Typowe pytania, odpowiedzi i scenariusze dotyczące zasad i profilów w Microsoft Intune
Ważna
22 października 2022 r. Microsoft Intune zakończyła obsługę urządzeń z systemem Windows 8.1. Pomoc techniczna i automatyczne aktualizacje na tych urządzeniach nie są dostępne.
Jeśli obecnie używasz Windows 8.1, zalecamy przejście na urządzenia Windows 10/11. Microsoft Intune ma wbudowane funkcje zabezpieczeń i urządzeń, które zarządzają urządzeniami klienckimi Windows 10/11.
Uzyskaj odpowiedzi na typowe pytania podczas pracy z zasadami w Intune. Ten artykuł zawiera również listę interwałów czasu ewidencjonowania, zawiera więcej zatrzymań dotyczących konfliktów i nie tylko.
Ten artykuł dotyczy następujących zasad:
- zasady Ochrona aplikacji
- Zasady konfiguracji aplikacji
- Zasady zgodności
- Zasady dostępu warunkowego
- Profile konfiguracji urządzeń
- Zasady rejestracji
Interwały odświeżania zasad
Intune powiadamia urządzenie o zaewidencjonowaniu w usłudze Intune. Czasy powiadomień różnią się, w tym od razu do kilku godzin. Te czasy powiadomień różnią się również między platformami.
Jeśli urządzenie nie zaewidencjonuje, aby uzyskać zasady lub profil po pierwszym powiadomieniu, Intune podejmuje jeszcze trzy próby. Urządzenie w trybie offline, takie jak wyłączone lub niepodłączone do sieci, może nie otrzymywać powiadomień. W takim przypadku urządzenie pobiera zasady lub profil podczas następnego zaplanowanego zaewidencjonowania w usłudze Intune. To samo dotyczy sprawdzania niezgodności, w tym urządzeń, które przechodzą ze stanu zgodnego do niezgodnego.
Szacowane częstotliwości:
| Platforma | Cykl odświeżania |
|---|---|
| iOS/iPadOS | Mniej więcej co 8 godzin |
| macOS | Mniej więcej co 8 godzin |
| Android | Mniej więcej co 8 godzin |
| Windows 10/11 komputerów zarejestrowanych jako urządzenia | Mniej więcej co 8 godzin |
| Windows 8.1 | Mniej więcej co 8 godzin |
Jeśli urządzenia są ostatnio zarejestrowane, ewidencjonowanie zgodności, niezgodności i konfiguracji jest uruchamiane częściej. Ewidencjonowania są szacowane na:
| Platforma | Częstotliwości |
|---|---|
| iOS/iPadOS | Co 15 minut przez 1 godzinę, a następnie co około 8 godzin |
| macOS | Co 15 minut przez 1 godzinę, a następnie co około 8 godzin |
| Android | Co 3 minuty przez 15 minut, następnie co 15 minut przez 2 godziny, a następnie co około 8 godzin |
| Windows 10/11 komputerów zarejestrowanych jako urządzenia | Co 3 minuty przez 15 minut, następnie co 15 minut przez 2 godziny, a następnie co około 8 godzin |
| Windows 8.1 | Co 5 minut przez 15 minut, następnie co 15 minut przez 2 godziny, a następnie co około 8 godzin |
W dowolnym momencie użytkownicy mogą otworzyć aplikację Portal firmy, urządzenia>sprawdź stan lubsynchronizacjęustawień>, aby natychmiast sprawdzić aktualizacje zasad lub profilu. Aby uzyskać powiązane informacje na temat agenta rozszerzenia zarządzania Intune lub aplikacji Win32, zobacz Zarządzanie aplikacjami Win32 w Microsoft Intune.
Intune akcje, które natychmiast wysyłają powiadomienie do urządzenia
Istnieją różne akcje wyzwalające powiadomienie. Na przykład, gdy zasady, profil lub aplikacja są przypisane (lub nieprzypisane), aktualizowane, usuwane itd. Te czasy akcji różnią się w zależności od platformy.
Urządzenia zaewidencjonują Intune, gdy otrzymają powiadomienie o zaewidencjonowaniu lub podczas zaplanowanego zaewidencjonowania. Gdy akcja dotyczy urządzenia lub użytkownika, Intune natychmiast powiadamia urządzenie o zaewidencjonowaniu w celu odebrania tych aktualizacji. Na przykład gdy zostanie uruchomiona akcja blokady, resetowania kodu dostępu, aplikacji lub przypisania zasad.
Inne zmiany, takie jak poprawianie informacji kontaktowych w aplikacji Portal firmy, nie powodują natychmiastowego powiadomienia urządzeń.
Ustawienia w zasadach lub profilu są stosowane przy każdym zaewidencjonowaniu. Dobrym zasobem może być wpis w blogu Windows 10 odświeżania zasad MDM dla klientów.
Konflikty
Konflikty mogą wystąpić, gdy różne zasady aktualizują to samo ustawienie do różnych wartości. Na przykład masz dwie zasady, które aktualizują ustawienie kopiowania/wklejania do różnych wartości. Konflikt jest obsługiwany inaczej w zależności od typu zasad.
zasady Ochrona aplikacji, które powodują konflikt
Wartości powodujące konflikt to najbardziej restrykcyjne ustawienia dostępne w zasadach ochrony aplikacji. Wyjątkiem są numeryczne pola wpisu, takie jak próby numeru PIN przed zresetowaniem. Pola wpisu liczbowego są ustawione tak samo jak wartości, tak jak w przypadku utworzenia zasad zarządzania aplikacjami mobilnymi przy użyciu opcji zalecanych ustawień.
Konflikty występują, gdy dwa ustawienia profilu są takie same. Na przykład skonfigurowano dwie identyczne zasady zarządzania aplikacjami mobilnymi z wyjątkiem ustawienia kopiowania/wklejania. W tym scenariuszu ustawienie kopiowania/wklejania jest ustawione na najbardziej restrykcyjną wartość. Pozostałe ustawienia mają zastosowanie zgodnie ze skonfigurowaniem.
Zasady są wdrażane w aplikacji i są stosowane. Wdrożono drugą zasadę. W tym scenariuszu pierwsze zasady mają pierwszeństwo i pozostają stosowane. Drugie zasady pokazują konflikt. Jeśli oba są stosowane w tym samym czasie, co oznacza, że nie ma poprzednich zasad, oba są w konflikcie. Wszystkie ustawienia powodujące konflikt są ustawione na najbardziej restrykcyjne wartości.
Zasady zgodności i konfiguracji urządzeń, które powodują konflikt
Gdy co najmniej dwie zasady są przypisane do tego samego użytkownika lub urządzenia, zastosowane ustawienie odbywa się na poziomie poszczególnych ustawień:
Ustawienia zasad zgodności zawsze mają pierwszeństwo przed ustawieniami profilu konfiguracji. Jeśli do ustawiania ustawień urządzenia używasz niestandardowych zasad zgodności, ustawienie w ramach niestandardowych zasad zgodności będzie mieć pierwszeństwo przed tym samym ustawieniem w zasadach konfiguracji urządzeń.
Jeśli zasady zgodności są obliczane względem tego samego ustawienia w innych zasadach zgodności, stosowane jest najbardziej restrykcyjne ustawienie zasad zgodności.
Jeśli ustawienie zasad konfiguracji powoduje konflikt z ustawieniem w innych zasadach konfiguracji, ten konflikt jest wyświetlany w Intune. Ręcznie rozwiąż te konflikty.
W centrum administracyjnym Intune istnieje kilka miejsc, w których można tworzyć zasady konfiguracji, w tym zasady grupy analytics, Endpoint Security, Security Baselines i inne. Jeśli występuje konflikt i masz wiele zasad, sprawdź wszystkie miejsca, w których skonfigurowano zasady. Ponadto wbudowane funkcje raportowania mogą pomóc w konfliktach. Aby uzyskać więcej informacji na temat dostępnych raportów, przejdź do Intune raportów.
Niestandardowe zasady systemu iOS/iPadOS lub macOS, które powodują konflikt
Intune nie ocenia ładunku plików konfiguracji firmy Apple ani niestandardowych zasad OMA-URI (Open Mobile Alliance Uniform Resource Identifier). Służy on jedynie jako mechanizm dostarczania.
Po przypisaniu zasad niestandardowych upewnij się, że skonfigurowane ustawienia nie powodują konfliktu ze zgodnością, konfiguracją ani innymi zasadami niestandardowymi. Jeśli zasady niestandardowe i ich ustawienia powodują konflikt, ustawienia są stosowane losowo przez firmę Apple.
Wbudowane funkcje raportowania mogą pomóc w konfliktach. Aby uzyskać więcej informacji na temat dostępnych raportów, przejdź do Intune raportów.
Profil został usunięty lub nie ma już zastosowania
Po usunięciu profilu lub usunięciu urządzenia z grupy, do którą przypisano profil, profil i ustawienia zostaną usunięte z urządzenia. W szczególności są one usuwane zgodnie z opisem na poniższej liście:
Profile sieci Wi-Fi, sieci VPN, certyfikatów i poczty e-mail: te profile są usuwane ze wszystkich obsługiwanych zarejestrowanych urządzeń.
Wszystkie inne typy profilów:
Urządzenia z systemem Android: ustawienia nie są usuwane z urządzenia
iOS/iPadOS: wszystkie ustawienia są usuwane z wyjątkiem:
- Zezwalaj na roaming głosów
- Zezwalaj na roaming danych
- Zezwalaj na automatyczną synchronizację podczas roamingu
Urządzenia z systemem Windows: po usunięciu lub anulowaniu przypisania profilu Azure AD użytkownik zaloguje się do urządzenia i zsynchronizuje go z usługą Intune.
Intune ustawienia są oparte na dostawcy usług konfiguracji systemu Windows. Zachowanie zależy od dostawcy CSP. Niektórzy dostawcy CSP usuwają to ustawienie, a niektórzy dostawcy CSP zachowują to ustawienie, nazywane również tatuowaniem.
Profil ma zastosowanie do grupy użytkowników. Później użytkownik zostanie usunięty z grupy. Usunięcie ustawień z tego użytkownika może potrwać do 7 godzin lub więcej w przypadku:
- Profil do usunięcia z przypisania zasad w centrum administracyjnym Intune
- Urządzenie do synchronizacji z obiektem Intune przy użyciu cyklu odświeżania zasad specyficznych dla platformy (w tym artykule)
Zmieniono profil ograniczeń urządzenia, ale zmiany nie zostały wprowadzone
Aby zastosować mniej restrykcyjny profil, niektóre urządzenia mogą wymagać wycofania i ponownego zarejestrowania w Intune. Na przykład może być konieczne wycofanie i ponowne zarejestrowanie urządzeń klienckich z systemami Android, iOS/iPadOS i Windows.
Niektóre ustawienia w profilu Windows 10/11 zwracają wartość "Nie dotyczy"
Niektóre ustawienia na urządzeniach klienckich z systemem Windows mogą być wyświetlane jako "Nie dotyczy". W takiej sytuacji to konkretne ustawienie nie jest obsługiwane w wersji systemu Windows lub wersji uruchomionej na urządzeniu. Ten komunikat może wystąpić z następujących powodów:
- To ustawienie jest dostępne tylko dla nowszych wersji systemu Windows, a nie bieżącej wersji systemu operacyjnego (OS) na urządzeniu.
- To ustawienie jest dostępne tylko dla określonych wersji systemu Windows lub określonych jednostek SKU, takich jak Home, Professional, Enterprise i Education.
Aby dowiedzieć się więcej na temat wymagań dotyczących wersji i jednostki SKU dla różnych ustawień, zobacz dokumentację dostawcy usług konfiguracji (CSP).
Podczas rejestrowania urządzeń występuje opóźnienie w stosowaniu aplikacji i zasad przypisanych do dynamicznych grup urządzeń
Podczas rejestracji można używać Azure AD dynamicznych grup urządzeń. Na przykład można utworzyć dynamiczną grupę urządzeń na podstawie nazwy urządzenia lub profilu rejestracji.
Profil rejestracji jest stosowany do rekordu urządzenia podczas początkowej konfiguracji urządzenia. Azure AD grupowanie dynamiczne nie jest natychmiastowe. Urządzenie może nie znajdować się w grupie dynamicznej przez pewien czas, być może od minut do godzin w zależności od innych zmian wprowadzanych w dzierżawie.
Jeśli urządzenie nie zostanie dodane do grupy, aplikacje i zasady nie zostaną przypisane do urządzenia podczas początkowego Intune ewidencjonowania. Zasady mogą nie być stosowane do następnego zaplanowanego zaewidencjonowania.
Jeśli szybkie dostarczanie aplikacji i zasad jest ważne w scenariuszu konfiguracji/rejestracji, przypisz aplikacje i zasady do grup użytkowników, a nie do dynamicznych grup urządzeń. Grupy użytkowników są wstępnie wypełniane elementami członkowskimi przed konfiguracją urządzenia i nie mają tego opóźnienia.
Aby uzyskać więcej informacji na temat grup dynamicznych, przejdź do:
- Dodawanie grup w celu organizowania użytkowników i urządzeń w Intune
- Zalecenia dotyczące wydajności podczas korzystania z Intune do grupowania, kierowania i filtrowania
- Reguły członkostwa dynamicznego dla grup w Azure AD
Następne kroki
- Rozwiązywanie problemów z zasadami i profilami
- Potrzebujesz dodatkowej pomocy? Zobacz Jak uzyskać pomoc techniczną w Microsoft Intune.