监视Microsoft Intune中的设备配置策略

  • 项目

Intune 包含一些功能,可帮助监视和管理设备配置策略。 例如,可以检查策略的状态,转到分配给策略的设备,并更新现有策略的属性。

本文介绍如何查看分配状态的现有设备配置策略、进行更改以及如何排查任何冲突。

查看现有策略

  1. 登录到Microsoft Intune管理中心
  2. 选择“ 设备>配置>策略 ”选项卡。

将显示所有策略。 还会看到平台、策略类型以及是否分配了策略。

注意

有关设备配置策略的更深入的报告信息,请转到 Intune 报表

查看有关策略的详细信息

创建设备配置策略后,Intune 将提供报告数据。 这些报告显示策略的状态,例如已成功将策略分配给设备,或者策略是否显示冲突。

  1. 在“ 设备>配置>策略 ”选项卡中,选择现有策略。

  2. 设备和用户检查状态显示使用策略签入的所有用户或设备的数量。 如果一台设备有多个用户,此报告会显示每个用户的状态。 当用户或设备使用 Intune 签入时,他们会收到策略中的设置。

    显示以下状态:

    • 成功:已成功应用策略。
    • 错误:无法应用策略。 此消息通常与链接到错误说明的错误代码一起显示。
    • 冲突:两个设置都应用于同一设备,Intune 无法解决冲突。 管理员应进行审核。
    • 挂起:设备尚未签入 Intune,无法接收策略。
    • 不适用:设备无法接收策略。 例如,策略更新了 iOS 11.1 的特定设置,但设备使用的是 iOS 10。

  3. 设备分配状态 显示上次签入的用户的信息。 选择“ 生成报告 ”,查看接收该策略的设备的最新策略分配状态。 还可以筛选分配状态,以仅查看错误、冲突等。

    设备和用户检查状态和设备分配状态报告中的数字通常不同。

  4. 按设置状态 显示策略中的单个设置及其状态。

  5. 返回到“设备和用户检查状态”,选择“查看报告”:

    显示用于选择查看设备配置策略报表的屏幕截图,以获取设备和用户Microsoft Intune和 Intune 管理中心中的检查状态。

    查看报告 显示有关分配给该特定设备配置策略的设备的详细信息,包括:

    • 接收策略的设备
    • 包含已接收策略的设备的用户名
    • 检查状态以及用户/设备上次使用策略签入的时间

    还可以选择特定设备以获取更多详细信息,并使用筛选器列查看分配筛选器选项。

  6. 返回到“设备和用户检查状态”,可以查看和编辑特定策略的以下属性信息:

    • 基本信息:请参阅策略名称和说明。
    • 分配:查看接收策略的用户和组,并在策略中查看任何现有的筛选器
    • 作用域标记:查看策略中使用的任何现有的作用域标记
    • 配置设置:请参阅在策略中配置的设置。
    • 适用性规则:在 Windows 设备上,转到策略中使用的 适用性规则

查看所有设备配置策略的详细信息

  1. 转到 “设备>配置>监视器 ”选项卡:

    显示在 Microsoft Intune 和 Intune 管理中心的设备配置文件中选择“监视器”选项卡的屏幕截图。

  2. 在此区域中,可以访问 配置策略分配失败 报告。 此报告有助于排查分配的配置策略的错误和冲突。

    此区域还提供对以下报表的快速访问:

    • 具有受限应用的设备
    • 设备加密状态
    • 证书

提示

“设备”中,选择“ 监视”。 此区域列出了可以使用的所有报表,包括有关设备配置、符合性、注册和软件更新的报告。 有关所有 Intune 报表的详细信息,请转到 Intune 报表

查看冲突

在“设备”>“所有设备”中,可看到导致冲突的任何设置。 发生冲突时,还会看到包含此设置的所有配置策略。

管理员可以使用此功能来帮助排查和修复与策略的任何差异。

  1. 在 Intune 中,选择“ 设备>”“所有设备> ”选择列表中的现有设备。 最终用户可从公司门户应用获取设备名。
  2. 选择“设备配置”。 列出了适用于该设备的所有配置策略。
  3. 选择策略。 它会显示该策略中适用于该设备的所有设置。 如果设备具有“冲突”状态,请选择该行。 在新窗口中,可以看到所有策略以及具有导致冲突的设置的配置文件名称。

既然知道了冲突的设置以及包含该设置的策略,应该较容易解决冲突。

设备固件配置接口 (DFCI) 配置文件报告

DFCI 策略按设置报告,就像其他设备配置策略一样。 根据制造商对 DFCI 的支持,某些设置可能不适用。

使用 DFCI 配置文件设置时,可能会看到以下状态:

  • 合规:当配置文件中的设置值与设备上的设置匹配时,将显示此状态。 在下列情况下,可能出现此状态:

    • DFCI 配置文件成功配置了配置文件中的设置。
    • 设备没有由设置控制的硬件功能,并且配置文件设置为“已禁用”
    • UEFI 不允许 DFCI 禁用此功能,并且配置文件设置为“已启用”
    • 该设备缺少禁用该功能的硬件,并且配置文件设置为“已启用”。

  • 不适用:当配置文件中的设置值为“已启用”或“允许”,但在设备上找不到匹配的设置时,将显示此状态。 如果设备硬件不具有此功能,可能会出现此状态。

  • 不合规:当配置文件中的设置值与设备上的设置不匹配时,将显示此状态。 在下列情况下,可能出现此状态:

    • UEFI 不允许 DFCI 禁用设置,并且配置文件设置为“已禁用”
    • 该设备缺少禁用该功能的硬件,并且配置文件设置为“已禁用”
    • 该设备没有最新的 DFCI 固件版本。
    • 在使用 UEFI 菜单中的本地“退出”控件注册到 Intune 之前,DFCI 是禁用的。
    • 设备在 Autopilot 注册之外注册到 Intune。
    • 设备未由 Microsoft CSP 注册到 Windows Autopilot,也没有直接由 OEM 注册。

相关内容