Microsoft Intune 中设备策略和配置文件的常见问题和解答

了解在 Intune 中使用设备配置文件和策略时的常见问题解答。 此外,本文还列出了签入时间间隔,详细说明了冲突等。

策略、配置文件或应用分配完成后,设备需要多长时间获取?

Intune 通知设备使用 Intune 服务签入。 通知时间各不相同,包括从立即到长达几个小时。 这些通知时间在平台之间也有所不同。

如果在首次发出通知后设备未签入以获取策略或配置文件,Intune 还会尝试通知 3 次。 如果设备处于离线状态(例如已关机或未连接至网络),可能无法收到通知。 在这种情况下,设备将在其下次计划的签入时间使用 Intune 服务获取策略或配置文件。 这同样适用于不合规性检查,包括从合规状态转变为不合规状态的设备。

预估频率:

平台 刷新周期
iOS/iPadOS 大约每 8 小时
macOS 大约每 8 小时
Android 大约每 8 小时
注册为设备的 Windows 10 PC 大约每 8 小时
Windows Phone 大约每 8 小时
Windows 8.1 大约每 8 小时

如果设备是最近注册的,则会更频繁地运行合规性、不合规性和配置签入。 预计签入频率:

平台 频率
iOS/iPadOS 1 小时内每 15 分钟一次,之后每 8 小时一次
macOS 1 小时内每 15 分钟一次,之后每 8 小时一次
Android 15 分钟内每 3 分钟一次,接下来的 2 小时内每 15 分钟一次,之后每 8 小时一次
注册为设备的 Windows 10 PC 15 分钟内每 3 分钟一次,接下来的 2 小时内每 15 分钟一次,之后每 8 小时一次
Windows Phone 15 分钟内每 5 分钟一次,接下来的 2 小时内每 15 分钟一次,之后每 8 小时一次
Windows 8.1 15 分钟内每 5 分钟一次,接下来的 2 小时内每 15 分钟一次,之后每 8 小时一次

用户可以随时打开公司门户应用,并选择“设置” > “同步”以立即检查策略或配置文件更新。

哪些操作会导致 Intune 立即向设备发送通知?

可以使用不同的操作来触发通知。 例如,在分配(或取消分配)、更新、删除策略、配置文件或应用等操作时。 不同平台之间的操作时间各不相同。

设备收到告知其签入的通知时或者在计划签入期间,设备会签入到 Intune。 当针对某个设备或用户执行某个操作时,Intune 会立即开始通知设备签入以接收这些更新。 例如在运行锁定、密码重置、应用、配置文件或策略分配操作时。

其他变更(如在公司门户应用中修订合同信息)不会导致立即向设备发送通知。

策略或配置文件中的设置将在每次签入时应用。 Windows 10 MDM 策略刷新客户博客文章可能是不错的资源。

如果多个策略被分配到同一用户或设备,如何知道会应用哪些设置?

当两个或更多个策略被分配到同一用户或设备时,将在单个设置级别上应用适用的设置:

  • 合规性策略设置始终优先于配置的配置文件设置。

  • 如果某个符合性策略针对不同符合性策略中的相同设置进行评估,则应用限制最严格的符合性策略设置。

  • 如果配置策略设置与其他配置策略设置冲突,此冲突会显示在 Intune 中。 手动解决这些冲突。

应用保护策略互相冲突时会发生什么情况? 哪一种策略将应用于应用?

除数字输入字段(如重置之前尝试 PIN)外,冲突值是应用保护策略中限制最严格的设置。 数字输入字段将设定为与你使用建议的设置选项创建 MAM 策略时一样的值。

两个配置文件设置相同时即会发生冲突。 例如,除复制/粘贴设置外,你配置了两个完全相同的 MAM 策略。 在此方案中,复制/粘贴设置将设定为限制最严格的值,但其余设置将应用配置的值。

将一个策略部署到应用,并应用它。 部署第二个策略。 在此场景中,第一个策略优先,并始终应用。 第二个策略将显示冲突。 如果同时应用两个策略,即它们的优先级一样,则两个都会显示冲突。 任何冲突的设置都将设定为限制最严格的值。

iOS/iPadOS 自定义策略冲突时会发生什么情况?

Intune 不会评估 Apple 配置文件或自定义开放移动联盟统一资源标识符 (OMA-URI) 策略的负载。 它只作为传送机制。

分配自定义策略时,请确认配置的设置不会与符合性、配置或其他自定义策略冲突。 如果自定义策略与其设置发生冲突,则会随机应用这些设置。

当配置文件被删除,或不再适用时,会发生什么情况?

删除配置文件或将设备从分配了配置文件的组删除时,将从设备删除配置文件和设置,如下所示:

  • Wi-Fi、VPN、证书和电子邮件配置文件:这些配置文件会从所有支持的已注册设备中删除。

  • 所有其他配置文件类型:

    • Android 设备:不会从设备删除设置

    • iOS/iPadOS:删除所有设置,但不包括:

      • 允许语音漫游
      • 允许数据漫游
      • 允许漫游时自动同步
    • Windows 设备: 删除或取消分配配置文件后,让Azure AD用户登录到设备,并 与 Intune 服务同步。

      Intune 设置基于 Windows 配置服务提供程序 (CSP)。 此行为取决于 CSP。 有些 CSP 会删除此设置,某些 CSP 会保留该设置,也称为纹身。

  • 配置文件适用于用户组。 稍后,将从组中删除用户。 对于要从该用户中删除的设置,可能需要 7 小时 + 平台特定的策略刷新周期(本文)。

我更改了设备限制配置文件,但更改尚未生效

若要应用限制较少的配置文件,可能需要停用一些设备并重新注册到 Intune(例如 Android、iOS/iPadOS 和 Windows 10)。

Windows 10 配置文件中的某些设置返回“不适用”

Windows 10 设备上的某些设置可能显示为“不适用”。 发生这种情况时,设备上运行的 Windows 的版本或版次不支持该特定设置。 出现此消息的可能原因如下:

  • 设置仅适用于较新版本的 Windows,而不适用于设备上的当前操作系统 (OS) 版本。
  • 设置仅适用于特定 Windows 版本或特定 SKU,如家庭版、专业版、企业版和教育版。

若要了解不同设置的版本和 SKU 要求的详细信息,请参阅配置服务提供程序 (CSP) 参考

后续步骤

需要更多帮助? 请参阅如何在 Microsoft Endpoint Manager 中获取支持