Běžné dotazy, odpovědi a scénáře týkající se zásad a profilů v Microsoft Intune

  • Článek
  • 7 min ke čtení

Důležité

22. října 2022 Microsoft Intune ukončila podporu zařízení s Windows 8.1. Technická pomoc a automatické aktualizace na těchto zařízeních nejsou k dispozici.

Pokud aktuálně používáte Windows 8.1, doporučujeme přejít na zařízení Windows 10/11. Microsoft Intune má integrované funkce zabezpečení a zařízení, které spravují Windows 10/11 klientských zařízení.

Získejte odpovědi na časté otázky při práci se zásadami v Intune. Tento článek obsahuje také seznam časových intervalů pro check-in, poskytuje více zadržení v případě konfliktů a další.

Tento článek se vztahuje na následující zásady:

  • zásady Ochrana aplikací
  • Zásady konfigurace aplikací
  • Zásady dodržování předpisů
  • Zásady podmíněného přístupu
  • Profily konfigurace zařízení
  • Zásady registrace

Intervaly aktualizace zásad

Intune zařízení upozorní, aby se ohlásí službě Intune. Doba oznámení se liší, včetně několika hodin okamžitě. Tyto časy oznámení se také u jednotlivých platforem liší.

Pokud se zařízení po prvním oznámení neověří, aby získalo zásadu nebo profil, Intune další tři pokusy. Offline zařízení, například vypnuté nebo nepřipojené k síti, nemusí oznámení přijímat. V takovém případě získá zařízení zásadu nebo profil při příštím plánovaném přihlášení ke službě Intune. Totéž platí pro kontroly nedodržování předpisů, včetně zařízení, která přecházejí ze kompatibilního stavu do nevyhovujícího stavu.

Odhadované frekvence:

Platforma Cyklus aktualizace
iOS/iPadOS Přibližně každých 8 hodin
macOS Přibližně každých 8 hodin
Android Přibližně každých 8 hodin
Windows 10/11 počítačů zaregistrovaných jako zařízení Přibližně každých 8 hodin
Windows 8.1 Přibližně každých 8 hodin

Pokud se zařízení nedávno zaregistrovala, kontrola dodržování předpisů, nedodržování předpisů a konfigurace se spouští častěji. Počet ohlášení se odhaduje na:

Platforma Frekvence
iOS/iPadOS Každých 15 minut po dobu 1 hodiny a pak přibližně každých 8 hodin
macOS Každých 15 minut po dobu 1 hodiny a pak přibližně každých 8 hodin
Android Každé 3 minuty po dobu 15 minut, pak každé 15 minut po dobu 2 hodin a pak přibližně každých 8 hodin
Windows 10/11 počítačů zaregistrovaných jako zařízení Každé 3 minuty po dobu 15 minut, pak každé 15 minut po dobu 2 hodin a pak přibližně každých 8 hodin
Windows 8.1 Každých 5 minut po dobu 15 minut, pak každých 15 minut po dobu 2 hodin a pak přibližně každých 8 hodin

Uživatelé můžou kdykoli otevřít aplikaci Portál společnosti, Kontrolustavu zařízení > neboSynchronizacinastavení> a okamžitě zkontrolovat aktualizace zásad nebo profilu. Související informace o agentovi rozšíření Intune Management nebo aplikacích Win32 najdete v tématu Správa aplikací Win32 v Microsoft Intune.

Intune akce, které okamžitě odešlou oznámení do zařízení

Existují různé akce, které aktivují oznámení. Například když je zásada, profil nebo aplikace přiřazená (nebo nepřiřazená), aktualizována, odstraněna atd. Tyto doby akcí se na jednotlivých platformách liší.

Zařízení se přihlásí pomocí Intune, když obdrží oznámení o ohlášení nebo během plánovaného ohlášení. Když cílíte na zařízení nebo uživatele pomocí akce, Intune zařízení okamžitě upozorní, že se má vrátit se změnami a získat tyto aktualizace. Například když se spustí akce uzamčení, resetování hesla, aplikace nebo přiřazení zásad.

Jiné změny, například revize kontaktních informací v aplikaci Portál společnosti, nezpůsobí okamžité oznámení zařízením.

Nastavení v zásadách nebo profilu se použijí při každém přihlášení se změnami. Vhodným prostředkem může být Windows 10 příspěvek na blogu zákazníka o aktualizaci zásad MDM.

Konflikty

Ke konfliktům může dojít, když různé zásady aktualizují stejné nastavení na jiné hodnoty. Máte například dvě zásady, které aktualizují nastavení kopírování a vkládání na jiné hodnoty. Konflikt se zpracovává různě v závislosti na typu zásady.

Ochrana aplikací konfliktních zásad

Konfliktní hodnoty jsou nejvíce omezující nastavení dostupná v zásadách ochrany aplikací. Výjimkou jsou číselná vstupní pole, například pokusy o pin kód před resetováním. Číselná vstupní pole se nastavují stejně jako hodnoty, jako kdybyste vytvořili zásadu MAM pomocí doporučené možnosti nastavení.

Ke konfliktům dochází, když jsou dvě nastavení profilu stejná. Například jste nakonfigurovali dvě zásady MAM, které jsou identické s výjimkou nastavení kopírování a vkládání. V tomto scénáři je nastavení kopírování a vkládání nastaveno na nejvíce omezující hodnotu. Zbytek nastavení se použije podle konfigurace.

Zásada se nasadí do aplikace a projeví se. Nasadí se druhá zásada. V tomto scénáři má první zásada přednost a zůstane použitá. Druhá zásada ukazuje konflikt. Pokud se obě zásady použijí současně, což znamená, že neexistují předchozí zásady, pak jsou obě v konfliktu. Všechna konfliktní nastavení jsou nastavena na nejvíce omezující hodnoty.

Konflikt zásad dodržování předpisů a konfigurace zařízení

Pokud jsou ke stejnému uživateli nebo zařízení přiřazeny dvě nebo více zásad, použije se nastavení na úrovni jednotlivých nastavení:

  • Nastavení zásad dodržování předpisů mají vždy přednost před nastavením konfiguračního profilu.

  • Pokud se zásada dodržování předpisů vyhodnotí podle stejného nastavení v jiné zásadě dodržování předpisů, použije se nastavení zásad dodržování předpisů s největšími omezeními.

  • Pokud je nastavení zásad konfigurace v konfliktu s nastavením v jiné zásadě konfigurace, zobrazí se tento konflikt v Intune. Tyto konflikty vyřešte ručně.

V Centru pro správu Intune je několik míst, kde můžete vytvářet zásady konfigurace, včetně Zásady skupiny analýz, zabezpečení koncových bodů, standardních hodnot zabezpečení a dalších. Pokud dojde ke konfliktu a máte více zásad, zkontrolujte všechna místa, kde jste zásady nakonfigurovali. S konflikty můžou pomoct také integrované funkce generování sestav. Další informace o dostupných sestavách najdete v Intune sestavách.

Vlastní zásady pro iOS/iPadOS nebo macOS, které jsou v konfliktu

Intune nevyhodnocuje datovou část konfiguračních souborů Apple ani vlastní zásady OMA-URI (Open Mobile Alliance Uniform Resource Identifier). Slouží pouze jako doručovací mechanismus.

Při přiřazování vlastních zásad ověřte, že nakonfigurovaná nastavení nejsou v konfliktu s dodržováním předpisů, konfigurací nebo jinými vlastními zásadami. Pokud jsou vlastní zásady a jejich nastavení v konfliktu, apple nastavení použije náhodně.

S konflikty můžou pomoct integrované funkce generování sestav. Další informace o dostupných sestavách najdete v Intune sestavách.

Profil se odstranil nebo už není použitelný.

Když odstraníte profil nebo odeberete zařízení ze skupiny, která má přiřazený profil, odeberou se profil a nastavení ze zařízení. Konkrétně se odeberou, jak je popsáno v následujícím seznamu:

  • Profily Wi-Fi, VPN, certifikátů a e-mailů: Tyto profily se odeberou ze všech podporovaných zaregistrovaných zařízení.

  • Všechny ostatní typy profilů:

    • Zařízení s Androidem: Nastavení se ze zařízení neodeberou.

    • iOS/iPadOS: Odeberou se všechna nastavení s výjimkou:

      • Povolit hlasový roaming
      • Povolit datový roaming
      • Povolit automatickou synchronizaci při roamingu

    • Zařízení s Windows: Po odebrání nebo zrušení přiřazení profilu požádejte Azure AD uživatele, aby se přihlásil k zařízení a synchronizoval se službou Intune.

      Intune nastavení jsou založená na poskytovateli konfiguračních služeb (CSP) pro Windows. Chování závisí na zprostředkovateli CSP. Někteří poskytovatelé CSP nastavení odeberou a někteří poskytovatelé CSP si ho zachovají, což se označuje také jako tetování.

  • Profil se vztahuje na skupinu uživatelů. Později se uživatel ze skupiny odebere. Než se nastavení uživateli odebere, může trvat až 7 hodin nebo déle pro:

Změnil(a) jsem profil omezení zařízení, ale změny se neprojevily

Pokud chcete použít méně omezující profil, může být nutné některá zařízení vyřadit a znovu zaregistrovat, aby se Intune. Například možná budete muset vyřadit a znovu zaregistrovat klientská zařízení s Androidem, iOS/iPadOS a Windows.

Některá nastavení v profilu Windows 10/11 vrací "Není k dispozici".

Některá nastavení na klientských zařízeních s Windows se můžou zobrazovat jako Nepoužitelné. V takovém případě není toto konkrétní nastavení podporováno ve verzi nebo edici Windows spuštěné na zařízení. K této zprávě může dojít z následujících důvodů:

  • Nastavení je dostupné jenom pro novější verze Windows, a ne pro aktuální verzi operačního systému (OS) na zařízení.
  • Nastavení je dostupné jenom pro konkrétní edice Windows nebo konkrétní skladové položky, jako jsou Home, Professional, Enterprise a Education.

Další informace o požadavcích na verzi a skladovou položku pro různá nastavení najdete v referenčních informacích o poskytovateli konfiguračních služeb (CSP).

Při registraci zařízení dochází ke zpoždění při použití aplikací a zásad přiřazených dynamickým skupinám zařízení.

Během registrace můžete používat Azure AD dynamických skupin zařízení. Můžete například vytvořit dynamickou skupinu zařízení na základě názvu zařízení nebo registračního profilu.

Registrační profil se použije u záznamu zařízení během počátečního nastavení zařízení. Azure AD dynamické seskupení není okamžité. Zařízení nemusí být v dynamické skupině po určitou dobu, případně minuty až hodiny v závislosti na dalších změnách provedených ve vašem tenantovi.

Pokud se zařízení nepřidá do skupiny, vaše aplikace a zásady se k zařízení nepřiřadí během počátečního Intune ohlášení. Zásady se nemusí vztahovat až do dalšího naplánovaného ohlášení.

Pokud je pro váš scénář nastavení/registrace důležité rychlé doručování aplikací a zásad, přiřaďte aplikace a zásady skupinám uživatelů, ne dynamickým skupinám zařízení. Skupiny uživatelů se před nastavením zařízení předvyplní členy a nemají toto zpoždění.

Další informace o dynamických skupinách najdete tady:

Další kroky