Фильтрация отчетов и устранение неполадок в Microsoft Intune

  • Статья

При создании приложения, политики соответствия требованиям или профиля конфигурации вы назначаете политику группам (пользователей или устройств). При назначении приложения или политики можно также использовать фильтры. Например, вы можете назначить политики устройствам с Windows 10/11 под управлением определенной версии ОС.

Фильтры можно использовать на управляемых устройствах (устройствах, зарегистрированных в Intune) и управляемых приложениях (приложениях, управляемых Intune). Дополнительные сведения см. в статье Использование фильтров при назначении приложений, политик и профилей.

Управляемые приложения и управляемые устройства оцениваются по этим фильтрам в соответствии с настроенными правилами. Результаты оценки фильтра регистрируются и передаются в центр администрирования Microsoft Intune.

Эта статья поможет вам больше узнать о функциях отчетов и поможет в устранении неполадок фильтров и конфликтов.

Важно!

С момента оценки результаты оценки фильтра могут отображаться в Центре администрирования Intune до 30 минут.

Отчеты для управляемых устройств

Центр администрирования Intune содержит сведения о отчетах для каждого устройства и приложения. Используйте эти сведения, чтобы устранить неполадки при оценке фильтра и определить, почему политика применена или не применена.

Для получения дополнительных сведений о фильтрах можно использовать следующие отчеты:

Отчет об оценке фильтров для устройств

Этот отчет показывает каждое приложение или каждую политику с примененным фильтром. Для каждого приложения или каждой политики, подвергаемых оценке, можно просмотреть примененные фильтры и получить более подробные сведения.

Чтобы просмотреть этот отчет, сделайте следующее:

  1. Войдите в Центр администрирования Intune.

  2. Выберите Устройства>Все устройства> выберите оценку фильтра устройства>. Отображаются следующие сведения:

    • Оцененные фильтры.
    • Дата и время выполнения оценки.
    • Результаты оценки: Match (Совпадение) или No match (Нет совпадения).
    • Использует ли фильтр режим включения или исключения.
    • Имя, описание и правила фильтра.
    • Оцененные свойства, например deviceName.
    • Доступные приложения, которые могут быть назначены устройству.

    Раздел Сведения о фильтре заполняется именем, описанием и правилами фильтра, настроенными в данный момент. Эти сведения не заполняются из данных журнала. Имя фильтра, синтаксис и другие метаданные могут изменяться с момента последней оценки. При устранении неполадок обратите внимание на метки времени Evaluation time (Время оценки) и Last modified (Время изменения).

В следующем примере можно просмотреть эту информацию для устройства TestDevice:

Снимок экрана: просмотр свойств даты, времени, результатов оценки и других свойств назначения фильтра устройств в Microsoft Intune.

Важно!

В отчетах об оценке фильтра для устройств не отображаются результаты Microsoft Entra оценки условного доступа. Чтобы устранить неполадки с условным доступом, используйте Microsoft Entra журналы входа. Дополнительные сведения см. в Microsoft Entra обзор журналов входа.

Отчеты об оценке фильтра рабочей нагрузки

В этих отчетах отображаются сведения о фильтрах для каждого устройства, оцениваемого в назначении приложения или политики. Для каждого устройства можно увидеть общую применимость устройства к рабочей нагрузке и получить более подробные сведения об оценке фильтра.

Чтобы просмотреть эти отчеты, сделайте следующее:

  1. Войдите в Центр администрирования Intune.

  2. Выберите Приложения>Все приложения> выберите состояние установки устройства.>

  3. Выберите фильтр столбца >Фильтры вычисляются. Отображаются следующие сведения:

    • Оцененные фильтры.
    • Дата и время выполнения оценки.
    • Результаты оценки: Match (Совпадение) или Нет совпадения (No match) и App assignment applied (Назначение приложений применено) или App assignment not applied (Назначение приложений применено)
    • Использует ли фильтр режим включения или исключения.
    • Имя, описание и правила фильтра.
    • Оцененные свойства, например deviceCategory.

В следующем примере приведены эти сведения для приложения Microsoft Word из магазина:

Снимок экрана: просмотр даты, времени, результатов оценки и других свойств фильтра приложений для приложения в Microsoft Intune.

Важно!

  • В отчете об установке устройства не показаны приложения, развернутые как "Доступные". Для устранения неполадок, если пользователь или устройство попадают или не попадают в список доступных назначений, используйте отчет Оценка фильтра для устройств. Чтобы создать результаты оценки фильтра, пользователь должен перейти к списку приложений в приложении или на веб-сайте портала компании.
  • При назначении политики можно добавить устройства в "Группы исключенных устройств". Эти исключенные устройства не отображаются в отчетах о состоянии устройств рабочей нагрузки.
  • В отчетах приложений и каталога параметров есть столбец, в котором показана оценка любого фильтра. Сейчас сведения об оценке фильтра доступны не для всех рабочих нагрузок Intune.

Отчеты для управляемых приложений

Центр администрирования Intune содержит сведения об отчетах для отдельных устройств и платформ для управляемых приложений. Используйте эти сведения, чтобы устранить неполадки при оценке фильтра и определить, почему политика применена или не применена.

Чтобы получить дополнительные сведения о свойствах, используемых для фильтра назначений, можно использовать следующие отчеты:

Сравнение включения и исключения

При создании фильтра вы выбираете, требуется ли включить или исключить устройства на основе некоторых свойств, таких как device.model -equals "Surface pro" или device.model -notEquals "Surface pro". Понимание результатов оценки может быть затруднено, особенно при включении или исключении устройств.

См. следующую таблицу, чтобы разобраться во включении и исключении устройств:

Режим фильтра Результат фильтра Общий результат
Include Соответствует Применение политики или назначения приложений
Include Не соответствует Не применяйте назначение политики или приложения
Исключить Соответствует Не применяйте назначение политики или приложения
Исключить Не соответствует Применение политики или назначения приложений

Что необходимо знать

  • Результат фильтра не вычисляется , если политика имеет конфликтующее назначение на устройстве. Дополнительные сведения см. в статье Фильтры и разрешение конфликтов назначений (в этой статье).

  • Фильтры оцениваются при регистрации и при регистрации устройства в службе Intune. Оценка также может выполняться в другое время, например при проверке соответствия. В некоторых сценариях можно столкнуться с состоянием гонки.

    Например, рассмотрим следующую последовательность событий, где каждый раз — это разная точка во времени:

    • Time1. Приложение назначается группе пользователей. Эта группа использует фильтр на основе свойства Category.

    • Время2. Целевой пользователь регистрирует новое устройство и регистрируется в службе Intune. Во время проверка выполняется оценка фильтра категорий. Так как категория еще не задана на устройстве, фильтр оценивается как категория NULL, и приложение устанавливается.

      Если фильтр работал в режиме "Исключить", приложение можно установить, так как оно может не соответствовать условиям исключения.

    • Время 3. В приложении Корпоративный портал пользователю будет предложено выбрать категорию устройства. Помните, что регистрация и проверка уже завершены.

    • Время4. На следующем устройстве, проверка входе, свойство категории обновляется и теперь возвращает другой результат оценки фильтра. Помните, что приложение уже установлено. И он не будет удален автоматически.

    Приблизительное время проверка см. в разделе Интервалы обновления политики Intune.

  • Последние результаты оценки фильтров хранятся в течение 30 дней. Если срок действия журналов истек, появится We were not able to retrieve any filter evaluation results сообщение.

Устранение конфликтов между фильтрами и назначением

При назначении политики группе (пользователей или устройств) можно перекрывать назначения. В этом разделе описывается поведение, ожидаемое при перекрытии назначений.

Управляемые приложения

Управляемые устройства и фильтры управляемых приложений предназначены для различных рабочих нагрузок. Вы не можете назначить одну и ту же политику фильтрации управляемым устройствам и управляемым приложениям. Таким образом, нет никакого разрешения конфликтов или перекрытия назначений.

Если вы создаете две политики фильтрации управляемых приложений и они конфликтуют, политика фильтра не применяется.

Управляемые устройства

Перекрытие может привести к конфликтам, а Intune помогает избежать конфликтов.

Intune запрещает создавать несколько назначений для одной Microsoft Entra группы. Не рекомендуется назначать приложения или политики одному целевому пользователю или устройству с более чем одним намерением. Например, при развертывании приложения невозможно выбрать одну группу для назначения Available (Доступно), а затем для назначения Required (Обязательно).

Перекрытие может возникать, когда пользователь или устройство входят в несколько целевых групп. Не рекомендуется использовать конфликтующие назначения. Дополнительные сведения см. в разделе Конфликты между намерениями приложения.

Снимок экрана, на котором показано, как могут возникать конфликты, когда устройство находится в нескольких группах в Microsoft Intune.

При использовании фильтров устранение конфликтов реализуется с помощью следующих методов:

Режим фильтра

Если есть устройство с конфликтующими назначениями одной политики, применяется следующая приоритетность.

  1. Применяется режим Exclude (Исключение). Режим Exclude (Исключение) имеет более высокий приоритет, чем режимы No filter (Без фильтра) и Include (Включение).
  2. Применяется режим No filter (Без фильтра). Режим No filter (Без фильтра) имеет более высокий приоритет, чем режим Include (Включение).
  3. Применяется режим Include (Включение).

При назначении приложения или политики вы решили применить фильтр:

Снимок экрана, на котором показано, что приоритет фильтра исключен, фильтр отсутствует, а затем включается при назначении политик в Microsoft Intune.

Например:

  • Политика А назначена трем группам устройств: группа А, группа Б и группа В.
  • Назначение группы А использует фильтр А. Фильтр А использует режим включения.
  • Назначение группы Б использует фильтр Б. Фильтр Б использует режим исключения.
  • Назначение группы В не использует фильтры.
  • Устройство А является членом всех трех групп: А, Б и В.

В этом сценарии назначение исключения является определяющим из-за приоритета режима фильтра. Устройство А оценивает фильтр Б. Если устройство А соответствует правилам, оно исключается из политики А. Если устройство А не соответствует фильтру Б, применяется политика А. Устройство А не выполняет никаких дополнительных оценок для фильтров и назначений группы Б и группы В.

Использование логики "ИЛИ", когда режимы фильтра одинаковы

Если применяются несколько фильтров, использующих один режим, например, включение, то применяется логика ИЛИ. Устройство должно соответствовать только правилам одного из фильтров для его включения в назначение политики или исключения из него.

Например:

  • Политика А назначается двум группам: А и Б.
  • Назначение группы А использует фильтр А. Фильтр А использует режим включения.
  • Назначение группы Б использует фильтр Б. Фильтр Б использует режим включения.
  • Устройство А входит в обе группы: А и Б.

В этом сценарии оба фильтра используют один и тот же режим. Таким образом, фильтры устраняют конфликт с использованием логики ИЛИ. Устройство А оценивает фильтры А и Б. Если устройство А соответствует правилам в любом из фильтров, оно получает политику А. Если устройство А не соответствует ни одному из фильтров, политика А не применяется.

Намерение приложения

Приложения используют устранение конфликтов на основе намерения. Намерение оценивается до оценки фильтров. Например, приложения оценивают, нацелено ли на устройство намерение назначения Available (Доступно), Required (Требуется) или Uninstall (Удаление). После этого наиболее приоритетное намерение передается в обработчик фильтров.

Например:

  • Приложение А назначается двум группам: А и Б.
  • Назначение группы А использует намерение Required (Требуется). Назначение группы А использует фильтр А, где используется режим включения.
  • Назначение группы Б использует намерение Uninstall (Удаление). Назначение группы Б использует фильтр Б, где используется режим включения.
  • Устройство А входит в обе группы: А и Б.

В этом сценарии приоритетным намерением приложения является Required (Требуется). Дополнительные сведения см. в разделе Конфликты между намерениями приложения. Таким образом, устройству А требуется оценить только фильтр А. Если устройство А соответствует правилам в фильтре А, оно получает приложение А в качестве обязательного приложения.

Приложения используют особое поведение при устранении конфликтов между назначениями Required (Требуется) и Available (Доступно). Если на пользователя или устройство нацелены оба назначения — Required (Требуется) и Available (Доступно), они получают объединенное намерение, которое называется Required and Available (Требуется и доступно). Устройство должно оценивать фильтры, используемые в обоих назначениях. При вычислении обоих фильтров устройство реализует одно и то же разрешение конфликтов: режим фильтра и логику "OR", если режимы фильтрации одинаковы.

Матрица устранения конфликтов

В следующем примере имеет место конфликт между назначениями, так как в оба назначения входит один и тот же пользователь или одно и то же устройство:

Снимок экрана: пример конфликта назначений при использовании фильтров в Microsoft Intune.

В следующей матрице объясняется эффект в зависимости от сценария конфликта.

Снимок экрана, на котором показано, что конфликт зависит от параметра, настроенного при использовании фильтров в Microsoft Intune.

Дальнейшие действия