Häufige Fragen, Antworten und Szenarien mit Richtlinien und Profilen in Microsoft Intune
Wichtig
Am 22. Oktober 2022 beendete Microsoft Intune den Support für Geräte, auf denen Windows 8.1 ausgeführt wird. Technische Unterstützung und automatische Updates auf diesen Geräten sind nicht verfügbar.
Wenn Sie derzeit Windows 8.1 verwenden, empfiehlt es sich, zu Windows 10/11-Geräten zu wechseln. Microsoft Intune verfügt über integrierte Sicherheits- und Gerätefeatures, die Windows 10/11-Clientgeräte verwalten.
Erhalten Sie Antworten auf häufig gestellte Fragen beim Arbeiten mit Richtlinien in Intune. In diesem Artikel werden u. a. Check-In-Zeitintervalle und weitere Informationen aufgelistet.
Dieser Artikel gilt für die folgenden Richtlinien:
- App-Schutzrichtlinien
- App-Konfigurationsrichtlinien
- Compliancerichtlinien
- Richtlinien für bedingten Zugriff
- Gerätekonfigurierungsprofile
- Registrierungsrichtlinien
Richtlinienaktualisierungsintervalle
Intune fordert das Gerät auf, beim Intune-Dienst einzuchecken. Der Zeitpunkt der Benachrichtigung kann zwischen unmittelbar nach der Zuweisung und einigen Stunden liegen. Unterschiede bestehen dabei auch zwischen den einzelnen Plattformen. Auf Android-Geräten kann Sich Googe Mobile Services (GMS) auf die Aktualisierungsintervalle von Richtlinien auswirken.
Checkt ein Gerät nach der ersten Benachrichtigung nicht zum Abrufen der Richtlinie oder des Profils ein, unternimmt Intune drei weitere Versuche. Ein Offlinegerät, z. B. ausgeschaltet oder nicht mit einem Netzwerk verbunden, empfängt die Benachrichtigungen möglicherweise nicht. In diesem Fall ruft das Gerät die Richtlinie oder das Profil beim nächsten geplanten Check-In beim Intune-Dienst ab. Das gleiche gilt für Überprüfungen auf Nichtkonformität, einschließlich Geräten, die von einem konformen in einen nicht konformen Zustand wechseln.
Geschätzte Häufigkeiten:
| Plattform | Aktualisierungszyklus |
|---|---|
| Android, AOSP | Etwa alle 8 Stunden |
| iOS/iPadOS | Etwa alle 8 Stunden |
| macOS | Etwa alle 8 Stunden |
| Windows 10/11-PCs, die als Geräte registriert sind | Etwa alle 8 Stunden |
| Windows 8.1 | Etwa alle 8 Stunden |
Wenn Geräte kürzlich registriert wurden, wird das Einchecken von Konformität, Nichtkonformität und Konfiguration häufiger ausgeführt. Die Check-Ins werden wie folgt geschätzt:
| Plattform | Häufigkeit |
|---|---|
| Android, AOSP | Für 15 Minuten alle 3 Minuten, dann für 2 Stunden alle 15 Minuten und dann etwa alle 8 Stunden |
| iOS/iPadOS | Für 1 Stunde alle 15 Minuten und dann etwa alle 8 Stunden |
| macOS | Für 1 Stunde alle 15 Minuten und dann etwa alle 8 Stunden |
| Windows 10/11-PCs, die als Geräte registriert sind | Für 15 Minuten alle 3 Minuten, dann für 2 Stunden alle 15 Minuten und dann etwa alle 8 Stunden |
| Windows 8.1 | Für 15 Minuten alle 5 Minuten, dann für 2 Stunden alle 15 Minuten und dann etwa alle 8 Stunden |
Informationen zu Aktualisierungsintervallen für App-Schutzrichtlinien navigieren Sie zu Übermittlungszeitpunkt der App-Schutzrichtlinie.
Benutzer können jederzeit die Unternehmensportal-App, geräte>status überprüfen oder Einstellungen>synchronisieren öffnen, um sofort nach Richtlinien- oder Profilupdates zu suchen. Verwandte Informationen zum Intune-Verwaltungserweiterungs-Agent oder zu Win32-Apps finden Sie unter Win32-App-Verwaltung in Microsoft Intune.
Intune-Aktionen, die sofort eine Benachrichtigung an ein Gerät senden
Es gibt verschiedene Aktionen, die eine Benachrichtigung auslösen. Beispielsweise wenn eine Richtlinie, ein Profil oder eine App zugewiesen (oder die Zuweisung aufgehoben), aktualisiert, gelöscht usw. wird. Die Zeiträume variieren je nach Plattform.
Geräte checken bei Intune entweder beim Erhalt einer Benachrichtigung zum Einchecken oder während ihres geplanten Eincheckvorgangs ein. Wenn Sie für ein Gerät oder einen Benutzer eine Aktion durchführen, fordert Intune das Gerät sofort zum Einchecken auf, um diese Updates zu empfangen. Beispielsweise erfolgt eine Benachrichtigung, wenn eine Aktion zum Sperren, Zurücksetzen der Kennung, App oder Richtlinienzuweisung ausgeführt wird.
Andere Änderungen führen nicht zu einer sofortigen Benachrichtigung an Geräte, einschließlich der Überarbeitung der Kontaktinformationen in der Unternehmensportal-App oder Aktualisierungen einer .ipa Datei.
Die Einstellungen in der Richtlinie oder im Profil werden bei jedem Einchecken angewendet. Ein Windows 10 Kundenblogbeitrag zum Aktualisieren der MDM-Richtlinie kann eine gute Ressource sein.
Conflicts
Konflikte können auftreten, wenn unterschiedliche Richtlinien dieselbe Einstellung auf unterschiedliche Werte aktualisieren. Beispielsweise verfügen Sie über zwei Richtlinien, die die Einstellung zum Kopieren/Einfügen auf unterschiedliche Werte aktualisieren. Der Konflikt wird je nach Richtlinientyp unterschiedlich behandelt.
App-Schutz Richtlinien, die in Konflikt geraten
Konfliktwerte sind die restriktivsten Einstellungen, die in einer Appschutz-Richtlinie verfügbar sind. Die Ausnahme sind numerische Eingabefelder, z. B. PIN-Versuche vor dem Zurücksetzen. Numerische Eingabefelder werden genauso wie die Werte festgelegt, als ob Sie eine MAM-Richtlinie mithilfe der empfohlenen Einstellungsoption erstellt haben.
Konflikte treten auf, wenn zwei Profileinstellungen identisch sind. Beispielsweise haben Sie zwei MAM-Richtlinien konfiguriert, die mit Ausnahme der Einstellung für Kopieren/Einfügen identisch sind. In diesem Szenario wird die Einstellung zum Kopieren/Einfügen auf den restriktivsten Wert festgelegt. Die restlichen Einstellungen werden wie konfiguriert angewendet.
Eine Richtlinie wird in der App bereitgestellt und tritt in Kraft. Eine zweite Richtlinie wird bereitgestellt. In diesem Szenario hat die erste Richtlinie Vorrang und gilt weiterhin. Die zweite Richtlinie wird als in Konflikt stehend angezeigt. Wenn beide Richtlinien gleichzeitig angewendet werden, also keine vorherige Richtlinie vorhanden ist, stehen beide in Konflikt. Alle in Konflikt stehenden Einstellungen werden auf die restriktivsten Werte festgelegt.
Konformitäts- und Gerätekonfigurationsrichtlinien, die konflikte
Wenn demselben Benutzer oder Gerät zwei oder mehr Richtlinien zugewiesen werden, erfolgt die entsprechende Einstellung auf der Ebene der einzelnen Einstellungen:
Wenn Sie benutzerdefinierte Konformitätsrichtlinien zum Festlegen von Geräteeinstellungen verwenden, haben die Einstellungen in der benutzerdefinierten Konformitätsrichtlinie Vorrang vor derselben Einstellung in Gerätekonfigurationsrichtlinien. Konformitätsrichtlinieneinstellungen haben immer Vorrang vor Konfigurationsprofileinstellungen.
Die restriktivste Konformitätsrichtlinie wird angewendet, wenn sie anhand derselben Einstellung in einer anderen Konformitätsrichtlinie ausgewertet wird.
Falls eine Konfigurationsrichtlinieneinstellung im Konflikt mit einer Einstellung in einer anderen Konfigurationsrichtlinie steht, wird dieser Konflikt in Intune angezeigt. Konflikte dieser Art müssen Sie manuell auflösen.
Im Intune Admin Center gibt es einige Orte, an denen Sie Konfigurationsrichtlinien erstellen können, z. B. Gruppenrichtlinie Analysen, Endpunktsicherheit, Sicherheitsbaselines und vieles mehr. Wenn ein Konflikt vorliegt und Sie über mehrere Richtlinien verfügen, überprüfen Sie alle Orte, an denen Sie Richtlinien konfiguriert haben. Außerdem können die integrierten Berichtsfunktionen bei Konflikten helfen. Weitere Informationen zu den verfügbaren Berichten finden Sie unter Intune Berichte.
Benutzerdefinierte iOS/iPadOS- oder macOS-Richtlinien, die konflikte
Intune bewertet nicht die Nutzlast von Apple-Konfigurationsdateien oder einer benutzerdefinierten OMA-URI-Richtlinie (Open Mobile Alliance Uniform Resource Identifier). Es dient lediglich als Übermittlungsmechanismus.
Wenn Sie eine benutzerdefinierte Richtlinie zuweisen, bestätigen Sie, dass die konfigurierten Einstellungen nicht mit Konformitäts-, Konfigurations- oder anderen benutzerdefinierten Richtlinien in Konflikt stehen. Wenn eine benutzerdefinierte Richtlinie und ihre Einstellungen in Konflikt geraten, wendet Apple die Einstellungen nach dem Zufallsprinzip an.
Die integrierten Berichtsfunktionen können bei Konflikten helfen. Weitere Informationen zu den verfügbaren Berichten finden Sie unter Intune-Berichte.
Ein Profil wird gelöscht oder ist nicht mehr anwendbar.
Wenn Sie ein Profil löschen oder ein Gerät aus einer Gruppe entfernen, der das Profil zugewiesen ist, werden das Profil und die Einstellungen vom Gerät entfernt. Insbesondere werden sie wie in der folgenden Liste beschrieben entfernt:
WLAN-, VPN-, Zertifikat- und E-Mail-Profile: Diese Profile werden von allen unterstützten registrierten Geräten entfernt.
Alle anderen Profiltypen:
Android-Geräte: Einstellungen werden nicht vom Gerät entfernt.
iOS/iPadOS: Alle Einstellungen werden entfernt, außer:
- Sprachroaming zulassen
- Datenroaming zulassen
- Automatische Synchronisierung beim Roaming zulassen
Windows-Geräte: Nachdem Sie das Profil entfernt oder die Zuweisung aufgehoben haben, lassen Sie den Microsoft Entra Benutzer beim Gerät anmelden und mit dem Intune-Dienst synchronisieren.
Intune-Einstellungen basieren auf dem Windows-Konfigurationsdienstanbieter (Windows Configuration Service Provider, CSP). Das Verhalten hängt vom CSP ab. Einige CSP entfernen die Einstellung, und einige CSP behalten die auch als „Tätowierung“ bezeichnete Einstellung bei.
Ein Profil gilt für eine Benutzergruppe. Später wird ein Benutzer aus der Gruppe entfernt. Bis die Einstellungen für diesen Benutzer entfernt sind, kann es für die folgenden Elemente bis zu 7 Stunden oder mehr dauern:
- Das Profil, das aus der Richtlinienzuweisung im Intune Admin Center entfernt werden soll
- Das Gerät, das mit dem Intune-Objekt mithilfe des plattformspezifischen Richtlinienaktualisierungszyklus synchronisiert werden soll (in diesem Artikel)
Ich habe ein Profil für Geräteeinschränkungen geändert, aber die Änderungen wurden nicht übernommen.
Um ein weniger restriktives Profil anzuwenden, müssen einige Geräte möglicherweise außer Betrieb genommen und erneut bei Intune registriert werden. Beispielsweise müssen Sie Android-, iOS-/iPadOS- und Windows-Clientgeräte außer Betrieb nehmen und erneut registrieren.
Einige Einstellungen in einem Windows 10/11-Profil geben „Nicht zutreffend“ zurück
Einige Einstellungen auf Windows-Clientgeräten können als Nicht zutreffend angezeigt werden. In diesen Fällen werden die Einstellungen von der auf Ihrem Gerät ausgeführten Windows-Version oder -Edition nicht unterstützt. Diese Meldung kann aus folgenden Gründen angezeigt werden:
- Die Einstellung ist nur auf neueren Windows-Versionen und nicht auf der aktuellen Betriebssystemversion verfügbar.
- Die Einstellung ist nur für bestimmte Windows-Editionen oder bestimmte SKUs, z. B. Home, Professional, Education und Enterprise, verfügbar.
Weitere Informationen zu den Versions- und Editionsanforderungen für die verschiedenen Einstellungen finden Sie in der Referenz zum Konfigurationsdienstanbieter (Configuration Service Provider, CSP).
Wenn Geräte registriert werden, kommt es zu einer Verzögerung beim Anwenden von Apps und Richtlinien, die dynamischen Gerätegruppen zugewiesen sind.
Während der Registrierung können Sie Microsoft Entra dynamischen Gerätegruppen verwenden. Beispielsweise können Sie eine dynamische Gerätegruppe basierend auf dem Namen oder registrierungsprofil eines Geräts erstellen.
Das Registrierungsprofil wird während der ersten Geräteeinrichtung auf den Gerätedatensatz angewendet. Microsoft Entra dynamische Gruppierung erfolgt nicht sofort. Das Gerät befindet sich möglicherweise für einige Zeit nicht in der dynamischen Gruppe, je nach anderen Änderungen, die in Ihrem Mandanten vorgenommen werden.
Wenn das Gerät nicht zur Gruppe hinzugefügt wird, werden Ihre Apps und Richtlinien dem Gerät während des ersten Intune-Check-Ins nicht zugewiesen. Die Richtlinien gelten möglicherweise erst beim nächsten geplanten Check-In.
Wenn die schnelle Bereitstellung von Apps und Richtlinien für Ihr Setup-/Registrierungsszenario wichtig ist, weisen Sie Ihre Apps und Richtlinien Benutzergruppen und nicht dynamischen Gerätegruppen zu. Benutzergruppen werden vor dem Einrichten des Geräts bereits mit Mitgliedern aufgefüllt und weisen diese Verzögerung nicht auf.
Weitere Informationen zu dynamischen Gruppen findest du unter:
- Hinzufügen von Gruppen zum Organisieren von Benutzern und Geräten in Intune
- Leistungsempfehlungen bei Verwendung von Intune zum Gruppieren, Ziel und Filtern
- Dynamische Mitgliedschaftsregeln für Gruppen in Microsoft Entra ID
Nächste Schritte
- Problembehandlung für Richtlinien und Profile.
- Benötigen Sie zusätzliche Hilfe? Weitere Informationen finden Sie unter Anfordern von Support in Microsoft Intune.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für