Intune 中 Linux 的裝置合規性設定

本文列出並說明您可以在 Microsoft Intune 中為 Linux 裝置設定的不同合規性設定。

針對Linux，合規性設定可從 設定目錄 取得，而不是從預先決定的範本取得，如其他平臺所示。 因此，設定 Linux 的合規性政策時，您可以瀏覽目錄並選取它們，以選擇您想要包含在原則中的設定。

除了平臺特定的合規性政策之外，裝置也會受到全租使用者合規性政策設定的規範。 若要管理租使用者中的全租使用者合規性政策設定，請登入 Microsoft Intune 系統管理中心，然後移至 端點安全>性裝置合規性合規性>原則設定。

若要深入瞭解合規性原則及其用途，請參閱 開始使用裝置合規性。

本功能適用於：

• 具有 x86/64 CPU (實體或 Hyper-V 計算機的 Ubuntu Desktop 22.04 或 20.04 LTS)
• RedHat Enterprise Linux 8
• RedHat Enterprise Linux 9

Linux 設定類別

Linux 的合規性原則可以包含下列類別的設定。 如果適用，則會提供設定的指引。

允許的散發

新增專案，以定義 Linux 發行版類型的最大和最小 OS 版本。

不符合定義準則的裝置用戶必須安裝不同的 Linux 版本或發行版，才能使裝置符合規範。

自定義合規性

當您使用 Linux 的自定義相容性設定時，請新增此類別中的設定。

如需自定義合規性可用設定及其使用方式的相關信息，請參閱 搭配使用Linux和 Windows 裝置的自定義合規性原則和設定，Microsoft Intune。

裝置加密

新增設定以管理磁碟加密。

• 需要裝置加密 – 指定此電腦上可寫入的固定磁碟是否需要裝置層級加密。

  未加密裝置的使用者會收到一則訊息，指出他們必須加密磁碟驅動器，才能使裝置符合規範。

  Linux 作業系統上有數個磁碟和磁碟分區加密選項。 此時，Intune 會辨識任何使用基礎 dm-crypt 子系統且在 Linux 系統上已標準一段時間的加密系統。

  設定 dm-crypt 的慣用方法是搭配 密碼設定 工具使用 LUKS 格式。

  設定加密時，請記住下列事項：

  • 在安裝後加密 Linux 系統磁碟區是可行的，但可能非常耗時。 Microsoft建議在安裝作業系統時設定磁碟加密。
  • 並非所有文件系統分割區都必須經過加密，才能符合組織標準。 系統會忽略下列專案：
    • 唯讀數據分割
    • Pseudo-filesystems，例如 /proc 或 tmpfs
    • /boot 或 /boot/efi 分割區

密碼原則

強制執行 Linux 裝置的常見密碼需求：

• 小寫下限 - 指定密碼必須包含的最低小寫字母數目。
• 最小大寫 - 指定密碼必須包含的大寫字母數目下限。
• 最小符號 - 指定密碼必須包含的符號數目下限。
• 最小長度 - 指定密碼必須包含的字元總數下限。
• 最小位數 - 指定密碼必須包含的位數下限。

不符合密碼複雜性需求的使用者可能會收到一則訊息，指出他們必須使用強密碼來使裝置符合規範。

重新整理合規性狀態

如果您必須修改裝置的設定，請使用下列其中一種方法，在進行變更之後，使用 Intune 重新整理裝置合規性狀態：

• 如果Microsoft Intune 應用程式仍在執行中，請在 [應用程式 裝置詳細數據 ] 頁面或 [合規性問題 ] 頁面上，選取 [ 重新整理 ] 連結。 裝置會開始新的簽入。

• 如果Microsoft Intune 應用程式未執行，請啟動應用程式並登入。 登入會開始新的簽入。

• 根據預設，Microsoft Intune 應用程式會定期使用背景工作，在計算機開啟並登入時簽入。

後續步驟

• 新增不相容裝置的動作 ，並 使用範圍標籤來篩選原則。
• 監視您的合規性原則。