Microsoft Intune 中原則和設定檔的常見問題、解答和案例
重要事項
在 2022 年 10 月 22 日,Microsoft Intune 終止了對執行 Windows 8.1 之裝置的支援。 無法在這些裝置上使用技術協助和自動更新。
如果您目前使用 Windows 8.1,請移至 Windows 10/11 裝置。 Microsoft Intune 具有管理 Windows 10/11 用戶端裝置的內建安全性和裝置功能。
取得在 Intune 中使用原則作業時常見問題的解答。 本文也會列出簽入時間間隔、提供有關衝突的更多詳細資訊等等。
本文適用於下列原則:
- 應用程式防護原則
- 應用程式設定原則
- 合規性原則
- 條件式存取原則
- 裝置組態設定檔
- 註冊原則
原則重新整理間隔
當裝置簽入時,它會立即檢查目前使用者/裝置內容的合規性、不符合規範和設定,並接收指派給它的任何擱置動作、原則和應用程式。
簽入有 4 種主要類型:
排程簽入 - 這些簽入會在預先決定的間隔進行,而且可由客戶端或服務根據平臺起始。 簽入的估計方式如下:
| 平台 | 預估重新整理週期 |
|---|---|
| Android (AOSP) | 大約每 8 小時一次 |
| iOS/iPadOS | 大約每 8 小時一次 |
| macOS | 大約每 8 小時一次 |
| 註冊為裝置的 Windows 10/11 電腦 | 大約每 8 小時一次 |
使用者驅動的簽入 – 這些簽入是由終端使用者在 公司入口網站 應用程式中執行特定動作時所驅動,例如進入 [裝置>檢查狀態] 或 [設定>同步處理] 以檢查原則或配置檔更新,或選取要下載的應用程式。
管理員 簽入 - 這些簽入是由系統管理員從 Intune 入口網站對單一裝置執行特定動作時所驅動,例如裝置同步、遠端鎖定或重設密碼。 遠端 協助使用者 等其他動作不會造成裝置簽入。
以通知為基礎的簽入 - 這些簽入會透過觸發通知的不同動作來進行。 例如,當指派原則、配置檔或應用程式 (或未指派) 、更新、刪除,或在幕後進行某些變更時,例如 Microsoft Entra 群組成員資格更新。 其他變更不會立即通知裝置,例如將應用程式新增至您的使用者。
Intune 會通知在線裝置簽入 Intune 服務。 通知時間從立即到幾小時不等。 這些通知時間也會因平台而異。
在 Android 裝置上, Google 行動服務 (GMS) 可能會影響原則重新整理間隔。
在 iOS 裝置上, 特定條件可能會影響原則重新整理間隔。
離線裝置,例如已關閉電源或中斷連線的裝置,可能不會收到通知。 在此情況下,裝置會在下次排程簽入時取得原則或配置檔,並 Intune。
注意事項
Intune 報告可能需要額外的時間,才能在 Intune 入口網站中反映裝置上原則的最新狀態。
此外,當裝置第一次註冊時,組態簽入會更頻繁地執行,以執行設定、合規性和不符合規範的檢查。 簽入的估計方式如下:
| 平台 | 預估重新整理週期 |
|---|---|
| Android (AOSP) | 每 3 分鐘一次,持續 15 分鐘,然後每 15 分鐘一次,持續 2 小時,然後大約每 8 小時一次 |
| iOS/iPadOS | 每 15 分鐘一次,持續 1 小時,然後大約每 8 小時一次 |
| macOS | 每 15 分鐘一次,持續 1 小時,然後大約每 8 小時一次 |
| 註冊為裝置的 Windows 10/11 電腦 | 每 3 分鐘一次,持續 15 分鐘,然後每 15 分鐘一次,持續 2 小時,然後大約每 8 小時一次 |
如需應用程式防護原則重新整理間隔,請移至 應用程式防護原則傳遞時間。
公司入口網站
用戶隨時都可以開啟 公司入口網站 應用程式,並流覽至 [裝置>檢查狀態] 以評估裝置的設定,並確認公司或學校資源的存取權,或流覽至 [設定>同步] 以取得組織的最新更新、需求和通訊。
如需 Intune 管理擴充功能代理程式或 Win32 應用程式的相關資訊,請參閱 Microsoft Intune 中的 Win32 應用程式管理。
如需相關信息,請參閱同步 Windows 的已註冊裝置和檢查 windows 公司入口網站 中的裝置存取權。
Conflicts
當不同的原則將相同的設定更新為不同的值時,可能會發生衝突。 例如,您有兩個原則,可將複製/貼上設定更新為不同的值。 根據原則的類型,衝突的處理方式會有所不同。
如果您在 Intune 中使用 Microsoft Copilot,則 Copilot 可協助您解決衝突。 如需詳細資訊,請移至 Intune 中的 Copilot 中的原則和設定管理。
您也可以使用 Intune 中的 Microsoft Copilot,以取得原則和原則中所設定的設定之詳細資訊。
衝突的應用程式防護原則
衝突值是應用程式防護原則中最嚴格的設定。 例外狀況是數值輸入欄位,例如重設前的 PIN 嘗試。 數值輸入欄位的設定與值相同,就像您使用建議的設定選項建立 MAM 原則一樣。
當兩個設定檔設定相同時,就會發生衝突。 例如,您設定了兩個除了複製/貼上設定以外的相同 MAM 原則。 在此案例中,複製/貼上設定便會設定為最嚴格的值。 其餘的設定會依設定適用。
原則會部署至應用程式並生效。 已部署第二個原則。 在此案例中,第一個原則會優先使用,並持續適用。 第二個原則顯示衝突。 如果兩者同時適用,即表示沒有優先原則,則兩者便會發生衝突。 任何衝突的設定都會設定為限制最嚴格的值。
衝突的合規性和裝置設定原則
將兩個或多個原則指派給相同的使用者或裝置時,適用的設定會發生在個別的設定層級:
如果使用合規性原則來評估裝置設定,則合規性原則中的設定優先於裝置設定原則中的相同設定。 合規性原則設定一律優先於組態設定檔設定。
如果合規性原則是根據另一個合規性原則中的相同設定進行評估,則適用最嚴格的合規性原則設定。
如果設定原則設定與另一個設定原則中的設定衝突,則此衝突會顯示在 Intune 中。 手動解決這些衝突。
在 Intune 系統管理中心,您可以在幾個位置建立設定原則,包括群組原則分析、端點安全性、安全性基準等等。 如果發生衝突,且您有多個原則,則請檢查您所有已設定原則的位置。 此外,內建的報告功能可協助解決衝突。 如需可用報告的詳細資訊,請移至 Intune 報告。
衝突的自訂 iOS/iPadOS 或 macOS 原則
Intune 不會評估 Apple 設定檔案或自訂開放式行動聯盟統一資源識別項 (OMA-URI) 原則的承載。 它只作為傳遞機制使用。
當您指派自訂原則時,請確認設定的設定不會與合規性、設定或其他自訂原則衝突。 如果自訂原則及其設定發生衝突,則 Apple 會隨機套用設定。
內建的報告功能可協助解決衝突。 如需可用報告的詳細資訊,請移至 Intune 報告。
設定檔已刪除或不再適用
當您刪除設定檔,或從已指派設定檔的群組中移除裝置時,系統會從裝置中移除設定檔和設定。 具體而言,系統會移除它們,如下列清單所述:
Wi-Fi、VPN、憑證和電子郵件設定檔: 這些設定檔會從所有支援的已註冊裝置中移除。
所有其他設定檔類型:
Android 裝置: 設定不會從裝置中移除。
iOS/iPadOS: 移除所有設定,但下列項目除外:
- 允許語音漫遊
- 允許數據漫遊
- 允許漫遊時自動同步處理
Windows 裝置: 在您移除或取消指派設定檔後,請讓 Microsoft Entra 使用者登入裝置,並 與 Intune 服務同步。
Intune 設定是以 Windows 設定服務提供者 (CSP) 為基礎。 行為取決於 CSP。 有些 CSP 會移除設定,而某些 CSP 會保留設定,這也稱為永久設定。
設定檔適用於使用者群組。 稍後,系統會從群組中移除使用者。 若要從該使用者移除設定,最多可能需要 7 小時以上的時間:
- 要從 Intune 系統管理中心的原則指派中移除的設定檔
- 使用 (本文中的) 平台特定原則重新整理週期 與 Intune 物件同步的裝置
我已變更裝置限制設定檔,但變更尚未生效
若要套用較不嚴格的設定檔,某些裝置可能需要淘汰並重新註冊至 Intune。 例如,您可能必須淘汰並重新註冊 Android、iOS/iPadOS 和 Windows 用戶端裝置。
Windows 10/11 設定檔中的某些設定會傳回「不適用」
Windows 用戶端裝置上的某些設定可能會顯示為 [不適用]。 發生這種情況時,該裝置上執行的 Windows 版本或版本不支援該特定設定。 發生此訊息的原因如下:
- 此設定僅適用於較新版本的 Windows,而不適用於裝置上的目前作業系統 (OS) 版本。
- 此設定僅適用於特定 Windows 版本或特定 SKU,例如家用版、專業版、企業版和教育版。
若要深入瞭解不同設定的版本和版本需求,請參閱 設定服務提供者 (CSP) 參考內容。
裝置註冊時,套用指派給動態裝置群組的應用程式和原則會有所延遲
在註冊期間,您可以使用 Microsoft Entra 動態裝置群組。 例如,您可以根據裝置的名稱或註冊設定檔建立動態裝置群組。
註冊設定檔會在初始裝置設定期間,套用至裝置記錄。 Microsoft Entra 動態分組非即時性。 裝置可能會一段時間都不在動態群組中,取決於租用戶中所進行的其他變更,這可能會是幾分鐘到數小時的時間。
如果該裝置未新增至該群組,則您的應用程式和原則不會在初始 Intune 簽入期間指派給裝置。 在下次排程的簽入之前,可能不適用該原則。
如果快速傳遞應用程式和原則對於您的設定/註冊案例非常重要的話,請將您的應用程式和原則指派給使用者群組,而非動態裝置群組。 使用者群組會在裝置設定之前預先填入成員,且不會有此延遲。
如需動態群組的詳細資訊,請移至:
「無法起始同步 (0x80072f9a) 」錯誤
在 Windows 裝置上,當您嘗試在 [設定] 應用程式 > [帳戶>存取公司或學校] 中進行同步處理時,您可能會看到The sync could not be initiated (0x80072f9a)錯誤。
如果信賴平臺模組 (TPM) 重設為原廠設定,則裝置必須重新註冊才能繼續同步處理。 裝置的 Microsoft Entra 身分識別會儲存在 TPM 中。 因此,如果移除標識符,則重新註冊是重新建立 Microsoft Entra 身分識別的唯一方式。
相關文章
- 疑難排解原則和設定檔。
- 需要額外的協助嗎? 請參閱 如何在 Microsoft Intune 中取得支援。