Sdílet prostřednictvím

Běžné otázky, odpovědi a scénáře se zásadami a profily v Microsoft Intune

  • Článek

Důležité

22. října 2022 Microsoft Intune ukončil podporu pro zařízení se systémem Windows 8.1. Technická pomoc a automatické aktualizace na těchto zařízeních nejsou k dispozici.

Pokud aktuálně používáte Windows 8.1, pak doporučujeme přejít na zařízení s Windows 10/11. Microsoft Intune má vestavěné funkce zabezpečení a zařízení, které spravují klientská zařízení Windows 10/11.

Získejte odpovědi na běžné otázky při práci se zásadami v Intune. Tento článek také uvádí časové intervaly pro odbavení, poskytuje více zadržení u konfliktů a další.

Tento článek se vztahuje na následující zásady:

  • Zásady ochrany aplikací
  • Zásady konfigurace aplikací pro Microsoft Intune
  • Zásady dodržování předpisů
  • Zásady podmíněného přístupu
  • Profily konfigurace zařízení
  • Zásady registrace

Intervaly aktualizace zásad

Když se zařízení přihlásí, okamžitě zkontroluje dodržování předpisů, nedodržování předpisů a konfiguraci aktuálního kontextu uživatele nebo zařízení a přijímá všechny přiřazené akce, zásady a aplikace čekající na vyřízení.

Existují 4 hlavní typy ohlášení:

Plánované check-iny – k těmto kontrolám dochází v předem určených intervalech a v závislosti na platformě je může iniciovat klient nebo služba. Počet ohlášení se odhaduje takto:

Platforma Odhadovaný cyklus aktualizace
Android, AOSP Přibližně každých 8 hodin
iOS/iPadOS Přibližně každých 8 hodin
macOS Přibližně každých 8 hodin
Počítače se systémem Windows 10/11 zaregistrované jako zařízení Přibližně každých 8 hodin

Vracení se změnami řízenými koncovými uživateli – tato vracení se změnami jsou řízena koncovými uživateli, když v aplikaci Portál společnosti provádějí určité akce, jako je přechod do částiStav kontrolyzařízení> neboSynchronizacenastavení>, aby zkontrolovali aktualizace zásad nebo profilu nebo vybrali aplikaci ke stažení.

Správa ohlášení se změnami – tyto kontroly řídí správci, když na jednom zařízení na portálu Intune provádějí určité akce, jako je synchronizace zařízení, vzdálené uzamčení nebo resetování hesla. Jiné akce, jako je vzdálená pomoc uživatelům , nezpůsobí ohlášení zařízení.

Ohlášení na základě oznámení – k těmto vracením se změnami dochází prostřednictvím různých akcí, které aktivují oznámení. Například když jsou zásady, profil nebo aplikace přiřazené (nebo nepřiřazené), aktualizovány, odstraněny nebo když se na pozadí provedou určité změny, jako jsou Microsoft Entra jsou provedeny aktualizace členství ve skupině. Jiné změny nezpůsobí okamžité oznámení zařízením, například přidání aplikace jako dostupné pro vaše uživatele.

Intune upozorní online zařízení, aby se ohlásí pomocí služby Intune. Doba oznámení se liší od okamžitého až po několik hodin. Tyto doby oznámení se také liší mezi platformami.

Offline zařízení, jako je vypnuté nebo odpojené zařízení, nemusí oznámení přijímat. V takovém případě zařízení získá zásadu nebo profil při příštím plánovaném ohlášení se změnami pomocí Intune.

Poznámka

Může trvat delší dobu, než Intune sestavy odrážejí nejnovější stav zásad na zařízení na portálu Intune.

Při první registraci zařízení se navíc častěji spouštějí kontroly konfigurace, aby se prováděly kontroly konfigurace, dodržování předpisů a dodržování předpisů. Počet ohlášení se odhaduje takto:

Platforma Odhadovaný cyklus aktualizace
Android, AOSP Každé 3 minuty po dobu 15 minut, poté každých 15 minut po dobu 2 hodin a poté přibližně každých 8 hodin
iOS/iPadOS Každých 15 minut po dobu 1 hodiny a poté přibližně každých 8 hodin
macOS Každých 15 minut po dobu 1 hodiny a poté přibližně každých 8 hodin
Počítače se systémem Windows 10/11 zaregistrované jako zařízení Každé 3 minuty po dobu 15 minut, poté každých 15 minut po dobu 2 hodin a poté přibližně každých 8 hodin

Intervaly aktualizace zásad ochrany aplikací najdete v tématu Načasování doručení zásad ochrany aplikací.

Portál společnosti

Uživatelé můžou kdykoli otevřít aplikaci Portál společnosti a přejít do části Kontrolastavuzařízení> a vyhodnotit nastavení vašeho zařízení a ověřit přístup k pracovním nebo školním prostředkům nebo přejít dočásti Synchronizacenastavení> a získat nejnovější aktualizace, požadavky a komunikaci od vaší organizace.

Související informace o agentovi Intune Management Extension nebo aplikacích Win32 najdete v tématu Správa aplikací Win32 v Microsoft Intune.

Související informace najdete v tématech Synchronizace zaregistrovaného zařízení pro Windows a Kontrola přístupu k zařízením v Portál společnosti pro Windows.

Konflikty

Ke konfliktům může dojít, když různé zásady aktualizují stejné nastavení na různé hodnoty. Máte například dvě zásady, které aktualizují nastavení kopírování a vkládání na různé hodnoty. Konflikt se řeší odlišně v závislosti na typu zásad.

Pokud používáte Microsoft Copilot v Intune, pak vám Copilot může pomoci vyřešit konflikty. Další informace najdete v tématu Správa zásad a nastavení ve službě Copilot v Intune.

Další informace o zásadách a nastaveních nakonfigurovaných v zásadách můžete získat také pomocí Microsoft Copilotu v Intune.

Zásady ochrany aplikací, které jsou v rozporu

Konfliktní hodnoty jsou nejpřísnější nastavení dostupná v zásadách ochrany aplikací. Výjimkou jsou číselná vstupní pole, jako jsou pokusy o zadání PIN před resetováním. Číselná vstupní pole jsou nastavena stejně jako hodnoty, jako kdybyste vytvořili zásadu MAM pomocí možnosti doporučeného nastavení.

Ke konfliktům dochází, když jsou dvě nastavení profilu stejná. Například jste nakonfigurovali dvě zásady MAM, které jsou identické s výjimkou nastavení kopírování a vkládání. V tomto scénáři je nastavení kopírování a vkládání nastaveno na nejvíce omezující hodnotu. Zbytek nastavení platí podle konfigurace.

Zásady se nasadí do aplikace a vstoupí v platnost. Je nasazena druhá zásada. V tomto scénáři má první zásada přednost a zůstane uplatněna. Druhá zásada ukazuje konflikt. Pokud jsou obě použity současně, což znamená, že neexistuje žádná předchozí zásada, jsou obě v konfliktu. Jakákoli konfliktní nastavení jsou nastavena na nejpřísnější hodnoty.

Zásady shody a konfigurace zařízení, které jsou v rozporu

Když jsou dvě nebo více zásad přiřazeny stejnému uživateli nebo zařízení, pak se nastavení, které platí, stane na úrovni individuálního nastavení:

  • Pokud k vyhodnocení zařízení použijete zásady souladu, pak nastavení v rámci zásad dodržování předpisů mají přednost před stejným nastavením v rámci zásad konfigurace zařízení. Nastavení zásad souladu mají vždy přednost před nastavením konfiguračního profilu.

  • Pokud se zásada dodržování předpisů vyhodnocuje se stejným nastavením v jiné zásadě dodržování předpisů, platí nejpřísnější nastavení zásad dodržování předpisů.

  • Pokud je nastavení zásad konfigurace v konfliktu s nastavením v jiné zásadě konfigurace, tento konflikt se zobrazí v Intune. Tyto konflikty vyřešte ručně.

V centru pro správu Intune je několik míst, kde můžete vytvářet zásady konfigurace, včetně analýzy zásad skupiny, zabezpečení koncových bodů, základní úrovně zabezpečení a další. Pokud dojde ke konfliktu a máte více zásad, zkontrolujte všechna místa, kde jste zásady nakonfigurovali. S konflikty mohou pomoci také vestavěné funkce hlášení. Další informace o dostupných sestavách najdete v sestavách Intune.

Vlastní zásady iOS/iPadOS nebo macOS, které jsou v rozporu

Intune nevyhodnocuje užitečné zatížení konfiguračních souborů Apple ani vlastní zásadu Open Mobile Alliance Uniform Resource Identifier (OMA-URI). Slouží pouze jako doručovací mechanismus.

Když přiřadíte vlastní zásadu, ujistěte se, že nakonfigurovaná nastavení nejsou v konfliktu s dodržováním předpisů, konfigurací nebo jinými vlastními zásadami. Pokud jsou vlastní zásady a jejich nastavení v konfliktu, Apple náhodně použije nastavení.

Předdefinované funkce hlášení mohou pomoci s konflikty. Další informace o dostupných sestavách najdete v sestavách Intune.

Profil je smazán nebo již není použitelný

Když odstraníte profil nebo odeberete zařízení ze skupiny, které je profil přiřazen, profil a nastavení se ze zařízení odstraní. Konkrétně jsou odstraněny, jak je popsáno v následujícím seznamu:

  • Wi-Fi, VPN, certifikáty a e-mailové profily: Tyto profily jsou odstraněny ze všech podporovaných registrovaných zařízení.

  • Všechny ostatní typy profilů:

    • Zařízení s Androidem: Nastavení se ze zařízení neodebere.

    • iOS/iPadOS: Všechna nastavení se odeberou s výjimkou:

      • Povolit hlasový roaming
      • Povolit datový roaming
      • Povolit automatickou synchronizaci při roamingu

    • Zařízení s Windows: Po odebrání nebo zrušení přiřazení profilu požádejte uživatele Microsoft Entra, aby se k zařízení přihlásil a synchronizuje se službou Intune.

      Nastavení Intune jsou založena na poskytovateli konfiguračních služeb systému Windows (CSP). Chování závisí na CSP. Někteří CSP toto nastavení odstraní a někteří CSP si toto nastavení ponechají, také nazývané tetování.

  • Profil se vztahuje pro skupinu uživatelů. Později je uživatel ze skupiny odebrán. Odebrání nastavení tomuto uživateli může trvat až 7 hodin nebo déle, než dojde k:

Změnil(a) jsem profil omezení zařízení, ale změny se neprojevily

Pokud chcete použít méně omezující profil, může být potřeba některá zařízení vyřadit z provozu a znovu zaregistrovat do Intune. Možná budete muset například vyřadit a znovu zaregistrovat klientská zařízení Android, iOS/iPadOS a Windows.

Některá nastavení v profilu Windows 10/11 vrací „Není k dispozici“

Některá nastavení na klientských zařízeních s Windows se můžou zobrazit jako Není k dispozici. Když tato situace nastane, konkrétní nastavení není podporováno ve verzi nebo edici systému Windows běžící na zařízení. Tato zpráva se může objevit z následujících důvodů:

  • Nastavení je k dispozici pouze pro novější verze systému Windows, nikoli pro aktuální verzi operačního systému (OS) v zařízení.
  • Nastavení je dostupné pouze pro konkrétní edice Windows nebo konkrétní SKU, jako je Home, Professional, Enterprise a Education.

Další informace o požadavcích na verzi a edici pro různá nastavení najdete v referenčních informacích ke zprostředkovateli konfiguračních služeb (CSP).

Když se zařízení zaregistrují, dojde ke zpoždění při použití aplikací a zásad přiřazených dynamickým skupinám zařízení

Během registrace můžete používat dynamické skupiny zařízení Microsoft Entra. Můžete například vytvořit dynamickou skupinu zařízení na základě názvu zařízení nebo profilu registrace.

Registrační profil se použije na záznam zařízení během počátečního nastavení zařízení. Dynamické seskupování Microsoft Entra není okamžité. V závislosti na jiných změnách ve vašem tenantovi nemusí být zařízení nějakou dobu v dynamické skupině, případně v minutách až hodinách.

Pokud se zařízení nepřidá do skupiny, vaše aplikace a zásady se během počátečního ohlášení Intune nepřiřadí k zařízení. Zásady se můžou vztahovat až po příštím plánovaném vrácení se změnami.

Pokud je rychlé doručování aplikací a zásad pro váš scénář nastavení/registrace důležité, přiřaďte aplikace a zásady skupinám uživatelů, nikoli dynamickým skupinám zařízení. Skupiny uživatelů jsou před nastavením zařízení předem vyplněné členy a nemají tuto prodlevu.

Další informace o dynamických skupinách najdete tady:

Chyba "Synchronizaci nelze zahájit (0x80072f9a)"

Na zařízeních s Windows se při pokusu o synchronizaci v aplikaci >NastaveníÚčty>Přístup do práce nebo do školy může zobrazit The sync could not be initiated (0x80072f9a) chyba.

Pokud se čip TPM (Trusted Platform Module) resetoval do továrního nastavení, musí se zařízení znovu povolit, aby se synchronizace obnovila. Identita Microsoft Entra zařízení je uložená v čipu TPM. Pokud je tedy ID odebráno, je opětovná registrace jediným způsobem, jak znovu vytvořit Microsoft Entra identitu.