Microsoft Intune中有关策略和配置文件的常见问题、答案和方案

重要

2022 年 10 月 22 日,Microsoft Intune 终止了对运行 Windows 8.1 的设备的支持。 这些设备上的技术协助和自动更新不可用。

如果当前使用 Windows 8.1,请移动到 Windows 10/11 设备。 Microsoft Intune具有管理 Windows 10/11 客户端设备的内置安全和设备功能。

获取在 Intune 中使用策略时的常见问题的解答。 此外,本文还列出了签入时间间隔,详细说明了冲突等。

本文适用于以下策略:

  • 应用保护策略
  • 应用配置策略
  • 合规性策略
  • 条件访问策略
  • 设备配置文件
  • 注册策略

策略刷新间隔

Intune 通知设备使用 Intune 服务签入。 通知时间各不相同,包括从立即到长达几个小时。 这些通知时间在平台之间也有所不同。 在 Android 设备上, Google 移动服务 (GMS) 可能会影响策略刷新间隔

如果在首次发出通知后设备未签入以获取策略或配置文件,Intune 还会尝试通知 3 次。 脱机设备(例如已关闭或未连接到网络)可能不会收到通知。 在这种情况下,设备将在其下次计划的签入时间使用 Intune 服务获取策略或配置文件。 这同样适用于检查不合规情况,包括从符合状态移动到不符合状态的设备。

预估频率

平台 刷新周期
Android, AOSP 大约每 8 小时
iOS/iPadOS 大约每 8 小时
macOS 大约每 8 小时
Windows 10/11 台注册为设备的电脑 大约每 8 小时
Windows 8.1 大约每 8 小时

如果设备最近注册,则合规性、不符合性和配置检查更频繁地运行。 预计签入频率:

平台 频率
Android, AOSP 15 分钟内每 3 分钟一次,接下来的 2 小时内每 15 分钟一次,之后每 8 小时一次
iOS/iPadOS 1 小时内每 15 分钟一次,之后每 8 小时一次
macOS 1 小时内每 15 分钟一次,之后每 8 小时一次
Windows 10/11 台注册为设备的电脑 15 分钟内每 3 分钟一次,接下来的 2 小时内每 15 分钟一次,之后每 8 小时一次
Windows 8.1 15 分钟内每 5 分钟一次,接下来的 2 小时内每 15 分钟一次,之后每 8 小时一次

有关应用保护策略刷新间隔,请转到 应用保护策略传递计时

用户可以随时打开公司门户应用、设备>检查状态设置>同步,以立即检查策略或配置文件更新。 有关 Intune 管理区代理或 Win32 应用的相关信息,请参阅 Microsoft Intune 中的 Win32 应用管理

Intune立即向设备发送通知的操作

可以使用不同的操作来触发通知。 例如,在分配(或取消分配)、更新、删除策略、配置文件或应用等操作时。 不同平台之间的操作时间各不相同。

设备收到告知其签入的通知时或者在计划签入期间,设备会签入到 Intune。 当针对某个设备或用户执行某个操作时,Intune 会立即开始通知设备签入以接收这些更新。 例如,当运行锁定、密码重置、应用或策略分配操作时,会发生通知。

其他更改不会立即通知设备,包括修改公司门户应用中的联系信息或更新.ipa文件。

策略或配置文件中的设置将在每次签入时应用。 Windows 10 MDM 策略刷新客户博客文章可能是一个很好的资源。

冲突

当不同的策略将同一设置更新为不同的值时,可能会发生冲突。 例如,你有两个策略将复制/粘贴设置更新为不同的值。 冲突的处理方式因策略类型而异。

如果在 Intune 中使用 Microsoft Copilot,则 Copilot 可以帮助你解决冲突。 有关详细信息,请转到 Intune 中的 Copilot 中的策略和设置管理

还可以在 Intune 中使用 Microsoft Copilot 获取有关策略和策略中配置的设置的详细信息。

应用保护冲突的策略

冲突值是应用保护策略中最严格的设置。 例外情况是数字输入字段,例如重置前的 PIN 尝试。 数值输入字段的设置与值相同,就像使用建议的设置选项创建 MAM 策略一样。

两个配置文件设置相同时即会发生冲突。 例如,除复制/粘贴设置外,你配置了两个完全相同的 MAM 策略。 在此方案中,复制/粘贴设置设置为限制性最强的值。 其余设置按配置应用。

将一个策略部署到应用,并应用它。 部署第二个策略。 在此场景中,第一个策略优先,并始终应用。 第二个策略将显示冲突。 如果同时应用两个策略,即它们的优先级一样,则两个都会显示冲突。 任何冲突的设置都将设定为限制最严格的值。

冲突的合规性和设备配置策略

将两个或更多策略分配给同一用户或设备时,将在单个设置级别应用设置:

  • 如果使用合规性策略评估设备设置,则合规性策略中的设置优先于设备配置策略中的相同设置。 合规性策略设置始终优先于配置的配置文件设置。

  • 如果某个符合性策略针对不同符合性策略中的相同设置进行评估,则应用限制最严格的符合性策略设置。

  • 如果配置策略设置与其他配置策略设置冲突,此冲突会显示在 Intune 中。 手动解决这些冲突。

在Intune管理中心,有一些地方可以创建配置策略,包括组策略分析、终结点安全性、安全基线等。 如果存在冲突并且有多个策略,则检查配置策略的所有位置。 此外,内置报告功能可帮助解决冲突。 有关可用报表的详细信息,请转到 Intune 报表

冲突的自定义 iOS/iPadOS 或 macOS 策略

Intune 不会评估 Apple 配置文件或自定义开放移动联盟统一资源标识符 (OMA-URI) 策略的负载。 它只作为传送机制。

分配自定义策略时,请确认配置的设置不会与符合性、配置或其他自定义策略冲突。 如果自定义策略及其设置冲突,Apple 会随机应用这些设置。

内置报告功能可帮助解决冲突。 有关可用报表的详细信息,请转到 Intune 报表

配置文件已删除或不再适用

删除配置文件或从分配了配置文件的组中删除设备时,将从设备中删除配置文件和设置。 具体而言,它们将按以下列表中所述删除:

  • Wi-Fi、VPN、证书和电子邮件配置文件:这些配置文件会从所有支持的已注册设备中删除。

  • 所有其他配置文件类型:

    • Android 设备:不会从设备中删除设置。

    • iOS/iPadOS:删除所有设置,但不包括:

      • 允许语音漫游
      • 允许数据漫游
      • 允许漫游时自动同步
    • Windows 设备:删除或取消分配配置文件后,让Microsoft Entra用户登录到设备,并与Intune服务同步

      Intune 设置基于 Windows 配置服务提供程序 (CSP)。 此行为取决于 CSP。 有些 CSP 会删除此设置,某些 CSP 会保留该设置,也称为纹身。

  • 配置文件适用于用户组。 稍后,将从组中删除用户。 从该用户删除设置最多需要 7 个小时或更久:

我更改了设备限制配置文件,但更改尚未生效

若要应用限制较少的配置文件,某些设备可能需要停用并重新注册到Intune。 例如,可能需要停用并重新注册 Android、iOS/iPadOS 和 Windows 客户端设备。

Windows 10/11 配置文件中的某些设置返回 "不适用>

Windows 客户端设备上的某些设置可能显示为 “不适用”。 发生这种情况时,设备上运行的 Windows 的版本或版次不支持该特定设置。 出现此消息的可能原因如下:

  • 设置仅适用于较新版本的 Windows,而不适用于设备上的当前操作系统 (OS) 版本。
  • 设置仅适用于特定 Windows 版本或特定 SKU,如家庭版、专业版、企业版和教育版。

若要详细了解不同设置的版本要求,请参阅 配置服务提供程序 (CSP) 参考

设备注册时,应用分配给动态设备组的应用和策略会有延迟

在注册期间,可以使用Microsoft Entra动态设备组。 例如,可以根据设备的名称或注册配置文件创建动态设备组。

注册配置文件在初始设备设置期间应用于设备记录。 Microsoft Entra动态分组不是即时的。 设备可能在一段时间内不在动态组中,可能会有几分钟到几小时,具体取决于租户中所做的其他更改。

如果未将设备添加到组,则初始Intune 检查期间不会将应用和策略分配给设备。 策略可能要到下一个计划检查才适用。

如果快速交付应用和策略对设置/注册方案很重要,请将应用和策略分配给用户组,而不是将应用和策略分配给动态设备组。 在设备设置之前,用户组会预先填充成员,并且不会有此延迟。

有关动态组的详细信息,请转到:

“无法启动同步 (0x80072f9a) ”错误

在 Windows 设备上,尝试在“设置”应用中>同步帐户>访问工作或学校时,可能会看到错误The sync could not be initiated (0x80072f9a)

如果受信任的平台模块 (TPM) 重置为出厂设置,则必须重新注册设备才能恢复同步。 设备的Microsoft Entra标识存储在 TPM 中。 因此,如果删除了 ID,则重新注册是重新建立Microsoft Entra标识的唯一方法。