Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Um die integrierten Gerätekonformitätsoptionen Intune zu erweitern, verwenden Sie Richtlinien für benutzerdefinierte Konformitätseinstellungen für verwaltete Linux- und Windows-Geräte. Benutzerdefinierte Einstellungen bieten Ihnen die Flexibilität, die Konformität auf den Einstellungen zu basieren, die auf einem Gerät verfügbar sind, ohne darauf zu warten, dass Intune diese Einstellungen den integrierten Richtlinienvorlagen hinzufügen.
Diese Funktion gilt für:
- Windows (ohne Windows Home)
- Linux
- Ubuntu Desktop, Version 24.04 LTS oder 26.04 LTS
- RedHat Enterprise Linux 9
- RedHat Enterprise Linux 10
Bevor Sie einer Richtlinie benutzerdefinierte Einstellungen hinzufügen können, müssen Sie eine JSON-Datei und ein Ermittlungsskript für die Verwendung mit jeder unterstützten Plattform vorbereiten. Sowohl das Skript als auch json werden Teil der Konformitätsrichtlinie. Jede Konformitätsrichtlinie unterstützt ein einzelnes Skript, und jedes Skript kann mehrere Einstellungen ermitteln:
Die JSON-Datei definiert die benutzerdefinierten Einstellungen und die Werte, die Sie als konform betrachten. Sie können auch Nachrichten für Benutzer konfigurieren, um ihnen mitzuteilen, wie die Konformität für jede Einstellung wiederhergestellt werden soll. Fügen Sie Ihre JSON-Datei beim Erstellen einer Konformitätsrichtlinie hinzu, nachdem Sie ein Ermittlungsskript für diese Richtlinie ausgewählt haben.
Ermittlungsskripts sind für die verschiedenen Plattformen spezifisch und werden im Rahmen der Konformitätsrichtlinie an Geräte übermittelt. Wenn ein Gerät seine Richtlinie auswertet, erkennt (ermittelt) das Skript die Einstellungen aus der JSON-Datei und meldet dann die Ergebnisse an Intune. Windows-Geräte verwenden ein PowerShell-Skript und Linux Geräte ein POSIX-kompatibles Shellskript.
Sie müssen die Skripts in das Microsoft Intune Admin Center hochladen, bevor Sie eine Konformitätsrichtlinie erstellen. Wählen Sie das Skript aus, wenn Sie eine Richtlinie zur Unterstützung benutzerdefinierter Einstellungen konfigurieren.
Nachdem Sie benutzerdefinierte Konformitätseinstellungen bereitgestellt haben und Geräte berichte zurück, können Sie die Ergebnisse zusammen mit den details der integrierten Konformitätseinstellung im Microsoft Intune Admin Center anzeigen. Sie können benutzerdefinierte Konformitätseinstellungen für Entscheidungen über bedingten Zugriff auf die gleiche Weise wie integrierte Konformitätseinstellungen verwenden. Zusammen bilden sie einen zusammengesetzten Regelsatz, der sich gleichermaßen auf den Konformitätszustand des Geräts auswirkt.
Anforderungen
Geräteplattformanforderungen
- Windows (ohne Windows Home)
- Linux
- Ubuntu Desktop, Version 24.04 LTS oder 26.04 LTS
- RedHat Enterprise Linux 9
- RedHat Enterprise Linux 10
Cloudanforderungen
Microsoft Entra verbundenen Geräten, einschließlich Microsoft Entra hybrid eingebundenen Geräten.
Microsoft Entra hybrid eingebundenen Geräte sind Geräte, die mit Microsoft Entra ID und auch mit lokales Active Directory verknüpft sind. Weitere Informationen finden Sie unter Planen Ihrer Microsoft Entra Hybrid Join-Implementierung.
Microsoft Entra registriert/Arbeitsplatzbeitritt (WPJ)
Informationen zu Geräten, die in Microsoft Entra ID registriert sind, finden Sie unter Workplace Join als nahtlose Authentifizierung mit zweitem Faktor. In der Regel handelt es sich bei diesen Geräten um BYOD (Bring Your Own Devices), bei denen ein Geschäfts-, Schul- oder Unikonto über Einstellungen>Konten>Zugriff auf Geschäfts-, Schul- oder Unikonto hinzugefügt wurde.
Auf WPJ-Geräten funktionieren PowerShell-Skripts im Gerätekontext, aber PowerShell-Skripts im Benutzerkontext werden ignoriert.
Außerdem müssen Sie folgendes erstellen:
Ermittlungsskript: Ein PowerShell-Skript für Windows oder ein POSIX-kompatibles Shellskript für Linux, die Sie erstellen. Das Skript wird auf einem Gerät ausgeführt, um die in Ihrer JSON-Datei definierten benutzerdefinierten Einstellungen zu ermitteln. Das Skript gibt den Konfigurationswert dieser Einstellungen an Intune zurück. Sie müssen Ihr Skript in das Microsoft Intune Admin Center hochladen, bevor Sie eine Konformitätsrichtlinie erstellen, und dann das Skript auswählen, das Sie beim Erstellen einer Richtlinie verwenden möchten.
Informationen zum Erstellen eines benutzerdefinierten Konformitätsskripts finden Sie unter Benutzerdefinierte Konformitätsermittlungsskripts für Microsoft Intune.
JSON-Datei : Die JSON-Datei definiert die benutzerdefinierten Einstellungen und den Wert, der als konform betrachtet werden soll. Es kann auch Nachrichten für Benutzer enthalten, wie das Gerät für die Einstellung wiederhergestellt werden kann. Eine Anleitung zum Erstellen eines JSON-Codes für benutzerdefinierte Konformität finden Sie unter Json-Dateien mit benutzerdefinierter Konformität.
Erstellen einer Richtlinie mit benutzerdefinierten Konformitätseinstellungen
Bevor Sie mit dem Erstellen einer Richtlinie beginnen, die benutzerdefinierte Einstellungen enthält, überprüfen Sie die Anforderungen.
Laden Sie zunächst ein anwendbares Ermittlungsskript in Intune hoch, und verfügen Sie über eine bereite JSON-Datei, die Sie beim Erstellen der Richtlinie hinzufügen können.
Wenn Sie bereit sind, verwenden Sie das normale Verfahren, um eine Konformitätsrichtlinie zu erstellen, die plattformspezifische Anweisungen zum Hinzufügen benutzerdefinierter Einstellungen zur Richtlinie enthält. Fügen Sie auf der Seite Konfigurationseinstellungen benutzerdefinierte Einstellungen hinzu, indem Sie die Option für benutzerdefinierte Kompatibilität konfigurieren.
Hinweis
Wenn ein Windows-Gerät eine Konformitätsrichtlinie mit benutzerdefinierten Einstellungen empfängt, sucht es nach der Intune Verwaltungserweiterung. Wenn die Erweiterung nicht gefunden wird, führt das Gerät eine MSI aus, um sie zu installieren. Nach der Installation lädt die Erweiterung PowerShell-Skripts herunter und führt sie aus und lädt Konformitätsergebnisse in Intune hoch. Zu den Aktionen, die die Erweiterung mit Intune ausführt, gehören:
- Sucht alle acht Stunden nach neuen oder aktualisierten PowerShell-Skripts.
- Führt ermittlungsskripts alle acht Stunden aus.
- Führt Skripts aus, wenn ein Benutzer Kompatibilität überprüfen auf dem Gerät auswählt, aber zu diesem Zeitpunkt nicht nach neuen oder aktualisierten Skripts sucht.
Pushbenachrichtigungen können nicht auslösen, dass benutzerdefinierte Compliance bei Bedarf ausgeführt wird.
Überwachen einer benutzerdefinierten Konformitätsrichtlinie
Verwenden Sie die folgenden Methoden, um Details zur Kompatibilität eines Geräts status anzuzeigen.
Sowohl für Linux- als auch für Windows-Geräte können Sie details zur Gerätekonformität pro Einstellung für benutzerdefinierte Konformitätseinstellungen im Microsoft Intune Admin Center anzeigen.
Wechseln Sie im Admin Center zu Berichte>Gerätekonformität, und wählen Sie dann die Registerkarte Berichte aus. Wählen Sie die Kachel für Nicht konforme Geräte und Einstellungen aus, und verwenden Sie dann die Dropdownmenüs, um den Bericht zu konfigurieren. Achten Sie darauf, eine Plattform für das Betriebssystem auszuwählen, und wählen Sie dann Bericht generieren aus.
Weitere Informationen finden Sie unter Überwachen Intune Gerätekonformitätsrichtlinien.
Öffnen Sie auf einem Linux Gerät die Intune-App, um die Compliance-status des Geräts zu überprüfen. Die App zeigt einen der folgenden Zustände an:
- Konform: Ihr Gerät ist mit den Richtlinien Ihrer organization konform und sollte auf Organisationsressourcen zugreifen können.
- Überprüfen status– Intune bewertet derzeit die Konformität des Geräts mit den Richtlinien Ihrer organization.
- Nicht konform: Das Gerät erfüllt die Geräte- und Sicherheitsanforderungen Ihrer organization nicht und hat möglicherweise keinen Zugriff auf die Ressourcen Ihrer organization.
Wenn das Gerät status nicht konform ist, wählen Sie Probleme anzeigen aus, um zu sehen, was behoben werden muss. Informationen zum Beheben häufiger Probleme finden Sie in diesem Artikel unter Zusätzliche Problembehandlung für Linux-Geräte.
Problembehandlung bei der benutzerdefinierten Kompatibilität für Geräte
Verwenden Sie die folgenden Tipps zur Problembehandlung, um häufige Probleme mit benutzerdefinierten Konformitätseinstellungen auf Windows- und Linux-Geräten zu beheben.
Benutzerdefinierte Einstellungen werden nicht ausgewertet
Überprüfen Sie die Gerätekonformitätsberichte auf die folgenden Fehlercodes und Einblicke in das Problem:
- 65007: Skriptfehler zurückgegeben
- 65008: Einstellung fehlt im Skriptergebnis
- 65009: Ungültiger JSON-Code für die ermittelte Einstellung
- 65010: Ungültiger Datentyp für die ermittelte Einstellung
Fügen Sie unter Windows die folgende Zeile am Ende des PowerShell-Skripts hinzu, um Fehler im Zusammenhang mit dem PowerShell-Skript zurückzugeben.
return $hash | ConvertTo-Json -Compress
Stellen Sie sicher, dass sich die Zeile am Ende der PowerShell-Skriptdatei befindet.
PowerShell- oder POSIX-kompatible Shellskripts sind nicht zur Auswahl sichtbar oder bleiben nach dem Löschen sichtbar.
Aktualisieren der aktuellen Ansicht Wenn das Problem weiterhin besteht, brechen Sie den Richtlinienerstellungsflow ab, und beginnen Sie erneut.
Nachdem ein Problem auf einem Gerät behoben wurde, identifizieren nachfolgende Synchronisierungen das Problem nicht als gelöst und konform.
Es kann bis zu acht Stunden dauern, bis ein nicht konformer status nach einer Änderung des Geräts als konform angezeigt wird.
Kann ein Benutzer nach der Behebung eines Problems auf einem Gerät manuell überprüfen, ob das Problem behoben und konform ist?
Unter Windows kann ein Benutzer zur Unternehmensportal Website wechseln und eine Synchronisierung auslösen, um das Gerät status zu aktualisieren, nachdem er eine nicht konforme benutzerdefinierte Konformitätseinstellung korrigiert hat.
Auf Linux kann ein Benutzer die Microsoft Intune-App öffnen und entweder auf der Seite mit den Gerätedetails oder auf der Seite mit Konformitätsproblemen aktualisieren auswählen, um einen neuen Check-In mit Intune zu starten.
Warum werden keine weiteren Operatoren und Operanden unterstützt?
Wenden Sie sich an Ihren Konto-Manager, um das Hinzufügen bestimmter Operatoren und Operanden anzufordern. Sie können dann für ein zukünftiges Update in Betracht gezogen werden.
Warum kann ich nicht mehrere Ermittlungsskripts auf eine benutzerdefinierte Konformitätsrichtlinie anwenden?
Richtlinien unterstützen die Verwendung eines einzelnen Skripts. Jedes Skript kann jedoch mehrere Konformitätswerte überprüfen.
Zusätzliche Problembehandlung für Linux-Geräte
So identifizieren Sie Einstellungen, die für ein Gerät nicht kompatibel sind:
- Im Microsoft Intune Admin Center können Sie Geräte identifizieren, die nicht mit der Richtlinie kompatibel sind. Wechseln Sie zu Berichte>Gerätekonformität, wählen Sie die Registerkarte Berichte und dann die Kachel für Nicht konforme Geräte und Einstellungen aus. Verwenden Sie die Dropdownlisten, um den gewünschten Bericht zu konfigurieren, und wählen Sie dann Bericht generieren aus.
Das Admin Center zeigt eine separate Zeile für jede Einstellung an, die auf einem Gerät nicht kompatibel ist.
- Öffnen Sie auf dem Linux Gerät die Microsoft Intune-App, und zeigen Sie die Seite Geräteeinstellungen aktualisieren an.
In den folgenden Abschnitten werden häufige Probleme und Lösungen für Probleme erläutert, die bei Benutzern von Linux Geräten auftreten können.
Betriebssystem-Distribution und -Version
Wenn ein Gerät die Konformitätsanforderungen für die Linux Distribution oder Betriebssystemversion nicht erfüllt, wird dem Benutzer möglicherweise eine Meldung zum Upgrade oder Downgrade des Betriebssystems angezeigt.
Um die Einstellung Zulässige Distributionen zu erfüllen, müssen die Linux Distribution und Version des Geräts die Mindest-, Höchst- und Typanforderungen erfüllen. Installieren Sie bei Bedarf eine unterstützte Version oder Distribution von Linux, um die Konformität des Geräts zu gewährleisten.
Kennwortkomplexität
Wenn ein Gerät die Anforderungen an die Kennwortkomplexität nicht erfüllt, wird dem Benutzer möglicherweise eine Meldung angezeigt, in der er aufgefordert wird, ein stärkeres Kennwort zu verwenden.
Um mit den Kennwortrichtlinieneinstellungen kompatibel zu sein, konfigurieren Sie das Linux System so, dass Kennwörter verwendet werden, die diese Anforderungen erfüllen. Zu den allgemeinen organization Anforderungen gehören:
- Kennwörter, die eine Mindestanzahl von Buchstaben, Ziffern oder Sonderzeichen enthalten
- Kennwörter mit einer Mindestlänge
Geräteverschlüsselung
Anleitungen zum Konfigurieren der Geräteverschlüsselung für Linux Kompatibilität finden Sie unter Linux Konformitätseinstellungen.
Aktualisieren Der Compliance-status auf Linux Geräten
Informationen zum Aktualisieren von Compliance-status, nachdem Sie Änderungen auf einem Linux Gerät vorgenommen haben, finden Sie unter Aktualisieren der Compliance-status.