通过

Microsoft Intune中有关策略和配置文件的常见问题、答案和方案

  • 项目

重要

2022 年 10 月 22 日,Microsoft Intune 终止了对运行 Windows 8.1 的设备的支持。 这些设备上的技术协助和自动更新不可用。

如果当前使用 Windows 8.1,请移动到 Windows 10/11 设备。 Microsoft Intune具有管理 Windows 10/11 客户端设备的内置安全和设备功能。

获取在 Intune 中使用策略时的常见问题的解答。 此外,本文还列出了签入时间间隔,详细说明了冲突等。

本文适用于以下策略:

  • 应用保护策略
  • 应用配置策略
  • 合规性策略
  • 条件访问策略
  • 设备配置文件
  • 注册策略

策略刷新间隔

当设备签入时,它会立即检查当前用户/设备上下文的合规性、不合规和配置,并接收分配给它的任何挂起操作、策略和应用。

检查有 4 种main类型:

计划检查 - 这些检查按预定的间隔发生,可由客户端或服务启动,具体取决于平台。 检查估计如下:

平台 估计刷新周期
Android, AOSP 大约每 8 小时
iOS/iPadOS 大约每 8 小时
macOS 大约每 8 小时
Windows 10/11 台注册为设备的电脑 大约每 8 小时

最终用户驱动的检查 - 这些检查由最终用户在公司门户应用中执行某些操作时驱动,例如进入“设备>检查状态”“设置同步”>以检查策略或配置文件更新或选择要下载的应用。

管理员 检查 - 当管理员从Intune门户在单个设备上执行某些操作(例如设备同步远程锁定重置密码)时,这些检查由管理员驱动。 远程协助用户等其他操作不会导致设备检查。

基于通知的检查 - 这些检查通过触发通知的不同操作发生。 例如,当策略、配置文件或应用被分配 (或未分配) 、更新、删除时,或者当某些幕后更改(如Microsoft Entra组成员身份更新)时。 其他更改不会立即通知设备,例如添加可供用户使用的应用。

Intune通知联机设备使用Intune服务检查。 通知时间从即时到几个小时不等。 这些通知时间在平台之间也有所不同。

脱机设备(如关机或断开连接的设备)可能不会收到通知。 在这种情况下,设备在其下一个计划检查获取策略或配置文件,并Intune。

注意

Intune报告可能需要更多时间才能在Intune门户中反映设备上策略的最新状态。

此外,当设备首次注册时,配置检查会更频繁地运行以执行配置、合规性和不合规检查。 检查估计如下:

平台 估计刷新周期
Android, AOSP 15 分钟内每 3 分钟一次,接下来的 2 小时内每 15 分钟一次,之后每 8 小时一次
iOS/iPadOS 1 小时内每 15 分钟一次,之后每 8 小时一次
macOS 1 小时内每 15 分钟一次,之后每 8 小时一次
Windows 10/11 台注册为设备的电脑 15 分钟内每 3 分钟一次,接下来的 2 小时内每 15 分钟一次,之后每 8 小时一次

有关应用保护策略刷新间隔,请转到 应用保护策略传递计时

公司门户

用户可以随时打开公司门户应用并导航到“设备>检查状态”,以评估设备的设置并验证对工作或学校资源的访问权限,或者导航到“设置同步”>以获取组织的最新更新、要求和通信。

有关 Intune 管理区代理或 Win32 应用的相关信息,请参阅 Microsoft Intune 中的 Win32 应用管理

有关相关信息,请参阅同步注册的 Windows 设备和在 公司门户 for Windows 中检查设备访问权限

冲突

当不同的策略将同一设置更新为不同的值时,可能会发生冲突。 例如,你有两个策略将复制/粘贴设置更新为不同的值。 冲突的处理方式因策略类型而异。

如果在 Intune 中使用 Microsoft Copilot,则 Copilot 可以帮助你解决冲突。 有关详细信息,请转到 Intune 中的 Copilot 中的策略和设置管理

还可以在 Intune 中使用 Microsoft Copilot 获取有关策略和策略中配置的设置的详细信息。

应用保护冲突的策略

冲突值是应用保护策略中最严格的设置。 例外情况是数字输入字段,例如重置前的 PIN 尝试。 数值输入字段的设置与值相同,就像使用建议的设置选项创建 MAM 策略一样。

两个配置文件设置相同时即会发生冲突。 例如,除复制/粘贴设置外,你配置了两个完全相同的 MAM 策略。 在此方案中,复制/粘贴设置设置为限制性最强的值。 其余设置按配置应用。

将一个策略部署到应用,并应用它。 部署第二个策略。 在此场景中,第一个策略优先,并始终应用。 第二个策略将显示冲突。 如果同时应用两个策略,即它们的优先级一样,则两个都会显示冲突。 任何冲突的设置都将设定为限制最严格的值。

冲突的合规性和设备配置策略

将两个或更多策略分配给同一用户或设备时,将在单个设置级别应用设置:

  • 如果使用合规性策略评估设备设置,则合规性策略中的设置优先于设备配置策略中的相同设置。 合规性策略设置始终优先于配置的配置文件设置。

  • 如果某个符合性策略针对不同符合性策略中的相同设置进行评估,则应用限制最严格的符合性策略设置。

  • 如果配置策略设置与其他配置策略设置冲突,此冲突会显示在 Intune 中。 手动解决这些冲突。

在Intune管理中心,有一些地方可以创建配置策略,包括组策略分析、终结点安全性、安全基线等。 如果存在冲突并且有多个策略,则检查配置策略的所有位置。 此外,内置报告功能可帮助解决冲突。 有关可用报表的详细信息,请转到 Intune 报表

冲突的自定义 iOS/iPadOS 或 macOS 策略

Intune 不会评估 Apple 配置文件或自定义开放移动联盟统一资源标识符 (OMA-URI) 策略的负载。 它只作为传送机制。

分配自定义策略时,请确认配置的设置不会与符合性、配置或其他自定义策略冲突。 如果自定义策略及其设置冲突,Apple 会随机应用这些设置。

内置报告功能可帮助解决冲突。 有关可用报表的详细信息,请转到 Intune 报表

配置文件已删除或不再适用

删除配置文件或从分配了配置文件的组中删除设备时,将从设备中删除配置文件和设置。 具体而言,它们将按以下列表中所述删除:

  • Wi-Fi、VPN、证书和电子邮件配置文件:这些配置文件会从所有支持的已注册设备中删除。

  • 所有其他配置文件类型:

    • Android 设备:不会从设备中删除设置。

    • iOS/iPadOS:删除所有设置,但不包括:

      • 允许语音漫游
      • 允许数据漫游
      • 允许漫游时自动同步

    • Windows 设备:删除或取消分配配置文件后,让Microsoft Entra用户登录到设备,并与Intune服务同步

      Intune 设置基于 Windows 配置服务提供程序 (CSP)。 此行为取决于 CSP。 有些 CSP 会删除此设置,某些 CSP 会保留该设置,也称为纹身。

  • 配置文件适用于用户组。 稍后,将从组中删除用户。 从该用户删除设置最多需要 7 个小时或更久:

我更改了设备限制配置文件,但更改尚未生效

若要应用限制较少的配置文件,某些设备可能需要停用并重新注册到Intune。 例如,可能需要停用并重新注册 Android、iOS/iPadOS 和 Windows 客户端设备。

Windows 10/11 配置文件中的某些设置返回 "不适用>

Windows 客户端设备上的某些设置可能显示为 “不适用”。 发生这种情况时,设备上运行的 Windows 的版本或版次不支持该特定设置。 出现此消息的可能原因如下:

  • 设置仅适用于较新版本的 Windows,而不适用于设备上的当前操作系统 (OS) 版本。
  • 设置仅适用于特定 Windows 版本或特定 SKU,如家庭版、专业版、企业版和教育版。

若要详细了解不同设置的版本要求,请参阅 配置服务提供程序 (CSP) 参考

设备注册时,应用分配给动态设备组的应用和策略会有延迟

在注册期间,可以使用Microsoft Entra动态设备组。 例如,可以根据设备的名称或注册配置文件创建动态设备组。

注册配置文件在初始设备设置期间应用于设备记录。 Microsoft Entra动态分组不是即时的。 设备可能在一段时间内不在动态组中,可能会有几分钟到几小时,具体取决于租户中所做的其他更改。

如果未将设备添加到组,则初始Intune 检查期间不会将应用和策略分配给设备。 策略可能要到下一个计划检查才适用。

如果快速交付应用和策略对设置/注册方案很重要,请将应用和策略分配给用户组,而不是将应用和策略分配给动态设备组。 在设备设置之前,用户组会预先填充成员,并且不会有此延迟。

有关动态组的详细信息,请转到:

“无法启动同步 (0x80072f9a) ”错误

在 Windows 设备上,尝试在“设置”应用中>同步帐户>访问工作或学校时,可能会看到错误The sync could not be initiated (0x80072f9a)

如果受信任的平台模块 (TPM) 重置为出厂设置,则必须重新注册设备才能恢复同步。 设备的Microsoft Entra标识存储在 TPM 中。 因此,如果删除了 ID,则重新注册是重新建立Microsoft Entra标识的唯一方法。