Rozwiązywanie konfliktów obiektów zasad grupy i zasad usługi Microsoft IntuneResolve Group Policy Objects (GPO) and Microsoft Intune policy conflicts

Dotyczy: usługa Intune w portalu klasycznymApplies to: Intune in the classic portal
Szukasz dokumentacji dotyczącej usługi Intune w witrynie Azure Portal?Looking for documentation about Intune in the Azure portal? Przejdź tutaj.Go here.

Usługa Intune używa zasad, które ułatwiają zarządzanie ustawieniami na komputerach z systemem Windows.Intune uses policies that help you manage settings on Windows PCs. Na przykład możesz użyć zasad, aby kontrolować ustawienia Zapory systemu Windows na komputerach.For example, you can use a policy to control settings for the Windows Firewall on PCs. Wiele ustawień usługi Intune jest podobnych do ustawień konfigurowanych za pomocą zasad grupy systemu Windows.Many Intune settings are similar to settings that you might configure with Windows Group Policy. Jednak czasami te dwie metody mogą wchodzić ze sobą w konflikt.However, it is possible that, at times, the two methods might conflict with each another.

W przypadku wystąpienia konfliktu zasady grupy na poziomie domeny mają pierwszeństwo przed zasadami usługi Intune, chyba że komputer nie może zalogować się do domeny.When conflicts happen, domain-level Group Policy takes precedence over Intune policy, unless the PC can’t sign in to the domain. W takim przypadku na komputerze klienckim są stosowane zasady usługi Intune.In this case, Intune policy is applied to the client PC.

Co zrobić, jeśli używasz zasad grupyWhat to do if you are using Group Policy

Upewnij się, że zasady, które stosujesz, nie są zarządzane przez zasady grupy.Make sure that policies that you apply are not being managed by Group Policy. Aby uniknąć konfliktów, możesz użyć jednej lub wielu z następujących metod:To help prevent conflicts, you can use one or more of the following methods:

  • Przed zainstalowaniem klienta usługi Intune przenieś komputery do jednostki organizacyjnej usługi Active Directory, dla której nie zastosowano ustawień zasad grupy.Move your PCs to an Active Directory organizational unit (OU) that does not have Group Policy settings applied before you install the Intune client. Możesz również zablokować dziedziczenie zasad grupy dla jednostek organizacyjnych, które zawierają komputery zarejestrowane w usłudze Intune i dla których nie chcesz stosować ustawień zasad grupy.You can also block Group Policy inheritance on OUs that contain PCs enrolled in Intune to which you do not want to apply Group Policy settings.

  • Użyj filtru grup zabezpieczeń, aby ograniczyć obiekty zasad grupy tylko do komputerów, które nie są zarządzane przez usługę Intune.Use a security group filter to restrict GPOs only to PCs that are not managed by Intune.

  • Wyłącz lub usuń obiekty zasad grupy, które powodują konflikt z zasadami usługi Intune.Disable or remove the Group Policy Objects that conflict with the Intune policies.

Aby uzyskać więcej informacji na temat usługi Active Directory i zasad grupy systemu Windows, zapoznaj się z dokumentacją systemu Windows Server.For more information about Active Directory and Windows Group Policy, see your Windows Server Documentation.

Jak filtrować istniejące obiekty zasad grupy w celu uniknięcia konfliktów z zasadami usługi IntuneHow to filter existing GPOs to avoid conflicts with Intune policy

Jeśli zidentyfikowano obiekty zasad grupy, których ustawienia powodują konflikt z zasadami usługi Intune, możesz użyć filtrów grup zabezpieczeń do ograniczenia tych obiektów zasad grupy tylko do komputerów, które nie są zarządzane przez usługę Intune.If you have identified GPOs whose settings conflict with Intune policies, you can use security group filters to restrict those GPOs only to PCs that are not managed by Intune.

Możesz zastosować obiekty zasad grupy tylko do grup zabezpieczeń, które są określone w obszarze Filtrowanie zabezpieczeń w konsoli zarządzania zasadami grupy dla wybranego obiektu zasad grupy.You can apply GPOs to only those security groups that are specified in the Security Filtering area of the Group Policy Management console for a selected GPO. Domyślnie obiekty zasad grupy są stosowane dla grupy Użytkownicy uwierzytelnieni.By default, GPOs apply to Authenticated Users.

  • W przystawce Użytkownicy i komputery usługi Active Directory utwórz nową grupę zabezpieczeń zawierającą konta komputerów i użytkowników, które nie mają być zarządzane przez usługę Intune.In the Active Directory Users and Computers snap-in, create a new security group that contains computers and user accounts that you do not want Intune to manage. Możesz nazwać tę grupę na przykład Nie w usłudze Microsoft Intune.For example, you might name the group Not In Microsoft Intune.

  • W konsoli zarządzania zasadami grupy na karcie Delegowanie wybranego obiektu zasad grupy kliknij prawym przyciskiem myszy nową grupę zabezpieczeń, aby delegować odpowiednie uprawnienia Odczyt i Stosowanie zasad grupy do użytkowników i komputerów w grupie zabezpieczeń.In the Group Policy Management console, on the Delegation tab for the selected GPO, right-click the new security group to delegate appropriate Read and Apply Group Policy permissions to both users and computers in the security group. (UprawnieniaStosowanie zasad grupy są dostępne w oknie dialogowym Zaawansowane ).(Apply Group Policy permissions are available on the Advanced dialog box.)

  • Zastosuj nowy filtr grupy zabezpieczeń dla wybranego obiektu zasad grupy i usuń domyślny filtr Użytkownicy uwierzytelnieni .Then, apply the new security group filter to a selected GPO, and remove the Authenticated Users default filter.

Nową grupę zabezpieczeń należy aktualizować zgodnie ze zmianami rejestracji w usłudze Intune.The new security group must be maintained as enrollment in the Intune service changes.

Zobacz takżeSee also

Zarządzanie komputerami osobistymi z systemem Windows przy użyciu usługi Microsoft IntuneManage Windows PCs with Microsoft Intune