评估适用于 Linux 的 Windows 子系统的合规性
适用于:
- Windows 10
- Windows 11
创建一个Microsoft Intune策略,用于检查运行 适用于 Linux 的 Windows 子系统 (WSL) 的设备符合性。 Microsoft Intune将 WSL 符合性结果合并到主机设备的整体符合性状态中,以便可以查看设备的整体运行状况。
本文介绍如何为 WSL 设置符合性检查。
要求
若要使用 WSL 设置创建合规性策略,必须满足以下要求:
必须安装 Intune WSL 插件才能进行合规性评估。
必须在目标设备上安装Microsoft Intune管理扩展。 确保设备满足以下条件之一,以便可以安装管理扩展:
- 向用户或设备分配 PowerShell 脚本或主动修正。
- 将 Win32 应用或 Microsoft 应用商店应用部署到用户或设备。
- 向用户或设备分配自定义符合性策略。
开始之前
取消分配并删除 WSL 的现有自定义符合性策略。 然后,查看符合性策略中 WSL 设置 的限制 ,以便了解预期内容。
将 Intune WSL 插件添加为 Win32 应用
为 Intune WSL 插件创建 Win32 应用策略,并将其分配给目标Microsoft Entra组。
使用 Microsoft Win32 内容准备工具将 Intune WSL 插件转换为 .intunewin 格式。 有关详细信息,请参阅 转换 Win32 应用内容。
以至少Intune管理员身份登录到 Microsoft Intune 管理中心。
转到 “应用>”“所有应用>添加”。
对于 “应用类型”,向下滚动到“ 其他”,然后选择“ Windows 应用 (Win32) ”。
选择“选择”。 此时显示“添加应用”步骤。
选择 “选择应用包文件”。
选择“ 文件夹 ”按钮,然后浏览应用包文件的文件。 上传扩展名为 .intunewin 的 Intune WSL 插件安装文件。
选择“ 确定” 以继续。
输入以下应用信息:
- 选择文件:在上一步中选择的应用包文件会显示在此处。 选择要为 Intune WSL 插件上传其他安装包文件的文件。
- 名称:输入Intune WSL 插件。
- 说明:选择 “编辑说明” 以输入应用的说明。 例如,可以描述其用途或组织计划如何使用它。 此设置是可选的,但建议设置。
- 发布者:输入Microsoft Intune。
选择“ 下一步 ”转到 “计划”。
查看预填充的设置,以便熟悉应用的行为方式。 将设置保留为原样。
选择“ 下一步 ”转到 “要求”。
输入设备安装应用必须满足的要求。
选择“ 下一步 ”转到 “检测规则”。
查看预填充的检测规则。 这些规则特定于应用,并检测应用是否存在。 将设置保留为原样。
选择“ 下一步 ”转到 “依赖项”。 将设置保留为原样。
选择“ 下一步 ”转到 “取代”。 将设置保留为原样。
选择“ 下一步 ”转到 “分配”。
若要分配策略,请在“必需”下添加Microsoft Entra用户。
选择“ 下一步 ”转到 “查看 + 创建”。
查看摘要,然后选择“ 创建 ”以保存策略。
注意
使用 WSL 设置创建符合性策略时,它自动生成只读的自定义脚本。 编辑符合性策略还会编辑关联的自定义脚本。 这些脚本显示在Microsoft Intune管理中心的设备>合规性>脚本中,称为内置 WSL 合规性<策略 ID>。
限制
本部分介绍使用 Intune WSL 插件进行合规性评估的已知限制。
合规性评估要求 WSL 中已安装的 Linux 分发版至少运行一次,然后才能正常工作。 如果使用 WSL 命令安装 Linux 分发
--no-launch版,则合规性评估将不起作用。在没有 目录的情况下
etc/os-release,合规性评估可能无法在自定义 Linux 映像或 Linux 映像上正常工作。即使使用 Intune WSL 插件,恶意软件或用户操作也可能破坏合规性评估机制。
后续步骤
创建合规性策略,并将平台设置为 Windows 10 及更高版本。 有关适用于 Linux 的 Windows 子系统符合性设置的详细信息,请参阅 适用于 Linux 的 Windows 子系统。
有关故障排除帮助,请参阅适用于 Linux 的 Windows 子系统故障排除。