Intune での Linux のデバイス コンプライアンス設定

この記事では、Microsoft Intune で Linux デバイス用に構成できるさまざまなコンプライアンス設定の一覧と説明を示します。

Linux の場合、コンプライアンス設定は、他のプラットフォームで見られるように、事前に定義されたテンプレートではなく 、設定カタログ から使用できます。 そのため、Linux のコンプライアンス ポリシーを構成する場合は、カタログを参照して選択することで、ポリシーに含める設定を選択します。

デバイスは、プラットフォーム固有のコンプライアンス ポリシーに加えて、テナント全体のコンプライアンス ポリシー設定によって管理されます。 テナント内のテナント全体のコンプライアンス ポリシー設定を管理するには、Microsoft Intune 管理センターにサインインし、[ エンドポイント セキュリティ>Device compliance>Compliance ポリシー設定] に移動します。

コンプライアンス ポリシーとその機能の詳細については、「 デバイス コンプライアンスの概要」を参照してください。

この機能は、以下に適用されます。

  • Ubuntu Desktop 22.04 または 20.04 LTS (x86/64 CPU を搭載した物理または Hyper-V マシン)
  • RedHat Enterprise Linux 8
  • RedHat Enterprise Linux 9

Linux 設定カテゴリ

Linux のコンプライアンス ポリシーには、次のカテゴリの設定を含めることができます。 該当する場合は、設定の構成に関するガイダンスが提供されます。

許可されるディストリビューション

Linux ディストリビューションの種類の OS の最大バージョンと最小バージョンを定義するエントリを追加します。

定義された条件を満たさないデバイスのユーザーは、デバイスをコンプライアンスに準拠させるために、別のバージョンまたは Linux のディストリビューションをインストールする必要があります。

カスタム コンプライアンス

Linux のカスタム コンプライアンス設定を使用する場合は、このカテゴリの設定を追加します。

カスタム コンプライアンスに使用できる設定とその使用方法については、「 Microsoft Intune で Linux および Windows デバイスのカスタム コンプライアンス ポリシーと設定を使用する」を参照してください。

デバイスの暗号化

ディスク暗号化を管理するための設定を追加します。

  • [デバイス暗号化が必要 ] – このコンピューター上の書き込み可能な固定ディスクにデバイス レベルの暗号化が必要かどうかを指定します。

    暗号化されていないデバイスのユーザーは、デバイスをコンプライアンスに移行するためにドライブを暗号化する必要があることを示すメッセージを受け取ります。

    Linux オペレーティング システムのディスクとパーティションの暗号化には、いくつかのオプションがあります。 現時点では、Intune は、Linux システムでしばらくの間標準であった基になる dm-crypt サブシステムを使用する暗号化システムを認識します。

    dm-crypt を設定する推奨される方法は、 cryptsetup ツールで LUKS 形式を使用することです。

    暗号化を構成するときは、次の点に注意してください。

    • インストール後の Linux システム ボリュームの暗号化は可能ですが、非常に時間がかかる可能性があります。 Microsoft では、オペレーティング システムのインストール中にディスク暗号化を設定することをお勧めします。
    • 組織の標準を満たすために、すべてのファイルシステム パーティションを暗号化する必要はありません。 次は無視されます。
      • 読み取り専用パーティション
      • /proctmpfs などの擬似ファイルシステム
      • /boot または /boot/efi パーティション

パスワード ポリシー

Linux デバイスに一般的なパスワード要件を適用します。

  • 最小小文字 - パスワードに含める必要がある小文字の最小文字数を指定します。
  • 最小大文字 - パスワードに含める必要がある大文字の最小数を指定します。
  • 最小シンボル - パスワードに含める必要があるシンボルの最小数を指定します。
  • 最小長 - パスワードに含める必要がある文字数の最小文字数を指定します。
  • 最小桁数 - パスワードに含める必要がある最小桁数を指定します。

パスワードの複雑さの要件を満たさなかったユーザーは、デバイスをコンプライアンスに移行するために強力なパスワードを使用する必要があることを示すメッセージを受け取ることができます。

コンプライアンスの状態を更新する

デバイスの構成を変更する必要がある場合は、次のいずれかの方法を使用して、変更を加えた後に Intune でデバイスのコンプライアンス状態を更新します。

  • Microsoft Intune アプリがまだ実行されている場合は、アプリデバイスの 詳細 ページまたはコンプライアンスの 問題 ページで、[ 更新 ] リンクを選択します。 デバイスが新しいチェックインを開始します。

  • Microsoft Intune アプリが実行されていない場合は、アプリを起動してサインインします。 サインインすると、新しいチェックインが開始されます。

  • 既定では、Microsoft Intune アプリはバックグラウンド タスクを定期的に使用して、コンピューターのオンとログイン中にチェックインします。

次の手順