- Kompatibilita zaměřená na Ubuntu Desktop (22.04/24.04 LTS) a RHEL 8/9 s GNOME a procesorem x86/64.
- Instalace z repozitářů Microsoftu, aktualizace a odebrání řízené pomocí apt/dnf.
- Asistovaná registrace v aplikaci Intune, dodržování zásad a podmíněný přístup v Edge.
- Jednotné přihlašování s Microsoftem: Přihlášení povoleno nástrojem microsoft-identity-broker aplikace nativní a webové.
Pokud pracujete s Linux V podnikovém prostředí vám instalace a správa Microsoft Intune v systémech Ubuntu a Red Hat umožňuje sjednotit administraci, vynutit zabezpečení a dodržovat zásady přístupu bez zbytečných potíží. Tato praktická příručka vysvětluje, jak nainstalovat, aktualizovat a odinstalovat aplikaci Intune v těchto distribucích, jak zaregistrovat zařízení a co potřebujete vědět o jednotném přihlašování pomocí Microsoft Entra. Celý proces je navržen tak, abyste jej mohli aplikovat bez ztráty času a s maximální kompatibilitou..
Kromě technických kroků projdeme požadavky, úkoly administrátora a doporučení, abychom zajistili hladké nasazení jak na osobních (BYOD), tak na zařízeních vlastněných organizací. Najdeš příkazy Připraveno ke kopírování, poznámky ke kompatibilitě (Ubuntu Desktop a RHEL 8/9) a klíčové tipy pro dodržování podmíněného přístupu v Microsoft hran.
Systémové požadavky a kompatibilita
Aplikace Microsoft Intune pro Linux je k dispozici z oficiálního repozitáře společnosti Microsoft na adrese packages.microsoft.com. Pokud jde o podporované systémy, pozornost je věnována stolním počítačům. Ubuntu Desktop 22.04 LTS a 24.04 LTS, plus Red Hat Enterprise Linux 8 a 9Některé reference také zohledňují Ubuntu 20.04 LTS v scénářích registrace/SSO, ale aplikace Intune se zaměřuje na nejnovější verze LTS.
Pro Ubuntu je očekávaným prostředím desktopové prostředí s GNOME, které je součástí edic Desktop 22.04 a 24.04. Registrace na Ubuntu Serveru není podporována.. Pokud jde o technické vybaveníMluvíme o fyzických nebo virtualizovaných zařízeních (například Hyper-V nebo Azure) s procesory x86/64, což je deklarovaný cíl podpory.
Pokud jde o vlastnictví zařízení, jsou podporována BYOD a firemní zařízení; Registrovaná zařízení Linux jsou pro administrativní účely považována za firemní.Pro Linux neexistuje hromadná registrace: každé zařízení se registruje ručně prostřednictvím aplikace Intune. Scénáře bez uživatele (kiosk, celá obrazovka) také nejsou podporovány, protože registrace vyžaduje... uživatel se přihlásí pomocí svého organizačního účtu.
Další provozní detaily, které je třeba poznamenat: účet Device Enrollment Administrator (DEM) se nevztahuje na Linux a společnost Microsoft netestovala koexistenci s jiným MDM spuštěným paralelně. Vaše organizace může vyžadovat šifrování; nejjednodušší je ho povolit při první instalaci Ubuntu.Takže to zmíněte při počátečním nasazení.
Předběžné přípravy a potřebný software
Před instalací jakékoli služby se ujistěte, že váš klient a uživatel mají platné licence Intune/Endpoint Manageru pro registraci zařízení. Registrující se uživatel musí mít přiřazenou licenci a zařízení pro internetový přístup ke službám společnosti Microsoft.
Nainstalujte si prohlížeč Microsoft Edge (verze 102.x nebo novější), a to jak pro dokončení registrace, tak pro přístup k interním zdrojům (webovým aplikacím Microsoft 365, weby chráněné podmíněným přístupem atd.). Edge si můžete stáhnout z oficiálních webových stránek společnosti Microsoft a použít balíček .deb v Ubuntu nebo repozitář v RHEL..
V případě Ubuntu 24.04 je také platné instalovat lokální balíčky pomocí apt s použitím cesty k souboru .deb: sudo apt install ./název_balíčkuEdge je praktickým požadavkem v každodenním používání, protože zásady podmíněného přístupu se často aplikují v prohlížeči.
Instalace Microsoft Intune na počítač s Ubuntu (22.04 LTS a 24.04 LTS)
Instalace se provádí z terminálPřidání klíče a repozitáře Microsoft a následná instalace balíčku intune-portal. Následující příkazy fungují na ploše Ubuntu s procesorem x86/64.
1) Nainstalujte Curl a GPG pro správu klíče pro podepisování balíčků: Jsou nezbytné pro přidání repozitáře Microsoft..
sudo apt update
sudo apt install -y curl gpg
2) Importujte podpisový klíč od Microsoftu a umístěte jej do systémové svazku klíčů. Tento krok vám umožní ověřit balíčky..
curl https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.gpg
sudo install -o root -g root -m 644 microsoft.gpg /usr/share/keyrings/microsoft.gpg
sudo rm microsoft.gpg
3) Přidejte a aktualizujte repozitář Microsoft pro vaši verzi Ubuntu pomocí příkazu lsb_release. Tato metoda funguje jak na 22.04, tak na 24.04..
sudo sh -c 'echo "deb [arch=amd64 signed-by=/usr/share/keyrings/microsoft.gpg] https://packages.microsoft.com/ubuntu/$(lsb_release -rs)/prod $(lsb_release -cs) main" > /etc/apt/sources.list.d/microsoft-ubuntu-$(lsb_release -cs)-prod.list'
sudo apt update
Specifická alternativa pro Ubuntu 24.04 (noble), pokud dáváte přednost explicitní deklaraci verze. Tuto variantu použijte, pokud chcete nastavit kanál na 24.04:
curl https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.gpg
sudo install -o root -g root -m 644 microsoft.gpg /usr/share/keyrings/microsoft.gpg
sudo sh -c 'echo "deb [arch=amd64 signed-by=/usr/share/keyrings/microsoft.gpg] https://packages.microsoft.com/ubuntu/24.04/prod noble main" > /etc/apt/sources.list.d/microsoft-ubuntu-noble-prod.list'
sudo rm microsoft.gpg
sudo apt update
4) Nainstalujte si aplikaci Intune. Tento balíček obsahuje portál a komponenty potřebné k registraci zařízení. Instalace může trvat několik minut.
sudo apt install -y intune-portal
5) Restartujte zařízení, abyste dokončili nastavení a správně detekovali služby aplikace. Po první instalaci se doporučuje restart.
sudo reboot
Aktualizace Microsoft Intune v Ubuntu
Jakmile jsou k dispozici nové verze, lze je nainstalovat z aktualizátoru systémového softwaru nebo ručně přes terminál. Ruční aktualizace je velmi jednoduchá.:
sudo apt update
sudo apt-get dist-upgrade -y
Tento proces aktualizuje metadata a balíčky, včetně intune-portal, msft-broker a Edge, pokud je máte ve stejném repozitáři. Tím je zajištěna kompatibilita s bezpečnostními zásadami a vylepšeními..
Odinstalace Microsoft Intune v Ubuntu
Pokud potřebujete aplikaci ze systému odebrat, můžete tak učinit pomocí příkazu apt. Nejprve odeberte balíček a v případě potřeby také lokální data související s konfigurací. Před odstraněním záznamu si prosím ověřte zásady vaší organizace..
sudo apt remove -y intune-portal
sudo apt purge -y intune-portal
Instalace Microsoft Intune na Red Hat Enterprise Linux (RHEL 8/9)
V RHEL se instalace provádí pomocí dnf po importu klíče a přidání repozitáře Microsoft. Následující kroky ukazují postup v RHEL 9, platné pro referenci.:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
sudo dnf config-manager --add-repo https://packages.microsoft.com/yumrepos/microsoft-rhel9.0-prod
sudo dnf install -y intune-portal
sudo systemctl reboot
Pro RHEL 8 použijte repozitář Microsoft odpovídající vaší hlavní edici (8.x). Aplikace je kompatibilní s RHEL 8 a 9, ačkoli trasy repozitářů se mění v závislosti na verzi..
Aktualizace Microsoft Intune v systému Red Hat Enterprise Linux
Aktualizaci lze také použít pomocí nástroje dnf. Můžete aktualizovat celý systém nebo pouze balíček Intune. Obě možnosti jsou platné:
sudo dnf update -y
Pokud chcete aktualizovat pouze portálovou aplikaci: omezuje změnu na balíček intune-portal..
sudo dnf update -y intune-portal
Odinstalace Microsoft Intune v systému Red Hat Enterprise Linux
Chcete-li odebrat aplikaci z portálu a případně i trasování lokálních registračních dat, spusťte následující příkaz. Nejprve ověřte interní zásady uchovávání dat.:
sudo dnf remove -y intune-portal
sudo rm -rf /var/opt/microsoft/mdatp
sudo rm -rf /etc/opt/microsoft/mdatp
sudo rm -rf /opt/microsoft/mdatp
Registrace a zaregistrování zařízení se systémem Linux v Intune
S nainstalovanou aplikací je registrace velmi jednoduchá. Otevřete aplikaci Microsoft Intune a klepněte na Přihlásit se pomocí svého pracovního nebo školního účtu. Aplikace zaregistruje zařízení v Microsoft Enter a přidruží ho k Intune..
Během průvodce se zobrazí náhledové obrazovky a data, která si organizace může prohlédnout: model a sériové číslo zařízení, operační systém, název zařízení nebo seznam nainstalovaných aplikací. Pokud existují zásady dodržování předpisů, může být nutné upravit konfiguraci tak, aby splňovala požadavky. (například zásady šifrování nebo hesla).
Po dokončení aplikace zobrazí potvrzení, že je zařízení připraveno k použití. V tomto okamžiku otevřete Microsoft Edge a přihlaste se pomocí účtu vaší organizace, abyste získali přístup k chráněným interním aplikacím a webům. Edge je klíčem k uplatňování podmíněného přístupu ke službám Microsoft 365..
Pokud jste administrátor a chcete ověřit registraci, přihlaste se do Centra pro správu Intune a přejděte do části Zařízení > Linux > Zařízení se systémem Linux: Měli byste vidět nově registrovaný tým se stavem souladu s předpisy.
Stručná matice kompatibility a omezení
| Etapa | podpora |
|---|---|
| Desktopová verze Ubuntu 24.04 LTS / 22.04 LTS (x86/64) | ano |
| Ubuntu Server | Ne |
| RHEL 8 / 9 | ano |
| Bezuživatelské zařízení (kiosk, celá obrazovka) | Ne |
| Hromadná registrace | Ne |
| BYOD | Ano (po registraci je považován za právnickou osobu) |
Pokud zvažujete jiné distribuce, jako je Arch Linux, mějte na paměti, že v současné době nejsou oficiálně podporovány; možnosti jejich používání mohou být omezené a nejsou testovány společností Microsoft. Pro produkční prostředí se držte Ubuntu Desktop LTS a RHEL 8/9.
Úkoly a příprava administrátora
Registrace Linuxu vyžaduje minimální explicitní konfiguraci v Intune; je automaticky povolena pro každou platformu. Přesto existují doporučené kroky pro úspěšné nasazení. Začněte zajištěním kompatibility zařízení a přiřazených licencí.
Naplánujte si implementaci pomocí plánovacího průvodce Intune: definujte cíle správy, případy užití, komunikaci s uživateli, podporu, testování a validaci. Protože si uživatelé registrují svá vlastní zařízení, je vhodné mít jasný komunikační plán. o tom, jak nainstalovat aplikaci Intune a používat Edge.
Pokud jde o oprávnění, platí princip nejnižších oprávnění. Vestavěná role s nejnižším počtem oprávnění pro úlohy registrace je „Správce zásad a profilů Intune“. Zkontrolujte RBAC v Intune a přiřaďte příslušné role každému pracovnímu týmu..
V katalogu konfigurace vytvořte zásady dodržování předpisů specifické pro Linux: můžete je mimo jiné založit na distribuci/verzi, šifrování zařízení nebo složitosti hesla. Nekompatibilním zařízením může být zablokován přístup nebo mohou být vystavena opatřením, jako jsou varování nebo odstranění..
Pokud potřebujete pokrýt případy, které nejsou zahrnuty vestavěnými možnostmi, přidejte vlastní konfiguraci shody s předpisy pomocí skriptů Bash. Tyto vlastní direktivy se vytvářejí, monitorují a ladí v Intune a umožňují ověřování vlastních párů konfigurace a hodnoty..
Pro ochranu přístupu kombinuje zásady dodržování předpisů s podmíněným přihlašováním v Microsoft Sign-In, které se používá v Edge. Zařízení, které nesplňuje požadavky, se nebude moci přihlásit k webovým aplikacím Microsoft 365, dokud se jeho stav nevyřeší..
Úkoly koncového uživatele
Postup pro uživatele je jednoduchý: stáhněte a nainstalujte Edge (102.xo a novější), nainstalujte aplikaci Intune a dokončete průvodce registrací s vaším firemním účtem. V závislosti na zásadách mohou být nutné změny konfigurace. před udělením přístupu ke zdrojům.
Po registraci se uživatel musí přihlásit do Edge pomocí svého organizačního účtu, aby měl přístup k interním webům a službám Microsoft 365. Aplikace Intune bude pravidelně ověřovat dodržování předpisů. a upozorní na jakoukoli odchylku.
Jednotné přihlašování (SSO) pro Linux s Microsoft Entra (microsoft-identity-broker)
Jednotné přihlašování (SSO) v Linuxu se spoléhá na komponentu, která integruje systém s Microsoft Entra ID. S tímto brokerem uživatel použije své přihlašovací údaje pouze jednou a všechny ostatní kompatibilní aplikace zdědí relaci, aniž by znovu vyžadovaly heslo. Prostředí SSO zahrnuje nativní i webové aplikace, které používají MSAL.NET nebo MSAL.python. (například Azure CLI, Microsoft Edge, PWA pro Teams).
Mezi jeho výhody pro IT patří zjednodušení přístupu, snížení počtu hesel a povolení podmíněného přístupu na základě zařízení při prohlížení v Edge. Tato komponenta umožňuje registraci zařízení, registraci do Intune a dodržování standardů., kromě podpory Bash skriptů pro dodržování vlastních předpisů.
Požadavky na SSO/identitu v Linuxu: Ubuntu Desktop 24.04, 22.04 nebo 20.04 LTS, RHEL 8 nebo RHEL 9 na fyzických počítačích nebo Hyper-V na x86/64. Instalace a aktualizace jsou spravovány z repozitářů společnosti Microsoft., podobně jako aplikace Intune.
Další kroky, kontroly a řešení problémů
Po registraci zařízení uvidíte jeho stav v centru pro správu Intune v části Zařízení > Linux. Udržujte aplikace Intune a Edge aktuální z nakonfigurovaných úložišť. Pokud se vyskytnou chyby, zkontrolujte připojení k internetu, protokoly v počítači a zda je uživateli přiřazena licence..
Pokud se stav shody zobrazuje jako nekompatibilní, otevřete aplikaci Intune v počítači: zobrazí se položky, které je třeba opravit (šifrování, heslo, verze atd.). Vyřešením položek seznamu podmíněný přístup v Edge znovu udělí přístup.Administrátoři mohou v zásadách upravit akce v případě nedodržování předpisů (upozornění, vzdálené blokování nebo odebrání).
Pro řádné přijetí v organizaci je vždy užitečné spoléhat se na komunitu Microsoft Tech a navigační tutoriály v centru pro správu Intune. V dlouhodobých projektových scénářích použijte implementační příručku k přípravě nájemce, zásad a podpory.a vyhýbá se improvizaci ve výrobě.
Použití Intune na Ubuntu Desktop a RHEL umožňuje sjednotit zásady, podmíněný přístup a dodržování předpisů přehledným způsobem, s podporou Edge a zprostředkovatele identit pro jednotné přihlašování (SSO). Dodržování podporovaných verzí (Ubuntu 22.04/24.04 a RHEL 8/9), dodržování uvedených příkazů a dodržování pokynů pro dodržování předpisů je bezpečný způsob, jak provozovat Linux v souladu s pravidly vaší organizace..
Vášnivý spisovatel o světě bytů a technologií obecně. Rád sdílím své znalosti prostřednictvím psaní, a to je to, co budu dělat v tomto blogu, ukážu vám všechny nejzajímavější věci o gadgetech, softwaru, hardwaru, technologických trendech a dalších. Mým cílem je pomoci vám orientovat se v digitálním světě jednoduchým a zábavným způsobem.