Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Para expandir as opções de conformidade de dispositivos incorporadas do Intune, utilize políticas para definições de conformidade personalizadas para dispositivos Linux e Windows geridos. As definições personalizadas dão-lhe flexibilidade para basear a conformidade nas definições que estão disponíveis num dispositivo sem ter de aguardar Intune para adicionar estas definições aos modelos de política incorporados.
Esse recurso aplica-se a:
- Windows (excluindo a Home Page do Windows)
- Linux
- Ubuntu Desktop, versão 24.04 LTS ou 26.04 LTS
- RedHat Enterprise Linux 9
- RedHat Enterprise Linux 10
Antes de poder adicionar definições personalizadas a uma política, tem de preparar um ficheiro JSON e um script de deteção para utilização com cada plataforma suportada. Tanto o script como o JSON tornam-se parte da política de conformidade. Cada política de conformidade suporta um único script e cada script pode detetar várias definições:
O ficheiro JSON define as definições personalizadas e os valores que considera conformes. Também pode configurar mensagens para que os utilizadores lhes digam como restaurar a conformidade para cada definição. Adicione o ficheiro JSON quando criar uma política de conformidade, logo após selecionar um script de deteção para essa política.
Os scripts de deteção são específicos das diferentes plataformas e são entregues aos dispositivos como parte da política de conformidade. Quando um dispositivo avalia a respetiva política, o script deteta (deteta) as definições do ficheiro JSON e, em seguida, comunica os resultados para Intune. Os dispositivos Windows utilizam um script do PowerShell e Linux dispositivos utilizam um script de shell compatível com POSIX.
Tem de carregar os scripts para o centro de administração do Microsoft Intune antes de criar uma política de conformidade. Selecione o script quando estiver a configurar uma política para suportar definições personalizadas.
Depois de implementar o relatório de definições de conformidade e dispositivos personalizados, pode ver os resultados juntamente com os detalhes das definições de conformidade incorporadas no centro de administração do Microsoft Intune. Pode utilizar definições de conformidade personalizadas para decisões de Acesso Condicional da mesma forma que as definições de conformidade incorporadas. Em conjunto, formam um conjunto de regras compostas, afetando igualmente o estado de conformidade do dispositivo.
Requisitos
Requisitos da plataforma de dispositivos
- Windows (excluindo a Home Page do Windows)
- Linux
- Ubuntu Desktop, versão 24.04 LTS ou 26.04 LTS
- RedHat Enterprise Linux 9
- RedHat Enterprise Linux 10
Requisitos da cloud
Microsoft Entra dispositivos associados, incluindo Microsoft Entra dispositivos associados híbridos.
Microsoft Entra dispositivos associados híbridos são dispositivos associados a Microsoft Entra ID e também associados a Active Directory local. Para obter mais informações, veja Planear a implementação da associação híbrida Microsoft Entra.
Microsoft Entra registado/Associado à área de trabalho (WPJ)
Para obter informações sobre os dispositivos registados no Microsoft Entra ID, veja Associação à Área de Trabalho como uma autenticação de segundo fator totalmente integrada. Normalmente, estes dispositivos são byOD (bring your own devices) que têm uma conta escolar ou profissional adicionada através deContas> de Definições>Acesso profissional ou escolar.
Em dispositivos WPJ, os scripts do PowerShell de contexto do dispositivo funcionam, mas os scripts do PowerShell de contexto de utilizador são ignorados.
Também tem de criar um:
Script de deteção – um script do PowerShell para Windows ou um script de shell compatível com POSIX para Linux que criar. O script é executado num dispositivo para detetar as definições personalizadas definidas no ficheiro JSON. O script devolve o valor de configuração dessas definições para Intune. Tem de carregar o script para o centro de administração do Microsoft Intune antes de criar uma política de conformidade e, em seguida, selecionar o script que pretende utilizar ao criar uma política.
Para criar um script de conformidade personalizado, veja Scripts de deteção de conformidade personalizados para Microsoft Intune.
Ficheiro JSON – o ficheiro JSON define as definições personalizadas e o valor que deve ser considerado conforme. Também pode conter mensagens para os utilizadores sobre como restaurar o dispositivo para conformidade para a definição. Para obter orientações sobre como criar um JSON para conformidade personalizada, veja Ficheiros JSON de conformidade personalizados.
Criar uma política com definições de conformidade personalizadas
Antes de começar a criar uma política que inclua definições personalizadas, reveja os requisitos.
Primeiro, carregue um script de deteção aplicável para Intune e tenha um JSON pronto para adicionar ao criar a política.
Quando estiver pronto, utilize o procedimento normal para criar uma política de conformidade, que inclui instruções específicas da plataforma para adicionar definições personalizadas à política. Adicione definições personalizadas na página Definições de configuração ao configurar a opção de conformidade personalizada.
Observação
Quando um dispositivo Windows recebe uma política de conformidade com definições personalizadas, verifica a Extensão de Gestão do Intune. Se a extensão não for encontrada, o dispositivo executa um MSI para instalá-la. Depois de instalada, a extensão transfere e executa scripts do PowerShell e carrega os resultados de compatibilidade para Intune. As ações que a extensão executa com Intune incluem:
- Verifica a existência de scripts do PowerShell novos ou atualizados a cada oito horas.
- Executa scripts de deteção a cada oito horas.
- Executa scripts quando um utilizador seleciona Verificar Conformidade no dispositivo, mas não marcar para scripts novos ou atualizados nessa altura.
As notificações push não podem acionar a conformidade personalizada para ser executada a pedido.
Monitorizar a política de conformidade personalizada
Utilize os seguintes métodos para ver detalhes sobre o status de conformidade de um dispositivo.
Para dispositivos Linux e Windows, pode ver os detalhes de conformidade do dispositivo por definição para definições de conformidade personalizadas no centro de administração do Microsoft Intune.
No centro de administração, aceda a Relatórios>Conformidade do dispositivo e, em seguida, selecione o separador Relatórios . Selecione o mosaico para Dispositivos e definições não conformes e, em seguida, utilize os menus pendentes para configurar o relatório. Certifique-se de que seleciona uma plataforma para o SO e, em seguida, selecione Gerar relatório.
Para obter mais informações, veja Monitorizar políticas de conformidade de dispositivos Intune.
Num dispositivo Linux, abra a aplicação Intune para marcar a status de conformidade do dispositivo. A aplicação apresenta um dos seguintes estados:
- Compatível – o seu dispositivo está em conformidade com as políticas da sua organização e deve conseguir aceder aos recursos organizacionais.
- Verificar status – Intune está atualmente a avaliar a conformidade do dispositivo com as políticas da sua organização.
- Não conforme – o dispositivo não cumpre os requisitos de segurança e dispositivo da sua organização e pode não ter acesso aos recursos da sua organização.
Se o dispositivo status não estiver em conformidade, selecione Ver problemas para ver o que tem de ser corrigido. Para obter informações sobre como resolver problemas comuns, veja Resolução de problemas adicionais para dispositivos Linux neste artigo.
Resolver problemas de conformidade personalizada para dispositivos
Utilize as seguintes sugestões de resolução de problemas para resolve problemas comuns com definições de conformidade personalizadas em dispositivos Windows e Linux.
As definições personalizadas não são avaliadas
Verifique os relatórios de conformidade do dispositivo para obter os seguintes códigos de erro e informações sobre o problema:
- 65007: Falha no script devolvido
- 65008: Definição em falta no resultado do script
- 65009: json inválido para a definição detetada
- 65010: tipo de dados inválido para a definição detetada
No Windows, adicione a seguinte linha no final do script do PowerShell para devolver erros relacionados com o script do PowerShell.
return $hash | ConvertTo-Json -Compress
Certifique-se de que a linha está no final do ficheiro de script do PowerShell.
Os scripts de shell compatíveis com o PowerShell ou POSIX não estão visíveis para selecionar ou permanecem visíveis depois de serem eliminados
Atualize a vista atual. Se o problema persistir, cancele o fluxo de criação de políticas e recomeça.
Depois de um problema num dispositivo ser corrigido, as sincronizações subsequentes não identificam o problema como resolvido e conforme
Pode demorar até oito horas até que um status não conforme seja apresentado como conforme após uma alteração ao dispositivo.
Um utilizador pode marcar manualmente a conformidade depois de corrigir um problema num dispositivo para identificar se o problema está resolvido e em conformidade?
No Windows, um utilizador pode aceder ao site do Portal da Empresa e acionar uma sincronização para atualizar a status do dispositivo depois de corrigir uma definição de conformidade personalizada não conforme.
No Linux, um utilizador pode abrir a aplicação Microsoft Intune e selecionar Atualizar na página de detalhes do dispositivo ou na página de problemas de conformidade para iniciar uma nova marcar com Intune.
Por que motivo não são suportados mais operadores e operandos?
Contacte o gestor de conta para pedir a adição de operadores e operandos específicos. Em seguida, podem ser considerados para uma atualização futura.
Por que motivo não consigo aplicar vários scripts de deteção a uma política de conformidade personalizada?
As políticas suportam a utilização de um único script. No entanto, cada script pode marcar vários valores de compatibilidade.
Resolução de problemas adicionais para dispositivos Linux
Para identificar definições que não são compatíveis com um dispositivo:
- No Microsoft Intune centro de administração, pode identificar dispositivos que não estão em conformidade com a política. Aceda a Relatórios>Conformidade do dispositivo, selecione o separador Relatórios e, em seguida, selecione o mosaico para Dispositivos e definições não conformes. Utilize as listas pendentes para configurar o relatório pretendido e, em seguida, selecione Gerar relatório.
O centro de administração apresenta uma linha separada para cada definição que não esteja em conformidade num dispositivo.
- No dispositivo Linux, abra a aplicação Microsoft Intune e veja a página Atualizar definições do dispositivo.
As secções seguintes abordam problemas comuns e resoluções para problemas que os utilizadores de dispositivos Linux podem encontrar.
Distribuição e versão do sistema operativo
Se um dispositivo não cumprir os requisitos de conformidade da distribuição Linux ou versão do SO, o utilizador poderá ver uma mensagem para atualizar ou mudar para uma versão anterior do sistema operativo.
Para cumprir a definição Distribuições Permitidas, a distribuição Linux e a versão do dispositivo têm de cumprir os requisitos mínimos, máximos e de tipo. Se necessário, instale uma versão ou distribuição suportada de Linux para que o dispositivo seja compatível.
Complexidade da palavra-passe
Se um dispositivo não cumprir os requisitos de complexidade da palavra-passe, o utilizador poderá ver uma mensagem a pedir-lhe para utilizar uma palavra-passe mais segura.
Para estar em conformidade com as definições da Política de Palavras-passe, configure o sistema de Linux para utilizar palavras-passe que cumpram esses requisitos. Os requisitos comuns da organização incluem:
- Palavras-passe que incluem um número mínimo de letras, dígitos ou carateres especiais
- Palavras-passe com um comprimento mínimo
Criptografia de dispositivo
Para obter orientações sobre como configurar a encriptação de dispositivos para Linux conformidade, veja Linux definições de conformidade.
Atualizar a status de conformidade em dispositivos Linux
Para atualizar status de conformidade após efetuar alterações num dispositivo Linux, veja Atualizar status de conformidade.