Использование настраиваемых политик и параметров соответствия требованиям для устройств Linux и Windows с Microsoft Intune

Расширяя встроенные параметры соответствия устройств Intune, используйте политики для настраиваемых параметров соответствия для управляемых устройств Linux и Windows. Пользовательские параметры обеспечивают гибкость, чтобы обеспечить соответствие параметрам, доступным на устройстве, не дожидаясь добавления этих параметров Intune.

Данная функция применяется к:

  • Linux — Ubuntu Desktop версии 20.04 LTS и 22.04 LTS
  • Windows 10/11

Прежде чем добавлять настраиваемые параметры в политику, необходимо подготовить JSON-файл и скрипт обнаружения для использования с каждой поддерживаемой платформой. Скрипт и JSON становятся частью политики соответствия требованиям. Каждая политика соответствия поддерживает один скрипт, и каждый скрипт может обнаружить несколько параметров:

  • JSON-файл определяет пользовательские параметры и значения, которые считаются совместимыми. Вы также можете настроить сообщения для пользователей, чтобы сообщить им, как восстановить соответствие для каждого параметра. Вы добавляете JSON-файл при создании политики соответствия сразу после выбора скрипта обнаружения для этой политики.

  • Скрипты относятся к разным платформам и доставляются на устройства с помощью политики соответствия. При оценке политики скрипт обнаруживает параметры из JSON-файла, а затем передает результаты Intune. Windows использует скрипт PowerShell, а Linux — скрипт оболочки, совместимый с POSIX.

    Перед созданием политики соответствия требованиям скрипты должны быть отправлены в центр администрирования Майкрософт Endpoint Manager. Скрипт выбирается при настройке политики для поддержки пользовательских параметров.

После развертывания настраиваемых параметров соответствия требованиям и обратного уведомления устройств вы сможете просматривать результаты вместе со сведениями о встроенном параметре соответствия в центре администрирования Майкрософт Endpoint Manager. Пользовательские параметры соответствия требованиям можно использовать для принятия решений об условном доступе так же, как и встроенные параметры соответствия. Вместе они образуют составной набор правил, в равной степени влияющий на состояние соответствия устройств.

Предварительные требования

  • Устройства, присоединенные к Azure Active Directory (Azure AD),включая гибридные устройства, присоединенные к Azure AD.

    Гибридные устройства, присоединенные к Azure AD, — это устройства, присоединенные к Azure AD, а также присоединенные к локальная служба Active Directory. Дополнительные сведения см. в статье Планирование реализации гибридного Azure AD присоединения.

    Устройства, которые не Azure AD присоединены или не являются гибридными Azure AD присоединением, оцениваются как неприменимые.

  • Скрипт обнаружения . PowerShell для Windows или скрипт оболочки, совместимый с POSIX, для Linux, который вы создаете. Скрипт выполняется на устройстве для обнаружения пользовательских параметров, определенных в json-файле. Скрипт возвращает значение конфигурации этих параметров для Intune. Перед созданием политики соответствия необходимо отправить скрипт в центр администрирования Майкрософт Endpoint Manager, а затем выбрать скрипт, который вы хотите использовать при создании политики.

    Сведения о создании настраиваемого скрипта соответствия см. в статье Пользовательские сценарии обнаружения соответствия для Microsoft Intune.

  • JSON-файл . JSON-файл определяет пользовательские параметры и значение, которое должно считаться совместимым, и может содержать сообщения для пользователей о том, как восстановить устройство в соответствии с параметром. Инструкции по созданию JSON для пользовательского соответствия см. в статье Пользовательские файлы JSON соответствия.

Создание политики с настраиваемыми параметрами соответствия

Прежде чем приступить к созданию политики, которая будет включать пользовательские параметры, ознакомьтесь с предварительными условиями.

Сначала необходимо отправить применимый скрипт обнаружения в Intune и добавить готовый КОД JSON при создании политики.

Когда все будет готово, используйте обычную процедуру для создания политики соответствия требованиям, которая содержит инструкции для конкретной платформы по добавлению пользовательских параметров в политику. Пользовательские параметры добавляются на странице Параметры конфигурации путем настройки параметра Настраиваемое соответствие.

Примечание.

Фильтры назначений в настоящее время не поддерживаются при назначении политик соответствия с пользовательскими параметрами соответствия.

Примечание.

Когда устройство Windows получает политику соответствия с настраиваемыми параметрами, оно проверяет наличие расширений управления Intune. Если он не найден, устройство запускает MSI, который устанавливает расширения, позволяя клиенту скачивать и запускать скрипты PowerShell, которые являются частью политики соответствия требованиям, а также передавать результаты соответствия. К действиям, управляемым службами, относятся:

  • Проверка наличия новых или обновленных сценариев PowerShell каждые восемь часов.
  • Выполнение скриптов обнаружения каждые восемь часов.
  • Выполнение скриптов, которые скачивается, когда пользователь выбирает на устройстве флажок Проверить соответствие. Однако при выполнении проверки соответствия не выполняется проверка наличия новых или обновленных скриптов.

Невозможно отправлять push-уведомления на устройство, чтобы обеспечить настраиваемое соответствие требованиям по запросу.

Мониторинг настраиваемой политики соответствия требованиям

Используйте следующие методы для просмотра сведений о состоянии соответствия устройств.

  • Для устройств Linux и Windows можно просмотреть сведения о соответствии для каждого устройства настраиваемым параметрам соответствия в Центре администрирования Майкрософт Endpoint Manager.

    В Центре администрирования перейдите в раздел Отчеты>Соответствие устройств, а затем перейдите на вкладку Отчеты . Выберите плитку для несоответствующих устройств и параметров, а затем используйте раскрывающееся меню для настройки отчета. Обязательно выберите платформу для ОС, а затем выберите Создать отчет.

    Дополнительные сведения см. в разделе Мониторинг политик соответствия Intune устройств.

  • На устройстве Linux можно открыть приложение Intune, чтобы просмотреть состояние устройства:

    • Соответствует требованиям. Ваше устройство соответствует политикам организации и должно иметь доступ к ресурсам организации.
    • Проверка состояния— Intune в настоящее время оценивает соответствие устройств политикам вашей организации.
    • Не соответствует требованиям . Устройство не соответствует требованиям вашей организации к устройству и безопасности и может не иметь доступа к ресурсам вашей организации.

    Если состояние устройства не соответствует требованиям, выберите Просмотреть проблемы , чтобы просмотреть сведения о проблемах, которые необходимо решить, чтобы обеспечить соответствие этого устройства требованиям. Сведения об устранении распространенных проблем см. в статье Дополнительные способы устранения неполадок для устройств Linux.

Устранение неполадок с пользовательским соответствием для устройств

Пользовательские параметры не оцениваются

Проверьте отчеты о соответствии устройств на наличие следующих кодов ошибок и сведения о проблеме:

  • 65007: сбой, возвращенный скриптом
  • 65008: параметр отсутствует в результате скрипта
  • 65009: недопустимый json для обнаруженного параметра
  • 65010: недопустимый тип данных для обнаруженного параметра

В Windows можно добавить следующую строку в конец скрипта PowerShell, чтобы вернуть ошибки, связанные со сценарием PowerShell. Убедитесь, что следующая строка находится в конце файла скрипта PowerShell: return $hash | ConvertTo-Json -Compress

Скрипты оболочки, совместимые с PowerShell или POSIX, не отображаются для выбора или остаются видимыми после удаления

Обновление текущего представления. Если проблема не исчезнет, отмените поток создания политики и запустите снова.

После устранения проблемы на устройстве последующие синхронизации не идентифицируют проблему как решенную и соответствующую

После изменения устройства состояние несоответствия может занять до восьми часов.

Может ли пользователь вручную проверить соответствие требованиям после устранения проблемы на устройстве, чтобы определить, устранена ли проблема и соответствует ли она?

  • В Windows пользователь может перейти на веб-сайт Корпоративный портал и активировать синхронизацию, чтобы обновить состояние устройства после исправления пользовательского параметра соответствия требованиям.

  • В Linux пользователь может открыть приложение Microsoft Intune и выбрать Обновить на странице сведений об устройстве или на странице проблем с соответствием, чтобы начать новую проверку с помощью Intune.

Почему не поддерживается больше операторов и операндов?

Обратитесь к менеджеру по работе с клиентами, чтобы запросить добавление определенных операторов и операндов. Затем их можно рассмотреть для будущего обновления.

Почему не удается применить несколько скриптов обнаружения к одной настраиваемой политике соответствия?

Политики поддерживают использование одного скрипта. Однако каждый скрипт поддерживает проверку на наличие нескольких значений соответствия.

Дополнительные сведения об устранении неполадок для устройств Linux

Чтобы определить параметры, которые не соответствуют устройству, выполните следующие действия:

  • В центре администрирования Майкрософт Endpoint Manager можно определить устройства, которые не соответствуют политике. Перейдите в разделСоответствие устройствуотчетов>, перейдите на вкладку Отчеты, а затем выберите плитку для несоответствующих устройств и параметров. Используйте раскрывающийся список, чтобы настроить нужный отчет, а затем выберите Создать отчет.

Центр администрирования отображает отдельную строку для каждого параметра, который не соответствует требованиям на устройстве.

  • На устройстве Linux откройте приложение Microsoft Intune и просмотрите страницу Обновление параметров устройства.

В следующих разделах рассматриваются распространенные проблемы и способы их устранения, с которыми могут столкнуться пользователи устройств Linux.

Дистрибутив и версия операционной системы

Пользователи устройств, которые не соответствуют конфигурации соответствия устройств для дистрибутива Linux или версий операционной системы, могут получать сообщение о необходимости обновления или понижения операционной системы устройства.

Чтобы обеспечить соответствие параметру Разрешенные дистрибутивы , дистрибутив и версия linux для устройств должны соответствовать минимальным, максимальным требованиям и требованиям к типу. При необходимости установите другую версию или дистрибутив Linux, чтобы обеспечить соответствие устройства требованиям.

Сложность пароля

Пользователи устройств, которые не соответствуют конфигурации соответствия устройств требованиям к сложности пароля, могут получить сообщение, указывающее, что они должны использовать надежный пароль.

Чтобы обеспечить соответствие параметрам политики паролей , настройте в системе Linux использование паролей, соответствующих этим требованиям. Ниже перечислены распространенные требования организации.

  • Пароли, включающие минимальное количество букв, цифр или специальных символов
  • Пароли минимальной длины

Шифрование устройства

Пользователи устройств, которые не соответствуют параметрам соответствия для шифрования дисков и секций, могут получить сообщение о том, что они должны зашифровать диски устройств.

Чтобы обеспечить соответствие параметру Требовать шифрование устройства , требуется шифрование на уровне устройства для записываемых фиксированных дисков на устройстве Linux.

Существует несколько вариантов шифрования дисков и секций в операционных системах Linux. Intune распознает любую систему шифрования, которая использует базовую подсистему dm-crypt. Эта подсистема уже некоторое время является стандартной в системах Linux. Предпочтительным способом настройки dm-crypt является использование формата LUKS со средством cryptsetup.

Ниже приведены общие рекомендации по шифрованию дисков и секций.

  • Шифрование системных томов Linux после установки возможно, но может занять много времени. Мы рекомендуем настроить шифрование дисков при установке операционной системы.
  • Не все секции файловой системы должны быть зашифрованы, чтобы устройство соответствовало стандартам организации. Следующие параметры шифрования не оцениваются встроенными параметрами шифрования устройств:
    • Секции, доступные только для чтения
    • Псевдофайловые системы, например /proc или tmpfs
    • Секции /boot или /boot/efi

Обновление состояния соответствия на устройствах Linux

После внесения изменений в устройство, чтобы обеспечить его соответствие, обновите состояние устройства с помощью Intune:

  • Если приложение Microsoft Intune по-прежнему запущено, выберите Обновить на странице сведений об устройстве или на странице проблем с соответствием, чтобы начать новую проверку с Intune.
  • Если приложение Microsoft Intune не запущено, войдите в приложение, которое запустит новую регистрацию.
  • После установки приложение Microsoft Intune периодически регистрируется с Intune самостоятельно, если устройство включено и пользователь вошел в него.

Дальнейшие действия