Usar directivas y configuraciones de cumplimiento personalizadas para dispositivos Linux y Windows con Microsoft Intune
Para ampliar las opciones de cumplimiento de dispositivos integradas de Intune, puede usar directivas para la configuración de cumplimiento personalizada para dispositivos Linux y Windows administrados. La configuración personalizada proporciona flexibilidad para basar el cumplimiento en la configuración que está disponible en un dispositivo sin tener que esperar a que Intune agregue esta configuración a las plantillas de directiva integradas.
Esta característica se aplica a:
- Windows 10/11 (excepto Windows 10/11 Hogar)
- Linux
- Ubuntu Desktop, versión 20.04 LTS y 22.04 LTS
- RedHat Enterprise Linux 8
- RedHat Enterprise Linux 9
Para poder agregar la configuración personalizada a una directiva, debe preparar un archivo JSON y un script de detección para su uso con cada plataforma admitida. Tanto el script como JSON pasan a formar parte de la directiva de cumplimiento. Cada directiva de cumplimiento admite un único script y cada script puede detectar varias configuraciones:
El archivo JSON define la configuración personalizada y los valores que considera compatibles. También puede configurar mensajes para que los usuarios les indiquen cómo restaurar el cumplimiento de cada configuración. Agregue el archivo JSON al crear una directiva de cumplimiento justo después de seleccionar un script de detección para esa directiva.
Los scripts de detección son específicos de las distintas plataformas y se entregan a los dispositivos como parte de la directiva de cumplimiento. Cuando un dispositivo evalúa su directiva, el script detecta (detecta) la configuración del archivo JSON y, a continuación, notifica los resultados a Intune. Los dispositivos Windows usan un script de PowerShell y los dispositivos Linux usan un script de shell compatible con POSIX.
Los scripts deben cargarse en el centro de administración de Microsoft Intune antes de crear una directiva de cumplimiento. Seleccione el script al configurar una directiva para admitir la configuración personalizada.
Después de implementar la configuración de cumplimiento personalizada y el informe de dispositivos, puede ver los resultados junto con los detalles de la configuración de cumplimiento integrada en el centro de administración de Microsoft Intune. La configuración de cumplimiento personalizada se puede usar para las decisiones de acceso condicional de la misma manera que lo son las configuraciones de cumplimiento integradas. Juntos forman un conjunto de reglas compuestas, lo que afecta igualmente al estado de cumplimiento del dispositivo.
Requisitos previos
Microsoft Entra dispositivos unidos, incluidos Microsoft Entra dispositivos unidos a híbridos.
Microsoft Entra dispositivos unidos a híbridos son dispositivos que se unen a Microsoft Entra ID y que también se unen a Active Directory local. Para obtener más información, consulte Planeamiento de la implementación de la combinación híbrida de Microsoft Entra.
Microsoft Entra registrado o unido al área de trabajo (WPJ)
Para obtener información sobre los dispositivos registrados en Microsoft Entra ID, consulte Workplace Join as a seamless second factor authentication (Unión al área de trabajo como autenticación sin problemas en segundo factor). Normalmente, estos dispositivos son dispositivos Bring Your Own Device (BYOD) que tienen una cuenta profesional o educativa agregada a través de Cuentas>de configuración>Acceso al trabajo o a la escuela.
En los dispositivos WPJ, los scripts de PowerShell de contexto de dispositivo funcionan, pero se omiten los scripts de PowerShell de contexto de usuario.
Script de detección : powershell para Windows o un script de shell compatible con POSIX para Linux que cree. El script se ejecuta en un dispositivo para detectar la configuración personalizada definida en el archivo JSON. El script devuelve el valor de configuración de dicha configuración a Intune. Debe cargar el script en el centro de administración de Microsoft Intune antes de crear una directiva de cumplimiento y, a continuación, seleccionar el script que desea usar al crear una directiva.
Para crear un script de cumplimiento personalizado, consulte Scripts de detección de cumplimiento personalizado para Microsoft Intune.
Archivo JSON : el archivo JSON define la configuración personalizada y el valor que se va a considerar compatible y puede contener mensajes para los usuarios sobre cómo restaurar el dispositivo al cumplimiento de la configuración. Para obtener instrucciones sobre cómo crear un JSON para el cumplimiento personalizado, consulte Archivos JSON de cumplimiento personalizado.
Creación de una directiva con la configuración de cumplimiento personalizada
Antes de empezar a crear una directiva que incluya la configuración personalizada, revise los requisitos previos.
Primero debe cargar un script de detección aplicable a Intune y tener un JSON listo para agregar al crear la directiva.
Cuando esté listo, use el procedimiento normal para crear una directiva de cumplimiento, que incluye instrucciones específicas de la plataforma para agregar la configuración personalizada a la directiva. La configuración personalizada se agrega mientras se encuentra en la página Configuración configurando la opción de Cumplimiento personalizado.
Nota:
Cuando un dispositivo Windows recibe una directiva de cumplimiento con la configuración personalizada, comprueba la presencia de extensiones de administración de Intune. Si no se encuentra, el dispositivo ejecuta una MSI que instala las extensiones, lo que permite al cliente descargar y ejecutar scripts de PowerShell que forman parte de una directiva de cumplimiento y cargar los resultados de cumplimiento. Las acciones administradas por los servicios incluyen:
- Comprobar si hay scripts de PowerShell nuevos o actualizados cada ocho horas.
- Ejecutar los scripts de detección cada ocho horas.
- Ejecución de scripts que se descargan cuando un usuario selecciona Comprobar cumplimiento en el dispositivo. Sin embargo, no hay ninguna comprobación de scripts nuevos o actualizados cuando se ejecuta Comprobar cumplimiento.
No es posible enviar notificaciones push a un dispositivo para permitir que el cumplimiento personalizado se ejecute a petición.
Supervisión de la directiva de cumplimiento personalizada
Use los métodos siguientes para ver detalles sobre el estado de cumplimiento de un dispositivo.
Para dispositivos Linux y Windows, puede ver los detalles de cumplimiento de dispositivos por configuración para la configuración de cumplimiento personalizada en el centro de administración de Microsoft Intune.
En el centro deadministración, vaya a Cumplimiento de dispositivos de informes> y, a continuación, seleccione la pestaña Informes. Seleccione el icono de Dispositivos y configuraciones no compatibles y, a continuación, use los menús desplegables para configurar el informe. Asegúrese de seleccionar una plataforma para el sistema operativo y, a continuación, seleccione Generar informe.
Para obtener más información, consulte Supervisión Intune directivas de cumplimiento de dispositivos.
En un dispositivo Linux, puede abrir la aplicación Intune para ver el estado del dispositivo:
- Compatible : el dispositivo es compatible con las directivas de su organización y debe poder acceder a los recursos de la organización.
- Comprobación del estado: Intune está evaluando actualmente el cumplimiento de los dispositivos con las directivas de su organización.
- No compatible : el dispositivo no cumple los requisitos de seguridad y dispositivo de la organización y es posible que no tenga acceso a los recursos de la organización.
Cuando el estado del dispositivo no sea compatible, seleccione Ver problemas para ver detalles sobre los problemas que se deben solucionar para que ese dispositivo se cumpla. Para obtener información sobre cómo resolver problemas comunes, consulte Solución de problemas adicionales para dispositivos Linux en este artículo.
Solución de problemas de cumplimiento personalizado para dispositivos
La configuración personalizada no se evalúa
Compruebe los informes de cumplimiento de dispositivos para obtener los siguientes códigos de error e información sobre el problema:
- 65007: Error devuelto por script
- 65008: Falta la configuración en el resultado del script
- 65009: json no válido para la configuración detectada
- 65010: Tipo de datos no válido para la configuración detectada
En Windows, puede agregar la siguiente línea al final del script de PowerShell para devolver errores relacionados con el script de PowerShell, asegúrese de que la siguiente línea está al final del archivo de script de PowerShell: return $hash | ConvertTo-Json -Compress
Los scripts de shell compatibles con PowerShell o POSIX no son visibles para seleccionar o permanecen visibles después de eliminarse
Actualizar la vista actual. Si el problema persiste, cancele el flujo de creación de directivas e inícielo de nuevo.
Una vez corregido un problema en un dispositivo, las sincronizaciones posteriores no identifican el problema como resuelto y conforme.
Un estado no conforme puede tardar hasta ocho horas en mostrarse como conforme después de un cambio en el dispositivo.
¿Puede un usuario comprobar manualmente el cumplimiento después de corregir un problema en un dispositivo para identificar si el problema se resuelve y es compatible?
En Windows, un usuario puede ir al sitio web de Portal de empresa y desencadenar una sincronización para actualizar el estado del dispositivo después de corregir una configuración de cumplimiento personalizada no conforme.
En Linux, un usuario puede abrir la aplicación Microsoft Intune y seleccionar Actualizar en la página de detalles del dispositivo o en la página de problemas de cumplimiento para iniciar una nueva protección con Intune.
¿Por qué no se admiten más operadores y operandos?
Póngase en contacto con el administrador de cuentas para solicitar la adición de operadores y operandos específicos. A continuación, se pueden considerar para una actualización futura.
¿Por qué no puedo aplicar varios scripts de detección a una directiva de cumplimiento personalizada?
Las directivas admiten el uso de un único script. Sin embargo, cada script admite la comprobación de varios valores de cumplimiento.
Solución de problemas adicional para dispositivos Linux
Para identificar la configuración que no es compatible con un dispositivo:
- En el centro de administración de Microsoft Intune, puede identificar los dispositivos que no son compatibles con la directiva. Vaya a Informes>Cumplimiento de dispositivos, seleccione la pestaña Informes y, a continuación, seleccione el icono de Dispositivos no conformes y configuración. Use las listas desplegables para configurar el informe que desee y, a continuación, seleccione Generar informe.
El centro de administración muestra una línea independiente para cada configuración que no es compatible en un dispositivo.
- En el dispositivo Linux, abra la aplicación Microsoft Intune y vea la página Actualizar configuración del dispositivo.
En las secciones siguientes se describen problemas comunes y soluciones para los problemas que pueden encontrar los usuarios de dispositivos Linux.
Distribución y versión del sistema operativo
Los usuarios de un dispositivo que no cumple los requisitos de cumplimiento para la versión del sistema operativo o la distribución de Linux pueden recibir un mensaje que indica la necesidad de actualizar o degradar el sistema operativo de los dispositivos.
Para que sea compatible con la configuración de Distribuciones permitidas , la distribución y la versión de Linux de los dispositivos deben cumplir los requisitos mínimos, máximos y de tipo. Si es necesario, instale otra versión o distribución de Linux para que el dispositivo se cumpla.
Complejidad de la contraseña
Los usuarios de un dispositivo que no cumple los requisitos de cumplimiento de los requisitos de complejidad de contraseña pueden recibir un mensaje que indica que deben usar una contraseña segura.
Para que sea compatible con la configuración de directiva de contraseñas , configure el sistema Linux para que use contraseñas que cumplan esos requisitos. Entre los requisitos comunes de la organización se incluyen:
- Contraseñas que incluyen un número mínimo de letras, dígitos o caracteres especiales
- Contraseñas de una longitud mínima
Cifrado del dispositivo
Los usuarios de un dispositivo que no cumple los requisitos de cumplimiento para el cifrado de disco y partición pueden recibir un mensaje que indica que deben cifrar las unidades de dispositivo.
Para ser compatible con la configuración Requerir cifrado de dispositivo , se requiere cifrado de nivel de dispositivo para discos fijos grabables en el dispositivo Linux.
Hay varias opciones para el cifrado de discos y particiones en sistemas operativos Linux. Intune reconoce cualquier sistema de cifrado que use el subsistema dm-crypt subyacente. Este subsistema es un estándar de larga duración en sistemas Linux. El método preferido para configurar dm-crypt es usar el formato LUKS con la herramienta cryptsetup .
En la lista siguiente se proporcionan instrucciones generales al cifrar el disco y las particiones:
- El cifrado de volúmenes del sistema Linux después de la instalación es posible, pero potencialmente lleva mucho tiempo. Se recomienda configurar el cifrado de disco al instalar el sistema operativo.
- No todas las particiones del sistema de archivos deben cifrarse para que un dispositivo cumpla los estándares de la organización. La configuración de cifrado de dispositivos integrada no evalúa lo siguiente:
- Particiones de solo lectura
- Pseudosistemas de archivos, como
/proc
otmpfs
- Las
/boot
particiones o/boot/efi
Actualizar el estado de cumplimiento en dispositivos Linux
Después de realizar cambios en un dispositivo para que se cumpla, actualice el estado del dispositivo con Intune:
- Si la aplicación de Microsoft Intune sigue ejecutándose, seleccione Actualizar en la página de detalles del dispositivo o en la página problemas de cumplimiento para iniciar una nueva protección con Intune.
- Si la aplicación de Microsoft Intune no se está ejecutando, inicie sesión en la aplicación para iniciar una nueva protección.
- Después de la instalación, la aplicación Microsoft Intune comprueba periódicamente con Intune por su cuenta, siempre y cuando el dispositivo esté activado y un usuario haya iniciado sesión en él.