Dela via

Vanliga frågor, svar och scenarier med principer och profiler i Microsoft Intune

  • Artikel

Viktigt

Den 22 oktober 2022 upphörde Microsoft Intune stödet för enheter som kör Windows 8.1. Teknisk hjälp och automatiska uppdateringar på dessa enheter är inte tillgängliga.

Om du för närvarande använder Windows 8.1 går du till Windows 10/11-enheter. Microsoft Intune har inbyggda säkerhets- och enhetsfunktioner som hanterar Windows 10/11-klientenheter.

Få svar på vanliga frågor när du arbetar med principer i Intune. I den här artikeln visas även tidsintervallen för incheckning, mer information om konflikter och mycket mer.

Den här artikeln gäller för följande principer:

  • Appskyddsprinciper
  • Appkonfigurationsprinciper
  • Kompatibilitetsprinciper
  • Principer för villkorsstyrd åtkomst
  • Enhetskonfigurationsprofiler
  • Registreringsprinciper

Intervall för principuppdatering

När en enhet checkar in söker den omedelbart efter kompatibilitet, inkompatibilitet och konfiguration för den aktuella användar-/enhetskontexten och tar emot eventuella väntande åtgärder, principer och appar som tilldelats den.

Det finns 4 huvudsakliga typer av incheckningar:

Schemalagda incheckningar – Dessa incheckningar sker med förutbestämda intervall och kan initieras av klienten eller tjänsten beroende på plattformen. Incheckningarna beräknas enligt följande:

Plattform Uppskattad uppdateringscykel
Android, AOSP Ungefär var 8:e timme
iOS/iPadOS Ungefär var 8:e timme
macOS Ungefär var 8:e timme
Windows 10/11-datorer som registrerats som enheter Ungefär var 8:e timme

Slutanvändardrivna incheckningar – Dessa incheckningar drivs av slutanvändare när de utför vissa åtgärder i Företagsportal-appen, t.ex. genom att gå till Enheter>Kontrollera status eller Inställningar>Synkronisera för att söka efter princip- eller profiluppdateringar eller välja en app för nedladdning.

Admin incheckningar – Dessa incheckningar styrs av administratörer när de utför vissa åtgärder på en enda enhet från Intune-portalen, till exempel enhetssynkronisering, fjärrlåsning eller återställning av lösenord. Andra åtgärder som fjärrhjälp till användare orsakar inte en enhetsincheckning.

Meddelandebaserade incheckningar – Dessa incheckningar sker via olika åtgärder som utlöser ett meddelande. Till exempel när en princip, profil eller app tilldelas (eller inte tilldelas), uppdateras, tas bort eller när vissa ändringar i bakgrunden som Microsoft Entra uppdateringar av gruppmedlemskap görs. Andra ändringar orsakar inte ett omedelbart meddelande till enheter, som att lägga till en app som är tillgänglig för dina användare.

Intune meddelar onlineenheter att de ska checka in med Intune-tjänsten. Aviseringstiderna varierar från omedelbart upp till några timmar. Dessa meddelandetider varierar också mellan plattformar.

En offlineenhet, till exempel en avstängd eller frånkopplad enhet, kanske inte får meddelandena. I det här fallet hämtar enheten principen eller profilen vid nästa schemalagda incheckning med Intune.

Obs!

Det kan ta ytterligare tid för Intune rapporter att återspegla den senaste statusen för principen på enheten i Intune-portalen.

När enheterna först registreras körs dessutom konfigurationskontroller oftare för att utföra konfigurations-, efterlevnads- och inkompatibilitetskontroller. Incheckningarna beräknas enligt följande:

Plattform Uppskattad uppdateringscykel
Android, AOSP Var 3:e minut i 15 minuter, sedan var 15:e minut i 2 timmar och sedan runt var 8:e timme
iOS/iPadOS Var 15:e minut i 1 timme och sedan runt var 8:e timme
macOS Var 15:e minut i 1 timme och sedan runt var 8:e timme
Windows 10/11-datorer som registrerats som enheter Var 3:e minut i 15 minuter, sedan var 15:e minut i 2 timmar och sedan runt var 8:e timme

För uppdateringsintervall för appskyddsprinciper går du till Leveranstid för appskyddsprincip.

Företagsportal

När som helst kan användarna öppna Företagsportal-appen och navigera till Enheter>Kontrollera status för att utvärdera enhetens inställningar och verifiera åtkomsten till arbets- eller skolresurser eller gå till Inställningar>Synkronisera för att få de senaste uppdateringarna, kraven och kommunikationen från din organisation.

Relaterad information om Intune-hanteringstilläggsagenten eller Win32-appar finns i Win32-apphantering i Microsoft Intune.

Relaterad information finns i Synkronisera registrerade enheter för Windows och Kontrollera enhetsåtkomst i Företagsportal för Windows.

Konflikter

Konflikter kan uppstå när olika principer uppdaterar samma inställning till olika värden. Du har till exempel två principer som uppdaterar kopierings-/inklistringsinställningen till olika värden. Konflikten hanteras på olika sätt beroende på typen av princip.

Om du använder Microsoft Copilot i Intune kan Copilot hjälpa dig att lösa konflikter. Mer information finns i Princip- och inställningshantering i Copilot i Intune.

Du kan också använda Microsoft Copilot i Intune för att få mer information om dina principer och de inställningar som konfigurerats i dina principer.

Appskyddsprinciper som är i konflikt

Konfliktvärden är de mest restriktiva inställningarna som är tillgängliga i en appskyddsprincip. Undantaget är numeriska postfält, till exempel PIN-försök före återställning. Numeriska postfält anges på samma sätt som värdena, som om du skapade en MAM-princip med hjälp av det rekommenderade inställningsalternativet.

Konflikter uppstår när två profilinställningar är desamma. Du har till exempel konfigurerat två MAM-principer som är identiska förutom inställningen kopiera/klistra in. I det här scenariot är inställningen kopiera/klistra in inställd på det mest restriktiva värdet. Resten av inställningarna gäller som konfigurerade.

En princip distribueras till appen och börjar gälla. En andra princip distribueras. I det här scenariot har den första principen företräde och förblir tillämpad. Den andra principen visar en konflikt. Om båda tillämpas samtidigt, vilket innebär att det inte finns någon föregående princip, är båda i konflikt. Alla motstridiga inställningar är inställda på de mest restriktiva värdena.

Efterlevnads- och enhetskonfigurationsprinciper som är i konflikt

När två eller flera principer tilldelas till samma användare eller enhet sker inställningen som gäller på den enskilda inställningsnivån:

  • Om du använder efterlevnadsprinciper för att utvärdera enhetsinställningar har inställningarna i efterlevnadsprincipen företräde framför samma inställning i enhetskonfigurationsprinciperna. Inställningar för efterlevnadsprinciper har alltid företräde framför konfigurationsprofilinställningar.

  • Om en efterlevnadsprincip utvärderas mot samma inställning i en annan efterlevnadsprincip gäller den mest restriktiva inställningen för efterlevnadsprinciper.

  • Om en konfigurationsprincipinställning står i konflikt med en inställning i en annan konfigurationsprincip visas den här konflikten i Intune. Lös dessa konflikter manuellt.

I Administrationscenter för Intune finns det några platser där du kan skapa konfigurationsprinciper, inklusive grupprincipanalys, slutpunktssäkerhet, säkerhetsbaslinjer med mera. Om det finns en konflikt och du har flera principer kontrollerar du alla platser där du har konfigurerat principer. Dessutom kan de inbyggda rapporteringsfunktionerna hjälpa till med konflikter. Mer information om tillgängliga rapporter finns i Intune-rapporter.

Anpassade iOS/iPadOS- eller macOS-principer som är i konflikt

Intune utvärderar inte nyttolasten för Apple Configuration-filer eller en anpassad OMA-URI-princip (Open Mobile Alliance Uniform Resource Identifier). Det fungerar bara som leveransmekanism.

När du tilldelar en anpassad princip kontrollerar du att de konfigurerade inställningarna inte är i konflikt med efterlevnad, konfiguration eller andra anpassade principer. Om en anpassad princip och dess inställningar är i konflikt tillämpar Apple inställningarna slumpmässigt.

De inbyggda rapporteringsfunktionerna kan hjälpa till med konflikter. Mer information om tillgängliga rapporter finns i Intune-rapporter.

En profil tas bort eller är inte längre tillämplig

När du tar bort en profil eller tar bort en enhet från en grupp som har tilldelats profilen tas profilen och inställningarna bort från enheten. Mer specifikt tas de bort enligt beskrivningen i följande lista:

  • Wi-Fi-, VPN-, certifikat- och e-postprofiler: Dessa profiler tas bort från alla registrerade enheter som stöds.

  • Alla andra profiltyper:

    • Android-enheter: Inställningar tas inte bort från enheten.

    • iOS/iPadOS: Alla inställningar tas bort, förutom:

      • Tillåt röstroaming
      • Tillåt dataroaming
      • Tillåt automatisk synkronisering vid roaming

    • Windows-enheter: När du har tagit bort eller tagit bort profilen måste Microsoft Entra-användaren logga in på enheten och synkronisera med Intune-tjänsten.

      Intune-inställningarna baseras på Windows-konfigurationstjänstprovidern (CSP:er). Beteendet beror på CSP:en. Vissa CSP:er tar bort inställningen och vissa CSP:er behåller inställningen, även kallad tattooing.

  • En profil gäller för en användargrupp. Senare tas en användare bort från gruppen. För att inställningarna ska tas bort från den användaren kan det ta upp till 7 timmar eller mer för:

Jag har ändrat en enhetsbegränsningsprofil, men ändringarna har inte verkställts

Om du vill använda en mindre restriktiv profil kan vissa enheter behöva dras tillbaka och omregistreras i Intune. Du kan till exempel behöva dra tillbaka och omregistrera Android-, iOS/iPadOS- och Windows-klientenheter.

Vissa inställningar i en Windows 10/11-profil returnerar "Ej tillämpligt"

Vissa inställningar på Windows-klientenheter kan visas som Ej tillämpligt. När den här situationen inträffar stöds inte den specifika inställningen på den Windows-version eller -utgåva som körs på enheten. Det här meddelandet kan inträffa av följande skäl:

  • Inställningen är endast tillgänglig för nyare versioner av Windows och inte den aktuella versionen av operativsystemet på enheten.
  • Inställningen är endast tillgänglig för specifika Windows-utgåvor eller specifika SKU:er, till exempel Home, Professional, Enterprise och Education.

Mer information om krav för version och utgåva för de olika inställningarna finns i CSP-referensen (Configuration Service Provider).

När enheter registreras uppstår en fördröjning i tillämpningen av appar och principer som tilldelats dynamiska enhetsgrupper

Under registreringen kan du använda dynamiska Enhetsgrupper i Microsoft Entra. Du kan till exempel skapa en dynamisk enhetsgrupp baserat på en enhets namn eller registreringsprofil.

Registreringsprofilen tillämpas på enhetsposten under den första enhetskonfigurationen. Dynamisk gruppering i Microsoft Entra är inte omedelbar. Enheten kanske inte finns i den dynamiska gruppen under en viss tid, möjligen minuter till timmar beroende på andra ändringar som görs i din klientorganisation.

Om enheten inte läggs till i gruppen tilldelas inte dina appar och principer till enheten under den första Intune-incheckningen. Principerna kanske inte gäller förrän vid nästa schemalagda incheckning.

Om snabb leverans av appar och principer är viktigt för ditt installations-/registreringsscenario tilldelar du dina appar och principer till användargrupper, inte dynamiska enhetsgrupper. Användargrupper fylls i förväg med medlemmar före enhetskonfigurationen och har inte den här fördröjningen.

Mer information om dynamiska grupper finns i:

Felet "Det gick inte att initiera synkroniseringen (0x80072f9a)"

När du försöker synkronisera i inställningsappen>Konton>Åtkomst till arbete eller skola på Windows-enheter kan det uppstå ett The sync could not be initiated (0x80072f9a) fel.

Om TPM (Trusted Platform Module) återställdes till fabriksinställningarna måste enheten registreras på nytt för att synkroniseringen ska återupptas. Enhetens Microsoft Entra identitet lagras i TPM. Så om ID:t tas bort är omregistrering det enda sättet att återupprätta den Microsoft Entra identiteten.