使用 Microsoft Intune 的 Linux 和 Windows 设备的自定义合规性策略和设置

若要扩展 Intune 的内置设备符合性选项,可以使用托管 Linux 和 Windows 设备的自定义符合性设置的策略。 自定义设置提供了基于设备上可用设置的灵活性,而无需等待 Intune 将这些设置添加到内置策略模板。

此功能适用于:

  • Windows 10/11 (不包括 Windows 10/11 家庭版)
  • Linux
    • Ubuntu 桌面版,版本 20.04 LTS 和 22.04 LTS
    • RedHat Enterprise Linux 8
    • RedHat Enterprise Linux 9

在向策略添加自定义设置之前,必须准备一个 JSON 文件和一个用于每个受支持的平台的发现脚本。 脚本和 JSON 都成为合规性策略的一部分。 每个符合性策略都支持单个脚本,并且每个脚本可以发现多个设置:

  • JSON 文件定义自定义设置和你认为合规的值。 还可以为用户配置消息,告诉他们如何还原每个设置的符合性。 在为该策略选择发现脚本后,在创建符合性策略时添加 JSON 文件。

  • 发现脚本特定于不同的平台,并作为合规性策略的一部分传递给设备。 当设备评估其策略时,脚本会检测 (发现) JSON 文件中的设置,然后将结果报告给 Intune。 Windows 设备使用 PowerShell 脚本,Linux 设备使用符合 POSIX 的 shell 脚本。

    在创建合规性策略之前,必须将脚本上传到 Microsoft Intune 管理中心。 在配置策略以支持自定义设置时,可以选择脚本。

部署自定义符合性设置和设备报告后,可以在 Microsoft Intune 管理中心查看结果以及内置合规性设置详细信息。 自定义符合性设置可用于条件访问决策,其方式与内置符合性设置相同。 它们共同构成复合规则集,同样影响设备符合性状态。

先决条件

  • Microsoft已加入 Entra 的设备, 包括 Microsoft Entra 混合联接设备。

    Microsoft Entra 混合联接设备是已加入 Microsoft Entra ID 的设备,也是已加入本地 Active Directory 的设备。 有关详细信息,请参阅 规划Microsoft Entra 混合联接实现

  • Microsoft已注册 Entra/Workplace 已加入 (WPJ)

    有关在 Microsoft Entra ID 中 注册 的设备的信息,请参阅 工作区加入作为无缝二重身份验证。 通常,这些设备是自带设备 (BYOD) 设备,这些设备通过设置>帐户>访问工作或学校添加了工作或学校帐户。

    在 WPJ 设备上,设备上下文 PowerShell 脚本可以工作,但用户上下文 PowerShell 脚本将被忽略。

  • 发现脚本 - 适用于 Windows 的 PowerShell 或适用于 Linux 的 POSIX 兼容 shell 脚本。创建。 脚本在设备上运行,以发现 JSON 文件中定义的自定义设置。 该脚本将这些设置的配置值返回到 Intune。 在创建合规性策略之前,需要先将脚本上传到 Microsoft Intune 管理中心,然后选择创建策略时要使用的脚本。

    若要创建自定义符合性脚本,请参阅 Microsoft Intune 的自定义合规性发现脚本

  • JSON 文件 - JSON 文件定义自定义设置和要被视为合规的值,并且可以包含用户有关如何将设备还原为设置符合性的消息。 有关为自定义合规性创建 JSON 的指南,请参阅 自定义合规性 JSON 文件

使用自定义符合性设置创建策略

在开始创建包含自定义设置的策略之前,请查看 先决条件

必须首先将适用的发现脚本上传到 Intune,并在创建策略时具有可供添加的现成 JSON。

准备就绪后,使用常规过程 创建符合性策略,其中包括有关向策略添加自定义设置的平台特定说明。 在“配置设置”页上,通过配置“ 自定义符合性”选项来添加自定义设置。

注意

当 Windows 设备收到具有自定义设置的符合性策略时,它会检查 是否存在 Intune 管理扩展。 如果未找到,设备将运行安装扩展的 MSI,使客户端能够下载并运行属于合规性策略的 PowerShell 脚本,并上传合规性结果。 由服务管理的操作包括:

  • 每 8 小时检查一次新的或更新的 PowerShell 脚本。
  • 每 8 小时运行一次发现脚本。
  • 运行当用户在设备上选择“检查符合性”时下载的脚本。 但是,在运行“符合性检查”时,不会检查新的或更新的脚本。

无法将通知推送到设备,使自定义合规性能够按需运行。

监视自定义合规性策略

使用以下方法查看有关设备符合性状态的详细信息。

  • 对于 Linux 和 Windows 设备,可以在 Microsoft Intune 管理中心查看自定义合规性设置的每个设置设备符合性详细信息。

    在管理中心,转到 “报告>设备符合性”,然后选择“ 报告 ”选项卡。选择“ 不符合设备和设置”的磁贴,然后使用下拉菜单配置报表。 请务必为 OS 选择平台,然后选择“ 生成 报告”。

    有关详细信息,请参阅 监视 Intune 设备符合性策略

  • 在 Linux 设备上,可以打开 Intune 应用以查看设备状态:

    • 合规 - 设备符合组织的策略,应能够访问组织资源。
    • 检查状态 – Intune 当前正在评估设备是否符合组织策略。
    • 不符合 - 设备不符合组织的设备和安全要求,并且可能无法访问组织的资源。

    当设备状态为 “不符合”时,选择“ 查看问题 ”以查看有关必须解决的问题的详细信息,以便使该设备符合性。 有关解决常见问题的信息,请参阅本文中的 Linux 设备的其他故障排除

排查设备的自定义符合性问题

不会评估自定义设置

查看设备符合性报告,了解以下错误代码并了解问题:

  • 65007:脚本返回失败
  • 65008:脚本结果中缺少设置
  • 65009:发现设置的 json 无效
  • 65010:发现设置的数据类型无效

在 Windows 上,可以在 PowerShell 脚本的末尾添加以下行以返回与 PowerShell 脚本相关的错误,确保以下行位于 PowerShell 脚本文件的末尾: return $hash | ConvertTo-Json -Compress

PowerShell 或 POSIX 兼容的 shell 脚本在被删除后不可见,无法选择或保持可见

返回当前视图。 如果问题仍然存在,请取消策略创建流,然后重新开始。

解决设备上的问题后,后续同步不会将问题标识为已解决且合规

更改设备后,不合规状态最多可能需要 8 小时才能显示为符合状态。

用户能否在解决设备上的问题后手动检查合规性,以确定问题是否已解决并合规?

  • 在 Windows 上,用户可以转到 公司门户网站 ,并在修复不符合的自定义符合性设置后触发同步以更新设备状态。

  • 在 Linux 上,用户可以打开 Microsoft Intune 应用 ,并在设备详细信息页或合规性问题页上选择 “刷新 ”,以使用 Intune 开始新的签入。

为什么不支持更多运算符和操作数?

请联系客户经理,请求添加特定运算符和操作数。 然后,可以考虑将其用于将来的更新。

为什么无法将多个发现脚本应用于一个自定义合规性策略?

策略支持使用单个脚本。 但是,每个脚本都支持检查多个符合性值。

Linux 设备的其他故障排除

若要标识设备不符合的设置,请执行以下操作:

  • 在 Microsoft Intune 管理中心中,可以识别不符合策略的设备。 转到 “报告>设备符合性”,选择“ 报告 ”选项卡,然后选择“ 不符合设备和设置”磁贴。 使用下拉列表配置所需的报表,然后选择“ 生成 报表”。

管理中心为设备上不符合的每个设置显示单独的行。

  • 在 Linux 设备上,打开 Microsoft Intune 应用并查看 “更新设备设置” 页。

以下部分讨论 Linux 设备用户可能会遇到的常见问题和解决方法。

操作系统发行版和版本

不符合 Linux 分发版或操作系统版本的合规性要求的设备的用户可能会收到一条消息,指示需要升级或降级该设备操作系统。

为了符合 “允许的发行版 ”设置,设备 Linux 分发和版本必须满足最低、最大和类型要求。 如有必要,请安装 Linux 的其他版本或发行版,使设备符合性。

密码复杂性

不符合密码复杂性要求的设备的用户可能会收到一条消息,指示他们必须使用强密码。

若要符合 密码策略 设置,请将 Linux 系统配置为使用满足这些要求的密码。 常见的组织要求包括:

  • 包含最少字母、数字或特殊字符的密码
  • 最小长度的密码

设备加密

不符合磁盘和分区加密合规性要求的设备的用户可能会收到一条消息,指出他们必须加密设备驱动器。

为了符合“ 需要设备加密” 设置,Linux 设备上的可写固定磁盘需要设备级加密。

Linux 操作系统上有多个磁盘和分区加密选项。 Intune 可识别使用基础 dm-crypt 子系统的任何加密系统。 此子系统是 Linux 系统上的长期标准。 设置 dm-crypt 的首选方法是将 LUKS 格式与 cryptsetup 工具配合使用。

以下列表提供了加密磁盘和分区时的一般指南:

  • 安装后加密 Linux 系统卷是可能的,但可能很耗时。 建议在安装操作系统时设置磁盘加密。
  • 并非所有文件系统分区都需要加密才能使设备符合组织标准。 内置设备加密设置不会评估以下内容:
    • 只读分区
    • 伪文件系统,如 /proctmpfs
    • /boot/boot/efi 分区

在 Linux 设备上刷新符合性状态

对设备进行更改以使其符合性后,请使用 Intune 刷新设备状态:

  • 如果 Microsoft Intune 应用仍在运行,请在设备详细信息页上或合规性问题页上选择“ 刷新 ”,以开始使用 Intune 进行新的签入。
  • 如果 Microsoft Intune 应用未运行,请登录到应用以开始新的签入。
  • 安装后,Microsoft Intune 应用会定期自行签入 Intune,前提是设备处于打开状态且用户已登录。

后续步骤