評估適用於Linux的 Windows 子系統合規性
適用於:
- Windows 10
- Windows 11
建立Microsoft Intune 原則,以檢查執行適用於Linux的 Windows 子系統 (WSL) 的裝置合規性。 Microsoft Intune 會將 WSL 合規性結果併入主機裝置的整體合規性狀態,讓您可以查看裝置的整個健康情況。
本文說明如何設定 WSL 的合規性檢查。
重要事項
此功能目前是公開預覽版。 如需詳細資訊,請參閱 Microsoft Intune 中的公開預覽。
需求
建立自訂合規性文稿需要下列資源:
Intune WSL 外掛程式:使用範例 Powershell 腳本來取得 Intune WSL 外掛程式的安裝套件檔案。
自定義合規性腳本:範例 PowerShell 腳本會根據散發版本和散發版本來計算 WSL 散發版本的合規性。
用於驗證的 JSON:使用範例 JSON 來定義 WSL 偵測規則。
步驟 1:安裝 Intune WSL 外掛程式
使用 Intune WSL 外掛程式資源,在目標電腦上安裝 Intune WSL 外掛程式。
步驟 2:新增企業營運應用程式的原則
建立 Intune WSL 外掛程式的應用程式原則。 Intune WSL 外掛程式會被視為 Windows 企業營運應用程式。
在 Microsoft Intune 系統管理中心,移至 [應用程式>] [Windows]。
輸入應用程式資訊:
- 選取檔案:選取此選項可上傳 Intune WSL 外掛程式的安裝套件檔案。
- 名稱:輸入 Intune WSL 外掛程式。
- 描述:輸入應用程式的描述。 此設定是選擇性的,但建議使用。
- 發行者:輸入 Microsoft Intune。
選取 [下一步 ] 以移至 [ 指派]。
在 [ 必要 ] 底下新增 Microsoft Entra users 以指派原則。
選 取 [下一步 ] 以移至 [ 檢閱 + 建立]。
檢閱摘要,然後選取 [建立 ] 以儲存原則。
步驟 3:設定自訂腳本
在命令列中,完成下列步驟:
修改自定義合規性腳本第 23-28 行中的下列屬性,以符合貴組織的需求:
散發套件
最低/最大版本
上次簽入裝置後可以保持相容的天數
在驗證資源的 JSON 中,使用組織的自訂值修改下列欄位:
MoreInfoUrl - 輸入裝置使用者可以前往的 URL,以深入瞭解如何符合合規性需求。
RemediationStrings:為裝置使用者輸入 WSL 合規性需求的實用資訊。
-
語言 - 範例:
en-us -
標題 - 範例:
WSL distros not in compliance with company policy -
描述 - 範例:
Make sure only allowed distros and versions are registered in WSL.
-
語言 - 範例:
步驟 4:部署自定義合規性政策
將自定義合規性政策部署至目標裝置。
在系統管理中心,移至 [端點安全>性裝置合規性]。
移至 [腳本]。
選 取 [新增>Windows 10 和更新版本]。
輸入您原則的基本資訊,包括名稱和描述。
選 取 [下一步 ] 以移至 [設定]。
將自定義合規性腳本複製並貼到 偵測腳本中。
將所有其他設定保持原樣。
步驟 5:建立裝置合規性政策
為執行 Windows 10 和更新版本的裝置建立新的裝置合規性政策。
在系統管理中心,移至 [端點安全>性裝置合規性]。
移至 [原則]。
選取 [建立原則]。
針對平臺,選擇 [Windows 10 及更新版本]。
選取 [建立]。
輸入您原則的基本資訊,包括 [名稱 ] 和 [ 描述]。
選 取 [下一步 ] 以移至 [合規性設定]。
展開 [自定義合規性]:
選取自定義合規性腳本檔案作為探索腳本。
上傳 JSON 驗證檔案。
將所有其他設定保持原樣。 選取 [下一步]。
檢閱您原則的摘要,然後選取 [ 建立 ] 加以儲存。
補救
讓裝置回到符合規範狀態的快速方式,是在裝置上取消註冊不符合規範的散發版本。 使用下列命令來取消註冊散發版本:
wsl --unregister [DISTRONAME]
疑難排解
Wsl/Service/CreateInstance/CreateVm/Plugin/ERROR_MOD_NOT_FOUND
重新啟動 WSL 服務。 在提升許可權的 PowerShell 視窗中,執行下列命令:
sc.exe stop wslservice
wsl.exe echo “test”
如需 WSL 疑難解答說明,請參閱 適用於 Linux 的 Windows 子系統。