在 Microsoft Intune 中使用原則和配置檔的常見問題、解答和案例

重要事項

在 2022 年 10 月 22 日,Microsoft Intune 終止對執行 Windows 8.1 裝置的支援。 無法在這些裝置上使用技術協助和自動更新。

如果您目前使用 Windows 8.1,建議您移至 Windows 10/11 裝置。 Microsoft Intune 具有可管理 Windows 10/11 用戶端裝置的內建安全性和裝置功能。

在 Intune 中使用原則時,取得常見問題的解答。 本文也會列出簽入時間間隔、提供更多衝突問題等等。

本文適用於下列原則:

  • 應用程式防護原則
  • 應用程式設定原則
  • 合規性原則
  • 條件式存取原則
  • 裝置組態配置檔
  • 註冊原則

原則重新整理間隔

Intune 會通知裝置簽入 Intune 服務。 通知時間會有所不同,包括最多幾個小時的時間。 這些通知時間也會因平台而異。 在 Android 裝置上, Googe 行動服務 (GMS) 可能會影響原則重新整理間隔

如果裝置在第一次通知之後未簽入以取得原則或配置檔,Intune 會再嘗試三次。 離線裝置,例如已關閉或未連線到網路,可能不會收到通知。 在此情況下,裝置會在下次使用 Intune 服務的排程簽入時取得原則或配置檔。 這同樣適用於檢查不符合規範,包括從相容狀態移至不符合規範狀態的裝置。

估計 頻率:

平台 重新整理循環
Android、AOSP 大約每8小時
iOS/iPadOS 大約每8小時
macOS 大約每8小時
Windows 10/11 部註冊為裝置的計算機 大約每8小時
Windows 8.1 大約每8小時

如果裝置最近註冊,則合規性、不符合規範和設定簽入會更頻繁地執行。 簽入 的估計 值為:

平台 Frequency
Android、AOSP 每 3 分鐘 15 分鐘,然後每 15 分鐘 2 小時,然後大約每 8 小時
iOS/iPadOS 每 15 分鐘 1 小時,然後大約每 8 小時
macOS 每 15 分鐘 1 小時,然後大約每 8 小時
Windows 10/11 部註冊為裝置的計算機 每 3 分鐘 15 分鐘,然後每 15 分鐘 2 小時,然後大約每 8 小時
Windows 8.1 每 5 分鐘 15 分鐘,然後每 15 分鐘 2 小時,然後大約每 8 小時

如需應用程式保護原則重新整理間隔,請移至 應用程式保護原則傳遞時間

用戶隨時可以開啟 公司入口網站 應用程式、裝置>檢查狀態設定>同步,以立即檢查原則或配置檔更新。 如需 Intune 管理延伸模組代理程式或 Win32 應用程式的相關信息,請參閱 Microsoft Intune 中的 Win32 應用程式管理

立即將通知傳送至裝置的 Intune 動作

有不同的動作會觸發通知。 例如,當原則、配置檔或應用程式指派 (或未指派) 、更新、刪除等時。 這些動作時間會因平臺而異。

裝置會在收到簽入通知時,或在排定的簽入期間,使用 Intune 簽入。 當您以具有動作的裝置或用戶為目標時,Intune 會立即通知裝置簽入以接收這些更新。 例如,當鎖定、密碼重設、應用程式或原則指派動作執行時,就會發生通知。

其他變更不會立即通知裝置,包括修訂 公司入口網站 應用程式中的連絡資訊或更新.ipa檔案。

原則或配置檔中的設定會在每次簽入時套用。 Windows 10 MDM 原則重新整理客戶部落格文章可能是不錯的資源。

Conflicts

當不同的原則將相同的設定更新為不同的值時,可能會發生衝突。 例如,您有兩個原則可將複製/貼上設定更新為不同的值。 根據原則的類型,衝突的處理方式會有所不同。

應用程式防護 衝突的原則

衝突值是應用程式保護原則中最嚴格的設定。 例外狀況是數值輸入字段,例如重設前的 PIN 嘗試。 數值輸入欄位的設定與值相同,就像您使用建議的設定選項建立 MAM 原則一樣。

當兩個配置檔設定相同時,就會發生衝突。 例如,您設定了兩個與複製/貼上設定相同的 MAM 原則。 在此案例中,複製/貼上設定會設定為最嚴格的值。 其餘的設定會依設定套用。

原則會部署至應用程式並生效。 已部署第二個原則。 在此案例中,第一個原則優先,並持續套用。 第二個原則顯示衝突。 如果兩者同時套用,表示沒有上述原則,則兩者都發生衝突。 任何衝突的設定都會設定為限制最嚴格的值。

衝突的合規性和裝置設定原則

將兩個或多個原則指派給相同的使用者或裝置時,套用的設定會在個別的設定層級發生:

  • 如果您使用自定義合規性原則來設定裝置設定,則自定義合規性原則內的設定優先於裝置設定原則內的相同設定。 合規性原則設定的優先順序一律高於組態配置檔設定。

  • 如果合規性政策是根據另一個合規性政策中的相同設定進行評估,則會套用最嚴格的合規性政策設定。

  • 如果組態原則設定與另一個設定原則中的設定衝突,則此衝突會顯示在Intune 中。 手動解決這些衝突。

在 Intune 系統管理中心,您可以在幾個位置建立設定原則,包括 群組原則 分析、端點安全性、安全性基準等等。 如果發生衝突,而且您有多個原則,請檢查您設定原則的所有位置。 此外,內建的報告功能可協助解決衝突。 如需可用報表的詳細資訊,請移至 Intune 報表

衝突的自定義 iOS/iPadOS 或 macOS 原則

Intune 不會評估Apple組態檔或自定義開放行動聯盟統一資源標識符的承載, (OMA-URI) 原則。 它只是做為傳遞機制。

當您指派自定義原則時,請確認設定的設定不會與合規性、組態或其他自定義原則衝突。 如果自定義原則及其設定發生衝突,則 Apple 會隨機套用設定。

內建的報告功能可協助解決衝突。 如需可用報表的詳細資訊,請移至 Intune 報表

配置檔已刪除或不再適用

當您刪除配置檔,或從已指派配置檔的群組中移除裝置時,會從裝置中移除配置檔和設定。 具體而言,系統會移除它們,如下列清單所述:

  • Wi-Fi、VPN、憑證和電子郵件設置檔:這些配置檔會從所有支援的已註冊裝置中移除。

  • 所有其他設定檔類型:

    • Android 裝置:設定不會從裝置中移除。

    • iOS/iPadOS:移除所有設定,但下列專案除外:

      • 允許語音漫遊
      • 允許數據漫遊
      • 允許漫遊時自動同步處理
    • Windows 裝置:移除或取消指派配置文件之後,請讓 Microsoft Entra 使用者登入裝置,並與 Intune 服務同步

      Intune 設定是以 Windows 設定服務提供者 (CSP) 為基礎。 行為取決於 CSP。 有些 CSP 會移除設定,而某些 CSP 會保留設定,也稱為清除。

  • 配置檔適用於使用者群組。 稍後會從群組中移除使用者。 若要從該使用者移除設定,最多可能需要 7 小時以上的時間:

    • 要從 Intune 系統管理中心的原則指派中移除的配置檔
    • 使用本文中平臺 特定原則重新整理週期 與 Intune 物件同步的裝置 ()

我已變更裝置限制配置檔,但變更尚未生效

若要套用較不嚴格的配置檔,某些裝置可能需要淘汰並重新註冊至 Intune。 例如,您可能必須淘汰並重新註冊 Android、iOS/iPadOS 和 Windows 用戶端裝置。

Windows 10/11 設定檔中的某些設定會傳回「不適用」

Windows 用戶端裝置上的某些設定可能會顯示為 [不適用]。 發生這種情況時,裝置上執行的 Windows 版本不支援該特定設定。 此訊息可能會因為下列原因而發生:

  • 此設定僅適用於較新版本的 Windows,不適用於裝置上的目前作業系統 (OS) 版本。
  • 此設定僅適用於特定 Windows 版本或特定 SKU,例如家用版、專業版、企業版和教育版。

若要深入瞭解不同設定的版本和版本需求,請參閱設定 服務提供者 (CSP) 參考

裝置註冊時,套用指派給動態裝置群組的應用程式和原則會有延遲

在註冊期間,您可以使用 Microsoft Entra 動態裝置群組。 例如,您可以根據裝置的名稱或註冊配置檔建立動態裝置群組。

註冊配置檔會在初始裝置設定期間套用至裝置記錄。 Microsoft Entra 動態群組不是即時的。 裝置可能一段時間不在動態群組中,視租使用者中所做的其他變更而定,可能需要幾分鐘到數小時的時間。

如果裝置未新增至群組,則您的應用程式和原則不會在初始 Intune 簽入期間指派給裝置。 在下次排程的簽入之前,原則可能無法套用。

如果快速傳遞應用程式和原則對您的設定/註冊案例很重要,請將您的應用程式和原則指派給使用者群組,而不是動態裝置群組。 使用者群組會在裝置設定之前預先填入成員,而且不會有此延遲。

如需動態群組的詳細資訊,請移至:

後續步驟