Microsoft Intune 中原則和設定檔的常見問題、解答和案例
重要事項
在 2022 年 10 月 22 日,Microsoft Intune 終止了對執行 Windows 8.1 之裝置的支援。 無法在這些裝置上使用技術協助和自動更新。
如果您目前使用 Windows 8.1,請移至 Windows 10/11 裝置。 Microsoft Intune 具有管理 Windows 10/11 用戶端裝置的內建安全性和裝置功能。
取得在 Intune 中使用原則作業時常見問題的解答。 本文也會列出簽入時間間隔、提供有關衝突的更多詳細資訊等等。
本文適用於下列原則:
- 應用程式防護原則
- 應用程式設定原則
- 合規性原則
- 條件式存取原則
- 裝置組態設定檔
- 註冊原則
原則重新整理間隔
Intune 會通知裝置使用 Intune 服務進行簽入。 通知時間有所不同,包括立即通知到幾個小時內通知。 這些通知時間也會因平台而異。 在 Android 裝置上, Google 行動服務 (GMS) 可能會影響原則重新整理間隔。
如果裝置在第一次通知之後未簽入以取得原則或設定檔,Intune 會再嘗試三次。 離線裝置 (例如已關閉或未連線到網路的裝置),可能不會收到通知。 在此情況下,該裝置會在下次使用 Intune 服務的排程簽入時,取得原則或設定檔。 這同樣適用於不合規性檢查,包括從合規狀態轉變為不合規狀態的裝置。
估計 頻率:
平台 | 重新整理循環 |
---|---|
Android (AOSP) | 大約每 8 小時一次 |
iOS/iPadOS | 大約每 8 小時一次 |
macOS | 大約每 8 小時一次 |
註冊為裝置的 Windows 10/11 電腦 | 大約每 8 小時一次 |
Windows 8.1 | 大約每 8 小時一次 |
如果裝置最近註冊,則合規性、不合規性和設定簽入會更頻繁地執行。 在下列時間 估計 簽入:
平台 | Frequency |
---|---|
Android (AOSP) | 每 3 分鐘一次,持續 15 分鐘,然後每 15 分鐘一次,持續 2 小時,然後大約每 8 小時一次 |
iOS/iPadOS | 每 15 分鐘一次,持續 1 小時,然後大約每 8 小時一次 |
macOS | 每 15 分鐘一次,持續 1 小時,然後大約每 8 小時一次 |
註冊為裝置的 Windows 10/11 電腦 | 每 3 分鐘一次,持續 15 分鐘,然後每 15 分鐘一次,持續 2 小時,然後大約每 8 小時一次 |
Windows 8.1 | 每 5 分鐘一次,持續 15 分鐘,然後每 15 分鐘一次,持續 2 小時,然後大約每 8 小時一次 |
如需應用程式防護原則重新整理間隔,請移至 應用程式防護原則傳遞時間。
使用者可以隨時開啟 [公司入口網站] 應用程式,[裝置]>[檢查狀態] 或 [設定]>[同步處理],以立即檢查原則或設定檔更新。 如需 Intune 管理擴充功能代理程式或 Win32 應用程式的相關資訊,請參閱 Microsoft Intune 中的 Win32 應用程式管理。
立即將通知傳送至裝置的 Intune 動作
有不同的動作會觸發通知。 例如,指派 (或取消指派)、更新、刪除原則、設定檔或應用程式等時。 這些動作時間會因平台而異。
裝置會在收到簽入通知時,或在排定的簽入期間,使用 Intune 簽入。 當您針對裝置或使用者執行動作時,Intune 會立即通知裝置簽入以接收這些更新。 例如,當鎖定、密碼重設、應用程式或原則指派動作執行時,就會進行通知。
其他變更不會立即通知裝置,包括修改 [公司入口網站] 應用程式中的連絡資訊或對 .ipa
檔案的更新。
每次簽入時,系統便會套用原則或設定檔中的設定。 Windows 10 MDM 原則重新整理客戶部落格文章 可能是不錯的資源。
Conflicts
當不同的原則將相同的設定更新為不同的值時,可能會發生衝突。 例如,您有兩個原則,可將複製/貼上設定更新為不同的值。 根據原則的類型,衝突的處理方式會有所不同。
如果您在 Intune 中使用 Microsoft Copilot,則 Copilot 可協助您解決衝突。 如需詳細資訊,請移至 Intune 中的 Copilot 中的原則和設定管理。
您也可以使用 Intune 中的 Microsoft Copilot,以取得原則和原則中所設定的設定之詳細資訊。
衝突的應用程式防護原則
衝突值是應用程式防護原則中最嚴格的設定。 例外狀況是數值輸入欄位,例如重設前的 PIN 嘗試。 數值輸入欄位的設定與值相同,就像您使用建議的設定選項建立 MAM 原則一樣。
當兩個設定檔設定相同時,就會發生衝突。 例如,您設定了兩個除了複製/貼上設定以外的相同 MAM 原則。 在此案例中,複製/貼上設定便會設定為最嚴格的值。 其餘的設定會依設定適用。
原則會部署至應用程式並生效。 已部署第二個原則。 在此案例中,第一個原則會優先使用,並持續適用。 第二個原則顯示衝突。 如果兩者同時適用,即表示沒有優先原則,則兩者便會發生衝突。 任何衝突的設定都會設定為限制最嚴格的值。
衝突的合規性和裝置設定原則
將兩個或多個原則指派給相同的使用者或裝置時,適用的設定會發生在個別的設定層級:
如果使用合規性原則來評估裝置設定,則合規性原則中的設定優先於裝置設定原則中的相同設定。 合規性原則設定一律優先於組態設定檔設定。
如果合規性原則是根據另一個合規性原則中的相同設定進行評估,則適用最嚴格的合規性原則設定。
如果設定原則設定與另一個設定原則中的設定衝突,則此衝突會顯示在 Intune 中。 手動解決這些衝突。
在 Intune 系統管理中心,您可以在幾個位置建立設定原則,包括群組原則分析、端點安全性、安全性基準等等。 如果發生衝突,且您有多個原則,則請檢查您所有已設定原則的位置。 此外,內建的報告功能可協助解決衝突。 如需可用報告的詳細資訊,請移至 Intune 報告。
衝突的自訂 iOS/iPadOS 或 macOS 原則
Intune 不會評估 Apple 設定檔案或自訂開放式行動聯盟統一資源識別項 (OMA-URI) 原則的承載。 它只作為傳遞機制使用。
當您指派自訂原則時,請確認設定的設定不會與合規性、設定或其他自訂原則衝突。 如果自訂原則及其設定發生衝突,則 Apple 會隨機套用設定。
內建的報告功能可協助解決衝突。 如需可用報告的詳細資訊,請移至 Intune 報告。
設定檔已刪除或不再適用
當您刪除設定檔,或從已指派設定檔的群組中移除裝置時,系統會從裝置中移除設定檔和設定。 具體而言,系統會移除它們,如下列清單所述:
Wi-Fi、VPN、憑證和電子郵件設定檔: 這些設定檔會從所有支援的已註冊裝置中移除。
所有其他設定檔類型:
Android 裝置: 設定不會從裝置中移除。
iOS/iPadOS: 移除所有設定,但下列項目除外:
- 允許語音漫遊
- 允許數據漫遊
- 允許漫遊時自動同步處理
Windows 裝置: 在您移除或取消指派設定檔後,請讓 Microsoft Entra 使用者登入裝置,並 與 Intune 服務同步。
Intune 設定是以 Windows 設定服務提供者 (CSP) 為基礎。 行為取決於 CSP。 有些 CSP 會移除設定,而某些 CSP 會保留設定,這也稱為永久設定。
設定檔適用於使用者群組。 稍後,系統會從群組中移除使用者。 若要從該使用者移除設定,最多可能需要 7 小時以上的時間:
- 要從 Intune 系統管理中心的原則指派中移除的設定檔
- 使用 (本文中的) 平台特定原則重新整理週期 與 Intune 物件同步的裝置
我已變更裝置限制設定檔,但變更尚未生效
若要套用較不嚴格的設定檔,某些裝置可能需要淘汰並重新註冊至 Intune。 例如,您可能必須淘汰並重新註冊 Android、iOS/iPadOS 和 Windows 用戶端裝置。
Windows 10/11 設定檔中的某些設定會傳回「不適用」
Windows 用戶端裝置上的某些設定可能會顯示為 [不適用]。 發生這種情況時,該裝置上執行的 Windows 版本或版本不支援該特定設定。 發生此訊息的原因如下:
- 此設定僅適用於較新版本的 Windows,而不適用於裝置上的目前作業系統 (OS) 版本。
- 此設定僅適用於特定 Windows 版本或特定 SKU,例如家用版、專業版、企業版和教育版。
若要深入瞭解不同設定的版本和版本需求,請參閱 設定服務提供者 (CSP) 參考內容。
裝置註冊時,套用指派給動態裝置群組的應用程式和原則會有所延遲
在註冊期間,您可以使用 Microsoft Entra 動態裝置群組。 例如,您可以根據裝置的名稱或註冊設定檔建立動態裝置群組。
註冊設定檔會在初始裝置設定期間,套用至裝置記錄。 Microsoft Entra 動態分組非即時性。 裝置可能會一段時間都不在動態群組中,取決於租用戶中所進行的其他變更,這可能會是幾分鐘到數小時的時間。
如果該裝置未新增至該群組,則您的應用程式和原則不會在初始 Intune 簽入期間指派給裝置。 在下次排程的簽入之前,可能不適用該原則。
如果快速傳遞應用程式和原則對於您的設定/註冊案例非常重要的話,請將您的應用程式和原則指派給使用者群組,而非動態裝置群組。 使用者群組會在裝置設定之前預先填入成員,且不會有此延遲。
如需動態群組的詳細資訊,請移至:
「無法起始同步 (0x80072f9a) 」錯誤
在 Windows 裝置上,當您嘗試在 [設定] 應用程式 > [帳戶>存取公司或學校] 中進行同步處理時,您可能會看到The sync could not be initiated (0x80072f9a)
錯誤。
如果信賴平臺模組 (TPM) 重設為原廠設定,則裝置必須重新註冊才能繼續同步處理。 裝置的 Microsoft Entra 身分識別會儲存在 TPM 中。 因此,如果移除標識符,則重新註冊是重新建立 Microsoft Entra 身分識別的唯一方式。
相關文章
- 疑難排解原則和設定檔。
- 需要額外的協助嗎? 請參閱 如何在 Microsoft Intune 中取得支援。