Распространенные вопросы, ответы и сценарии с политиками и профилями в Microsoft Intune
Важно!
22 октября 2022 г. Microsoft Intune прекращена поддержка устройств под управлением Windows 8.1. Техническая помощь и автоматические обновления на этих устройствах недоступны.
Если в настоящее время вы используете Windows 8.1, рекомендуется перейти на устройства Windows 10/11. Microsoft Intune имеет встроенные функции безопасности и устройств, которые управляют клиентскими устройствами Windows 10/11.
Получите ответы на распространенные вопросы при работе с политиками в Intune. В этой статье также приводятся интервалы времени между сеансами связи, предоставляются дополнительные сведения о конфликтах и многое другое.
Эта статья применяется к следующим политикам:
- Политики защиты приложений
- Политики конфигурации приложений
- Политики соответствия
- Политики условного доступа
- Профили конфигурации устройства
- Политики регистрации
Интервалы обновления политики
Intune уведомляет устройство о необходимости регистрации с помощью службы Intune. Время уведомления варьируется, включая даже мгновенное уведомление в течение нескольких часов. Время уведомления также зависит от платформы. На устройствах Android мобильные службы Googe (GMS) могут влиять на интервалы обновления политики.
Если устройство не подключается к службе для получения политики или к профилю после первого уведомления, Intune предпринимает еще три попытки. Автономное устройство, например отключенное или не подключенное к сети, может не получать уведомления. В этом случае устройство получает политику или профиль при следующем запланированном сеансе связи со службой Intune. То же самое относится и к проверкам несоответствия, включая устройства, которые переходят из соответствующего состояния в состояние несоответствия.
Примерная частота:
| Платформа | Цикл обновления |
|---|---|
| Android, AOSP | Примерно каждые 8 часов |
| iOS/iPadOS | Примерно каждые 8 часов |
| macOS | Примерно каждые 8 часов |
| Компьютеры с Windows 10/11, зарегистрированные как устройства | Примерно каждые 8 часов |
| Windows 8.1 | Примерно каждые 8 часов |
Если устройства недавно регистрироваться, то проверка соответствия требованиям, несоответствия и конфигурации выполняются чаще. то есть примерно с приведенным ниже интервалом.
| Платформа | Частота |
|---|---|
| Android, AOSP | Каждые 3 минуты в течение 15 минут, затем каждые 15 минут в течение 2 часов, а затем примерно каждые 8 часов |
| iOS/iPadOS | Каждые 15 минут в течение 1 часа, затем примерно каждые 8 часов |
| macOS | Каждые 15 минут в течение 1 часа, затем примерно каждые 8 часов |
| Компьютеры с Windows 10/11, зарегистрированные как устройства | Каждые 3 минуты в течение 15 минут, затем каждые 15 минут в течение 2 часов, а затем примерно каждые 8 часов |
| Windows 8.1 | Каждые 5 минут в течение 15 минут, затем каждые 15 минут в течение 2 часов, затем примерно каждые 8 часов |
Сведения о интервалах обновления политики защиты приложений см. в разделе Время доставки политики защиты приложений.
В любой момент пользователи могут открыть приложение Корпоративный портал,проверить состояниеустройства> илисинхронизациюпараметров>, чтобы немедленно проверка для обновления политики или профиля. Подробнее об агенте расширения управления Intune и приложениях Win32 см. в статье Управление приложениями Win32 в Microsoft Intune.
Действия Intune, которые немедленно отправляют уведомление на устройство
Активировать отправку уведомления могут различные действия. Например, когда для политики, профиля или приложения выполняется назначение (или отмена назначения), обновление, удаление и так далее. Время выполнения этих действий варьируется в зависимости от платформы.
Устройства обращаются к Intune, когда получают соответствующее уведомление или в соответствии с расписанием. Если вы хотите применить к устройству или пользователю действие, Intune сразу отправляет устройству уведомление о том, что ему следует выполнить синхронизацию для получения этих обновлений. Например, уведомление происходит при выполнении действия блокировки, сброса секретного кода, приложения или назначения политики.
Другие изменения не вызывают немедленного уведомления устройств, включая изменение контактных данных в приложении Корпоративный портал или обновление .ipa файла.
Параметры политики или профиля применяются при каждой синхронизации. Хорошим ресурсом может оказаться сообщение в блоге клиента об обновлении политики MDM Windows 10.
Conflicts
Конфликты могут возникать, когда разные политики обновляют один и тот же параметр до разных значений. Например, у вас есть две политики, которые обновляют параметр копирования и вставки до разных значений. Конфликт обрабатывается по-разному в зависимости от типа политики.
защита приложений конфликтующих политик
Значения конфликтов — это наиболее ограничительные параметры, доступные в политике защиты приложений. Исключение составляют поля с числовыми значениями, например число попыток ввода ПИН-кода перед сбросом. Значения в таких полях задаются, как если бы вы создали политику MAM с помощью рекомендуемых параметров.
Конфликты возникают, когда два параметра профиля совпадают. Например, вы настроили две политики MAM, которые идентичны, за исключением параметра копирования и вставки. В этом сценарии для параметра копирования/вставки задано наиболее ограничительное значение. Остальные параметры применяются в соответствии с настройками.
Политика развернута для приложения и вступает в силу. Развертывается вторая политика. В этом случае первая политика имеет более высокий приоритет и по-прежнему применяется. Вторая политика считается конфликтующей. Если же обе политики применяются одновременно, т. е. предыдущей политики нет, они обе будут конфликтующими. Поэтому для всех конфликтующих параметров задаются наиболее строгие значения.
Политики соответствия требованиям и конфигурации устройств, которые конфликтуют
Если одному и тому же пользователю или устройству назначено несколько политик, то параметр, который применяется, выполняется на уровне отдельных параметров:
Если вы используете настраиваемые политики соответствия для настройки параметров устройства, то параметры в настраиваемой политике соответствия имеют приоритет над тем же параметром в политиках конфигурации устройств. Параметры политики соответствия требованиям всегда имеют приоритет над параметрами профиля конфигурации.
При сравнении аналогичных параметров разных политик соответствия требованиям применяется наиболее строгий из них.
Если параметр политики конфигурации конфликтует с параметром в другой политике конфигурации, этот конфликт отображается в Intune. Разрешите конфликты вручную.
В Центре администрирования Intune можно создать политики конфигурации в нескольких местах, включая аналитику групповая политика, безопасность конечных точек, базовые показатели безопасности и многое другое. Если есть конфликт и у вас есть несколько политик, проверка все места, где вы настроили политики. Кроме того, при конфликтах могут помочь встроенные функции создания отчетов. Подробнее о доступных отчетах см. в разделе Отчеты Intune.
Настраиваемые политики iOS,iPadOS или macOS, которые конфликтуют
Intune не оценивает полезные данные файлов конфигурации Apple или настраиваемой политики универсального кода ресурса Open Mobile Alliance (OMA-URI), а просто служит механизмом доставки.
При назначении настраиваемой политики убедитесь, что настроенные параметры не конфликтуют с политиками соответствия требованиям, конфигурации и другими настраиваемыми политиками. Если пользовательская политика и ее параметры конфликтуют, Apple применяет параметры случайным образом.
При конфликтах также могут помочь встроенные функции создания отчетов. Подробнее о доступных отчетах см. в разделе Отчеты Intune.
Профиль удален или больше не применяется
При удалении профиля или удалении устройства из группы, которой назначен профиль, профиль и параметры удаляются с устройства. Удаление выполняется в соответствии со следующим списком:
Профили Wi-Fi, VPN, сертификатов и электронной почты. Эти профили будут удалены из всех поддерживаемых устройств.
Остальные типы профилей:
Устройства Android: параметры не удаляются с устройства.
iOS/iPadOS. Удаляются все параметры, за исключением указанных далее.
- Разрешить голосовой роуминг
- Разрешить передачу данных в роуминге
- Разрешить автоматическую синхронизацию в роуминге
Устройства Windows. После удаления или отмены назначения профиля Microsoft Entra пользователя войдите на устройство и выполните синхронизацию со службой Intune.
Параметры Intune основаны на поставщике службы конфигурации (CSP) Windows. Их поведение зависит от поставщика. Некоторые поставщики удаляют параметр, а некоторые сохраняют (также называется "татуированием").
Профиль применяется к группе пользователей. Позже пользователь удаляется из группы. При удалении параметров для этого пользователя следующие операции могут занять до 7 часов или даже более:
- Профиль, удаляемого из назначения политики в Центре администрирования Intune
- Синхронизация устройства с объектом Intune с помощью цикла обновления политики для конкретной платформы (в этой статье)
Мне удалось изменить профиль ограничения устройства, но изменения не вступили в силу
Чтобы применить менее строгий профиль, некоторые устройства могут быть сняты с учета и повторно зарегистрированы в Intune. Например, может потребоваться снять с учета и повторно зарегистрировать клиентские устройства Android, iOS/iPadOS и Windows.
Некоторые параметры в профиле Windows 10/11 возвращают ошибку "Неприменимо"
Некоторые параметры на клиентских устройствах Windows могут отображаться как Неприменимо. В этом случае конкретный параметр не поддерживается в версии или выпуске Windows на устройстве. Это сообщение может появиться по любой из следующих причин.
- Параметр доступен только для более новых версий Windows, но не текущей версии операционной системы на устройстве.
- Параметр доступен только для определенных выпусков Windows или конкретных SKU, например Домашняя, Профессиональная, Корпоративная и для образовательных учреждений.
Дополнительные сведения о требованиях к версиям и выпускам для различных параметров см. в справочнике по поставщику служб конфигурации (CSP).
При регистрации устройств возникает задержка в применении приложений и политик, назначенных динамическим группам устройств.
Во время регистрации можно использовать Microsoft Entra динамические группы устройств. Например, можно создать динамическую группу устройств на основе имени устройства или профиля регистрации.
Профиль регистрации применяется к записи устройства во время начальной настройки устройства. Microsoft Entra динамическое группирование не является мгновенным. Устройство может не находиться в динамической группе в течение некоторого времени, возможно, от нескольких минут до нескольких часов в зависимости от других изменений, внесенных в клиент.
Если устройство не добавлено в группу, приложения и политики не назначаются устройству во время начального проверка Intune. Политики могут не применяться до следующего запланированного проверка в.
Если для вашего сценария установки и регистрации важна быстрая доставка приложений и политик, назначьте приложения и политики группам пользователей, а не динамическим группам устройств. Группы пользователей предварительно заполняются членами перед настройкой устройства и не имеют этой задержки.
Дополнительные сведения о динамических группах см. по следующим причинам:
- Добавление групп для организации пользователей и устройств в Intune
- Рекомендации по производительности при использовании Intune для группирования, назначения и фильтрации
- Правила динамического членства для групп в Microsoft Entra ID
Дальнейшие действия
- Устранение неполадок с политиками и профилями.
- Нужна дополнительная помощь? См. статью Как получить поддержку в Microsoft Intune.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по