Использование настраиваемых политик и параметров соответствия требованиям для устройств Linux и Windows с Помощью Microsoft Intune
Чтобы расширить встроенные параметры соответствия устройств Intune, можно использовать политики для настраиваемых параметров соответствия для управляемых устройств Linux и Windows. Пользовательские параметры обеспечивают гибкость для обеспечения соответствия параметрам, доступным на устройстве, не дожидаясь, пока Intune добавит эти параметры во встроенные шаблоны политик.
Данная функция применяется к:
- Windows 10/11 (за исключением Windows 10/11 Домашняя)
- Linux
- Ubuntu Desktop, версии 20.04 LTS и 22.04 LTS
- RedHat Enterprise Linux 8
- RedHat Enterprise Linux 9
Прежде чем добавлять пользовательские параметры в политику, необходимо подготовить JSON-файл и скрипт обнаружения для использования с каждой поддерживаемой платформой. Скрипт и JSON становятся частью политики соответствия требованиям. Каждая политика соответствия поддерживает один скрипт, и каждый скрипт может обнаружить несколько параметров:
Json-файл определяет пользовательские параметры и значения, которые вы считаете совместимыми. Вы также можете настроить сообщения для пользователей, чтобы сообщить им, как восстановить соответствие для каждого параметра. Json-файл добавляется при создании политики соответствия сразу после выбора скрипта обнаружения для этой политики.
Скрипты обнаружения относятся к различным платформам и доставляются на устройства в рамках политики соответствия требованиям. Когда устройство оценивает свою политику, скрипт обнаруживает параметры из JSON-файла, а затем передает результаты в Intune. Устройства Windows используют скрипт PowerShell, а устройства Linux — скрипт оболочки, совместимый с POSIX.
Перед созданием политики соответствия требованиям скрипты должны быть отправлены в Центр администрирования Microsoft Intune. Скрипт выбирается при настройке политики для поддержки пользовательских параметров.
После развертывания настраиваемых параметров соответствия требованиям и обратного отчета устройств вы можете просмотреть результаты вместе со встроенными сведениями о параметрах соответствия в Центре администрирования Microsoft Intune. Пользовательские параметры соответствия можно использовать для принятия решений об условном доступе так же, как и встроенные параметры соответствия. Вместе они образуют составной набор правил, в равной степени влияющий на состояние соответствия устройств.
Предварительные условия
Устройства, присоединенные к Microsoft Entra, включая устройства с гибридным присоединением к Microsoft Entra.
Устройства с гибридным присоединением к Microsoft Entra — это устройства, присоединенные к Идентификатору Microsoft Entra, а также присоединенные к локальной службе Active Directory. Дополнительные сведения см. в статье Планирование реализации гибридного присоединения к Microsoft Entra.
Зарегистрировано/присоединено к рабочей области Microsoft Entra (WPJ)
Сведения об устройствах, зарегистрированных в Microsoft Entra ID, см. в статье Присоединение к рабочему месту как простая проверка подлинности второго фактора. Как правило, это устройства с использованием собственного устройства (BYOD), у которых есть рабочая или учебная учетная запись, добавленная с помощью параметров>Учетные записи Доступ к рабочей или учебной учетной>записи.
На устройствах WPJ сценарии PowerShell контекста устройства работают, но сценарии PowerShell контекста пользователя игнорируются.
Скрипт обнаружения . PowerShell для Windows или скрипт оболочки, совместимый с POSIX, для Linux, который вы создаете. Скрипт выполняется на устройстве для обнаружения пользовательских параметров, определенных в json-файле. Скрипт возвращает значение конфигурации этих параметров в Intune. Перед созданием политики соответствия требованиям необходимо отправить скрипт в Центр администрирования Microsoft Intune, а затем выбрать скрипт, который вы хотите использовать при создании политики.
Сведения о создании настраиваемого скрипта соответствия см. в статье Пользовательские сценарии обнаружения соответствия требованиям для Microsoft Intune.
JSON-файл — JSON-файл определяет пользовательские параметры и значение, которое должно считаться совместимым, и может содержать сообщения для пользователей о том, как восстановить устройство в соответствии с параметром. Инструкции по созданию JSON для пользовательского соответствия см. в статье Пользовательские файлы JSON соответствия.
Создание политики с настраиваемыми параметрами соответствия
Прежде чем приступить к созданию политики, включающей настраиваемые параметры, ознакомьтесь с предварительными условиями.
Сначала необходимо отправить применимый скрипт обнаружения в Intune и добавить готовый КОД JSON при создании политики.
Когда все будет готово, используйте обычную процедуру для создания политики соответствия требованиям, которая содержит инструкции для конкретной платформы по добавлению пользовательских параметров в политику. Пользовательские параметры добавляются на странице Параметры конфигурации путем настройки параметра Настраиваемое соответствие.
Примечание.
Когда устройство Windows получает политику соответствия с настраиваемыми параметрами, оно проверяет наличие расширений управления Intune. Если он не найден, устройство запускает MSI, который устанавливает расширения, позволяя клиенту скачивать и запускать скрипты PowerShell, которые являются частью политики соответствия требованиям, а также передавать результаты соответствия. К действиям, управляемым службами, относятся:
- Проверка наличия новых или обновленных сценариев PowerShell каждые восемь часов.
- Выполнение скриптов обнаружения каждые восемь часов.
- Выполнение скриптов, которые скачивается, когда пользователь выбирает на устройстве флажок Проверить соответствие. Однако при выполнении проверки соответствия не выполняется проверка наличия новых или обновленных скриптов.
Невозможно отправлять push-уведомления на устройство, чтобы обеспечить настраиваемое соответствие требованиям по запросу.
Мониторинг настраиваемой политики соответствия требованиям
Используйте следующие методы для просмотра сведений о состоянии соответствия устройств.
Для устройств Linux и Windows можно просмотреть сведения о соответствии для каждого устройства настраиваемым параметрам соответствия в Центре администрирования Microsoft Intune.
В Центре администрирования перейдите в раздел Отчеты>Соответствие устройств, а затем перейдите на вкладку Отчеты . Выберите плитку для несоответствующих устройств и параметров, а затем используйте раскрывающееся меню для настройки отчета. Обязательно выберите платформу для ОС, а затем выберите Создать отчет.
Дополнительные сведения см. в статье Мониторинг политик соответствия устройств Intune.
На устройстве Linux можно открыть приложение Intune, чтобы просмотреть состояние устройства:
- Соответствует требованиям . Ваше устройство соответствует политикам вашей организации и должно иметь доступ к ресурсам организации.
- Проверка состояния . Intune в настоящее время оценивает соответствие устройств политикам вашей организации.
- Не соответствует требованиям . Устройство не соответствует требованиям вашей организации к устройству и безопасности и может не иметь доступа к ресурсам вашей организации.
Если состояние устройства не соответствует требованиям, выберите Просмотреть проблемы , чтобы просмотреть сведения о проблемах, которые необходимо решить, чтобы обеспечить соответствие этого устройства требованиям. Сведения об устранении распространенных проблем см. в статье Дополнительные сведения об устранении неполадок для устройств Linux в этой статье.
Устранение неполадок с пользовательским соответствием для устройств
Пользовательские параметры не оцениваются
Проверьте отчеты о соответствии устройств на наличие следующих кодов ошибок и сведения о проблеме:
- 65007: сбой, возвращенный скриптом
- 65008: параметр отсутствует в результате скрипта
- 65009: недопустимый json для обнаруженного параметра
- 65010: недопустимый тип данных для обнаруженного параметра
В Windows можно добавить следующую строку в конец скрипта PowerShell, чтобы вернуть ошибки, связанные со сценарием PowerShell. Убедитесь, что следующая строка находится в конце файла скрипта PowerShell: return $hash | ConvertTo-Json -Compress
Скрипты оболочки, совместимые с PowerShell или POSIX, не отображаются для выбора или остаются видимыми после удаления
Обновление текущего представления. Если проблема не исчезнет, отмените поток создания политики и запустите снова.
После устранения проблемы на устройстве последующие синхронизации не идентифицируют проблему как решенную и соответствующую
После изменения устройства состояние несоответствия может занять до восьми часов.
Может ли пользователь вручную проверить соответствие требованиям после устранения проблемы на устройстве, чтобы определить, устранена ли проблема и соответствует ли она?
В Windows пользователь может перейти на веб-сайт корпоративного портала и активировать синхронизацию для обновления состояния устройства после исправления несоответствующего настраиваемого параметра соответствия требованиям.
В Linux пользователь может открыть приложение Microsoft Intune и выбрать Обновить на странице сведений об устройстве или на странице проблем с соответствием, чтобы начать новую проверку в Intune.
Почему не поддерживается больше операторов и операндов?
Обратитесь к менеджеру по работе с клиентами, чтобы запросить добавление определенных операторов и операндов. Затем их можно рассмотреть для будущего обновления.
Почему не удается применить несколько скриптов обнаружения к одной настраиваемой политике соответствия?
Политики поддерживают использование одного скрипта. Однако каждый скрипт поддерживает проверку на наличие нескольких значений соответствия.
Дополнительные сведения об устранении неполадок для устройств Linux
Чтобы определить параметры, которые не соответствуют устройству, выполните следующие действия:
- В Центре администрирования Microsoft Intune можно определить устройства, которые не соответствуют политике. Перейдите в раздел Отчеты>Соответствие устройств, перейдите на вкладку Отчеты , а затем выберите плитку для устройств и параметров, не соответствующих требованиям. Используйте раскрывающийся список, чтобы настроить нужный отчет, а затем выберите Создать отчет.
Центр администрирования отображает отдельную строку для каждого параметра, который не соответствует требованиям на устройстве.
- На устройстве Linux откройте приложение Microsoft Intune и просмотрите страницу Обновление параметров устройства .
В следующих разделах рассматриваются распространенные проблемы и способы их устранения, с которыми могут столкнуться пользователи устройств Linux.
Дистрибутив и версия операционной системы
Пользователи устройства, которые не соответствуют требованиям соответствия для дистрибутива Linux или версии операционной системы, могут получать сообщение о необходимости обновления или понижения версии операционной системы устройств.
Чтобы обеспечить соответствие параметру Разрешенные дистрибутивы , дистрибутив и версия linux для устройств должны соответствовать минимальным, максимальным требованиям и требованиям к типу. При необходимости установите другую версию или дистрибутив Linux, чтобы обеспечить соответствие устройства требованиям.
Сложность пароля
Пользователи устройства, которые не соответствуют требованиям соответствия требованиям к сложности пароля, могут получить сообщение, указывающее, что они должны использовать надежный пароль.
Чтобы обеспечить соответствие параметрам политики паролей , настройте в системе Linux использование паролей, соответствующих этим требованиям. Ниже перечислены распространенные требования организации.
- Пароли, включающие минимальное количество букв, цифр или специальных символов
- Пароли минимальной длины
Шифрование устройства
Пользователи устройства, которое не соответствует требованиям к шифрованию дисков и секций, могут получить сообщение о том, что они должны зашифровать диски устройств.
Чтобы обеспечить соответствие параметру Требовать шифрование устройства , шифрование на уровне устройства требуется для записываемых фиксированных дисков на устройстве Linux.
Существует несколько вариантов шифрования дисков и секций в операционных системах Linux. Intune распознает любую систему шифрования, которая использует базовую подсистему dm-crypt. Эта подсистема является долговременным стандартом в системах Linux. Предпочтительным методом настройки dm-crypt является использование формата LUKS со средством cryptsetup .
В следующем списке приведены общие рекомендации по шифрованию дисков и секций.
- Шифрование системных томов Linux после установки возможно, но может занять много времени. Мы рекомендуем настроить шифрование дисков при установке операционной системы.
- Не все секции файловой системы должны быть зашифрованы, чтобы устройство соответствовало стандартам организации. Следующие параметры шифрования не оцениваются встроенными параметрами шифрования устройств:
- Секции, доступные только для чтения
- Псевдофайловые системы, например
/proc
илиtmpfs
- Секции
/boot
или/boot/efi
Обновление состояния соответствия на устройствах Linux
После внесения изменений в устройство для обеспечения его соответствия обновите состояние устройства с помощью Intune:
- Если приложение Microsoft Intune по-прежнему работает, нажмите кнопку Обновить на странице сведений об устройстве или на странице проблем с соответствием, чтобы начать новую проверку в Intune.
- Если приложение Microsoft Intune не запущено, войдите в приложение, чтобы начать новую проверку.
- После установки приложение Microsoft Intune периодически регистрируется в Intune самостоятельно, если устройство включено и пользователь вошел в него.