通过

排查Microsoft Intune中的策略和配置文件问题

  • 项目

本文提供与 Microsoft Intune 中的策略和配置文件相关的常见问题的故障排除指南。 包括有关如何使用内置Intune故障排除功能的说明。

使用内置故障排除窗格

可以使用内置的故障排除功能来查看不同的符合性和配置状态。

  1. Microsoft Intune管理中心,选择“故障排除 + 支持>故障排除”。

    在终结点管理管理中心和Intune中,转到故障排除和支持。

  2. 选择 “选择用户> ”,选择有问题的 >用户“选择”。

  3. 确认Intune许可证显示绿色检查:

    在“Intune”中,选择用户并确认Intune许可证显示状态的绿色检查标记。

    有用链接

  4. “设备”下,找到有问题的设备。 查看不同的列:

    • 托管:若要使设备接收合规性或配置策略,此属性必须显示 MDMEAS/MDM

      • 如果 “托管” 未设置为 MDMEAS/MDM,则表示设备未注册。 在注册之前,它不会接收合规性或配置策略。

      • 应用保护策略 (移动应用程序管理) 不需要注册设备。 有关详细信息,请参阅 创建和分配应用保护策略

    • Microsoft Entra联接类型:应设置为 WorkplaceAzureAD

      • 如果此列为 “未注册”,则注册可能存在问题。 通常,取消注册和重新注册设备可解决此状态。

    • 符合Intune:应为“是”。 如果显示“否”,则可能是合规性策略存在问题,或者设备未连接到Intune服务。 例如,设备可能已关闭,或者可能没有网络连接。 最终,设备变得不合规,可能在 30 天后。

      有关详细信息,请参阅 设备符合性策略入门

    • 符合Microsoft Entra:应为“是”。 如果显示“否”,则可能是合规性策略存在问题,或者设备未连接到Intune服务。 例如,设备可能已关闭,或者可能没有网络连接。 最终,设备变得不合规,可能在 30 天后。

      有关详细信息,请参阅 设备符合性策略入门

    • 上次检查:应为最近的时间和日期。 默认情况下,Intune设备每 8 小时检查一次,并且“最后检查”值也会每 8 小时在Intune门户中更新一次。

      • 如果“最近检查”时间超过 24 小时,则设备可能存在问题。 无法检查的设备无法从Intune接收策略。

      • 强制检查:

        • 在 Android 设备上,打开公司门户应用>“设备>”,从列表中选择>“检查设备设置”。
        • 在 iOS/iPadOS 设备上,打开公司门户应用>“设备>从列表中选择>设备”“检查设置”。
        • 在 Windows 设备上,打开 “设置>帐户>访问工作或学校> ”选择帐户或 MDM 注册 >信息>同步

    • 选择设备以查看特定于策略的信息。

      设备符合性 显示分配给设备的符合性策略的状态。

      设备配置 显示分配给设备的配置策略的状态。

      如果预期的策略未显示在 “设备符合性”“设备配置”下,则策略未正确定位。 打开策略,并将策略分配给此用户或设备。

      策略状态

      • 不适用:此平台上不支持此策略。 例如,iOS/iPadOS 策略在 Android 上不起作用。 Samsung KNOX 策略不适用于 Windows 设备。
      • 冲突:设备上存在Intune无法替代的现有设置。 或者,你使用不同的值部署了具有相同设置的两个策略。
      • 挂起:设备尚未签入Intune以获取策略。 或者,设备收到了策略,但尚未向Intune报告状态。
      • 错误:在 排查公司资源访问问题中查找错误和可能的解决方法。

检查租户状态

检查 “租户状态” 并确认订阅为“活动”。 还可以查看可能影响策略或配置文件部署的活动事件和公告的详细信息。

确认已正确应用配置文件

  1. 登录到Microsoft Intune管理中心

  2. 选择 “设备>”“所有设备> ”选择设备 >“设备配置”。

    每个设备都会列出其配置文件。 每个配置文件都有一个 “状态”。 当所有分配的配置文件(包括硬件和 OS 限制和要求)一起考虑时,状态适用。 可能的状态包括:

    • 符合:设备收到配置文件并报告Intune它符合设置。

    • 不适用:配置文件设置不适用。 例如,iOS/iPadOS 设备的电子邮件设置不适用于 Android 设备。

    • 挂起:配置文件已发送到设备,但尚未向Intune报告状态。 例如,Android 上的加密要求用户启用加密,并且可能显示为挂起。

有关详细信息,请参阅监视Microsoft Intune中的设备配置文件

将访问规则保存到 Exchange 失败

问题:在管理控制台中收到“ 将访问规则保存到 Exchange 失败 ”警报。

如果在 Exchange 本地策略工作区 (管理员 控制台) 创建策略,但使用的是 Microsoft 365,则Intune不会强制实施配置的策略设置。 在警报中,记下策略源。 在 Exchange 本地策略工作区下,删除旧规则。 旧规则是本地 Exchange Intune 中的全局 Exchange 规则,与 Microsoft 365 无关。 然后,为 Microsoft 365 创建新策略。

排查Intune本地 Exchange 连接器可能是一个很好的资源。

无法更改已注册设备的安全策略

取消分配策略 (停止部署) 时,Windows 10设备可能不会删除安全策略。 可能需要将策略保留为分配状态,然后将安全设置更改回默认值。

若要将策略更改为安全性较低的值,则可能需要重置安全策略,具体取决于设备平台。

例如,在 Windows 8.1,在桌面上,从右侧向内轻扫以打开超级按钮栏。 选择“设置控制面板>>”用户帐户”。 在左侧,选择“ 重置安全策略” 链接,然后选择“ 重置策略”。

其他平台(如 Android 和 iOS/iPadOS)可能需要停用并重新注册才能应用限制性较低的策略。