通过

Microsoft Intune 中的策略和配置文件疑难解答

  • 项目

本文提供有关 Microsoft Intune 中与策略和配置文件相关的常见问题的故障排除指南。 包括有关如何使用内置 Intune 故障排除功能的说明。

使用内置故障排除窗格

可以使用内置故障排除功能来查看不同的符合性和配置状态。

  1. Microsoft Intune 管理中心,选择“故障排除 + 支持>故障排除”。

    在 Endpoint Management 管理中心和 Intune 中,转到故障排除和支持。

  2. 选择“选择用户>”,选择出现问题>的用户。

  3. 确认 Intune 许可证 显示绿色检查:

    在 Intune 中,选择用户并确认 Intune 许可证显示状态的绿色复选标记。

    有用的链接

  4. 在“设备”,找到出现问题的设备。 查看不同的列:

    • 托管:若要使设备接收符合性或配置策略,此属性必须显示 MDMEAS/MDM

      • 如果未 将托管 设备设置为 MDMEAS/MDM,则设备未注册。 在注册之前,它不会收到符合性或配置策略。

      • 应用保护策略(移动应用程序管理)不需要注册设备。 有关详细信息,请参阅 创建和分配应用保护策略

    • Microsoft Entra 联接类型:应设置为 WorkplaceAzureAD

      • 如果此列未 注册,则注册可能存在问题。 通常,取消注册并重新注册设备会解析此状态。

    • Intune 合规:应为 “是”。 如果 显示“否 ”,则合规性策略可能存在问题,或者设备未连接到 Intune 服务。 例如,设备可能已关闭,或者可能没有网络连接。 最终,设备变得不合规,可能在 30 天后。

      有关详细信息,请参阅 设备符合性策略入门。

    • 符合Microsoft项:应为 “是”。 如果 显示“否 ”,则合规性策略可能存在问题,或者设备未连接到 Intune 服务。 例如,设备可能已关闭,或者可能没有网络连接。 最终,设备变得不合规,可能在 30 天后。

      有关详细信息,请参阅 设备符合性策略入门。

    • 上次签入:应该是最近的时间和日期。 默认情况下,Intune 设备每隔 8 小时 签入一次,最后一次签入 值也会在 Intune 门户中每隔 8 小时更新一次。

      • 如果 上次签入 时间超过 24 小时,则设备可能存在问题。 无法签入的设备无法从 Intune 接收策略。

      • 强制签入:

        • 在 Android 设备上,打开公司门户应用>设备>从列表中选择>“检查设备设置”中的设备。
        • 在 iOS/iPadOS 设备上,打开公司门户应用>设备>从“检查设置”列表中选择>设备。
        • 在 Windows 设备上,打开“设置>帐户>访问工作或学校>”选择帐户或 MDM 注册>信息>同步。

    • 选择设备以查看特定于策略的信息。

      设备符合性显示分配给设备的符合性 策略的状态。

      设备配置 显示分配给设备的配置策略的状态。

      如果预期策略未显示在“设备符合性”或“设备配置”下,则策略不会正确定位。 打开策略,并将策略分配给此用户或设备。

      策略状态

      • 不适用:此平台不支持此策略。 例如,iOS/iPadOS 策略不适用于 Android。 Samsung KNOX 策略不适用于 Windows 设备。
      • 冲突:Intune 无法替代设备上的现有设置。 或者,你使用不同的值部署了两个具有相同设置的策略。
      • 挂起:设备尚未签入 Intune 以获取策略。 或者,设备收到了策略,但尚未将状态报告给 Intune。
      • 错误:在排查公司资源访问问题查找错误和可能的解决方法。

检查租户状态

检查租户状态,确认订阅处于活动状态。 还可以查看可能影响策略或配置文件部署的活动事件和公告的详细信息。

确认已正确应用配置文件

  1. 登录 Microsoft Intune 管理中心

  2. 选择“设备>所有设备>”,选择设备>配置。

    每个设备都会列出其配置文件。 每个配置文件都有一个 状态。 当所有分配的配置文件(包括硬件和 OS 限制和要求)一起考虑时,状态适用。 可能的状态包括:

    • 符合性:设备收到了配置文件,并向 Intune 报告它符合设置。

    • 不适用:配置文件设置不适用。 例如,iOS/iPadOS 设备的电子邮件设置不适用于 Android 设备。

    • 挂起:配置文件将发送到设备,但尚未将状态报告给 Intune。 例如,Android 上的加密要求用户启用加密,并可能显示为挂起。

有关详细信息,请参阅 Microsoft Intune 中的“监视设备配置文件”

将访问规则保存到 Exchange 失败

问题:在管理控制台中收到“将访问规则保存到 Exchange”的警报 失败

如果在 Exchange 本地策略工作区(管理控制台)中创建策略,但使用的是 Microsoft 365,则 Intune 不会强制实施配置的策略设置。 在警报中,记下策略源。 在 Exchange 本地策略工作区下,删除旧规则。 旧规则是 Intune 中用于本地 Exchange 的全局 Exchange 规则,与 Microsoft 365 无关。 然后,为 Microsoft 365 创建新策略。

排查 Intune 本地 Exchange 连接器 问题可能是一个很好的资源。

无法更改已注册设备的安全策略

取消分配策略(停止部署)时,Windows 10 设备可能无法删除安全策略。 可能需要保留分配的策略,然后将安全设置更改回默认值。

如果要将策略更改为安全性较低的值,可能需要重置安全策略,具体取决于设备平台。

例如,在 Windows 8.1 的桌面上,从右轻扫以打开 超级按钮 栏。 选择“设置控制面板>>用户帐户。 在左侧,选择“重置安全策略链接,然后选择“重置策略”。

其他平台(如 Android 和 iOS/iPadOS)可能需要停用并重新注册才能应用限制较少的策略。