Antworten auf häufig gestellte Fragen zu Richtlinien und Profilen in Microsoft Intune
Wichtig
Am 22. Oktober 2022 hat Microsoft Intune den Support für Geräte unter Windows 8.1 eingestellt. Technische Unterstützung und automatische Updates auf diesen Geräten sind nicht verfügbar.
Wenn Sie derzeit Windows 8.1 verwenden, wechseln Sie zu Windows 10/11-Geräten. Microsoft Intune verfügt über integrierte Sicherheits- und Gerätefeatures, die Windows 10/11-Clientgeräte verwalten.
Erhalten Sie Antworten auf häufig gestellte Fragen beim Arbeiten mit Richtlinien in Intune. In diesem Artikel werden u. a. Check-In-Zeitintervalle und weitere Informationen aufgelistet.
Dieser Artikel gilt für die folgenden Richtlinien:
- App-Schutzrichtlinien
- App-Konfigurationsrichtlinien
- Compliancerichtlinien
- Richtlinien für bedingten Zugriff
- Gerätekonfigurierungsprofile
- Registrierungsrichtlinien
Richtlinienaktualisierungsintervalle
Intune fordert das Gerät auf, beim Intune-Dienst einzuchecken. Der Zeitpunkt der Benachrichtigung kann zwischen unmittelbar nach der Zuweisung und einigen Stunden liegen. Unterschiede bestehen dabei auch zwischen den einzelnen Plattformen. Auf Android-Geräten kann Sich Google Mobile Services (GMS) auf die Aktualisierungsintervalle von Richtlinien auswirken.
Checkt ein Gerät nach der ersten Benachrichtigung nicht zum Abrufen der Richtlinie oder des Profils ein, unternimmt Intune drei weitere Versuche. Wenn das Gerät offline ist, z. B. ausgeschaltet oder nicht mit einem Netzwerk verbunden, erhält es die Benachrichtigungen möglicherweise nicht. In diesem Fall ruft das Gerät die Richtlinie oder das Profil beim nächsten geplanten Check-In beim Intune-Dienst ab. Das gleiche gilt für die Überprüfung auf Nichtkompatibilität, einschließlich der Geräte, die von einem kompatiblen auf einen nicht konformen Zustand wechseln.
Geschätzte Häufigkeiten:
Plattform | Aktualisierungszyklus |
---|---|
Android, AOSP | Etwa alle 8 Stunden |
iOS/iPadOS | Etwa alle 8 Stunden |
macOS | Etwa alle 8 Stunden |
Windows 10/11-PCs, die als Geräte registriert sind | Etwa alle 8 Stunden |
Windows 8.1 | Etwa alle 8 Stunden |
Wenn Geräte erst kürzlich registriert wurden, erfolgt das Einchecken hinsichtlich Konformität, Nichtkonformität und Konfiguration häufiger. Die Check-Ins werden wie folgt geschätzt:
Plattform | Häufigkeit |
---|---|
Android, AOSP | Für 15 Minuten alle 3 Minuten, dann für 2 Stunden alle 15 Minuten und dann etwa alle 8 Stunden |
iOS/iPadOS | Für 1 Stunde alle 15 Minuten und dann etwa alle 8 Stunden |
macOS | Für 1 Stunde alle 15 Minuten und dann etwa alle 8 Stunden |
Windows 10/11-PCs, die als Geräte registriert sind | Für 15 Minuten alle 3 Minuten, dann für 2 Stunden alle 15 Minuten und dann etwa alle 8 Stunden |
Windows 8.1 | Für 15 Minuten alle 5 Minuten, dann für 2 Stunden alle 15 Minuten und dann etwa alle 8 Stunden |
Informationen zu Aktualisierungsintervallen für App-Schutzrichtlinien finden Sie unter Zeitplan für die Bereitstellung der Appschutz-Richtlinie.
Benutzer können jederzeit die Unternehmensportal-App öffnen, Geräte>Status überprüfen oder Einstellungen>Synchronisieren, um sofort nach Richtlinien- oder Profilupdates zu suchen. Verwandte Informationen zum Intune-Verwaltungserweiterungs-Agent oder zu Win32-Apps finden Sie unter Win32-App-Verwaltung in Microsoft Intune.
Intune-Aktionen, die sofort eine Benachrichtigung an ein Gerät senden
Es gibt verschiedene Aktionen, die eine Benachrichtigung auslösen. Beispielsweise wenn eine Richtlinie, ein Profil oder eine App zugewiesen (oder die Zuweisung aufgehoben), aktualisiert, gelöscht usw. wird. Die Zeiträume variieren je nach Plattform.
Geräte checken bei Intune entweder beim Erhalt einer Benachrichtigung zum Einchecken oder während ihres geplanten Eincheckvorgangs ein. Wenn Sie für ein Gerät oder einen Benutzer eine Aktion durchführen, fordert Intune das Gerät sofort zum Einchecken auf, um diese Updates zu empfangen. Beispielsweise erfolgt eine Benachrichtigung, wenn eine Sperre, eine Kennungsrücksetzung, eine App oder eine Richtlinienzuweisungsaktion ausgeführt wird.
Andere Änderungen führen nicht zu einer sofortigen Benachrichtigung an Geräte, einschließlich der Überarbeitung der Kontaktinformationen in der Unternehmensportal-App oder Aktualisierungen einer .ipa
-Datei.
Die Einstellungen in der Richtlinie oder im Profil werden bei jedem Einchecken angewendet. Ein Windows 10 MDM-Richtlinienaktualisierungs-Kundenblogbeitrag kann eine gute Ressource sein.
Conflicts
Konflikte können auftreten, wenn unterschiedliche Richtlinien dieselbe Einstellung auf unterschiedliche Werte aktualisieren. Beispielsweise verfügen Sie über zwei Richtlinien, die die Einstellung zum Kopieren/Einfügen auf unterschiedliche Werte aktualisieren. Der Konflikt wird je nach Richtlinientyp unterschiedlich behandelt.
Wenn Sie Microsoft Copilot in Intune verwenden, kann Copilot Ihnen helfen, Konflikte zu lösen. Weitere Informationen finden Sie unter Richtlinien- und Einstellungsverwaltung in Copilot in Intune.
Sie können auch Microsoft Copilot in Intune verwenden, um weitere Informationen zu Ihren Richtlinien und den in Ihren Richtlinien konfigurierten Einstellungen zu erhalten.
Appschutz-Richtlinien, die in Konflikt stehen
Konfliktwerte sind die restriktivsten Einstellungen, die in einer Appschutz-Richtlinie verfügbar sind. Die Ausnahme sind numerische Eingabefelder, z. B. PIN-Versuche vor dem Zurücksetzen. Numerische Eingabefelder werden genauso wie die Werte festgelegt, als ob Sie eine MAM-Richtlinie mithilfe der empfohlenen Einstellungsoption erstellt haben.
Konflikte treten auf, wenn zwei Profileinstellungen identisch sind. Beispielsweise haben Sie zwei MAM-Richtlinien konfiguriert, die mit Ausnahme der Einstellung für Kopieren/Einfügen identisch sind. In diesem Szenario wird die Einstellung zum Kopieren/Einfügen auf den restriktivsten Wert festgelegt. Die restlichen Einstellungen werden wie konfiguriert angewendet.
Eine Richtlinie wird in der App bereitgestellt und tritt in Kraft. Eine zweite Richtlinie wird bereitgestellt. In diesem Szenario hat die erste Richtlinie Vorrang und gilt weiterhin. Die zweite Richtlinie wird als in Konflikt stehend angezeigt. Wenn beide Richtlinien gleichzeitig angewendet werden, also keine vorherige Richtlinie vorhanden ist, stehen beide in Konflikt. Alle in Konflikt stehenden Einstellungen werden auf die restriktivsten Werte festgelegt.
Compliance- und Gerätekonfigurationsrichtlinien, die in Konflikt stehen
Wenn zwei oder mehr Richtlinien demselben Benutzer oder Gerät zugewiesen sind, erfolgt das Anwenden der Einstellung auf der Ebene der individuellen Einstellung:
Wenn Sie Konformitätsrichtlinien verwenden, um Geräteeinstellungen auszuwerten, haben die Einstellungen innerhalb der Konformitätsrichtlinie Vorrang vor derselben Einstellung in Gerätekonfigurationsrichtlinien. Konformitätsrichtlinieneinstellungen haben immer Vorrang vor Konfigurationsprofileinstellungen.
Die restriktivste Konformitätsrichtlinie wird angewendet, wenn sie anhand derselben Einstellung in einer anderen Konformitätsrichtlinie ausgewertet wird.
Falls eine Konfigurationsrichtlinieneinstellung im Konflikt mit einer Einstellung in einer anderen Konfigurationsrichtlinie steht, wird dieser Konflikt in Intune angezeigt. Konflikte dieser Art müssen Sie manuell auflösen.
Im Intune-Admin Center gibt es einige Stellen, an denen Sie Konfigurationsrichtlinien erstellen können, einschließlich Gruppenrichtlinienanalyse, Endpunktsicherheit, Sicherheitsgrundlinien und mehr. Wenn es einen Konflikt gibt und Sie mehrere Richtlinien haben, überprüfen Sie alle Orte, an denen Sie Richtlinien konfiguriert haben. Außerdem können die integrierten Berichtsfunktionen bei Konflikten helfen. Weitere Informationen zu den verfügbaren Berichten finden Sie unter Intune Berichte.
In Konflikt stehende benutzerdefinierte iOS-/iPadOS- oder macOS-Richtlinien
Intune bewertet nicht die Nutzlast von Apple-Konfigurationsdateien oder einer benutzerdefinierten OMA-URI-Richtlinie (Open Mobile Alliance Uniform Resource Identifier). Es dient lediglich als Übermittlungsmechanismus.
Wenn Sie eine benutzerdefinierte Richtlinie zuweisen, bestätigen Sie, dass die konfigurierten Einstellungen nicht mit Konformitäts-, Konfigurations- oder anderen benutzerdefinierten Richtlinien in Konflikt stehen. Wenn eine benutzerdefinierte Richtlinie und ihre Einstellungen in Konflikt geraten, wendet Apple die Einstellungen nach dem Zufallsprinzip an.
Die integrierten Berichtsfunktionen können bei Konflikten helfen. Weitere Informationen zu den verfügbaren Berichten finden Sie unter Intune-Berichte.
Ein Profil wird gelöscht oder ist nicht mehr anwendbar.
Wenn Sie ein Profil löschen oder ein Gerät aus einer Gruppe entfernen, der das Profil zugewiesen ist, werden das Profil und die Einstellungen vom Gerät entfernt. Insbesondere werden sie wie in der folgenden Liste beschrieben entfernt:
WLAN-, VPN-, Zertifikat- und E-Mail-Profile: Diese Profile werden von allen unterstützten registrierten Geräten entfernt.
Alle anderen Profiltypen:
Android-Geräte: Einstellungen werden nicht vom Gerät entfernt.
iOS/iPadOS: Alle Einstellungen werden entfernt, außer:
- Sprachroaming zulassen
- Datenroaming zulassen
- Automatische Synchronisierung beim Roaming zulassen
Windows-Geräte: Nachdem Sie das Profil entfernt oder die Zuweisung aufgehoben haben, muss sich der Microsoft Entra-Benutzer beim Gerät anmelden und mit dem Intune-Dienst synchronisieren.
Intune-Einstellungen basieren auf dem Windows-Konfigurationsdienstanbieter (Windows Configuration Service Provider, CSP). Das Verhalten hängt vom CSP ab. Einige CSP entfernen die Einstellung, und einige CSP behalten die auch als „Tätowierung“ bezeichnete Einstellung bei.
Ein Profil gilt für eine Benutzergruppe. Später wird ein Benutzer aus der Gruppe entfernt. Bis die Einstellungen für diesen Benutzer entfernt sind, kann es für die folgenden Elemente bis zu 7 Stunden oder mehr dauern:
- Das Profil, das aus der Richtlinienzuweisung im Intune Admin Center entfernt werden soll
- Das Gerät, das mit dem Intune-Objekt mithilfe des plattformspezifischen Richtlinienaktualisierungszyklus synchronisiert werden soll (in diesem Artikel)
Ich habe ein Profil für Geräteeinschränkungen geändert, aber die Änderungen wurden nicht übernommen.
Um ein weniger restriktives Profil anzuwenden, müssen einige Geräte möglicherweise zurückgezogen und bei Intune erneut registriert werden. Beispielsweise müssen Sie Android-, iOS-/iPadOS- und Windows-Clientgeräte möglicherweise zurückziehen und erneut registrieren.
Einige Einstellungen in einem Windows 10/11-Profil geben „Nicht zutreffend“ zurück
Einige Einstellungen auf Windows-Clientgeräten können als Nicht zutreffend angezeigt werden. In diesen Fällen werden die Einstellungen von der auf Ihrem Gerät ausgeführten Windows-Version oder -Edition nicht unterstützt. Diese Meldung kann aus folgenden Gründen angezeigt werden:
- Die Einstellung ist nur auf neueren Windows-Versionen und nicht auf der aktuellen Betriebssystemversion verfügbar.
- Die Einstellung ist nur für bestimmte Windows-Editionen oder bestimmte SKUs, z. B. Home, Professional, Education und Enterprise, verfügbar.
Weitere Informationen zu den Versions- und Editionsanforderungen für die verschiedenen Einstellungen finden Sie in der Referenz zu Konfigurationsdienstanbietern.
Wenn Geräte registriert werden, kommt es zu einer Verzögerung beim Anwenden von Apps und Richtlinien, die dynamischen Gerätegruppen zugewiesen sind.
Während der Registrierung können Sie dynamische Microsoft Entra-Gerätegruppen verwenden. Sie können z. B. eine dynamische Gerätegruppe basierend auf dem Namen oder Registrierungsprofil eines Geräts erstellen.
Das Registrierungsprofil wird während der ersten Geräteeinrichtung auf den Gerätedatensatz angewendet. Die dynamische Gruppierung von Microsoft Entra erfolgt nicht sofort. Das Gerät befindet sich möglicherweise für einige Zeit nicht in der dynamischen Gruppe, je nach anderen Änderungen, die in Ihrem Mandanten vorgenommen werden.
Wenn das Gerät nicht zur Gruppe hinzugefügt wird, werden Ihre Apps und Richtlinien dem Gerät während des ersten Intune-Check-Ins nicht zugewiesen. Die Richtlinien gelten möglicherweise erst beim nächsten geplanten Check-In.
Wenn die schnelle Bereitstellung von Apps und Richtlinien für Ihr Setup-/Registrierungsszenario wichtig ist, weisen Sie Ihre Apps und Richtlinien Benutzergruppen und nicht dynamischen Gerätegruppen zu. Benutzergruppen werden vor dem Einrichten des Geräts bereits mit Mitgliedern aufgefüllt und weisen diese Verzögerung nicht auf.
Weitere Informationen zu dynamischen Gruppen finden Sie unter:
- Hinzufügen von Gruppen zum Organisieren von Benutzern und Geräten
- Leistungsempfehlungen bei Der Verwendung von Intune zum Gruppieren, Ausrichten und Filtern
- Dynamische Mitgliedschaftsregeln für Gruppen in Microsoft Entra ID
Fehler "Die Synchronisierung konnte nicht initiiert werden (0x80072f9a)"
Wenn Sie auf Windows-Geräten versuchen, die Synchronisierung in der Einstellungen-App>Konten>Auf Geschäfts-, Schul- oder Unikonto zuzugreifen, wird möglicherweise ein The sync could not be initiated (0x80072f9a)
Fehler angezeigt.
Wenn das Trusted Platform Module (TPM) auf die Werkseinstellungen zurückgesetzt wurde, muss das Gerät erneut registriert werden, um die Synchronisierung fortzusetzen. Die Microsoft Entra Identität des Geräts wird im TPM gespeichert. Wenn also die ID entfernt wird, ist die erneute Registrierung die einzige Möglichkeit, die Microsoft Entra Identität wiederherzustellen.
Verwandte Artikel
- Fehlerbehebung von Richtlinien und Profilen.
- Benötigen Sie zusätzliche Hilfe? Weitere Informationen finden Sie unter So erhalten Sie Support in Microsoft Intune.