Použití vlastních zásad dodržování předpisů a nastavení pro zařízení s Linuxem a Windows s Microsoft Intune
Pokud chcete rozšířit integrované možnosti dodržování předpisů zařízením Intune, můžete použít zásady pro vlastní nastavení dodržování předpisů pro spravovaná zařízení s Linuxem a Windows. Vlastní nastavení umožňují flexibilně založit dodržování předpisů na nastaveních, která jsou k dispozici na zařízení, aniž by museli čekat na Intune přidat tato nastavení do předdefinovaných šablon zásad.
Tato funkce platí pro:
- Windows 10/11 (kromě Windows 10/11 Home)
- Linux
- Ubuntu Desktop verze 20.04 LTS a 22.04 LTS
- RedHat Enterprise Linux 8
- RedHat Enterprise Linux 9
Než budete moct přidat vlastní nastavení do zásad, musíte připravit soubor JSON a skript zjišťování pro použití s jednotlivými podporovanými platformami. Skript i JSON se stanou součástí zásad dodržování předpisů. Každá zásada dodržování předpisů podporuje jeden skript a každý skript může zjistit více nastavení:
Soubor JSON definuje vlastní nastavení a hodnoty, které považujete za vyhovující. Můžete také nakonfigurovat zprávy pro uživatele, které jim řeknou, jak obnovit dodržování předpisů pro jednotlivá nastavení. Soubor JSON přidáte při vytváření zásad dodržování předpisů hned poté, co pro tuto zásadu vyberete skript zjišťování.
Skripty zjišťování jsou specifické pro různé platformy a doručují se do zařízení jako součást zásad dodržování předpisů. Když zařízení vyhodnocuje své zásady, skript zjistí (zjistí) nastavení ze souboru JSON a pak nahlásí výsledky Intune. Zařízení s Windows používají skript PowerShellu a linuxová zařízení používají skript prostředí kompatibilní s POSIX.
Před vytvořením zásad dodržování předpisů se skripty musí nahrát do Centra pro správu Microsoft Intune. Skript vyberete, když konfigurujete zásadu pro podporu vlastních nastavení.
Po nasazení vlastního nastavení dodržování předpisů a zpětném hlášení zařízení můžete zobrazit výsledky společně s integrovanými podrobnostmi o nastavení dodržování předpisů v Centru pro správu Microsoft Intune. Vlastní nastavení dodržování předpisů je možné použít pro rozhodování o podmíněném přístupu stejným způsobem jako předdefinované nastavení dodržování předpisů. Společně tvoří složenou sadu pravidel, která má stejný vliv na stav dodržování předpisů zařízením.
Požadavky
Microsoft Entra připojená zařízení, včetně Microsoft Entra hybridních zařízení.
Microsoft Entra zařízení připojená k hybridnímu připojení jsou zařízení, která jsou připojená k Microsoft Entra ID a také připojená k místní Active Directory. Další informace najdete v tématu Plánování implementace hybridního připojení Microsoft Entra.
Microsoft Entra zaregistrované nebo připojené k pracovišti (WPJ)
Informace o zařízeních zaregistrovaných v Microsoft Entra ID najdete v tématu Připojení k pracovišti jako bezproblémové ověřování druhého faktoru. Obvykle se jedná o zařízení přineste si vlastní zařízení (BYOD), která mají pracovní nebo školní účet přidaný prostřednictvím Nastavení>Účty>Přístup do práce nebo do školy.
Na zařízeních WPJ fungují skripty PowerShellu pro kontext zařízení, ale skripty PowerShellu kontextu uživatele se ignorují.
Skript zjišťování – PowerShell pro Windows nebo skript prostředí kompatibilní s POSIX pro Linux, který vytvoříte. Skript se spustí na zařízení, aby zjistil vlastní nastavení definované v souboru JSON. Skript vrátí hodnotu konfigurace těchto nastavení do Intune. Než vytvoříte zásadu dodržování předpisů, musíte skript nahrát do Centra pro správu Microsoft Intune a pak vybrat skript, který chcete použít při vytváření zásad.
Pokud chcete vytvořit vlastní skript dodržování předpisů, přečtěte si téma Vlastní skripty pro zjišťování dodržování předpisů pro Microsoft Intune.
Soubor JSON – Soubor JSON definuje vlastní nastavení a hodnotu, která se má považovat za vyhovující, a může obsahovat zprávy pro uživatele o tom, jak obnovit zařízení do souladu s nastavením. Pokyny k vytvoření FORMÁTU JSON pro vlastní dodržování předpisů najdete v tématu Soubory JSON vlastního dodržování předpisů.
Vytvoření zásady s vlastním nastavením dodržování předpisů
Než začnete vytvářet zásady, které obsahují vlastní nastavení, projděte si požadavky.
Nejprve musíte do Intune nahrát příslušný skript zjišťování a mít připravený kód JSON, který chcete přidat při vytváření zásad.
Až budete připravení, vytvořte zásadu dodržování předpisů pomocí normálního postupu, který zahrnuje pokyny specifické pro konkrétní platformu pro přidání vlastních nastavení do zásad. Vlastní nastavení se přidávají na stránce Nastavení konfigurace tak, že nakonfigurujete možnost Pro vlastní dodržování předpisů.
Poznámka
Když zařízení s Windows obdrží zásady dodržování předpisů s vlastním nastavením, zkontroluje přítomnost rozšíření pro správu Intune. Pokud se nenajde, zařízení spustí MSI, která nainstaluje rozšíření, což klientovi umožní stahovat a spouštět skripty PowerShellu, které jsou součástí zásad dodržování předpisů, a nahrávat výsledky dodržování předpisů. Mezi akce spravované službami patří:
- Každých osm hodin se kontrolují nové nebo aktualizované skripty PowerShellu.
- Spouštění skriptů zjišťování každých osm hodin
- Spouštění skriptů, které se stahují, když uživatel vybere možnost Zkontrolovat dodržování předpisů na zařízení. Při spuštění kontroly dodržování předpisů ale nedochází k žádné kontrole nových nebo aktualizovaných skriptů.
Pro zařízení není možné odesílat nabízená oznámení, aby bylo možné spouštět vlastní dodržování předpisů na vyžádání.
Monitorování vlastních zásad dodržování předpisů
Pomocí následujících metod můžete zobrazit podrobnosti o stavu dodržování předpisů zařízení.
U zařízení s Linuxem i Windows můžete zobrazit podrobnosti o dodržování předpisů podle nastavení pro vlastní nastavení dodržování předpisů v Centru pro správu Microsoft Intune.
V Centru pro správu přejděte na Sestavy Dodržování>předpisů zařízením a pak vyberte kartu Sestavy . Vyberte dlaždici zařízení a nastavení nedodržující předpisy a pak pomocí rozevíracích nabídek nakonfigurujte sestavu. Nezapomeňte vybrat platformu operačního systému a pak Generovat sestavu.
Další informace najdete v tématu Monitorování zásad dodržování předpisů zařízením Intune.
Na zařízení s Linuxem můžete otevřít aplikaci Intune a zobrazit stav zařízení:
- Kompatibilní – Vaše zařízení je v souladu se zásadami vaší organizace a mělo by mít přístup k prostředkům organizace.
- Kontrola stavu – Intune aktuálně vyhodnocuje dodržování předpisů zařízení se zásadami vaší organizace.
- Nekompatibilní – zařízení nesplňuje požadavky vaší organizace na zařízení a zabezpečení a nemusí mít přístup k prostředkům vaší organizace.
Pokud je stav zařízení nevyhovující předpisům, vyberte Zobrazit problémy a podívejte se na podrobnosti o problémech, které je potřeba vyřešit, aby zařízení bylo kompatibilní. Informace o řešení běžných problémů najdete v části Další řešení potíží pro zařízení s Linuxem v tomto článku.
Řešení potíží s vlastním dodržováním předpisů pro zařízení
Vlastní nastavení se nevyhodnocují
V sestavách dodržování předpisů zařízení vyhledejte následující kódy chyb a přehled o problému:
- 65007: Chyba vrácená skriptem
- 65008: Ve výsledku skriptu chybí nastavení
- 65009: Neplatný kód JSON pro zjištěné nastavení
- 65010: Neplatný datový typ pro zjištěné nastavení
Ve Windows můžete na konec skriptu PowerShellu přidat následující řádek, který vrátí chyby související se skriptem PowerShellu. Ujistěte se, že následující řádek je na konci souboru skriptu PowerShellu: return $hash | ConvertTo-Json -Compress
Skripty prostředí kompatibilní s PowerShellem nebo POSIX se nezobrazují nebo zůstávají viditelné i po odstranění.
Aktualizujte aktuální zobrazení. Pokud problém přetrvává, zrušte tok vytváření zásad a spusťte znovu.
Jakmile se problém na zařízení opraví, následné synchronizace problém neidentifikují jako vyřešený a vyhovující.
Může trvat až osm hodin, než se po změně zařízení zobrazí stav nedodržující předpisy.
Může uživatel po opravě problému na zařízení ručně zkontrolovat dodržování předpisů, aby zjistil, jestli je problém vyřešený a kompatibilní?
Ve Windows může uživatel přejít na web Portál společnosti a aktivovat synchronizaci, která aktualizuje stav zařízení po opravě nevyhovujícího vlastního nastavení dodržování předpisů.
V Linuxu může uživatel otevřít aplikaci Microsoft Intune a vybrat Aktualizovat na stránce podrobností o zařízení nebo na stránce problémů s dodržováním předpisů a zahájit nové ohlášení se změnami s Intune.
Proč se nepodporuje více operátorů a operandů?
Požádejte svého account manažera o přidání konkrétních operátorů a operandů. Pak je můžete zvážit pro budoucí aktualizaci.
Proč nemůžu použít více skriptů zjišťování na jednu vlastní zásadu dodržování předpisů?
Zásady podporují použití jednoho skriptu. Každý skript ale podporuje kontrolu více hodnot dodržování předpisů.
Další řešení potíží pro zařízení s Linuxem
Identifikace nastavení, která nevyhovují předpisům pro zařízení:
- V Centru pro správu Microsoft Intune můžete identifikovat zařízení, která nevyhovují zásadám. Přejděte na Sestavy>Dodržování předpisů zařízením, vyberte kartu Sestavy a pak vyberte dlaždici Nevyhovující zařízení a nastavení. Pomocí rozevíracích seznamu nakonfigurujte požadovanou sestavu a pak vyberte Generovat sestavu.
Centrum pro správu zobrazí samostatný řádek pro každé nastavení, které na zařízení nevyhovuje předpisům.
- Na zařízení s Linuxem otevřete aplikaci Microsoft Intune a podívejte se na stránku Aktualizovat nastavení zařízení.
Následující části probírají běžné problémy a jejich řešení, se kterými se můžou setkat uživatelé zařízení s Linuxem.
Distribuce a verze operačního systému
Uživatelům zařízení, které nesplňuje požadavky na dodržování předpisů pro distribuci Linuxu nebo verzi operačního systému, se může zobrazit zpráva, že je potřeba upgradovat nebo downgradovat operační systém zařízení.
Aby zařízení s linuxovou distribucí a jejich verze splňovala nastavení Povolené distribuce , musí splňovat požadavky na minimální, maximální a typ. V případě potřeby nainstalujte jinou verzi nebo distribuci Linuxu, aby zařízení bylo kompatibilní.
Složitost hesla
Uživatelům zařízení, které nesplňuje požadavky na dodržování předpisů pro požadavky na složitost hesla, se může zobrazit zpráva, že musí použít silné heslo.
Pokud chcete dodržovat nastavení zásad hesel , nakonfigurujte systém Linux tak, aby používal hesla, která splňují tyto požadavky. Mezi běžné požadavky organizace patří:
- Hesla obsahující minimální počet písmen, číslic nebo speciálních znaků
- Hesla minimální délky
Šifrování zařízení
Uživatelům zařízení, které nesplňuje požadavky na dodržování předpisů pro šifrování disků a oddílů, se může zobrazit zpráva, že musí jednotky zařízení zašifrovat.
Aby bylo zařízení kompatibilní s nastavením Vyžadovat šifrování zařízení , vyžaduje se šifrování na úrovni zařízení pro zapisovatelné pevné disky na zařízení s Linuxem.
Existuje několik možností šifrování disků a oddílů v operačních systémech Linux. Intune rozpozná jakýkoli šifrovací systém, který používá základní subsystém dm-crypt. Tento subsystém je dlouhodobým standardem v systémech Linux. Upřednostňovanou metodou nastavení dm-crypt je použití formátu LUKS s nástrojem cryptsetup .
Následující seznam obsahuje obecné pokyny k šifrování disků a oddílů:
- Šifrování systémových svazků s Linuxem po instalaci je možné, ale může to být časově náročné. Při instalaci operačního systému doporučujeme nastavit šifrování disku.
- Ne všechny oddíly systému souborů musí být šifrované, aby zařízení splňovalo standardy organizace. Předdefinované nastavení šifrování zařízení nevyhodnocují následující:
- Oddíly jen pro čtení
- Pseudosouborové systémy, jako je nebo
/proc
tmpfs
- Oddíly
/boot
nebo/boot/efi
Aktualizace stavu dodržování předpisů na zařízeních s Linuxem
Po provedení změn zařízení, aby bylo zařízení v souladu s předpisy, aktualizujte stav zařízení pomocí Intune:
- Pokud je aplikace Microsoft Intune stále spuštěná, vyberte Aktualizovat na stránce podrobností o zařízení nebo na stránce problémů s dodržováním předpisů a spusťte nové ohlášení Intune.
- Pokud aplikace Microsoft Intune není spuštěná, přihlaste se k aplikaci a spusťte nové ohlášení.
- Po instalaci se aplikace Microsoft Intune pravidelně přihlašuje k Intune, pokud je zařízení zapnuté a uživatel je k němu přihlášený.