Běžné dotazy, odpovědi a scénáře týkající se zásad a profilů v Microsoft Intune
Důležité
22. října 2022 Microsoft Intune ukončila podporu zařízení s Windows 8.1. Technická pomoc a automatické aktualizace na těchto zařízeních nejsou k dispozici.
Pokud aktuálně používáte Windows 8.1, doporučujeme přejít na zařízení Windows 10/11. Microsoft Intune má integrované funkce zabezpečení a zařízení, které spravují Windows 10/11 klientských zařízení.
Získejte odpovědi na běžné dotazy při práci se zásadami v Intune. Tento článek obsahuje také seznam časových intervalů pro check-in, poskytuje více zadržení v případě konfliktů a další.
Tento článek se vztahuje na následující zásady:
- zásady Ochrana aplikací
- Zásady konfigurace aplikací
- Zásady dodržování předpisů
- Zásady podmíněného přístupu
- Profily konfigurace zařízení
- Zásady registrace
Intervaly aktualizace zásad
Intune zařízení upozorní, že se má přihlásit ke službě Intune. Doba oznámení se liší, včetně několika hodin okamžitě. Tyto časy oznámení se také u jednotlivých platforem liší. Na zařízeních s Androidem můžou googe Mobile Services (GMS) ovlivnit intervaly aktualizace zásad.
Pokud se zařízení po prvním oznámení neověří, aby získalo zásadu nebo profil, Intune provede další tři pokusy. Offline zařízení, například vypnuté nebo nepřipojené k síti, nemusí oznámení přijímat. V takovém případě zařízení získá zásadu nebo profil při příštím plánovaném ohlášení se změnami ve službě Intune. Totéž platí pro kontroly nedodržení předpisů, včetně zařízení, která přecházejí ze kompatibilního stavu do nevyhovujícího stavu.
Odhadované frekvence:
| Platforma | Cyklus aktualizace |
|---|---|
| Android, AOSP | Přibližně každých 8 hodin |
| iOS/iPadOS | Přibližně každých 8 hodin |
| macOS | Přibližně každých 8 hodin |
| Windows 10/11 počítačů zaregistrovaných jako zařízení | Přibližně každých 8 hodin |
| Windows 8.1 | Přibližně každých 8 hodin |
Pokud se zařízení nedávno zaregistrovala, kontrola dodržování předpisů, nedodržování předpisů a konfigurace se spouští častěji. Počet ohlášení se odhaduje na:
| Platforma | Frekvence |
|---|---|
| Android, AOSP | Každé 3 minuty po dobu 15 minut, pak každé 15 minut po dobu 2 hodin a pak přibližně každých 8 hodin |
| iOS/iPadOS | Každých 15 minut po dobu 1 hodiny a pak přibližně každých 8 hodin |
| macOS | Každých 15 minut po dobu 1 hodiny a pak přibližně každých 8 hodin |
| Windows 10/11 počítačů zaregistrovaných jako zařízení | Každé 3 minuty po dobu 15 minut, pak každé 15 minut po dobu 2 hodin a pak přibližně každých 8 hodin |
| Windows 8.1 | Každých 5 minut po dobu 15 minut, pak každých 15 minut po dobu 2 hodin a pak přibližně každých 8 hodin |
Intervaly aktualizace zásad ochrany aplikací najdete v tématu Časování doručení zásad ochrany aplikací.
Uživatelé můžou kdykoli otevřít aplikaci Portál společnosti, Kontrolustavu zařízení > neboSynchronizacinastavení> a okamžitě zkontrolovat aktualizace zásad nebo profilu. Související informace o agentovi rozšíření Intune Management Extension nebo aplikacích Win32 najdete v tématu Správa aplikací Win32 v Microsoft Intune.
Akce Intune, které okamžitě odešlou oznámení do zařízení
Existují různé akce, které aktivují oznámení. Například když je zásada, profil nebo aplikace přiřazená (nebo nepřiřazená), aktualizována, odstraněna atd. Tyto doby akcí se na jednotlivých platformách liší.
Zařízení se v Intune osvědčí, když obdrží oznámení o ohlášení nebo během plánovaného ohlášení. Když cílíte na zařízení nebo uživatele pomocí akce, Intune ho okamžitě upozorní, že se má vrátit se změnami, aby získalo tyto aktualizace. Oznámení se například zobrazí, když se spustí akce uzamčení, resetování hesla, aplikace nebo přiřazení zásad.
Jiné změny nezpůsobí okamžité oznámení zařízením, včetně revize kontaktních informací v aplikaci Portál společnosti nebo aktualizace .ipa souboru.
Nastavení v zásadách nebo profilu se použijí při každém přihlášení se změnami. Vhodným prostředkem může být příspěvek na blogu zákazníka o aktualizaci zásad MDM Windows 10.
Konflikty
Ke konfliktům může dojít, když různé zásady aktualizují stejné nastavení na jiné hodnoty. Máte například dvě zásady, které aktualizují nastavení kopírování a vkládání na různé hodnoty. Konflikt se zpracovává různě v závislosti na typu zásady.
Ochrana aplikací konfliktních zásad
Konfliktní hodnoty jsou nejvíce omezující nastavení dostupná v zásadách ochrany aplikací. Výjimkou jsou číselná vstupní pole, například pokusy o pin kód před resetováním. Číselná vstupní pole se nastavují stejně jako hodnoty, jako kdybyste vytvořili zásadu MAM pomocí doporučené možnosti nastavení.
Ke konfliktům dochází, když jsou dvě nastavení profilu stejná. Například jste nakonfigurovali dvě zásady MAM, které jsou identické s výjimkou nastavení kopírování a vkládání. V tomto scénáři je nastavení kopírování a vkládání nastaveno na nejvíce omezující hodnotu. Zbytek nastavení se použije podle konfigurace.
Zásada se nasadí do aplikace a projeví se. Nasadí se druhá zásada. V tomto scénáři má první zásada přednost a zůstane použitá. Druhá zásada ukazuje konflikt. Pokud se obě zásady použijí současně, což znamená, že neexistují předchozí zásady, pak jsou obě v konfliktu. Všechna konfliktní nastavení jsou nastavena na nejvíce omezující hodnoty.
Konflikt zásad dodržování předpisů a konfigurace zařízení
Pokud jsou ke stejnému uživateli nebo zařízení přiřazeny dvě nebo více zásad, nastavení, které se použije, se provede na úrovni jednotlivých nastavení:
Pokud k nastavení zařízení použijete vlastní zásady dodržování předpisů, budou mít nastavení v rámci vlastních zásad dodržování předpisů přednost před stejným nastavením v rámci zásad konfigurace zařízení. Nastavení zásad dodržování předpisů mají vždy přednost před nastavením konfiguračního profilu.
Pokud se zásada dodržování předpisů vyhodnotí podle stejného nastavení v jiné zásadě dodržování předpisů, použije se nastavení zásad dodržování předpisů s největšími omezeními.
Pokud je nastavení zásad konfigurace v konfliktu s nastavením v jiné zásadě konfigurace, zobrazí se tento konflikt v Intune. Tyto konflikty vyřešte ručně.
V Centru pro správu Intune je několik míst, kde můžete vytvářet zásady konfigurace, včetně Zásady skupiny analýzy, zabezpečení koncových bodů, standardních hodnot zabezpečení a dalších. Pokud dojde ke konfliktu a máte více zásad, zkontrolujte všechna místa, kde jste zásady nakonfigurovali. S konflikty můžou pomoct také integrované funkce generování sestav. Další informace o dostupných sestavách najdete v tématu Sestavy Intune.
Vlastní zásady pro iOS/iPadOS nebo macOS, které jsou v konfliktu
Intune nevyhodnocuje datovou část konfiguračních souborů Apple ani vlastní zásady OMA-URI (Open Mobile Alliance Uniform Resource Identifier). Slouží pouze jako doručovací mechanismus.
Při přiřazování vlastních zásad ověřte, že nakonfigurovaná nastavení nejsou v konfliktu s dodržováním předpisů, konfigurací nebo jinými vlastními zásadami. Pokud jsou vlastní zásady a jejich nastavení v konfliktu, Apple nastavení použije náhodně.
S konflikty můžou pomoct integrované funkce generování sestav. Další informace o dostupných sestavách najdete v tématu Sestavy Intune.
Profil se odstranil nebo už není použitelný.
Když odstraníte profil nebo odeberete zařízení ze skupiny, která má přiřazený profil, odeberou se profil a nastavení ze zařízení. Konkrétně se odeberou, jak je popsáno v následujícím seznamu:
Profily Wi-Fi, VPN, certifikátů a e-mailů: Tyto profily se odeberou ze všech podporovaných zaregistrovaných zařízení.
Všechny ostatní typy profilů:
Zařízení s Androidem: Nastavení se ze zařízení neodeberou.
iOS/iPadOS: Odeberou se všechna nastavení s výjimkou:
- Povolit hlasový roaming
- Povolit datový roaming
- Povolit automatickou synchronizaci při roamingu
Zařízení s Windows: Po odebrání nebo zrušení přiřazení profilu požádejte Microsoft Entra uživatele, aby se k zařízení přihlásil a synchronizoval se službou Intune.
Nastavení Intune jsou založená na poskytovateli konfiguračních služeb windows (CSP). Chování závisí na zprostředkovateli CSP. Někteří poskytovatelé CSP nastavení odeberou a někteří poskytovatelé CSP si ho zachovají, což se označuje také jako tetování.
Profil se vztahuje na skupinu uživatelů. Později se uživatel ze skupiny odebere. Než se nastavení uživateli odebere, může trvat až 7 hodin nebo déle pro:
- Profil, který se má odebrat z přiřazení zásad v Centru pro správu Intune
- Zařízení, které se má synchronizovat s objektem Intune pomocí cyklu aktualizace zásad specifických pro platformu (v tomto článku)
Změnil(a) jsem profil omezení zařízení, ale změny se neprojevily
Pokud chcete použít méně omezující profil, může být potřeba některá zařízení vyřadit a znovu zaregistrovat do Intune. Možná budete muset například vyřadit a znovu zaregistrovat klientská zařízení s Androidem, iOS/iPadOS a Windows.
Některá nastavení v profilu Windows 10/11 vrací hodnotu Nepoužitelné.
Některá nastavení na klientských zařízeních s Windows se můžou zobrazovat jako Nepoužitelné. V takovém případě není toto konkrétní nastavení podporováno ve verzi nebo edici Windows spuštěné na zařízení. K této zprávě může dojít z následujících důvodů:
- Nastavení je dostupné jenom pro novější verze Windows, a ne pro aktuální verzi operačního systému (OS) na zařízení.
- Nastavení je dostupné jenom pro konkrétní edice Windows nebo konkrétní skladové položky, jako jsou Home, Professional, Enterprise a Education.
Další informace o požadavcích na verzi a edici pro různá nastavení najdete v referenčních informacích o poskytovateli konfiguračních služeb (CSP).
Při registraci zařízení dochází ke zpoždění při použití aplikací a zásad přiřazených dynamickým skupinám zařízení.
Během registrace můžete používat Microsoft Entra dynamických skupin zařízení. Můžete například vytvořit dynamickou skupinu zařízení na základě názvu zařízení nebo registračního profilu.
Registrační profil se použije u záznamu zařízení během počátečního nastavení zařízení. Microsoft Entra dynamické seskupení není okamžité. Zařízení nemusí být v dynamické skupině po určitou dobu, případně minuty až hodiny v závislosti na dalších změnách provedených ve vašem tenantovi.
Pokud se zařízení nepřidá do skupiny, vaše aplikace a zásady se k zařízení nepřiřadí během počátečního ohlášení služby Intune. Zásady se nemusí vztahovat až do dalšího naplánovaného ohlášení.
Pokud je pro váš scénář nastavení/registrace důležité rychlé doručování aplikací a zásad, přiřaďte aplikace a zásady skupinám uživatelů, ne dynamickým skupinám zařízení. Skupiny uživatelů jsou před nastavením zařízení předem vyplněné členy a nemají toto zpoždění.
Další informace o dynamických skupinách najdete tady:
- Přidání skupin pro uspořádání uživatelů a zařízení v Intune
- Doporučení k výkonu při použití Intune k seskupení, cílení a filtrování
- Pravidla dynamického členství pro skupiny v Microsoft Entra ID
Další kroky
- Řešení potíží se zásadami a profily
- Potřebujete další pomoc? Viz Jak získat podporu v Microsoft Intune.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro