Intune 中的Linux裝置合規性設定
本文列出並說明您可以在 Microsoft Intune 中為Linux裝置設定的不同合規性設定。
針對Linux,合規性設定可從 設定目錄 取得,而不是從預先決定的範本取得,如其他平臺所示。 因此,設定 Linux 的合規性政策時,您可以瀏覽目錄並選取它們,以選擇您想要包含在原則中的設定。
除了平臺特定的合規性政策之外,裝置也會受到全租使用者合規性政策設定的規範。 若要管理租使用者中的全租使用者合規性原則設定,請登入 Microsoft Intune 系統管理中心,然後移至 [端點安全>性裝置合規性政策>設定]。
若要深入瞭解合規性原則及其用途,請參閱 開始使用裝置合規性。
本功能適用於:
- 具有 x86/64 CPU (實體或 Hyper-V 計算機的 Ubuntu Desktop 22.04 或 20.04 LTS)
- RedHat Enterprise Linux 8
- RedHat Enterprise Linux 9
Linux 設定類別
Linux 的合規性原則可以包含下列類別的設定。 如果適用,則會提供設定的指引。
允許的散發
新增專案,以定義 Linux 發行版類型的最大和最小 OS 版本。
不符合定義準則的裝置用戶必須安裝不同的 Linux 版本或發行版,才能使裝置符合規範。
自定義合規性
當您使用 Linux 的自定義相容性設定時,請新增此類別中的設定。
如需自定義合規性可用設定及其使用方式的相關信息,請參閱搭配使用 Linux 和 Windows 裝置的自定義合規性原則和設定與 Microsoft Intune。
裝置加密
新增設定以管理磁碟加密。
需要裝置加密 – 指定此電腦上可寫入的固定磁碟是否需要裝置層級加密。
未加密裝置的使用者會收到一則訊息,指出他們必須加密磁碟驅動器,才能使裝置符合規範。
Linux 作業系統上有數個磁碟和磁碟分區加密選項。 此時,Intune 會辨識任何使用基礎 dm-crypt 子系統且已在 Linux 系統上標準一段時間的加密系統。
設定 dm-crypt 的慣用方法是搭配 密碼設定 工具使用 LUKS 格式。
設定加密時,請記住下列事項:
- 在安裝後加密 Linux 系統磁碟區是可行的,但可能非常耗時。 Microsoft建議在安裝作業系統時設定磁碟加密。
- 並非所有文件系統分割區都必須經過加密,才能符合組織標準。 系統會忽略下列專案:
- 唯讀數據分割
- Pseudo-filesystems,例如 /proc 或 tmpfs
- /boot 或 /boot/efi 分割區
密碼原則
強制執行 Linux 裝置的常見密碼需求:
- 小寫下限 - 指定密碼必須包含的最低小寫字母數目。
- 最小大寫 - 指定密碼必須包含的大寫字母數目下限。
- 最小符號 - 指定密碼必須包含的符號數目下限。
- 最小長度 - 指定密碼必須包含的字元總數下限。
- 最小位數 - 指定密碼必須包含的位數下限。
不符合密碼複雜性需求的使用者可能會收到一則訊息,指出他們必須使用強密碼來使裝置符合規範。
重新整理合規性狀態
如果您必須修改裝置的設定,請使用下列其中一種方法,在進行變更之後,使用 Intune 重新整理裝置合規性狀態:
如果 Microsoft Intune 應用程式仍在執行中,請在 [應用程式裝置詳細數據] 頁面或 [合規性問題] 頁面上,選取 [重新整理] 連結。 裝置會開始新的簽入。
如果 Microsoft Intune 應用程式未執行,請啟動應用程式並登入。 登入會開始新的簽入。
根據預設,Microsoft Intune 應用程式會在計算機開啟並登入時,定期使用背景工作來簽入。