监控 Microsoft Intune 中设备配置策略

Intune 包含一些功能，可帮助监视和管理设备配置策略。 例如，可以检查策略的状态、查看分配给策略的设备，并更新现有策略的属性。

还可以在 Intune 中使用 Microsoft Copilot 获取有关策略和策略中配置的设置的详细信息。

本文介绍如何检查现有设备配置策略的分配状态、进行更改、排查冲突以及如何将 Copilot 用于其中一些功能。

此功能适用于：

• Android
• iOS/iPadOS
• macOS
• Windows

查看现有策略

1. 登录到 Microsoft Intune 管理中心。
2. 选择“设备”>“管理设备”>“配置”>“策略”选项卡。

将显示所有策略。 你还会看到平台、策略类型以及是否分配了策略。

注意

有关设备配置策略的更深入报告信息，请转到 Intune 报表。

查看有关策略的详细信息

创建设备配置策略后，Intune 将提供报告数据。 这些报表显示策略的状态，例如，策略已成功分配给设备，或者策略显示冲突。

按策略

1. 在“设备>管理设备>配置>策略”选项卡中，选择现有策略。

2. 设备和用户签入状态会显示所有使用配置策略签入的用户或设备数。 如果一台设备有多个用户，则此报表会显示每个用户的状态。 当用户或设备使用 Intune 签入时，他们将收到策略中的设置。

   会显示以下状态：

   • 已完成：该策略已成功应用。
   • 错误：无法应用策略。 此消息通常与链接到错误说明的错误代码一起显示。
   • 冲突：两个设置都应用于同一设备，Intune 无法解决冲突。 管理员应进行审核。
   • 挂起：设备尚未签入 Intune，无法接收策略。
   • 不适用：设备无法接收策略。 例如，策略更新了 iOS 11.1 的特定设置，但设备使用的是 iOS 10。

3. 选择设备分配状态：

   

   此报表显示有关上次签入的用户的信息。 选择“生成报表”以查看接收策略的设备的最新策略分配状态。 还可以筛选分配状态，以仅查看错误、冲突等。

   设备中的数字和用户签入状态与设备分配状态报告不同是正常的。

4. 返回设备和用户签入状态，选择“按设置状态”：

   

   此报表显示策略中的各个设置及其状态。

5. 返回设备和用户签入状态，选择“查看报表”：

   

   视图报表显示分配给该特定设备配置策略的设备的详细信息，包括：

   • 接收策略的设备
   • 具有接收策略的设备的用户名
   • 签入状态以及用户/设备上次使用策略签入的时间

   还可以选择特定设备以获取更多详细信息，并使用筛选器列查看分配筛选器选项。

6. 返回设备和用户签入状态，可以查看和编辑特定策略的以下属性信息：

   • 基本信息：请参阅策略名称和说明。
   • 分配：查看接收策略的用户和组，并在策略中查看任何现有的筛选器。
   • 作用域标记：查看策略中使用的任何现有的作用域标记。
   • 配置设置：请参阅在策略中配置的设置。
   • 适用性规则：在 Windows 设备上，请转到策略中使用的适用性规则。

Copilot

1. 转到“设备>管理设备>配置>策略”选项卡 > 中，选择现有策略。

2. 选择“使用 Copilot 汇总”：

   

   摘要描述了策略的作用、分配给策略的用户和组以及策略中的设置。 此功能可帮助你了解策略及其设置对用户和设备的影响。

   有关可在 Intune 中使用 Copilot 的不同方式的详细信息，请转到 Intune 中的 Microsoft Copilot 概述。

3. 转到“设备>所有设备>”，选择现有设备。

4. 选择“使用 Copilot 浏览”：

   

   在提示集中，可以获取特定于设备的信息，如分配的策略，并将此设备与其他设备进行比较。

   有关使用 Copilot 进行设备故障排除的详细信息，请转到在 Intune 中使用 Microsoft Copilot 排查设备问题。

查看有关所有设备配置策略的详细信息

1. 转到“设备”>“管理设备”>“配置”>“显示器”选项卡：

   

2. 在此区域中，你可以访问配置策略分配失败报告。 此报表有助于排查分配的配置策略的错误和冲突。

   此区域还提供对以下报表的快速访问：

   • 应用受限设备
   • 设备加密状态
   • 证书

提示

在“设备”中，选择“显示器”。 此区域列出了可以使用的所有报表，包括设备配置、符合性、注册和软件更新的报告。 有关所有 Intune 报表的详细信息，请转到 Intune 报表。

查看冲突

为了帮助解决冲突，Intune 中有一些功能可帮助你解决策略的任何差异。 出现冲突时，你还会看到包含此设置的所有配置策略。

按设备

在“设备”>“所有设备”中，可看到导致冲突的任何设置。

1. 在 Intune 中，选择“设备”>“所有设备”> 选择列表中的现有设备。 最终用户可从公司门户应用获取设备名。

2. 选择“设备配置”。 列出了适用于该设备的所有配置策略。

3. 选择策略。 它会显示该策略中适用于该设备的所有设置。

   如果设备具有“冲突”状态，请选择该行。 在新窗口中，将看到所有策略，以及具有导致冲突的设置的配置文件名称。

既然知道了冲突的设置以及包含该设置的策略，应该较容易解决冲突。

Copilot

可以使用 Copilot 帮助解决设置级别的冲突。

1. 选择“设备>管理设备>配置>”，在列表中选择现有策略。

2. 滚动到“配置设置”区域并展开设置类别：

   

3. 对于每个设置，都有一个 Copilot 工具提示：

   

   选择工具提示以获取有关设置的详细信息。 Copilot 提示可以帮助你了解设置的影响，查找潜在的冲突，并提供建议的值。

设备固件配置接口 (DFCI) 配置文件报告

与其他设备配置策略一样，DFCI 策略按设置进行报告。 根据制造商对 DFCI 的支持，某些设置可能不适用。

通过 DFCI 配置文件设置，你可能会看到以下状态：

• 合规：当配置文件中的设置值与设备上的设置匹配时，将显示此状态。 在下列情况下，可能出现此状态：

  • DFCI 配置文件成功配置了配置文件中的设置。
  • 设备没有由设置控制的硬件功能，并且配置文件设置为“已禁用”。
  • 统一可扩展固件接口 (UEFI) 不允许 DFCI 禁用此功能，并且配置文件设置为“已启用"。
  • 该设备缺少禁用该功能的硬件，并且配置文件设置为“已启用”。

• 不适用：当配置文件中的设置值为“已启用”或“允许”，但在设备上找不到匹配的设置时，将显示此状态。 如果设备硬件不具有此功能，可能会出现此状态。

• 不合规：当配置文件中的设置值与设备上的设置不匹配时，将显示此状态。 在下列情况下，可能出现此状态：

  • UEFI 不允许 DFCI 禁用设置，并且配置文件设置为“已禁用”。
  • 该设备缺少禁用该功能的硬件，并且配置文件设置为“已禁用”。
  • 该设备没有最新的 DFCI 固件版本。
  • 在使用 UEFI 菜单中的本地“退出”控件注册到 Intune 之前，DFCI 是禁用的。
  • 设备在 Autopilot 注册之外注册到 Intune。
  • 该设备未由 Microsoft CSP 注册到 Windows Autopilot，也未由 OEM 直接注册。

相关内容

• 设备配置策略的常见疑问、问题和解决方法
• Intune 中的设备配置策略疑难解答