Använd anpassade efterlevnadsprinciper och inställningar för Linux- och Windows-enheter med Microsoft Intune

  • Artikel

Utöka intunes inbyggda alternativ för enhetsefterlevnad och använd principer för anpassade kompatibilitetsinställningar för hanterade Linux- och Windows-enheter. Anpassade inställningar ger flexibilitet att basera kompatibiliteten på de inställningar som är tillgängliga på en enhet utan att behöva vänta tills Intune har lagt till de här inställningarna.

Den här funktionen gäller för:

  • Linux – Ubuntu Desktop, version 20.04 LTS och 22.04 LTS
  • Windows 10/11

Innan du kan lägga till anpassade inställningar i en princip måste du förbereda en JSON-fil och ett identifieringsskript för användning med varje plattform som stöds. Både skriptet och JSON blir en del av efterlevnadsprincipen. Varje efterlevnadsprincip stöder ett enda skript och varje skript kan identifiera flera inställningar:

  • JSON-filen definierar de anpassade inställningarna och de värden som anses vara kompatibla. Du kan också konfigurera meddelanden för användare så att de får information om hur de återställer kompatibiliteten för varje inställning. Du lägger till JSON-filen när du skapar en efterlevnadsprincip, precis efter att du har valt ett identifieringsskript för den principen.

  • Skript är specifika för olika plattformar och levereras till enheter via efterlevnadsprincipen. När principen utvärderas identifierar skriptet inställningarna från JSON-filen och rapporterar sedan resultatet till Intune. Windows använder ett PowerShell-skript och Linux använder ett POSIX-kompatibelt gränssnittsskript.

    Skripten måste laddas upp till Microsoft Intune administrationscenter innan du skapar en efterlevnadsprincip. Du väljer skriptet när du konfigurerar en princip för att stödja anpassade inställningar.

När du har distribuerat anpassade kompatibilitetsinställningar och enheter har rapporterat tillbaka kan du visa resultaten tillsammans med den inbyggda efterlevnadsinställningsinformationen i Microsoft Intune administrationscenter. Anpassade kompatibilitetsinställningar kan användas för beslut om villkorsstyrd åtkomst, på samma sätt som inbyggda kompatibilitetsinställningar. Tillsammans bildar de en sammansatt regeluppsättning som på samma sätt påverkar enhetens efterlevnadstillstånd.

Förutsättningar

  • Microsoft Entra anslutna enheter, inklusive Microsoft Entra hybrid-anslutna enheter.

    Microsoft Entra hybrid-anslutna enheter är enheter som är anslutna till Microsoft Entra ID och även anslutna till lokal Active Directory. Mer information finns i Planera din Microsoft Entra hybridanslutningsimplementering.

  • Microsoft Entra registrerad/arbetsplatskopplad (WPJ)

    Enheter som är registrerade i Microsoft Entra ID finns i Workplace Join as a seamless second factor authentication (Arbetsplatsanslutning som en sömlös andra faktorsautentisering) för mer information. Vanligtvis är dessa BYOD-enheter (Bring Your Own Device) som har lagts till ett arbets- eller skolkonto via inställningskonton>>Åtkomst till arbete eller skola.

    PowerShell-skript för enhetskontext fungerar på WPJ-enheter, men PowerShell-skript för användarkontext ignoreras.

  • Identifieringsskript – Ett PowerShell för Windows eller ett POSIX-kompatibelt gränssnittsskript för Linux som du skapar. Skriptet körs på en enhet för att identifiera de anpassade inställningar som definierats i JSON-filen. Skriptet returnerar konfigurationsvärdet för dessa inställningar till Intune. Du måste ladda upp skriptet till Microsoft Intune administrationscenter innan du skapar en efterlevnadsprincip och sedan välja det skript som du vill använda när du skapar en princip.

    Information om hur du skapar ett anpassat efterlevnadsskript finns i Anpassade skript för efterlevnadsidentifiering för Microsoft Intune.

  • JSON-fil – JSON-filen definierar de anpassade inställningarna och det värde som ska betraktas som kompatibelt och kan innehålla meddelanden för användare om hur de återställer enheten till kompatibilitet för inställningen. Vägledning om hur du skapar en JSON för anpassad efterlevnad finns i JSON-filer för anpassad efterlevnad.

Skapa en princip med anpassade kompatibilitetsinställningar

Granska förutsättningarna innan du börjar skapa en princip som ska innehålla anpassade inställningar.

Du måste först ladda upp ett tillämpligt identifieringsskript till Intune och ha en redo JSON att lägga till när du skapar principen.

När du är klar använder du den normala proceduren för att skapa en efterlevnadsprincip, som innehåller plattformsspecifika instruktioner för att lägga till anpassade inställningar i principen. Anpassade inställningar läggs till på sidan Konfigurationsinställningar genom att alternativet för Anpassad efterlevnad konfigureras.

Obs!

När en Windows-enhet tar emot en efterlevnadsprincip med anpassade inställningar söker den efter förekomst av Intune-hanteringstillägg. Om den inte hittas kör enheten en MSI som installerar tilläggen, vilket gör att klienten kan ladda ned och köra PowerShell-skript som ingår i en efterlevnadsprincip och ladda upp kompatibilitetsresultat. Åtgärder som hanteras av tjänsterna omfattar:

  • Söker efter nya eller uppdaterade PowerShell-skript var åttonde timme.
  • Köra identifieringsskripten var åttonde timme.
  • Köra skript som laddas ned när en användare väljer Kontrollera efterlevnad på enheten. Det finns dock ingen kontroll av nya eller uppdaterade skript när Kontrollera efterlevnad körs.

Det går inte att skicka push-meddelanden till en enhet så att anpassad efterlevnad kan köras på begäran.

Övervaka anpassad efterlevnadsprincip

Använd följande metoder för att visa information om en enhets efterlevnadsstatus.

  • För både Linux- och Windows-enheter kan du visa information om enhetsefterlevnad per inställning för anpassade kompatibilitetsinställningar i Microsoft Intune administrationscenter.

    I administrationscentret går du till Rapporter>Enhetsefterlevnad och väljer sedan fliken Rapporter . Välj panelen för Inkompatibla enheter och inställningar och använd sedan listrutorna för att konfigurera rapporten. Se till att välja en plattform för operativsystemet och välj sedan Generera rapport.

    Mer information finns i Övervaka efterlevnadsprinciper för Intune-enheter.

  • På en Linux-enhet kan du öppna Intune-appen för att visa enhetens status:

    • Kompatibel – Enheten är kompatibel med organisationens principer och bör kunna komma åt organisationens resurser.
    • Kontrollera status – Intune utvärderar för närvarande enheternas efterlevnad av organisationens principer.
    • Inte kompatibel – Enheten uppfyller inte organisationens enhets- och säkerhetskrav och kanske inte har åtkomst till organisationens resurser.

    När enhetsstatusen är Inte kompatibel väljer du Visa problem för att se information om problem som måste åtgärdas för att enheten ska bli kompatibel. Information om hur du löser vanliga problem finns i Ytterligare felsökning för Linux-enheter.

Felsöka anpassad efterlevnad för enheter

Anpassade inställningar utvärderas inte

I rapporterna om enhetsefterlevnad finns följande felkoder och information om problemet:

  • 65007: Skriptet returnerade fel
  • 65008: Inställningen saknas i skriptresultatet
  • 65009: Ogiltig json för den identifierade inställningen
  • 65010: Ogiltig datatyp för den identifierade inställningen

I Windows kan du lägga till följande rad i slutet av PowerShell-skriptet för att returnera fel relaterade till PowerShell-skriptet. Kontrollera att följande rad är i slutet av PowerShell-skriptfilen: return $hash | ConvertTo-Json -Compress

PowerShell- eller POSIX-kompatibla gränssnittsskript är inte synliga att välja eller förblir synliga när de har tagits bort

Uppdatera den aktuella vyn. Om problemet kvarstår avbryter du flödet för att skapa principer och startar om.

När ett problem på en enhet har åtgärdats identifierar inte efterföljande synkroniseringar problemet som löst och kompatibelt

Det kan ta upp till åtta timmar innan en inkompatibel status visas som kompatibel efter en ändring av enheten.

Kan en användare manuellt söka efter efterlevnad efter att ha åtgärdat ett problem på en enhet för att identifiera om problemet är löst och kompatibelt?

  • I Windows kan en användare gå till Företagsportal webbplats och utlösa en synkronisering för att uppdatera enhetens status efter att ha korrigerat en icke-kompatibel anpassad kompatibilitetsinställning.

  • I Linux kan en användare öppna Microsoft Intune-appen och välja Uppdatera på sidan med enhetsinformation eller sidan med efterlevnadsproblem för att starta en ny incheckning med Intune.

Varför stöds inte fler operatorer och operander?

Kontakta din kontoansvarige för att begära tillägg av specifika operatorer och operander. De kan sedan övervägas för en framtida uppdatering.

Varför kan jag inte tillämpa flera identifieringsskript på en anpassad efterlevnadsprincip?

Principer stöder användning av ett enda skript. Varje skript stöder dock kontroll av flera efterlevnadsvärden.

Ytterligare felsökning för Linux-enheter

Så här identifierar du inställningar som inte är kompatibla för en enhet:

  • I Microsoft Intune administrationscenter kan du identifiera enheter som inte är kompatibla med principen. Gå till Rapporter>Enhetsefterlevnad, välj fliken Rapporter och välj sedan panelen för inkompatibla enheter och inställningar. Använd listrutorna för att konfigurera önskad rapport och välj sedan Generera rapport.

Administrationscentret visar en separat rad för varje inställning som inte är kompatibel på en enhet.

  • Öppna appen Microsoft Intune på Linux-enheten och visa sidan Uppdatera enhetsinställningar.

I följande avsnitt beskrivs vanliga problem och lösningar på problem som användare av Linux-enheter kan stöta på.

Distribution av operativsystem och version av operativsystemet

Användare av enheter som inte uppfyller enhetsefterlevnadskonfigurationen för Linux-distribution eller operativsystemversioner kan få ett meddelande som anger behovet av att uppgradera eller nedgradera enhetens operativsystem.

För att vara kompatibla med inställningen Tillåtna distributioner måste enheternas Linux-distribution och -version uppfylla minimikraven, maxkraven och typkraven. Om det behövs installerar du en annan version eller distribution av Linux för att göra enheten kompatibel.

Lösenordskomplexitet

Användare av enheter som inte uppfyller enhetsefterlevnadskonfigurationen för krav på lösenordskomplexitet kan få ett meddelande som anger att de måste använda ett starkt lösenord.

Om du vill vara kompatibel med inställningarna för lösenordsprinciper konfigurerar du Linux-systemet så att det använder lösenord som uppfyller dessa krav. Vanliga organisationskrav är:

  • Lösenord som innehåller ett minsta antal bokstäver, siffror eller specialtecken
  • Lösenord med en minsta längd

Enhetskryptering

Användare av enheter som inte uppfyller kompatibilitetsinställningarna för disk- och partitionskryptering kan få ett meddelande om att de måste kryptera enhetsenheterna.

För att vara kompatibel med inställningen Kräv enhetskryptering krävs kryptering på enhetsnivå för skrivbara fasta diskar på Linux-enheten.

Det finns flera alternativ för disk- och partitionskryptering på Linux-operativsystem. Intune känner igen alla krypteringssystem som använder det underliggande dm-crypt-undersystemet. Det här undersystemet har varit standard på Linux-system under en tid. Den bästa metoden för att konfigurera dm-crypt är att använda LUKS-formatet med cryptsetup-verktyget.

Följande är allmän vägledning vid kryptering av diskar och partitioner:

  • Det är möjligt att kryptera Linux-systemvolymer efter installationen, men potentiellt tidskrävande. Vi rekommenderar att du konfigurerar diskkryptering när du installerar operativsystemet.
  • Alla filsystempartitioner behöver inte krypteras för att en enhet ska uppfylla organisationens standarder. Följande utvärderas inte av de inbyggda inställningarna för enhetskryptering:
    • Skrivskyddade partitioner
    • Pseudofilsystem som /proc eller tmpfs
    • Partitionerna /boot eller /boot/efi

Uppdatera din efterlevnadsstatus på Linux-enheter

När du har gjort ändringar i en enhet för att göra den kompatibel uppdaterar du enhetsstatusen med Intune:

  • Om Microsoft Intune appen fortfarande körs väljer du Uppdatera på sidan med enhetsinformation eller på sidan med efterlevnadsproblem för att starta en ny incheckning med Intune.
  • Om Microsoft Intune inte körs loggar du in på appen, vilket startar en ny incheckning.
  • Efter installationen checkar Microsoft Intune app regelbundet in med Intune på egen hand, så länge enheten är på och en användare är inloggad på den.

Nästa steg