Intune中 Linux 的设备符合性设置

本文列出并介绍了可以在 Microsoft Intune 中为 Linux 设备配置的不同符合性设置。

对于 Linux，可以从 设置目录 获取符合性设置，而不是从其他平台看到的预先确定的模板中获取。 因此，在为 Linux 配置符合性策略时，可以通过浏览目录并选择这些设置来选择要包含在策略中的设置。

除了特定于平台的合规性策略外，设备还受租户范围的合规性策略设置的约束。 若要在租户中管理租户范围的合规性策略设置，请登录到 Microsoft Intune 管理中心，然后转到“终结点安全>设备符合性>策略设置”。

若要详细了解合规性策略及其用途，请参阅 设备合规性入门。

此功能适用于：

• Linux

Linux 设置类别

适用于 Linux 的符合性策略可以包括以下类别中的设置。 在适用的情况下，提供了有关配置设置的指导。

允许的分发

添加为 Linux 分发类型定义最大和最低 OS 版本的条目。

不符合定义条件的设备的用户需要安装不同版本的 Linux 或发行版，以使设备符合性。

自定义合规性

使用适用于 Linux 的自定义符合性设置时，请添加此类别中的设置。

有关自定义合规性的可用设置及其使用方式的信息，请参阅使用适用于 Linux 和 Windows 设备的自定义符合性策略和设置和Microsoft Intune。

设备加密

添加设置以管理磁盘加密。

• 需要设备加密 - 指定此计算机上的可写固定磁盘是否需要设备级加密。

  未加密设备的用户会收到一条消息，指出他们必须加密驱动器才能使设备符合性。

  Linux 操作系统上有多个磁盘和分区加密选项。 目前，Intune识别使用基础 dm-crypt 子系统的任何加密系统，该子系统在 Linux 系统上一段时间以来一直处于标准状态。

  设置 dm-crypt 的首选方法是将 LUKS 格式与 cryptsetup 工具配合使用。

  配置加密时，请记住以下事项：

  • 可以在安装后加密 Linux 系统卷，但可能非常耗时。 Microsoft 建议在安装操作系统时设置磁盘加密。
  • 并非所有文件系统分区都需要加密才能满足组织标准。 忽略以下事项：
    • 只读分区
    • 伪文件系统（如 /proc 或 tmpfs）
    • /boot 或 /boot/efi 分区

密码策略

对 Linux 设备强制实施常见密码要求：

• 最小小写字母 - 指定密码必须包含的小写字母的最小数目。
• 最小大写字母 - 指定密码必须包含的大写字母的最小数目。
• 最小符号 - 指定密码必须包含的最小符号数。
• 最小长度 - 指定密码必须包含的最小总字符数。
• 最小位数 - 指定密码必须包含的最小位数。

不符合密码复杂性要求的用户可能会收到一条消息，指出他们必须使用强密码才能使设备符合要求。

刷新符合性状态

如果必须修改设备的配置，请在进行更改后使用以下方法之一使用 Intune 刷新设备符合性状态：

• 如果Microsoft Intune应用仍在运行，请在“应用设备详细信息”页或“合规性问题”页上选择“刷新”链接。 设备启动新的检查。

• 如果Microsoft Intune应用未运行，请启动应用并登录。 登录将启动新的检查。

• 默认情况下，Microsoft Intune应用在计算机处于打开和登录状态时定期使用后台任务进行签入。

后续步骤

• 为不符合要求的设备添加操作，并使用范围标记筛选策略。
• 监视合规性策略。