通过

评估适用于 Linux 的 Windows 子系统的合规性

  • 项目

适用于

  • Windows 10
  • Windows 11

创建一个 Microsoft Intune 策略,用于检查运行适用于 Linux (WSL) 的 Windows 子系统的设备符合性。 Microsoft Intune 将 WSL 符合性结果合并到主机设备的整体符合性状态中,以便可以查看设备的整体运行状况。

本文介绍如何为 WSL 设置符合性检查。

重要

此功能目前提供公共预览版。 有关详细信息,请参阅 Microsoft Intune 中的公共预览版

要求

创建自定义合规性脚本需要以下资源:

步骤 1:安装 Intune WSL 插件

使用 Intune WSL 插件资源在目标计算机上安装 Intune WSL 插件。

步骤 2:为业务线应用添加策略

为 Intune WSL 插件创建应用策略。 Intune WSL 插件被视为 Windows 业务线应用。

  1. 在 Intune 管理中心Microsoft,转到 “应用>Windows”。

  2. 输入应用信息:

    • 选择文件:选择此选项可上传 Intune WSL 插件的安装包文件。
    • 名称:输入 Intune WSL 插件
    • 说明:输入应用的说明。 此设置是可选的,但建议设置。
    • 发布者:输入 intune Microsoft

  3. 选择“ 下一步 ”转到 “分配”。

  4. 在“ 必需 ”下添加Microsoft Entra 用户以分配策略。

  5. 选择“ 下一步 ”转到 “查看 + 创建”。

  6. 查看摘要,然后选择“ 创建 ”以保存策略。

步骤 3:设置自定义脚本

在命令行中,完成以下步骤:

  1. 修改自定义合规性脚本第 23-28 行中的以下属性,以满足组织的要求:

    • 发行版

    • 最低/最大版本

    • 自上次签入设备以来可以保持合规的天数

  2. 在用于验证资源的 JSON 中,使用组织的自定义值修改以下字段:

    • MoreInfoUrl - 输入设备用户可以转到的 URL,详细了解如何满足合规性要求。

    • RemediationStrings:为设备用户输入有关 WSL 合规性要求的有用信息。

      • 语言 - 示例: en-us
      • 标题 - 示例: WSL distros not in compliance with company policy
      • 说明 - 示例: Make sure only allowed distros and versions are registered in WSL.

步骤 4:部署自定义合规性策略

将自定义符合性策略部署到目标设备。

  1. 在管理中心,转到 “终结点安全>设备符合性”。

  2. 转到 “脚本”。

  3. 选择 “添加>Windows 10 及更高版本”。

  4. 输入策略的基本信息,包括名称和说明。

  5. 选择“ 下一步 ”转到 “设置”。

  6. 将自定义合规性脚本复制并粘贴到 检测脚本中。

  7. 使所有其他设置保持原样。

步骤 5:创建设备符合性策略

为运行 Windows 10 及更高版本的设备创建新的设备符合性策略。

  1. 在管理中心,转到 “终结点安全>设备符合性”。

  2. 转到 “策略”。

  3. 选择“创建策略”。

  4. 对于平台,请选择 Windows 10 及更高版本

  5. 选择“创建”。

  6. 输入策略的基本信息,包括名称和说明

  7. 选择“ 下一步 ”转到 “符合性设置”。

  8. 展开 “自定义符合性”:

    1. 选择自定义合规性脚本文件作为发现脚本。

    2. 上传 JSON 验证文件。

  9. 使所有其他设置保持原样。 选择 下一步

  10. 查看策略摘要,然后选择“ 创建 ”进行保存。

修复

使设备恢复合规状态的一种快速方法是在设备上取消注册不符合的发行版。 使用以下命令取消注册发行版:


wsl --unregister [DISTRONAME]

疑难解答

Wsl/Service/CreateInstance/CreateVm/Plugin/ERROR_MOD_NOT_FOUND

重启 WSL 服务。 在提升的 PowerShell 窗口中,运行以下命令:

 sc.exe stop wslservice 

 wsl.exe echo “test”

有关 WSL 故障排除帮助,请参阅 适用于 Linux 的 Windows 子系统