Perguntas, respostas e cenários comuns com políticas e perfis em Microsoft Intune
Importante
Em 22 de outubro de 2022, Microsoft Intune encerrou o suporte para dispositivos que executam Windows 8.1. A assistência técnica e as atualizações automáticas nesses dispositivos não estão disponíveis.
Se você usar Windows 8.1 no momento, recomendamos mudar para dispositivos Windows 10/11. Microsoft Intune tem recursos internos de segurança e dispositivo que gerenciam dispositivos cliente Windows 10/11.
Obtenha respostas para perguntas comuns ao trabalhar com políticas no Intune. Este artigo também lista os intervalos de tempo de check-in, fornece mais detalhes sobre conflitos e muito mais.
Este artigo se aplica às seguintes políticas:
- Políticas de proteção de aplicativos
- Políticas de configuração do usuário
- Políticas de conformidade
- Políticas de acesso condicional
- Perfis de configuração do dispositivo
- Políticas de registro
Intervalos de atualização de política
O Intune notifica o dispositivo para fazer check-in no serviço do Intune. Os tempos de notificação variam, podendo ser imediatos ou até algumas horas. Esses tempos de notificação também variam de acordo com as plataformas. Em dispositivos Android, o GMS (Serviços Móveis de Googe) pode afetar os intervalos de atualização da política.
Se um dispositivo não fizer o check-in para obter a política ou o perfil após a primeira notificação, o Intune fará mais três tentativas. Um dispositivo offline, como desativado ou não conectado a uma rede, pode não receber as notificações. Nesse caso, o dispositivo obtém a política ou o perfil no próximo check-in agendado no serviço do Intune. O mesmo se aplica a verificações de não conformidade, incluindo dispositivos que passam de um estado compatível para um estado não compatível.
Frequências estimadas:
| Plataforma | Ciclo de atualização |
|---|---|
| Android, AOSP | Aproximadamente a cada oito horas |
| iOS/iPadOS | Aproximadamente a cada oito horas |
| macOS | Aproximadamente a cada oito horas |
| Computadores com Windows 10/11 registrados como dispositivos | Aproximadamente a cada oito horas |
| Windows 8.1 | Aproximadamente a cada oito horas |
Se os dispositivos se registrarem recentemente, a conformidade, o descumprimento e a configuração marcar-in serão executados com mais frequência. Os check-ins são estimados em:
| Plataforma | Frequência |
|---|---|
| Android, AOSP | A cada três minutos por 15 minutos e, depois, a cada 15 minutos por duas horas e, depois, a cada oito horas |
| iOS/iPadOS | A cada 15 minutos por uma hora e, depois, a cada oito horas |
| macOS | A cada 15 minutos por uma hora e, depois, a cada oito horas |
| Computadores com Windows 10/11 registrados como dispositivos | A cada três minutos por 15 minutos e, depois, a cada 15 minutos por duas horas e, depois, a cada oito horas |
| Windows 8.1 | A cada cinco minutos por 15 minutos e, depois, a cada 15 minutos por duas horas e, depois, a cada oito horas |
Para intervalos de atualização da política de proteção de aplicativo, acesse o tempo de entrega da Política de Proteção de Aplicativo.
A qualquer momento, os usuários podem abrir o aplicativo Portal da Empresa,o Status de Verificação de Dispositivos> oua Sincronização de Configurações> para marcar imediatamente para atualizações de política ou perfil. Para obter informações relacionadas sobre o agente da Extensão de Gerenciamento do Intune ou aplicativos Win32, confira Gerenciamento de aplicativos Win32 no Microsoft Intune.
Ações do Intune que enviam imediatamente uma notificação para um dispositivo
Há ações diferentes que disparam uma notificação. Por exemplo, quando uma política, um perfil ou um aplicativo é atribuído (ou tem a atribuição cancelada), atualizado, excluído e assim por diante. Esses tempos de ação variam dependendo das plataformas.
Os dispositivos fazem o check-in no Intune quando recebem uma notificação ou durante o check-in agendado. Quando você direciona uma ação para um dispositivo ou usuário, o Intune notifica imediatamente o dispositivo para fazer check-in a fim de receber essas atualizações. Por exemplo, uma notificação acontece quando uma ação de bloqueio, redefinição de senha, aplicativo ou atribuição de política é executada.
Outras alterações não causam uma notificação imediata aos dispositivos, incluindo a revisão das informações de contato no aplicativo Portal da Empresa ou atualizações em um .ipa arquivo.
As configurações na política ou perfil são aplicadas em cada check-in. Uma Windows 10 postagem de blog do cliente de atualização de política de MDM pode ser um bom recurso.
Conflitos
Conflitos podem acontecer quando políticas diferentes atualizam a mesma configuração para valores diferentes. Por exemplo, você tem duas políticas que atualizam a configuração de cópia/colar para valores diferentes. O conflito é tratado de maneira diferente dependendo do tipo de política.
Proteção de aplicativos políticas que entram em conflito
Os valores referentes a conflitos são as configurações mais restritivas disponíveis em uma política de proteção de aplicativos. A exceção são os campos de entradas numéricas, como tentativas de digitar o PIN antes de uma reinicialização. Os campos de entradas numéricas são configurados da mesma forma que os valores, como se você tivesse criado uma política de MAM usando a opção “configurações recomendadas”.
Ocorrem conflitos quando duas configurações de perfil são iguais. Por exemplo, você configurou duas políticas de MAM idênticas, exceto pela configuração de copiar/colar. Nesse cenário, a configuração para cópia/colar é definida como o valor mais restritivo. As demais configurações se aplicam conforme o configurado.
Uma política é implantada para o aplicativo e entra em vigor. Uma segunda política é implantada. Nesse cenário, a primeira política tem precedência e continua sendo aplicada. A segunda política mostra um conflito. Se as duas são aplicadas ao mesmo tempo, o que significa que não há uma política anterior, as duas ficam em conflito. As configurações conflitantes são definidas para os valores mais restritivos.
Políticas de configuração de dispositivo e conformidade que entram em conflito
Quando duas ou mais políticas são atribuídas ao mesmo usuário ou dispositivo, a configuração aplicada acontece no nível de configuração individual:
Se você usar políticas de conformidade personalizadas para definir as configurações do dispositivo, as configurações dentro da política de conformidade personalizada têm precedência sobre a mesma configuração dentro das políticas de configuração do dispositivo. As configurações da política de conformidade sempre têm precedência sobre as definições da configuração do perfil.
Se uma política de conformidade é avaliada em relação à mesma configuração em outra política de conformidade, a configuração de política de conformidade mais restritiva é aplicada.
Se a definição de uma política de configuração está em conflito com uma configuração em outra política de configuração, esse conflito é exibido no Intune. Resolva esses conflitos manualmente.
No centro de administração do Intune, há alguns locais em que você pode criar políticas de configuração, incluindo análise de Política de Grupo, segurança do ponto de extremidade, linhas de base de segurança e muito mais. Se houver um conflito e você tiver várias políticas, marcar todos os lugares que você configurou políticas. Além disso, os recursos de relatórios internos podem ajudar com os conflitos. Para obter mais informações sobre os relatórios disponíveis, acesse Relatórios do Intune.
Políticas personalizadas de iOS/iPadOS ou macOS que entram em conflito
O Intune não avalia o conteúdo dos arquivos de Configuração da Apple nem uma política personalizada de OMA-URI (Uniform Resource Identifier da Open Mobile Alliance). Ele simplesmente serve como o mecanismo de entrega.
Ao atribuir uma política personalizada, confirme se as configurações definidas não entram em conflito com as políticas de conformidade e de configuração ou com outras políticas personalizadas. Se uma política personalizada e suas configurações entrarem em conflito, a Apple aplicará aleatoriamente as configurações.
Os recursos de relatórios internos podem ajudar com os conflitos. Para obter mais informações sobre os relatórios disponíveis, acesse Relatórios do Intune.
Um perfil é excluído ou não é mais aplicável
Quando você exclui um perfil ou remove um dispositivo de um grupo atribuído ao perfil, o perfil e as configurações são removidos do dispositivo. Especificamente, são removidos conforme descrito na lista a seguir:
Perfis de email, certificado, VPN e Wi-Fi: esses perfis são removidos de todos os dispositivos registrados com suporte.
Todos os outros tipos de perfil:
Dispositivos Android: as configurações não são removidas do dispositivo.
iOS/iPadOS: todas as configurações são removidas, exceto:
- Permitir roaming de voz
- Permitir roaming de dados
- Permitir sincronização automática durante roaming
Dispositivos Windows: depois de remover ou desatribuir o perfil, faça com que o usuário Microsoft Entra entre no dispositivo e sincronize com o serviço do Intune.
As configurações do Intune se baseiam em CSPs (provedor de serviços de configuração) do Windows. O comportamento depende do CSP. Alguns CSPs removem a configuração, enquanto outros mantêm a configuração, também chamada de tattooing.
Um perfil se aplica a um grupo de usuários. Posteriormente, um usuário é removido do grupo. Para que as configurações sejam removidas desse usuário, pode levar até 7 horas ou mais para:
- O perfil a ser removido da atribuição de política no centro de administração do Intune
- O dispositivo a ser sincronizado com o objeto do Intune usando o ciclo de atualização de política específico da plataforma (neste artigo)
Alterei um perfil de restrição de dispositivo, mas as alterações não entraram em vigor
Para aplicar um perfil menos restritivo, alguns dispositivos talvez precisem ser desativados e re-registrados no Intune. Por exemplo, talvez você precise se aposentar e registrar novamente dispositivos cliente Android, iOS/iPadOS e Windows.
Algumas configurações em um perfil Windows 10/11 retornam "Não Aplicável"
Algumas configurações em dispositivos cliente Windows podem ser exibidas como Não Aplicável. Quando essa situação acontecer, a configuração específica não será compatível com a versão ou edição do Windows em execução no dispositivo. Essa mensagem pode ocorrer pelos seguintes motivos:
- A configuração só está disponível para versões mais recentes do Windows, não para a versão atual de sistema operacional do dispositivo.
- A configuração só está disponível para edições ou SKUs específicos do Windows, como Home, Professional, Enterprise e Education.
Para saber mais sobre os requisitos de versão e edição para as diferentes configurações, consulte a referência CSP (Provedor de Serviços de Configuração).
Quando os dispositivos se registram, há um atraso na aplicação de aplicativos e políticas atribuídas a grupos de dispositivos dinâmicos
Durante o registro, você pode usar Microsoft Entra grupos de dispositivos dinâmicos. Por exemplo, você pode criar um grupo de dispositivos dinâmico com base no nome ou no perfil de registro de um dispositivo.
O perfil de registro é aplicado ao registro do dispositivo durante a instalação inicial do dispositivo. Microsoft Entra agrupamento dinâmico não é instantâneo. O dispositivo pode não estar no grupo dinâmico por algum tempo, possivelmente minutos a horas, dependendo de outras alterações que estão sendo feitas em seu locatário.
Se o dispositivo não for adicionado ao grupo, seus aplicativos e políticas não serão atribuídos ao dispositivo durante a marcar inicial do Intune. As políticas podem não se aplicar até o próximo marcar agendado.
Se a entrega rápida de aplicativos e políticas for importante para o cenário de configuração/registro, atribua seus aplicativos e políticas a grupos de usuários, não a grupos de dispositivos dinâmicos. Os grupos de usuários são pré-preenchidos com membros antes da instalação do dispositivo e não têm esse atraso.
Para obter mais informações sobre grupos dinâmicos, acesse:
- Adicionar grupos para organizar usuários e dispositivos no Intune
- Recomendações de desempenho ao usar o Intune para agrupar, direcionar e filtrar
- Regras de associação dinâmica para grupos em Microsoft Entra ID
Próximas etapas
- Solucionar problemas de políticas e perfis.
- Precisa de mais ajuda? Consulte Como obter suporte no Microsoft Intune.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de