Dela via


Vanliga frågor, svar och scenarier med principer och profiler i Microsoft Intune

Viktigt

Den 22 oktober 2022 upphörde Microsoft Intune stödet för enheter som kör Windows 8.1. Teknisk hjälp och automatiska uppdateringar på dessa enheter är inte tillgängliga.

Om du för närvarande använder Windows 8.1 går du till Windows 10/11-enheter. Microsoft Intune har inbyggda säkerhets- och enhetsfunktioner som hanterar Windows 10/11-klientenheter.

Få svar på vanliga frågor när du arbetar med principer i Intune. I den här artikeln visas även tidsintervallen för incheckning, mer information om konflikter och mycket mer.

Den här artikeln gäller för följande principer:

  • Appskyddsprinciper
  • Appkonfigurationsprinciper
  • Kompatibilitetsprinciper
  • Villkorliga åtkomstprinciper
  • Enhetskonfigurationsprofiler
  • Registreringsprinciper

Intervall för principuppdatering

Intune meddelar enheten att checka in med Intune-tjänsten. Aviseringstiderna varierar, inklusive omedelbart upp till några timmar. Dessa meddelandetider varierar också mellan plattformar. På Android-enheter kan Google Mobile Services (GMS) påverka uppdateringsintervallen för principer.

Om en enhet inte checkar in för att hämta principen eller profilen efter det första meddelandet gör Intune ytterligare tre försök. En offlineenhet, till exempel inaktiverad eller inte ansluten till ett nätverk, kanske inte får aviseringarna. I det här fallet hämtar enheten principen eller profilen vid nästa schemalagda incheckning med Intune-tjänsten. Detsamma gäller för kontroller av inkompatibilitet, inklusive enheter som flyttas från en kompatibel till ett inkompatibelt tillstånd.

Uppskattade frekvenser:

Plattform Uppdateringscykel
Android, AOSP Ungefär var 8:e timme
iOS/iPadOS Ungefär var 8:e timme
macOS Ungefär var 8:e timme
Windows 10/11-datorer som registrerats som enheter Ungefär var 8:e timme
Windows 8.1 Ungefär var 8:e timme

Om enheter nyligen har registrerats körs incheckningen av efterlevnad, inkompatibilitet och konfiguration oftare. Incheckningarna uppskattas vid:

Plattform Frekvens
Android, AOSP Var 3:e minut i 15 minuter, sedan var 15:e minut i 2 timmar och sedan runt var 8:e timme
iOS/iPadOS Var 15:e minut i 1 timme och sedan runt var 8:e timme
macOS Var 15:e minut i 1 timme och sedan runt var 8:e timme
Windows 10/11-datorer som registrerats som enheter Var 3:e minut i 15 minuter, sedan var 15:e minut i 2 timmar och sedan runt var 8:e timme
Windows 8.1 Var 5:e minut i 15 minuter, sedan var 15:e minut i 2 timmar och sedan runt var 8:e timme

För uppdateringsintervall för appskyddsprinciper går du till Leveranstid för appskyddsprincip.

När som helst kan användare öppna företagsportalappen, Enheter>Kontrollera status eller Inställningar>Synkronisera för att omedelbart söka efter princip- eller profiluppdateringar. Relaterad information om Intune-hanteringstilläggsagenten eller Win32-appar finns i Win32-apphantering i Microsoft Intune.

Intune-åtgärder som omedelbart skickar ett meddelande till en enhet

Det finns olika åtgärder som utlöser ett meddelande. Till exempel när en princip, profil eller app tilldelas (eller inte tilldelas), uppdateras, tas bort och så vidare. De här åtgärdstiderna varierar mellan plattformarna.

Enheter checkar in med Intune när de får ett meddelande om att checka in eller under den schemalagda incheckningen. När du riktar en åtgärd mot en enhet eller användare meddelar Intune omedelbart enheten att checka in för att ta emot dessa uppdateringar. Ett meddelande inträffar till exempel när en åtgärd för lås, lösenordsåterställning, app eller principtilldelning körs.

Andra ändringar orsakar inte ett omedelbart meddelande till enheter, inklusive ändring av kontaktinformationen i företagsportalappen eller uppdateringar av en .ipa fil.

Inställningarna i principen eller profilen tillämpas vid varje incheckning. Ett Windows 10 blogginlägg om att uppdatera MDM-policyn kan vara en bra resurs.

Konflikter

Konflikter kan uppstå när olika principer uppdaterar samma inställning till olika värden. Du har till exempel två principer som uppdaterar kopierings-/inklistringsinställningen till olika värden. Konflikten hanteras på olika sätt beroende på typen av princip.

Om du använder Microsoft Copilot i Intune kan Copilot hjälpa dig att lösa konflikter. Mer information finns i Princip- och inställningshantering i Copilot i Intune.

Du kan också använda Microsoft Copilot i Intune för att få mer information om dina principer och de inställningar som konfigurerats i dina principer.

Appskyddsprinciper som är i konflikt

Konfliktvärden är de mest restriktiva inställningarna som är tillgängliga i en appskyddsprincip. Undantaget är numeriska postfält, till exempel PIN-försök före återställning. Numeriska postfält anges på samma sätt som värdena, som om du skapade en MAM-princip med hjälp av det rekommenderade inställningsalternativet.

Konflikter uppstår när två profilinställningar är desamma. Du har till exempel konfigurerat två MAM-principer som är identiska förutom inställningen kopiera/klistra in. I det här scenariot är inställningen kopiera/klistra in inställd på det mest restriktiva värdet. Resten av inställningarna gäller som konfigurerade.

En princip distribueras till appen och börjar gälla. En andra princip distribueras. I det här scenariot har den första principen företräde och förblir tillämpad. Den andra principen visar en konflikt. Om båda tillämpas samtidigt, vilket innebär att det inte finns någon föregående princip, är båda i konflikt. Alla motstridiga inställningar är inställda på de mest restriktiva värdena.

Efterlevnads- och enhetskonfigurationsprinciper som är i konflikt

När två eller flera principer tilldelas till samma användare eller enhet sker inställningen som gäller på den enskilda inställningsnivån:

  • Om du använder efterlevnadsprinciper för att utvärdera enhetsinställningar har inställningarna i efterlevnadsprincipen företräde framför samma inställning i enhetskonfigurationsprinciperna. Inställningar för efterlevnadsprinciper har alltid företräde framför konfigurationsprofilinställningar.

  • Om en efterlevnadsprincip utvärderas mot samma inställning i en annan efterlevnadsprincip gäller den mest restriktiva inställningen för efterlevnadsprinciper.

  • Om en konfigurationsprincipinställning står i konflikt med en inställning i en annan konfigurationsprincip visas den här konflikten i Intune. Lös dessa konflikter manuellt.

I Administrationscenter för Intune finns det några platser där du kan skapa konfigurationsprinciper, inklusive grupprincipanalys, slutpunktssäkerhet, säkerhetsbaslinjer med mera. Om det finns en konflikt och du har flera principer kontrollerar du alla platser där du har konfigurerat principer. Dessutom kan de inbyggda rapporteringsfunktionerna hjälpa till med konflikter. Mer information om tillgängliga rapporter finns i Intune-rapporter.

Anpassade iOS/iPadOS- eller macOS-principer som är i konflikt

Intune utvärderar inte nyttolasten för Apple Configuration-filer eller en anpassad OMA-URI-princip (Open Mobile Alliance Uniform Resource Identifier). Det fungerar bara som leveransmekanism.

När du tilldelar en anpassad princip kontrollerar du att de konfigurerade inställningarna inte är i konflikt med efterlevnad, konfiguration eller andra anpassade principer. Om en anpassad princip och dess inställningar är i konflikt tillämpar Apple inställningarna slumpmässigt.

De inbyggda rapporteringsfunktionerna kan hjälpa till med konflikter. Mer information om tillgängliga rapporter finns i Intune-rapporter.

En profil tas bort eller är inte längre tillämplig

När du tar bort en profil eller tar bort en enhet från en grupp som har tilldelats profilen tas profilen och inställningarna bort från enheten. Mer specifikt tas de bort enligt beskrivningen i följande lista:

  • Wi-Fi-, VPN-, certifikat- och e-postprofiler: Dessa profiler tas bort från alla registrerade enheter som stöds.

  • Alla andra profiltyper:

    • Android-enheter: Inställningar tas inte bort från enheten.

    • iOS/iPadOS: Alla inställningar tas bort, förutom:

      • Tillåt röstroaming
      • Tillåt dataroaming
      • Tillåt automatisk synkronisering vid roaming
    • Windows-enheter: När du har tagit bort eller tagit bort profilen måste Microsoft Entra-användaren logga in på enheten och synkronisera med Intune-tjänsten.

      Intune-inställningarna baseras på Windows-konfigurationstjänstprovidern (CSP:er). Beteendet beror på CSP:en. Vissa CSP:er tar bort inställningen och vissa CSP:er behåller inställningen, även kallad tattooing.

  • En profil gäller för en användargrupp. Senare tas en användare bort från gruppen. För att inställningarna ska tas bort från den användaren kan det ta upp till 7 timmar eller mer för:

Jag har ändrat en enhetsbegränsningsprofil, men ändringarna har inte verkställts

Om du vill använda en mindre restriktiv profil kan vissa enheter behöva dras tillbaka och omregistreras i Intune. Du kan till exempel behöva dra tillbaka och omregistrera Android-, iOS/iPadOS- och Windows-klientenheter.

Vissa inställningar i en Windows 10/11-profil returnerar "Ej tillämpligt"

Vissa inställningar på Windows-klientenheter kan visas som Ej tillämpligt. När den här situationen inträffar stöds inte den specifika inställningen på den Windows-version eller -utgåva som körs på enheten. Det här meddelandet kan inträffa av följande skäl:

  • Inställningen är endast tillgänglig för nyare versioner av Windows och inte den aktuella versionen av operativsystemet på enheten.
  • Inställningen är endast tillgänglig för specifika Windows-utgåvor eller specifika SKU:er, till exempel Home, Professional, Enterprise och Education.

Mer information om krav för version och utgåva för de olika inställningarna finns i CSP-referensen (Configuration Service Provider).

När enheter registreras uppstår en fördröjning i tillämpningen av appar och principer som tilldelats dynamiska enhetsgrupper

Under registreringen kan du använda dynamiska Enhetsgrupper i Microsoft Entra. Du kan till exempel skapa en dynamisk enhetsgrupp baserat på en enhets namn eller registreringsprofil.

Registreringsprofilen tillämpas på enhetsposten under den första enhetskonfigurationen. Dynamisk gruppering i Microsoft Entra är inte omedelbar. Enheten kanske inte finns i den dynamiska gruppen under en viss tid, möjligen minuter till timmar beroende på andra ändringar som görs i din klientorganisation.

Om enheten inte läggs till i gruppen tilldelas inte dina appar och principer till enheten under den första Intune-incheckningen. Principerna kanske inte gäller förrän vid nästa schemalagda incheckning.

Om snabb leverans av appar och principer är viktigt för ditt installations-/registreringsscenario tilldelar du dina appar och principer till användargrupper, inte dynamiska enhetsgrupper. Användargrupper fylls i förväg med medlemmar före enhetskonfigurationen och har inte den här fördröjningen.

Mer information om dynamiska grupper finns i: