在 Intune 中为设备和用户创建 Linux 合规性策略

在本文中，你将了解如何在 Intune 中创建 Linux 合规性策略并将其部署到用户和托管设备。您可以在 Intune 中为 Linux 设备创建设备合规性策略，并定义用户和托管设备必须满足的规则和设置才能合规。

Microsoft Intune 现在支持运行 Ubuntu Desktop 22.04 或 20.04 LTS 的设备的 Linux 设备管理。随着 Microsoft 在 Ignite 2022 中发布的最新公告，Microsoft Intune 中的 Linux 桌面管理现已全面推出。这意味着您可以使用 Microsoft Intune 在公司网络上注册并注册您自己的 Linux 设备。

最终用户可以自行注册受支持的 Linux 设备，并使用 Microsoft Edge 浏览器在线访问公司资源。请参阅有关在 Intune 中注册 Linux 设备的分步指南。

在本指南中，我将向您展示如何使用 Intune 为 Linux 设备设置和分配设备合规性策略。作为示例，我将向您展示如何为 Linux 设备配置“需要设备加密”合规性策略，该策略检查硬盘是否已加密。

有用的文章：如何在 Microsoft Intune 中复制设置目录

Linux 设备的自定义合规性

我们知道，需要进行大量的设备合规性检查来确保公司资产的安全。使用 Endpoint Manager 自己的合规性策略，IT 管理员可以创建自己的 Bash 脚本来评估对其公司最重要的 Linux 端点的特征。组织可以通过创建自定义合规策略来涵盖其独特的合规场景。

据微软称，今年秋季晚些时候，Endpoint Manager 中将发布针对 Linux 的新设备配置解决方案。这将是一个自定义配置解决方案，客户可以使用 Bash 脚本进行配置。借助此解决方案，客户可以实现各种场景，例如将 Wi-Fi 配置文件和证书部署到 Linux 桌面。期望有一组预定义的脚本，您可以使用它们来开始自定义脚本。

推荐阅读：生成和导出 Intune 设备合规性报告

将 Linux 设备注册到 Microsoft Intune

在 Intune 中创建 Linux 合规性策略之前，必须首先在 Intune 中注册 Linux 设备。您可以参考以下有关如何在 Intune 中注册 Linux 设备的指南。将 Linux 设备注册到 Intune 后，您会注意到

Intune 中 Linux 管理的第一个版本将包括以下功能：

• Ubuntu LTS（22.04、20.04）桌面的注册
• 通过 Microsoft Edge 保护 Web 应用程序的条件访问策略
• 标准合规政策
• 支持自定义合规策略的 Bash 脚本

您可以参考以下指南，了解如何在 Intune (Microsoft Endpoint Manager) 中注册 Windows 设备。

• 在 Microsoft Intune 中注册 Windows 10 设备
• 在 Microsoft Intune 中注册 Windows 11 设备

在 Intune 中创建 Linux 合规性策略

让我们看看在 Intune 中创建 Linux 合规性策略的步骤。

• 登录 Microsoft Endpoint Manager 管理中心。
• 导航到设备 > Linux > 合规性策略。
• 要创建新策略，请选择创建策略。

平台是Linux，配置文件类型是设置目录。单击创建。

在创建配置文件的基本选项卡上，指定策略名称，例如“设备加密合规性策略”。添加合规政策的简要说明。单击下一步继续。

Intune 中的设置目录允许你选择要为 Windows 和 Linux 设备配置的设置。单击添加设置浏览并搜索目录以查找您要为 Linux 设备配置的设置。

另请阅读：了解如何创建 Intune 设置目录策略

使用 Intune 为 Linux 设备配置设备加密

在本节中，我将向您展示如何使用 Microsoft Intune 配置 Linux 设备的设备加密。设备加密会检查 Linux 设备上的硬盘驱动器是否已加密，并根据检查结果告诉您该设备是否合规。

如果Linux设备的硬盘已加密，则该机器将合规；否则，设备将不符合要求。在设置选择器窗口的类别下，选择设备加密。设备加密类别只有一项设置，即“需要设备加密”。选择它并关闭设置选择器窗口。

“需要设备加密”设置指定此计算机上的可写固定磁盘是否需要设备级加密。将滑块转到“True”，从而启用此设置，然后单击下一步。

在不合规操作选项卡上，您可以指定对不合规设备执行的操作顺序。这是一个可选配置，但很有用。您可以向 Linux 设备的用户发送电子邮件，通知他们设备不合规的情况。我们还有一个消息模板来向用户发送电子邮件，但目前没有可用的模板。我希望微软能够在即将发布的更新中添加这些模板。单击下一步继续。

将 Linux 设备合规性策略分配给设备和用户

在分配选项卡上，单击添加组以选择要向其分配 Linux 合规性策略的组或用户。 Linux 设备没有范围标签选项。单击下一步。

查看为 Linux 设备配置的设备加密合规性策略设置，然后单击创建。此操作将在 Intune 中创建新的 Linux 合规性策略。

在 Intune 中创建 Linux 合规性策略后，它们将显示在 Linux > 合规性策略 下。在此屏幕中，您可以编辑策略并根据需要进行更改。

验证 Linux 设备上的合规性策略

分配检查 Linux 设备磁盘加密的合规性策略后，我们将在此步骤中检查设备的状态。在 Linux 设备上启动 Microsoft Intune 应用程序并根据需要登录。

Linux 设备在下面的屏幕截图中显示为“合规”，因为它尚未收到我们分配的合规性策略。除非您部署合规性策略，否则您注册的任何新 Linux 设备都会显示为合规。

在 Windows 上，我们可以选择手动同步 Intune 设备，但在 Linux 中只有一种同步策略的方法。单击刷新选项，这将强制您的 Linux 设备与 Intune 连接，以获取来自组织的最新更新、要求和通信。

几秒钟后，我们看到 Linux 设备显示不合规。我们看到以下消息：此设备不符合您组织的设备和安全要求。您可能无法从此设备访问组织的资源，例如电子邮件。

上面的消息是一条一般消息，会显示在所有不合规的 Linux 设备上。单击查看问题以查看不合规设备的原因。

当您单击 Microsoft Intune 应用程序中的“查看问题”按钮时，您可以准确了解 Linux 设备不合规的原因。例如，在我们的案例中，我们知道 Linux 设备不合规，因为硬盘驱动器未加密。加密此 Linux 设备上的硬盘驱动器将使其合规。