Use políticas e configurações de conformidade personalizadas para dispositivos Linux e Windows com Microsoft Intune

  • Artigo

Expandindo as opções internas de conformidade de dispositivo do Intune, use políticas para configurações de conformidade personalizadas para dispositivos Linux e Windows gerenciados. As configurações personalizadas fornecem flexibilidade para basear a conformidade nas configurações disponíveis em um dispositivo sem precisar esperar que o Intune adicione essas configurações.

Esse recurso aplica-se a:

  • Linux – Ubuntu Desktop, versão 20.04 LTS e 22.04 LTS
  • Windows 10/11

Antes de adicionar configurações personalizadas a uma política, você precisará preparar um arquivo JSON e um script de detecção para uso com cada plataforma com suporte. O script e o JSON tornam-se parte da política de conformidade. Cada política de conformidade dá suporte a um único script e cada script pode detectar várias configurações:

  • O arquivo JSON define as configurações personalizadas e os valores considerados em conformidade. Você também pode configurar mensagens para os usuários informarem como restaurar a conformidade de cada configuração. Você adiciona seu arquivo JSON ao criar uma política de conformidade, logo após selecionar um script de descoberta para essa política.

  • Os scripts são específicos para diferentes plataformas e entregues a dispositivos por meio da política de conformidade. Quando a política é avaliada, o script detecta as configurações do arquivo JSON e, em seguida, relata os resultados ao Intune. O Windows usa um script do PowerShell e o Linux usa um script shell compatível com POSIX.

    Os scripts devem ser carregados no centro de administração Microsoft Intune antes de criar uma política de conformidade. Selecione o script ao configurar uma política para dar suporte a configurações personalizadas.

Depois de implantar configurações de conformidade personalizadas e dispositivos terem relatado novamente, você poderá exibir os resultados juntamente com os detalhes de configuração de conformidade interna no centro de administração Microsoft Intune. As configurações de conformidade personalizadas podem ser usadas para decisões de acesso condicional, da mesma forma que as configurações de conformidade internas. Juntos, eles formam um conjunto de regras compostas, afetando igualmente o estado de conformidade do dispositivo.

Pré-requisitos

  • Microsoft Entra dispositivos ingressados, incluindo Microsoft Entra dispositivos híbridos ingressados.

    Microsoft Entra dispositivos híbridos ingressados são dispositivos que são unidos ao Microsoft Entra ID e também unidos ao Active Directory local. Para obter mais informações, consulte Planejar sua Microsoft Entra implementação de junção híbrida.

  • Microsoft Entra ingressado/Local de Trabalho (WPJ)

    Dispositivos registrados em Microsoft Entra ID, consulte Ingresso no Local de Trabalho como uma autenticação de segundo fator perfeita para obter mais informações. Normalmente, estes são dispositivos BYOD (Bring Your Own Device) que tiveram uma conta corporativa ou escolar adicionada por meio do trabalho ou da escola do Acesso de Contas>de Configurações>.

    Em dispositivos WPJ, o contexto do dispositivo os scripts do PowerShell funcionam, mas os scripts do PowerShell de contexto do usuário são ignorados.

  • Script de descoberta – Um PowerShell para Windows ou um script shell compatível com POSIX para Linux que você cria. O script é executado em um dispositivo para descobrir as configurações personalizadas definidas em seu arquivo JSON. O script retorna o valor de configuração dessas configurações para o Intune. Você precisa carregar seu script no centro de administração Microsoft Intune antes de criar uma política de conformidade e selecionar o script que deseja usar ao criar uma política.

    Para criar um script de conformidade personalizado, consulte Scripts de descoberta de conformidade personalizados para Microsoft Intune.

  • Arquivo JSON – O arquivo JSON define as configurações personalizadas e o valor que deve ser considerado como compatível e pode conter mensagens para os usuários sobre como restaurar o dispositivo para conformidade com a configuração. Para obter diretrizes sobre como criar um JSON para conformidade personalizada, consulte Arquivos JSON de conformidade personalizados.

Criar uma política com configurações de conformidade personalizadas

Antes de começar a criar uma política que inclua configurações personalizadas, examine os pré-requisitos.

Primeiro, você deve carregar um script de descoberta aplicável no Intune e ter um JSON pronto para adicionar durante a criação da política.

Quando estiver pronto, use o procedimento normal para criar uma política de conformidade, que inclui instruções específicas da plataforma para adicionar configurações personalizadas à política. As configurações personalizadas são adicionadas durante a página Configuração configurando a opção de Conformidade Personalizada.

Observação

Quando um dispositivo Windows recebe uma política de conformidade com configurações personalizadas, ele verifica a presença de Extensões de Gerenciamento do Intune. Se não for encontrado, o dispositivo executará um MSI que instala as extensões, permitindo que o cliente baixe e execute scripts do PowerShell que fazem parte de uma política de conformidade e carregue os resultados de conformidade. As ações gerenciadas pelos serviços incluem:

  • Verificando se há scripts novos ou atualizados do PowerShell a cada oito horas.
  • Executando os scripts de descoberta a cada oito horas.
  • Executando scripts que baixam quando um usuário seleciona Verificar Conformidade no dispositivo. No entanto, não há marcar para scripts novos ou atualizados quando a Conformidade de Verificação é executada.

Não é possível enviar notificações por push para um dispositivo para permitir que a conformidade personalizada seja executada sob demanda.

Monitorar a política de conformidade personalizada

Use os métodos a seguir para exibir detalhes sobre o status de conformidade de um dispositivo.

  • Para dispositivos Linux e Windows, você pode exibir detalhes de conformidade do dispositivo por configuração para configurações de conformidade personalizadas no centro de administração do Microsoft Intune.

    No centro de administração, acesse Relatórios>Conformidade do dispositivo e selecione a guia Relatórios . Selecione o bloco para dispositivos e configurações não compatíveis e use os menus suspensos para configurar o relatório. Selecione uma plataforma para o sistema operacional e selecione Gerar relatório.

    Para obter mais informações, consulte Monitorar políticas de conformidade do dispositivo do Intune.

  • Em um dispositivo Linux, você pode abrir o aplicativo do Intune para exibir o status do dispositivo:

    • Compatível – seu dispositivo está em conformidade com as políticas da sua organização e deve ser capaz de acessar recursos organizacionais.
    • Verificando status – No momento, o Intune está avaliando a conformidade dos dispositivos com as políticas da sua organização.
    • Não está em conformidade – o dispositivo não atende aos requisitos de segurança e dispositivo da sua organização e pode não ter acesso aos recursos da sua organização.

    Quando o dispositivo status não estiver em conformidade, selecione Exibir problemas para ver detalhes sobre problemas que devem ser resolvidos para colocar esse dispositivo em conformidade. Para obter informações sobre como resolver problemas comuns, consulte Solução de problemas adicionais para dispositivos Linux.

Solucionar problemas de conformidade personalizada para dispositivos

As configurações personalizadas não são avaliadas

Verifique os relatórios de conformidade do dispositivo para obter os seguintes códigos de erro e informações sobre o problema:

  • 65007: Falha retornada pelo script
  • 65008: Configuração ausente no resultado do script
  • 65009: json inválido para a configuração descoberta
  • 65010: Tipo de dados inválido para a configuração descoberta

No Windows, você pode adicionar a seguinte linha no final do script do PowerShell para retornar erros relacionados ao script do PowerShell, verifique se a seguinte linha está no final do arquivo de script do PowerShell: return $hash | ConvertTo-Json -Compress

Scripts de shell compatíveis com o PowerShell ou POSIX não estão visíveis para selecionar ou permanecem visíveis após serem excluídos

Atualize a exibição atual. Se o problema persistir, cancele o fluxo de criação da política e comece novamente.

Depois que um problema em um dispositivo é corrigido, as sincronizações subsequentes não identificam o problema como resolvido e em conformidade

Pode levar até oito horas até que um status não compatível seja mostrado como compatível após uma alteração no dispositivo.

Um usuário pode marcar manualmente para conformidade depois de corrigir um problema em um dispositivo para identificar se o problema está resolvido e em conformidade?

  • No Windows, um usuário pode acessar o site Portal da Empresa e disparar uma sincronização para atualizar o dispositivo status depois de corrigir uma configuração de conformidade personalizada não compatível.

  • No Linux, um usuário pode abrir o aplicativo Microsoft Intune e selecionar Atualizar na página de detalhes do dispositivo ou na página de problemas de conformidade para iniciar um novo marcar com o Intune.

Por que não há mais operadores e operandos com suporte?

Entre em contato com o gerenciador de contas para solicitar a adição de operadores e operandos específicos. Em seguida, eles podem ser considerados para uma atualização futura.

Por que não posso aplicar vários scripts de descoberta a uma política de conformidade personalizada?

As políticas dão suporte ao uso de um único script. No entanto, cada script dá suporte à verificação de vários valores de conformidade.

Solução de problemas adicionais para dispositivos Linux

Para identificar configurações que não estão em conformidade com um dispositivo:

  • No centro de administração Microsoft Intune, você pode identificar dispositivos que não estão em conformidade com a política. Acesse Relatórios>Conformidade do dispositivo, selecione a guia Relatórios e selecione o bloco para dispositivos e configurações não compatíveis. Use as listas suspensas para configurar o relatório desejado e selecione Gerar relatório.

O centro de administração exibe uma linha separada para cada configuração que não está em conformidade com um dispositivo.

  • No dispositivo Linux, abra o aplicativo Microsoft Intune e exiba a página Atualizar configurações do dispositivo.

As seções a seguir discutem problemas comuns e resoluções para problemas que os usuários de dispositivos Linux podem encontrar.

Distro e versão do sistema operacional

Usuários de dispositivos que não atendem à configuração de conformidade do dispositivo para versões do sistema operacional ou distribuição do Linux podem receber uma mensagem que indica a necessidade de atualizar ou fazer downgrade do sistema operacional do dispositivo.

Para estar em conformidade com a configuração Destros Permitidos , a distribuição e a versão do Linux devem atender aos requisitos mínimos, máximos e de tipo. Se necessário, instale uma versão ou distribuição diferente do Linux para colocar o dispositivo em conformidade.

Complexidade de senha

Usuários de dispositivos que não atendem à configuração de conformidade do dispositivo para requisitos de complexidade de senha podem receber uma mensagem que indica que devem usar uma senha forte.

Para estar em conformidade com as configurações da Política de Senha , configure o sistema Linux para usar senhas que atendam a esses requisitos. Os requisitos comuns da organização incluem:

  • Senhas que incluem um número mínimo de letras, dígitos ou caracteres especiais
  • Senhas de um comprimento mínimo

Criptografia de dispositivo

Usuários de dispositivos que não atendem às configurações de conformidade para criptografia de disco e partição podem receber uma mensagem de que devem criptografar as unidades do dispositivo.

Para estar em conformidade com a configuração Exigir Criptografia de Dispositivo , a criptografia no nível do dispositivo é necessária para discos fixos graváveis no dispositivo Linux.

Há várias opções para criptografia de disco e partição em sistemas operacionais Linux. O Intune reconhece qualquer sistema de criptografia que use o subsistema dm-crypt subjacente. Esse subsistema tem sido padrão em sistemas Linux há algum tempo. O método preferencial de configuração de dm-crypt é usar o formato LUKS com a ferramenta cryptsetup.

A seguir, as diretrizes gerais ao criptografar disco e partições:

  • Criptografar volumes do sistema Linux após a instalação é possível, mas potencialmente demorado. Recomendamos configurar a criptografia de disco durante a instalação do sistema operacional.
  • Nem todas as partições do sistema de arquivos precisam ser criptografadas para que um dispositivo atenda aos padrões organizacionais. Os seguintes não são avaliados pelas configurações internas de criptografia de dispositivo:
    • Partições somente leitura
    • Pseudo-filesystems, como /proc ou tmpfs
    • As /boot partições ou /boot/efi

Atualizar seu status de conformidade em dispositivos Linux

Depois de fazer alterações em um dispositivo para colocá-lo em conformidade, atualize o dispositivo status com o Intune:

  • Se o aplicativo Microsoft Intune ainda estiver em execução, selecione Atualizar na página de detalhes do dispositivo ou na página de problemas de conformidade para iniciar um novo marcar com o Intune.
  • Se o aplicativo Microsoft Intune não estiver em execução, entre no aplicativo, que iniciará um novo marcar-in.
  • Após a instalação, o aplicativo Microsoft Intune faz check-in periodicamente com o Intune por conta própria, desde que o dispositivo esteja ativado e um usuário entre nele.

Próximas etapas