Использование настраиваемых политик и параметров соответствия требованиям для устройств Linux и Windows с Microsoft Intune

  • Статья

Расширяя встроенные параметры соответствия устройств Intune, используйте политики для настраиваемых параметров соответствия для управляемых устройств Linux и Windows. Пользовательские параметры обеспечивают гибкость для обеспечения соответствия параметрам, доступным на устройстве, не дожидаясь добавления этих параметров в Intune.

Данная функция применяется к:

  • Linux — Ubuntu Desktop версии 20.04 LTS и 22.04 LTS
  • Windows 10/11

Прежде чем добавлять настраиваемые параметры в политику, необходимо подготовить JSON-файл и скрипт обнаружения для использования с каждой поддерживаемой платформой. Скрипт и JSON становятся частью политики соответствия требованиям. Каждая политика соответствия поддерживает один скрипт, и каждый скрипт может обнаружить несколько параметров:

  • JSON-файл определяет пользовательские параметры и значения, которые считаются совместимыми. Вы также можете настроить сообщения для пользователей, чтобы сообщить им, как восстановить соответствие для каждого параметра. Вы добавляете JSON-файл при создании политики соответствия сразу после выбора скрипта обнаружения для этой политики.

  • Скрипты относятся к разным платформам и доставляются на устройства с помощью политики соответствия. При оценке политики скрипт обнаруживает параметры из JSON-файла, а затем передает результаты в Intune. Windows использует скрипт PowerShell, а Linux — скрипт оболочки, совместимый с POSIX.

    Перед созданием политики соответствия требованиям скрипты должны быть отправлены в центр администрирования Microsoft Intune. Скрипт выбирается при настройке политики для поддержки пользовательских параметров.

После развертывания настраиваемых параметров соответствия требованиям и обратного уведомления устройств вы сможете просматривать результаты вместе со сведениями о встроенном параметре соответствия в Центре администрирования Microsoft Intune. Пользовательские параметры соответствия требованиям можно использовать для принятия решений об условном доступе так же, как и встроенные параметры соответствия. Вместе они образуют составной набор правил, в равной степени влияющий на состояние соответствия устройств.

Предварительные требования

  • Microsoft Entra присоединенных устройств, в том числе Microsoft Entra гибридных устройств.

    Microsoft Entra устройства с гибридным присоединением — это устройства, присоединенные к Microsoft Entra ID, а также присоединенные к локальная служба Active Directory. Дополнительные сведения см. в статье Планирование реализации гибридного присоединения Microsoft Entra.

  • Microsoft Entra зарегистрировано или присоединено к рабочему месту (WPJ)

    Дополнительные сведения об устройствах, зарегистрированных в Microsoft Entra ID, см. в разделе Присоединение к рабочему месту в качестве простой второй факторной проверки подлинности. Обычно это устройства с использованием собственного устройства (BYOD), на которых была добавлена рабочая или учебная учетная запись, добавленная с помощью параметров Учетные>записи Доступ к рабочей или учебной>среде.

    На устройствах WPJ сценарии PowerShell контекста устройства работают, но сценарии PowerShell контекста пользователя игнорируются.

  • Скрипт обнаружения . PowerShell для Windows или скрипт оболочки, совместимый с POSIX, для Linux, который вы создаете. Скрипт выполняется на устройстве для обнаружения пользовательских параметров, определенных в json-файле. Скрипт возвращает значение конфигурации этих параметров в Intune. Перед созданием политики соответствия требованиям необходимо отправить скрипт в центр администрирования Microsoft Intune, а затем выбрать скрипт, который вы хотите использовать при создании политики.

    Сведения о создании настраиваемого скрипта соответствия см. в статье Пользовательские сценарии обнаружения соответствия требованиям для Microsoft Intune.

  • JSON-файл — JSON-файл определяет пользовательские параметры и значение, которое должно считаться совместимым, и может содержать сообщения для пользователей о том, как восстановить устройство в соответствии с параметром. Инструкции по созданию JSON для пользовательского соответствия см. в статье Пользовательские файлы JSON соответствия.

Создание политики с настраиваемыми параметрами соответствия

Прежде чем приступить к созданию политики, которая будет включать пользовательские параметры, ознакомьтесь с предварительными условиями.

Сначала необходимо отправить применимый скрипт обнаружения в Intune и добавить готовый КОД JSON при создании политики.

Когда все будет готово, используйте обычную процедуру для создания политики соответствия требованиям, которая содержит инструкции для конкретной платформы по добавлению пользовательских параметров в политику. Пользовательские параметры добавляются на странице Параметры конфигурации путем настройки параметра Настраиваемое соответствие.

Примечание.

Когда устройство Windows получает политику соответствия с настраиваемыми параметрами, оно проверяет наличие расширений управления Intune. Если он не найден, устройство запускает MSI, который устанавливает расширения, позволяя клиенту скачивать и запускать скрипты PowerShell, которые являются частью политики соответствия требованиям, а также передавать результаты соответствия. К действиям, управляемым службами, относятся:

  • Проверка наличия новых или обновленных сценариев PowerShell каждые восемь часов.
  • Выполнение скриптов обнаружения каждые восемь часов.
  • Выполнение скриптов, которые скачивается, когда пользователь выбирает на устройстве флажок Проверить соответствие. Однако при выполнении проверки соответствия нет проверка для новых или обновленных скриптов.

Невозможно отправлять push-уведомления на устройство, чтобы обеспечить настраиваемое соответствие требованиям по запросу.

Мониторинг настраиваемой политики соответствия требованиям

Используйте следующие методы для просмотра сведений о состоянии соответствия устройств.

  • Для устройств Linux и Windows можно просмотреть сведения о соответствии для каждого устройства для пользовательских параметров соответствия в Центре администрирования Microsoft Intune.

    В Центре администрирования перейдите в раздел Отчеты>Соответствие устройств, а затем перейдите на вкладку Отчеты . Выберите плитку для несоответствующих устройств и параметров, а затем используйте раскрывающееся меню для настройки отчета. Обязательно выберите платформу для ОС, а затем выберите Создать отчет.

    Дополнительные сведения см. в статье Мониторинг политик соответствия устройств Intune.

  • На устройстве Linux можно открыть приложение Intune, чтобы просмотреть состояние устройства:

    • Соответствует требованиям . Ваше устройство соответствует политикам вашей организации и должно иметь доступ к ресурсам организации.
    • Проверка состояния . Intune в настоящее время оценивает соответствие устройств политикам вашей организации.
    • Не соответствует требованиям . Устройство не соответствует требованиям вашей организации к устройству и безопасности и может не иметь доступа к ресурсам вашей организации.

    Если состояние устройства не соответствует требованиям, выберите Просмотреть проблемы , чтобы просмотреть сведения о проблемах, которые необходимо решить, чтобы обеспечить соответствие этого устройства требованиям. Сведения об устранении распространенных проблем см. в разделе Дополнительные способы устранения неполадок для устройств Linux.

Устранение неполадок с пользовательским соответствием для устройств

Пользовательские параметры не оцениваются

Проверьте отчеты о соответствии устройств на наличие следующих кодов ошибок и сведения о проблеме:

  • 65007: сбой, возвращенный скриптом
  • 65008: параметр отсутствует в результате скрипта
  • 65009: недопустимый json для обнаруженного параметра
  • 65010: недопустимый тип данных для обнаруженного параметра

В Windows можно добавить следующую строку в конец скрипта PowerShell, чтобы вернуть ошибки, связанные со сценарием PowerShell. Убедитесь, что следующая строка находится в конце файла скрипта PowerShell: return $hash | ConvertTo-Json -Compress

Скрипты оболочки, совместимые с PowerShell или POSIX, не отображаются для выбора или остаются видимыми после удаления

Обновление текущего представления. Если проблема не исчезнет, отмените поток создания политики и запустите снова.

После устранения проблемы на устройстве последующие синхронизации не идентифицируют проблему как решенную и соответствующую

После изменения устройства состояние несоответствия может занять до восьми часов.

Может ли пользователь вручную проверка для соответствия требованиям после устранения проблемы на устройстве, чтобы определить, устранена ли проблема и соответствует ли она?

  • В Windows пользователь может перейти на веб-сайт Корпоративный портал и активировать синхронизацию, чтобы обновить состояние устройства после исправления пользовательского параметра соответствия требованиям.

  • В Linux пользователь может открыть приложение Microsoft Intune и выбрать Обновить на странице сведений об устройстве или на странице проблем с соответствием, чтобы запустить новую проверка в Intune.

Почему не поддерживается больше операторов и операндов?

Обратитесь к менеджеру по работе с клиентами, чтобы запросить добавление определенных операторов и операндов. Затем их можно рассмотреть для будущего обновления.

Почему не удается применить несколько скриптов обнаружения к одной настраиваемой политике соответствия?

Политики поддерживают использование одного скрипта. Однако каждый скрипт поддерживает проверку на наличие нескольких значений соответствия.

Дополнительные сведения об устранении неполадок для устройств Linux

Чтобы определить параметры, которые не соответствуют устройству, выполните следующие действия:

  • В центре администрирования Microsoft Intune можно определить устройства, которые не соответствуют политике. Перейдите в раздел Отчеты>Соответствие устройств, перейдите на вкладку Отчеты , а затем выберите плитку для устройств и параметров, не соответствующих требованиям. Используйте раскрывающийся список, чтобы настроить нужный отчет, а затем выберите Создать отчет.

Центр администрирования отображает отдельную строку для каждого параметра, который не соответствует требованиям на устройстве.

  • На устройстве Linux откройте приложение Microsoft Intune и просмотрите страницу Обновление параметров устройства.

В следующих разделах рассматриваются распространенные проблемы и способы их устранения, с которыми могут столкнуться пользователи устройств Linux.

Дистрибутив и версия операционной системы

Пользователи устройств, которые не соответствуют конфигурации соответствия устройств для дистрибутива Linux или версий операционной системы, могут получать сообщение о необходимости обновления или понижения операционной системы устройства.

Чтобы обеспечить соответствие параметру Разрешенные дистрибутивы , дистрибутив и версия linux для устройств должны соответствовать минимальным, максимальным требованиям и требованиям к типу. При необходимости установите другую версию или дистрибутив Linux, чтобы обеспечить соответствие устройства требованиям.

Сложность пароля

Пользователи устройств, которые не соответствуют конфигурации соответствия устройств требованиям к сложности пароля, могут получить сообщение о том, что они должны использовать надежный пароль.

Чтобы обеспечить соответствие параметрам политики паролей , настройте в системе Linux использование паролей, соответствующих этим требованиям. Ниже перечислены распространенные требования организации.

  • Пароли, включающие минимальное количество букв, цифр или специальных символов
  • Пароли минимальной длины

Шифрование устройства

Пользователи устройств, которые не соответствуют параметрам соответствия для шифрования дисков и секций, могут получить сообщение о том, что они должны зашифровать диски устройств.

Чтобы обеспечить соответствие параметру Требовать шифрование устройства , шифрование на уровне устройства требуется для записываемых фиксированных дисков на устройстве Linux.

Существует несколько вариантов шифрования дисков и секций в операционных системах Linux. Intune распознает любую систему шифрования, которая использует базовую подсистему dm-crypt. Эта подсистема уже некоторое время является стандартной в системах Linux. Предпочтительным методом настройки dm-crypt является использование формата LUKS со средством cryptsetup.

Ниже приведены общие рекомендации по шифрованию дисков и секций.

  • Шифрование системных томов Linux после установки возможно, но может занять много времени. Мы рекомендуем настроить шифрование дисков при установке операционной системы.
  • Не все секции файловой системы должны быть зашифрованы, чтобы устройство соответствовало стандартам организации. Следующие параметры шифрования не оцениваются встроенными параметрами шифрования устройств:
    • Секции, доступные только для чтения
    • Псевдофайловые системы, например /proc или tmpfs
    • Секции /boot или /boot/efi

Обновление состояния соответствия на устройствах Linux

После внесения изменений в устройство для обеспечения его соответствия обновите состояние устройства с помощью Intune:

  • Если приложение Microsoft Intune по-прежнему работает, выберите Обновить на странице сведений об устройстве или на странице проблем с соответствием, чтобы запустить новую проверка в Intune.
  • Если приложение Microsoft Intune не запущено, войдите в приложение, которое запустит новую проверка.
  • После установки приложение Microsoft Intune периодически регистрируется в Intune самостоятельно, если устройство включено и пользователь вошел в него.

Дальнейшие действия