Intune中 Linux 的设备符合性设置

本文列出并介绍了可以在 Microsoft Intune 中为 Linux 设备配置的不同符合性设置。

对于 Linux,可以从 设置目录 获取符合性设置,而不是从其他平台看到的预先确定的模板中获取。 因此,在为 Linux 配置符合性策略时,可以通过浏览目录并选择这些设置来选择要包含在策略中的设置。

除了特定于平台的合规性策略外,设备还受租户范围的合规性策略设置的约束。 若要在租户中管理租户范围的合规性策略设置,请登录到 Microsoft Intune 管理中心,然后转到“终结点安全>设备符合性>策略设置”。

若要详细了解合规性策略及其用途,请参阅 设备合规性入门

此功能适用于:

  • Ubuntu Desktop 22.04 或 20.04 LTS (具有 x86/64 CPU 的物理计算机或 Hyper-V 计算机)
  • RedHat Enterprise Linux 8
  • RedHat Enterprise Linux 9

Linux 设置类别

适用于 Linux 的符合性策略可以包括以下类别中的设置。 在适用的情况下,提供了有关配置设置的指导。

允许的分发

添加为 Linux 分发类型定义最大和最低 OS 版本的条目。

不符合定义条件的设备的用户需要安装不同版本的 Linux 或发行版,以使设备符合性。

自定义合规性

使用适用于 Linux 的自定义符合性设置时,请添加此类别中的设置。

有关自定义合规性的可用设置及其使用方式的信息,请参阅使用适用于 Linux 和 Windows 设备的自定义符合性策略和设置和Microsoft Intune

设备加密

添加设置以管理磁盘加密。

  • 需要设备加密 - 指定此计算机上的可写固定磁盘是否需要设备级加密。

    未加密设备的用户会收到一条消息,指出他们必须加密驱动器才能使设备符合性。

    Linux 操作系统上有多个磁盘和分区加密选项。 目前,Intune识别使用基础 dm-crypt 子系统的任何加密系统,该子系统在 Linux 系统上一段时间以来一直处于标准状态。

    设置 dm-crypt 的首选方法是将 LUKS 格式与 cryptsetup 工具配合使用。

    配置加密时,请记住以下事项:

    • 可以在安装后加密 Linux 系统卷,但可能非常耗时。 Microsoft建议在安装操作系统时设置磁盘加密。
    • 并非所有文件系统分区都需要加密才能满足组织标准。 忽略以下事项:
      • 只读分区
      • 伪文件系统(如 /proctmpfs
      • /boot/boot/efi 分区

密码策略

对 Linux 设备强制实施常见密码要求:

  • 最小小写字母 - 指定密码必须包含的小写字母的最小数目。
  • 最小大写字母 - 指定密码必须包含的大写字母的最小数目。
  • 最小符号 - 指定密码必须包含的最小符号数。
  • 最小长度 - 指定密码必须包含的最小总字符数。
  • 最小位数 - 指定密码必须包含的最小位数。

不符合密码复杂性要求的用户可能会收到一条消息,指出他们必须使用强密码才能使设备符合要求。

刷新符合性状态

如果必须修改设备的配置,请在进行更改后使用以下方法之一使用 Intune 刷新设备符合性状态:

  • 如果Microsoft Intune应用仍在运行,请在“应用设备详细信息”页或“合规性问题”页上选择“刷新”链接。 设备启动新的检查。

  • 如果Microsoft Intune应用未运行,请启动应用并登录。 登录将启动新的检查。

  • 默认情况下,Microsoft Intune应用在计算机处于打开和登录状态时定期使用后台任务进行签入。

后续步骤