres especiais
  • Palavras-passe com um comprimento mínimo

Criptografia de dispositivo

Os utilizadores de um dispositivo que não cumpram os requisitos de conformidade do disco e da encriptação de partições podem receber uma mensagem a informar que têm de encriptar as unidades do dispositivo.

Para estar em conformidade com a definição Exigir Encriptação de Dispositivo , a encriptação ao nível do dispositivo é necessária para discos fixos graváveis no dispositivo Linux.

Existem várias opções para encriptação de disco e partição em sistemas operativos Linux. O Intune reconhece qualquer sistema de encriptação que utilize o subsistema dm-crypt subjacente. Este subsistema é um padrão de longa data em sistemas Linux. O método preferencial para configurar dm-crypt é utilizar o formato LUKS com a ferramenta cryptsetup .

A lista seguinte fornece orientações gerais ao encriptar discos e partições:

  • A encriptação de volumes do sistema Linux após a instalação é possível, mas potencialmente demorada. Recomendamos que configure a encriptação de disco durante a instalação do sistema operativo.
  • Nem todas as partições do sistema de ficheiros têm de ser encriptadas para que um dispositivo cumpra as normas organizacionais. As seguintes não são avaliadas pelas definições de encriptação de dispositivos incorporadas:
    • Partições só de leitura
    • Pseudosistemas de ficheiros, como /proc ou tmpfs
    • As /boot partições ou /boot/efi

Atualizar o estado de conformidade em dispositivos Linux

Depois de efetuar alterações a um dispositivo para o tornar compatível, atualize o estado do dispositivo com o Intune:

  • Se a aplicação Do Microsoft Intune ainda estiver em execução, selecione Atualizar na página de detalhes do dispositivo ou na página de problemas de conformidade para iniciar uma nova entrada com o Intune.
  • Se a aplicação Do Microsoft Intune não estiver em execução, inicie sessão na aplicação para iniciar uma nova entrada.
  • Após a instalação, a aplicação Microsoft Intune faz periodicamente o check-in com o Intune por si só, desde que o dispositivo esteja ativado e um utilizador tenha sessão iniciada no mesmo.

Próximas etapas