Распространенные вопросы и ответы о политиках и профилях устройств в Microsoft Intune

Важно!

22 октября 2022 г. Microsoft Intune прекращает поддержку устройств под управлением Windows 8.1. После этой даты техническая помощь и автоматические обновления на этих устройствах будут недоступны. Дополнительные сведения см. в статье Планирование изменений: прекращение поддержки Windows 8.1.

Если в настоящее время вы используете Windows 8.1, рекомендуется перейти на устройства Windows 10/11. Microsoft Intune имеет встроенные функции безопасности и устройств, которые управляют клиентскими устройствами Windows 10/11. Дополнительные сведения см. в статье Прекращение поддержки Windows 7 и Windows 8.1.

Получите ответы на часто задаваемые вопросы при работе с профилями и политиками устройств в Intune. В этой статье также приводятся интервалы времени между сеансами связи, предоставляются дополнительные сведения о конфликтах и многое другое.

Сколько времени требуется для передачи политик или приложений на устройства после их назначения?

Intune уведомляет устройство о необходимости регистрации с помощью службы Intune. Время уведомления варьируется, включая даже мгновенное уведомление в течение нескольких часов. Время уведомления также зависит от платформы.

Если устройство не подключается к службе для получения политики или к профилю после первого уведомления, Intune предпринимает еще три попытки. Устройство, находящееся в автономном режиме (например, выключено или не подключено к сети), не сможет получать уведомления. В этом случае устройство получает политику или профиль при следующем запланированном сеансе связи со службой Intune. То же самое относится к проверкам несоответствия, включая устройства, которые переходят из состояния соответствия в состояние несоответствия.

Примерная частота:

Платформа Цикл обновления
iOS/iPadOS Примерно каждые 8 часов
macOS Примерно каждые 8 часов
Android Примерно каждые 8 часов
Компьютеры с Windows 10/11, зарегистрированные как устройства Примерно каждые 8 часов
Windows 8.1 Примерно каждые 8 часов

Если устройства зарегистрированы недавно, проверка соответствия, несоответствия и конфигурации выполняется чаще, то есть примерно с приведенным ниже интервалом.

Платформа Частота
iOS/iPadOS Каждые 15 минут в течение 1 часа, затем примерно каждые 8 часов
macOS Каждые 15 минут в течение 1 часа, затем примерно каждые 8 часов
Android Каждые 3 минуты в течение 15 минут, затем каждые 15 минут в течение 2 часов, а затем примерно каждые 8 часов
Компьютеры с Windows 10/11, зарегистрированные как устройства Каждые 3 минуты в течение 15 минут, затем каждые 15 минут в течение 2 часов, а затем примерно каждые 8 часов
Windows 8.1 Каждые 5 минут в течение 15 минут, затем каждые 15 минут в течение 2 часов, затем примерно каждые 8 часов

В любое время пользователи могут открыть приложение "Корпоративный портал", Параметры>Синхронизация, чтобы немедленно проверить наличие обновлений политик или профилей. Подробнее об агенте расширения управления Intune и приложениях Win32 см. в статье Управление приложениями Win32 в Microsoft Intune.

Из-за каких действий Intune может немедленно отправить уведомление на устройство?

Активировать отправку уведомления могут различные действия. Например, когда для политики, профиля или приложения выполняется назначение (или отмена назначения), обновление, удаление и так далее. Время выполнения этих действий варьируется в зависимости от платформы.

Устройства обращаются к Intune, когда получают соответствующее уведомление или в соответствии с расписанием. Если вы хотите применить к устройству или пользователю действие, Intune сразу отправляет устройству уведомление о том, что ему следует выполнить синхронизацию для получения этих обновлений. Таким действием может быть блокировка, сброс секретного кода, назначение приложения или политики.

Другие изменения, например обновление контактных данных в приложении "Корпоративный портал", не приводят к немедленной отправке уведомлений на устройства.

Параметры политики или профиля применяются при каждой синхронизации. Клиентская запись блога обновления политики MDM Windows 10 может быть хорошим ресурсом.

Если одному пользователю или устройству назначено несколько политик, как узнать, какие параметры применяются?

Если для одного пользователя или устройства назначено несколько политик, применяемый параметр определяется на уровне отдельных параметров:

  • Параметры политики соответствия требованиям всегда имеют приоритет над параметрами профиля конфигурации.

  • При сравнении аналогичных параметров разных политик соответствия требованиям применяется наиболее строгий из них.

  • Если параметр политики конфигурации конфликтует с параметром в другой политике конфигурации, этот конфликт отображается в Intune. Разрешите конфликты вручную.

В центре Endpoint Manager есть несколько мест, где можно создавать политики конфигурации, в том числе аналитика групповых политик, безопасность конечных точек, базовые показатели безопасности и т. д. Если возникает конфликт и у вас есть несколько политик, проверьте все настроенные политики. Кроме того, при конфликтах могут помочь встроенные функции создания отчетов. Подробнее о доступных отчетах см. в разделе Отчеты Intune.

Что происходит, если политики защиты приложений конфликтуют друг с другом? Какая из них применяется к приложению?

Значения конфликтов — это наиболее ограничительные параметры, доступные в политике защиты приложений. Исключение составляют поля с числовыми значениями, например число попыток ввода ПИН-кода перед сбросом. Значения в таких полях задаются, как если бы вы создали политику MAM с помощью рекомендуемых параметров.

Конфликты возникают, когда два параметра профиля совпадают. Например, вы настроили две политики MAM, которые идентичны, за исключением параметра копирования и вставки. В этом сценарии для параметра копирования/вставки задано наиболее ограничительное значение. Остальные параметры применяются в соответствии с настройками.

Политика развернута для приложения и вступает в силу. Развертывается вторая политика. В этом случае первая политика имеет более высокий приоритет и по-прежнему применяется. Вторая политика считается конфликтующей. Если же обе политики применяются одновременно, т. е. предыдущей политики нет, они обе будут конфликтующими. Поэтому для всех конфликтующих параметров задаются наиболее строгие значения.

Что происходит при конфликте настраиваемых политик iOS/iPadOS или macOS?

Intune не оценивает полезные данные файлов конфигурации Apple или настраиваемой политики универсального кода ресурса Open Mobile Alliance (OMA-URI), а просто служит механизмом доставки.

При назначении настраиваемой политики убедитесь, что настроенные параметры не конфликтуют с политиками соответствия требованиям, конфигурации и другими настраиваемыми политиками. Если настраиваемая политика и ее параметры конфликтуют, Apple применяет параметры случайным образом.

При конфликтах также могут помочь встроенные функции создания отчетов. Подробнее о доступных отчетах см. в разделе Отчеты Intune.

Что происходит, если профиль удаляется или становится неприменимым?

При удалении профиля или удалении устройства из группы, которой назначен профиль, профиль и параметры удаляются с устройства. Удаление выполняется в соответствии со следующим списком:

  • Профили Wi-Fi, VPN, сертификатов и электронной почты. Эти профили будут удалены из всех поддерживаемых устройств.

  • Остальные типы профилей:

    • Устройства Android. Параметры не удаляются с устройства.

    • iOS/iPadOS. Удаляются все параметры, за исключением указанных далее.

      • Разрешить голосовой роуминг
      • Разрешить передачу данных в роуминге
      • Разрешить автоматическую синхронизацию в роуминге
    • Устройства с Windows. После удаления или отмены назначения профиля пользователь Azure AD должен войти на устройство и синхронизировать его со службой Intune.

      Параметры Intune основаны на поставщике службы конфигурации (CSP) Windows. Их поведение зависит от поставщика. Некоторые поставщики удаляют параметр, а некоторые сохраняют (также называется "татуированием").

  • Профиль применяется к группе пользователей. Позже пользователь удаляется из группы. При удалении параметров для этого пользователя следующие операции могут занять до 7 часов или даже более:

Мне удалось изменить профиль ограничения устройства, но изменения не вступили в силу

Чтобы применить менее ограничительный профиль, некоторые устройства нужно снять с учета и повторно зарегистрировать в Intune. Например, снятие с учета и повторная регистрация могут потребоваться для клиентских устройств с Android, iOS/iPadOS и Windows.

Некоторые параметры в профиле Windows 10/11 возвращают ошибку "Неприменимо"

Для некоторых параметров на клиентских устройствах Windows может отображаться "Неприменимо". В этом случае конкретный параметр не поддерживается в версии или выпуске Windows на устройстве. Это сообщение может появиться по любой из следующих причин.

  • Параметр доступен только для более новых версий Windows, но не текущей версии операционной системы на устройстве.
  • Параметр доступен только для определенных выпусков Windows или конкретных SKU, например Домашняя, Профессиональная, Корпоративная и для образовательных учреждений.

Дополнительные сведения о версиях и требованиях к SKU для различных параметров см. в разделе Справочник по поставщику службы конфигурации (CSP).

При регистрации устройств возникает задержка при применении приложений и политик, назначенных динамическим группам устройств.

Во время регистрации можно использовать Azure AD динамические группы устройств. Например, можно создать динамическую группу устройств на основе имени устройства или профиля регистрации.

Профиль регистрации применяется к записи устройства во время начальной настройки устройства. Azure AD динамическое группирование не является мгновенным. Устройство может не находиться в динамической группе в течение некоторого времени, возможно, от минут до часов в зависимости от других изменений, внесенных в клиент.

Если устройство не добавлено в группу, приложения и политики не назначаются устройству во время начальной Intune регистрации. Политики могут не применяться до следующей запланированной регистрации.

Если для вашего сценария установки и регистрации важна быстрая доставка приложений и политик, назначьте приложения и политики группам пользователей, а не динамическим группам устройств. Группы пользователей предварительно заполняются членами перед настройкой устройства и не имеют этой задержки.

Дополнительные сведения о динамических группах см. по следующим причинам:

Дальнейшие действия

Нужна дополнительная помощь? См. статью Как получить поддержку в Microsoft Intune.