Intune Linux Management Intune Linux Management

Tiefe Referenz für Linux Enrollment, Compliance, Microsoft Edge, Defender for Endpoint, Custom Compliance Scripts und Conditional Access in Microsoft Intune. Deep reference for Linux enrollment, compliance, Microsoft Edge, Defender for Endpoint, custom compliance scripts, and Conditional Access in Microsoft Intune.

Ubuntu Ubuntu

20.04 / 22.04 / 24.04 20.04 / 22.04 / 24.04

RHEL RHEL

8 / 9 8 / 9

Edge Edge

Registrierungspfad Registration path

JSON JSON

Custom Compliance Custom compliance

ℹ️ Linux in Intune ist bewusst fokussiert ℹ️ Linux in Intune is intentionally focused

Linux-Management in Intune liefert vor allem Identitätsbindung, Compliance, Browsersteuerung und Defender-Signale. Wer vollwertiges MDM oder breite App-Verteilung erwartet, muss Architektur und Erwartungen früh anpassen. Linux management in Intune primarily delivers identity binding, compliance, browser control, and Defender signals. If you expect full MDM or broad app deployment, architecture and expectations must be adjusted early.

Supportmatrix Support matrix

Distributionen, Versionen, Architektur Distributions, versions, architecture

Enrollment Enrollment

Edge und Intune App Edge and Intune app

Compliance Compliance

OS, Passwort, LUKS OS, password, LUKS

Custom Scripts Custom scripts

JSON-Regeln und Remediation JSON rules and remediation

Edge Edge

Browsermanagement Browser management

Defender Defender

Onboarding, AV, EDR Onboarding, AV, EDR

Grenzen Limitations

Vergleich mit Windows und macOS Comparison with Windows and macOS

Graph & Fehleranalyse Graph & troubleshooting

APIs, Reports und Runbooks APIs, reports, and runbooks

Unterstützte Distributionen Supported distributions

Microsoft Learn listet Linux-Unterstützung gezielt nach Distribution, Version und Architektur. Für den produktiven Betrieb müssen zusätzlich Defender-Support, Repositories, Kernel-Lifecycle und Browserversionen geprüft werden. Microsoft Learn lists Linux support deliberately by distribution, version, and architecture. Production operations must also validate Defender support, repositories, kernel lifecycle, and browser versions.

Distribution Distribution	Release-Stand Release track	Architektur Architecture	Kommentar Comment
Ubuntu Desktop Ubuntu Desktop	20.04 LTS, 22.04 LTS, 24.04 LTS 20.04 LTS, 22.04 LTS, 24.04 LTS	x64 und teils ARM64 x64 and in some cases ARM64	Stärkster Supportpfad für Wissensarbeiter-Clients Strongest support path for knowledge-worker clients
RHEL RHEL	8 und 9 8 and 9	x64 x64	Gut für regulierte Umgebungen mit strengem Lifecycle Strong fit for regulated environments with strict lifecycle control
Fedora Fedora	Aktuelle unterstützte Versionen Current supported versions	x64 x64	Geeignet für Innovations- oder Entwicklerpiloten Suitable for innovation or developer pilots
Microsoft Edge Microsoft Edge	Erforderlich für Registrierung und Browser-CA Required for registration and browser CA	Distro-spezifisches Paket Distribution-specific package	Ohne Edge fehlt der zentrale Registrierungsanker Without Edge the central registration anchor is missing
Intune App Intune app	Lokale Geräteinteraktion und Status Local device interaction and state	Distro-spezifisches Paket Distribution-specific package	Mit Edge-Version gemeinsam validieren Validate together with the Edge version
Defender for Endpoint Defender for Endpoint	Optional, aber empfohlen Optional but recommended	Paket je Distribution Package per distribution	Liefert erweiterte Sicherheits- und EDR-Signale Provides advanced security and EDR signals

Enrollment über Microsoft Edge und Intune App Enrollment through Microsoft Edge and the Intune app

Linux registriert sich benutzerbasiert. Edge verknüpft Browser, Benutzer und Gerät mit Entra ID; die Intune-App ergänzt den lokalen Status und unterstützt Compliance-Szenarien. Anders als auf MDM-Plattformen bleibt die Verwaltung bewusst leichtgewichtig. Linux registers through a user-based model. Edge links browser, user, and device to Entra ID; the Intune app adds local state and supports compliance scenarios. Unlike MDM platforms, management intentionally stays lightweight.

Schritt Step	Beschreibung Description	Tiefe Notiz Deep note
Edge Sign-in Edge sign-in	Benutzer meldet sich mit Entra-Konto an User signs in with an Entra account	Browserprofil ist später zentral für CA und Richtlinien The browser profile becomes central for CA and policy later
Geräteregistrierung Device registration	Edge registriert das Gerät im Tenant Edge registers the device in the tenant	Ohne Registrierung ist kein Compliant-Device-Signal möglich Without registration there is no compliant-device signal
Intune App Installation Intune app installation	Lokale App für Geräteinteraktion und Status Local app for device interaction and state	Paketquelle bei Proxy- oder Mirror-Szenarien mitplanen Plan the package source in proxy or mirror scenarios
Erste Compliance-Auswertung First compliance evaluation	Policies und Scripts werden gegen den lokalen Zustand geprüft Policies and scripts are evaluated against local state	Pilotgruppen brauchen Geduld, weil Erststatus nicht sofort erscheint Pilot groups need patience because first status is not immediate
Conditional Access Conditional Access	CA bewertet Compliant-Device-Anforderung CA evaluates the compliant-device requirement	Linux-Plattformbedingung und Browserpfad explizit modellieren Explicitly model the Linux platform condition and browser path

PowerShell PowerShell

Connect-MgGraph -Scopes "DeviceManagementManagedDevices.Read.All"
Get-MgDeviceManagementManagedDevice -Filter "operatingSystem eq 'Linux'" -All |
  Select-Object DeviceName,UserPrincipalName,ComplianceState,OsVersion

Compliance Policies Compliance policies

Linux-Compliance konzentriert sich auf Distribution, Version, Passwortstatus, Verschlüsselung und benutzerdefinierte Prüfungen. Der operative Wert entsteht erst dann, wenn diese Zustände konsistent in Conditional Access, Berichte und Security-Betrieb einfließen. Linux compliance focuses on distribution, version, password state, encryption, and custom checks. The operational value appears only when those states flow consistently into Conditional Access, reporting, and security operations.

Signal Signal	Was geprüft wird What is checked	Empfehlung Recommendation
Distribution / Version Distribution / version	Unterstützte Distro- und Release-Grenzen Supported distro and release boundaries	Direkt aus dem Patch-Management-Prozess ableiten Derive directly from the patch management process
Passwortanforderungen Password requirements	Komplexität und lokaler Passwortzustand Complexity and local password state	Mit PAM- und Identitätsstrategie abstimmen Align with PAM and identity strategy
Verschlüsselung Encryption	LUKS oder entsprechender Verschlüsselungszustand LUKS or equivalent encryption state	Recovery-Prozess getrennt vom Compliance-Check dokumentieren Document the recovery process separately from the compliance check
Custom Compliance Custom compliance	Eigene Zustände für Baselines oder Agents Custom states for baselines or agents	Stabile Rückgabewerte definieren und Pilotgruppen nutzen Define stable return values and use pilot groups
Defender Signale Defender signals	Ergänzende Sicherheitszustände Supplemental security state	Nicht jede Richtlinie in Defender verlagern; Ownership klar halten Do not move every policy into Defender; keep ownership clear
Conditional Access Kopplung Conditional Access linkage	Compliant device für Browserzugriff Compliant device for browser access	Linux explizit in Scope und Ausnahmen aufnehmen Include Linux explicitly in scope and exceptions

Custom Compliance Scripts Custom compliance scripts

Custom Compliance ist der wichtigste Hebel, um Linux an interne Sicherheitsstandards anzubinden. Ein Shell-Skript ermittelt lokale Zustände; eine JSON-Datei beschreibt Felder, Operatoren, Datentypen und remediationStrings. Custom compliance is the most important lever to connect Linux to internal security standards. A shell script determines local state; a JSON file defines fields, operators, data types, and remediation strings.

Element Element	Funktion Function	Detailhinweis Detailed guidance
Detection Script Detection script	Liest lokale Zustände aus Reads local state	Schnell, deterministisch und ohne Nebenwirkungen bauen Build it to be fast, deterministic, and side-effect free
Return Values Return values	Boolean, String, Version oder Zahl Boolean, string, version, or number	Versionen nicht blind als Strings vergleichen Do not compare versions blindly as strings
JSON Rules JSON rules	Operatoren und remediationStrings Operators and remediationStrings	Feldnamen exakt mit dem Skript synchron halten Keep field names exactly in sync with the script
Remediation Guidance Remediation guidance	Anweisungen für Benutzer oder Support Instructions for users or support	Konkrete nächste Schritte und Ticketpfad ergänzen Add concrete next steps and the ticket path
Pilotierung Piloting	Erste Tests mit begrenzten Gruppen Initial testing with limited groups	False Positives vor produktiver CA-Kopplung eliminieren Eliminate false positives before productive CA coupling
Reporting Reporting	Geräte werden compliant oder noncompliant Devices become compliant or noncompliant	Berichte regelmäßig gegen reale Systemzustände stichprobenartig validieren Sample-validate reports against real system state regularly

Shell Shell

#!/bin/bash
version=$(lsb_release -rs 2>/dev/null)
if cryptsetup status luks-root >/dev/null 2>&1; then encrypted=true; else encrypted=false; fi
printf '{"DistroVersion":"%s","LuksEnabled":%s}
' "$version" "$encrypted"

JSON JSON

{
  "Rules": [
    {
      "SettingName": "DistroVersion",
      "Operator": "IsEquals",
      "DataType": "String",
      "Operand": "24.04"
    },
    {
      "SettingName": "LuksEnabled",
      "Operator": "IsEquals",
      "DataType": "Boolean",
      "Operand": true
    }
  ]
}

Microsoft Edge Browser Management Microsoft Edge browser management

Edge ist auf Linux gleichzeitig Registrierungsanker, Policy-Container und oft der primäre Zugriffspfad auf Microsoft 365. Deshalb gehören Sicherheits-, Profil- und Updateeinstellungen in jede Linux-Baseline. On Linux, Edge is simultaneously the registration anchor, policy container, and often the primary access path to Microsoft 365. For that reason security, profile, and update settings belong in every Linux baseline.

Bereich Area	Beispiele Examples	Praxisnotiz Practice note
Identität Identity	Browser sign-in required, Profiltrennung, Sync Controls Browser sign-in required, profile separation, sync controls	Private und geschäftliche Profile klar trennen Clearly separate personal and business profiles
Sicherheit Security	SmartScreen, Extension Control, Download Policies SmartScreen, extension control, download policies	Mit Entwickler- und Admin-Workflows gegenprüfen Cross-check against developer and admin workflows
Updates Updates	Stable Channel und Paketquelle Stable channel and package source	Gemischte Repo-Quellen vermeiden Avoid mixed repository sources
Benutzererlebnis User experience	Startseite, Favoriten, Web-Apps Start page, favorites, web apps	Produktivität fördern statt nur zu sperren Promote productivity rather than only blocking
Diagnose Diagnostics	edge://policy und edge://management edge://policy and edge://management	Erste Anlaufstelle bei Registrierungs- oder CA-Problemen First stop for registration or CA issues

Defender for Endpoint auf Linux Defender for Endpoint on Linux

Defender für Linux ergänzt Intune um Antivirus-, EDR- und XDR-Signale. In vielen Unternehmen ist das der Schritt, der Linux aus einer reinen Browser-Compliance-Welt in eine echte Endpoint-Security-Welt überführt. Defender for Linux extends Intune with antivirus, EDR, and XDR signals. In many organizations that is the step that moves Linux from a browser-compliance world into a true endpoint-security world.

Thema Topic	Inhalt Content	Tiefe Empfehlung Deep recommendation
Onboarding Onboarding	Repository, Paket, Tenant-Onboarding Repository, package, tenant onboarding	Proxy, DNS und Mirror-Repositories früh mitdenken Think through proxy, DNS, and mirror repositories early
Antivirus Antivirus	Real-time protection, scheduled scans, exclusions Real-time protection, scheduled scans, exclusions	Jede Exclusion mit Owner und Ablaufdatum dokumentieren Document every exclusion with owner and expiry date
EDR EDR	Behavioral detections, cloud-delivered protection Behavioral detections, cloud-delivered protection	Netzwerkzugriff auf Defender-Dienste in Piloten validieren Validate network access to Defender services in pilots
Sensor Health Sensor health	mdatp health und Portalzustand mdatp health and portal state	Unhealthy-Zustände mit Linux-Basisdiensten korrelieren Correlate unhealthy states with Linux base services
Incident Correlation Incident correlation	Einbindung in Defender XDR Integration into Defender XDR	Linux-Signale in gleiche Hunting-Workflows wie Windows bringen Bring Linux signals into the same hunting workflows as Windows

Bekannte Grenzen und Vergleich Known limitations and comparison

Die strategische Stärke von Linux in Intune ist Klarheit über den Umfang. Linux liefert kein vollwertiges MDM, keine breite native App-Verteilung und keine große Zahl von Remote Actions. Genau diese Grenzen müssen im Betriebsmodell sichtbar sein. The strategic strength of Linux in Intune is clarity about scope. Linux does not deliver full MDM, broad native app deployment, or a large set of remote actions. Those limits must be visible in the operating model.

⚠️ Linux nicht wie Windows führen ⚠️ Do not run Linux like Windows

Wer Linux mit Windows-Erwartungen plant, erzeugt fast immer Schatten-Tools und Enttäuschung. Erfolgreich ist ein Modell, das Compliance, Browsersteuerung, Defender und OS-eigene Mechanismen kombiniert. Planning Linux with Windows expectations almost always creates shadow tooling and disappointment. Success comes from combining compliance, browser control, Defender, and native OS mechanisms.

Funktion Capability	Linux Linux	Windows Windows	macOS macOS
Konfigurationsprofile Configuration profiles	Stark begrenzt Highly limited	Sehr umfassend Very comprehensive	Umfassend Comprehensive
Compliance Compliance	Ja, inkl. Custom Scripts Yes, including custom scripts	Ja, tief Yes, deep	Ja, tief Yes, deep
App Deployment App deployment	Vor allem Edge und Skriptpfade Mostly Edge and script paths	Store, MSI, Win32, UWP Store, MSI, Win32, UWP	PKG, DMG, VPP PKG, DMG, VPP
Remote Actions Remote actions	Sehr eingeschränkt Very limited	Breit Broad	Mehrere, aber nicht so breit wie Windows Several, but not as broad as Windows
Conditional Access mit compliant device Conditional Access with compliant device	Ja Yes	Ja Yes	Ja Yes
Browsermanagement Browser management	Kernfunktion Core capability	Wichtig, aber nicht allein Important, but not the only control	Wichtig, aber ergänzend Important, but complementary

Graph API, PowerShell und Troubleshooting Graph API, PowerShell, and troubleshooting

Auch wenn Linux weniger Management-Fläche bietet, lassen sich Inventar, Compliance und Reports über Graph gut automatisieren. Für Fehleranalyse sind Browser-Management-Seiten, lokale Script-Ausgaben und Defender-Health-Kommandos die wichtigsten Werkzeuge. Even though Linux exposes less management surface, inventory, compliance, and reports can still be automated effectively through Graph. For troubleshooting, browser management pages, local script outputs, and Defender health commands are the key tools.

Bereich Area	Beispiel Example	Praxisnutzen Practical use
managedDevices managedDevices	Linux-Geräte inventarisieren Inventory Linux devices	Mit operatingSystem eq Linux filtern Filter with operatingSystem eq Linux
deviceCompliancePolicies deviceCompliancePolicies	Linux-Policies versionieren Version Linux policies	Portaländerungen in Git nachvollziehbar machen Make portal changes traceable in Git
reports/exportJobs reports/exportJobs	CSV-Berichte asynchron exportieren Export CSV reports asynchronously	Nützlich für regelmäßige Governance-Exporte Useful for recurring governance exports
MgGraph PowerShell MgGraph PowerShell	Tenantweite Reporting-Runbooks Tenant-wide reporting runbooks	Neue Automatisierung standardisieren Standardize new automation
Enrollment-Fehler Enrollment failures	Gerät erscheint nicht oder CA blockiert Device does not appear or CA blocks	Edge-Profile, Sign-in und Tenant-Zuordnung prüfen Check Edge profiles, sign-in, and tenant mapping
Custom Script-Fehler Custom script failures	JSON oder Datentyp stimmt nicht JSON or data type is wrong	Script lokal ausführen und Ausgabe mit Parser validieren Run the script locally and validate output with a parser
Defender-Probleme Defender problems	Sensor unhealthy oder kein Telemetryfluss Sensor unhealthy or no telemetry flow	mdatp health, Paketstatus, Proxy und DNS auswerten Review mdatp health, package state, proxy, and DNS

PowerShell PowerShell

$reportUri = "https://graph.microsoft.com/beta/deviceManagement/reports/exportJobs"
$body = @{ reportName = "Devices"; format = "csv"; filter = "(OperatingSystem eq 'Linux')" } | ConvertTo-Json
Invoke-MgGraphRequest -Method POST -Uri $reportUri -Body $body -ContentType 'application/json'

Shell Shell

edge://management
edge://policy
python3 -m json.tool ./customComplianceOutput.json
mdatp health --details