Share via

Egyéni megfelelőségi szabályzatok és beállítások használata Linux- és Windows-eszközökhöz a Microsoft Intune

  • Cikk

A Intune beépített eszközmegfelelési lehetőségeinek kibővítéséhez szabályzatokat használhat a felügyelt Linux- és Windows-eszközök egyéni megfelelőségi beállításaihoz. Az egyéni beállítások rugalmasan biztosítják az eszközön elérhető beállítások megfelelőségét anélkül, hogy meg kellene várniuk, amíg Intune hozzáadják ezeket a beállításokat a beépített szabályzatsablonokhoz.

Ez a funkció az alábbiakra vonatkozik:

  • Linux – Ubuntu Desktop, 20.04 LTS és 22.04 LTS verzió
  • Windows 10/11

Mielőtt egyéni beállításokat adhat egy szabályzathoz, elő kell készítenie egy JSON-fájlt és egy felderítési szkriptet az egyes támogatott platformokkal való használatra. A szkript és a JSON is a megfelelőségi szabályzat részévé válik. Minden megfelelőségi szabályzat egyetlen szkriptet támogat, és mindegyik szkript több beállítást is felderíthet:

  • A JSON-fájl határozza meg az egyéni beállításokat és a megfelelőnek ítélt értékeket. Az üzeneteket úgy is konfigurálhatja a felhasználók számára, hogy közöljék velük, hogyan állíthatják vissza az egyes beállítások megfelelőségét. A JSON-fájlt a megfelelőségi szabályzat létrehozásakor kell hozzáadnia, közvetlenül azután, hogy kiválasztott egy felderítési szkriptet a szabályzathoz.

  • A felderítési szkriptek a különböző platformokra vonatkoznak, és a megfelelőségi szabályzat részeként érkeznek az eszközökre. Amikor egy eszköz kiértékeli a szabályzatát, a szkript észleli (felderíti) a beállításokat a JSON-fájlból, majd jelenti az eredményeket Intune. A Windows-eszközök PowerShell-szkriptet, a Linux-eszközök pedig POSIX-kompatibilis rendszerhéjszkriptet használnak.

    A szkripteket fel kell tölteni a Microsoft Intune Felügyeleti központba, mielőtt megfelelőségi szabályzatot hoz létre. Az egyéni beállításokat támogató szabályzat konfigurálásakor válassza ki a szkriptet.

Az egyéni megfelelőségi beállítások és eszközök újbóli üzembe helyezése után az eredményeket a Microsoft Intune Felügyeleti központban, a beépített megfelelőségi beállítások részletei mellett tekintheti meg. Az egyéni megfelelőségi beállítások ugyanúgy használhatók feltételes hozzáférési döntésekhez, mint a beépített megfelelőségi beállítások. Együtt összetett szabálykészletet alkotnak, amely egyformán befolyásolja az eszköz megfelelőségi állapotát.

Előfeltételek

  • Microsoft Entra csatlakoztatott eszközök, beleértve Microsoft Entra hibrid csatlakoztatott eszközöket.

    Microsoft Entra hibrid csatlakoztatott eszközök olyan eszközök, amelyek Microsoft Entra ID csatlakoznak, és helyi Active Directory is csatlakoznak. További információ: A Microsoft Entra hibrid illesztés implementációjának megtervezve.

  • regisztrált/munkahelyhez csatlakoztatott (WPJ) Microsoft Entra

    A Microsoft Entra ID regisztrált eszközökkel kapcsolatos információkért lásd: Munkahelyi csatlakoztatás zökkenőmentes másodiktényezős hitelesítésként. Ezek az eszközök általában saját eszközök használata (BYOD), amelyekhez munkahelyi vagy iskolai fiók van hozzáadva a Beállítások>Fiókok Hozzáférés munkahelyi vagy iskolai rendszerhez>szolgáltatáson keresztül.

    WPJ-eszközökön az eszközkörnyezeti PowerShell-szkriptek működnek, de a felhasználói környezet PowerShell-szkriptjei figyelmen kívül lesznek hagyva.

  • Felderítési szkript – Egy Windowshoz készült PowerShell vagy egy POSIX-kompatibilis rendszerhéjszkript Linuxhoz, amelyet ön hoz létre. A szkript egy eszközön fut, hogy felderítse a JSON-fájlban meghatározott egyéni beállításokat. A szkript ezeknek a beállításoknak a konfigurációs értékét adja vissza a Intune. A megfelelőségi szabályzat létrehozása előtt fel kell töltenie a szkriptet a Microsoft Intune Felügyeleti központba, majd ki kell választania a szabályzat létrehozásakor használni kívánt szkriptet.

    Egyéni megfelelőségi szkript létrehozásához lásd: Egyéni megfelelőségi felderítési szkriptek Microsoft Intune.

  • JSON-fájl – A JSON-fájl határozza meg az egyéni beállításokat és a megfelelőnek ítélt értéket, és üzeneteket tartalmazhat a felhasználóknak arról, hogyan állíthatja vissza az eszközt a beállítás megfelelőségére. Az egyéni megfelelőség JSON-fájljainak létrehozásával kapcsolatos útmutatásért lásd: Egyéni megfelelőségi JSON-fájlok.

Egyéni megfelelőségi beállításokkal rendelkező szabályzat Létrehozás

Mielőtt egyéni beállításokat tartalmazó szabályzatot hoz létre, tekintse át az előfeltételeket.

Először fel kell töltenie egy megfelelő felderítési szkriptet a Intune, és rendelkeznie kell egy kész JSON-nal, amely hozzáadandó a szabályzat létrehozásakor.

Ha készen áll, a normál eljárással hozzon létre egy megfelelőségi szabályzatot, amely platformspecifikus utasításokat tartalmaz az egyéni beállítások szabályzathoz való hozzáadásához. Az egyéni beállítások a Konfigurációs beállítások lapon jelennek meg az Egyéni megfelelőség beállítás konfigurálásával.

Megjegyzés:

Amikor egy Windows-eszköz egyéni beállításokkal rendelkező megfelelőségi szabályzatot kap, ellenőrzi a Intune felügyeleti bővítmények meglétét. Ha nem található, az eszköz egy MSI-t futtat, amely telepíti a bővítményeket, lehetővé téve az ügyfél számára a megfelelőségi szabályzat részét képező PowerShell-szkriptek letöltését és futtatását, valamint a megfelelőségi eredmények feltöltését. A szolgáltatások által kezelt műveletek a következők:

  • Új vagy frissített PowerShell-szkriptek keresése nyolc óránként.
  • A felderítési szkriptek nyolcóránként történő futtatása.
  • Olyan szkriptek futtatása, amelyek akkortöltődnek le, ha a felhasználó a Megfelelőség ellenőrzése lehetőséget választja az eszközön. A Megfelelőség ellenőrzése futtatásakor azonban nem történik új vagy frissített szkriptek keresése.

Az egyéni megfelelőség igény szerinti futtatásához nem lehet leküldéses értesítéseket küldeni az eszközökre.

Egyéni megfelelőségi szabályzat figyelése

Az alábbi módszerekkel megtekintheti az eszköz megfelelőségi állapotának részleteit.

  • Linux- és Windows-eszközök esetén az egyéni megfelelőségi beállítások beállításonkénti megfelelőségi adatait a Microsoft Intune Felügyeleti központban tekintheti meg.

    A felügyeleti központban lépjen a Jelentések>Eszközmegfelelés elemre, majd válassza a Jelentések lapot. Válassza a Nem megfelelő eszközök és beállítások csempét, majd a legördülő menükkel konfigurálja a jelentést. Mindenképpen válasszon platformot az operációs rendszerhez, majd válassza a Jelentés létrehozása lehetőséget.

    További információ: Intune eszközmegfelelési szabályzatok figyelése.

  • Linux-eszközön megnyithatja a Intune alkalmazást az eszköz állapotának megtekintéséhez:

    • Megfelelő – Az eszköznek meg kell felelnie a szervezet szabályzatainak, és hozzá kell tudnia férni a szervezeti erőforrásokhoz.
    • Állapot ellenőrzése – Intune jelenleg azt értékeli, hogy az eszközök megfelelnek-e a szervezet szabályzatainak.
    • Nem megfelelő – Az eszköz nem felel meg a szervezet eszköz- és biztonsági követelményeinek, és előfordulhat, hogy nem fér hozzá a szervezet erőforrásaihoz.

    Ha az eszköz állapota Nem megfelelő, válassza a Problémák megtekintése lehetőséget azoknak a problémáknak a részleteinek megtekintéséhez, amelyeket meg kell oldani az eszköz megfelelőségének biztosításához. A gyakori problémák megoldásával kapcsolatos információkért tekintse meg a jelen cikk Linux-eszközökkel kapcsolatos további hibaelhárítását ismertető cikket.

Eszközök egyéni megfelelőségének hibaelhárítása

Az egyéni beállítások kiértékelése nem történik meg

Ellenőrizze az eszközmegfelelési jelentéseket a következő hibakódokért és a problémára vonatkozó megállapításokért:

  • 65007: A szkript hibát adott vissza
  • 65008: A beállítás hiányzik a szkript eredményéből
  • 65009: Érvénytelen json a felderített beállításhoz
  • 65010: Érvénytelen adattípus a felderített beállításhoz

Windows rendszeren hozzáadhatja a következő sort a PowerShell-szkript végéhez a PowerShell-szkripttel kapcsolatos hibák visszaadásához. Győződjön meg arról, hogy a következő sor a PowerShell-szkriptfájl végén található: return $hash | ConvertTo-Json -Compress

A PowerShell- vagy POSIX-kompatibilis rendszerhéjszkriptek nem jelölhetők ki, illetve nem láthatók a törlés után

Frissítse az aktuális nézetet. Ha a probléma továbbra is fennáll, szakítsa meg a szabályzatlétrehozás folyamatát, és kezdje újra.

Miután kijavítottunk egy hibát egy eszközön, a későbbi szinkronizálások nem azonosítják a problémát megoldottként és megfelelőként

Akár nyolc órát is igénybe vehet, amíg a nem megfelelő állapot megfelelőként jelenik meg az eszköz módosítása után.

A felhasználó manuálisan ellenőrizheti a megfelelőséget egy eszközön jelentkező probléma kijavítása után annak megállapításához, hogy a probléma megoldódott-e, és megfelelő-e?

  • Windows rendszeren a felhasználók megnyithatják a Céges portál webhelyet, és elindíthatnak egy szinkronizálást az eszköz állapotának frissítéséhez egy nem megfelelő egyéni megfelelőségi beállítás kijavítása után.

  • Linuxon a felhasználók megnyithatják a Microsoft Intune alkalmazást, és az eszközadatok vagy a megfelelőségi problémák lapon a Frissítés lehetőséget választva új bejelentkezést indíthatnak Intune.

Miért nem támogatott több operátor és operandus?

Vegye fel a kapcsolatot a fiókkezelővel, és kérje adott operátorok és operandusok hozzáadását. Ezután egy későbbi frissítéshez figyelembe lehet venni őket.

Miért nem tudok több felderítési szkriptet alkalmazni egy egyéni megfelelőségi szabályzatra?

A szabályzatok egyetlen szkript használatát támogatják. Azonban minden szkript támogatja több megfelelőségi érték keresését.

További hibaelhárítás Linux-eszközök esetén

Az eszközhöz nem megfelelő beállítások azonosítása:

  • A Microsoft Intune Felügyeleti központban azonosíthatja azokat az eszközöket, amelyek nem felelnek meg a szabályzatnak. Lépjen a Jelentések>Eszközmegfelelés területre, válassza a Jelentések lapot, majd a Nem megfelelő eszközök és beállítások csempét. A legördülő listák segítségével konfigurálja a kívánt jelentést, majd válassza a Jelentés létrehozása lehetőséget.

A felügyeleti központ külön sorokat jelenít meg minden olyan beállításhoz, amely nem felel meg az eszköznek.

  • A Linux-eszközön nyissa meg a Microsoft Intune alkalmazást, és tekintse meg az Eszközbeállítások frissítése lapot.

A következő szakaszok a Linux-eszközök felhasználói által tapasztalt gyakori problémákat és megoldásokat ismertetik.

Operációs rendszer disztribúciója és verziója

Előfordulhat, hogy egy olyan eszköz felhasználói, amelyek nem felelnek meg a Linux-disztribúció vagy az operációs rendszer verziójának megfelelőségi követelményeinek, olyan üzenetet kaphatnak, amely az eszközök operációs rendszerének frissítésére vagy korábbi verzióra való váltására utal.

Az Engedélyezett disztribúció beállításnak való megfeleléshez a Linux-disztribúció és -verziójú eszközöknek meg kell felelniük a minimális, maximális és típuskövetelményeknek. Ha szükséges, telepítsen egy másik Linux-verziót vagy -disztribúciót az eszköz megfelelőségének biztosításához.

Jelszó összetettsége

Egy olyan eszköz felhasználói, akik nem felelnek meg a jelszó összetettségi követelményeire vonatkozó megfelelőségi követelményeknek, üzenetet kaphatnak, amely jelzi, hogy erős jelszót kell használniuk.

A jelszóházirend-beállításoknak való megfelelés érdekében konfigurálja a Linux rendszert azoknak a jelszavaknak a használatára, amelyek megfelelnek ezeknek a követelményeknek. A gyakori szervezeti követelmények a következők:

  • A betűk, számjegyek vagy speciális karakterek minimális számát tartalmazó jelszavak
  • Minimális hosszúságú jelszavak

Eszköztitkosítás

Az olyan eszközök felhasználói, amelyek nem felelnek meg a lemez- és partíciótitkosítás megfelelőségi követelményeinek, üzenetet kaphatnak arról, hogy titkosítaniuk kell az eszközmeghajtókat.

Ahhoz, hogy megfeleljen az Eszköztitkosítás megkövetelése beállításnak, eszközszintű titkosításra van szükség a Linux-eszközön írható rögzített lemezekhez.

Linux operációs rendszereken számos lehetőség van a lemez- és partíciótitkosításra. Intune felismer minden olyan titkosítási rendszert, amely a mögöttes dm-crypt alrendszert használja. Ez az alrendszer linuxos rendszereken hosszú távú szabvány. A dm-crypt beállításának elsődleges módja a LUKS formátum használata a cryptsetup eszközzel.

Az alábbi lista általános útmutatást nyújt a lemezek és partíciók titkosításához:

  • A Linux rendszerköteteinek titkosítása a telepítés után lehetséges, de akár időigényes is. Javasoljuk, hogy az operációs rendszer telepítésekor állítsa be a lemeztitkosítást.
  • Nem minden fájlrendszerpartíciót kell titkosítani ahhoz, hogy az eszköz megfeleljen a szervezeti szabványoknak. A beépített eszköztitkosítási beállítások nem értékelik ki a következőket:
    • Írásvédett partíciók
    • Pszeudo-fájlrendszerek, például /proc vagy tmpfs
    • A /boot vagy /boot/efi a partíció

Megfelelőségi állapot frissítése Linux-eszközökön

Miután módosított egy eszközt a megfelelőség érdekében, frissítse az eszköz állapotát a Intune:

  • Ha a Microsoft Intune alkalmazás továbbra is fut, válassza a Frissítés lehetőséget az eszköz részleteinek lapján, vagy a megfelelőségi problémák oldalán, hogy új bejelentkezést indítson a Intune.
  • Ha a Microsoft Intune alkalmazás nem fut, jelentkezzen be az alkalmazásba egy új bejelentkezés elindításához.
  • A telepítés után a Microsoft Intune alkalmazás rendszeres időközönként bejelentkezik a Intune, amíg az eszköz be van kapcsolva, és a felhasználó be van jelentkezve.

Következő lépések