Běžné otázky, odpovědi a scénáře se zásadami a profily v Microsoft Intune
Důležité
22. října 2022 Microsoft Intune ukončil podporu pro zařízení se systémem Windows 8.1. Technická pomoc a automatické aktualizace na těchto zařízeních nejsou k dispozici.
Pokud aktuálně používáte Windows 8.1, pak doporučujeme přejít na zařízení s Windows 10/11. Microsoft Intune má vestavěné funkce zabezpečení a zařízení, které spravují klientská zařízení Windows 10/11.
Získejte odpovědi na běžné otázky při práci se zásadami v Intune. Tento článek také uvádí časové intervaly pro odbavení, poskytuje více zadržení u konfliktů a další.
Tento článek se vztahuje na následující zásady:
- Zásady ochrany aplikací
- Zásady konfigurace aplikací pro Microsoft Intune
- Zásady dodržování předpisů
- Zásady podmíněného přístupu
- Profily konfigurace zařízení
- Zásady registrace
Intervaly aktualizace zásad
Intune upozorní zařízení, aby se přihlásilo ke službě Intune. Doba oznámení se liší, včetně okamžité až několika hodin. Tyto doby oznámení se také liší mezi platformami. Na zařízeních Android mohou intervaly obnovování zásad ovlivnit služby Google Mobile Services (GMS).
Pokud se zařízení po prvním upozornění nepřihlásí k získání zásady nebo profilu, Intune provede další tři pokusy. Offline zařízení, například vypnuté nebo nepřipojené k síti, nemusí dostávat oznámení. V tomto případě zařízení získá zásady nebo profil při příštím plánovaném přihlášení se službou Intune. Totéž platí pro kontroly neshody, včetně zařízení, která přecházejí z vyhovujícího do nevyhovujícího stavu.
Odhadované frekvence:
| Platforma | Cyklus aktualizace |
|---|---|
| Android, AOSP | Přibližně každých 8 hodin |
| iOS/iPadOS | Přibližně každých 8 hodin |
| macOS | Přibližně každých 8 hodin |
| Počítače se systémem Windows 10/11 zaregistrované jako zařízení | Přibližně každých 8 hodin |
| Windows 8.1 | Přibližně každých 8 hodin |
Pokud se zařízení zaregistrují nedávno, bude kontrola shody, neshody a konfigurace probíhat častěji. Kontroly se odhadují na:
| Platforma | Frekvence |
|---|---|
| Android, AOSP | Každé 3 minuty po dobu 15 minut, poté každých 15 minut po dobu 2 hodin a poté přibližně každých 8 hodin |
| iOS/iPadOS | Každých 15 minut po dobu 1 hodiny a poté přibližně každých 8 hodin |
| macOS | Každých 15 minut po dobu 1 hodiny a poté přibližně každých 8 hodin |
| Počítače se systémem Windows 10/11 zaregistrované jako zařízení | Každé 3 minuty po dobu 15 minut, poté každých 15 minut po dobu 2 hodin a poté přibližně každých 8 hodin |
| Windows 8.1 | Každých 5 minut po dobu 15 minut, poté každých 15 minut po dobu 2 hodin a poté přibližně každých 8 hodin |
Intervaly aktualizace zásad ochrany aplikací najdete v tématu Načasování doručení zásad ochrany aplikací.
Uživatelé mohou kdykoli otevřít aplikaci Portál společnosti, Zařízení>, Kontrola stavu nebo Nastavení> Synchronizace a okamžitě zkontrolovat aktualizace zásad nebo profilu. Související informace o agentovi Intune Management Extension nebo aplikacích Win32 najdete v tématu Správa aplikací Win32 v Microsoft Intune.
Akce Intune, které okamžitě pošlou oznámení do zařízení
Existují různé akce, které spouštějí oznámení. Například když je zásada, profil nebo aplikace přiřazena (nebo není přiřazena), aktualizována, odstraněna atd. Tyto akční časy se mezi platformami liší.
Zařízení se přihlásí k Intune, když obdrží oznámení o přihlášení nebo během plánovaného přihlášení. Když zacílíte na zařízení nebo uživatele pomocí akce, Intune okamžitě upozorní zařízení, aby se přihlásilo k odběru těchto aktualizací. Oznámení se například zobrazí, když se spustí zámek, reset hesla, aplikace nebo akce přiřazení zásad.
Jiné změny nezpůsobí okamžité upozornění na zařízení, včetně revize kontaktních informací v aplikaci Portál společnosti nebo aktualizací .ipa souboru.
Nastavení v zásadě nebo profilu se použijí při každém přihlášení. Dobrým zdrojem může být zákaznický blogový příspěvek aktualizace zásad Windows 10 MDM.
Konflikty
Ke konfliktům může dojít, když různé zásady aktualizují stejné nastavení na různé hodnoty. Máte například dvě zásady, které aktualizují nastavení kopírování a vkládání na různé hodnoty. Konflikt se řeší odlišně v závislosti na typu zásad.
Pokud používáte Microsoft Copilot v Intune, pak vám Copilot může pomoci vyřešit konflikty. Další informace najdete v tématu Správa zásad a nastavení ve službě Copilot v Intune.
Další informace o zásadách a nastaveních nakonfigurovaných v zásadách můžete získat také pomocí Microsoft Copilotu v Intune.
Zásady ochrany aplikací, které jsou v rozporu
Konfliktní hodnoty jsou nejpřísnější nastavení dostupná v zásadách ochrany aplikací. Výjimkou jsou číselná vstupní pole, jako jsou pokusy o zadání PIN před resetováním. Číselná vstupní pole jsou nastavena stejně jako hodnoty, jako kdybyste vytvořili zásadu MAM pomocí možnosti doporučeného nastavení.
Ke konfliktům dochází, když jsou dvě nastavení profilu stejná. Například jste nakonfigurovali dvě zásady MAM, které jsou identické s výjimkou nastavení kopírování a vkládání. V tomto scénáři je nastavení kopírování a vkládání nastaveno na nejvíce omezující hodnotu. Zbytek nastavení platí podle konfigurace.
Zásady se nasadí do aplikace a vstoupí v platnost. Je nasazena druhá zásada. V tomto scénáři má první zásada přednost a zůstane uplatněna. Druhá zásada ukazuje konflikt. Pokud jsou obě použity současně, což znamená, že neexistuje žádná předchozí zásada, jsou obě v konfliktu. Jakákoli konfliktní nastavení jsou nastavena na nejpřísnější hodnoty.
Zásady shody a konfigurace zařízení, které jsou v rozporu
Když jsou dvě nebo více zásad přiřazeny stejnému uživateli nebo zařízení, pak se nastavení, které platí, stane na úrovni individuálního nastavení:
Pokud k nastavení zařízení použijete vlastní zásady souladu, pak nastavení v rámci vlastních zásad dodržování předpisů mají přednost před stejným nastavením v rámci zásad konfigurace zařízení. Nastavení zásad souladu mají vždy přednost před nastavením konfiguračního profilu.
Pokud se zásada dodržování předpisů vyhodnocuje se stejným nastavením v jiné zásadě dodržování předpisů, platí nejpřísnější nastavení zásad dodržování předpisů.
Pokud je nastavení zásad konfigurace v konfliktu s nastavením v jiné zásadě konfigurace, tento konflikt se zobrazí v Intune. Tyto konflikty vyřešte ručně.
V centru pro správu Intune je několik míst, kde můžete vytvářet zásady konfigurace, včetně analýzy zásad skupiny, zabezpečení koncových bodů, základní úrovně zabezpečení a další. Pokud dojde ke konfliktu a máte více zásad, zkontrolujte všechna místa, kde jste zásady nakonfigurovali. S konflikty mohou pomoci také vestavěné funkce hlášení. Další informace o dostupných sestavách najdete v sestavách Intune.
Vlastní zásady iOS/iPadOS nebo macOS, které jsou v rozporu
Intune nevyhodnocuje užitečné zatížení konfiguračních souborů Apple ani vlastní zásadu Open Mobile Alliance Uniform Resource Identifier (OMA-URI). Slouží pouze jako doručovací mechanismus.
Když přiřadíte vlastní zásadu, ujistěte se, že nakonfigurovaná nastavení nejsou v konfliktu s dodržováním předpisů, konfigurací nebo jinými vlastními zásadami. Pokud jsou vlastní zásady a jejich nastavení v konfliktu, Apple náhodně použije nastavení.
Předdefinované funkce hlášení mohou pomoci s konflikty. Další informace o dostupných sestavách najdete v sestavách Intune.
Profil je smazán nebo již není použitelný
Když odstraníte profil nebo odeberete zařízení ze skupiny, které je profil přiřazen, profil a nastavení se ze zařízení odstraní. Konkrétně jsou odstraněny, jak je popsáno v následujícím seznamu:
Wi-Fi, VPN, certifikáty a e-mailové profily: Tyto profily jsou odstraněny ze všech podporovaných registrovaných zařízení.
Všechny ostatní typy profilů:
Zařízení s Androidem: Nastavení se ze zařízení neodebere.
iOS/iPadOS: Všechna nastavení se odeberou s výjimkou:
- Povolit hlasový roaming
- Povolit datový roaming
- Povolit automatickou synchronizaci při roamingu
Zařízení s Windows: Po odebrání nebo zrušení přiřazení profilu požádejte uživatele Microsoft Entra, aby se k zařízení přihlásil a synchronizuje se službou Intune.
Nastavení Intune jsou založena na poskytovateli konfiguračních služeb systému Windows (CSP). Chování závisí na CSP. Někteří CSP toto nastavení odstraní a někteří CSP si toto nastavení ponechají, také nazývané tetování.
Profil se vztahuje pro skupinu uživatelů. Později je uživatel ze skupiny odebrán. Odebrání nastavení tomuto uživateli může trvat až 7 hodin nebo déle, než dojde k:
- Profil, který má být odebrán z přiřazení zásad v centru pro správu Intune
- Zařízení, které se má synchronizovat s objektem Intune pomocí cyklu aktualizace zásad specifických pro platformu (v tomto článku)
Změnil(a) jsem profil omezení zařízení, ale změny se neprojevily
Pokud chcete použít méně omezující profil, může být potřeba některá zařízení vyřadit z provozu a znovu zaregistrovat do Intune. Možná budete muset například vyřadit a znovu zaregistrovat klientská zařízení Android, iOS/iPadOS a Windows.
Některá nastavení v profilu Windows 10/11 vrací „Není k dispozici“
Některá nastavení na klientských zařízeních s Windows se můžou zobrazit jako Není k dispozici. Když tato situace nastane, konkrétní nastavení není podporováno ve verzi nebo edici systému Windows běžící na zařízení. Tato zpráva se může objevit z následujících důvodů:
- Nastavení je k dispozici pouze pro novější verze systému Windows, nikoli pro aktuální verzi operačního systému (OS) v zařízení.
- Nastavení je dostupné pouze pro konkrétní edice Windows nebo konkrétní SKU, jako je Home, Professional, Enterprise a Education.
Další informace o požadavcích na verzi a edici pro různá nastavení najdete v referenčních informacích ke zprostředkovateli konfiguračních služeb (CSP).
Když se zařízení zaregistrují, dojde ke zpoždění při použití aplikací a zásad přiřazených dynamickým skupinám zařízení
Během registrace můžete používat dynamické skupiny zařízení Microsoft Entra. Můžete například vytvořit dynamickou skupinu zařízení na základě názvu zařízení nebo profilu registrace.
Registrační profil se použije na záznam zařízení během počátečního nastavení zařízení. Dynamické seskupování Microsoft Entra není okamžité. V závislosti na jiných změnách ve vašem tenantovi nemusí být zařízení nějakou dobu v dynamické skupině, případně v minutách až hodinách.
Pokud se zařízení nepřidá do skupiny, vaše aplikace a zásady se během počátečního ohlášení Intune nepřiřadí k zařízení. Zásady se můžou vztahovat až po příštím plánovaném vrácení se změnami.
Pokud je rychlé doručování aplikací a zásad pro váš scénář nastavení/registrace důležité, přiřaďte aplikace a zásady skupinám uživatelů, nikoli dynamickým skupinám zařízení. Skupiny uživatelů jsou před nastavením zařízení předem vyplněné členy a nemají tuto prodlevu.
Další informace o dynamických skupinách najdete tady:
- Přidání skupin pro uspořádání uživatelů a zařízení v Intune
- Doporučení k výkonu při použití Intune k seskupování, cílení a filtrování
- Pravidla dynamického členství pro skupiny v Microsoft Entra ID
Související články
- Řešení potíží se zásadami a profily.
- Potřebujete další pomoc? Podívejte se na článek Jak získat podporu v Microsoft Intune.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro