La gestion pas à pas des appareils Linux avec Microsoft Intune

By | 20 octobre 2022

Cela ne vous a probablement pas échappé, la possibilité de gérer les distributions Linux via Microsoft Intune vient d’arriver dans la version 2209 de Microsoft Intune. Avec cette preview nous avons la possibilité d’inscrire un appareil sur le service et de le gérer sa conformité. A l’heure ou lirez cet article, votre tenant sera probablement provisionné.

Preview oblige, le support est les fonctionnalités restent limités. Il est fort probable que ce support soit étendu à d’autres mais dans un premier temps seules les distributions Ubuntu Desktop (version 22.04 ou 20.04) sous GNOME. Désolé pour les adeptes de KDE 🙂

Note : avant l’inscription dans Microsoft Intune , Il est nécessaire d’installer Microsoft Edge (utilisé pour accéder aux ressources de l’organisation) et l’App Microsoft Intune sur l’appareil pour réaliser ladite inscription.

Note : assurez-vous de mettre à jour et d’installer curl/gpg avant de commencer 🙂

sudo apt install curl
sudo apt install gpg 
sudo apt update

Pour installer Microsoft Edge, vous pouvez utiliser le navigateur Firefox (installer nativement) et téléchargez le package d’installation de Microsoft Edge à l’adresse suivante : https://www.microsoft.com/en-us/edge ou si comme moi vous préférez l’automatiser via le terminal :

curl https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.gpg
sudo install -o root -g root -m 644 microsoft.gpg /etc/apt/trusted.gpg.d/
sudo sh -c 'echo "deb [arch=amd64] https://packages.microsoft.com/repos/edge stable main" > /etc/apt/sources.list.d/microsoft-edge-stable.list'
sudo rm microsoft.gpg
sudo apt update
sudo apt install microsoft-edge-stable

Pour l’installation de l’App Intune, nous allons également utiliser le terminal. Lors de mes tests, j’ai rencontré quelques problèmes de dépendances sur la version 22.04. Lorsque vous lirez ceci, la documentation sera probablement mise à jour mais je vous laisse les liens pour références :

Intune App package have dependency on msalsdk-dbusclient and that depends on libsdbus-c++0 (>= 0.8.3) and is not installable on Ubuntu 22.04 LTS

Missing dependency · Issue #3262 · MicrosoftDocs/memdocs (github.com)

Pour résoudre ce problème, il est nécessaire de supprimer le Repository 20.04 avant de suivre la procédure Microsoft pour installer l’application Intune

sudo rm /etc/apt/sources.list.d/microsoft-ubuntu-focal-prod.list
sudo apt-get update

Vient ensuite l’installation des repository Microsoft et l’installation de l’App Intune, toujours via le terminal :

curl https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.gpg
sudo install -o root -g root -m 644 microsoft.gpg /usr/share/keyrings/
sudo sh -c 'echo "deb [arch=amd64 signed-by=/usr/share/keyrings/microsoft.gpg] https://packages.microsoft.com/ubuntu/22.04/prod jammy main" > /etc/apt/sources.list.d/microsoft-ubuntu-jammy-prod.list'
sudo rm microsoft.gpg
sudo apt update
sudo apt install intune-portal

Nos prérequis sont installés, nous pouvons passer à la phase d’inscription !

Enrollment de la machine

Ici, rien de compliqué, il suffit de se signer sur le service avec un utilisateur (sous licence!)

Vous remarquerez que la machine apparait comme « Compliant » – c’est assez logique car mon tenant permet d’afficher un statut « Compliant » si les appareils ne disposent pas de politiques de conformités, ce qui en temps normal et en production, est déconseillé.

Coté Azure Active Directory, on constate que notre machine est en jointure « Registered » et non « Joined » comme un appareil Windows. Un appareil Linux est donc considéré comme un mobile, comme un téléphone Android ou iOS.

Lors de l’analyse des connections, on remarque que l’application « Microsoft Intune Portal for Linux » est utilisé.

Coté Microsoft Intune, on retrouve la liste des appareils Linux mais l’inventaire est pour le moment limité, peut être lié au fait de la machine virtuelle.

Gestion de la conformité sur Linux

L’objectif ici est de créer une politique de conformité (relativement simple) en ensuite l’appliquer. Nous verrons ensuite son effet sur une règle d’accès conditionnel.

Dans la console Microsoft Intune, créer une nouvelle politique de conformité (Compliance Policy) pour Linux en suivant l’exemple ci-dessous.

Pour notre exemple, nous allons exiger une « Password Policy » sur Linux et exiger une complexité pour le mot de passe de l’utilisateur.

Note : je souhaitais dans un premier temps exiger le chiffrement mais je me suis rendu compte que celui-ci était plus facile à activer lors de l’installation du système.

Une fois crée, l’assigner sur la ressource de votre choix. Dans mon exemple, j’utilise « All users ».

Résultat coté utilisateur

Exemple d’accès conditionnel Linux

Dans notre exemple, nous éditons une stratégie d’accès conditionnelle existante et nous ajoutons la plateforme Linux

Lorsque vous essayez d’utiliser https://portal.office.com sur l’appareil via Microsoft Edge, j’obtiens un message m’indiquant que mon appareil ne respecte pas les règles de conformités.

Si mon utilisateur essaye d’accéder sur une ressource Microsoft 365 avec un autre navigateur comme Mozilla Firefox, il obtiens le message suivant, lui indiquant d’utiliser Microsoft Edge.

Conclusion

C’est un bon début dans la gestion Linux via Microsoft Intune, reste à voir l’investissement futur dans la plateforme par Microsoft. Il reste de nombreux éléments manquants afin de sereinement gérer des appareils Linux tel que les restrictions d’enrollement ou même les filtres. A suivre !