Microsoft Intune 中策略和配置文件的常见问题、解答和方案

重要

2022 年 10 月 22 日,Microsoft Intune 终止了对运行 Windows 8.1 的设备的支持。 这些设备上的技术协助和自动更新不可用。

如果当前使用 Windows 8.1,请移动到 Windows 10/11 设备。 Microsoft Intune具有管理 Windows 10/11 客户端设备的内置安全和设备功能。

获取在 Intune 中使用策略时的常见问题的解答。 此外,本文还列出了签入时间间隔,详细说明了冲突等。

本文适用于以下策略:

  • 应用保护策略
  • 应用配置策略
  • 合规性策略
  • 条件访问策略
  • 设备配置文件
  • 注册策略

策略刷新间隔

Intune 通知设备使用 Intune 服务签入。 通知时间各不相同,包括从立即到长达几个小时。 这些通知时间在平台之间也有所不同。 在 Android 设备上, Google 移动服务 (GMS) 可能会影响策略刷新间隔

如果在首次发出通知后设备未签入以获取策略或配置文件,Intune 还会尝试通知 3 次。 脱机设备(例如已关闭或未连接到网络)可能不会收到通知。 在这种情况下,设备将在其下次计划的签入时间使用 Intune 服务获取策略或配置文件。 这同样适用于检查不合规情况,包括从符合状态移动到不符合状态的设备。

预估频率

平台 刷新周期
Android, AOSP 大约每 8 小时
iOS/iPadOS 大约每 8 小时
macOS 大约每 8 小时
Windows 10/11 台注册为设备的电脑 大约每 8 小时
Windows 8.1 大约每 8 小时

如果设备最近注册,则会更频繁地运行合规性、不符合性和配置签入。 预计签入频率:

平台 频率
Android, AOSP 15 分钟内每 3 分钟一次,接下来的 2 小时内每 15 分钟一次,之后每 8 小时一次
iOS/iPadOS 1 小时内每 15 分钟一次,之后每 8 小时一次
macOS 1 小时内每 15 分钟一次,之后每 8 小时一次
Windows 10/11 台注册为设备的电脑 15 分钟内每 3 分钟一次,接下来的 2 小时内每 15 分钟一次,之后每 8 小时一次
Windows 8.1 15 分钟内每 5 分钟一次,接下来的 2 小时内每 15 分钟一次,之后每 8 小时一次

有关应用保护策略刷新间隔,请转到 应用保护策略传递计时

用户可以随时打开公司门户应用、 设备>检查状态设置>同步 ,以立即检查策略或配置文件更新。 有关 Intune 管理区代理或 Win32 应用的相关信息,请参阅 Microsoft Intune 中的 Win32 应用管理

立即向设备发送通知的 Intune 操作

可以使用不同的操作来触发通知。 例如,在分配(或取消分配)、更新、删除策略、配置文件或应用等操作时。 不同平台之间的操作时间各不相同。

设备收到告知其签入的通知时或者在计划签入期间,设备会签入到 Intune。 当针对某个设备或用户执行某个操作时,Intune 会立即开始通知设备签入以接收这些更新。 例如,当运行锁定、密码重置、应用或策略分配操作时,会发生通知。

其他更改不会立即通知设备,包括修改公司门户应用中的联系信息或更新 .ipa 文件。

策略或配置文件中的设置将在每次签入时应用。 Windows 10 MDM 策略刷新客户博客文章可能是一个很好的资源。

冲突

当不同的策略将同一设置更新为不同的值时,可能会发生冲突。 例如,你有两个策略将复制/粘贴设置更新为不同的值。 冲突的处理方式因策略类型而异。

如果在 Intune 中使用 Microsoft Copilot,则 Copilot 可以帮助你解决冲突。 有关详细信息,请转到 Intune 中 Copilot 中的策略和设置管理

还可以在 Intune 中使用 Microsoft Copilot 获取有关策略和策略中配置的设置的详细信息。

发生冲突的应用保护策略

冲突值是应用保护策略中最严格的设置。 例外情况是数字输入字段,例如重置前的 PIN 尝试。 数值输入字段的设置与值相同,就像使用建议的设置选项创建 MAM 策略一样。

两个配置文件设置相同时即会发生冲突。 例如,除复制/粘贴设置外,你配置了两个完全相同的 MAM 策略。 在此方案中,复制/粘贴设置设置为限制性最强的值。 其余设置按配置应用。

将一个策略部署到应用,并应用它。 部署第二个策略。 在此场景中,第一个策略优先,并始终应用。 第二个策略将显示冲突。 如果同时应用两个策略,即它们的优先级一样,则两个都会显示冲突。 任何冲突的设置都将设定为限制最严格的值。

冲突的合规性和设备配置策略

将两个或更多策略分配给同一用户或设备时,将在单个设置级别应用设置:

  • 如果使用合规性策略评估设备设置,则合规性策略中的设置优先于设备配置策略中的相同设置。 合规性策略设置始终优先于配置的配置文件设置。

  • 如果某个符合性策略针对不同符合性策略中的相同设置进行评估,则应用限制最严格的符合性策略设置。

  • 如果配置策略设置与其他配置策略设置冲突,此冲突会显示在 Intune 中。 手动解决这些冲突。

在 Intune 管理中心,可以在几个位置创建配置策略,包括组策略分析、终结点安全性、安全基线等。 如果存在冲突,并且有多个策略,请检查配置策略的所有位置。 此外,内置报告功能可帮助解决冲突。 有关可用报表的详细信息,请转到 Intune 报表

冲突的自定义 iOS/iPadOS 或 macOS 策略

Intune 不会评估 Apple 配置文件或自定义开放移动联盟统一资源标识符 (OMA-URI) 策略的负载。 它只作为传送机制。

分配自定义策略时,请确认配置的设置不会与符合性、配置或其他自定义策略冲突。 如果自定义策略及其设置冲突,Apple 会随机应用这些设置。

内置报告功能可帮助解决冲突。 有关可用报表的详细信息,请转到 Intune 报表

配置文件已删除或不再适用

删除配置文件或从分配了配置文件的组中删除设备时,将从设备中删除配置文件和设置。 具体而言,它们将按以下列表中所述删除:

  • Wi-Fi、VPN、证书和电子邮件配置文件:这些配置文件会从所有支持的已注册设备中删除。

  • 所有其他配置文件类型:

    • Android 设备:不会从设备中删除设置。

    • iOS/iPadOS:删除所有设置,但不包括:

      • 允许语音漫游
      • 允许数据漫游
      • 允许漫游时自动同步
    • Windows 设备:删除或取消分配配置文件后,让Microsoft Entra 用户登录到设备, 并与 Intune 服务同步

      Intune 设置基于 Windows 配置服务提供程序 (CSP)。 此行为取决于 CSP。 有些 CSP 会删除此设置,某些 CSP 会保留该设置,也称为纹身。

  • 配置文件适用于用户组。 稍后,将从组中删除用户。 从该用户删除设置最多需要 7 个小时或更久:

我更改了设备限制配置文件,但更改尚未生效

若要应用限制性较低的配置文件,某些设备可能需要停用并重新注册到 Intune。 例如,可能需要停用并重新注册 Android、iOS/iPadOS 和 Windows 客户端设备。

Windows 10/11 配置文件中的某些设置返回 "不适用>

Windows 客户端设备上的某些设置可能显示为 “不适用”。 发生这种情况时,设备上运行的 Windows 的版本或版次不支持该特定设置。 出现此消息的可能原因如下:

  • 设置仅适用于较新版本的 Windows,而不适用于设备上的当前操作系统 (OS) 版本。
  • 设置仅适用于特定 Windows 版本或特定 SKU,如家庭版、专业版、企业版和教育版。

若要详细了解不同设置的版本要求,请参阅 配置服务提供程序 (CSP) 参考

设备注册时,应用分配给动态设备组的应用和策略会有延迟

在注册期间,可以使用 Microsoft Entra 动态设备组。 例如,可以根据设备的名称或注册配置文件创建动态设备组。

注册配置文件在初始设备设置期间应用于设备记录。 Microsoft Entra 动态分组不是即时的。 设备可能在一段时间内不在动态组中,可能会有几分钟到几小时,具体取决于租户中所做的其他更改。

如果未将设备添加到组,则初始 Intune 签入期间不会将应用和策略分配给设备。 这些策略在下次计划的签入之前可能不适用。

如果快速交付应用和策略对设置/注册方案很重要,请将应用和策略分配给用户组,而不是将应用和策略分配给动态设备组。 在设备设置之前,用户组会预先填充成员,并且不会有此延迟。

有关动态组的详细信息,请转到: