通过

Microsoft Intune 中策略和配置文件的常见问题、解答和方案

重要

2022 年 10 月 22 日,Microsoft Intune 终止了对运行 Windows 8.1 的设备的支持。 这些设备上的技术协助和自动更新不可用。

获取在 Intune 中使用策略时的常见问题的解答。 此外,本文还列出了签入时间间隔,详细说明了冲突等。

本文适用于以下策略:

  • 应用保护策略
  • 应用配置策略
  • 合规性策略
  • 条件访问策略
  • 设备配置文件
  • 注册策略

策略刷新间隔

当设备与 Intune 同步时,它会检查当前用户或设备上下文的配置,并接收分配给它的所有挂起的作、策略和应用。

有关应用保护策略刷新间隔,请转到 应用保护策略传递计时

设备同步主要有三种类型 - 基于更改、客户端启动和单个设备。

基于更改

当不同的作触发设备同步通知时,会发生这些同步。例如,当策略、配置文件或应用被分配 (或未分配) 、更新或删除时,会触发同步。 或者,进行Microsoft Entra组成员身份更新等更改时。 将应用添加为可用等更改不会立即通知设备。

Intune 通知联机设备与 Intune 服务同步。 通知时间可能从即时到几个小时不等。 它们也可能因平台而异。 若要了解详细信息,请参阅:

脱机设备(如关机时)或断开连接的设备可能无法收到通知。 在这种情况下,设备会在下次与 Intune 同步时获取策略或配置文件。

注意

客户端已启动

以下客户端同步是在响应设备事件或状态更改时发生的,例如用户登录设备时或恶意软件状态发生更改时:

  • 维护同步 - 这些同步包括大量客户端启动的同步,它们以预定的间隔进行。 客户端或服务可以启动同步,具体取决于平台。 所有平台的估计检查计划大约每 8 小时一次。

    与客户端计划无关,每 6.5 小时仅允许设备进行一次维护同步。

  • 新注册的设备 - 设备首次注册时,同步会更频繁地运行以运行配置、符合性和不符合性检查。 预计签入频率:

    平台 估计刷新周期
    Android, AOSP 15 分钟内每 3 分钟一次,接下来的 2 小时内每 15 分钟一次,之后每 8 小时一次
    iOS/iPadOS 1 小时内每 15 分钟一次,之后每 8 小时一次
    macOS 1 小时内每 15 分钟一次,之后每 8 小时一次
    Windows 15 分钟内每 3 分钟一次,接下来的 2 小时内每 15 分钟一次,之后每 8 小时一次

单个设备

管理员或最终用户在单个设备上运行某些作时启动以下检查:

公司门户

用户可以随时打开公司门户应用并导航到“设备>检查状态”,以评估设备的设置并验证对工作或学校资源的访问权限,或者导航到“设置同步”>以获取组织的最新更新、要求和通信。

有关 Intune 管理区代理或 Win32 应用的相关信息,请参阅 Microsoft Intune 中的 Win32 应用管理

有关相关信息,请参阅同步注册的 Windows 设备和在 公司门户 for Windows 中检查设备访问权限

冲突

当不同的策略将同一设置更新为不同的值时,可能会发生冲突。 例如,你有两个策略将复制/粘贴设置更新为不同的值。 冲突的处理方式因策略类型而异。

如果在 Intune 中使用Microsoft Copilot,则 Copilot 可以帮助你解决冲突。 有关详细信息,请转到 Intune 中 Copilot 中的策略和设置管理

还可以在 Intune 中使用 Microsoft Copilot 获取有关策略和策略中配置的设置的详细信息。

应用保护冲突的策略

冲突值是应用保护策略中最严格的设置。 例外情况是数字输入字段,例如重置前的 PIN 尝试。 数值输入字段的设置与值相同,就像使用建议的设置选项创建 MAM 策略一样。

两个配置文件设置相同时即会发生冲突。 例如,除复制/粘贴设置外,你配置了两个完全相同的 MAM 策略。 在此方案中,复制/粘贴设置设置为限制性最强的值。 其余设置按配置应用。

将一个策略部署到应用,并应用它。 部署第二个策略。 在此场景中,第一个策略优先,并始终应用。 第二个策略将显示冲突。 如果同时应用两个策略,即它们的优先级一样,则两个都会显示冲突。 任何冲突的设置都将设定为限制最严格的值。

冲突的合规性和设备配置策略

将两个或更多策略分配给同一用户或设备时,将在单个设置级别应用设置:

  • 如果使用合规性策略评估设备设置,则合规性策略中的设置优先于设备配置策略中的相同设置。 合规性策略设置始终优先于配置的配置文件设置。

  • 如果某个符合性策略针对不同符合性策略中的相同设置进行评估,则应用限制最严格的符合性策略设置。

  • 如果配置策略设置与其他配置策略设置冲突,此冲突会显示在 Intune 中。 手动解决这些冲突。

在 Intune 管理中心中,可以在几个位置创建配置策略,包括组策略分析、终结点安全性、安全基线等。 如果存在冲突并且有多个策略,则检查配置策略的所有位置。 此外,内置报告功能可帮助解决冲突。 有关可用报表的详细信息,请转到 Intune 报表

冲突的自定义 iOS/iPadOS 或 macOS 策略

Intune 不会评估 Apple 配置文件或自定义开放移动联盟统一资源标识符 (OMA-URI) 策略的负载。 它只作为传送机制。

分配自定义策略时,请确认配置的设置不会与符合性、配置或其他自定义策略冲突。 如果自定义策略及其设置冲突,Apple 会随机应用这些设置。

内置报告功能可帮助解决冲突。 有关可用报表的详细信息,请转到 Intune 报表

配置文件已删除或不再适用

删除配置文件或从分配了配置文件的组中删除设备时,将从设备中删除配置文件和设置。 具体而言,它们将按以下列表中所述删除:

  • Wi-Fi、VPN、证书和电子邮件配置文件:这些配置文件会从所有支持的已注册设备中删除。

  • 所有其他配置文件类型:

    • Android 设备:不会从设备中删除设置。

    • iOS/iPadOS:删除所有设置,但不包括:

      • 允许语音漫游
      • 允许数据漫游
      • 允许漫游时自动同步

    • Windows 设备:删除或取消分配配置文件后,让Microsoft Entra用户登录到设备,并与 Intune 服务同步

      Intune 设置基于 Windows 配置服务提供程序 (CSP)。 此行为取决于 CSP。 有些 CSP 会删除此设置,某些 CSP 会保留该设置,也称为纹身。

  • 配置文件适用于用户组。 稍后,将从组中删除用户。 从该用户删除设置最多需要 7 个小时或更久:

我更改了设备限制配置文件,但更改尚未生效

若要应用限制性较低的配置文件,某些设备可能需要停用并重新注册到 Intune。 例如,可能需要停用并重新注册 Android、iOS/iPadOS 和 Windows 客户端设备。

Windows 配置文件中的某些设置返回“不适用”

Windows 客户端设备上的某些设置可能显示为 “不适用”。 发生这种情况时,设备上运行的 Windows 的版本或版次不支持该特定设置。 出现此消息的可能原因如下:

  • 设置仅适用于较新版本的 Windows,而不适用于设备上的当前操作系统 (OS) 版本。
  • 设置仅适用于特定 Windows 版本或特定 SKU,如家庭版、专业版、企业版和教育版。

若要详细了解不同设置的版本要求,请参阅 配置服务提供程序 (CSP) 参考

设备注册时,应用分配给动态设备组的应用和策略会有延迟

在注册期间,可以使用Microsoft Entra动态设备组。 例如,可以根据设备的名称或注册配置文件创建动态设备组。

注册配置文件在初始设备设置期间应用于设备记录。 Microsoft Entra动态分组不是即时的。 设备可能在一段时间内不在动态组中,可能会有几分钟到几小时,具体取决于租户中所做的其他更改。

如果未将设备添加到组,则在初始 Intune 检查期间,不会将应用和策略分配给设备。 策略可能要到下一个计划检查才适用。

如果快速交付应用和策略对设置/注册方案很重要,请将应用和策略分配给用户组,而不是将应用和策略分配给动态设备组。 在设备设置之前,用户组会预先填充成员,并且不会有此延迟。

有关动态组的详细信息,请转到:

“无法启动同步 (0x80072f9a) ”错误

在 Windows 设备上,尝试在“设置”应用中>同步帐户>访问工作或学校时,可能会看到错误The sync could not be initiated (0x80072f9a)

如果受信任的平台模块 (TPM) 重置为出厂设置,则设备必须重新注册才能恢复同步。 设备的Microsoft Entra标识存储在 TPM 中。 因此,如果删除了 ID,则重新注册是重新建立Microsoft Entra标识的唯一方法。