分享方式:


搭配使用Linux和 Windows 裝置的自定義合規性原則和設定Microsoft Intune

若要擴充 Intune 的內建裝置合規性選項,您可以針對受控 Linux 和 Windows 裝置使用自定義合規性設定的原則。 自定義設定可讓您彈性地根據裝置上可用的設定來建立合規性基礎,而不需要等待 Intune 將這些設定新增至內建原則範本。

本功能適用於:

  • Windows 10/11 (不含 Windows 10/11 家用版)
  • Linux
    • Ubuntu Desktop 20.04 版 LTS 和 22.04 LTS
    • RedHat Enterprise Linux 8
    • RedHat Enterprise Linux 9

您必須先準備 JSON 檔案和探索腳本,才能將自定義設定新增至原則,以便與每個支持的平臺搭配使用。 腳本和 JSON 都會成為合規性原則的一部分。 每個合規性政策都支援單一腳本,而且每個腳本都可以探索多個設定:

  • JSON 檔案會定義自定義設定,以及您認為符合規範的值。 您也可以為使用者設定訊息,以告知他們如何還原每個設定的合規性。 當您在為該原則選取探索腳本之後,您會在建立合規性政策時新增 JSON 檔案。

  • 探索腳本專屬於不同的平臺,並會在合規性政策中傳遞至裝置。 當裝置評估其原則時,腳本會偵測 (從 JSON 檔案探索) 設定,然後將結果報告給 Intune。 Windows 裝置使用 PowerShell 腳本,而 Linux 裝置則使用符合 POSIX 標準的殼層腳本。

    您必須先將腳本上傳至 Microsoft Intune 系統管理中心,才能建立合規性政策。 當您設定原則以支援自訂設定時,請選取腳本。

在您部署自定義合規性設定和裝置回報之後,您可以在 Microsoft Intune 系統管理中心檢視結果以及內建合規性設定詳細數據。 自定義合規性設定可用於條件式存取決策,方式與內建合規性設定相同。 它們一起形成複合規則集,同樣會影響裝置合規性狀態。

先決條件

  • Microsoft加入 Entra 的 裝置, 包括 Microsoft加入 Entra 的裝置。

    Microsoft已加入 Entra 混合式裝置是已加入 Microsoft Entra ID 並同時加入內部部署 Active Directory 的裝置。 如需詳細資訊,請參閱 規劃您的 Microsoft Entra 混合式聯結實作

  • Microsoft已註冊的 Entra/加入工作場所 (WPJ)

    如需在 Microsoft Entra ID 中 註冊 之裝置的相關信息,請參閱 Workplace Join 作為無縫第二因素驗證。 這些裝置通常是「攜帶您自己的裝置 (BYOD) 裝置,這些裝置已透過>設定帳戶>存取公司或學校新增公司或學校帳戶。

    在 WPJ 裝置上,裝置內容 PowerShell 腳本可以運作,但會忽略用戶內容 PowerShell 腳本。

  • 探索腳本 - 適用於 Windows 的 PowerShell 或您所建立之適用於 Linux 的 POSIX 相容殼層腳本。 腳本會在裝置上執行,以探索 JSON 檔案中定義的自定義設定。 腳本會將這些設定的組態值傳回至 Intune。 您必須先將腳本上傳至 Microsoft Intune 系統管理中心,才能建立合規性政策,然後選取您要在建立原則時使用的腳本。

    若要建立自定義合規性腳本,請參閱 適用於 Microsoft Intune 的自定義合規性探索腳本

  • JSON 檔案 - JSON 檔案會定義自定義設定,以及要視為符合規範的值,而且可以包含訊息,讓用戶瞭解如何將裝置還原為符合設定的合規性。 如需建立自定義合規性 JSON 的指引,請參閱 自定義合規性 JSON 檔案

使用自定義合規性設定建立原則

開始建立包含自定義設定的原則之前,請先檢閱 必要條件

您必須先將適用的探索腳本上傳至 Intune,然後在建立原則時有現成的 JSON 可新增。

準備就緒時,請使用一般程式 來建立合規性政策,其中包含將自定義設定新增至原則的平臺特定指示。 在 [組態設定] 頁面上,藉由設定 [自定義兼容性] 選項來新增 自定義設定

注意事項

當 Windows 裝置收到具有自定義設定的合規性政策時,它會檢查 Intune 管理延伸模組是否存在。 如果找不到,裝置會執行 MSI 來安裝擴充功能,讓用戶端下載並執行屬於合規性政策一部分的 PowerShell 腳本,以及上傳合規性結果。 服務所管理的動作包括:

  • 每隔八小時檢查新的或更新的PowerShell腳本。
  • 每隔八小時執行一次探索腳本。
  • 執行當使用者在裝置上選取 [檢查合規性] 時下載的腳本。 不過,執行檢查合規性時,不會檢查是否有新的或更新的腳本。

無法將通知推送至裝置,以啟用可視需要執行的自定義合規性。

監視自定義合規性政策

使用下列方法來檢視裝置合規性狀態的詳細數據。

  • 針對Linux和 Windows 裝置,您可以在 Microsoft Intune 系統管理中心檢視自定義合規性設定的個別設定裝置合規性詳細數據。

    在系統管理中心中,移至 [報告>裝置合規性],然後選取 [ 報告 ] 索引卷標。選取 [不符合規範的裝置和設定] 的圖格,然後使用下拉菜單來設定報表。 請務必選取操作系統的平臺,然後選取 [ 產生 報告]。

    如需詳細資訊,請 參閱監視 Intune 裝置合規性原則

  • 在 Linux 裝置上,您可以開啟 Intune 應用程式來檢視裝置的狀態:

    • 符合規範 – 您的裝置符合組織的原則,應該能夠存取組織資源。
    • 檢查狀態 – Intune 目前正在評估裝置是否符合貴組織的原則。
    • 不符合規範 – 裝置不符合貴組織的裝置和安全性需求,可能無法存取組織的資源。

    當裝置狀態 不符合規範時,請選取 [ 檢視問題 ] 以查看必須解決才能使裝置符合規範的問題詳細數據。 如需解決常見問題的資訊,請參閱本文中的 Linux裝置的其他疑難解答

針對裝置的自定義合規性進行疑難解答

不會評估自定義設定

檢查裝置合規性報告,以取得下列錯誤碼和問題的深入解析:

  • 65007:腳本傳回失敗
  • 65008:腳本結果中缺少設定
  • 65009:探索到的設定無效的 json
  • 65010:探索到之設定的數據類型無效

在 Windows 上,您可以在 PowerShell 腳本的結尾新增下列這一行,以傳回與 PowerShell 腳本相關的錯誤,請確定下列這一行位於 PowerShell 腳本檔案的結尾: return $hash | ConvertTo-Json -Compress

PowerShell 或符合 POSIX 規範的殼層腳本無法被選取,或在刪除後保持可見

重新整理目前的檢視。 如果問題持續發生,請取消原則建立流程,然後重新啟動。

修正裝置上的問題之後,後續同步處理不會將問題識別為已解決且符合規範

在裝置變更之後,不符合規範的狀態最多可能需要八小時才會顯示為符合規範。

在修正裝置上的問題之後,使用者是否可以手動檢查合規性,以識別問題是否已解決且符合規範?

  • 在 Windows 上,用戶可以在修正不符合規範的自定義合規性設定之後,移至 公司入口網站 並觸發同步處理以更新裝置狀態。

  • 在 Linux 上,使用者可以開 啟 Microsoft Intune 應用程式 ,然後在裝置詳細數據頁面或合規性問題頁面上選取 [ 重新 整理],以開始使用 Intune 進行新的簽入。

為什麼不支援更多運算子和操作數?

請連絡您的帳戶管理員,要求新增特定的操作員和操作數。 然後,您可以將它們視為未來更新。

為什麼我無法將多個探索腳本套用至一個自定義合規性政策?

原則支援使用單一腳本。 不過,每個腳本都支持檢查多個合規性值。

Linux 裝置的其他疑難解答

若要識別不符合裝置規範的設定:

  • 在 Microsoft Intune 系統管理中心,您可以識別不符合原則的裝置。 移至 [報告>裝置合規性],選取 [ 報告] 索引卷標,然後選取 [ 不符合規範的裝置和設定] 的圖格。 使用下拉式清單來設定您想要的報表,然後選取 [ 產生 報表]。

系統管理中心會針對裝置上不符合規範的每個設定顯示個別行。

  • 在 Linux 裝置上,開啟 Microsoft Intune 應用程式並檢視 [更新裝置設定] 頁面。

下列各節討論Linux裝置使用者可能遇到之問題的常見問題和解決方法。

操作系統發行版和版本

不符合 Linux 發行版或操作系統版本合規性需求的裝置使用者可能會收到訊息,指出需要升級或降級該裝置操作系統。

若要符合 允許的散發 版本設定,裝置 Linux 發行版和版本必須符合最低、最大值和類型需求。 如有必要,請安裝不同的 Linux 版本或發行版,讓裝置符合規範。

密碼複雜度

不符合密碼複雜性需求合規性需求的裝置使用者可能會收到訊息,指出他們必須使用強密碼。

若要符合 密碼 原則設定,請將 Linux 系統設定為使用符合這些需求的密碼。 常見的組織需求包括:

  • 包含字母、數位或特殊字元數目下限的密碼
  • 最小長度的密碼

裝置加密

不符合磁碟和磁碟分區加密合規性需求的裝置使用者可能會收到必須加密裝置磁碟驅動器的訊息。

若要符合 [ 需要裝置加密 ] 設定,Linux 裝置上可寫入的固定磁碟需要裝置層級加密。

Linux 作業系統上有數個磁碟和磁碟分區加密選項。 Intune 可辨識任何使用基礎 dm-crypt 子系統的加密系統。 此子系統是Linux系統上的長期標準。 設定 dm-crypt 的慣用方法是搭配 密碼設定 工具使用 LUKS 格式。

下列清單提供加密磁碟和磁碟分區的一般指引:

  • 在安裝後加密 Linux 系統磁碟區是可行的,但可能會耗時。 建議您在安裝作業系統時設定磁碟加密。
  • 並非所有文件系統分割區都需要加密,裝置才能符合組織標準。 內建裝置加密設定不會評估下列專案:
    • 唯讀數據分割
    • Pseudo-filesystems,例如 /proctmpfs
    • /boot/boot/efi 數據分割

重新整理Linux裝置上的合規性狀態

對裝置進行變更以使其符合規範之後,請使用 Intune 重新整理裝置狀態:

  • 如果Microsoft Intune 應用程式仍在執行中,請在裝置詳細數據頁面上選取 [ 重新 整理],或在 [合規性問題] 頁面上選取 [重新整理],以開始使用 Intune 進行新的簽入。
  • 如果Microsoft Intune 應用程式未執行,請登入應用程式以開始新的簽入。
  • 安裝之後,Microsoft Intune 應用程式會定期使用 Intune 自行簽入,只要裝置已開啟,且使用者已登入該應用程式即可。

後續步驟