Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Per espandere le opzioni di conformità dei dispositivi predefinite di Intune, usare i criteri per le impostazioni di conformità personalizzate per i dispositivi Linux gestiti e Windows. Le impostazioni personalizzate offrono la flessibilità necessaria per basare la conformità sulle impostazioni disponibili in un dispositivo senza attendere Intune aggiungere queste impostazioni ai modelli di criteri predefiniti.
Questa funzionalità si applica a:
- Windows (escluso Windows Home)
- Linux
- Ubuntu Desktop, versione 24.04 LTS o 26.04 LTS
- RedHat Enterprise Linux 9
- RedHat Enterprise Linux 10
Prima di poter aggiungere impostazioni personalizzate a un criterio, è necessario preparare un file JSON e uno script di individuazione da usare con ogni piattaforma supportata. Sia lo script che il codice JSON diventano parte dei criteri di conformità. Ogni criterio di conformità supporta un singolo script e ogni script può individuare più impostazioni:
Il file JSON definisce le impostazioni personalizzate e i valori considerati conformi. È anche possibile configurare i messaggi per gli utenti per indicare loro come ripristinare la conformità per ogni impostazione. Aggiungere il file JSON quando si creano criteri di conformità, subito dopo aver selezionato uno script di individuazione per tale criterio.
Gli script di individuazione sono specifici per le diverse piattaforme e vengono recapitati ai dispositivi come parte dei criteri di conformità. Quando un dispositivo valuta i criteri, lo script rileva (individua) le impostazioni dal file JSON e quindi segnala i risultati a Intune. I dispositivi Windows usano uno script di PowerShell e Linux i dispositivi usano uno script della shell conforme a POSIX.
È necessario caricare gli script nell'interfaccia di amministrazione Microsoft Intune prima di creare un criterio di conformità. Selezionare lo script quando si configura un criterio per supportare le impostazioni personalizzate.
Dopo aver distribuito le impostazioni di conformità personalizzate e i dispositivi, è possibile visualizzare i risultati insieme ai dettagli delle impostazioni di conformità predefinite nell'interfaccia di amministrazione Microsoft Intune. È possibile usare impostazioni di conformità personalizzate per le decisioni relative all'accesso condizionale allo stesso modo delle impostazioni di conformità predefinite. Insieme formano un set di regole composto, che influisce ugualmente sullo stato di conformità del dispositivo.
Requisiti
Requisiti della piattaforma del dispositivo
- Windows (escluso Windows Home)
- Linux
- Ubuntu Desktop, versione 24.04 LTS o 26.04 LTS
- RedHat Enterprise Linux 9
- RedHat Enterprise Linux 10
Requisiti del cloud
Microsoft Entra dispositivi aggiunti, inclusi Microsoft Entra dispositivi aggiunti ibridi.
Microsoft Entra dispositivi aggiunti ibridi sono dispositivi aggiunti a Microsoft Entra ID e aggiunti anche a Active Directory locale. Per altre informazioni, vedere Pianificare l'implementazione di join ibridi Microsoft Entra.
Microsoft Entra registrati/aggiunti a Workplace (WPJ)
Per informazioni sui dispositivi registrati in Microsoft Entra ID, vedere Aggiunta all'area di lavoro come autenticazione a secondo fattore senza problemi. In genere questi dispositivi sono bring-your-own-devices (BYOD) che hanno un account aziendale o dell'istituto di istruzione aggiunto tramite Impostazioni>Account>Accesso aziendale o dell'istituto di istruzione.
Nei dispositivi WPJ gli script di PowerShell del contesto del dispositivo funzionano, ma gli script di PowerShell del contesto utente vengono ignorati.
È anche necessario creare un oggetto :
Script di individuazione: script di PowerShell per Windows o script della shell conformi a POSIX per Linux creati. Lo script viene eseguito in un dispositivo per individuare le impostazioni personalizzate definite nel file JSON. Lo script restituisce il valore di configurazione di tali impostazioni da Intune. È necessario caricare lo script nell'interfaccia di amministrazione Microsoft Intune prima di creare un criterio di conformità e quindi selezionare lo script da usare durante la creazione di un criterio.
Per creare uno script di conformità personalizzato, vedere Script di individuazione della conformità personalizzati per Microsoft Intune.
File JSON : il file JSON definisce le impostazioni personalizzate e il valore che deve essere considerato conforme. Può anche contenere messaggi per gli utenti su come ripristinare la conformità del dispositivo per l'impostazione. Per indicazioni sulla creazione di un codice JSON per la conformità personalizzata, vedere File JSON di conformità personalizzati.
Creare un criterio con impostazioni di conformità personalizzate
Prima di iniziare a creare un criterio che include impostazioni personalizzate, esaminare i requisiti.
Prima di tutto, caricare uno script di individuazione applicabile per Intune e avere un JSON pronto da aggiungere durante la creazione dei criteri.
Quando si è pronti, usare la procedura normale per creare un criterio di conformità, che include istruzioni specifiche della piattaforma per l'aggiunta di impostazioni personalizzate ai criteri. Aggiungere impostazioni personalizzate nella pagina Impostazioni di configurazione configurando l'opzione per la conformità personalizzata.
Nota
Quando un dispositivo Windows riceve un criterio di conformità con impostazioni personalizzate, verifica la presenza dell'estensione di gestione Intune. Se l'estensione non viene trovata, il dispositivo esegue un'identità del servizio gestito per installarla. Dopo l'installazione, l'estensione scarica ed esegue script di PowerShell e carica i risultati della conformità in Intune. Le azioni eseguite dall'estensione con Intune includono:
- Verifica la presenza di script di PowerShell nuovi o aggiornati ogni otto ore.
- Esegue script di individuazione ogni otto ore.
- Esegue script quando un utente seleziona Verifica conformità nel dispositivo, ma non verifica la presenza di script nuovi o aggiornati in quel momento.
Le notifiche push non possono attivare la conformità personalizzata per l'esecuzione su richiesta.
Monitorare i criteri di conformità personalizzati
Usare i metodi seguenti per visualizzare i dettagli sullo stato di conformità di un dispositivo.
Sia per i dispositivi Linux che per i dispositivi Windows, è possibile visualizzare i dettagli di conformità dei dispositivi per impostazione per le impostazioni di conformità personalizzate nell'interfaccia di amministrazione Microsoft Intune.
Nell'interfaccia di amministrazione passare a Report>Conformità dispositivo e quindi selezionare la scheda Report . Selezionare il riquadro per i dispositivi e le impostazioni non conformi e quindi usare i menu a discesa per configurare il report. Assicurarsi di selezionare una piattaforma per il sistema operativo e quindi selezionare Genera report.
Per altre informazioni, vedere Monitorare Intune criteri di conformità dei dispositivi.
In un dispositivo Linux aprire l'app Intune per controllare lo stato di conformità del dispositivo. L'app visualizza uno degli stati seguenti:
- Conforme : il dispositivo è conforme ai criteri dell'organizzazione e deve essere in grado di accedere alle risorse dell'organizzazione.
- Verifica dello stato: Intune sta attualmente valutando la conformità del dispositivo ai criteri dell'organizzazione.
- Non conforme : il dispositivo non soddisfa i requisiti di sicurezza e dispositivo dell'organizzazione e potrebbe non avere accesso alle risorse dell'organizzazione.
Se lo stato del dispositivo non è conforme, selezionare Visualizza problemi per vedere cosa deve essere risolto. Per informazioni sulla risoluzione dei problemi comuni, vedere Risoluzione dei problemi aggiuntivi per i dispositivi Linux in questo articolo.
Risolvere i problemi di conformità personalizzata per i dispositivi
Usare i suggerimenti per la risoluzione dei problemi seguenti per risolvere i problemi comuni relativi alle impostazioni di conformità personalizzate nei dispositivi Windows e Linux.
Le impostazioni personalizzate non vengono valutate
Controllare i report di conformità del dispositivo per i codici di errore e le informazioni dettagliate seguenti sul problema:
- 65007: Errore dello script restituito
- 65008: impostazione mancante nel risultato dello script
- 65009: JSON non valido per l'impostazione individuata
- 65010: tipo di dati non valido per l'impostazione individuata
In Windows aggiungere la riga seguente alla fine dello script di PowerShell per restituire gli errori correlati allo script di PowerShell.
return $hash | ConvertTo-Json -Compress
Verificare che la riga si trova alla fine del file di script di PowerShell.
Gli script della shell conformi a PowerShell o POSIX non sono visibili per la selezione o rimangono visibili dopo l'eliminazione
Aggiornare la visualizzazione corrente. Se il problema persiste, annullare il flusso di creazione dei criteri e ricominciare.
Dopo aver risolto un problema in un dispositivo, le sincronizzazioni successive non identificano il problema come risolto e conforme
Possono essere necessari fino a otto ore prima che uno stato non conforme venga visualizzato come conforme dopo una modifica al dispositivo.
Un utente può verificare manualmente la conformità dopo aver risolto un problema in un dispositivo per identificare se il problema è stato risolto e conforme?
In Windows, un utente può accedere al sito Web Portale aziendale e attivare una sincronizzazione per aggiornare lo stato del dispositivo dopo aver corretto un'impostazione di conformità personalizzata non conforme.
In Linux, un utente può aprire l'app Microsoft Intune e selezionare Aggiorna nella pagina dei dettagli del dispositivo o nella pagina dei problemi di conformità per avviare un nuovo check-in con Intune.
Perché non sono supportati altri operatori e operandi?
Contattare il responsabile dell'account per richiedere l'aggiunta di operatori e operandi specifici. Possono quindi essere considerati per un aggiornamento futuro.
Perché non è possibile applicare più script di individuazione a un criterio di conformità personalizzato?
I criteri supportano l'uso di un singolo script. Tuttavia, ogni script può controllare più valori di conformità.
Risoluzione dei problemi aggiuntiva per i dispositivi Linux
Per identificare le impostazioni non conformi per un dispositivo:
- Nell'interfaccia di amministrazione Microsoft Intune è possibile identificare i dispositivi non conformi ai criteri. Passare a Report>Conformità dispositivo, selezionare la scheda Report e quindi selezionare il riquadro per i dispositivi e le impostazioni non conformi. Usare gli elenchi a discesa per configurare il report desiderato e quindi selezionare Genera report.
L'interfaccia di amministrazione visualizza una riga separata per ogni impostazione non conforme in un dispositivo.
- Nel dispositivo Linux aprire l'app Microsoft Intune e visualizzare la pagina Aggiorna impostazioni dispositivo.
Le sezioni seguenti illustrano i problemi comuni e le soluzioni per i problemi che potrebbero verificarsi gli utenti di dispositivi Linux.
Distribuzione e versione del sistema operativo
Se un dispositivo non soddisfa i requisiti di conformità per la distribuzione Linux o la versione del sistema operativo, l'utente potrebbe visualizzare un messaggio per aggiornare o effettuare il downgrade del sistema operativo.
Per rispettare l'impostazione Distribuzioni consentite, la distribuzione e la versione Linux del dispositivo devono soddisfare i requisiti minimi, massimi e di tipo. Se necessario, installare una versione o una distribuzione supportata di Linux per garantire la conformità del dispositivo.
Complessità delle password
Se un dispositivo non soddisfa i requisiti di complessità della password, l'utente potrebbe visualizzare un messaggio che chiede di usare una password più complessa.
Per essere conforme alle impostazioni dei criteri password, configurare il sistema di Linux per l'uso delle password che soddisfano tali requisiti. I requisiti comuni dell'organizzazione includono:
- Password che includono un numero minimo di lettere, cifre o caratteri speciali
- Password di lunghezza minima
Crittografia del dispositivo
Per indicazioni sulla configurazione della crittografia dei dispositivi per la conformità Linux, vedere impostazioni di conformità Linux.
Aggiornare lo stato di conformità nei dispositivi Linux
Per aggiornare lo stato di conformità dopo aver apportato modifiche in un dispositivo Linux, vedere Aggiornare lo stato di conformità.