Partager via


Utiliser des stratégies et des paramètres de conformité personnalisés pour les appareils Linux et Windows avec Microsoft Intune

Pour développer les options de conformité des appareils intégrées d’Intune, vous pouvez utiliser des stratégies pour les paramètres de conformité personnalisés pour les appareils Linux et Windows gérés. Les paramètres personnalisés offrent la flexibilité nécessaire pour baser la conformité sur les paramètres disponibles sur un appareil sans avoir à attendre qu’Intune ajoute ces paramètres aux modèles de stratégie intégrés.

Cette fonctionnalité s’applique à :

  • Windows 10/11 (à l’exception de Windows 10/11 Famille)
  • Linux
    • Ubuntu Desktop, version 20.04 LTS et 22.04 LTS
    • RedHat Enterprise Linux 8
    • RedHat Enterprise Linux 9

Avant de pouvoir ajouter des paramètres personnalisés à une stratégie, vous devez préparer un fichier JSON et un script de découverte à utiliser avec chaque plateforme prise en charge. Le script et JSON font partie de la stratégie de conformité. Chaque stratégie de conformité prend en charge un seul script, et chaque script peut découvrir plusieurs paramètres :

  • Le fichier JSON définit les paramètres personnalisés et les valeurs que vous considérez comme conformes. Vous pouvez également configurer des messages pour que les utilisateurs leur indiquent comment restaurer la conformité pour chaque paramètre. Vous ajoutez votre fichier JSON lorsque vous créez une stratégie de conformité, juste après avoir sélectionné un script de découverte pour cette stratégie.

  • Les scripts de découverte sont spécifiques aux différentes plateformes et sont remis aux appareils dans le cadre de la stratégie de conformité. Lorsqu’un appareil évalue sa stratégie, le script détecte (découvre) les paramètres à partir du fichier JSON, puis signale les résultats à Intune. Les appareils Windows utilisent un script PowerShell et les appareils Linux utilisent un script shell compatible POSIX.

    Les scripts doivent être chargés dans le Centre d’administration Microsoft Intune avant de créer une stratégie de conformité. Vous sélectionnez le script lorsque vous configurez une stratégie pour prendre en charge les paramètres personnalisés.

Une fois que vous avez déployé des paramètres de conformité personnalisés et que les appareils sont renvoyés, vous pouvez afficher les résultats ainsi que les détails des paramètres de conformité intégrés dans le Centre d’administration Microsoft Intune. Les paramètres de conformité personnalisés peuvent être utilisés pour les décisions d’accès conditionnel de la même façon que les paramètres de conformité intégrés. Ensemble, ils forment un ensemble de règles composées, affectant également l’état de conformité de l’appareil.

Configuration requise

  • Appareils joints à Microsoft Entra, y compris les appareils joints hybrides Microsoft Entra.

    Les appareils joints hybrides Microsoft Entra sont des appareils joints à l’ID Microsoft Entra et également joints à Active Directory local. Pour plus d’informations, consultez Planifier votre implémentation de jointure hybride Microsoft Entra.

  • Microsoft Entra registered/Workplace joined (WPJ)

    Pour plus d’informations sur les appareils inscrits dans l’ID Microsoft Entra, consultez Workplace Join as a seamless second factor authentication. En règle générale, ces appareils sont des appareils BYOD (Bring Your Own Device) qui ont un compte professionnel ou scolaire ajouté via Paramètres>Comptes>Accès professionnel ou scolaire.

    Sur les appareils WPJ, les scripts PowerShell de contexte d’appareil fonctionnent, mais les scripts PowerShell de contexte utilisateur sont ignorés.

  • Script de découverte : un script PowerShell pour Windows ou un script shell compatible POSIX pour Linux que vous créez. Le script s’exécute sur un appareil pour découvrir les paramètres personnalisés définis dans votre fichier JSON. Le script retourne la valeur de configuration de ces paramètres à Intune. Vous devez charger votre script dans le Centre d’administration Microsoft Intune avant de créer une stratégie de conformité, puis sélectionner le script que vous souhaitez utiliser lors de la création d’une stratégie.

    Pour créer un script de conformité personnalisé, consultez Scripts de découverte de conformité personnalisés pour Microsoft Intune.

  • Fichier JSON : le fichier JSON définit les paramètres personnalisés et la valeur qui doit être considérée comme conforme et peut contenir des messages pour les utilisateurs sur la façon de rétablir la conformité de l’appareil pour le paramètre. Pour obtenir des conseils sur la création d’un json pour la conformité personnalisée, consultez Fichiers JSON de conformité personnalisés.

Créer une stratégie avec des paramètres de conformité personnalisés

Avant de commencer à créer une stratégie qui inclut des paramètres personnalisés, passez en revue les prérequis.

Vous devez d’abord charger un script de découverte applicable dans Intune et disposer d’un JSON prêt à ajouter lors de la création de la stratégie.

Lorsque vous êtes prêt, utilisez la procédure normale pour créer une stratégie de conformité, qui inclut des instructions spécifiques à la plateforme pour ajouter des paramètres personnalisés à la stratégie. Les paramètres personnalisés sont ajoutés dans la page Paramètres de configuration en configurant l’option Conformité personnalisée.

Remarque

Lorsqu’un appareil Windows reçoit une stratégie de conformité avec des paramètres personnalisés, il vérifie la présence d’extensions de gestion Intune. S’il est introuvable, l’appareil exécute une msi qui installe les extensions, ce qui permet au client de télécharger et d’exécuter des scripts PowerShell qui font partie d’une stratégie de conformité, et de charger les résultats de conformité. Les actions gérées par les services sont les suivantes :

  • Vérification des scripts PowerShell nouveaux ou mis à jour toutes les huit heures.
  • Exécution des scripts de découverte toutes les huit heures.
  • Exécution de scripts qui se téléchargent lorsqu’un utilisateur sélectionne Vérifier la conformité sur l’appareil. Toutefois, il n’existe aucune vérification des scripts nouveaux ou mis à jour lors de l’exécution de La vérification de la conformité.

Il n’est pas possible d’envoyer des notifications Push à un appareil pour permettre l’exécution de la conformité personnalisée à la demande.

Surveiller la stratégie de conformité personnalisée

Utilisez les méthodes suivantes pour afficher des détails sur l’état de conformité d’un appareil.

  • Pour les appareils Linux et Windows, vous pouvez afficher les détails de conformité des appareils par paramètre pour les paramètres de conformité personnalisés dans le Centre d’administration Microsoft Intune.

    Dans le Centre d’administration, accédez à Rapports> Conformité de l’appareil, puis sélectionnez l’onglet Rapports. Sélectionnez la vignette des appareils et paramètres non conformes, puis utilisez les menus déroulants pour configurer le rapport. Veillez à sélectionner une plateforme pour le système d’exploitation, puis sélectionnez Générer un rapport.

    Pour plus d’informations, consultez Surveiller les stratégies de conformité des appareils Intune.

  • Sur un appareil Linux, vous pouvez ouvrir l’application Intune pour afficher l’état de l’appareil :

    • Conforme : votre appareil est conforme aux stratégies de votre organisation et doit être en mesure d’accéder aux ressources de l’organisation.
    • Vérification de l’état : Intune évalue actuellement la conformité des appareils aux stratégies de votre organisation.
    • Non conforme : l’appareil ne répond pas aux exigences en matière d’appareil et de sécurité de votre organisation et n’a peut-être pas accès aux ressources de votre organisation.

    Lorsque l’état de l’appareil est Non conforme, sélectionnez Afficher les problèmes pour afficher des détails sur les problèmes qui doivent être résolus pour mettre cet appareil en conformité. Pour plus d’informations sur la résolution des problèmes courants, consultez Résolution des problèmes supplémentaires pour les appareils Linux dans cet article.

Résoudre les problèmes de conformité personnalisée pour les appareils

Les paramètres personnalisés ne sont pas évalués

Vérifiez les rapports de conformité des appareils pour connaître les codes d’erreur suivants et obtenir des informations sur le problème :

  • 65007 : Échec du retour du script
  • 65008 : Paramètre manquant dans le résultat du script
  • 65009 : Json non valide pour le paramètre découvert
  • 65010 : type de données non valide pour le paramètre découvert

Sur Windows, vous pouvez ajouter la ligne suivante à la fin du script PowerShell pour retourner les erreurs liées au script PowerShell. Vérifiez que la ligne suivante se trouve à la fin du fichier de script PowerShell : return $hash | ConvertTo-Json -Compress

Les scripts d’interpréteur de commandes compatibles AVEC PowerShell ou POSIX ne sont pas visibles ou restent visibles après la suppression

Actualiser l'affichage actuel. Si le problème persiste, annulez le flux de création de stratégie et recommencez.

Une fois qu’un problème sur un appareil est résolu, les synchronisations suivantes n’identifient pas le problème comme étant résolu et conforme

Jusqu’à huit heures peuvent être nécessaires avant qu’un état non conforme s’affiche comme conforme après une modification apportée à l’appareil.

Un utilisateur peut-il vérifier manuellement la conformité après avoir résolu un problème sur un appareil afin d’identifier si le problème est résolu et conforme ?

  • Sur Windows, un utilisateur peut accéder au site web portail d’entreprise et déclencher une synchronisation pour mettre à jour l’état de l’appareil après avoir corrigé un paramètre de conformité personnalisé non conforme.

  • Sur Linux, un utilisateur peut ouvrir l’application Microsoft Intune et sélectionner Actualiser sur la page des détails de l’appareil ou sur la page des problèmes de conformité pour démarrer un nouvel enregistrement auprès d’Intune.

Pourquoi plus d’opérateurs et d’opérandes ne sont-ils pas pris en charge ?

Contactez votre responsable de compte pour demander l’ajout d’opérateurs et d’opérandes spécifiques. Ils peuvent ensuite être pris en compte pour une mise à jour ultérieure.

Pourquoi ne puis-je pas appliquer plusieurs scripts de découverte à une stratégie de conformité personnalisée ?

Les stratégies prennent en charge l’utilisation d’un seul script. Toutefois, chaque script prend en charge la vérification de plusieurs valeurs de conformité.

Résolution des problèmes supplémentaires pour les appareils Linux

Pour identifier les paramètres qui ne sont pas conformes pour un appareil :

  • Dans le Centre d’administration Microsoft Intune, vous pouvez identifier les appareils qui ne sont pas conformes à la stratégie. Accédez à Rapports>Conformité de l’appareil, sélectionnez l’onglet Rapports , puis sélectionnez la vignette pour Appareils et paramètres non conformes. Utilisez les listes déroulantes pour configurer le rapport souhaité, puis sélectionnez Générer le rapport.

Le centre d’administration affiche une ligne distincte pour chaque paramètre qui n’est pas conforme sur un appareil.

  • Sur l’appareil Linux, ouvrez l’application Microsoft Intune et affichez la page Mettre à jour les paramètres de l’appareil .

Les sections suivantes décrivent les problèmes courants et les solutions aux problèmes que les utilisateurs d’appareils Linux peuvent rencontrer.

Distribution et version du système d’exploitation

Les utilisateurs d’un appareil qui ne répond pas aux exigences de conformité pour la distribution Linux ou la version du système d’exploitation peuvent recevoir un message indiquant qu’il faut mettre à niveau ou rétrograder le système d’exploitation de cet appareil.

Pour être conformes au paramètre Distributions autorisées , la distribution et la version Linux des appareils doivent respecter les exigences minimales, maximales et de type. Si nécessaire, installez une autre version ou distribution de Linux pour mettre l’appareil en conformité.

Complexité du mot de passe

Les utilisateurs d’un appareil qui ne répond pas aux exigences de conformité pour les exigences de complexité des mots de passe peuvent recevoir un message indiquant qu’ils doivent utiliser un mot de passe fort.

Pour être conforme aux paramètres de stratégie de mot de passe , configurez le système Linux pour utiliser des mots de passe qui répondent à ces exigences. Les exigences courantes de l’organisation sont les suivantes :

  • Mots de passe qui incluent un nombre minimal de lettres, de chiffres ou de caractères spéciaux
  • Mots de passe d’une longueur minimale

Chiffrement de l’appareil

Les utilisateurs d’un appareil qui ne répond pas aux exigences de conformité pour le chiffrement de disque et de partition peuvent recevoir un message indiquant qu’ils doivent chiffrer les lecteurs de l’appareil.

Pour être conforme au paramètre Exiger le chiffrement de l’appareil, le chiffrement au niveau de l’appareil est requis pour les disques fixes accessibles en écriture sur l’appareil Linux.

Il existe plusieurs options pour le chiffrement de disque et de partition sur les systèmes d’exploitation Linux. Intune reconnaît tout système de chiffrement qui utilise le sous-système dm-crypt sous-jacent. Ce sous-système est une norme de longue date sur les systèmes Linux. La méthode recommandée pour configurer dm-crypt consiste à utiliser le format LUKS avec l’outil cryptsetup .

La liste suivante fournit des conseils généraux lors du chiffrement du disque et des partitions :

  • Le chiffrement des volumes système Linux après l’installation est possible, mais peut prendre du temps. Nous vous recommandons de configurer le chiffrement de disque lors de l’installation du système d’exploitation.
  • Toutes les partitions de système de fichiers n’ont pas besoin d’être chiffrées pour qu’un appareil réponde aux normes de l’organisation. Les éléments suivants ne sont pas évalués par les paramètres de chiffrement d’appareil intégrés :
    • Partitions en lecture seule
    • Pseudo-systèmes de fichiers, comme /proc ou tmpfs
    • Partitions /boot ou /boot/efi

Actualiser votre état de conformité sur les appareils Linux

Après avoir apporté des modifications à un appareil pour le mettre en conformité, actualisez l’état de l’appareil avec Intune :

  • Si l’application Microsoft Intune est toujours en cours d’exécution, sélectionnez Actualiser sur la page des détails de l’appareil ou sur la page des problèmes de conformité pour démarrer un nouvel enregistrement auprès d’Intune.
  • Si l’application Microsoft Intune n’est pas en cours d’exécution, connectez-vous à l’application pour démarrer un nouvel archivage.
  • Après l’installation, l’application Microsoft Intune s’archive régulièrement avec Intune seule, tant que l’appareil est allumé et qu’un utilisateur y est connecté.

Étapes suivantes