Domande, risposte e scenari comuni con criteri e profili in Microsoft Intune
Importante
Il 22 ottobre 2022 Microsoft Intune terminato il supporto per i dispositivi che eseguono Windows 8.1. L'assistenza tecnica e gli aggiornamenti automatici su questi dispositivi non sono disponibili.
Se attualmente si usa Windows 8.1, è consigliabile passare a dispositivi Windows 10/11. Microsoft Intune dispone di funzionalità predefinite per la sicurezza e i dispositivi che gestiscono i dispositivi client Windows 10/11.
Ottenere risposte alle domande comuni quando si usano i criteri in Intune. Questo articolo elenca anche gli intervalli di tempo di check-in, fornisce più detenuti in caso di conflitti e altro ancora.
Questo articolo si applica ai criteri seguenti:
- Criteri di protezione delle app
- Criteri di configurazione delle app
- Criteri di conformità
- Criteri di accesso condizionale
- Profili di configurazione del dispositivo
- Criteri di registrazione
Intervalli di aggiornamento dei criteri
Intune notifica al dispositivo di eseguire il check-in con il servizio Intune. I tempi di notifica variano, anche immediatamente fino a poche ore. Questi tempi di notifica variano anche tra le piattaforme. Nei dispositivi Android, Googe Mobile Services (GMS) può influire sugli intervalli di aggiornamento dei criteri.
Se un dispositivo non esegue l'archiviazione per ottenere il criterio o il profilo dopo la prima notifica, Intune effettua altri tre tentativi. Un dispositivo offline, ad esempio disattivato o non connesso a una rete, potrebbe non ricevere le notifiche. In questo caso, il dispositivo ottiene il criterio o il profilo al successivo check-in pianificato con il servizio Intune. Lo stesso vale per i controlli della mancata conformità, inclusi i dispositivi che passano da uno stato conforme a uno non conforme.
Frequenze stimate :
| Piattaforma | Ciclo di aggiornamento |
|---|---|
| Android, AOSP | Circa ogni 8 ore |
| iOS/iPadOS | Circa ogni 8 ore |
| macOS | Circa ogni 8 ore |
| Windows 10/11 PC registrati come dispositivi | Circa ogni 8 ore |
| Windows 8.1 | Circa ogni 8 ore |
Se i dispositivi sono registrati di recente, l'archiviazione di conformità, non conformità e configurazione viene eseguita più frequentemente. Le archiviazioni sono stimate in:
| Piattaforma | Frequenza |
|---|---|
| Android, AOSP | Ogni 3 minuti per 15 minuti, quindi ogni 15 minuti per 2 ore e quindi circa ogni 8 ore |
| iOS/iPadOS | Ogni 15 minuti per 1 ora e quindi circa ogni 8 ore |
| macOS | Ogni 15 minuti per 1 ora e quindi circa ogni 8 ore |
| Windows 10/11 PC registrati come dispositivi | Ogni 3 minuti per 15 minuti, quindi ogni 15 minuti per 2 ore e quindi circa ogni 8 ore |
| Windows 8.1 | Ogni 5 minuti per 15 minuti, quindi ogni 15 minuti per 2 ore e quindi circa ogni 8 ore |
Per gli intervalli di aggiornamento dei criteri di protezione delle app, passare a Tempi di recapito dei criteri di protezione delle app.
In qualsiasi momento, gli utenti possono aprire l'app Portale aziendale, Devices>Check Status o Settings>Sync per verificare immediatamente la presenza di aggiornamenti di criteri o profili. Per informazioni correlate sull'agente dell'estensione di gestione di Intune o sulle app Win32, vedere Gestione delle app Win32 in Microsoft Intune.
Azioni di Intune che inviano immediatamente una notifica a un dispositivo
Sono disponibili diverse azioni che attivano una notifica. Ad esempio, quando un criterio, un profilo o un'app viene assegnato (o non assegnato), aggiornato, eliminato e così via. Questi tempi di azione variano a seconda delle piattaforme.
I dispositivi eseguono l'archiviazione con Intune quando ricevono una notifica per l'archiviazione o durante l'archiviazione pianificata. Quando si imposta come destinazione un dispositivo o un utente con un'azione, Intune notifica immediatamente al dispositivo di archiviare per ricevere questi aggiornamenti. Ad esempio, una notifica si verifica quando viene eseguita un'azione di blocco, reimpostazione del passcode, app o assegnazione di criteri.
Altre modifiche non causano una notifica immediata ai dispositivi, inclusa la revisione delle informazioni di contatto nell'app Portale aziendale o gli aggiornamenti a un .ipa file.
Le impostazioni nel criterio o nel profilo vengono applicate a ogni check-in. Un post di blog del cliente relativo all'aggiornamento dei criteri MDM Windows 10 potrebbe essere una risorsa valida.
Conflitti
I conflitti possono verificarsi quando criteri diversi aggiornano la stessa impostazione in valori diversi. Ad esempio, sono disponibili due criteri che aggiornano l'impostazione copia/incolla su valori diversi. Il conflitto viene gestito in modo diverso a seconda del tipo di criterio.
Protezione di app criteri in conflitto
I valori dei conflitti sono le impostazioni più restrittive disponibili in un criterio di protezione delle app. L'eccezione è relativa ai campi di immissione numerici, ad esempio i tentativi di pin prima della reimpostazione. I campi di immissione numerica vengono impostati come i valori, come se fosse stato creato un criterio MAM usando l'opzione delle impostazioni consigliate.
I conflitti si verificano quando due impostazioni del profilo sono uguali. Ad esempio, sono stati configurati due criteri MAM identici, ad eccezione dell'impostazione copia/incolla. In questo scenario, l'impostazione copia/incolla è impostata sul valore più restrittivo. Le altre impostazioni si applicano come configurate.
Un criterio viene distribuito nell'app e diventa effettivo. Viene distribuito un secondo criterio. In questo scenario, il primo criterio ha la precedenza e rimane applicato. Il secondo criterio mostra un conflitto. Se entrambi vengono applicati contemporaneamente, ovvero non sono presenti criteri precedenti, entrambi sono in conflitto. Tutte le impostazioni in conflitto sono impostate sui valori più restrittivi.
Criteri di conformità e configurazione dei dispositivi in conflitto
Quando due o più criteri vengono assegnati allo stesso utente o dispositivo, l'impostazione applicata viene eseguita a livello di singola impostazione:
Se si usano criteri di conformità personalizzati per impostare le impostazioni del dispositivo, le impostazioni all'interno dei criteri di conformità personalizzati hanno la precedenza sulla stessa impostazione all'interno dei criteri di configurazione del dispositivo. Le impostazioni dei criteri di conformità hanno sempre la precedenza sulle impostazioni del profilo di configurazione.
Se un criterio di conformità viene valutato in base alla stessa impostazione in un altro criterio di conformità, viene applicata l'impostazione dei criteri di conformità più restrittiva.
Se un'impostazione dei criteri di configurazione è in conflitto con un'impostazione in un altro criterio di configurazione, questo conflitto viene visualizzato in Intune. Risolvere manualmente questi conflitti.
Nell'interfaccia di amministrazione di Intune sono disponibili alcune posizioni in cui è possibile creare criteri di configurazione, tra cui analisi Criteri di gruppo, sicurezza degli endpoint, baseline di sicurezza e altro ancora. Se si verifica un conflitto e sono presenti più criteri, controllare tutte le posizioni in cui sono stati configurati i criteri. Inoltre, le funzionalità di creazione di report predefinite possono essere utili per i conflitti. Per altre informazioni sui report disponibili, vedere Report di Intune.
Criteri iOS/iPadOS o macOS personalizzati in conflitto
Intune non valuta il payload dei file di configurazione Apple o un criterio personalizzato Open Mobile Alliance Uniform Resource Identifier (OMA-URI). Serve semplicemente come meccanismo di recapito.
Quando si assegna un criterio personalizzato, verificare che le impostazioni configurate non siano in conflitto con la conformità, la configurazione o altri criteri personalizzati. Se un criterio personalizzato e le relative impostazioni sono in conflitto, Apple applica in modo casuale le impostazioni.
Le funzionalità di creazione di report predefinite possono essere utili per i conflitti. Per altre informazioni sui report disponibili, vedere Report di Intune.
Un profilo viene eliminato o non è più applicabile
Quando si elimina un profilo o si rimuove un dispositivo da un gruppo a cui è assegnato il profilo, il profilo e le impostazioni vengono rimossi dal dispositivo. In particolare, vengono rimossi come descritto nell'elenco seguente:
Profili Wi-Fi, VPN, certificato e posta elettronica: questi profili vengono rimossi da tutti i dispositivi registrati supportati.
Tutti gli altri tipi di profilo:
Dispositivi Android: le impostazioni non vengono rimosse dal dispositivo.
iOS/iPadOS: tutte le impostazioni vengono rimosse, ad eccezione di:
- Consenti roaming vocale
- Consenti roaming dati
- Consenti la sincronizzazione automatica durante il roaming
Dispositivi Windows: dopo aver rimosso o annullato l'assegnazione del profilo, fare in modo che l'utente Microsoft Entra accinga al dispositivo e sincronizzi con il servizio Intune.
Le impostazioni di Intune si basano sul provider del servizio di configurazione Windows.Intune settings are based on the Windows configuration service provider (CSP). Il comportamento dipende dal CSP. Alcuni CSP rimuovano l'impostazione e alcuni CSP mantengono l'impostazione, detta anche tatuaggio.
Un profilo si applica a un gruppo di utenti. In seguito, un utente viene rimosso dal gruppo. Per rimuovere le impostazioni da tale utente, possono essere richieste fino a 7 ore o più per:
- Profilo da rimuovere dall'assegnazione dei criteri nell'interfaccia di amministrazione di Intune
- Dispositivo da sincronizzare con l'oggetto Intune usando il ciclo di aggiornamento dei criteri specifico della piattaforma (in questo articolo)
È stato modificato un profilo di restrizione del dispositivo, ma le modifiche non sono state applicate
Per applicare un profilo meno restrittivo, alcuni dispositivi potrebbero dover essere ritirati e registrati nuovamente in Intune. Ad esempio, potrebbe essere necessario ritirare e registrare nuovamente i dispositivi Android, iOS/iPadOS e i dispositivi client Windows.
Alcune impostazioni in un profilo Windows 10/11 restituiscono "Non applicabile"
Alcune impostazioni nei dispositivi client Windows possono essere visualizzate come Non applicabili. Quando si verifica questa situazione, tale impostazione specifica non è supportata nella versione o nell'edizione di Windows in esecuzione nel dispositivo. Questo messaggio può verificarsi per i motivi seguenti:
- L'impostazione è disponibile solo per le versioni più recenti di Windows e non per la versione corrente del sistema operativo nel dispositivo.
- L'impostazione è disponibile solo per specifiche edizioni di Windows o SKU specifici, ad esempio Home, Professional, Enterprise ed Education.
Per altre informazioni sui requisiti di versione e edizione per le diverse impostazioni, vedere le informazioni di riferimento sul provider di servizi di configurazione (CSP).
Quando i dispositivi si registrano, si verifica un ritardo nell'applicazione di app e criteri assegnati ai gruppi di dispositivi dinamici
Durante la registrazione, è possibile usare Microsoft Entra gruppi di dispositivi dinamici. Ad esempio, è possibile creare un gruppo di dispositivi dinamico in base al nome o al profilo di registrazione di un dispositivo.
Il profilo di registrazione viene applicato al record del dispositivo durante la configurazione iniziale del dispositivo. Microsoft Entra raggruppamento dinamico non è immediato. Il dispositivo potrebbe non essere nel gruppo dinamico per un certo periodo di tempo, probabilmente da minuti a ore a seconda di altre modifiche apportate nel tenant.
Se il dispositivo non viene aggiunto al gruppo, le app e i criteri non vengono assegnati al dispositivo durante l'archiviazione iniziale di Intune. I criteri potrebbero non essere applicati fino all'archiviazione pianificata successiva.
Se il recapito rapido di app e criteri è importante per lo scenario di configurazione/registrazione, assegnare le app e i criteri ai gruppi di utenti, non ai gruppi di dispositivi dinamici. I gruppi di utenti vengono precompilati con membri prima della configurazione del dispositivo e non hanno questo ritardo.
Per altre informazioni sui gruppi dinamici, vedere:
- Aggiungere gruppi per organizzare utenti e dispositivi in Intune
- Raccomandazioni sulle prestazioni quando si usa Intune per raggruppare, definire la destinazione e filtrare
- Regole di appartenenza dinamica per i gruppi in Microsoft Entra ID
Passaggi successivi
- Risolvere i problemi relativi a criteri e profili.
- Hai bisogno di aiuto in più? Vedere Come ottenere supporto in Microsoft Intune.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per