Typowe pytania, odpowiedzi i scenariusze dotyczące zasad i profilów w Microsoft Intune
Ważna
22 października 2022 r. Microsoft Intune zakończyła obsługę urządzeń z systemem Windows 8.1. Pomoc techniczna i automatyczne aktualizacje na tych urządzeniach nie są dostępne.
Jeśli obecnie używasz Windows 8.1, zalecamy przejście na urządzenia Windows 10/11. Microsoft Intune ma wbudowane funkcje zabezpieczeń i urządzeń, które zarządzają urządzeniami klienckimi Windows 10/11.
Uzyskaj odpowiedzi na typowe pytania podczas pracy z zasadami w usłudze Intune. Ten artykuł zawiera również listę interwałów czasu ewidencjonowania, zawiera więcej zatrzymań dotyczących konfliktów i nie tylko.
Ten artykuł dotyczy następujących zasad:
- zasady Ochrona aplikacji
- Zasady konfiguracji aplikacji
- Zasady zgodności
- Zasady dostępu warunkowego
- Profile konfiguracji urządzeń
- Zasady rejestracji
Interwały odświeżania zasad
Usługa Intune powiadamia urządzenie o zaewidencjonowaniu w usłudze Intune. Czasy powiadomień różnią się, w tym od razu do kilku godzin. Te czasy powiadomień różnią się również między platformami. Na urządzeniach z systemem Android usługi Googe Mobile Services (GMS) mogą wpływać na interwały odświeżania zasad.
Jeśli urządzenie nie zaewidencjonuje, aby uzyskać zasady lub profil po pierwszym powiadomieniu, usługa Intune podejmie jeszcze trzy próby. Urządzenie w trybie offline, takie jak wyłączone lub niepodłączone do sieci, może nie otrzymywać powiadomień. W takim przypadku urządzenie pobiera zasady lub profil podczas następnego zaplanowanego ewidencjonowania w usłudze Intune. To samo dotyczy sprawdzania niezgodności, w tym urządzeń, które przechodzą ze stanu zgodnego do niezgodnego.
Szacowane częstotliwości:
| Platforma | Cykl odświeżania |
|---|---|
| Android, AOSP | Mniej więcej co 8 godzin |
| iOS/iPadOS | Mniej więcej co 8 godzin |
| macOS | Mniej więcej co 8 godzin |
| Windows 10/11 komputerów zarejestrowanych jako urządzenia | Mniej więcej co 8 godzin |
| Windows 8.1 | Mniej więcej co 8 godzin |
Jeśli urządzenia są ostatnio zarejestrowane, ewidencjonowanie zgodności, niezgodności i konfiguracji jest uruchamiane częściej. Ewidencjonowania są szacowane na:
| Platforma | Częstotliwości |
|---|---|
| Android, AOSP | Co 3 minuty przez 15 minut, następnie co 15 minut przez 2 godziny, a następnie co około 8 godzin |
| iOS/iPadOS | Co 15 minut przez 1 godzinę, a następnie co około 8 godzin |
| macOS | Co 15 minut przez 1 godzinę, a następnie co około 8 godzin |
| Windows 10/11 komputerów zarejestrowanych jako urządzenia | Co 3 minuty przez 15 minut, następnie co 15 minut przez 2 godziny, a następnie co około 8 godzin |
| Windows 8.1 | Co 5 minut przez 15 minut, następnie co 15 minut przez 2 godziny, a następnie co około 8 godzin |
W przypadku interwałów odświeżania zasad ochrony aplikacji przejdź do tematu Czas dostarczania zasad ochrony aplikacji.
W dowolnym momencie użytkownicy mogą otworzyć aplikację Portal firmy, urządzenia>sprawdź stan lubsynchronizacjęustawień>, aby natychmiast sprawdzić aktualizacje zasad lub profilu. Aby uzyskać powiązane informacje na temat agenta rozszerzenia zarządzania usługi Intune lub aplikacji Win32, zobacz Zarządzanie aplikacjami Win32 w Microsoft Intune.
Akcje usługi Intune, które natychmiast wysyłają powiadomienie do urządzenia
Istnieją różne akcje wyzwalające powiadomienie. Na przykład, gdy zasady, profil lub aplikacja są przypisane (lub nieprzypisane), aktualizowane, usuwane itd. Te czasy akcji różnią się w zależności od platformy.
Urządzenia ewidencjonują się w usłudze Intune po otrzymaniu powiadomienia o zaewidencjonowaniu lub podczas zaplanowanego zaewidencjonowania. Gdy akcja dotyczy urządzenia lub użytkownika, usługa Intune natychmiast powiadamia urządzenie o konieczności zaewidencjonowania w celu odebrania tych aktualizacji. Na przykład powiadomienie jest wykonywane, gdy zostanie uruchomiona akcja blokady, resetowania kodu dostępu, aplikacji lub przypisania zasad.
Inne zmiany nie powodują natychmiastowego powiadomienia urządzeń, w tym poprawiania informacji kontaktowych w aplikacji Portal firmy lub aktualizacji .ipa pliku.
Ustawienia w zasadach lub profilu są stosowane przy każdym zaewidencjonowaniu. Dobrym zasobem może być wpis w blogu Windows 10 odświeżania zasad zarządzania urządzeniami przenośnymi dla klientów.
Konflikty
Konflikty mogą wystąpić, gdy różne zasady aktualizują to samo ustawienie do różnych wartości. Na przykład masz dwie zasady, które aktualizują ustawienie kopiowania/wklejania do różnych wartości. Konflikt jest obsługiwany inaczej w zależności od typu zasad.
zasady Ochrona aplikacji, które powodują konflikt
Wartości powodujące konflikt to najbardziej restrykcyjne ustawienia dostępne w zasadach ochrony aplikacji. Wyjątkiem są numeryczne pola wpisu, takie jak próby numeru PIN przed zresetowaniem. Pola wpisu liczbowego są ustawiane tak samo jak wartości, tak jak w przypadku tworzenia zasad zarządzania aplikacjami mobilnymi przy użyciu opcji zalecanych ustawień.
Konflikty występują, gdy dwa ustawienia profilu są takie same. Na przykład skonfigurowano dwie identyczne zasady zarządzania aplikacjami mobilnymi z wyjątkiem ustawienia kopiowania/wklejania. W tym scenariuszu ustawienie kopiowania/wklejania jest ustawione na najbardziej restrykcyjną wartość. Pozostałe ustawienia mają zastosowanie zgodnie ze skonfigurowaniem.
Zasady są wdrażane w aplikacji i są stosowane. Wdrożono drugą zasadę. W tym scenariuszu pierwsze zasady mają pierwszeństwo i pozostają stosowane. Drugie zasady pokazują konflikt. Jeśli oba są stosowane w tym samym czasie, co oznacza, że nie ma poprzednich zasad, oba są w konflikcie. Wszystkie ustawienia powodujące konflikt są ustawione na najbardziej restrykcyjne wartości.
Zasady zgodności i konfiguracji urządzeń, które powodują konflikt
Jeśli co najmniej dwie zasady są przypisane do tego samego użytkownika lub urządzenia, to ustawienie, które ma zastosowanie, odbywa się na poziomie poszczególnych ustawień:
Jeśli używasz niestandardowych zasad zgodności do ustawiania ustawień urządzenia, ustawienia w ramach niestandardowych zasad zgodności mają pierwszeństwo przed tym samym ustawieniem w zasadach konfiguracji urządzeń. Ustawienia zasad zgodności zawsze mają pierwszeństwo przed ustawieniami profilu konfiguracji.
Jeśli zasady zgodności są obliczane względem tego samego ustawienia w innych zasadach zgodności, stosowane jest najbardziej restrykcyjne ustawienie zasad zgodności.
Jeśli ustawienie zasad konfiguracji powoduje konflikt z ustawieniem w innych zasadach konfiguracji, ten konflikt jest wyświetlany w usłudze Intune. Ręcznie rozwiąż te konflikty.
W centrum administracyjnym usługi Intune istnieje kilka miejsc, w których można tworzyć zasady konfiguracji, w tym zasady grupy analizy, zabezpieczenia punktów końcowych, punkty odniesienia zabezpieczeń i inne. Jeśli występuje konflikt i masz wiele zasad, sprawdź wszystkie skonfigurowane miejsca zasad. Ponadto wbudowane funkcje raportowania mogą pomóc w konfliktach. Aby uzyskać więcej informacji na temat dostępnych raportów, przejdź do tematu Raporty usługi Intune.
Niestandardowe zasady systemu iOS/iPadOS lub macOS, które powodują konflikt
Usługa Intune nie ocenia ładunku plików konfiguracji firmy Apple ani niestandardowych zasad OMA-URI (Open Mobile Alliance Uniform Resource Identifier). Służy on jedynie jako mechanizm dostarczania.
Po przypisaniu zasad niestandardowych upewnij się, że skonfigurowane ustawienia nie powodują konfliktu ze zgodnością, konfiguracją ani innymi zasadami niestandardowymi. Jeśli zasady niestandardowe i ich ustawienia powodują konflikt, firma Apple losowo stosuje ustawienia.
Wbudowane funkcje raportowania mogą pomóc w konfliktach. Aby uzyskać więcej informacji na temat dostępnych raportów, przejdź do tematu Raporty usługi Intune.
Profil został usunięty lub nie ma już zastosowania
Po usunięciu profilu lub usunięciu urządzenia z grupy, do którą przypisano profil, profil i ustawienia zostaną usunięte z urządzenia. W szczególności są one usuwane zgodnie z opisem na poniższej liście:
Profile sieci Wi-Fi, sieci VPN, certyfikatów i poczty e-mail: te profile są usuwane ze wszystkich obsługiwanych zarejestrowanych urządzeń.
Wszystkie inne typy profilów:
Urządzenia z systemem Android: ustawienia nie są usuwane z urządzenia.
iOS/iPadOS: wszystkie ustawienia są usuwane z wyjątkiem:
- Zezwalaj na roaming głosów
- Zezwalaj na roaming danych
- Zezwalaj na automatyczną synchronizację podczas roamingu
Urządzenia z systemem Windows: po usunięciu lub anulowaniu przypisania profilu Microsoft Entra zalogować użytkownika do urządzenia i zsynchronizować go z usługą Intune.
Ustawienia usługi Intune są oparte na dostawcy usług konfiguracji systemu Windows. Zachowanie zależy od dostawcy CSP. Niektórzy dostawcy CSP usuwają to ustawienie, a niektórzy dostawcy CSP zachowują to ustawienie, nazywane również tatuowaniem.
Profil ma zastosowanie do grupy użytkowników. Później użytkownik zostanie usunięty z grupy. Usunięcie ustawień z tego użytkownika może potrwać do 7 godzin lub więcej w przypadku:
- Profil do usunięcia z przypisania zasad w centrum administracyjnym usługi Intune
- Urządzenie do synchronizacji z obiektem usługi Intune przy użyciu cyklu odświeżania zasad specyficznych dla platformy (w tym artykule)
Zmieniono profil ograniczeń urządzenia, ale zmiany nie zostały wprowadzone
Aby zastosować mniej restrykcyjny profil, niektóre urządzenia mogą wymagać wycofania i ponownego zarejestrowania w usłudze Intune. Na przykład może być konieczne wycofanie i ponowne zarejestrowanie urządzeń klienckich z systemami Android, iOS/iPadOS i Windows.
Niektóre ustawienia w profilu Windows 10/11 zwracają wartość "Nie dotyczy"
Niektóre ustawienia na urządzeniach klienckich z systemem Windows mogą być wyświetlane jako Nie dotyczy. W takiej sytuacji to konkretne ustawienie nie jest obsługiwane w wersji systemu Windows lub wersji uruchomionej na urządzeniu. Ten komunikat może wystąpić z następujących powodów:
- To ustawienie jest dostępne tylko dla nowszych wersji systemu Windows, a nie bieżącej wersji systemu operacyjnego (OS) na urządzeniu.
- To ustawienie jest dostępne tylko dla określonych wersji systemu Windows lub określonych jednostek SKU, takich jak Home, Professional, Enterprise i Education.
Aby dowiedzieć się więcej na temat wymagań dotyczących wersji i wersji dla różnych ustawień, zobacz dokumentację dostawcy usług konfiguracji (CSP).
Podczas rejestrowania urządzeń występuje opóźnienie w stosowaniu aplikacji i zasad przypisanych do dynamicznych grup urządzeń
Podczas rejestracji można używać Microsoft Entra dynamicznych grup urządzeń. Na przykład można utworzyć dynamiczną grupę urządzeń na podstawie nazwy urządzenia lub profilu rejestracji.
Profil rejestracji jest stosowany do rekordu urządzenia podczas początkowej konfiguracji urządzenia. Microsoft Entra grupowanie dynamiczne nie jest natychmiastowe. Urządzenie może nie znajdować się w grupie dynamicznej przez pewien czas, być może od minut do godzin w zależności od innych zmian wprowadzanych w dzierżawie.
Jeśli urządzenie nie zostanie dodane do grupy, aplikacje i zasady nie zostaną przypisane do urządzenia podczas początkowego zaewidencjonowania w usłudze Intune. Zasady mogą nie być stosowane do następnego zaplanowanego zaewidencjonowania.
Jeśli szybkie dostarczanie aplikacji i zasad jest ważne w scenariuszu konfiguracji/rejestracji, przypisz aplikacje i zasady do grup użytkowników, a nie do dynamicznych grup urządzeń. Grupy użytkowników są wstępnie wypełniane elementami członkowskimi przed konfiguracją urządzenia i nie mają tego opóźnienia.
Aby uzyskać więcej informacji na temat grup dynamicznych, przejdź do:
- Dodawanie grup w celu organizowania użytkowników i urządzeń w usłudze Intune
- Zalecenia dotyczące wydajności podczas korzystania z usługi Intune w celu grupowania, lokalizacji docelowej i filtrowania
- Reguły członkostwa dynamicznego dla grup w Tożsamość Microsoft Entra
Następne kroki
- Rozwiązywanie problemów z zasadami i profilami.
- Potrzebujesz dodatkowej pomocy? Zobacz Jak uzyskać pomoc techniczną w Microsoft Intune.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla