Microsoft Intune 中的筛选器报表和故障排除

创建应用、合规性策略或配置文件时,可以将策略分配给组(用户或设备)。 分配应用或策略时,还可以使用筛选器。 例如,可以将策略分配给运行特定 OS 版本的 Windows 10/11 设备。

可以在托管设备 (在 Intune) 中注册的设备使用筛选器, ( 由 Intune) 管理的应用。 有关详细信息,请转到 分配应用、策略和配置文件时使用筛选器

根据这些筛选器评估托管应用和托管设备,以满足配置的规则。 筛选器评估的结果将记录在 Microsoft Intune 管理中心中并报告。

使用本文详细了解报表功能,并帮助排查筛选器和冲突问题。

重要

从评估时间开始,筛选器评估结果最多可能需要 30 分钟才能显示在Intune管理中心。

托管设备的报表

Intune管理中心提供每个设备和每个应用的报告信息。 使用此信息来帮助排查筛选器评估问题,并确定应用或不适用策略的原因。

可以使用以下报表获取有关筛选器的详细信息:

设备的筛选器评估报表

此报表显示每个应用或策略,以及已应用的筛选器。 对于每个已评估的应用或策略,可以看到已应用的筛选器,并可以获取更多详细信息。

要查看此报表,请使用以下步骤:

  1. 登录到Intune 管理中心

  2. 选择 “设备>”“所有设备> ”选择设备 >筛选器评估。 将显示以下信息:

    • 已评估的筛选器。
    • 评估发生的日期和时间。
    • 评估结果:“匹配”或“不匹配”
    • 筛选器是否使用“包括”或“排除”模式
    • 筛选器名称、说明和规则
    • 已评估的属性,例如 deviceName
    • 可分配给设备的可用应用。

    筛选器信息”部分填充有当前配置的筛选器名称、说明和规则。 不会从日志数据填充该信息。 筛选器名称、语法和任何其他元数据自上次评估时间以来可能会更改。 在进行故障排除时,请确保查看“评估时间”和“上次修改”时间戳

在以下示例中,可以查看 TestDevice 的这些信息

显示如何在 Microsoft Intune 中查看日期、时间、评估结果和其他设备筛选器分配属性的屏幕截图。

重要

设备的筛选器评估报告不显示任何Microsoft Entra条件访问评估的结果。 若要排查条件访问问题,请使用Microsoft Entra登录日志。 有关详细信息,请转到Microsoft Entra登录日志概述

工作负载筛选器评估报告

这些报表显示应用或策略分配中评估的每个设备的筛选器信息。 对于每个设备,你都可以查看该设备对于某个工作负载的总体可用性,并获取有关筛选器评估的更详细信息。

要查看这些报表,请使用以下步骤:

  1. 登录到Intune 管理中心

  2. 选择 “应用>”“所有应用> ”选择应用 >“设备安装状态”。

  3. 选择 “筛选 ”列 >“”已评估的筛选器”。 将显示以下信息:

    • 已评估的筛选器。
    • 评估发生的日期和时间。
    • 评估结果:“匹配”或“不匹配”,以及“已应用应用分配”或“未应用应用分配”
    • 筛选器是否使用“包括”或“排除”模式
    • 筛选器名称、说明和规则
    • 已评估的属性,例如 deviceCategory

在以下示例中,可以查看 Microsoft Word 应用商店应用的这些信息

显示如何在 Microsoft Intune 中查看应用的日期、时间、评估结果和其他应用筛选器属性的屏幕截图。

重要

  • 设备安装状态 报表中,不显示已部署为“可用”的应用。 要排除可用分配中是否筛选入或筛选掉用户/设备的故障,请使用 设备的筛选器评估报告。 要生成筛选器评估结果,最终用户必须转到公司门户应用或网站中的应用列表。
  • 分配策略时,可以将设备添加到“排除的组”。 这些排除的设备不会显示在工作负载设备状态报告中。
  • 应用设置目录 设备状态报表中,提供了用来显示任何筛选器评估的列。 目前,筛选器评估信息不适用于所有 Intune 工作负载。

托管应用的报表

Intune管理中心提供托管应用的按设备和每个平台报告信息。 使用此信息来帮助排查筛选器评估问题,并确定应用或不适用策略的原因。

可以使用以下报表获取有关用于分配筛选器的属性的详细信息:

包括与排除

创建筛选器时,可以根据某些属性(如 device.model -equals "Surface pro"device.model -notEquals "Surface pro")选择包括或排除设备。 可能难以理解评估结果,尤其是在包括或排除设备时。

使用下表可帮助了解何时包括或排除设备:

筛选器模式 筛选器结果 总体结果
包括 匹配 应用策略或应用分配
包括 不匹配 不应用策略或应用分配
排除 匹配 不应用策略或应用分配
排除 不匹配 应用策略或应用分配

必备知识

  • 当策略在设备上分配有冲突时,“ 未评估 ”筛选器结果可能会显示。 有关详细信息,请转到本文) 中的 筛选器和分配冲突解决 (。

  • 筛选器在注册时以及设备使用 Intune 服务签入时进行评估。 也可以在其他时间运行评估,例如合规性检查时。 在某些情况下,可能会遇到争用条件。

    例如,请考虑以下事件序列,其中每个时间点都是不同的时间点:

    • Time1:将应用分配给用户组。 此组使用基于“Category”属性的筛选器。

    • Time2:目标用户注册新设备并使用Intune服务签入。 在检查期间,类别筛选器会进行评估。 由于尚未在设备上设置类别,因此筛选器的计算结果为 null 类别,并且应用将安装。

      如果筛选器在“排除”模式下工作,则可以安装应用,因为它可能与排除条件不匹配。

    • Time3:在公司门户应用中,系统会提示用户选择设备类别。 请记住,注册和检查已完成。

    • Time4:在下一个设备检查时,类别属性会更新,现在返回不同的筛选器评估结果。 请记住,应用已安装。 并且,它不会自动删除。

    有关大约检查时间,请转到Intune策略刷新间隔

  • 最新的筛选器评估结果将存储 30 天。 如果日志已过期,可以看到一 We were not able to retrieve any filter evaluation results 条消息。

筛选器和分配冲突解决

将策略分配给组(用户或设备)时,可以重叠分配。 本部分介绍存在重叠分配时预期的行为。

托管应用

托管设备和托管应用筛选器面向不同的工作负载。 无法将相同的筛选器策略分配给托管设备和托管应用。 因此,没有任何冲突解决或分配重叠。

如果创建了两个托管应用筛选器策略,并且它们相互冲突,则不会应用筛选器策略。

托管设备

重叠可能会导致冲突,Intune有助于避免冲突。

Intune可防止你为同一个Microsoft Entra组创建多个分配。 建议不要将应用或策略分配给具有多个意向的同一目标用户或设备。 例如,在部署应用时,不能为“可用”分配选择一个组,然后为“必需”分配选择相同的组

当一个用户或设备位于多个目标组中时,可能会发生重叠。 不建议进行有冲突的分配。 有关详细信息,请转到 应用意向之间的冲突

显示当设备位于Microsoft Intune的多个组中时如何发生冲突的屏幕截图。

使用筛选器时,可使用以下方法来解决冲突:

筛选器模式

如果设备具有同一策略的分配冲突,则以下优先级适用:

  1. “排除”模式适用。 “排除”优先于“无筛选器”,并优先于“包括”模式
  2. “无筛选器”模式适用。 “无筛选器”优先于“包括”模式
  3. “包括”模式适用

分配应用或策略时,可选择应用筛选器:

显示筛选器优先级被排除,没有筛选器,然后在Microsoft Intune分配策略时包括的屏幕截图。

例如:

  • PolicyA 被分配给了三个设备组:GroupA、GroupB 和 GroupC。
  • GroupA 分配使用 FilterA。 FilterA 使用“包括”模式。
  • GroupB 分配使用 FilterB。 FilterB 使用“排除”模式。
  • GroupC 分配未使用任何筛选器。
  • DeviceA 是以下三个组的成员:GroupA、GroupB 和 GroupC。

在此方案中,排除分配因筛选器模式优先级而优先。 DeviceA 评估 FilterB。 如果 DeviceA 与规则匹配,则从 PolicyA 中排除 DeviceA。 如果 DeviceA 与 FilterB 不匹配,则应用 PolicyA。 DeviceA 不再对 GroupB 和 GroupC 分配和筛选器执行任何其他评估。

筛选器模式相同时,请使用“OR”逻辑

如果应用了使用相同模式(例如“包括”)的多个筛选器,则将使用“OR”逻辑。 设备仅需要匹配要在策略分配中包括(或排除)的筛选器之一中的规则。

例如:

  • PolicyA 被分配给了两个组:GroupA 和 GroupB。
  • GroupA 分配使用 FilterA。 FilterA 使用“包括”模式。
  • GroupB 分配使用 FilterB。 FilterB 使用“包括”模式。
  • DeviceA 是以下两个组的成员:GroupA 和 GroupB。

在这种情况下,这两个筛选器将使用相同的模式。 因此,筛选器使用 OR 逻辑解决冲突。 DeviceA 评估 FilterA 和 FilterB。 如果 DeviceA 匹配任一筛选器中的规则,则 DeviceA 将接收 PolicyA。 如果 DeviceA 与任一筛选器都不匹配,则不应用 PolicyA。

应用意向

应用使用基于“意向”的冲突解决。 在评估筛选器之前会先评估意向。 例如,应用会评估设备是否以“可用”、“必需”或“卸载”分配意向为目标。 然后,将优先的意向传递到筛选引擎以确定适用性。

例如:

  • AppA 被分配给了两个组:GroupA 和 GroupB。
  • GroupA 分配使用“必需”意向。 GroupA 分配使用 FilterA,后者使用“包括”模式。
  • GroupB 分配使用“卸载”意向。 GroupB 分配使用 FilterB,后者使用“包括”模式。
  • DeviceA 是以下两个组的成员:GroupA 和 GroupB。

在此方案中,优先的应用意向是“必需”。 有关详细信息,请转到 应用意向之间的冲突。 因此,DeviceA 必须仅评估 FilterA。 如果 DeviceA 与 FilterA 中的规则匹配,则 DeviceA 将接收 AppA 作为必需的应用。

解决“必需”和“可用”分配之间的冲突时,应用会使用特殊行为。 如果用户或设备同时以“可用”和“必需”分配为目标,则会收到名为“必需和可用”的合并意向。 设备必须评估这两个分配中使用的筛选器。 评估这两个筛选器时,设备将实现相同的冲突解决: 筛选器模式“OR”逻辑(如果筛选器模式相同)。

冲突解决矩阵

在以下示例中,分配之间存在冲突,因为同一用户/设备同时位于两个分配中:

显示Microsoft Intune中使用筛选器时分配冲突示例的屏幕截图。

以下矩阵根据冲突方案解释效果:

显示冲突效果取决于在 Microsoft Intune 中使用筛选器时配置的设置的屏幕截图。

后续步骤