本指南說明使用 Microsoft Intune 保護和管理 Linux 應用程式和端點所需執行的所有動作,包括如何:
- 準備租用戶以進行裝置註冊。
- 建立 Linux 裝置合規性原則。
- 新增自訂合規性設定。
- 在 Microsoft Edge 中強制執行條件式存取原則。
- 支援員工和學生註冊桌面。
針對本指南中的每個區段,請檢閱相關聯的工作。 有些工作是必要的,有些工作 (例如設定條件式存取) 是選擇性的。 選取每個區段中提供的連結,移至 Microsoft Learn 上建議的說明檔,您可以在其中找到更詳細資訊和操作說明。
步驟 1:必要條件
Microsoft Intune、Microsoft Entra ID 和 Microsoft Edge 可支援 Linux 桌面管理的特性和功能。 Microsoft Intune 提供裝置管理和合規性功能。 Microsoft Entra ID 支援條件式存取,與 Microsoft Intune 合規性原則搭配使用。 Microsoft Edge 是用來提供 Microsoft 365 Web 應用程式受保護存取的網頁瀏覽器應用程式。
以 Intune 系統管理員身分完成下列必要條件,以啟用租用戶的端點管理功能:
建議您使用完成工作所需的最低許可權角色。 例如,可以完成裝置註冊工作的最低許可權角色是內建 的原則和設定檔管理員 Intune 角色。
如需內建角色及其可執行動作的詳細資訊,請參閱 具有 Intune 的 RBAC) (角色型存取控制 和 Intune 的內建角色許可權。
如需如何準備組織、上線或採用 Intune 進行行動裝置管理的詳細資訊和建議,請參閱 Intune 安裝部署指南。
步驟 2:規劃您的部署
使用 Microsoft Intune 規劃指南 來定義您的裝置管理目標、使用案例案例和需求。 它還將幫助您規劃推出、溝通、支援、測試和驗證。 例如,因為當員工和學生註冊其裝置時,您不需要在那裡,因此建議您制定通訊計劃,讓人們知道在何處尋找安裝和使用公司入口網站和 Microsoft Edge 的相關資訊。
步驟 3:建立裝置合規性原則
建立裝置合規性原則,以確保存取資料的 Linux 裝置安全並符合組織的標準。 註冊程式的最後階段是合規性評估,以驗證裝置上的設定是否符合您的原則。 裝置使用者必須解決所有合規性問題,才能存取受保護的資源。 Intune 會將未符合合規性需求的裝置標示為 不合規 ,並採取其他動作 (,例如傳送通知、限制存取,或根據您針對 不合規設定的動作 抹除裝置) 。
您可以根據 Linux 發行版類型、版本、裝置加密或密碼複雜性強制執行裝置合規性原則。 Linux 的所有可用合規性設定都位於 Microsoft Intune 設定目錄中。 您可以將 Microsoft Entra 條件式存取原則與裝置合規性原則搭配使用,以控制對 Microsoft Edge 中 Microsoft 365 Web 應用程式的存取。 例如,如果員工嘗試在 Edge 中存取 Microsoft Teams,而沒有先註冊或保護其裝置,他們將無法登入。
提示
如需裝置合規性原則的概觀,請參閱 合規性概觀。
| 工作 | 詳細資料 |
|---|---|
| 建立裝置合規性原則 | 取得如何建立和指派 Linux 裝置裝置合規性原則的逐步指引。 |
| 新增自訂合規性設定 | 透過自訂合規性設定,您可以撰寫自己的 Bash 腳本,以解決 Microsoft Intune 內建的裝置合規性選項中尚未包含的合規性案例。 本文說明如何建立、監視及疑難排解 Linux 裝置的自訂合規性原則。 自訂合規性設定需要您 建立自訂指令碼 來識別設定和值組。 |
| 新增不合規的動作 | 選擇當裝置不再符合合規性原則的條件時會發生什麼情況。 動作範例包括傳送警示、遠端鎖定裝置或淘汰裝置。 您可以在設定裝置合規性原則時新增不合規動作,或稍後編輯原則來新增不合規動作。 |
| 建立 裝置型 或 應用程式型 條件式存取原則 | 設定條件式存取原則,以保護和授與適用於 Linux 的 Microsoft Edge 瀏覽器中 Microsoft 365 Web 應用程式的存取權。 條件式存取會封鎖不符合規範的裝置存取 Edge 中受保護的工作應用程式,並授與符合規範裝置的存取權。 您必須有裝置合規性原則,條件式存取才能使用 Linux 裝置。 |
步驟 4:註冊裝置
執行下列動作的 Linux 桌面平台支援註冊:
- Ubuntu LTS 版本 24.04、22.04 或 20.04。
- RedHat 企業 Linux 8
- RedHat 企業 Linux 9
獲指派 Intune 授權的員工可以隨時將其個人 Linux 裝置註冊到 Microsoft Intune。 在註冊期間,其裝置會向 Microsoft Entra ID 註冊,並評估合規性。 如果您已將條件式存取原則套用至 Edge,系統會提示使用者先註冊其裝置,然後才能使用其工作帳戶存取 Microsoft 365 Web 應用程式。
身為 Intune 系統管理員,除了 必要條件下所述的內容之外,您不需要執行任何動作來啟用員工的註冊。 但是,為他們提供幫助資源非常重要,以防他們在註冊期間需要指導。
提示
如果您需要裝置加密,請在裝置註冊之前告知您的員工,以便他們盡可能選擇在作業系統安裝期間加密其裝置。 這比在作業系統安裝後加密裝置更容易、更快捷。 此外,讓貴組織的作業系統需求和密碼複雜性需求易於在您的網站或入職電子郵件中找到,這樣員工就不必延遲註冊來尋找該資訊。
| 工作 | 詳細資料 |
|---|---|
| 安裝適用於 Linux 的 Microsoft Intune 應用程式 | 員工必須在其個人裝置上安裝 Microsoft Intune 應用程式才能註冊。 本文說明如何在終端機應用程式中安裝、更新及移除適用於 Linux 的 Microsoft Intune 應用程式。 |
| 安裝 Microsoft Edge 網頁瀏覽器) | 若要存取受保護的網站和檔案,員工必須擁有 Microsoft Edge 網頁瀏覽器 102 版。X 或更新版本。 註冊裝置之後,員工可以使用其工作帳戶登入 Microsoft Edge,並存取網站和檔案。 |
| 在 Intune 中註冊 Linux 裝置 | 本文適用於裝置使用者,並說明如何使用 Microsoft Intune 應用程式註冊裝置,並包含系統需求、必要條件和後續步驟。 在此步驟期間,Microsoft Intune 會向 Microsoft Entra ID 註冊裝置,並在 Intune 中建立裝置記錄。 註冊完成後,裝置合規性檢查開始。 |
| 檢查裝置狀態並解決合規性問題 | 本文適用於裝置使用者,並說明如何解決 Microsoft Intune 應用程式中的合規性問題。 合規性檢查會在註冊期間進行,之後會在裝置使用 Intune 簽入時進行。 Intune 應用程式會在員工的裝置上有不符合規範的設定時通知他們。 Intune 會使用裝置合規性和條件式存取原則來判斷不合規性和動作。 |
後續步驟
請參閱逐步 解說 Intune 系統管理中心 ,以取得如何流覽和使用 Intune 的教學課程。 教學課程是 100 – 200 層級的內容,適用於 Intune 或特定案例的新手。
查看 Microsoft Tech Community,以取得有關 Linux 桌面管理的最新資訊和部落格。
如需本指南的其他版本,請參閱: