Partilhar via


Perguntas, respostas e cenários comuns com políticas e perfis no Microsoft Intune

Importante

Em 22 de outubro de 2022, o Microsoft Intune encerrou o suporte para dispositivos que executam o Windows 8.1. A assistência técnica e as atualizações automáticas para esses dispositivos não estão disponíveis.

Se utilizar atualmente Windows 8.1, mude para dispositivos Windows 10/11. O Microsoft Intune tem recursos internos de segurança e dispositivos que gerenciam dispositivos clientes Windows 10/11.

Obtenha respostas para perguntas comuns ao trabalhar com políticas no Intune. Este artigo também lista os intervalos de tempo de check-in, fornece mais detalhes sobre conflitos e muito mais.

Este artigo se aplica às seguintes políticas:

  • Políticas de proteção de aplicativos
  • Políticas de configuração do usuário
  • Políticas de conformidade
  • Políticas de acesso condicional
  • Perfis de configuração do dispositivo
  • Políticas de registro

Intervalos de atualização de políticas

O Intune notifica o dispositivo para fazer check-in no serviço do Intune. Os tempos de notificação variam, podendo ser imediatos ou até algumas horas. Esses tempos de notificação também variam de acordo com as plataformas. Em dispositivos Android, o Google Mobile Services (GMS) pode afetar os intervalos de atualização de políticas.

Se um dispositivo não fizer o check-in para obter a política ou o perfil após a primeira notificação, o Intune fará mais três tentativas. Um dispositivo offline, por exemplo, desligado ou não conectado a uma rede, pode não receber as notificações. Nesse caso, o dispositivo obtém a política ou o perfil no próximo check-in agendado no serviço do Intune. O mesmo se aplica a verificações de não conformidade, incluindo dispositivos que passam de um estado de conformidade para um estado de não conformidade.

Frequências estimadas:

Plataforma Ciclo de atualização
Android, AOSP Aproximadamente a cada oito horas
iOS/iPadOS Aproximadamente a cada oito horas
macOS Aproximadamente a cada oito horas
Computadores com Windows 10/11 registrados como dispositivos Aproximadamente a cada oito horas
Windows 8.1 Aproximadamente a cada oito horas

Se os dispositivos tiverem sido registrados recentemente, o check-in de conformidade, não conformidade e configuração será executado com mais frequência. Os check-ins são estimados em:

Plataforma Frequência
Android, AOSP A cada três minutos por 15 minutos e, depois, a cada 15 minutos por duas horas e, depois, a cada oito horas
iOS/iPadOS A cada 15 minutos por uma hora e, depois, a cada oito horas
macOS A cada 15 minutos por uma hora e, depois, a cada oito horas
Computadores com Windows 10/11 registrados como dispositivos A cada três minutos por 15 minutos e, depois, a cada 15 minutos por duas horas e, depois, a cada oito horas
Windows 8.1 A cada cinco minutos por 15 minutos e, depois, a cada 15 minutos por duas horas e, depois, a cada oito horas

Para os intervalos de atualização da política de proteção de aplicativos, vá para Tempo de entrega da Política de Proteção de Aplicativo.

A qualquer momento, os usuários podem abrir o aplicativo Portal da Empresa, Dispositivos>Verificar Status ou Configurações>Sincronização para verificar imediatamente se há atualizações de políticas ou perfis. Para obter informações relacionadas sobre o agente da Extensão de Gerenciamento do Intune ou aplicativos Win32, confira Gerenciamento de aplicativos Win32 no Microsoft Intune.

Ações do Intune que enviam imediatamente uma notificação a um dispositivo

Há ações diferentes que disparam uma notificação. Por exemplo, quando uma política, um perfil ou um aplicativo é atribuído (ou tem a atribuição cancelada), atualizado, excluído e assim por diante. Esses tempos de ação variam dependendo das plataformas.

Os dispositivos fazem o check-in no Intune quando recebem uma notificação ou durante o check-in agendado. Quando você direciona uma ação para um dispositivo ou usuário, o Intune notifica imediatamente o dispositivo para fazer check-in a fim de receber essas atualizações. Por exemplo, uma notificação ocorre quando uma ação de bloqueio, redefinição de senha, aplicativo ou atribuição de política é executada.

Outras alterações não causam uma notificação imediata aos dispositivos, incluindo a revisão das informações de contato no aplicativo Portal da Empresa ou atualizações em um arquivo .ipa.

As configurações na política ou perfil são aplicadas em cada check-in. Uma postagem no blog do cliente sobre a atualização de políticas do MDM do Windows 10 pode ser um bom recurso.

Conflitos

Podem ocorrer conflitos quando políticas diferentes atualizam a mesma configuração para valores diferentes. Por exemplo, você tem duas políticas que atualizam a configuração de cópia/colagem para valores diferentes. O conflito é tratado de forma diferente, dependendo do tipo de política.

Se você usar o Microsoft Copilot no Intune, o Copilot poderá ajudar você a resolver conflitos. Para obter mais informações, vá para Gerenciamento de políticas e configurações no Copilot no Intune.

Você também pode usar o Microsoft Copilot no Intune para obter mais informações sobre suas políticas e as configurações definidas em suas políticas.

Políticas de proteção de aplicativos que entram em conflito

Os valores referentes a conflitos são as configurações mais restritivas disponíveis em uma política de proteção de aplicativos. A exceção são os campos de entradas numéricas, como tentativas de digitar o PIN antes de uma reinicialização. Os campos de entradas numéricas são configurados da mesma forma que os valores, como se você tivesse criado uma política de MAM usando a opção “configurações recomendadas”.

Ocorrem conflitos quando duas configurações de perfil são iguais. Por exemplo, você configurou duas políticas de MAM idênticas, exceto pela configuração de copiar/colar. Nesse cenário, a configuração para cópia/colar é definida como o valor mais restritivo. As demais configurações se aplicam conforme o configurado.

Uma política é implantada para o aplicativo e entra em vigor. Uma segunda política é implantada. Nesse cenário, a primeira política tem precedência e continua sendo aplicada. A segunda política mostra um conflito. Se as duas são aplicadas ao mesmo tempo, o que significa que não há uma política anterior, as duas ficam em conflito. As configurações conflitantes são definidas para os valores mais restritivos.

Políticas de conformidade e configuração de dispositivos que entram em conflito

Quando duas ou mais políticas são atribuídas ao mesmo usuário ou dispositivo, a configuração que se aplica acontece no nível da configuração individual:

  • Se utilizar políticas de conformidade para avaliar as definições do dispositivo, as definições na política de conformidade têm precedência sobre a mesma definição nas políticas de configuração do dispositivo. As configurações da política de conformidade sempre têm precedência sobre as definições da configuração do perfil.

  • Se uma política de conformidade é avaliada em relação à mesma configuração em outra política de conformidade, a configuração de política de conformidade mais restritiva é aplicada.

  • Se a definição de uma política de configuração está em conflito com uma configuração em outra política de configuração, esse conflito é exibido no Intune. Resolva esses conflitos manualmente.

No centro de administração do Intune, há alguns locais em que você pode criar políticas de configuração, incluindo análise de Política de Grupo, segurança de ponto de extremidade, linhas de base de segurança e muito mais. Se houver um conflito e você tiver várias políticas, verifique todos os locais em que configurou as políticas. Além disso, os recursos de relatórios internos podem ajudar com os conflitos. Para obter mais informações sobre os relatórios disponíveis, acesse Relatórios do Intune.

Políticas personalizadas do iOS/iPadOS ou macOS que entram em conflito

O Intune não avalia o conteúdo dos arquivos de Configuração da Apple nem uma política personalizada de OMA-URI (Uniform Resource Identifier da Open Mobile Alliance). Ele simplesmente serve como o mecanismo de entrega.

Ao atribuir uma política personalizada, confirme se as configurações definidas não entram em conflito com as políticas de conformidade e de configuração ou com outras políticas personalizadas. Se uma política personalizada e suas configurações entrarem em conflito, a Apple aplicará as configurações aleatoriamente.

Os recursos de relatórios internos podem ajudar com os conflitos. Para obter mais informações sobre os relatórios disponíveis, acesse Relatórios do Intune.

Um perfil foi excluído ou não é mais aplicável

Quando você exclui um perfil ou remove um dispositivo de um grupo atribuído ao perfil, o perfil e as configurações são removidos do dispositivo. Especificamente, são removidos conforme descrito na lista a seguir:

  • Perfis de email, certificado, VPN e Wi-Fi: esses perfis são removidos de todos os dispositivos registrados com suporte.

  • Todos os outros tipos de perfil:

    • Dispositivos Android: As configurações não são removidas do dispositivo.

    • iOS/iPadOS: todas as configurações são removidas, exceto:

      • Permitir roaming de voz
      • Permitir roaming de dados
      • Permitir sincronização automática durante roaming
    • Dispositivos Windows: Depois de remover ou cancelar a atribuição do perfil, faça com que o usuário do Microsoft Entra entre no dispositivo e sincronize com o serviço Intune.

      As configurações do Intune se baseiam em CSPs (provedor de serviços de configuração) do Windows. O comportamento depende do CSP. Alguns CSPs removem a configuração, enquanto outros mantêm a configuração, também chamada de tattooing.

  • Um perfil se aplica a um grupo de usuários. Posteriormente, um usuário é removido do grupo. Para que as configurações sejam removidas desse usuário, pode levar até 7 horas ou mais para:

Alterei um perfil de restrição de dispositivo, mas as alterações não entraram em vigor

Para aplicar um perfil menos restritivo, alguns dispositivos talvez precisem ser desativados e registrados novamente no Intune. Por exemplo, talvez seja necessário desativar e registrar novamente os dispositivos clientes Android, iOS/iPadOS e Windows.

Algumas configurações em um perfil Windows 10/11 retornam "Não Aplicável"

Algumas configurações em dispositivos clientes Windows podem ser exibidas como Não Aplicáveis. Quando essa situação acontecer, a configuração específica não será compatível com a versão ou edição do Windows em execução no dispositivo. Essa mensagem pode ocorrer pelos seguintes motivos:

  • A configuração só está disponível para versões mais recentes do Windows, não para a versão atual de sistema operacional do dispositivo.
  • A configuração só está disponível para edições ou SKUs específicos do Windows, como Home, Professional, Enterprise e Education.

Para saber mais sobre os requisitos de versão e edição para as diferentes configurações, consulte a referência Provedor de Serviços de Configuração (CSP).

Quando os dispositivos se registram, há um atraso na aplicação de aplicativos e políticas atribuídos a grupos dinâmicos de dispositivos

Durante o registro, você pode usar grupos de dispositivos dinâmicos do Microsoft Entra. Por exemplo, você pode criar um grupo dinâmico de dispositivos com base no nome ou no perfil de registro de um dispositivo.

O perfil de inscrição é aplicado ao registro do dispositivo durante a configuração inicial do dispositivo. O agrupamento dinâmico do Microsoft Entra não é instantâneo. O dispositivo pode não estar no grupo dinâmico por algum tempo, possivelmente de minutos a horas, dependendo de outras alterações que estejam sendo feitas em seu locatário.

Se o dispositivo não for adicionado ao grupo, seus aplicativos e políticas não serão atribuídos ao dispositivo durante o check-in inicial do Intune. As políticas podem não ser aplicadas até o próximo check-in agendado.

Se a entrega rápida de aplicativos e políticas for importante para o seu cenário de configuração/registro, atribua seus aplicativos e políticas a grupos de usuários, não a grupos de dispositivos dinâmicos. Os grupos de usuários são preenchidos previamente com membros antes da configuração do dispositivo e não têm esse atraso.

Para obter mais informações sobre grupos dinâmicos, acesse:

Erro "Não foi possível iniciar a sincronização (0x80072f9a)"

Em dispositivos Windows, ao tentar sincronizar na aplicação >DefiniçõesContas>de Acesso profissional ou escolar, poderá ver um The sync could not be initiated (0x80072f9a) erro.

Se o Trusted Platform Module (TPM) tiver sido reposto para as definições de fábrica, o dispositivo terá de voltar a ser inscrito para retomar a sincronização. A identidade Microsoft Entra do dispositivo é armazenada no TPM. Por isso, se o ID for removido, a inscrição é a única forma de restabelecer a identidade Microsoft Entra.