部署指南:在 Microsoft Intune 中管理 Linux 设备
本指南介绍了使用 Microsoft Intune 保护和管理 Linux 应用和终结点所需的一切操作,包括如何:
- 准备租户进行设备注册。
- 创建 Linux 设备符合性策略。
- 添加自定义符合性设置。
- 在 Microsoft Edge 中强制实施条件访问策略。
- 支持员工和学生注册其桌面。
对于本指南中的每个部分,请查看关联的任务。 某些任务是必需的,有些任务(例如设置条件访问)是可选的。 选择每个部分中提供的链接,转到有关 Microsoft Learn 的推荐帮助文档,可在其中找到更多详细信息和操作说明。
步骤 1:先决条件
Microsoft Intune、Microsoft Entra ID 和 Microsoft Edge 支持 Linux 桌面管理的特性和功能。 Microsoft Intune 支持设备管理和合规性功能。 Microsoft Entra ID 支持条件访问,该访问与 Microsoft Intune 合规性策略一起使用。 Microsoft Edge 是用于提供对 Microsoft 365 Web 应用的受保护访问的 Web 浏览器应用。
以 Intune 管理员身份完成以下先决条件,以启用租户的终结点管理功能:
有关 Microsoft Intune 角色和权限的信息,请参阅 RBAC with Microsoft Intune。 Microsoft Entra 全局管理员和 Intune 管理员 角色在 Microsoft Intune 中拥有完全权限。 Microsoft Intune 中的许多设备管理任务,全局管理员拥有的权限超过所需的权限。 建议使用完成任务所需的最低特权角色。 例如,可以完成设备注册任务的最低特权角色是 策略和配置文件管理器,这是一个内置的 Intune 角色。
有关如何准备组织、加入或采用 Intune 进行移动设备管理的更多详细信息和建议,请参阅 Intune 设置部署指南。
步骤 2:规划部署
使用 Microsoft Intune 规划指南定义设备管理目标、用例方案和要求。 此指南还可以帮助你规划推出、通信、支持、测试和验证。 例如,由于当员工和学生注册其设备时不必到场,因此我们建议制定通信计划,以便用户可以在何处找到有关安装和使用公司门户和 Microsoft Edge 的信息。
步骤 3:创建设备符合性策略
创建设备符合性策略,以确保访问数据的 Linux 设备是安全的并符合组织的标准。 注册过程的最后一个阶段是合规性评估,它验证设备上的设置是否符合策略。 设备用户必须解决所有符合性问题才能访问受保护的资源。 Intune 将不符合符合性要求的设备标记为 不符合 要求,并 (采取其他操作,例如向用户发送通知、限制访问或根据针对 非合规性配置的操作 擦除设备) 。
可以根据 Linux 分发类型、版本、设备加密或密码复杂性强制实施设备符合性策略。 Linux 的所有可用符合性设置都位于 Microsoft Intune 设置目录中。 可以将 Microsoft Entra 条件访问策略与设备符合性策略结合使用,以控制对 Microsoft Edge 中Microsoft 365 Web 应用的访问。 例如,如果员工尝试访问 Edge 中的Microsoft Teams,而无需先注册或保护其设备,则他们将无法登录。
提示
有关设备符合性策略的概述,请参阅 合规性概述。
| 任务 | 详情 |
|---|---|
| 创建设备合规性策略 | 获取有关如何为 Linux 设备创建和分配设备符合性策略的分步指南。 |
| 添加自定义符合性设置 | 使用自定义符合性设置,可以编写自己的 Bash 脚本来解决尚未包含在 Microsoft Intune 中内置的设备符合性选项中的符合性方案。 本文介绍如何为 Linux 设备创建、监视自定义符合性策略并对其进行故障排除。 自定义符合性设置要求创建标识设置和值对的 自定义脚本 。 |
| 添加针对非合规性的操作 | 选择当设备不再满足符合性策略条件时应执行的操作。 操作示例包括发送警报、远程锁定设备或停用设备。 可在配置设备符合性策略时添加针对不符合性的操作,也可稍后通过编辑策略来添加操作。 |
| 创建基于设备或基于应用的条件访问策略 | 在适用于 Linux 的 Microsoft Edge 浏览器中设置条件访问策略,以保护和授予对 Microsoft 365 Web 应用的访问权限。 条件访问阻止不合规的设备访问 Edge 中的受保护工作应用,并授予对合规设备的访问权限。 必须具有设备符合性策略才能使用 Linux 设备的条件访问。 |
步骤 4:注册设备
在运行:
- Ubuntu LTS 版本 22.04 或 20.04。
- RedHat Enterprise Linux 8
- RedHat Enterprise Linux 9
分配有 Intune 许可证的员工可以根据需要将其个人 Linux 设备注册到 Microsoft Intune。 在注册期间,他们的设备注册Microsoft Entra ID,并评估其符合性。 如果已将条件访问策略应用到 Edge,系统会提示用户注册其设备,然后才能使用其工作帐户访问Microsoft 365 Web 应用。
作为 Intune 管理员,除了 先决条件中所述的内容外,无需执行任何操作即可为员工启用注册。 但是,如果他们在注册期间需要指导,请务必为他们提供帮助资源。
提示
如果需要设备加密,请在设备注册前告知员工,以便他们尽可能选择在操作系统安装期间加密其设备。 与在安装 OS 后加密设备相比,它更轻松、更快速。 此外,使组织的操作系统要求和密码复杂性要求易于在网站或载入电子邮件中找到,以便员工不必延迟注册即可查找该信息。
| 任务 | 详情 |
|---|---|
| 安装适用于 Linux 的 Microsoft Intune 应用 | 员工必须在个人设备上安装 Microsoft Intune 应用才能注册。 本文介绍如何在终端应用中安装、更新和删除适用于 Linux 的 Microsoft Intune 应用。 |
| 安装 Microsoft Edge Web 浏览器) | 若要访问受保护的网站和文件,员工必须具有 Microsoft Edge Web 浏览器版本 102。X 或更高版本。 注册设备后,员工可以使用其工作帐户登录到 Microsoft Edge,并访问网站和文件。 |
| 在 Intune 中注册 Linux 设备 | 本文面向设备用户,介绍如何使用 Microsoft Intune 应用注册设备,并包括系统要求、先决条件和后续步骤。 在此步骤中,Microsoft Intune 向 Microsoft Entra ID 注册设备,并在 Intune 中创建设备记录。 注册完成后,设备符合性检查将开始。 |
| 检查设备状态并解决合规性问题 | 本文面向设备用户,介绍如何解决 Microsoft Intune 应用中的合规性问题。 在注册期间以及之后设备使用 Intune 签入时,都会进行合规性检查。 Intune 应用在员工设备上具有不符合设置时通知员工。 Intune 使用设备符合性和条件访问策略确定不符合的合规性和操作。 |
后续步骤
有关如何导航和使用 Intune 的教程,请查看 演练 Intune 管理中心 。 这些教程属于初级-中级内容,适用于刚开始接触 Intune 或特定方案的人员。
有关 Linux 桌面管理的最新信息和博客,请查看 Microsoft 技术社区 。
有关本指南的其他版本,请参阅: