共用方式為


Microsoft Intune 中原則和設定檔的常見問題、解答和案例

重要事項

在 2022 年 10 月 22 日,Microsoft Intune 終止了對執行 Windows 8.1 之裝置的支援。 無法在這些裝置上使用技術協助和自動更新。

如果您目前使用 Windows 8.1,請移至 Windows 10/11 裝置。 Microsoft Intune 具有管理 Windows 10/11 用戶端裝置的內建安全性和裝置功能。

取得在 Intune 中使用原則作業時常見問題的解答。 本文也會列出簽入時間間隔、提供有關衝突的更多詳細資訊等等。

本文適用於下列原則:

  • 應用程式防護原則
  • 應用程式設定原則
  • 合規性原則
  • 條件式存取原則
  • 裝置組態設定檔
  • 註冊原則

原則重新整理間隔

Intune 會通知裝置使用 Intune 服務進行簽入。 通知時間有所不同,包括立即通知到幾個小時內通知。 這些通知時間也會因平台而異。 在 Android 裝置上, Google 行動服務 (GMS) 可能會影響原則重新整理間隔

如果裝置在第一次通知之後未簽入以取得原則或設定檔,Intune 會再嘗試三次。 離線裝置 (例如已關閉或未連線到網路的裝置),可能不會收到通知。 在此情況下,該裝置會在下次使用 Intune 服務的排程簽入時,取得原則或設定檔。 這同樣適用於不合規性檢查,包括從合規狀態轉變為不合規狀態的裝置。

估計 頻率:

平台 重新整理循環
Android (AOSP) 大約每 8 小時一次
iOS/iPadOS 大約每 8 小時一次
macOS 大約每 8 小時一次
註冊為裝置的 Windows 10/11 電腦 大約每 8 小時一次
Windows 8.1 大約每 8 小時一次

如果裝置最近註冊,則合規性、不合規性和設定簽入會更頻繁地執行。 在下列時間 估計 簽入:

平台 Frequency
Android (AOSP) 每 3 分鐘一次,持續 15 分鐘,然後每 15 分鐘一次,持續 2 小時,然後大約每 8 小時一次
iOS/iPadOS 每 15 分鐘一次,持續 1 小時,然後大約每 8 小時一次
macOS 每 15 分鐘一次,持續 1 小時,然後大約每 8 小時一次
註冊為裝置的 Windows 10/11 電腦 每 3 分鐘一次,持續 15 分鐘,然後每 15 分鐘一次,持續 2 小時,然後大約每 8 小時一次
Windows 8.1 每 5 分鐘一次,持續 15 分鐘,然後每 15 分鐘一次,持續 2 小時,然後大約每 8 小時一次

如需應用程式防護原則重新整理間隔,請移至 應用程式防護原則傳遞時間

使用者可以隨時開啟 [公司入口網站] 應用程式,[裝置]>[檢查狀態][設定]>[同步處理],以立即檢查原則或設定檔更新。 如需 Intune 管理擴充功能代理程式或 Win32 應用程式的相關資訊,請參閱 Microsoft Intune 中的 Win32 應用程式管理

立即將通知傳送至裝置的 Intune 動作

有不同的動作會觸發通知。 例如,指派 (或取消指派)、更新、刪除原則、設定檔或應用程式等時。 這些動作時間會因平台而異。

裝置會在收到簽入通知時,或在排定的簽入期間,使用 Intune 簽入。 當您針對裝置或使用者執行動作時,Intune 會立即通知裝置簽入以接收這些更新。 例如,當鎖定、密碼重設、應用程式或原則指派動作執行時,就會進行通知。

其他變更不會立即通知裝置,包括修改 [公司入口網站] 應用程式中的連絡資訊或對 .ipa 檔案的更新。

每次簽入時,系統便會套用原則或設定檔中的設定。 Windows 10 MDM 原則重新整理客戶部落格文章 可能是不錯的資源。

Conflicts

當不同的原則將相同的設定更新為不同的值時,可能會發生衝突。 例如,您有兩個原則,可將複製/貼上設定更新為不同的值。 根據原則的類型,衝突的處理方式會有所不同。

如果您在 Intune 中使用 Microsoft Copilot,則 Copilot 可協助您解決衝突。 如需詳細資訊,請移至 Intune 中的 Copilot 中的原則和設定管理

您也可以使用 Intune 中的 Microsoft Copilot,以取得原則和原則中所設定的設定之詳細資訊。

衝突的應用程式防護原則

衝突值是應用程式防護原則中最嚴格的設定。 例外狀況是數值輸入欄位,例如重設前的 PIN 嘗試。 數值輸入欄位的設定與值相同,就像您使用建議的設定選項建立 MAM 原則一樣。

當兩個設定檔設定相同時,就會發生衝突。 例如,您設定了兩個除了複製/貼上設定以外的相同 MAM 原則。 在此案例中,複製/貼上設定便會設定為最嚴格的值。 其餘的設定會依設定適用。

原則會部署至應用程式並生效。 已部署第二個原則。 在此案例中,第一個原則會優先使用,並持續適用。 第二個原則顯示衝突。 如果兩者同時適用,即表示沒有優先原則,則兩者便會發生衝突。 任何衝突的設定都會設定為限制最嚴格的值。

衝突的合規性和裝置設定原則

將兩個或多個原則指派給相同的使用者或裝置時,適用的設定會發生在個別的設定層級:

  • 如果使用合規性原則來評估裝置設定,則合規性原則中的設定優先於裝置設定原則中的相同設定。 合規性原則設定一律優先於組態設定檔設定。

  • 如果合規性原則是根據另一個合規性原則中的相同設定進行評估,則適用最嚴格的合規性原則設定。

  • 如果設定原則設定與另一個設定原則中的設定衝突,則此衝突會顯示在 Intune 中。 手動解決這些衝突。

在 Intune 系統管理中心,您可以在幾個位置建立設定原則,包括群組原則分析、端點安全性、安全性基準等等。 如果發生衝突,且您有多個原則,則請檢查您所有已設定原則的位置。 此外,內建的報告功能可協助解決衝突。 如需可用報告的詳細資訊,請移至 Intune 報告

衝突的自訂 iOS/iPadOS 或 macOS 原則

Intune 不會評估 Apple 設定檔案或自訂開放式行動聯盟統一資源識別項 (OMA-URI) 原則的承載。 它只作為傳遞機制使用。

當您指派自訂原則時,請確認設定的設定不會與合規性、設定或其他自訂原則衝突。 如果自訂原則及其設定發生衝突,則 Apple 會隨機套用設定。

內建的報告功能可協助解決衝突。 如需可用報告的詳細資訊,請移至 Intune 報告

設定檔已刪除或不再適用

當您刪除設定檔,或從已指派設定檔的群組中移除裝置時,系統會從裝置中移除設定檔和設定。 具體而言,系統會移除它們,如下列清單所述:

  • Wi-Fi、VPN、憑證和電子郵件設定檔: 這些設定檔會從所有支援的已註冊裝置中移除。

  • 所有其他設定檔類型:

    • Android 裝置: 設定不會從裝置中移除。

    • iOS/iPadOS: 移除所有設定,但下列項目除外:

      • 允許語音漫遊
      • 允許數據漫遊
      • 允許漫遊時自動同步處理
    • Windows 裝置: 在您移除或取消指派設定檔後,請讓 Microsoft Entra 使用者登入裝置,並 與 Intune 服務同步

      Intune 設定是以 Windows 設定服務提供者 (CSP) 為基礎。 行為取決於 CSP。 有些 CSP 會移除設定,而某些 CSP 會保留設定,這也稱為永久設定。

  • 設定檔適用於使用者群組。 稍後,系統會從群組中移除使用者。 若要從該使用者移除設定,最多可能需要 7 小時以上的時間:

我已變更裝置限制設定檔,但變更尚未生效

若要套用較不嚴格的設定檔,某些裝置可能需要淘汰並重新註冊至 Intune。 例如,您可能必須淘汰並重新註冊 Android、iOS/iPadOS 和 Windows 用戶端裝置。

Windows 10/11 設定檔中的某些設定會傳回「不適用」

Windows 用戶端裝置上的某些設定可能會顯示為 [不適用]。 發生這種情況時,該裝置上執行的 Windows 版本或版本不支援該特定設定。 發生此訊息的原因如下:

  • 此設定僅適用於較新版本的 Windows,而不適用於裝置上的目前作業系統 (OS) 版本。
  • 此設定僅適用於特定 Windows 版本或特定 SKU,例如家用版、專業版、企業版和教育版。

若要深入瞭解不同設定的版本和版本需求,請參閱 設定服務提供者 (CSP) 參考內容

裝置註冊時,套用指派給動態裝置群組的應用程式和原則會有所延遲

在註冊期間,您可以使用 Microsoft Entra 動態裝置群組。 例如,您可以根據裝置的名稱或註冊設定檔建立動態裝置群組。

註冊設定檔會在初始裝置設定期間,套用至裝置記錄。 Microsoft Entra 動態分組非即時性。 裝置可能會一段時間都不在動態群組中,取決於租用戶中所進行的其他變更,這可能會是幾分鐘到數小時的時間。

如果該裝置未新增至該群組,則您的應用程式和原則不會在初始 Intune 簽入期間指派給裝置。 在下次排程的簽入之前,可能不適用該原則。

如果快速傳遞應用程式和原則對於您的設定/註冊案例非常重要的話,請將您的應用程式和原則指派給使用者群組,而非動態裝置群組。 使用者群組會在裝置設定之前預先填入成員,且不會有此延遲。

如需動態群組的詳細資訊,請移至:

「無法起始同步 (0x80072f9a) 」錯誤

在 Windows 裝置上,當您嘗試在 [設定] 應用程式 > [帳戶>存取公司或學校] 中進行同步處理時,您可能會看到The sync could not be initiated (0x80072f9a)錯誤。

如果信賴平臺模組 (TPM) 重設為原廠設定,則裝置必須重新註冊才能繼續同步處理。 裝置的 Microsoft Entra 身分識別會儲存在 TPM 中。 因此,如果移除標識符,則重新註冊是重新建立 Microsoft Entra 身分識別的唯一方式。