Använda anpassade efterlevnadsprinciper och inställningar för Linux- och Windows-enheter med Microsoft Intune

Om du vill utöka Intunes inbyggda alternativ för enhetsefterlevnad kan du använda principer för anpassade kompatibilitetsinställningar för hanterade Linux- och Windows-enheter. Anpassade inställningar ger flexibilitet att basera kompatibiliteten på de inställningar som är tillgängliga på en enhet utan att behöva vänta på att Intune ska lägga till de här inställningarna i de inbyggda principmallarna.

Den här funktionen gäller för:

  • Windows 10/11 (exklusive Windows 10/11 Home)
  • Linux
    • Ubuntu Desktop, version 20.04 LTS och 22.04 LTS
    • RedHat Enterprise Linux 8
    • RedHat Enterprise Linux 9

Innan du kan lägga till anpassade inställningar i en princip måste du förbereda en JSON-fil och ett identifieringsskript för användning med varje plattform som stöds. Både skriptet och JSON blir en del av efterlevnadsprincipen. Varje efterlevnadsprincip stöder ett enda skript och varje skript kan identifiera flera inställningar:

  • JSON-filen definierar de anpassade inställningarna och de värden som du ansåg vara kompatibla. Du kan också konfigurera meddelanden för användare så att de får information om hur de återställer kompatibiliteten för varje inställning. Du lägger till din JSON-fil när du skapar en efterlevnadsprincip, precis efter att du har valt ett identifieringsskript för principen.

  • Identifieringsskript är specifika för de olika plattformarna och levereras till enheter som en del av efterlevnadsprincipen. När en enhet utvärderar sin princip identifierar skriptet (identifierar) inställningarna från JSON-filen och rapporterar sedan resultatet till Intune. Windows-enheter använder ett PowerShell-skript och Linux-enheter använder ett POSIX-kompatibelt gränssnittsskript.

    Skripten måste laddas upp till administrationscentret för Microsoft Intune innan du skapar en efterlevnadsprincip. Du väljer skriptet när du konfigurerar en princip för att stödja anpassade inställningar.

När du har distribuerat anpassade kompatibilitetsinställningar och enheter rapporterar tillbaka kan du visa resultatet tillsammans med den inbyggda efterlevnadsinställningsinformationen i administrationscentret för Microsoft Intune. Anpassade kompatibilitetsinställningar kan användas för beslut om villkorlig åtkomst på samma sätt som inbyggda kompatibilitetsinställningar. Tillsammans bildar de en sammansatt regeluppsättning som på samma sätt påverkar enhetens efterlevnadstillstånd.

Förhandskrav

  • Microsoft Entra-anslutna enheter, inklusive Hybrid-anslutna Microsoft Entra-enheter.

    Microsoft Entra Hybrid-anslutna enheter är enheter som är anslutna till Microsoft Entra-ID och även anslutna till lokal Active Directory. Mer information finns i Planera implementeringen av Microsoft Entra-hybridanslutningen.

  • Microsoft Entra-registrerad/Arbetsplats-ansluten (WPJ)

    Information om enheter som registrerats i Microsoft Entra-ID finns i Workplace Join as a seamless second factor authentication (Anslut till arbetsplats som en sömlös andra faktor autentisering). Dessa enheter är vanligtvis BYOD-enheter (Bring Your Own Device) som har ett arbets- eller skolkonto som lagts till via inställningskonton>>Åtkomst till arbete eller skola.

    PowerShell-skript för enhetskontext fungerar på WPJ-enheter, men PowerShell-skript för användarkontext ignoreras.

  • Identifieringsskript – Ett PowerShell för Windows eller ett POSIX-kompatibelt gränssnittsskript för Linux som du skapar. Skriptet körs på en enhet för att identifiera de anpassade inställningar som definierats i JSON-filen. Skriptet returnerar konfigurationsvärdet för dessa inställningar till Intune. Du måste ladda upp skriptet till administrationscentret för Microsoft Intune innan du skapar en efterlevnadsprincip och sedan välja det skript som du vill använda när du skapar en princip.

    Information om hur du skapar ett anpassat efterlevnadsskript finns i Anpassade efterlevnadsidentifieringsskript för Microsoft Intune.

  • JSON-fil – JSON-filen definierar de anpassade inställningarna och det värde som ska betraktas som kompatibelt och kan innehålla meddelanden för användare om hur de återställer enheten till kompatibilitet för inställningen. Vägledning om hur du skapar en JSON för anpassad efterlevnad finns i JSON-filer för anpassad efterlevnad.

Skapa en princip med anpassade kompatibilitetsinställningar

Innan du börjar skapa en princip som innehåller anpassade inställningar bör du granska förutsättningarna.

Du måste först ladda upp ett tillämpligt identifieringsskript till Intune och ha en redo JSON att lägga till när du skapar principen.

När du är klar använder du den normala proceduren för att skapa en efterlevnadsprincip, som innehåller plattformsspecifika instruktioner för att lägga till anpassade inställningar i principen. Anpassade inställningar läggs till på sidan Konfigurationsinställningar genom att alternativet för Anpassad efterlevnad konfigureras.

Obs!

När en Windows-enhet tar emot en efterlevnadsprincip med anpassade inställningar söker den efter förekomst av Intune-hanteringstillägg. Om den inte hittas kör enheten en MSI som installerar tilläggen, vilket gör att klienten kan ladda ned och köra PowerShell-skript som ingår i en efterlevnadsprincip och ladda upp kompatibilitetsresultat. Åtgärder som hanteras av tjänsterna omfattar:

  • Söker efter nya eller uppdaterade PowerShell-skript var åttonde timme.
  • Köra identifieringsskripten var åttonde timme.
  • Köra skript som laddas ned när en användare väljer Kontrollera efterlevnad på enheten. Det finns dock ingen kontroll av nya eller uppdaterade skript när Kontrollera efterlevnad körs.

Det går inte att skicka push-meddelanden till en enhet så att anpassad efterlevnad kan köras på begäran.

Övervaka anpassad efterlevnadsprincip

Använd följande metoder för att visa information om en enhets efterlevnadsstatus.

  • För både Linux- och Windows-enheter kan du visa information om enhetsefterlevnad per inställning för anpassade kompatibilitetsinställningar i administrationscentret för Microsoft Intune.

    I administrationscentret går du till Rapporter>Enhetsefterlevnad och väljer sedan fliken Rapporter . Välj panelen för Inkompatibla enheter och inställningar och använd sedan listrutorna för att konfigurera rapporten. Se till att välja en plattform för operativsystemet och välj sedan Generera rapport.

    Mer information finns i Övervaka efterlevnadsprinciper för Intune-enheter.

  • På en Linux-enhet kan du öppna Intune-appen för att visa enhetens status:

    • Kompatibel – Enheten är kompatibel med organisationens principer och bör kunna komma åt organisationens resurser.
    • Kontrollera status – Intune utvärderar för närvarande enheternas efterlevnad av organisationens principer.
    • Inte kompatibel – Enheten uppfyller inte organisationens enhets- och säkerhetskrav och kanske inte har åtkomst till organisationens resurser.

    När enhetsstatusen är Inte kompatibel väljer du Visa problem för att se information om problem som måste åtgärdas för att enheten ska bli kompatibel. Information om hur du löser vanliga problem finns i Ytterligare felsökning för Linux-enheter i den här artikeln.

Felsöka anpassad efterlevnad för enheter

Anpassade inställningar utvärderas inte

I rapporterna om enhetsefterlevnad finns följande felkoder och information om problemet:

  • 65007: Skriptet returnerade fel
  • 65008: Inställningen saknas i skriptresultatet
  • 65009: Ogiltig json för den identifierade inställningen
  • 65010: Ogiltig datatyp för den identifierade inställningen

I Windows kan du lägga till följande rad i slutet av PowerShell-skriptet för att returnera fel relaterade till PowerShell-skriptet. Kontrollera att följande rad är i slutet av PowerShell-skriptfilen: return $hash | ConvertTo-Json -Compress

PowerShell- eller POSIX-kompatibla gränssnittsskript är inte synliga att välja eller förblir synliga när de har tagits bort

Uppdatera den aktuella vyn. Om problemet kvarstår avbryter du flödet för att skapa principer och startar om.

När ett problem på en enhet har åtgärdats identifierar inte efterföljande synkroniseringar problemet som löst och kompatibelt

Det kan ta upp till åtta timmar innan en inkompatibel status visas som kompatibel efter en ändring av enheten.

Kan en användare manuellt söka efter efterlevnad efter att ha åtgärdat ett problem på en enhet för att identifiera om problemet är löst och kompatibelt?

  • I Windows kan en användare gå till företagsportalens webbplats och utlösa en synkronisering för att uppdatera enhetens status efter att ha korrigerat en inkompatibel anpassad kompatibilitetsinställning.

  • I Linux kan en användare öppna Microsoft Intune-appen och välja Uppdatera på sidan med enhetsinformation eller sidan med efterlevnadsproblem för att starta en ny incheckning med Intune.

Varför stöds inte fler operatorer och operander?

Kontakta din kontoansvarige för att begära tillägg av specifika operatorer och operander. De kan sedan övervägas för en framtida uppdatering.

Varför kan jag inte tillämpa flera identifieringsskript på en anpassad efterlevnadsprincip?

Principer stöder användning av ett enda skript. Varje skript stöder dock kontroll av flera efterlevnadsvärden.

Ytterligare felsökning för Linux-enheter

Så här identifierar du inställningar som inte är kompatibla för en enhet:

  • I administrationscentret för Microsoft Intune kan du identifiera enheter som inte är kompatibla med principen. Gå till Rapporter>Enhetsefterlevnad, välj fliken Rapporter och välj sedan panelen för inkompatibla enheter och inställningar. Använd listrutorna för att konfigurera önskad rapport och välj sedan Generera rapport.

Administrationscentret visar en separat rad för varje inställning som inte är kompatibel på en enhet.

  • Öppna Microsoft Intune-appen på Linux-enheten och visa sidan Uppdatera enhetsinställningar.

I följande avsnitt beskrivs vanliga problem och lösningar på problem som användare av Linux-enheter kan stöta på.

Distribution av operativsystem och version av operativsystemet

Användare av en enhet som inte uppfyller efterlevnadskraven för Linux-distributionen eller operativsystemets version kan få ett meddelande som anger ett behov av att uppgradera eller nedgradera enheternas operativsystem.

För att vara kompatibla med inställningen Tillåtna distributioner måste enheternas Linux-distribution och -version uppfylla minimikraven, maxkraven och typkraven. Om det behövs installerar du en annan version eller distribution av Linux för att göra enheten kompatibel.

Lösenordskomplexitet

Användare av en enhet som inte uppfyller efterlevnadskraven för krav på lösenordskomplexitet kan få ett meddelande som anger att de måste använda ett starkt lösenord.

Om du vill vara kompatibel med inställningarna för lösenordsprinciper konfigurerar du Linux-systemet så att det använder lösenord som uppfyller dessa krav. Vanliga organisationskrav är:

  • Lösenord som innehåller ett minsta antal bokstäver, siffror eller specialtecken
  • Lösenord med en minsta längd

Enhetskryptering

Användare av en enhet som inte uppfyller efterlevnadskraven för disk- och partitionskryptering kan få ett meddelande om att de måste kryptera enhetsenheterna.

För att vara kompatibel med inställningen Kräv enhetskryptering krävs kryptering på enhetsnivå för skrivbara fasta diskar på Linux-enheten.

Det finns flera alternativ för disk- och partitionskryptering på Linux-operativsystem. Intune känner igen alla krypteringssystem som använder det underliggande dm-crypt-undersystemet. Det här undersystemet är en långvarig standard på Linux-system. Den bästa metoden för att konfigurera dm-crypt är att använda LUKS-formatet med cryptsetup-verktyget .

Följande lista innehåller allmän vägledning vid kryptering av diskar och partitioner:

  • Det är möjligt att kryptera Linux-systemvolymer efter installationen, men potentiellt tidskrävande. Vi rekommenderar att du konfigurerar diskkryptering när du installerar operativsystemet.
  • Alla filsystempartitioner behöver inte krypteras för att en enhet ska uppfylla organisationens standarder. Följande utvärderas inte av de inbyggda inställningarna för enhetskryptering:
    • Skrivskyddade partitioner
    • Pseudofilsystem som /proc eller tmpfs
    • Partitionerna /boot eller /boot/efi

Uppdatera din efterlevnadsstatus på Linux-enheter

När du har gjort ändringar i en enhet för att göra den kompatibel uppdaterar du enhetsstatusen med Intune:

  • Om Microsoft Intune-appen fortfarande körs väljer du Uppdatera på sidan med enhetsinformation eller på sidan med efterlevnadsproblem för att starta en ny incheckning med Intune.
  • Om Microsoft Intune-appen inte körs loggar du in på appen för att starta en ny incheckning.
  • Efter installationen checkar Microsoft Intune-appen regelbundet in med Intune på egen hand, så länge enheten är på och en användare är inloggad på den.

Nästa steg