监控 Microsoft Intune 中设备配置策略

Intune 包含一些功能,可帮助监视和管理设备配置策略。 例如,可以检查策略的状态、查看分配给策略的设备,并更新现有策略的属性。

还可以在 Intune 中使用 Microsoft Copilot 获取有关策略和策略中配置的设置的详细信息。

本文介绍如何检查现有设备配置策略的分配状态、进行更改、排查冲突以及如何将 Copilot 用于其中一些功能。

此功能适用于:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows

查看现有策略

  1. 登录到 Microsoft Intune 管理中心
  2. 选择“设备”>“管理设备”>“配置”>“策略”选项卡。

将显示所有策略。 你还会看到平台、策略类型以及是否分配了策略。

注意

有关设备配置策略的更深入报告信息,请转到 Intune 报表

查看有关策略的详细信息

创建设备配置策略后,Intune 将提供报告数据。 这些报表显示策略的状态,例如,策略已成功分配给设备,或者策略显示冲突。

  1. 在“设备>管理设备>配置>策略”选项卡中,选择现有策略。

  2. 设备和用户签入状态会显示所有使用配置策略签入的用户或设备数。 如果一台设备有多个用户,则此报表会显示每个用户的状态。 当用户或设备使用 Intune 签入时,他们将收到策略中的设置。

    会显示以下状态:

    • 已完成:该策略已成功应用。
    • 错误:无法应用策略。 此消息通常与链接到错误说明的错误代码一起显示。
    • 冲突:两个设置都应用于同一设备,Intune 无法解决冲突。 管理员应进行审核。
    • 挂起:设备尚未签入 Intune,无法接收策略。
    • 不适用:设备无法接收策略。 例如,策略更新了 iOS 11.1 的特定设置,但设备使用的是 iOS 10。
  3. 选择设备分配状态

    显示 Microsoft Intune 和 Intune 管理中心中的设备分配状态报告的屏幕截图。

    此报表显示有关上次签入的用户的信息。 选择“生成报表”以查看接收策略的设备的最新策略分配状态。 还可以筛选分配状态,以仅查看错误、冲突等。

    设备中的数字和用户签入状态设备分配状态报告不同是正常的。

  4. 返回设备和用户签入状态,选择“按设置状态”:

    显示 Microsoft Intune 和 Intune 管理中心中每个设置状态报告的屏幕截图。

    此报表显示策略中的各个设置及其状态。

  5. 返回设备和用户签入状态,选择“查看报表”:

    屏幕截图,显示了如何选择设备配置策略上的查看报表,以在 Microsoft Intune 和 Intune 管理中心中获取设备和用户签入状态。

    视图报表显示分配给该特定设备配置策略的设备的详细信息,包括:

    • 接收策略的设备
    • 具有接收策略的设备的用户名
    • 签入状态以及用户/设备上次使用策略签入的时间

    还可以选择特定设备以获取更多详细信息,并使用筛选器列查看分配筛选器选项。

  6. 返回设备和用户签入状态,可以查看和编辑特定策略的以下属性信息:

    • 基本信息:请参阅策略名称和说明。
    • 分配:查看接收策略的用户和组,并在策略中查看任何现有的筛选器
    • 作用域标记:查看策略中使用的任何现有的作用域标记
    • 配置设置:请参阅在策略中配置的设置。
    • 适用性规则:在 Windows 设备上,请转到策略中使用的适用性规则

查看有关所有设备配置策略的详细信息

  1. 转到“设备”>“管理设备”>“配置”>“显示器”选项卡:

    显示的屏幕截图,显示在 Microsoft Intune 和 Intune 管理中心的设备配置文件中选择“显示器”选项卡。

  2. 在此区域中,你可以访问配置策略分配失败报告。 此报表有助于排查分配的配置策略的错误和冲突。

    此区域还提供对以下报表的快速访问:

    • 应用受限设备
    • 设备加密状态
    • 证书

提示

在“设备”中,选择“显示器”。 此区域列出了可以使用的所有报表,包括设备配置、符合性、注册和软件更新的报告。 有关所有 Intune 报表的详细信息,请转到 Intune 报表

查看冲突

为了帮助解决冲突,Intune 中有一些功能可帮助你解决策略的任何差异。 出现冲突时,你还会看到包含此设置的所有配置策略。

在“设备”>“所有设备”中,可看到导致冲突的任何设置。

  1. 在 Intune 中,选择“设备”>“所有设备”> 选择列表中的现有设备。 最终用户可从公司门户应用获取设备名。

  2. 选择“设备配置”。 列出了适用于该设备的所有配置策略。

  3. 选择策略。 它会显示该策略中适用于该设备的所有设置。

    如果设备具有“冲突”状态,请选择该行。 在新窗口中,将看到所有策略,以及具有导致冲突的设置的配置文件名称。

既然知道了冲突的设置以及包含该设置的策略,应该较容易解决冲突。

设备固件配置接口 (DFCI) 配置文件报告

与其他设备配置策略一样,DFCI 策略按设置进行报告。 根据制造商对 DFCI 的支持,某些设置可能不适用。

通过 DFCI 配置文件设置,你可能会看到以下状态:

  • 合规:当配置文件中的设置值与设备上的设置匹配时,将显示此状态。 在下列情况下,可能出现此状态:

    • DFCI 配置文件成功配置了配置文件中的设置。
    • 设备没有由设置控制的硬件功能,并且配置文件设置为“已禁用”
    • 统一可扩展固件接口 (UEFI) 不允许 DFCI 禁用此功能,并且配置文件设置为“已启用"。
    • 该设备缺少禁用该功能的硬件,并且配置文件设置为“已启用”。
  • 不适用:当配置文件中的设置值为“已启用”或“允许”,但在设备上找不到匹配的设置时,将显示此状态。 如果设备硬件不具有此功能,可能会出现此状态。

  • 不合规:当配置文件中的设置值与设备上的设置不匹配时,将显示此状态。 在下列情况下,可能出现此状态:

    • UEFI 不允许 DFCI 禁用设置,并且配置文件设置为“已禁用”
    • 该设备缺少禁用该功能的硬件,并且配置文件设置为“已禁用”
    • 该设备没有最新的 DFCI 固件版本。
    • 在使用 UEFI 菜单中的本地“退出”控件注册到 Intune 之前,DFCI 是禁用的。
    • 设备在 Autopilot 注册之外注册到 Intune。
    • 该设备未由 Microsoft CSP 注册到 Windows Autopilot,也未由 OEM 直接注册。