Распространенные вопросы, ответы и сценарии с политиками и профилями в Microsoft Intune.
Важно!
22 октября 2022 г. Microsoft Intune прекратила поддержку устройств под управлением Windows 8.1. Техническая помощь и автоматические обновления на этих устройствах недоступны.
Если в настоящее время вы используете Windows 8.1, перейдите на устройства Windows 10/11. В Microsoft Intune есть встроенные функции безопасности и устройств, которые управляют клиентскими устройствами Windows 10/11.
Получите ответы на часто задаваемые вопросы при работе с профилями и политиками устройств в Intune. В этой статье также приводятся интервалы времени между сеансами связи, предоставляются дополнительные сведения о конфликтах и многое другое.
Эта статья применяется к следующим политикам:
- Политики защиты приложений
- Политики конфигурации приложений
- Политики соответствия
- Политики условного доступа
- Профили конфигурации устройства
- Политики регистрации
Интервалы обновления политики
Intune уведомляет устройство о необходимости регистрации с помощью службы Intune. Время уведомления варьируется, включая даже мгновенное уведомление в течение нескольких часов. Время уведомления также зависит от платформы. На устройствах Android мобильные службы Google (GMS) могут влиять на интервалы обновления политики.
Если устройство не подключается к службе для получения политики или к профилю после первого уведомления, Intune предпринимает еще три попытки. Устройство, находящееся в автономном режиме (например, выключено или не подключено к сети), не сможет получать уведомления. В этом случае устройство получает политику или профиль при следующем запланированном сеансе связи со службой Intune. То же самое относится к проверкам несоответствия, включая устройства, которые переходят из состояния соответствия в состояние несоответствия.
Примерная частота:
Платформа | Цикл обновления |
---|---|
Android, AOSP | Примерно каждые 8 часов |
iOS/iPadOS | Примерно каждые 8 часов |
macOS | Примерно каждые 8 часов |
Компьютеры с Windows 10/11, зарегистрированные как устройства | Примерно каждые 8 часов |
Windows 8.1 | Примерно каждые 8 часов |
Если устройства зарегистрированы недавно, проверка соответствия, несоответствия и конфигурации выполняется чаще. то есть примерно с приведенным ниже интервалом.
Платформа | Частота |
---|---|
Android, AOSP | Каждые 3 минуты в течение 15 минут, затем каждые 15 минут в течение 2 часов, а затем примерно каждые 8 часов |
iOS/iPadOS | Каждые 15 минут в течение 1 часа, затем примерно каждые 8 часов |
macOS | Каждые 15 минут в течение 1 часа, затем примерно каждые 8 часов |
Компьютеры с Windows 10/11, зарегистрированные как устройства | Каждые 3 минуты в течение 15 минут, затем каждые 15 минут в течение 2 часов, а затем примерно каждые 8 часов |
Windows 8.1 | Каждые 5 минут в течение 15 минут, затем каждые 15 минут в течение 2 часов, затем примерно каждые 8 часов |
Сведения о интервалах обновления политики защиты приложений см. в разделе Время доставки политики защиты приложений.
В любое время пользователи могут открыть приложение "Корпоративный портал", Устройства>Проверить состояние или Параметры>Синхронизация, чтобы немедленно проверить наличие обновлений политик или профилей. Подробнее об агенте расширения управления Intune и приложениях Win32 см. в статье Управление приложениями Win32 в Microsoft Intune.
Действия Intune, которые немедленно отправляют уведомление на устройство
Активировать отправку уведомления могут различные действия. Например, когда для политики, профиля или приложения выполняется назначение (или отмена назначения), обновление, удаление и так далее. Время выполнения этих действий варьируется в зависимости от платформы.
Устройства обращаются к Intune, когда получают соответствующее уведомление или в соответствии с расписанием. Если вы хотите применить к устройству или пользователю действие, Intune сразу отправляет устройству уведомление о том, что ему следует выполнить синхронизацию для получения этих обновлений. Таким действием может быть блокировка, сброс секретного кода, назначение приложения или политики.
Другие изменения не вызывают немедленного уведомления устройств, включая изменение контактных данных в приложении корпоративного портала или обновление файла .ipa
.
Параметры политики или профиля применяются при каждой синхронизации. Клиентская запись блога обновления политики MDM Windows 10 может быть хорошим ресурсом.
Conflicts
Конфликты могут возникать, когда разные политики обновляют один и тот же параметр до разных значений. Например, у вас есть две политики, которые обновляют параметр копирования и вставки до разных значений. Конфликт обрабатывается по-разному в зависимости от типа политики.
Если вы используете Microsoft Copilot в Intune, Copilot может помочь в разрешении конфликтов. Дополнительные сведения см. в статье Управление политиками и параметрами в Copilot в Intune.
Вы также можете использовать Microsoft Copilot в Intune, чтобы получить дополнительные сведения о политиках и параметрах, настроенных в политиках.
Конфликтующие политики защиты приложений
Значения конфликтов — это наиболее ограничительные параметры, доступные в политике защиты приложений. Исключение составляют поля с числовыми значениями, например число попыток ввода ПИН-кода перед сбросом. Значения в таких полях задаются, как если бы вы создали политику MAM с помощью рекомендуемых параметров.
Конфликты возникают, когда два параметра профиля совпадают. Например, вы настроили две политики MAM, которые идентичны, за исключением параметра копирования и вставки. В этом сценарии для параметра копирования/вставки задано наиболее ограничительное значение. Остальные параметры применяются в соответствии с настройками.
Политика развернута для приложения и вступает в силу. Развертывается вторая политика. В этом случае первая политика имеет более высокий приоритет и по-прежнему применяется. Вторая политика считается конфликтующей. Если же обе политики применяются одновременно, т. е. предыдущей политики нет, они обе будут конфликтующими. Поэтому для всех конфликтующих параметров задаются наиболее строгие значения.
Политики соответствия требованиям и конфигурации устройств, которые конфликтуют
Если для одного пользователя или устройства назначено несколько политик, применяемый параметр определяется на уровне отдельных параметров:
Если вы используете политики соответствия для оценки параметров устройства, параметры в политике соответствия имеют приоритет над тем же параметром в политиках конфигурации устройств. Параметры политики соответствия требованиям всегда имеют приоритет над параметрами профиля конфигурации.
При сравнении аналогичных параметров разных политик соответствия требованиям применяется наиболее строгий из них.
Если параметр политики конфигурации конфликтует с параметром в другой политике конфигурации, этот конфликт отображается в Intune. Разрешите конфликты вручную.
В центре администрирования Intune есть несколько мест, где можно создавать политики конфигурации, в том числе аналитика групповых политик, безопасность конечных точек, базовые показатели безопасности и т. д. Если возникает конфликт и у вас есть несколько политик, проверьте все настроенные политики. Кроме того, при конфликтах могут помочь встроенные функции создания отчетов. Подробнее о доступных отчетах см. в разделе Отчеты Intune.
Настраиваемые политики iOS,iPadOS или macOS, которые конфликтуют
Intune не оценивает полезные данные файлов конфигурации Apple или настраиваемой политики универсального кода ресурса Open Mobile Alliance (OMA-URI), а просто служит механизмом доставки.
При назначении настраиваемой политики убедитесь, что настроенные параметры не конфликтуют с политиками соответствия требованиям, конфигурации и другими настраиваемыми политиками. Если пользовательская политика и ее параметры конфликтуют, Apple применяет параметры случайным образом.
При конфликтах также могут помочь встроенные функции создания отчетов. Подробнее о доступных отчетах см. в разделе Отчеты Intune.
Профиль удален или больше не применяется
При удалении профиля или удалении устройства из группы, которой назначен профиль, профиль и параметры удаляются с устройства. Удаление выполняется в соответствии со следующим списком:
Профили Wi-Fi, VPN, сертификатов и электронной почты. Эти профили будут удалены из всех поддерживаемых устройств.
Остальные типы профилей:
Устройства Android. Параметры не удаляются с устройства.
iOS/iPadOS. Удаляются все параметры, за исключением указанных далее.
- Разрешить голосовой роуминг
- Разрешить передачу данных в роуминге
- Разрешить автоматическую синхронизацию в роуминге
Устройства с Windows. После удаления или отмены назначения профиля пользователь Microsoft Entra должен войти на устройство и синхронизировать его со службой Intune.
Параметры Intune основаны на поставщике службы конфигурации (CSP) Windows. Их поведение зависит от поставщика. Некоторые поставщики удаляют параметр, а некоторые сохраняют (также называется "татуированием").
Профиль применяется к группе пользователей. Позже пользователь удаляется из группы. При удалении параметров для этого пользователя следующие операции могут занять до 7 часов или даже более:
- Удаление профиля из назначения политики в Центре администрирования Intune
- Синхронизация устройства с объектом Intune с помощью цикла обновления политики для конкретной платформы (в этой статье)
Мне удалось изменить профиль ограничения устройства, но изменения не вступили в силу
Чтобы применить менее ограничительный профиль, некоторые устройства нужно снять с учета и повторно зарегистрировать в Intune. Например, снятие с учета и повторная регистрация могут потребоваться для клиентских устройств с Android, iOS/iPadOS и Windows.
Некоторые параметры в профиле Windows 10/11 возвращают ошибку "Неприменимо"
Для некоторых параметров на клиентских устройствах Windows может отображаться Неприменимо. В этом случае конкретный параметр не поддерживается в версии или выпуске Windows на устройстве. Это сообщение может появиться по любой из следующих причин.
- Параметр доступен только для более новых версий Windows, но не текущей версии операционной системы на устройстве.
- Параметр доступен только для определенных выпусков Windows или конкретных SKU, например Домашняя, Профессиональная, Корпоративная и для образовательных учреждений.
Дополнительные сведения о версиях и требованиях к версии для различных параметров см. в разделе Справочник по поставщику службы конфигурации (CSP).
При регистрации устройств возникает задержка в применении приложений и политик, назначенных динамическим группам устройств.
Во время регистрации можно использовать динамические группы устройств Microsoft Entra. Например, можно создать динамическую группу устройств на основе имени устройства или профиля регистрации.
Профиль регистрации применяется к записи устройства во время начальной настройки устройства. Динамическое группирование Microsoft Entra не происходит мгновенно. Устройство может не находиться в динамической группе в течение некоторого времени, возможно, от нескольких минут до нескольких часов, в зависимости от других изменений, внесенных в ваш клиент.
Если устройство не добавлено в группу, приложения и политики не назначаются устройству во время первоначальной регистрации Intune. Политики могут не применяться до следующей запланированной регистрации.
Если для вашего сценария установки и регистрации важна быстрая доставка приложений и политик, назначьте приложения и политики группам пользователей, а не динамическим группам устройств. Группы пользователей предварительно заполняются членами перед настройкой устройства и не имеют этой задержки.
Дополнительные сведения о динамических группах см. в следующих статьях:
- Добавление групп для организации пользователей и устройств в Intune
- Рекомендации по производительности при использовании Intune для группирования, назначения и фильтрации
- Правила динамического членства для групп в Microsoft Entra ID
Ошибка "Не удалось инициировать синхронизацию (0x80072f9a)"
На устройствах с Windows при попытке синхронизации в приложении >ПараметрыУчетные> записиДоступ к рабочей или учебной среде может возникнуть The sync could not be initiated (0x80072f9a)
ошибка.
Если доверенный платформенный модуль (TPM) был сброшен до заводских настроек, устройство должно быть повторно зарегистрировано, чтобы возобновить синхронизацию. Удостоверение Microsoft Entra устройства хранится в TPM. Таким образом, если идентификатор удален, то повторная регистрация является единственным способом восстановления Microsoft Entra удостоверения.
Связанные статьи
- Устранение неполадок политик и профилей.
- Нужна дополнительная помощь? См. статью Как получить поддержку в Microsoft Intune.