Share via

Używanie niestandardowych zasad zgodności i ustawień dla urządzeń z systemami Linux i Windows przy użyciu Microsoft Intune

  • Artykuł

Aby rozszerzyć wbudowane opcje zgodności urządzeń Intune, można użyć zasad niestandardowych ustawień zgodności dla zarządzanych urządzeń z systemami Linux i Windows. Ustawienia niestandardowe zapewniają elastyczność bazowania na ustawieniach dostępnych na urządzeniu bez konieczności oczekiwania na dodanie tych ustawień do wbudowanych szablonów zasad przez Intune.

Ta funkcja ma zastosowanie do:

  • Linux — Ubuntu Desktop, wersja 20.04 LTS i 22.04 LTS
  • Windows 10/11

Przed dodaniem ustawień niestandardowych do zasad należy przygotować plik JSON i skrypt odnajdywania do użycia z każdą obsługiwaną platformą. Zarówno skrypt, jak i kod JSON stają się częścią zasad zgodności. Każda zasada zgodności obsługuje pojedynczy skrypt, a każdy skrypt może odnajdywać wiele ustawień:

  • Plik JSON definiuje ustawienia niestandardowe i wartości, które uważasz za zgodne. Możesz również skonfigurować komunikaty dla użytkowników, aby poinformować ich, jak przywrócić zgodność dla każdego ustawienia. Plik JSON należy dodać podczas tworzenia zasad zgodności tuż po wybraniu skryptu odnajdywania dla tych zasad.

  • Skrypty odnajdywania są specyficzne dla różnych platform i są dostarczane do urządzeń w ramach zasad zgodności. Gdy urządzenie ocenia swoje zasady, skrypt wykrywa (odnajduje) ustawienia z pliku JSON, a następnie zgłasza wyniki do Intune. Urządzenia z systemem Windows używają skryptu programu PowerShell, a urządzenia z systemem Linux używają skryptu powłoki zgodnego ze standardem POSIX.

    Skrypty muszą zostać przekazane do centrum administracyjnego Microsoft Intune przed utworzeniem zasad zgodności. Skrypt jest wybierany podczas konfigurowania zasad do obsługi ustawień niestandardowych.

Po wdrożeniu niestandardowych ustawień zgodności i raportów urządzeń możesz wyświetlić wyniki wraz ze szczegółowymi informacjami dotyczącymi wbudowanego ustawienia zgodności w centrum administracyjnym Microsoft Intune. Niestandardowych ustawień zgodności można używać do podejmowania decyzji dotyczących dostępu warunkowego w taki sam sposób, jak wbudowane ustawienia zgodności. Razem tworzą złożony zestaw reguł, co ma jednakowy wpływ na stan zgodności urządzenia.

Wymagania wstępne

  • Microsoft Entra dołączonych urządzeń, w tym Microsoft Entra urządzeń przyłączonych hybrydowo.

    Microsoft Entra urządzenia przyłączone hybrydowo są urządzeniami przyłączonymi do Tożsamość Microsoft Entra, a także przyłączonymi do lokalna usługa Active Directory. Aby uzyskać więcej informacji, zobacz Planowanie implementacji przyłączania hybrydowego Microsoft Entra.

  • Microsoft Entra zarejestrowane/przyłączone do miejsca pracy (WPJ)

    Aby uzyskać informacje o urządzeniach zarejestrowanych w Tożsamość Microsoft Entra, zobacz Dołączanie do miejsca pracy jako bezproblemowe uwierzytelnianie dwuskładnikowe. Zazwyczaj są to urządzenia BYOD (Bring Your Own Device), które mają konto służbowe dodane za pośrednictwem ustawień>Konta>Dostęp do pracy lub szkoły.

    Na urządzeniach WPJ skrypty programu PowerShell kontekstu urządzenia działają, ale skrypty programu PowerShell kontekstu użytkownika są ignorowane.

  • Skrypt odnajdywania — program PowerShell dla systemu Windows lub skrypt powłoki zgodny ze standardem POSIX dla tworzonego systemu Linux. Skrypt jest uruchamiany na urządzeniu w celu odnalezienia ustawień niestandardowych zdefiniowanych w pliku JSON. Skrypt zwraca wartość konfiguracji tych ustawień do Intune. Przed utworzeniem zasad zgodności należy przekazać skrypt do centrum administracyjnego Microsoft Intune, a następnie wybrać skrypt, którego chcesz użyć podczas tworzenia zasad.

    Aby utworzyć niestandardowy skrypt zgodności, zobacz Niestandardowe skrypty odnajdywania zgodności dla Microsoft Intune.

  • Plik JSON — plik JSON definiuje ustawienia niestandardowe i wartość, która ma zostać uznana za zgodną i może zawierać komunikaty dla użytkowników dotyczące sposobu przywracania urządzenia do zgodności dla ustawienia. Aby uzyskać wskazówki dotyczące tworzenia kodu JSON na potrzeby zgodności niestandardowej, zobacz Niestandardowe pliki JSON zgodności.

Twórca zasad z niestandardowymi ustawieniami zgodności

Przed rozpoczęciem tworzenia zasad zawierających ustawienia niestandardowe zapoznaj się z wymaganiami wstępnymi.

Najpierw należy przekazać odpowiedni skrypt odnajdywania do Intune i mieć gotowy kod JSON do dodania podczas tworzenia zasad.

Gdy wszystko będzie gotowe, użyj normalnej procedury, aby utworzyć zasady zgodności, które zawierają instrukcje specyficzne dla platformy dotyczące dodawania ustawień niestandardowych do zasad. Ustawienia niestandardowe są dodawane na stronie Ustawienia konfiguracji, konfigurując opcję Zgodność niestandardowa.

Uwaga

Gdy urządzenie z systemem Windows otrzymuje zasady zgodności z ustawieniami niestandardowymi, sprawdza obecność rozszerzeń zarządzania Intune. Jeśli nie zostanie znalezione, na urządzeniu zostanie uruchomiona tożsamość zarządzana, która instaluje rozszerzenia, umożliwiając klientowi pobieranie i uruchamianie skryptów programu PowerShell, które są częścią zasad zgodności, oraz przekazywanie wyników zgodności. Akcje zarządzane przez usługi obejmują:

  • Sprawdzanie nowych lub zaktualizowanych skryptów programu PowerShell co osiem godzin.
  • Uruchamianie skryptów odnajdywania co osiem godzin.
  • Uruchamianie skryptów, które są pobierane, gdy użytkownik wybierze pozycję Sprawdź zgodność na urządzeniu. Jednak po uruchomieniu sprawdzania zgodności nie ma sprawdzania nowych ani zaktualizowanych skryptów.

Nie można wypychać powiadomień do urządzenia, aby umożliwić uruchamianie niestandardowej zgodności na żądanie.

Monitorowanie niestandardowych zasad zgodności

Użyj następujących metod, aby wyświetlić szczegóły dotyczące stanu zgodności urządzenia.

  • W przypadku urządzeń z systemem Linux i Windows można wyświetlić szczegóły zgodności poszczególnych ustawień dla niestandardowych ustawień zgodności w centrum administracyjnym Microsoft Intune.

    W centrum administracyjnym przejdź do pozycji Raporty>zgodności urządzeń, a następnie wybierz kartę Raporty . Wybierz kafelek dla niezgodnych urządzeń i ustawień, a następnie użyj menu rozwijanych, aby skonfigurować raport. Pamiętaj, aby wybrać platformę dla systemu operacyjnego, a następnie wybierz pozycję Generuj raport.

    Aby uzyskać więcej informacji, zobacz Monitorowanie zasad zgodności urządzeń Intune.

  • Na urządzeniu z systemem Linux możesz otworzyć aplikację Intune, aby wyświetlić stan urządzenia:

    • Zgodne — urządzenie jest zgodne z zasadami organizacji i powinno mieć dostęp do zasobów organizacji.
    • Sprawdzanie stanu — Intune obecnie ocenia zgodność urządzeń z zasadami organizacji.
    • Niezgodne — urządzenie nie spełnia wymagań dotyczących urządzeń i zabezpieczeń organizacji i może nie mieć dostępu do zasobów organizacji.

    Gdy stan urządzenia jest niezgodny, wybierz pozycję Wyświetl problemy , aby wyświetlić szczegółowe informacje o problemach, które należy rozwiązać, aby zapewnić zgodność tego urządzenia. Aby uzyskać informacje na temat rozwiązywania typowych problemów, zobacz Dodatkowe rozwiązywanie problemów z urządzeniami z systemem Linux w tym artykule.

Rozwiązywanie problemów ze zgodnością niestandardową dla urządzeń

Ustawienia niestandardowe nie są oceniane

Sprawdź raporty zgodności urządzeń, aby uzyskać następujące kody błędów i szczegółowe informacje na temat problemu:

  • 65007: Skrypt zwrócił błąd
  • 65008: Brak ustawienia w wyniku skryptu
  • 65009: Nieprawidłowy kod json dla odnalezionego ustawienia
  • 65010: Nieprawidłowy typ danych dla odnalezionego ustawienia

W systemie Windows można dodać następujący wiersz na końcu skryptu programu PowerShell, aby zwrócić błędy związane ze skryptem programu PowerShell, upewnij się, że następujący wiersz znajduje się na końcu pliku skryptu programu PowerShell: return $hash | ConvertTo-Json -Compress

Skrypty powłoki zgodne z programem PowerShell lub POSIX nie są widoczne do wybrania lub pozostają widoczne po usunięciu

Odśwież bieżący widok. Jeśli problem będzie się powtarzać, anuluj przepływ tworzenia zasad i zacznij od nowa.

Po rozwiązaniu problemu na urządzeniu kolejne synchronizacje nie identyfikują problemu jako rozwiązanego i zgodnego

Może upłynąć do ośmiu godzin, zanim stan niezgodny zostanie wyświetlony jako zgodny po zmianie urządzenia.

Czy użytkownik może ręcznie sprawdzić zgodność po rozwiązaniu problemu na urządzeniu, aby określić, czy problem został rozwiązany i zgodny?

  • W systemie Windows użytkownik może przejść do witryny internetowej Portal firmy i wyzwolić synchronizację w celu zaktualizowania stanu urządzenia po naprawieniu niezgodnego ustawienia zgodności niestandardowej.

  • W systemie Linux użytkownik może otworzyć aplikację Microsoft Intune i wybrać pozycję Odśwież na stronie szczegółów urządzenia lub na stronie problemów ze zgodnością, aby rozpocząć nowe ewidencjonowanie przy użyciu Intune.

Dlaczego nie jest obsługiwanych więcej operatorów i operandów?

Skontaktuj się z menedżerem konta, aby poprosić o dodanie określonych operatorów i operandów. Następnie można je rozważyć w celu przyszłej aktualizacji.

Dlaczego nie można zastosować wielu skryptów odnajdywania do jednej niestandardowej zasady zgodności?

Zasady obsługują używanie pojedynczego skryptu. Jednak każdy skrypt obsługuje sprawdzanie pod kątem wielu wartości zgodności.

Dodatkowe rozwiązywanie problemów dotyczących urządzeń z systemem Linux

Aby zidentyfikować ustawienia, które nie są zgodne dla urządzenia:

  • W centrum administracyjnym Microsoft Intune można zidentyfikować urządzenia, które nie są zgodne z zasadami. Przejdź do pozycji Raporty>zgodność urządzeń, wybierz kartę Raporty , a następnie wybierz kafelek dla niezgodnych urządzeń i ustawień. Użyj list rozwijanych, aby skonfigurować odpowiedni raport, a następnie wybierz pozycję Generuj raport.

Centrum administracyjne wyświetla osobny wiersz dla każdego ustawienia, które nie jest zgodne na urządzeniu.

  • Na urządzeniu z systemem Linux otwórz aplikację Microsoft Intune i wyświetl stronę Aktualizowanie ustawień urządzenia.

W poniższych sekcjach omówiono typowe problemy i rozwiązania problemów, które mogą napotkać użytkownicy urządzeń z systemem Linux.

Dystrybucja i wersja systemu operacyjnego

Użytkownicy urządzenia, które nie spełniają wymagań dotyczących zgodności dla dystrybucji systemu Linux lub wersji systemu operacyjnego, mogą otrzymać komunikat wskazujący na konieczność uaktualnienia lub obniżenia poziomu systemu operacyjnego tych urządzeń.

Aby zapewnić zgodność z ustawieniem Dozwolone dystrybucje , urządzenia dystrybucja i wersja systemu Linux muszą spełniać minimalne, maksymalne i wymagania dotyczące typu. W razie potrzeby zainstaluj inną wersję lub dystrybucję systemu Linux, aby zapewnić zgodność urządzenia.

Złożoność hasła

Użytkownicy urządzenia, które nie spełniają wymagań dotyczących zgodności z wymaganiami dotyczącymi złożoności hasła, mogą otrzymać komunikat wskazujący, że muszą używać silnego hasła.

Aby zapewnić zgodność z ustawieniami zasad haseł , skonfiguruj system Linux tak, aby używał haseł spełniających te wymagania. Typowe wymagania organizacji obejmują:

  • Hasła, które zawierają minimalną liczbę liter, cyfr lub znaków specjalnych
  • Hasła o minimalnej długości

Szyfrowanie urządzenia

Użytkownicy urządzenia, które nie spełniają wymagań dotyczących zgodności szyfrowania dysków i partycji, mogą otrzymać komunikat o konieczności zaszyfrowania dysków urządzeń.

Aby było zgodne z ustawieniem Wymagaj szyfrowania urządzenia , szyfrowanie na poziomie urządzenia jest wymagane dla zapisywalnych dysków stałych na urządzeniu z systemem Linux.

Istnieje kilka opcji szyfrowania dysków i partycji w systemach operacyjnych Linux. Intune rozpoznaje każdy system szyfrowania, który używa bazowego podsystemu dm-crypt. Ten podsystem jest wieloletnim standardem w systemach Linux. Preferowaną metodą konfigurowania funkcji dm-crypt jest użycie formatu LUKS z narzędziem do szyfrowania .

Poniższa lista zawiera ogólne wskazówki dotyczące szyfrowania dysków i partycji:

  • Szyfrowanie woluminów systemu Linux po instalacji jest możliwe, ale potencjalnie czasochłonne. Zalecamy skonfigurowanie szyfrowania dysku podczas instalowania systemu operacyjnego.
  • Nie wszystkie partycje systemu plików muszą być szyfrowane, aby urządzenie spełniało standardy organizacji. Wbudowane ustawienia szyfrowania urządzeń nie oceniają następujących elementów:
    • Partycje tylko do odczytu
    • Pseudo-systemy plików, takie jak /proc lub tmpfs
    • Partycje /boot lub /boot/efi

Odśwież stan zgodności na urządzeniach z systemem Linux

Po wprowadzeniu zmian w urządzeniu w celu zapewnienia zgodności odśwież stan urządzenia przy użyciu Intune:

  • Jeśli aplikacja Microsoft Intune jest nadal uruchomiona, wybierz pozycję Odśwież na stronie szczegółów urządzenia lub na stronie problemy ze zgodnością, aby rozpocząć nowe ewidencjonowanie przy użyciu Intune.
  • Jeśli aplikacja Microsoft Intune nie jest uruchomiona, zaloguj się do aplikacji, aby rozpocząć nowe ewidencjonowanie.
  • Po zakończeniu instalacji aplikacja Microsoft Intune okresowo sprawdza się przy użyciu Intune samodzielnie, o ile urządzenie jest włączone, a użytkownik jest do niego zalogowany.

Następne kroki