Freigeben über


Antworten auf häufig gestellte Fragen zu Richtlinien und Profilen in Microsoft Intune

Wichtig

Am 22. Oktober 2022 hat Microsoft Intune den Support für Geräte unter Windows 8.1 eingestellt. Technische Unterstützung und automatische Updates auf diesen Geräten sind nicht verfügbar.

Wenn Sie derzeit Windows 8.1 verwenden, wechseln Sie zu Windows 10/11-Geräten. Microsoft Intune verfügt über integrierte Sicherheits- und Gerätefeatures, die Windows 10/11-Clientgeräte verwalten.

Erhalten Sie Antworten auf häufig gestellte Fragen beim Arbeiten mit Richtlinien in Intune. In diesem Artikel werden u. a. Check-In-Zeitintervalle und weitere Informationen aufgelistet.

Dieser Artikel gilt für die folgenden Richtlinien:

  • App-Schutzrichtlinien
  • App-Konfigurationsrichtlinien
  • Compliancerichtlinien
  • Richtlinien für bedingten Zugriff
  • Gerätekonfigurierungsprofile
  • Registrierungsrichtlinien

Richtlinienaktualisierungsintervalle

Wenn ein Gerät eincheckt, überprüft es sofort die Konformität, Nichtkonformität und Konfiguration für den aktuellen Benutzer-/Gerätekontext und empfängt alle ausstehenden Aktionen, Richtlinien und Apps, die ihm zugewiesen sind.

Es gibt 4 Standard Arten von Check-Ins:

Geplante Check-Ins : Diese Check-Ins erfolgen in vordefinierten Intervallen und können je nach Plattform vom Client oder Dienst initiiert werden. Die Check-Ins werden wie folgt geschätzt:

Plattform Geschätzter Aktualisierungszyklus
Android, AOSP Etwa alle 8 Stunden
iOS/iPadOS Etwa alle 8 Stunden
macOS Etwa alle 8 Stunden
Windows 10/11-PCs, die als Geräte registriert sind Etwa alle 8 Stunden

Endbenutzergesteuerte Check-Ins: Diese Check-Ins werden von Endbenutzern gesteuert, wenn sie bestimmte Aktionen in der Unternehmensportal App ausführen, z. B. in Geräte>überprüfen Status oder Einstellungen>Synchronisieren, um nach Richtlinien- oder Profilupdates zu suchen oder eine App zum Download auszuwählen.

Admin Check-Ins: Diese Check-Ins werden von Administratoren gesteuert, wenn sie bestimmte Aktionen auf einem einzelnen Gerät über das Intune-Portal ausführen, z. B. Gerätesynchronisierung, Remotesperre oder Zurücksetzen der Kennung. Andere Aktionen wie z. B. Remoteunterstützung für Benutzer führen nicht zum Einchecken eines Geräts.

Benachrichtigungsbasierte Check-Ins: Diese Check-Ins erfolgen über verschiedene Aktionen, die eine Benachrichtigung auslösen. Beispielsweise, wenn eine Richtlinie, ein Profil oder eine App zugewiesen (oder nicht zugewiesen), aktualisiert, gelöscht oder bestimmte Änderungen im Hintergrund vorgenommen werden, z. B. Microsoft Entra Aktualisierungen der Gruppenmitgliedschaft. Andere Änderungen führen nicht zu einer sofortigen Benachrichtigung an Geräte, z. B. das Hinzufügen einer App als für Ihre Benutzer verfügbar.

Intune benachrichtigt Onlinegeräte, sich beim Intune-Dienst einzuchecken. Die Benachrichtigungszeiten variieren von sofort bis zu einigen Stunden. Unterschiede bestehen dabei auch zwischen den einzelnen Plattformen.

Ein Offlinegerät, z. B. ein ausgeschaltetes oder ein nicht verbundenes Gerät, erhält die Benachrichtigungen möglicherweise nicht. In diesem Fall ruft das Gerät die Richtlinie oder das Profil beim nächsten geplanten Check-In mit Intune ab.

Hinweis

Es kann zusätzliche Zeit dauern, bis Intune Berichte die neuesten status der Richtlinie auf dem Gerät im Intune-Portal widerspiegeln.

Darüber hinaus werden bei der ersten Registrierung von Geräten häufiger Konfigurationschecks ausgeführt, um Konfigurations-, Konformitäts- und Nichtkonformitätsprüfungen durchzuführen. Die Check-Ins werden wie folgt geschätzt:

Plattform Geschätzter Aktualisierungszyklus
Android, AOSP Für 15 Minuten alle 3 Minuten, dann für 2 Stunden alle 15 Minuten und dann etwa alle 8 Stunden
iOS/iPadOS Für 1 Stunde alle 15 Minuten und dann etwa alle 8 Stunden
macOS Für 1 Stunde alle 15 Minuten und dann etwa alle 8 Stunden
Windows 10/11-PCs, die als Geräte registriert sind Für 15 Minuten alle 3 Minuten, dann für 2 Stunden alle 15 Minuten und dann etwa alle 8 Stunden

Informationen zu Aktualisierungsintervallen für App-Schutzrichtlinien finden Sie unter Zeitplan für die Bereitstellung der Appschutz-Richtlinie.

Unternehmensportal

Benutzer können jederzeit die Unternehmensportal-App öffnen und zu Geräte>Status überprüfen navigieren, um die Einstellungen Ihres Geräts auszuwerten und den Zugriff auf Arbeits-, Schul- oder Uniressourcen zu überprüfen, oder zu Einstellungen>Synchronisieren navigieren, um die neuesten Updates, Anforderungen und Kommunikationen von Ihrem organization zu erhalten.

Verwandte Informationen zum Intune-Verwaltungserweiterungs-Agent oder zu Win32-Apps finden Sie unter Win32-App-Verwaltung in Microsoft Intune.

Weitere Informationen finden Sie unter Synchronisieren eines registrierten Geräts für Windows und Überprüfen des Gerätezugriffs in Unternehmensportal für Windows.

Conflicts

Konflikte können auftreten, wenn unterschiedliche Richtlinien dieselbe Einstellung auf unterschiedliche Werte aktualisieren. Beispielsweise verfügen Sie über zwei Richtlinien, die die Einstellung zum Kopieren/Einfügen auf unterschiedliche Werte aktualisieren. Der Konflikt wird je nach Richtlinientyp unterschiedlich behandelt.

Wenn Sie Microsoft Copilot in Intune verwenden, kann Copilot Ihnen helfen, Konflikte zu lösen. Weitere Informationen finden Sie unter Richtlinien- und Einstellungsverwaltung in Copilot in Intune.

Sie können auch Microsoft Copilot in Intune verwenden, um weitere Informationen zu Ihren Richtlinien und den in Ihren Richtlinien konfigurierten Einstellungen zu erhalten.

Appschutz-Richtlinien, die in Konflikt stehen

Konfliktwerte sind die restriktivsten Einstellungen, die in einer Appschutz-Richtlinie verfügbar sind. Die Ausnahme sind numerische Eingabefelder, z. B. PIN-Versuche vor dem Zurücksetzen. Numerische Eingabefelder werden genauso wie die Werte festgelegt, als ob Sie eine MAM-Richtlinie mithilfe der empfohlenen Einstellungsoption erstellt haben.

Konflikte treten auf, wenn zwei Profileinstellungen identisch sind. Beispielsweise haben Sie zwei MAM-Richtlinien konfiguriert, die mit Ausnahme der Einstellung für Kopieren/Einfügen identisch sind. In diesem Szenario wird die Einstellung zum Kopieren/Einfügen auf den restriktivsten Wert festgelegt. Die restlichen Einstellungen werden wie konfiguriert angewendet.

Eine Richtlinie wird in der App bereitgestellt und tritt in Kraft. Eine zweite Richtlinie wird bereitgestellt. In diesem Szenario hat die erste Richtlinie Vorrang und gilt weiterhin. Die zweite Richtlinie wird als in Konflikt stehend angezeigt. Wenn beide Richtlinien gleichzeitig angewendet werden, also keine vorherige Richtlinie vorhanden ist, stehen beide in Konflikt. Alle in Konflikt stehenden Einstellungen werden auf die restriktivsten Werte festgelegt.

Compliance- und Gerätekonfigurationsrichtlinien, die in Konflikt stehen

Wenn zwei oder mehr Richtlinien demselben Benutzer oder Gerät zugewiesen sind, erfolgt das Anwenden der Einstellung auf der Ebene der individuellen Einstellung:

  • Wenn Sie Konformitätsrichtlinien verwenden, um Geräteeinstellungen auszuwerten, haben die Einstellungen innerhalb der Konformitätsrichtlinie Vorrang vor derselben Einstellung in Gerätekonfigurationsrichtlinien. Konformitätsrichtlinieneinstellungen haben immer Vorrang vor Konfigurationsprofileinstellungen.

  • Die restriktivste Konformitätsrichtlinie wird angewendet, wenn sie anhand derselben Einstellung in einer anderen Konformitätsrichtlinie ausgewertet wird.

  • Falls eine Konfigurationsrichtlinieneinstellung im Konflikt mit einer Einstellung in einer anderen Konfigurationsrichtlinie steht, wird dieser Konflikt in Intune angezeigt. Konflikte dieser Art müssen Sie manuell auflösen.

Im Intune-Admin Center gibt es einige Stellen, an denen Sie Konfigurationsrichtlinien erstellen können, einschließlich Gruppenrichtlinienanalyse, Endpunktsicherheit, Sicherheitsgrundlinien und mehr. Wenn es einen Konflikt gibt und Sie mehrere Richtlinien haben, überprüfen Sie alle Orte, an denen Sie Richtlinien konfiguriert haben. Außerdem können die integrierten Berichtsfunktionen bei Konflikten helfen. Weitere Informationen zu den verfügbaren Berichten finden Sie unter Intune Berichte.

In Konflikt stehende benutzerdefinierte iOS-/iPadOS- oder macOS-Richtlinien

Intune bewertet nicht die Nutzlast von Apple-Konfigurationsdateien oder einer benutzerdefinierten OMA-URI-Richtlinie (Open Mobile Alliance Uniform Resource Identifier). Es dient lediglich als Übermittlungsmechanismus.

Wenn Sie eine benutzerdefinierte Richtlinie zuweisen, bestätigen Sie, dass die konfigurierten Einstellungen nicht mit Konformitäts-, Konfigurations- oder anderen benutzerdefinierten Richtlinien in Konflikt stehen. Wenn eine benutzerdefinierte Richtlinie und ihre Einstellungen in Konflikt geraten, wendet Apple die Einstellungen nach dem Zufallsprinzip an.

Die integrierten Berichtsfunktionen können bei Konflikten helfen. Weitere Informationen zu den verfügbaren Berichten finden Sie unter Intune-Berichte.

Ein Profil wird gelöscht oder ist nicht mehr anwendbar.

Wenn Sie ein Profil löschen oder ein Gerät aus einer Gruppe entfernen, der das Profil zugewiesen ist, werden das Profil und die Einstellungen vom Gerät entfernt. Insbesondere werden sie wie in der folgenden Liste beschrieben entfernt:

  • WLAN-, VPN-, Zertifikat- und E-Mail-Profile: Diese Profile werden von allen unterstützten registrierten Geräten entfernt.

  • Alle anderen Profiltypen:

    • Android-Geräte: Einstellungen werden nicht vom Gerät entfernt.

    • iOS/iPadOS: Alle Einstellungen werden entfernt, außer:

      • Sprachroaming zulassen
      • Datenroaming zulassen
      • Automatische Synchronisierung beim Roaming zulassen
    • Windows-Geräte: Nachdem Sie das Profil entfernt oder die Zuweisung aufgehoben haben, muss sich der Microsoft Entra-Benutzer beim Gerät anmelden und mit dem Intune-Dienst synchronisieren.

      Intune-Einstellungen basieren auf dem Windows-Konfigurationsdienstanbieter (Windows Configuration Service Provider, CSP). Das Verhalten hängt vom CSP ab. Einige CSP entfernen die Einstellung, und einige CSP behalten die auch als „Tätowierung“ bezeichnete Einstellung bei.

  • Ein Profil gilt für eine Benutzergruppe. Später wird ein Benutzer aus der Gruppe entfernt. Bis die Einstellungen für diesen Benutzer entfernt sind, kann es für die folgenden Elemente bis zu 7 Stunden oder mehr dauern:

Ich habe ein Profil für Geräteeinschränkungen geändert, aber die Änderungen wurden nicht übernommen.

Um ein weniger restriktives Profil anzuwenden, müssen einige Geräte möglicherweise zurückgezogen und bei Intune erneut registriert werden. Beispielsweise müssen Sie Android-, iOS-/iPadOS- und Windows-Clientgeräte möglicherweise zurückziehen und erneut registrieren.

Einige Einstellungen in einem Windows 10/11-Profil geben „Nicht zutreffend“ zurück

Einige Einstellungen auf Windows-Clientgeräten können als Nicht zutreffend angezeigt werden. In diesen Fällen werden die Einstellungen von der auf Ihrem Gerät ausgeführten Windows-Version oder -Edition nicht unterstützt. Diese Meldung kann aus folgenden Gründen angezeigt werden:

  • Die Einstellung ist nur auf neueren Windows-Versionen und nicht auf der aktuellen Betriebssystemversion verfügbar.
  • Die Einstellung ist nur für bestimmte Windows-Editionen oder bestimmte SKUs, z. B. Home, Professional, Education und Enterprise, verfügbar.

Weitere Informationen zu den Versions- und Editionsanforderungen für die verschiedenen Einstellungen finden Sie in der Referenz zu Konfigurationsdienstanbietern.

Wenn Geräte registriert werden, kommt es zu einer Verzögerung beim Anwenden von Apps und Richtlinien, die dynamischen Gerätegruppen zugewiesen sind.

Während der Registrierung können Sie dynamische Microsoft Entra-Gerätegruppen verwenden. Sie können z. B. eine dynamische Gerätegruppe basierend auf dem Namen oder Registrierungsprofil eines Geräts erstellen.

Das Registrierungsprofil wird während der ersten Geräteeinrichtung auf den Gerätedatensatz angewendet. Die dynamische Gruppierung von Microsoft Entra erfolgt nicht sofort. Das Gerät befindet sich möglicherweise für einige Zeit nicht in der dynamischen Gruppe, je nach anderen Änderungen, die in Ihrem Mandanten vorgenommen werden.

Wenn das Gerät nicht zur Gruppe hinzugefügt wird, werden Ihre Apps und Richtlinien dem Gerät während des ersten Intune-Check-Ins nicht zugewiesen. Die Richtlinien gelten möglicherweise erst beim nächsten geplanten Check-In.

Wenn die schnelle Bereitstellung von Apps und Richtlinien für Ihr Setup-/Registrierungsszenario wichtig ist, weisen Sie Ihre Apps und Richtlinien Benutzergruppen und nicht dynamischen Gerätegruppen zu. Benutzergruppen werden vor dem Einrichten des Geräts bereits mit Mitgliedern aufgefüllt und weisen diese Verzögerung nicht auf.

Weitere Informationen zu dynamischen Gruppen finden Sie unter:

Fehler "Die Synchronisierung konnte nicht initiiert werden (0x80072f9a)"

Wenn Sie auf Windows-Geräten versuchen, die Synchronisierung in der Einstellungen-App>Konten>Auf Geschäfts-, Schul- oder Unikonto zuzugreifen, wird möglicherweise ein The sync could not be initiated (0x80072f9a) Fehler angezeigt.

Wenn das Trusted Platform Module (TPM) auf die Werkseinstellungen zurückgesetzt wurde, muss das Gerät erneut registriert werden, um die Synchronisierung fortzusetzen. Die Microsoft Entra Identität des Geräts wird im TPM gespeichert. Wenn also die ID entfernt wird, ist die erneute Registrierung die einzige Möglichkeit, die Microsoft Entra Identität wiederherzustellen.