监控 Microsoft Intune 中设备配置策略
Intune 包含一些功能,可帮助监视和管理设备配置策略。 例如,可以检查策略的状态、查看分配给策略的设备,并更新现有策略的属性。
还可以在 Intune 中使用 Microsoft Copilot 获取有关策略和策略中配置的设置的详细信息。
本文介绍如何检查现有设备配置策略的分配状态、进行更改、排查冲突以及如何将 Copilot 用于其中一些功能。
此功能适用于:
- Android
- iOS/iPadOS
- macOS
- Windows
查看现有策略
- 登录到 Microsoft Intune 管理中心。
- 选择“设备”>“管理设备”>“配置”>“策略”选项卡。
将显示所有策略。 你还会看到平台、策略类型以及是否分配了策略。
注意
有关设备配置策略的更深入报告信息,请转到 Intune 报表。
查看有关策略的详细信息
创建设备配置策略后,Intune 将提供报告数据。 这些报表显示策略的状态,例如,策略已成功分配给设备,或者策略显示冲突。
在“设备>管理设备>配置>策略”选项卡中,选择现有策略。
设备和用户签入状态会显示所有使用配置策略签入的用户或设备数。 如果一台设备有多个用户,则此报表会显示每个用户的状态。 当用户或设备使用 Intune 签入时,他们将收到策略中的设置。
会显示以下状态:
- 已完成:该策略已成功应用。
- 错误:无法应用策略。 此消息通常与链接到错误说明的错误代码一起显示。
- 冲突:两个设置都应用于同一设备,Intune 无法解决冲突。 管理员应进行审核。
- 挂起:设备尚未签入 Intune,无法接收策略。
- 不适用:设备无法接收策略。 例如,策略更新了 iOS 11.1 的特定设置,但设备使用的是 iOS 10。
选择设备分配状态:
此报表显示有关上次签入的用户的信息。 选择“生成报表”以查看接收策略的设备的最新策略分配状态。 还可以筛选分配状态,以仅查看错误、冲突等。
设备中的数字和用户签入状态与设备分配状态报告不同是正常的。
返回设备和用户签入状态,选择“按设置状态”:
此报表显示策略中的各个设置及其状态。
返回设备和用户签入状态,选择“查看报表”:
视图报表显示分配给该特定设备配置策略的设备的详细信息,包括:
- 接收策略的设备
- 具有接收策略的设备的用户名
- 签入状态以及用户/设备上次使用策略签入的时间
还可以选择特定设备以获取更多详细信息,并使用筛选器列查看分配筛选器选项。
返回设备和用户签入状态,可以查看和编辑特定策略的以下属性信息:
查看有关所有设备配置策略的详细信息
转到“设备”>“管理设备”>“配置”>“显示器”选项卡:
在此区域中,你可以访问配置策略分配失败报告。 此报表有助于排查分配的配置策略的错误和冲突。
此区域还提供对以下报表的快速访问:
- 应用受限设备
- 设备加密状态
- 证书
提示
在“设备”中,选择“显示器”。 此区域列出了可以使用的所有报表,包括设备配置、符合性、注册和软件更新的报告。 有关所有 Intune 报表的详细信息,请转到 Intune 报表。
查看冲突
为了帮助解决冲突,Intune 中有一些功能可帮助你解决策略的任何差异。 出现冲突时,你还会看到包含此设置的所有配置策略。
在“设备”>“所有设备”中,可看到导致冲突的任何设置。
在 Intune 中,选择“设备”>“所有设备”> 选择列表中的现有设备。 最终用户可从公司门户应用获取设备名。
选择“设备配置”。 列出了适用于该设备的所有配置策略。
选择策略。 它会显示该策略中适用于该设备的所有设置。
如果设备具有“冲突”状态,请选择该行。 在新窗口中,将看到所有策略,以及具有导致冲突的设置的配置文件名称。
既然知道了冲突的设置以及包含该设置的策略,应该较容易解决冲突。
设备固件配置接口 (DFCI) 配置文件报告
与其他设备配置策略一样,DFCI 策略按设置进行报告。 根据制造商对 DFCI 的支持,某些设置可能不适用。
通过 DFCI 配置文件设置,你可能会看到以下状态:
合规:当配置文件中的设置值与设备上的设置匹配时,将显示此状态。 在下列情况下,可能出现此状态:
- DFCI 配置文件成功配置了配置文件中的设置。
- 设备没有由设置控制的硬件功能,并且配置文件设置为“已禁用”。
- 统一可扩展固件接口 (UEFI) 不允许 DFCI 禁用此功能,并且配置文件设置为“已启用"。
- 该设备缺少禁用该功能的硬件,并且配置文件设置为“已启用”。
不适用:当配置文件中的设置值为“已启用”或“允许”,但在设备上找不到匹配的设置时,将显示此状态。 如果设备硬件不具有此功能,可能会出现此状态。
不合规:当配置文件中的设置值与设备上的设置不匹配时,将显示此状态。 在下列情况下,可能出现此状态:
- UEFI 不允许 DFCI 禁用设置,并且配置文件设置为“已禁用”。
- 该设备缺少禁用该功能的硬件,并且配置文件设置为“已禁用”。
- 该设备没有最新的 DFCI 固件版本。
- 在使用 UEFI 菜单中的本地“退出”控件注册到 Intune 之前,DFCI 是禁用的。
- 设备在 Autopilot 注册之外注册到 Intune。
- 该设备未由 Microsoft CSP 注册到 Windows Autopilot,也未由 OEM 直接注册。