Typowe pytania, odpowiedzi i scenariusze dotyczące zasad i profilów w usłudze Microsoft Intune
Ważna
22 października 2022 r. usługa Microsoft Intune zakończyła obsługę urządzeń z systemem Windows 8.1. Pomoc techniczna i automatyczne aktualizacje tych urządzeń nie są dostępne.
Jeśli obecnie używasz systemu Windows 8.1, przejdź na urządzenia z systemem Windows 10/11. Usługa Microsoft Intune ma wbudowane funkcje zabezpieczeń i urządzeń, które zarządzają urządzeniami klienckimi z systemem Windows 10/11.
Uzyskaj odpowiedzi na często zadawane pytania podczas pracy z zasadami w usłudze Intune. Ten artykuł zawiera również listę odstępów czasu kontroli, więcej informacji o konfliktach i nie tylko.
Ten artykuł dotyczy następujących zasad:
- Zasady ochrony aplikacji
- Zasady konfiguracji aplikacji
- Zasady zgodności
- Zasady dostępu warunkowego
- Profile konfiguracji urządzeń
- Zasady rejestracji
Odstępy czasu odświeżania zasad
Usługa Intune powiadamia urządzenie o konieczności zaewidencjonowania w usłudze Intune. Czasy powiadomień różnią się od powiadomienia od razu do powiadomienia po kilku godzinach. Te czasy powiadomień różnią się również między platformami. Na urządzeniach z systemem Android usługi Google Mobile Services (GMS) mogą wpływać na odstępy czasu odświeżania zasad.
Jeśli urządzenie nie zaewidencjonuje się w celu pobrania zasad lub profilu po pierwszym powiadomieniu, usługa Intune podejmie jeszcze trzy próby. Urządzenie w trybie offline, takie jak wyłączone lub niepołączone z siecią, może nie otrzymywać powiadomień. W takim przypadku urządzenie pobiera zasady lub profil przy następnej zaplanowanej kontroli za pomocą usługi Intune. To samo dotyczy sprawdzania niezgodności, a w tym urządzeń, które przechodzą ze stanu zgodnego do niezgodnego.
Szacowane częstotliwości:
| Platforma | Cykl odświeżania |
|---|---|
| Android, AOSP | Mniej więcej co 8 godzin |
| iOS/iPadOS | Mniej więcej co 8 godzin |
| macOS | Mniej więcej co 8 godzin |
| Komputery z systemem Windows 10/11 zarejestrowane jako urządzenia | Mniej więcej co 8 godzin |
| Windows 8.1 | Mniej więcej co 8 godzin |
Jeśli urządzenia zostały ostatnio zarejestrowane, sprawdzanie zgodności, niezgodności i konfiguracji jest uruchamiane częściej. Kontrole są szacowane dla:
| Platforma | Częstotliwość |
|---|---|
| Android, AOSP | Co 3 minuty przez 15 minut, następnie co 15 minut przez 2 godziny, a następnie co około 8 godzin |
| iOS/iPadOS | Co 15 minut przez 1 godzinę, a następnie co około 8 godzin |
| macOS | Co 15 minut przez 1 godzinę, a następnie co około 8 godzin |
| Komputery z systemem Windows 10/11 zarejestrowane jako urządzenia | Co 3 minuty przez 15 minut, następnie co 15 minut przez 2 godziny, a następnie co około 8 godzin |
| Windows 8.1 | Co 5 minut przez 15 minut, następnie co 15 minut przez 2 godziny, a następnie co około 8 godzin |
Aby zapoznać się z odstępami czasu odświeżania zasad ochrony aplikacji, przejdź do chronometrażu dostarczania zasad ochrony aplikacji.
W dowolnym momencie użytkownicy mogą otworzyć aplikację Portal firmy, Ustawienia>Sprawdzanie stanu lub Ustawienia>Synchronizacja, aby natychmiast sprawdzić dostępność aktualizacji zasad lub profilów. Aby uzyskać powiązane informacje o agencie rozszerzenia zarządzania usługi Intune lub aplikacjach Win32, zobacz Zarządzanie aplikacjami Win32 w usłudze Microsoft Intune.
Akcje usługi Intune, które natychmiast wysyłają powiadomienie do urządzenia
Istnieją różne akcje, które wyzwalają powiadomienie. Jeśli na przykład przypisano zasady, profil lub aplikację (lub ich nie przypisano), zaktualizowano, usunięto itd. Te czasy akcji różnią się między platformami.
Urządzenia ewidencjonują się w usłudze Intune, gdy otrzymają powiadomienie, aby się zaewidencjonować lub podczas zaplanowanego ewidencjonowania. Gdy akcja zostanie skierowana do urządzenia lub użytkownika, usługa Intune natychmiast powiadomi urządzenie o konieczności zaewidencjonowania w celu otrzymania tych aktualizacji. Na przykład powiadomienie ma miejsce, gdy zostanie uruchomiona akcja blokowania, resetowania kodu dostępu, aplikacji lub przypisania zasad.
Inne zmiany nie powodują natychmiastowego powiadomienia urządzeń, a w tym poprawiania informacji kontaktowych w aplikacji Portal firmy ani aktualizacji pliku .ipa.
Ustawienia w zasadach lub profilu są stosowane przy każdej kontroli. Dobrym zasobem może być odświeżenie zasad zarządzania urządzeniami przenośnymi w systemie Windows 10 we wpisie na blogu klienta.
Konflikty
Konflikty mogą wystąpić, gdy różne zasady aktualizują to samo ustawienie do różnych wartości. Na przykład istnieją dwie zasady, które aktualizują ustawienie kopiowania/wklejania na różne wartości. Konflikt jest obsługiwany inaczej w zależności od typu zasad.
Jeśli korzystasz z usługi Microsoft Copilot w usłudze Intune, usługa Copilot może pomóc w rozwiązywaniu konfliktów. Aby uzyskać więcej informacji, zobacz Zarządzanie zasadami i ustawieniami w usłudze Copilot w usłudze Intune.
Możesz również użyć usługi Microsoft Copilot w usłudze Intune, aby uzyskać więcej informacji o zasadach i ustawieniach skonfigurowanych w zasadach.
Zasady ochrony aplikacji, które powodują konflikt
Wartości powodujące konflikt są najbardziej restrykcyjnymi ustawieniami dostępnymi w zasadach ochrony aplikacji. Wyjątkiem są pola wpisów liczbowych, takie jak próby wprowadzenia numeru PIN przed zresetowaniem. Pola wpisów liczbowych są ustawiane tak samo jak wartości, tak jakby zostały utworzone zasady zarządzania aplikacjami mobilnymi przy użyciu zalecanej opcji ustawień.
Konflikty występują, gdy dwa ustawienia profilu są takie same. Na przykład skonfigurowano dwie zasady zarządzania aplikacjami mobilnymi, które są identyczne z wyjątkiem ustawienia kopiowania/wklejania. W tym scenariuszu ustawienie kopiowania/wklejania jest ustawiane na najbardziej restrykcyjną wartość. Pozostałe ustawienia są stosowane zgodnie z konfiguracją.
Zasada zostaje wdrożona w aplikacji i zaczyna obowiązywać. Wdrażana jest druga zasada. W tym scenariuszu pierwsza zasada ma pierwszeństwo i pozostaje stosowana. Druga zasada wykazuje konflikt. Jeśli obie zasady są stosowane w tym samym czasie, co oznacza, że nie ma poprzedzających ich zasad, obie te zasady są w konflikcie. Wszystkie ustawienia powodujące konflikt są ustawione na najbardziej restrykcyjne wartości.
Zasady zgodności i konfiguracji urządzeń, które powodują konflikt
Gdy co najmniej dwie zasady są przypisane do tego samego użytkownika lub urządzenia, ustawienie, które ma zastosowanie, jest realizowane na poziomie poszczególnych ustawień:
Jeśli do określania ustawień urządzenia są używane zasady zgodności, ustawienia w zasadach zgodności mają pierwszeństwo przed tym samym ustawieniem w zasadach konfiguracji urządzeń. Ustawienia zasad zgodności zawsze mają pierwszeństwo przed ustawieniami profilu konfiguracji.
Jeśli zasady zgodności zostaną ocenione pod kątem tego samego ustawienia w innych zasadach zgodności, zostanie zastosowane najbardziej restrykcyjne ustawienie zasad zgodności.
Jeśli ustawienie zasad konfiguracji powoduje konflikt z ustawieniem w innych zasadach konfiguracji, ten konflikt jest wyświetlany w usłudze Intune. Ręcznie rozwiąż te konflikty.
W centrum administracyjnym usługi Intune istnieje kilka miejsc, w których można tworzyć zasady konfiguracji, a w tym analizy zasad grupy, zabezpieczenia punktów końcowych, punkty odniesienia zabezpieczeń i nie tylko. Jeśli występuje konflikt i masz wiele zasad, sprawdź wszystkie miejsca, w których skonfigurowano zasady. Ponadto wbudowane funkcje raportowania mogą pomóc w konfliktach. Aby uzyskać więcej informacji na temat dostępnych raportów, przejdź do raportów usługi Intune.
Niestandardowe zasady systemu iOS/iPadOS lub macOS powodujące konflikt
Usługa Intune nie ocenia ładunku plików konfiguracji firmy Apple ani niestandardowych zasad OMA-URI (Open Mobile Alliance Uniform Resource Identifier). Służy jedynie jako mechanizm dostarczania.
Po przypisaniu zasad niestandardowych upewnij się, że skonfigurowane ustawienia nie powodują konfliktu ze zgodnością, konfiguracją ani innymi zasadami niestandardowymi. Jeśli zasady niestandardowe i ich ustawienia powodują konflikt, firma Apple losowo stosuje ustawienia.
Wbudowane funkcje raportowania mogą pomóc w przypadku konfliktów. Aby uzyskać więcej informacji na temat dostępnych raportów, przejdź do raportów usługi Intune.
Profil został usunięty lub nie ma już zastosowania
Gdy usuniesz profil lub usuniesz urządzenie z grupy, do której przypisano profil, profil i ustawienia zostaną usunięte z urządzenia. W szczególności są one usuwane zgodnie z opisem na poniższej liście:
Profile sieci Wi-Fi, sieci VPN, certyfikatu i poczty e-mail: te profile są usuwane ze wszystkich obsługiwanych zarejestrowanych urządzeń.
Wszystkie inne typy profilów:
Urządzenia z systemem Android: ustawienia nie są usuwane z urządzenia.
System iOS/iPadOS: wszystkie ustawienia są usuwane, z wyjątkiem:
- Zezwalaj na roaming połączeń głosowych
- Zezwalaj na roaming danych
- Zezwalaj na automatyczną synchronizację podczas roamingu
Urządzenia z systemem Windows: po usunięciu lub cofnięciu przypisania profilu poproś użytkownika aplikacji Microsoft Entra o zalogowanie się do urządzenia i zsynchronizowanie z usługą Intune.
Ustawienia usługi Intune są oparte na dostawcy usług konfiguracji systemu Windows (CSP). Zachowanie zależy od dostawcy rozwiązań w chmurze (CSP). Niektórzy dostawcy CSP usuwają to ustawienie, a niektórzy dostawcy CSP zachowują to ustawienie, nazywane również tatuażem.
Profil dotyczy grupy użytkowników. Później użytkownik zostanie usunięty z grupy. Aby ustawienia zostały usunięte z tego użytkownika, może upłynąć do 7 godzin lub więcej dla:
- Profilu do usunięcia z przypisania zasad w centrum administracyjnym usługi Intune
- Urządzenie do synchronizacji z obiektem usługi Intune przy użyciu cyklu odświeżania zasad specyficznych dla platformy (w tym artykule)
Profil ograniczeń urządzenia został zmieniony, ale zmiany nie zostały wprowadzone
Aby zastosować mniej restrykcyjny profil, niektóre urządzenia mogą wymagać wycofania i ponownego zarejestrowania w usłudze Intune. Może być na przykład konieczne wycofanie i ponowne zarejestrowanie urządzeń klienckich z systemami Android, iOS/iPadOS i Windows.
Niektóre ustawienia w profilu systemu Windows 10/11 zwracają wartość „Nie dotyczy”
Niektóre ustawienia na urządzeniach klienckich z systemem Windows mogą być wyświetlane jako Nie dotyczy. W takiej sytuacji to konkretne ustawienie nie jest obsługiwane w wersji lub wydaniu systemu Windows uruchomionym na urządzeniu. Ten komunikat może wystąpić z następujących powodów:
- To ustawienie jest dostępne tylko dla nowszych wersji systemu Windows, a nie bieżącej wersji systemu operacyjnego na urządzeniu.
- To ustawienie jest dostępne tylko dla określonych wersji systemu Windows lub określonych jednostek SKU, takich jak Home, Professional, Enterprise i Education.
Aby dowiedzieć się więcej o wymaganiach dotyczących wersji i wydania dla różnych ustawień, zobacz dokumentację dostawcy usług konfiguracji (CSP).
Podczas rejestrowania urządzeń występuje opóźnienie w stosowaniu aplikacji i zasad przypisanych do dynamicznych grup urządzeń
Podczas rejestracji można używać dynamicznych grup urządzeń usługi Microsoft Entra. Można na przykład utworzyć dynamiczną grupę urządzeń na podstawie nazwy urządzenia lub profilu rejestracji.
Profil rejestracji jest stosowany do rekordu urządzenia podczas początkowej konfiguracji urządzenia. Dynamiczne grupowanie w usłudze Microsoft Entra nie jest natychmiastowe. Urządzenie może nie znajdować się w grupie dynamicznej przez pewien czas, być może od minut do godzin, w zależności od innych zmian wprowadzonych w dzierżawie.
Jeśli urządzenie nie zostanie dodane do grupy, Twoje aplikacje i zasady nie zostaną przypisane do urządzenia podczas początkowej kontroli usługi Intune. Zasady mogą nie być stosowane do czasu następnej zaplanowanej kontroli.
Jeśli szybkie dostarczanie aplikacji i zasad jest ważne dla scenariusza konfiguracji/rejestracji, przypisz aplikacje i zasady do grup użytkowników, a nie do dynamicznych grup urządzeń. Grupy użytkowników są wstępnie wypełniane elementami członkowskimi przed konfiguracją urządzenia i nie mają tego opóźnienia.
Aby uzyskać więcej informacji na temat grup dynamicznych, przejdź do:
- Dodawanie grup w celu organizowania użytkowników i urządzeń w usłudze Intune
- Zalecenia dotyczące wydajności podczas używania usługi Intune do grupowania, określania wartości docelowej i filtrowania
- Reguły członkostwa dynamicznego dla grup w Tożsamości Microsoft Entra
Błąd "Nie można zainicjować synchronizacji (0x80072f9a)"
Na urządzeniach z systemem Windows podczas próby synchronizacji w aplikacji >UstawieniaKonta>Dostęp do pracy lub szkoły może zostać wyświetlony The sync could not be initiated (0x80072f9a) błąd.
Jeśli moduł TPM (Trusted Platform Module) został zresetowany do ustawień fabrycznych, urządzenie musi zostać ponownie zarejestrowane w celu wznowienia synchronizacji. Tożsamość Microsoft Entra urządzenia jest przechowywana w programie TPM. Dlatego jeśli identyfikator zostanie usunięty, ponowna rejestracja jest jedynym sposobem przywrócenia tożsamości Microsoft Entra.
Artykuły pokrewne
- Rozwiązywanie problemów z zasadami i profilami.
- Potrzebujesz dodatkowej pomocy? Zobacz Jak uzyskać pomoc techniczną w usłudze Microsoft Intune.