避免策略冲突
✅ 确保策略有效地应用于设备
不同策略中具有相同设置的设备和用户会导致冲突。 发生冲突时,Intune将生成错误,并且不会应用任一设置。 因此,请务必避免或解决冲突,以确保应用正确的配置。 创建新策略时,请使用本文档中的步骤来避免或解决策略冲突。
注意
如果仅使用 Intune for Education 来管理设备,则可以轻松地更新已部署到现有组的设置或应用,或创建新组以应用新策略或应用。 如果新组的成员与现有组的成员不同,则无需执行任何额外操作来防止冲突。
1.确定哪些用户或设备需要新策略
查看现有Microsoft Entra ID组,并确定它们是否适用于新策略。 否则,请创建新组并添加用户或设备。
2. 识别和审查潜在的冲突源
避免策略冲突的关键是了解针对同一组用户或设备的现有策略是否包含相同的设置。 如果新策略的设置与相同用户或设备的现有设置重叠,请从旧策略中排除这些用户或设备,或删除重叠的设置。
可以使用“排除组”选项或通过使用 筛选器排除设备来排除设备组或用户。
提示
有关分组和目标的详细信息,请参阅 规划教育版设备分组和目标。
教育版租户的默认策略
首次将Intune许可证添加到教育版租户时,将创建一组默认策略。 可以在Intune管理中心的“配置策略”列表中查看这些策略。 应检查这些设置是否重叠,以确定在针对同一组用户或设备时是否需要排除项。 默认情况下,这些策略面向 所有设备。
默认策略名称:
-
设备 - Windows - 配置
- EDU 的默认策略
- EDU 的默认 Admx 策略
- 版本升级
- 共享电脑策略
-
设备 - Windows - Windows 10 及更高版本的更新 - 更新通道
- Windows 更新策略
注意
如果使用 Intune for Education,则可以通过导航到“组”,然后选择“所有设备或所有用户 - 设置”组来查看和更改这些设置。 选择 “Windows 设备设置” 或“ iOS 设备设置”。
在 Intune for Education 控制台中创建的策略
在 Intune for Education 中配置设置时,将在Intune服务中创建相应的策略,可以从Intune管理控制台查看和编辑这些策略。 Intune for Education 创建的配置文件具有可识别的命名模板,该模板始终以组名称开头,后跟基于模板类型的后缀。 每个名称的 GROUP NAME> 部分表示在配置设置时在 Intune for Education 中选择的组。<
此列表提供了 Intune for Education 创建的配置文件示例。 应检查这些设置是否重叠,以确定在针对同一组用户或设备时是否需要排除项。
-
设备 - Windows - 配置
- <组名称> Windows10 常规
- <GROUP NAME> GroupPolicyConfiguration
- <组名称> Windows10EndpointProtection
- <GROUP NAME> Windows10CustomDenyAdministrativeApps
- <GROUP NAME> Windows10CustomDenyStore
- <组名称> Windows10SharedPC
- <GROUP NAME> Windows10EnterpriseModernAppManagement
- <GROUP NAME> ConfigurationPolicy
-
设备 - Windows - 注册 - Windows Autopilot/部署配置文件
- <组名称> Windows10AutopilotProfile
-
设备 - Windows - Windows 10 及更高版本的更新 - 更新通道
- <组名称> Windows10UpdatesForBusiness
-
设备 - Windows - Windows 10及更高版本的更新 - 功能汇报
- <GROUP NAME> WindowsFeatureUpdates
-
终结点安全性 - 帐户保护
- <组名称>_LocalUsersAndGroupsConfig_EDU
3. 将策略分配给目标组
查看所有潜在的冲突源并配置所有排除项后,即可将新策略分配给用户或设备组。 使用“包含的组”分配策略,并选择性地使用分配筛选器。
4. 监视策略冲突
Intune如果发现冲突,请从新策略中删除重叠设置,或从现有策略中排除目标用户或设备。