Veelgestelde vragen, antwoorden en scenario's met beleidsregels en profielen in Microsoft Intune
Belangrijk
Op 22 oktober 2022 Microsoft Intune de ondersteuning beëindigd voor apparaten met Windows 8.1. Technische ondersteuning en automatische updates op deze apparaten zijn niet beschikbaar.
Als je momenteel Windows 8.1 gebruikt, ga je naar Windows 10/11-apparaten. Microsoft Intune heeft ingebouwde beveiligings- en apparaatfuncties waarmee Windows 10/11-clientapparaten worden beheerd.
Krijg antwoorden op veelgestelde vragen bij het werken met beleid in Intune. In dit artikel worden ook de inchecktijdsintervallen vermeld, meer bewaringen bij conflicten en meer.
Dit artikel is van toepassing op de volgende beleidsregels:
- Beleid voor app-beveiliging
- App-configuratiebeleid
- Nalevingsbeleidsregels
- Beleidsregels voor voorwaardelijke toegang
- Apparaatconfiguratieprofielen
- Inschrijvingsbeleid
Vernieuwingsintervallen van beleid
Intune meldt het apparaat om in te checken bij de Intune-service. De meldingstijden variëren, inclusief direct tot een paar uur. Deze meldingstijden verschillen ook per platform. Op Android-apparaten kan Google Mobile Services (GMS) van invloed zijn op vernieuwingsintervallen van beleid.
Als een apparaat niet incheckt om het beleid of profiel op te halen na de eerste melding, voert Intune nog drie pogingen uit. Een offlineapparaat, zoals uitgeschakeld of niet verbonden met een netwerk, ontvangt mogelijk geen meldingen. In dit geval krijgt het apparaat het beleid of profiel bij de volgende geplande check-in bij de Intune-service. Hetzelfde geldt voor controles op niet-naleving, met inbegrip van apparaten die van een compatibele status naar een niet-compatibele status gaan.
Geschatte frequenties:
Platform | Vernieuwingscyclus |
---|---|
Android, AOSP | Ongeveer elke 8 uur |
iOS/iPadOS | Ongeveer elke 8 uur |
macOS | Ongeveer elke 8 uur |
Windows 10/11-pc's die zijn geregisteerd als apparaten | Ongeveer elke 8 uur |
Windows 8.1 | Ongeveer elke 8 uur |
Als apparaten onlangs zijn ingeschreven, worden de naleving, niet-naleving en configuratiecontrole vaker uitgevoerd. De check-ins worden geschat op:
Platform | Frequentie |
---|---|
Android, AOSP | Elke 3 minuten gedurende 15 minuten, vervolgens om de 15 minuten gedurende 2 uur en vervolgens ongeveer elke 8 uur |
iOS/iPadOS | Elke 15 minuten gedurende 1 uur en vervolgens ongeveer om de 8 uur |
macOS | Elke 15 minuten gedurende 1 uur en vervolgens ongeveer om de 8 uur |
Windows 10/11-pc's die zijn geregisteerd als apparaten | Elke 3 minuten gedurende 15 minuten, vervolgens om de 15 minuten gedurende 2 uur en vervolgens ongeveer elke 8 uur |
Windows 8.1 | Elke 5 minuten gedurende 15 minuten, vervolgens om de 15 minuten gedurende 2 uur en vervolgens ongeveer elke 8 uur |
Voor vernieuwingsintervallen voor app-beveiligingsbeleid ga je naar timing van levering van app-beveiligingsbeleid.
Gebruikers kunnen op elk gewenst moment de Bedrijfsportal-app openen, Apparaten>Status controleren of Instellingen>Synchronisatie om onmiddellijk te controleren op beleids- of profielupdates. Zie Win32-app-beheer in Microsoft Intune voor verwante informatie over de Intune Management uitbreiding-agent of Win32-apps.
Intune-acties waarmee onmiddellijk een melding naar een apparaat wordt verzonden
Er zijn verschillende acties die een melding activeren. Bijvoorbeeld wanneer een beleid, profiel of app wordt toegewezen (of niet-toegewezen), wordt bijgewerkt, verwijderd, enzovoort. Deze actietijden variëren per platform.
Apparaten worden bij Intune ingecheckt wanneer ze een melding ontvangen om in te checken of tijdens de geplande check-in. Wanneer je een actie op een apparaat of gebruiker richt, meldt Intune het apparaat onmiddellijk om in te checken om deze updates te ontvangen. Er wordt bijvoorbeeld een melding weergegeven wanneer een vergrendeling, wachtwoordcode opnieuw instellen, app of beleidstoewijzing wordt uitgevoerd.
Andere wijzigingen veroorzaken geen onmiddellijke melding naar apparaten, waaronder het herzien van de contactgegevens in de bedrijfsportal-app of het bijwerken van een .ipa
-bestand.
De instellingen in het beleid of profiel worden bij elke check-in toegepast. Een blogbericht over het vernieuwen van het Windows 10 MDM-beleid kan een goede bron zijn.
Conflicten
Conflicten kunnen optreden wanneer verschillende beleidsregels dezelfde instelling bijwerken naar verschillende waarden. Je hebt bijvoorbeeld twee beleidsregels waarmee de instelling voor kopiëren en plakken wordt bijgewerkt naar verschillende waarden. Het conflict wordt anders verwerkt, afhankelijk van het type beleid.
Als je Microsoft Copilot in Intune gebruikt, kan Copilot je helpen bij het oplossen van conflicten. Ga voor meer informatie naar Beleid en instellingsbeheer in Copilot in Intune.
Je kunt ook Microsoft Copilot in Intune gebruiken voor meer informatie over je beleid en de instellingen die zijn geconfigureerd in je beleid.
App-beveiligingsbeleid dat conflict veroorzaakt
Conflictwaarden zijn de meest beperkende instellingen die beschikbaar zijn in een app-beveiligingsbeleid. De uitzondering zijn numerieke invoervelden, zoals pincodepogingen vóór het opnieuw instellen. Numerieke invoervelden worden op dezelfde manier ingesteld als de waarden, alsof je een MAM-beleid hebt gemaakt met behulp van de optie aanbevolen instellingen.
Er treden conflicten op wanneer twee profielinstellingen hetzelfde zijn. Je hebt bijvoorbeeld twee MAM-beleidsregels geconfigureerd die identiek zijn, met uitzondering van de instelling voor kopiëren en plakken. In dit scenario wordt de instelling voor kopiëren/plakken ingesteld op de meest beperkende waarde. De rest van de instellingen is van toepassing zoals geconfigureerd.
Een beleid wordt geïmplementeerd in de app en wordt van kracht. Er wordt een tweede beleid geïmplementeerd. In dit scenario heeft het eerste beleid voorrang en blijft het toegepast. Het tweede beleid toont een conflict. Als beide tegelijk worden toegepast, wat betekent dat er geen voorafgaand beleid is, zijn beide conflicterende. Conflicterende instellingen worden ingesteld op de meest beperkende waarden.
Nalevings- en apparaatconfiguratiebeleid dat conflict veroorzaakt
Wanneer twee of meer beleidsregels zijn toegewezen aan dezelfde gebruiker of hetzelfde apparaat, gebeurt de instelling die van toepassing is op het niveau van de afzonderlijke instelling:
Als u nalevingsbeleid gebruikt om apparaatinstellingen te evalueren, hebben de instellingen in het nalevingsbeleid voorrang op dezelfde instelling in apparaatconfiguratiebeleid. Instellingen voor nalevingsbeleid hebben altijd voorrang op configuratieprofielinstellingen.
Als een nalevingsbeleid wordt geëvalueerd op basis van dezelfde instelling in een ander nalevingsbeleid, is de meest beperkende instelling voor nalevingsbeleid van toepassing.
Als een configuratiebeleidsinstelling conflicteert met een instelling in een ander configuratiebeleid, wordt dit conflict weergegeven in Intune. Deze conflicten handmatig oplossen.
In het Intune-beheercentrum zijn er enkele plaatsen waar je configuratiebeleid kunt maken, waaronder analyse van groepsbeleid, eindpuntbeveiliging, beveiligingsbasislijnen en meer. Als er een conflict is en je meerdere beleidsregels hebt, controleer je alle plaatsen waar je beleidsregels hebt geconfigureerd. De ingebouwde rapportagefuncties kunnen ook helpen bij conflicten. Ga naar Intune-rapporten voor meer informatie over de beschikbare rapporten.
Aangepast iOS-/iPadOS- of macOS-beleid dat conflict veroorzaakt
Intune evalueert de nettolading van Apple Configuration-bestanden of een aangepast OMA-URI-beleid (Open Mobile Alliance Uniform Resource Identifier) niet. Het fungeert alleen als het leveringsmechanisme.
Wanneer je een aangepast beleid toewijst, controleer je of de geconfigureerde instellingen geen conflict veroorzaken met naleving, configuratie of andere aangepaste beleidsregels. Als een aangepast beleid en de bijbehorende instellingen conflict, past Apple de instellingen willekeurig toe.
De ingebouwde rapportagefuncties kunnen helpen bij conflicten. Ga naar Intune-rapporten voor meer informatie over de beschikbare rapporten.
Een profiel wordt verwijderd of is niet meer van toepassing
Wanneer je een profiel verwijdert of een apparaat verwijdert uit een groep waaraan het profiel is toegewezen, worden het profiel en de instellingen van het apparaat verwijderd. Ze worden met name verwijderd zoals beschreven in de volgende lijst:
Wi-Fi-, VPN-, certificaat- en e-mailprofielen: deze profielen worden verwijderd van alle ondersteunde geregistreerde apparaten.
Alle andere profieltypen:
Android-apparaten: instellingen worden niet van het apparaat verwijderd.
iOS/iPadOS: alle instellingen worden verwijderd, behalve:
- Spraakroaming toestaan
- Dataroaming toestaan
- Automatische synchronisatie toestaan tijdens roaming
Windows-apparaten: nadat je het profiel hebt verwijderd of opheffen, moet de Microsoft Entra-gebruiker zich aanmelden bij het apparaat en synchroniseren met de Intune-service.
Intune-instellingen zijn gebaseerd op de Windows-configuratieserviceprovider (CSP's). Het gedrag is afhankelijk van de CSP. Sommige CSP's verwijderen de instelling en sommige CSP's behouden de instelling, ook wel tatoeëring genoemd.
Een profiel is van toepassing op een gebruikersgroep. Later wordt een gebruiker uit de groep verwijderd. Voordat de instellingen van die gebruiker worden verwijderd, kan het tot 7 uur of langer duren voordat:
- Het profiel dat moet worden verwijderd uit de beleidstoewijzing in het Intune-beheercentrum
- Het apparaat dat moet worden gesynchroniseerd met het Intune-object met behulp van de platformspecifieke beleidsvernieuwingscyclus (in dit artikel)
Ik heb een apparaatbeperkingsprofiel gewijzigd, maar de wijzigingen zijn niet van kracht
Als je een minder beperkend profiel wilt toepassen, moeten sommige apparaten mogelijk buiten gebruik worden gesteld en opnieuw worden geregistreerd bij Intune. Je moet bijvoorbeeld android-, iOS-/iPadOS- en Windows-clientapparaten buiten gebruik stellen en opnieuw inschrijven.
Sommige instellingen in een Windows 10/11-profiel retourneren 'Niet van toepassing'
Sommige instellingen op Windows-clientapparaten kunnen worden weergegeven als Niet van toepassing. Wanneer deze situatie zich voordoet, wordt die specifieke instelling niet ondersteund in de Windows-versie of -editie die op het apparaat wordt uitgevoerd. Dit bericht kan om de volgende redenen voorkomen:
- De instelling is alleen beschikbaar voor nieuwere versies van Windows en niet voor de huidige versie van het besturingssysteem op het apparaat.
- De instelling is alleen beschikbaar voor specifieke Windows-edities of specifieke SKU's, zoals Home, Professional, Enterprise en Education.
Zie de CSP-verwijzing (Configuration Service Provider) voor meer informatie over de versie- en editievereisten voor de verschillende instellingen.
Wanneer apparaten worden ingeschreven, is er een vertraging bij het toepassen van apps en beleidsregels die zijn toegewezen aan dynamische apparaatgroepen
Tijdens de inschrijving kun je dynamische Microsoft Entra-apparaatgroepen gebruiken. Je kunt bijvoorbeeld een dynamische apparaatgroep maken op basis van de naam of het inschrijvingsprofiel van een apparaat.
Het inschrijvingsprofiel wordt toegepast op de apparaatrecord tijdens de eerste installatie van het apparaat. Dynamische Microsoft Entra-groepering is niet direct. Het apparaat bevindt zich mogelijk enige tijd niet in de dynamische groep, mogelijk minuten tot uren, afhankelijk van andere wijzigingen die in uw tenant worden aangebracht.
Als het apparaat niet wordt toegevoegd aan de groep, worden je apps en beleidsregels niet aan het apparaat toegewezen tijdens de eerste Intune-check-in. Het beleid is mogelijk niet van toepassing tot de volgende geplande check-in.
Als snelle levering van apps en beleidsregels belangrijk is voor je installatie-/inschrijvingsscenario, wijs je je apps en beleidsregels toe aan gebruikersgroepen, niet aan dynamische apparaatgroepen. Gebruikersgroepen worden vooraf ingevuld met leden vóór de installatie van het apparaat en hebben deze vertraging niet.
Ga voor meer informatie over dynamische groepen naar:
- Groepen toevoegen om gebruikers en apparaten in Intune te ordenen
- Prestatieaanbeveling bij het gebruik van Intune voor groepen, doelen en filteren
- Dynamische lidmaatschapsregels voor groepen in Microsoft Entra ID
Fout 'De synchronisatie kan niet worden gestart (0x80072f9a)'
Op Windows-apparaten ziet u mogelijk een The sync could not be initiated (0x80072f9a)
fout wanneer u probeert te synchroniseren in de app>Instellingen Accounts>Toegang tot werk of school.
Als de TPM (Trusted Platform Module) is teruggezet naar de fabrieksinstellingen, moet het apparaat opnieuw worden ingeschreven om de synchronisatie te hervatten. De Microsoft Entra-identiteit van het apparaat wordt opgeslagen in de TPM. Als de id dus wordt verwijderd, is herinschrijving de enige manier om de Microsoft Entra identiteit te herstellen.
Verwante artikelen
- Problemen met beleid en profielen oplossen.
- Heb je extra hulp nodig? Zie Ondersteuning krijgen in Microsoft Intune.