Utiliser des stratégies et des paramètres de conformité personnalisés pour les appareils Linux et Windows avec Microsoft Intune

  • Article

En développant les options de conformité des appareils intégrées d’Intune, utilisez des stratégies pour les paramètres de conformité personnalisés pour les appareils Linux et Windows gérés. Les paramètres personnalisés offrent la flexibilité nécessaire pour baser la conformité sur les paramètres disponibles sur un appareil sans avoir à attendre qu’Intune ajoute ces paramètres.

Cette fonctionnalité s’applique à :

  • Linux – Ubuntu Desktop, version 20.04 LTS et 22.04 LTS
  • Windows 10/11

Avant de pouvoir ajouter des paramètres personnalisés à une stratégie, vous devez préparer un fichier JSON et un script de détection à utiliser avec chaque plateforme prise en charge. Le script et JSON font partie de la stratégie de conformité. Chaque stratégie de conformité prend en charge un seul script, et chaque script peut détecter plusieurs paramètres :

  • Le fichier JSON définit les paramètres personnalisés et les valeurs considérées comme conformes. Vous pouvez également configurer des messages pour que les utilisateurs leur indiquent comment restaurer la conformité pour chaque paramètre. Vous ajoutez votre fichier JSON lors de la création d’une stratégie de conformité, juste après avoir sélectionné un script de découverte pour cette stratégie.

  • Les scripts sont spécifiques à différentes plateformes et fournis aux appareils via la stratégie de conformité. Lorsque la stratégie est évaluée, le script détecte les paramètres à partir du fichier JSON, puis signale les résultats à Intune. Windows utilise un script PowerShell et Linux utilise un script shell compatible POSIX.

    Les scripts doivent être chargés dans le centre d’administration Microsoft Intune avant de créer une stratégie de conformité. Vous sélectionnez le script lorsque vous configurez une stratégie pour prendre en charge les paramètres personnalisés.

Une fois que vous avez déployé des paramètres de conformité personnalisés et que les appareils ont été signalés, vous pouvez afficher les résultats ainsi que les détails des paramètres de conformité intégrés dans le centre d’administration Microsoft Intune. Les paramètres de conformité personnalisés peuvent être utilisés pour les décisions d’accès conditionnel, de la même façon que les paramètres de conformité intégrés. Ensemble, ils forment un ensemble de règles composées, affectant également l’état de conformité de l’appareil.

Configuration requise

  • Microsoft Entra appareils joints, y compris Microsoft Entra appareils joints hybrides.

    Microsoft Entra appareils joints hybrides sont des appareils joints à Microsoft Entra ID et également joints à Active Directory local. Pour plus d’informations, consultez Planifier votre implémentation de jointure hybride Microsoft Entra.

  • Microsoft Entra inscrit/joint à l’espace de travail (WPJ)

    Les appareils inscrits dans Microsoft Entra ID, consultez Jonction d’espace de travail en tant qu’authentification de second facteur transparente pour plus d’informations. En règle générale, il s’agit d’appareils BYOD (Bring Your Own Device) dont un compte professionnel ou scolaire a été ajouté via Paramètres>Comptes>Accès professionnel ou scolaire.

    Sur les appareils WPJ, les scripts PowerShell de contexte d’appareil fonctionnent, mais les scripts PowerShell de contexte utilisateur sont ignorés.

  • Script de découverte : un script PowerShell pour Windows ou un script shell compatible POSIX pour Linux que vous créez. Le script s’exécute sur un appareil pour découvrir les paramètres personnalisés définis dans votre fichier JSON. Le script retourne la valeur de configuration de ces paramètres à Intune. Vous devez charger votre script dans le centre d’administration Microsoft Intune avant de créer une stratégie de conformité, puis sélectionner le script que vous souhaitez utiliser lors de la création d’une stratégie.

    Pour créer un script de conformité personnalisé, consultez Scripts de découverte de conformité personnalisés pour Microsoft Intune.

  • Fichier JSON : le fichier JSON définit les paramètres personnalisés et la valeur qui doit être considérée comme conforme et peut contenir des messages pour les utilisateurs sur la façon de rétablir la conformité de l’appareil pour le paramètre. Pour obtenir des conseils sur la création d’un json pour la conformité personnalisée, consultez Fichiers JSON de conformité personnalisés.

Créer une stratégie avec des paramètres de conformité personnalisés

Avant de commencer à créer une stratégie qui inclura des paramètres personnalisés, passez en revue les prérequis.

Vous devez d’abord charger un script de découverte applicable dans Intune et disposer d’un JSON prêt à ajouter lors de la création de la stratégie.

Lorsque vous êtes prêt, utilisez la procédure normale pour créer une stratégie de conformité, qui inclut des instructions spécifiques à la plateforme pour ajouter des paramètres personnalisés à la stratégie. Les paramètres personnalisés sont ajoutés dans la page Paramètres de configuration en configurant l’option Conformité personnalisée.

Remarque

Lorsqu’un appareil Windows reçoit une stratégie de conformité avec des paramètres personnalisés, il vérifie la présence d’extensions de gestion Intune. S’il est introuvable, l’appareil exécute une msi qui installe les extensions, ce qui permet au client de télécharger et d’exécuter des scripts PowerShell qui font partie d’une stratégie de conformité, et de charger les résultats de conformité. Les actions gérées par les services sont les suivantes :

  • Vérification des scripts PowerShell nouveaux ou mis à jour toutes les huit heures.
  • Exécution des scripts de découverte toutes les huit heures.
  • Exécution de scripts qui se téléchargent lorsqu’un utilisateur sélectionne Vérifier la conformité sur l’appareil. Toutefois, il n’existe aucune case activée pour les scripts nouveaux ou mis à jour lors de l’exécution de La vérification de la conformité.

Il n’est pas possible d’envoyer des notifications Push à un appareil pour permettre l’exécution de la conformité personnalisée à la demande.

Surveiller la stratégie de conformité personnalisée

Utilisez les méthodes suivantes pour afficher des détails sur les status de conformité d’un appareil.

  • Pour les appareils Linux et Windows, vous pouvez afficher les détails de conformité des appareils par paramètre pour les paramètres de conformité personnalisés dans le centre d’administration Microsoft Intune.

    Dans le Centre d’administration, accédez à Rapports> Conformité de l’appareil, puis sélectionnez l’onglet Rapports. Sélectionnez la vignette des appareils et paramètres non conformes, puis utilisez les menus déroulants pour configurer le rapport. Veillez à sélectionner une plateforme pour le système d’exploitation, puis sélectionnez Générer un rapport.

    Pour plus d’informations, consultez Surveiller les stratégies de conformité des appareils Intune.

  • Sur un appareil Linux, vous pouvez ouvrir l’application Intune pour afficher les status de l’appareil :

    • Conforme : votre appareil est conforme aux stratégies de votre organization et doit être en mesure d’accéder aux ressources de l’organisation.
    • Vérification status : Intune évalue actuellement la conformité des appareils aux stratégies de votre organization.
    • Non conforme : l’appareil ne répond pas aux exigences de sécurité et d’appareil de votre organization et n’a peut-être pas accès aux ressources de votre organization.

    Lorsque l’appareil status n’est pas conforme, sélectionnez Afficher les problèmes pour afficher des détails sur les problèmes qui doivent être résolus pour mettre cet appareil en conformité. Pour plus d’informations sur la résolution des problèmes courants, consultez Résolution des problèmes supplémentaires pour les appareils Linux.

Résoudre les problèmes de conformité personnalisée pour les appareils

Les paramètres personnalisés ne sont pas évalués

Vérifiez les rapports de conformité des appareils pour connaître les codes d’erreur suivants et obtenir des informations sur le problème :

  • 65007 : Échec du retour du script
  • 65008 : Paramètre manquant dans le résultat du script
  • 65009 : Json non valide pour le paramètre découvert
  • 65010 : type de données non valide pour le paramètre découvert

Sur Windows, vous pouvez ajouter la ligne suivante à la fin du script PowerShell pour retourner les erreurs liées au script PowerShell. Vérifiez que la ligne suivante se trouve à la fin du fichier de script PowerShell : return $hash | ConvertTo-Json -Compress

Les scripts d’interpréteur de commandes compatibles AVEC PowerShell ou POSIX ne sont pas visibles ou restent visibles après la suppression

Actualiser l'affichage actuel. Si le problème persiste, annulez le flux de création de stratégie et recommencez.

Une fois qu’un problème sur un appareil est résolu, les synchronisations suivantes n’identifient pas le problème comme étant résolu et conforme

Jusqu’à huit heures peuvent être nécessaires avant qu’un status non conforme s’affiche comme conforme après une modification apportée à l’appareil.

Un utilisateur peut-il case activée manuellement pour la conformité après avoir résolu un problème sur un appareil afin d’identifier si le problème est résolu et conforme ?

  • Sur Windows, un utilisateur peut accéder au site web Portail d'entreprise et déclencher une synchronisation pour mettre à jour l’appareil status après avoir corrigé un paramètre de conformité personnalisé non conforme.

  • Sur Linux, un utilisateur peut ouvrir l’application Microsoft Intune et sélectionner Actualiser sur la page des détails de l’appareil ou sur la page des problèmes de conformité pour démarrer une nouvelle case activée avec Intune.

Pourquoi plus d’opérateurs et d’opérandes ne sont-ils pas pris en charge ?

Contactez votre responsable de compte pour demander l’ajout d’opérateurs et d’opérandes spécifiques. Ils peuvent ensuite être pris en compte pour une mise à jour ultérieure.

Pourquoi ne puis-je pas appliquer plusieurs scripts de découverte à une stratégie de conformité personnalisée ?

Les stratégies prennent en charge l’utilisation d’un seul script. Toutefois, chaque script prend en charge la vérification de plusieurs valeurs de conformité.

Résolution des problèmes supplémentaires pour les appareils Linux

Pour identifier les paramètres qui ne sont pas conformes pour un appareil :

  • Dans le centre d’administration Microsoft Intune, vous pouvez identifier les appareils qui ne sont pas conformes à la stratégie. Accédez à Rapports>Conformité de l’appareil, sélectionnez l’onglet Rapports , puis sélectionnez la vignette pour Appareils et paramètres non conformes. Utilisez les listes déroulantes pour configurer le rapport souhaité, puis sélectionnez Générer le rapport.

Le centre d’administration affiche une ligne distincte pour chaque paramètre qui n’est pas conforme sur un appareil.

  • Sur l’appareil Linux, ouvrez l’application Microsoft Intune et affichez la page Mettre à jour les paramètres de l’appareil.

Les sections suivantes décrivent les problèmes courants et les solutions aux problèmes que les utilisateurs d’appareils Linux peuvent rencontrer.

Distribution et version du système d’exploitation

Les utilisateurs d’appareils qui ne répondent pas à la configuration de conformité des appareils pour la distribution Linux ou les versions du système d’exploitation peuvent recevoir un message indiquant la nécessité de mettre à niveau ou de rétrograder le système d’exploitation de l’appareil.

Pour être conformes au paramètre Distributions autorisées , la distribution et la version Linux des appareils doivent respecter les exigences minimales, maximales et de type. Si nécessaire, installez une autre version ou distribution de Linux pour mettre l’appareil en conformité.

Complexité du mot de passe

Les utilisateurs d’appareils qui ne répondent pas à la configuration de conformité des appareils pour les exigences de complexité de mot de passe peuvent recevoir un message indiquant qu’ils doivent utiliser un mot de passe fort.

Pour être conforme aux paramètres de stratégie de mot de passe , configurez le système Linux pour utiliser des mots de passe qui répondent à ces exigences. Les exigences organization courantes sont les suivantes :

  • Mots de passe qui incluent un nombre minimal de lettres, de chiffres ou de caractères spéciaux
  • Mots de passe d’une longueur minimale

Chiffrement de l’appareil

Les utilisateurs d’appareils qui ne respectent pas les paramètres de conformité pour le chiffrement de disque et de partition peuvent recevoir un message indiquant qu’ils doivent chiffrer les lecteurs de l’appareil.

Pour être conforme au paramètre Exiger le chiffrement de l’appareil, le chiffrement au niveau de l’appareil est requis pour les disques fixes accessibles en écriture sur l’appareil Linux.

Il existe plusieurs options pour le chiffrement de disque et de partition sur les systèmes d’exploitation Linux. Intune reconnaît tout système de chiffrement qui utilise le sous-système dm-crypt sous-jacent. Ce sous-système est standard sur les systèmes Linux depuis un certain temps. La méthode recommandée pour configurer dm-crypt consiste à utiliser le format LUKS avec l’outil cryptsetup.

Voici des conseils généraux lors du chiffrement du disque et des partitions :

  • Le chiffrement des volumes système Linux après l’installation est possible, mais peut prendre du temps. Nous vous recommandons de configurer le chiffrement de disque lors de l’installation du système d’exploitation.
  • Toutes les partitions de système de fichiers n’ont pas besoin d’être chiffrées pour qu’un appareil réponde aux normes de l’organisation. Les éléments suivants ne sont pas évalués par les paramètres de chiffrement d’appareil intégrés :
    • Partitions en lecture seule
    • Pseudo-systèmes de fichiers, comme /proc ou tmpfs
    • Partitions /boot ou /boot/efi

Actualiser votre status de conformité sur les appareils Linux

Après avoir apporté des modifications à un appareil pour le mettre en conformité, actualisez l’appareil status avec Intune :

  • Si l’application Microsoft Intune est toujours en cours d’exécution, sélectionnez Actualiser dans la page des détails de l’appareil ou dans la page des problèmes de conformité pour démarrer une nouvelle case activée avec Intune.
  • Si l’application Microsoft Intune n’est pas en cours d’exécution, connectez-vous à l’application pour démarrer une nouvelle case activée.
  • Après l’installation, l’application Microsoft Intune s’archive régulièrement avec Intune seule, tant que l’appareil est activé et qu’un utilisateur y est connecté.

Étapes suivantes