Linux 用 Windows サブシステムのコンプライアンスを評価する

  • [アーティクル]

適用対象:

  • Windows 10
  • Windows 11

Windows Subsystem for Linux (WSL) を実行しているデバイスのコンプライアンスを確認する Microsoft Intune ポリシーを作成します。 Microsoft Intune は、WSL コンプライアンスの結果をホスト デバイスの全体的なコンプライアンス状態に組み込み、デバイスの正常性全体を確認できるようにします。

この記事では、WSL のコンプライアンス チェックを設定する方法について説明します。

重要

この機能はパブリック プレビュー段階です。 詳細については、「Microsoft Intune のパブリック プレビュー」を参照してください。

要件

カスタム コンプライアンス スクリプトを作成するには、次のリソースが必要です。

  • Intune WSL プラグイン: Powershell スクリプトの例を使用して、Intune WSL プラグインのインストール パッケージ ファイルを取得します。

  • カスタム コンプライアンス スクリプト: PowerShell スクリプトの例では、ディストリビューションとディストリビューション バージョンに基づいて WSL ディストリビューションに対するコンプライアンスが計算されます。

  • 検証用の JSON: JSON の例を使用して、WSL 検出ルールを定義します。

手順 1: Intune WSL プラグインをインストールする

Intune WSL プラグイン リソースを使用して、Intune WSL プラグインをターゲット コンピューターにインストールします。

手順 2: 基幹業務アプリのポリシーを追加する

Intune WSL プラグインのアプリ ポリシーを作成します。 Intune WSL プラグインは、Windows 基幹業務アプリと見なされます。

  1. Microsoft Intune 管理センターで、[アプリ] [Windows]> に移動します。

  2. アプリ情報を入力します。

    • [ファイルの選択]: Intune WSL プラグインのインストール パッケージ ファイルをアップロードするには、このオプションを選択します。
    • 名前: 「Intune WSL プラグイン」と入力します
    • 説明: アプリの説明を入力します。 この設定は省略可能ですが、おすすめされています。
    • 発行元: 「Microsoft Intune」と入力します。

  3. [ 次へ ] を選択して 、[割り当て] に移動します。

  4. [ 必須 ] の下に Microsoft Entra ユーザーを追加して、ポリシーを割り当てます。

  5. [ 次へ ] を選択して、[ 確認と作成] に移動します。

  6. 概要を確認し、[ 作成 ] を選択してポリシーを保存します。

手順 3: カスタム スクリプトを設定する

コマンド ラインで、次の手順を実行します。

  1. 組織の要件に合わせて、カスタム コンプライアンス スクリプトの 23 行目から 28 行目の次のプロパティを変更します。

    • ディストリビューション

    • 最小/最大バージョン

    • デバイスが最後にチェックインされてからの日数は、準拠したままである可能性があります

  2. 検証リソースの JSON で、組織のカスタム値を使用して次のフィールドを変更します。

    • MoreInfoUrl - コンプライアンス要件を満たす方法の詳細については、デバイス ユーザーがアクセスできる URL を入力します。

    • RemediationStrings: WSL のコンプライアンス要件に関するデバイス ユーザーに役立つ情報を入力します。

      • 言語 - 例: en-us
      • タイトル - 例: WSL distros not in compliance with company policy
      • 説明 - 例: Make sure only allowed distros and versions are registered in WSL.

手順 4: カスタム コンプライアンス ポリシーを展開する

ターゲット デバイスにカスタム コンプライアンス ポリシーを展開します。

  1. 管理センターで、[ エンドポイント セキュリティ>デバイスコンプライアンス] に移動します。

  2. [スクリプト] に移動します。

  3. [Windows 10 以降の追加]> を選択します。

  4. ポリシーの基本情報 (名前や説明など) を入力します。

  5. [ 次へ ] を選択して [設定] に移動します。

  6. カスタム コンプライアンス スクリプトをコピーして 検出スクリプトに貼り付けます。

  7. 他のすべての設定はそのままにします。

手順 5: デバイス コンプライアンス ポリシーを作成する

Windows 10 以降を実行しているデバイスの新しいデバイス コンプライアンス ポリシーを作成します。

  1. 管理センターで、[ エンドポイント セキュリティ>デバイスコンプライアンス] に移動します。

  2. [ポリシー] に移動します。

  3. [ポリシーの作成] を選択します。

  4. プラットフォームの場合は、[ Windows 10 以降] を選択します。

  5. [作成] を選択します。

  6. [名前] や [説明] など、ポリシーの基本情報を入力します

  7. [ 次へ ] を選択して、[ コンプライアンス設定] に移動します。

  8. [カスタム コンプライアンス] を展開します。

    1. 検出スクリプトとしてカスタム コンプライアンス スクリプト ファイルを選択します。

    2. JSON 検証ファイルをアップロードします。

  9. 他のすべての設定はそのままにします。 [次へ] を選択します。

  10. ポリシーの概要を確認し、[ 作成 ] を選択して保存します。

修復

デバイスを準拠状態に戻す簡単な方法は、デバイス上の非準拠ディストリビューションの登録を解除することです。 ディストリビューションの登録を解除するには、次のコマンドを使用します。


wsl --unregister [DISTRONAME]

トラブルシューティング

Wsl/Service/CreateInstance/CreateVm/Plugin/ERROR_MOD_NOT_FOUND

WSL サービスを再起動します。 管理者特権の PowerShell ウィンドウで、次のコマンドを実行します。

 sc.exe stop wslservice 

 wsl.exe echo “test”

WSL のトラブルシューティングのヘルプについては、「 Windows Subsystem for Linux」を参照してください。