Typowe pytania, odpowiedzi i scenariusze dotyczące zasad i profilów w usłudze Microsoft Intune
Ważna
22 października 2022 r. usługa Microsoft Intune zakończyła obsługę urządzeń z systemem Windows 8.1. Pomoc techniczna i automatyczne aktualizacje tych urządzeń nie są dostępne.
Jeśli obecnie używasz systemu Windows 8.1, przejdź na urządzenia z systemem Windows 10/11. Usługa Microsoft Intune ma wbudowane funkcje zabezpieczeń i urządzeń, które zarządzają urządzeniami klienckimi z systemem Windows 10/11.
Uzyskaj odpowiedzi na często zadawane pytania podczas pracy z zasadami w usłudze Intune. Ten artykuł zawiera również listę odstępów czasu kontroli, więcej informacji o konfliktach i nie tylko.
Ten artykuł dotyczy następujących zasad:
- Zasady ochrony aplikacji
- Zasady konfiguracji aplikacji
- Zasady zgodności
- Zasady dostępu warunkowego
- Profile konfiguracji urządzeń
- Zasady rejestracji
Odstępy czasu odświeżania zasad
Po zaewidencjonowaniu urządzenia natychmiast sprawdza zgodność, niezgodność i konfigurację dla bieżącego kontekstu użytkownika/urządzenia, odbierając wszelkie oczekujące akcje, zasady i aplikacje przypisane do niego.
Istnieją 4 główne typy zaewidencjonowania:
Zaplanowane zaewidencjonowania — te ewidencjonowania odbywają się w wstępnie określonych interwałach i mogą być inicjowane przez klienta lub usługę w zależności od platformy. Ewidencjonowania są szacowane w następujący sposób:
| Platforma | Szacowany cykl odświeżania |
|---|---|
| Android, AOSP | Mniej więcej co 8 godzin |
| iOS/iPadOS | Mniej więcej co 8 godzin |
| macOS | Mniej więcej co 8 godzin |
| Komputery z systemem Windows 10/11 zarejestrowane jako urządzenia | Mniej więcej co 8 godzin |
Ewidencjonowania sterowane przez użytkowników końcowych — te ewidencjonowania są sterowane przez użytkowników końcowych, gdy wykonują określone akcje w aplikacji Portal firmy, takie jak przechodzenie do pozycji Urządzenia>Sprawdź stan lubSynchronizacjaustawień>, aby sprawdzić aktualizacje zasad lub profilu lub wybrać aplikację do pobrania.
Administracja ewidencjonowania — te zaewidencjonowania są sterowane przez administratorów, gdy wykonują określone akcje na jednym urządzeniu z portalu Intune, takie jak synchronizacja urządzenia, zdalne blokowanie lub resetowanie kodu dostępu. Inne akcje, takie jak zdalne pomaganie użytkownikom , nie powodują zaewidencjonowania urządzenia.
Ewidencjonowania oparte na powiadomieniach — te ewidencjonowania są wykonywane za pomocą różnych akcji wyzwalających powiadomienie. Na przykład gdy zasady, profil lub aplikacja są przypisane (lub nieprzypisane), aktualizowane, usuwane lub gdy niektóre zmiany w tle, takie jak Microsoft Entra aktualizacje członkostwa w grupach, zostaną wprowadzone. Inne zmiany nie powodują natychmiastowego powiadomienia urządzeń, na przykład dodania aplikacji jako dostępnej dla użytkowników.
Intune powiadamia urządzenia online o zaewidencjonowaniu w usłudze Intune. Czasy powiadomień różnią się od razu do kilku godzin. Te czasy powiadomień różnią się również między platformami.
Na urządzeniach z systemem Android usługi Google Mobile Services (GMS) mogą wpływać na odstępy czasu odświeżania zasad.
Na urządzeniach z systemem iOS określone warunki mogą mieć wpływ na interwały odświeżania zasad.
Urządzenie w trybie offline, takie jak wyłączone lub odłączone urządzenie, może nie otrzymywać powiadomień. W takim przypadku urządzenie pobiera zasady lub profil podczas następnego zaplanowanego zaewidencjonowania przy użyciu Intune.
Uwaga
Może upłynąć dodatkowy czas, Intune raporty odzwierciedlają najnowszy stan zasad na urządzeniu w portalu Intune.
Ponadto po pierwszym zarejestrowaniu urządzeń ewidencjonowania konfiguracji są uruchamiane częściej w celu przeprowadzania kontroli konfiguracji, zgodności i niezgodności. Ewidencjonowania są szacowane w następujący sposób:
| Platforma | Szacowany cykl odświeżania |
|---|---|
| Android, AOSP | Co 3 minuty przez 15 minut, następnie co 15 minut przez 2 godziny, a następnie co około 8 godzin |
| iOS/iPadOS | Co 15 minut przez 1 godzinę, a następnie co około 8 godzin |
| macOS | Co 15 minut przez 1 godzinę, a następnie co około 8 godzin |
| Komputery z systemem Windows 10/11 zarejestrowane jako urządzenia | Co 3 minuty przez 15 minut, następnie co 15 minut przez 2 godziny, a następnie co około 8 godzin |
Aby zapoznać się z odstępami czasu odświeżania zasad ochrony aplikacji, przejdź do chronometrażu dostarczania zasad ochrony aplikacji.
Portal firmy
W dowolnym momencie użytkownicy mogą otworzyć aplikację Portal firmy i przejść do pozycji Urządzenia>Sprawdź stan, aby ocenić ustawienia urządzenia i zweryfikować dostęp do zasobów służbowych lub przejść do pozycjiSynchronizacjaustawień>, aby uzyskać najnowsze aktualizacje, wymagania i komunikację z organizacji.
Aby uzyskać powiązane informacje o agencie rozszerzenia zarządzania usługi Intune lub aplikacjach Win32, zobacz Zarządzanie aplikacjami Win32 w usłudze Microsoft Intune.
Aby uzyskać powiązane informacje, zobacz Synchronizowanie zarejestrowanego urządzenia dla systemu Windows i Sprawdzanie dostępu do urządzenia w Portal firmy dla systemu Windows.
Konflikty
Konflikty mogą wystąpić, gdy różne zasady aktualizują to samo ustawienie do różnych wartości. Na przykład istnieją dwie zasady, które aktualizują ustawienie kopiowania/wklejania na różne wartości. Konflikt jest obsługiwany inaczej w zależności od typu zasad.
Jeśli korzystasz z usługi Microsoft Copilot w usłudze Intune, usługa Copilot może pomóc w rozwiązywaniu konfliktów. Aby uzyskać więcej informacji, zobacz Zarządzanie zasadami i ustawieniami w usłudze Copilot w usłudze Intune.
Możesz również użyć usługi Microsoft Copilot w usłudze Intune, aby uzyskać więcej informacji o zasadach i ustawieniach skonfigurowanych w zasadach.
Zasady ochrony aplikacji, które powodują konflikt
Wartości powodujące konflikt są najbardziej restrykcyjnymi ustawieniami dostępnymi w zasadach ochrony aplikacji. Wyjątkiem są pola wpisów liczbowych, takie jak próby wprowadzenia numeru PIN przed zresetowaniem. Pola wpisów liczbowych są ustawiane tak samo jak wartości, tak jakby zostały utworzone zasady zarządzania aplikacjami mobilnymi przy użyciu zalecanej opcji ustawień.
Konflikty występują, gdy dwa ustawienia profilu są takie same. Na przykład skonfigurowano dwie zasady zarządzania aplikacjami mobilnymi, które są identyczne z wyjątkiem ustawienia kopiowania/wklejania. W tym scenariuszu ustawienie kopiowania/wklejania jest ustawiane na najbardziej restrykcyjną wartość. Pozostałe ustawienia są stosowane zgodnie z konfiguracją.
Zasada zostaje wdrożona w aplikacji i zaczyna obowiązywać. Wdrażana jest druga zasada. W tym scenariuszu pierwsza zasada ma pierwszeństwo i pozostaje stosowana. Druga zasada wykazuje konflikt. Jeśli obie zasady są stosowane w tym samym czasie, co oznacza, że nie ma poprzedzających ich zasad, obie te zasady są w konflikcie. Wszystkie ustawienia powodujące konflikt są ustawione na najbardziej restrykcyjne wartości.
Zasady zgodności i konfiguracji urządzeń, które powodują konflikt
Gdy co najmniej dwie zasady są przypisane do tego samego użytkownika lub urządzenia, ustawienie, które ma zastosowanie, jest realizowane na poziomie poszczególnych ustawień:
Jeśli do określania ustawień urządzenia są używane zasady zgodności, ustawienia w zasadach zgodności mają pierwszeństwo przed tym samym ustawieniem w zasadach konfiguracji urządzeń. Ustawienia zasad zgodności zawsze mają pierwszeństwo przed ustawieniami profilu konfiguracji.
Jeśli zasady zgodności zostaną ocenione pod kątem tego samego ustawienia w innych zasadach zgodności, zostanie zastosowane najbardziej restrykcyjne ustawienie zasad zgodności.
Jeśli ustawienie zasad konfiguracji powoduje konflikt z ustawieniem w innych zasadach konfiguracji, ten konflikt jest wyświetlany w usłudze Intune. Ręcznie rozwiąż te konflikty.
W centrum administracyjnym usługi Intune istnieje kilka miejsc, w których można tworzyć zasady konfiguracji, a w tym analizy zasad grupy, zabezpieczenia punktów końcowych, punkty odniesienia zabezpieczeń i nie tylko. Jeśli występuje konflikt i masz wiele zasad, sprawdź wszystkie miejsca, w których skonfigurowano zasady. Ponadto wbudowane funkcje raportowania mogą pomóc w konfliktach. Aby uzyskać więcej informacji na temat dostępnych raportów, przejdź do raportów usługi Intune.
Niestandardowe zasady systemu iOS/iPadOS lub macOS powodujące konflikt
Usługa Intune nie ocenia ładunku plików konfiguracji firmy Apple ani niestandardowych zasad OMA-URI (Open Mobile Alliance Uniform Resource Identifier). Służy jedynie jako mechanizm dostarczania.
Po przypisaniu zasad niestandardowych upewnij się, że skonfigurowane ustawienia nie powodują konfliktu ze zgodnością, konfiguracją ani innymi zasadami niestandardowymi. Jeśli zasady niestandardowe i ich ustawienia powodują konflikt, firma Apple losowo stosuje ustawienia.
Wbudowane funkcje raportowania mogą pomóc w przypadku konfliktów. Aby uzyskać więcej informacji na temat dostępnych raportów, przejdź do raportów usługi Intune.
Profil został usunięty lub nie ma już zastosowania
Gdy usuniesz profil lub usuniesz urządzenie z grupy, do której przypisano profil, profil i ustawienia zostaną usunięte z urządzenia. W szczególności są one usuwane zgodnie z opisem na poniższej liście:
Profile sieci Wi-Fi, sieci VPN, certyfikatu i poczty e-mail: te profile są usuwane ze wszystkich obsługiwanych zarejestrowanych urządzeń.
Wszystkie inne typy profilów:
Urządzenia z systemem Android: ustawienia nie są usuwane z urządzenia.
System iOS/iPadOS: wszystkie ustawienia są usuwane, z wyjątkiem:
- Zezwalaj na roaming połączeń głosowych
- Zezwalaj na roaming danych
- Zezwalaj na automatyczną synchronizację podczas roamingu
Urządzenia z systemem Windows: po usunięciu lub cofnięciu przypisania profilu poproś użytkownika aplikacji Microsoft Entra o zalogowanie się do urządzenia i zsynchronizowanie z usługą Intune.
Ustawienia usługi Intune są oparte na dostawcy usług konfiguracji systemu Windows (CSP). Zachowanie zależy od dostawcy rozwiązań w chmurze (CSP). Niektórzy dostawcy CSP usuwają to ustawienie, a niektórzy dostawcy CSP zachowują to ustawienie, nazywane również tatuażem.
Profil dotyczy grupy użytkowników. Później użytkownik zostanie usunięty z grupy. Aby ustawienia zostały usunięte z tego użytkownika, może upłynąć do 7 godzin lub więcej dla:
- Profilu do usunięcia z przypisania zasad w centrum administracyjnym usługi Intune
- Urządzenie do synchronizacji z obiektem usługi Intune przy użyciu cyklu odświeżania zasad specyficznych dla platformy (w tym artykule)
Profil ograniczeń urządzenia został zmieniony, ale zmiany nie zostały wprowadzone
Aby zastosować mniej restrykcyjny profil, niektóre urządzenia mogą wymagać wycofania i ponownego zarejestrowania w usłudze Intune. Może być na przykład konieczne wycofanie i ponowne zarejestrowanie urządzeń klienckich z systemami Android, iOS/iPadOS i Windows.
Niektóre ustawienia w profilu systemu Windows 10/11 zwracają wartość „Nie dotyczy”
Niektóre ustawienia na urządzeniach klienckich z systemem Windows mogą być wyświetlane jako Nie dotyczy. W takiej sytuacji to konkretne ustawienie nie jest obsługiwane w wersji lub wydaniu systemu Windows uruchomionym na urządzeniu. Ten komunikat może wystąpić z następujących powodów:
- To ustawienie jest dostępne tylko dla nowszych wersji systemu Windows, a nie bieżącej wersji systemu operacyjnego na urządzeniu.
- To ustawienie jest dostępne tylko dla określonych wersji systemu Windows lub określonych jednostek SKU, takich jak Home, Professional, Enterprise i Education.
Aby dowiedzieć się więcej o wymaganiach dotyczących wersji i wydania dla różnych ustawień, zobacz dokumentację dostawcy usług konfiguracji (CSP).
Podczas rejestrowania urządzeń występuje opóźnienie w stosowaniu aplikacji i zasad przypisanych do dynamicznych grup urządzeń
Podczas rejestracji można używać dynamicznych grup urządzeń usługi Microsoft Entra. Można na przykład utworzyć dynamiczną grupę urządzeń na podstawie nazwy urządzenia lub profilu rejestracji.
Profil rejestracji jest stosowany do rekordu urządzenia podczas początkowej konfiguracji urządzenia. Dynamiczne grupowanie w usłudze Microsoft Entra nie jest natychmiastowe. Urządzenie może nie znajdować się w grupie dynamicznej przez pewien czas, być może od minut do godzin, w zależności od innych zmian wprowadzonych w dzierżawie.
Jeśli urządzenie nie zostanie dodane do grupy, Twoje aplikacje i zasady nie zostaną przypisane do urządzenia podczas początkowej kontroli usługi Intune. Zasady mogą nie być stosowane do czasu następnej zaplanowanej kontroli.
Jeśli szybkie dostarczanie aplikacji i zasad jest ważne dla scenariusza konfiguracji/rejestracji, przypisz aplikacje i zasady do grup użytkowników, a nie do dynamicznych grup urządzeń. Grupy użytkowników są wstępnie wypełniane elementami członkowskimi przed konfiguracją urządzenia i nie mają tego opóźnienia.
Aby uzyskać więcej informacji na temat grup dynamicznych, przejdź do:
- Dodawanie grup w celu organizowania użytkowników i urządzeń w usłudze Intune
- Zalecenia dotyczące wydajności podczas używania usługi Intune do grupowania, określania wartości docelowej i filtrowania
- Reguły członkostwa dynamicznego dla grup w Tożsamości Microsoft Entra
Błąd "Nie można zainicjować synchronizacji (0x80072f9a)"
Na urządzeniach z systemem Windows podczas próby synchronizacji w aplikacji >UstawieniaKonta>Dostęp do pracy lub szkoły może zostać wyświetlony The sync could not be initiated (0x80072f9a) błąd.
Jeśli moduł TPM (Trusted Platform Module) został zresetowany do ustawień fabrycznych, urządzenie musi zostać ponownie zarejestrowane w celu wznowienia synchronizacji. Tożsamość Microsoft Entra urządzenia jest przechowywana w programie TPM. Dlatego jeśli identyfikator zostanie usunięty, ponowna rejestracja jest jedynym sposobem przywrócenia tożsamości Microsoft Entra.
Artykuły pokrewne
- Rozwiązywanie problemów z zasadami i profilami.
- Potrzebujesz dodatkowej pomocy? Zobacz Jak uzyskać pomoc techniczną w usłudze Microsoft Intune.