Aangepast nalevingsbeleid en -instellingen gebruiken voor Linux- en Windows-apparaten met Microsoft Intune

  • Artikel

Als u de ingebouwde opties voor apparaatnaleving van Intune wilt uitbreiden, gebruikt u beleidsregels voor aangepaste nalevingsinstellingen voor beheerde Linux- en Windows-apparaten. Aangepaste instellingen bieden flexibiliteit om naleving te baseren op de instellingen die beschikbaar zijn op een apparaat, zonder dat u hoeft te wachten totdat Intune deze instellingen toevoegt.

Deze functie is van toepassing op:

  • Linux – Ubuntu Desktop, versie 20.04 LTS en 22.04 LTS
  • Windows 10/11

Voordat u aangepaste instellingen aan een beleid kunt toevoegen, moet u een JSON-bestand en een detectiescript voorbereiden voor gebruik met elk ondersteund platform. Zowel het script als de JSON worden onderdeel van het nalevingsbeleid. Elk nalevingsbeleid ondersteunt één script en elk script kan meerdere instellingen detecteren:

  • Het JSON-bestand definieert de aangepaste instellingen en de waarden die als compatibel worden beschouwd. U kunt ook berichten voor gebruikers configureren om hen te laten weten hoe ze de naleving voor elke instelling kunnen herstellen. U voegt uw JSON-bestand toe tijdens het maken van een nalevingsbeleid, net nadat u een detectiescript voor dat beleid hebt geselecteerd.

  • Scripts zijn specifiek voor verschillende platforms en worden geleverd aan apparaten via het nalevingsbeleid. Wanneer beleid wordt geëvalueerd, detecteert het script de instellingen uit het JSON-bestand en rapporteert het de resultaten aan Intune. Windows gebruikt een PowerShell-script en Linux gebruikt een POSIX-compatibel shellscript.

    De scripts moeten worden geüpload naar het Microsoft Intune-beheercentrum voordat u een nalevingsbeleid maakt. U selecteert het script wanneer u een beleid configureert ter ondersteuning van aangepaste instellingen.

Nadat u aangepaste nalevingsinstellingen hebt geïmplementeerd en apparaten zijn gerapporteerd, kunt u de resultaten bekijken naast de details van de ingebouwde nalevingsinstelling in het Microsoft Intune-beheercentrum. Aangepaste nalevingsinstellingen kunnen worden gebruikt voor beslissingen voor voorwaardelijke toegang, op dezelfde manier als ingebouwde nalevingsinstellingen. Samen vormen ze een samengestelde regelset, die evenzeer van invloed is op de nalevingsstatus van het apparaat.

Vereisten

  • Microsoft Entra gekoppelde apparaten, waaronder Microsoft Entra hybride gekoppelde apparaten.

    Microsoft Entra hybride gekoppelde apparaten zijn apparaten die zijn gekoppeld aan Microsoft Entra ID en ook aan on-premises Active Directory. Zie De implementatie van uw Microsoft Entra hybride join plannen voor meer informatie.

  • Microsoft Entra geregistreerd/lid van de werkplek (WPJ)

    Voor apparaten die zijn geregistreerd in Microsoft Entra ID, raadpleegt u Workplace Join als een naadloze tweede factor-verificatie voor meer informatie. Dit zijn doorgaans BYOD-apparaten (Bring Your Own Device) waaraan een werk- of schoolaccount is toegevoegd via Instellingen>Accounts>Toegang tot werk of school.

    Op WPJ-apparaten werken PowerShell-scripts in apparaatcontext, maar PowerShell-scripts in gebruikerscontext worden genegeerd.

  • Detectiescript : een PowerShell voor Windows of een POSIX-compatibel shellscript voor Linux dat u maakt. Het script wordt uitgevoerd op een apparaat om de aangepaste instellingen te detecteren die zijn gedefinieerd in uw JSON-bestand. Het script retourneert de configuratiewaarde van deze instellingen naar Intune. U moet uw script uploaden naar het Microsoft Intune-beheercentrum voordat u een nalevingsbeleid maakt en vervolgens het script selecteren dat u wilt gebruiken bij het maken van een beleid.

    Zie Aangepaste nalevingsdetectiescripts voor Microsoft Intune als u een aangepast nalevingsscript wilt maken.

  • JSON-bestand : het JSON-bestand definieert de aangepaste instellingen en de waarde die als compatibel moet worden beschouwd en kan berichten bevatten voor gebruikers over het herstellen van het apparaat naar naleving voor de instelling. Zie JSON-bestanden voor aangepaste naleving voor hulp bij het maken van een JSON voor aangepaste naleving.

Een beleid maken met aangepaste nalevingsinstellingen

Controleer de vereisten voordat u begint met het maken van een beleid dat aangepaste instellingen bevat.

U moet eerst een toepasselijk detectiescript uploaden naar Intune en een kant-en-klare JSON hebben om toe te voegen tijdens het maken van het beleid.

Wanneer u klaar bent, gebruikt u de normale procedure om een nalevingsbeleid te maken, dat platformspecifieke instructies bevat voor het toevoegen van aangepaste instellingen aan het beleid. Aangepaste instellingen worden toegevoegd op de pagina Configuratie-instellingen door de optie voor Aangepaste naleving te configureren.

Opmerking

Wanneer een Windows-apparaat een nalevingsbeleid met aangepaste instellingen ontvangt, wordt gecontroleerd op de aanwezigheid van Intune-beheerextensies. Als het apparaat niet wordt gevonden, wordt een MSI uitgevoerd waarmee de extensies worden geïnstalleerd, zodat de client PowerShell-scripts kan downloaden en uitvoeren die deel uitmaken van een nalevingsbeleid, en om nalevingsresultaten te uploaden. Acties die door de services worden beheerd, zijn onder andere:

  • Elke acht uur controleren op nieuwe of bijgewerkte PowerShell-scripts.
  • De detectiescripts worden elke acht uur uitgevoerd.
  • Scripts uitvoeren die worden gedownload wanneer een gebruiker Naleving controleren op het apparaat selecteert. Er is echter geen controle op nieuwe of bijgewerkte scripts wanneer Naleving controleren wordt uitgevoerd.

Het is niet mogelijk om meldingen naar een apparaat te pushen om aangepaste naleving op aanvraag uit te voeren.

Aangepast nalevingsbeleid bewaken

Gebruik de volgende methoden om details weer te geven over de nalevingsstatus van een apparaat.

  • Voor zowel Linux- als Windows-apparaten kunt u de apparaatnalevingsdetails per instelling bekijken voor aangepaste nalevingsinstellingen in het Microsoft Intune-beheercentrum.

    Ga in het beheercentrum naar Rapporten>Apparaatcompatibiliteit en selecteer vervolgens het tabblad Rapporten . Selecteer de tegel voor niet-compatibele apparaten en instellingen en gebruik vervolgens de vervolgkeuzelijsten om het rapport te configureren. Selecteer een platform voor het besturingssysteem en selecteer vervolgens Rapport genereren .

    Zie Intune-nalevingsbeleid voor apparaten bewaken voor meer informatie.

  • Op een Linux-apparaat kunt u de Intune-app openen om de status van het apparaat weer te geven:

    • Compatibel : uw apparaat voldoet aan het beleid van uw organisatie en moet toegang hebben tot organisatieresources.
    • Status controleren : Intune evalueert momenteel of apparaten voldoen aan het beleid van uw organisatie.
    • Niet compatibel : het apparaat voldoet niet aan de apparaat- en beveiligingsvereisten van uw organisatie en heeft mogelijk geen toegang tot de resources van uw organisatie.

    Als de apparaatstatus Niet compatibel is, selecteert u Problemen weergeven om details weer te geven over problemen die moeten worden opgelost om dat apparaat in overeenstemming te brengen. Zie Aanvullende probleemoplossing voor Linux-apparaten voor meer informatie over het oplossen van veelvoorkomende problemen.

Problemen met aangepaste naleving voor apparaten oplossen

Aangepaste instellingen worden niet geëvalueerd

Controleer de apparaatnalevingsrapporten op de volgende foutcodes en inzicht in het probleem:

  • 65007: Fout geretourneerd script
  • 65008: Instelling ontbreekt in het scriptresultaat
  • 65009: Ongeldige json voor de gedetecteerde instelling
  • 65010: Ongeldig gegevenstype voor de gedetecteerde instelling

In Windows kunt u de volgende regel toevoegen aan het einde van het PowerShell-script om fouten met betrekking tot het PowerShell-script te retourneren. Zorg ervoor dat de volgende regel zich aan het einde van het PowerShell-scriptbestand bevindt: return $hash | ConvertTo-Json -Compress

PowerShell- of POSIX-compatibele shellscripts zijn niet zichtbaar om te selecteren of blijven zichtbaar nadat ze zijn verwijderd

Vernieuw de huidige weergave. Als het probleem zich blijft voordoen, annuleert u de stroom voor het maken van beleid en begint u opnieuw.

Nadat een probleem op een apparaat is opgelost, identificeren volgende synchronisaties het probleem niet als opgelost en compatibel

Het kan tot acht uur duren voordat een niet-compatibele status wordt weergegeven als compatibel na een wijziging van het apparaat.

Kan een gebruiker handmatig controleren op naleving nadat een probleem op een apparaat is opgelost om te bepalen of het probleem is opgelost en compatibel is?

  • In Windows kan een gebruiker naar de website van Bedrijfsportal gaan en een synchronisatie activeren om de apparaatstatus bij te werken nadat een niet-compatibele aangepaste nalevingsinstelling is opgelost.

  • In Linux kan een gebruiker de Microsoft Intune-app openen en Vernieuwen selecteren op de pagina met apparaatdetails of de pagina met nalevingsproblemen om een nieuwe check-in met Intune te starten.

Waarom worden niet meer operators en operands ondersteund?

Neem contact op met uw accountmanager om de toevoeging van specifieke operators en operands aan te vragen. Ze kunnen vervolgens worden overwogen voor een toekomstige update.

Waarom kan ik niet meerdere detectiescripts toepassen op één aangepast nalevingsbeleid?

Beleidsregels ondersteunen het gebruik van één script. Elk script ondersteunt echter het controleren op meerdere nalevingswaarden.

Aanvullende probleemoplossing voor Linux-apparaten

Instellingen identificeren die niet compatibel zijn voor een apparaat:

  • In het Microsoft Intune-beheercentrum kunt u apparaten identificeren die niet compatibel zijn met beleid. Ga naar Rapporten>Apparaatcompatibiliteit, selecteer het tabblad Rapporten en selecteer vervolgens de tegel voor Niet-compatibele apparaten en instellingen. Gebruik de vervolgkeuzelijsten om het gewenste rapport te configureren en selecteer vervolgens Rapport genereren .

Het beheercentrum geeft een afzonderlijke regel weer voor elke instelling die niet compatibel is op een apparaat.

  • Open op het Linux-apparaat de app Microsoft Intune en bekijk de pagina Apparaatinstellingen bijwerken.

In de volgende secties worden veelvoorkomende problemen en oplossingen besproken voor problemen die gebruikers van Linux-apparaten kunnen tegenkomen.

Distributie en versie van besturingssysteem

Gebruikers van apparaten die niet voldoen aan de configuratie voor apparaatcompatibiliteit voor Linux-distributie of versies van het besturingssysteem, ontvangen mogelijk een bericht dat aangeeft dat het besturingssysteem van het apparaat moet worden bijgewerkt of downgraden.

Als u wilt voldoen aan de instelling Toegestane distributies , moeten de Linux-distributie en -versie van apparaten voldoen aan minimale, maximale en typevereisten. Installeer zo nodig een andere versie of distributie van Linux om het apparaat in overeenstemming te brengen.

Wachtwoordcomplexiteit

Gebruikers van apparaten die niet voldoen aan de configuratie voor apparaatcompatibiliteit voor wachtwoordcomplexiteitsvereisten, ontvangen mogelijk een bericht dat aangeeft dat ze een sterk wachtwoord moeten gebruiken.

Als u wilt voldoen aan de instellingen voor wachtwoordbeleid , configureert u het Linux-systeem om wachtwoorden te gebruiken die aan deze vereisten voldoen. Algemene organisatievereisten zijn onder andere:

  • Wachtwoorden met een minimum aantal letters, cijfers of speciale tekens
  • Wachtwoorden met een minimale lengte

Apparaatversleuteling

Gebruikers van apparaten die niet voldoen aan de nalevingsinstellingen voor schijf- en partitieversleuteling, ontvangen mogelijk een bericht dat ze de apparaatstations moeten versleutelen.

Als u wilt voldoen aan de instelling Apparaatversleuteling vereisen , is versleuteling op apparaatniveau vereist voor beschrijfbare vaste schijven op het Linux-apparaat.

Er zijn verschillende opties voor schijf- en partitieversleuteling op Linux-besturingssystemen. Intune herkent elk versleutelingssysteem dat gebruikmaakt van het onderliggende dm-crypt-subsysteem. Dit subsysteem is al enige tijd standaard op Linux-systemen. De voorkeursmethode voor het instellen van dm-crypt is het gebruik van de LUKS-indeling met het hulpprogramma cryptsetup.

Hieronder vindt u algemene richtlijnen bij het versleutelen van schijven en partities:

  • Het versleutelen van Linux-systeemvolumes na de installatie is mogelijk, maar kan tijdrovend zijn. We raden u aan schijfversleuteling in te stellen tijdens de installatie van het besturingssysteem.
  • Niet alle bestandssysteempartities hoeven te worden versleuteld voor een apparaat om te voldoen aan de organisatiestandaarden. Het volgende wordt niet geëvalueerd door de ingebouwde instellingen voor apparaatversleuteling:
    • Alleen-lezen partities
    • Pseudobestandssystemen, zoals /proc of tmpfs
    • De /boot partities of /boot/efi

Uw nalevingsstatus op Linux-apparaten vernieuwen

Nadat u wijzigingen hebt aangebracht in een apparaat om het in overeenstemming te brengen, vernieuwt u de apparaatstatus met Intune:

  • Als de Microsoft Intune-app nog steeds wordt uitgevoerd, selecteert u Vernieuwen op de pagina met apparaatdetails of op de pagina nalevingsproblemen om een nieuwe check-in met Intune te starten.
  • Als de Microsoft Intune app niet wordt uitgevoerd, meldt u zich aan bij de app, waarna een nieuwe check-in wordt gestart.
  • Na de installatie wordt de Microsoft Intune-app regelmatig zelf bij Intune ingecheckt, zolang het apparaat is ingeschakeld en een gebruiker is aangemeld.

Volgende stappen