Perguntas, respostas e cenários comuns com políticas e perfis no Microsoft Intune
Importante
Em 22 de outubro de 2022, o Microsoft Intune encerrou o suporte para dispositivos que executam o Windows 8.1. A assistência técnica e as atualizações automáticas para esses dispositivos não estão disponíveis.
Se utilizar atualmente Windows 8.1, mude para dispositivos Windows 10/11. O Microsoft Intune tem recursos internos de segurança e dispositivos que gerenciam dispositivos clientes Windows 10/11.
Obtenha respostas para perguntas comuns ao trabalhar com políticas no Intune. Este artigo também lista os intervalos de tempo de check-in, fornece mais detalhes sobre conflitos e muito mais.
Este artigo se aplica às seguintes políticas:
- Políticas de proteção de aplicativos
- Políticas de configuração do usuário
- Políticas de conformidade
- Políticas de Acesso Condicional
- Perfis de configuração do dispositivo
- Políticas de registro
Intervalos de atualização de políticas
Quando um dispositivo faz o check-in, verifica imediatamente a conformidade, a não conformidade e a configuração do contexto de utilizador/dispositivo atual, recebendo quaisquer ações, políticas e aplicações pendentes atribuídas ao mesmo.
Existem 4 tipos main de marcar:
Marcar-ins agendados – estes marcar ocorrem em intervalos pré-definidos e podem ser iniciados pelo cliente ou serviço, consoante a plataforma. Os marcar são estimados da seguinte forma:
Plataforma | Ciclo de atualização estimado |
---|---|
Android, AOSP | Aproximadamente a cada oito horas |
iOS/iPadOS | Aproximadamente a cada oito horas |
macOS | Aproximadamente a cada oito horas |
Computadores com Windows 10/11 registrados como dispositivos | Aproximadamente a cada oito horas |
Marcar-ins orientadas pelo utilizador final – estes marcar são impulsionados pelos utilizadores finais quando efetuam determinadas ações na aplicação Portal da Empresa, como aceder a Dispositivos>Verificar Estado ou Sincronizar Definições> para marcar para atualizações de políticas ou perfis ou selecionar uma aplicação para transferência.
Administração marcar- Estes marcar-ins são impulsionados por administradores quando efetuam determinadas ações num único dispositivo a partir do portal do Intune, como a sincronização de dispositivos, o bloqueio remoto ou o código de acesso de reposição. Outras ações, como ajudar remotamente os utilizadores, não fazem com que um dispositivo marcar.
Marcar-ins baseados em notificações – estes marcar-ins ocorrem através de diferentes ações que acionam uma notificação. Por exemplo, quando uma política, perfil ou aplicação é atribuída (ou não atribuída), atualizada, eliminada ou quando determinadas alterações nos bastidores, como Microsoft Entra atualizações de associação a grupos são efetuadas. Outras alterações não causam uma notificação imediata aos dispositivos, como adicionar uma aplicação conforme disponível para os seus utilizadores.
Intune notifica os dispositivos online para marcar com o serviço de Intune. Os tempos de notificação variam de imediato até algumas horas. Esses tempos de notificação também variam de acordo com as plataformas.
Em dispositivos Android, o Google Mobile Services (GMS) pode afetar os intervalos de atualização de políticas.
Em dispositivos iOS, as condições específicas podem afetar os intervalos de atualização de políticas.
Um dispositivo offline, como um dispositivo desligado ou desligado, poderá não receber as notificações. Neste caso, o dispositivo obtém a política ou perfil no próximo marcar agendado com Intune.
Observação
Poderá demorar mais tempo para Intune relatórios refletirem a status mais recente da política no dispositivo no portal do Intune.
Além disso, quando os dispositivos são inscritos pela primeira vez, os marcar de configuração são executados com mais frequência para efetuar verificações de configuração, conformidade e não conformidade. Os marcar são estimados da seguinte forma:
Plataforma | Ciclo de atualização estimado |
---|---|
Android, AOSP | A cada três minutos por 15 minutos e, depois, a cada 15 minutos por duas horas e, depois, a cada oito horas |
iOS/iPadOS | A cada 15 minutos por uma hora e, depois, a cada oito horas |
macOS | A cada 15 minutos por uma hora e, depois, a cada oito horas |
Computadores com Windows 10/11 registrados como dispositivos | A cada três minutos por 15 minutos e, depois, a cada 15 minutos por duas horas e, depois, a cada oito horas |
Para os intervalos de atualização da política de proteção de aplicativos, vá para Tempo de entrega da Política de Proteção de Aplicativo.
Portal da empresa
Em qualquer altura, os utilizadores podem abrir a aplicação Portal da Empresa e navegar para Estado deVerificação de Dispositivos> para avaliar as definições do seu dispositivo e verificar o acesso aos recursos escolares ou profissionais ou navegar para Sincronização de Definições>para obter as atualizações, requisitos e comunicações mais recentes da sua organização.
Para obter informações relacionadas sobre o agente da Extensão de Gerenciamento do Intune ou aplicativos Win32, confira Gerenciamento de aplicativos Win32 no Microsoft Intune.
Para obter informações relacionadas, consulte Sincronizar dispositivos inscritos para Windows e Verificar o acesso do dispositivo no Portal da Empresa para Windows.
Conflitos
Podem ocorrer conflitos quando políticas diferentes atualizam a mesma configuração para valores diferentes. Por exemplo, você tem duas políticas que atualizam a configuração de cópia/colagem para valores diferentes. O conflito é tratado de forma diferente, dependendo do tipo de política.
Se você usar o Microsoft Copilot no Intune, o Copilot poderá ajudar você a resolver conflitos. Para obter mais informações, vá para Gerenciamento de políticas e configurações no Copilot no Intune.
Você também pode usar o Microsoft Copilot no Intune para obter mais informações sobre suas políticas e as configurações definidas em suas políticas.
Políticas de proteção de aplicativos que entram em conflito
Os valores referentes a conflitos são as configurações mais restritivas disponíveis em uma política de proteção de aplicativos. A exceção são os campos de entradas numéricas, como tentativas de digitar o PIN antes de uma reinicialização. Os campos de entradas numéricas são configurados da mesma forma que os valores, como se você tivesse criado uma política de MAM usando a opção “configurações recomendadas”.
Ocorrem conflitos quando duas configurações de perfil são iguais. Por exemplo, você configurou duas políticas de MAM idênticas, exceto pela configuração de copiar/colar. Nesse cenário, a configuração para cópia/colar é definida como o valor mais restritivo. As demais configurações se aplicam conforme o configurado.
Uma política é implantada para o aplicativo e entra em vigor. Uma segunda política é implantada. Nesse cenário, a primeira política tem precedência e continua sendo aplicada. A segunda política mostra um conflito. Se as duas são aplicadas ao mesmo tempo, o que significa que não há uma política anterior, as duas ficam em conflito. As configurações conflitantes são definidas para os valores mais restritivos.
Políticas de conformidade e configuração de dispositivos que entram em conflito
Quando duas ou mais políticas são atribuídas ao mesmo usuário ou dispositivo, a configuração que se aplica acontece no nível da configuração individual:
Se utilizar políticas de conformidade para avaliar as definições do dispositivo, as definições na política de conformidade têm precedência sobre a mesma definição nas políticas de configuração do dispositivo. As configurações da política de conformidade sempre têm precedência sobre as definições da configuração do perfil.
Se uma política de conformidade é avaliada em relação à mesma configuração em outra política de conformidade, a configuração de política de conformidade mais restritiva é aplicada.
Se a definição de uma política de configuração está em conflito com uma configuração em outra política de configuração, esse conflito é exibido no Intune. Resolva esses conflitos manualmente.
No centro de administração do Intune, há alguns locais em que você pode criar políticas de configuração, incluindo análise de Política de Grupo, segurança de ponto de extremidade, linhas de base de segurança e muito mais. Se houver um conflito e você tiver várias políticas, verifique todos os locais em que configurou as políticas. Além disso, os recursos de relatórios internos podem ajudar com os conflitos. Para obter mais informações sobre os relatórios disponíveis, acesse Relatórios do Intune.
Políticas personalizadas do iOS/iPadOS ou macOS que entram em conflito
O Intune não avalia o conteúdo dos arquivos de Configuração da Apple nem uma política personalizada de OMA-URI (Uniform Resource Identifier da Open Mobile Alliance). Ele simplesmente serve como o mecanismo de entrega.
Ao atribuir uma política personalizada, confirme se as configurações definidas não entram em conflito com as políticas de conformidade e de configuração ou com outras políticas personalizadas. Se uma política personalizada e suas configurações entrarem em conflito, a Apple aplicará as configurações aleatoriamente.
Os recursos de relatórios internos podem ajudar com os conflitos. Para obter mais informações sobre os relatórios disponíveis, acesse Relatórios do Intune.
Um perfil foi excluído ou não é mais aplicável
Quando você exclui um perfil ou remove um dispositivo de um grupo atribuído ao perfil, o perfil e as configurações são removidos do dispositivo. Especificamente, são removidos conforme descrito na lista a seguir:
Perfis de email, certificado, VPN e Wi-Fi: esses perfis são removidos de todos os dispositivos registrados com suporte.
Todos os outros tipos de perfil:
Dispositivos Android: As configurações não são removidas do dispositivo.
iOS/iPadOS: todas as configurações são removidas, exceto:
- Permitir roaming de voz
- Permitir roaming de dados
- Permitir sincronização automática durante roaming
Dispositivos Windows: Depois de remover ou cancelar a atribuição do perfil, faça com que o usuário do Microsoft Entra entre no dispositivo e sincronize com o serviço Intune.
As configurações do Intune se baseiam em CSPs (provedor de serviços de configuração) do Windows. O comportamento depende do CSP. Alguns CSPs removem a configuração, enquanto outros mantêm a configuração, também chamada de tattooing.
Um perfil se aplica a um grupo de usuários. Posteriormente, um usuário é removido do grupo. Para que as configurações sejam removidas desse usuário, pode levar até 7 horas ou mais para:
- O perfil a ser removido da atribuição de política no centro de administração do Intune
- O dispositivo a ser sincronizado com o objeto do Intune usando o ciclo de atualização de política específico da plataforma (neste artigo)
Alterei um perfil de restrição de dispositivo, mas as alterações não entraram em vigor
Para aplicar um perfil menos restritivo, alguns dispositivos talvez precisem ser desativados e registrados novamente no Intune. Por exemplo, talvez seja necessário desativar e registrar novamente os dispositivos clientes Android, iOS/iPadOS e Windows.
Algumas configurações em um perfil Windows 10/11 retornam "Não Aplicável"
Algumas configurações em dispositivos clientes Windows podem ser exibidas como Não Aplicáveis. Quando essa situação acontecer, a configuração específica não será compatível com a versão ou edição do Windows em execução no dispositivo. Essa mensagem pode ocorrer pelos seguintes motivos:
- A configuração só está disponível para versões mais recentes do Windows, não para a versão atual de sistema operacional do dispositivo.
- A configuração só está disponível para edições ou SKUs específicos do Windows, como Home, Professional, Enterprise e Education.
Para saber mais sobre os requisitos de versão e edição para as diferentes configurações, consulte a referência Provedor de Serviços de Configuração (CSP).
Quando os dispositivos se registram, há um atraso na aplicação de aplicativos e políticas atribuídos a grupos dinâmicos de dispositivos
Durante o registro, você pode usar grupos de dispositivos dinâmicos do Microsoft Entra. Por exemplo, você pode criar um grupo dinâmico de dispositivos com base no nome ou no perfil de registro de um dispositivo.
O perfil de inscrição é aplicado ao registro do dispositivo durante a configuração inicial do dispositivo. O agrupamento dinâmico do Microsoft Entra não é instantâneo. O dispositivo pode não estar no grupo dinâmico por algum tempo, possivelmente de minutos a horas, dependendo de outras alterações que estejam sendo feitas em seu locatário.
Se o dispositivo não for adicionado ao grupo, seus aplicativos e políticas não serão atribuídos ao dispositivo durante o check-in inicial do Intune. As políticas podem não ser aplicadas até o próximo check-in agendado.
Se a entrega rápida de aplicativos e políticas for importante para o seu cenário de configuração/registro, atribua seus aplicativos e políticas a grupos de usuários, não a grupos de dispositivos dinâmicos. Os grupos de usuários são preenchidos previamente com membros antes da configuração do dispositivo e não têm esse atraso.
Para obter mais informações sobre grupos dinâmicos, acesse:
- Adicionar grupos para organizar usuários e dispositivos no Intune
- Recomendações de desempenho ao usar o Intune para agrupar, direcionar e filtrar
- Regras de associação dinâmica para grupos no Microsoft Entra ID
Erro "Não foi possível iniciar a sincronização (0x80072f9a)"
Em dispositivos Windows, ao tentar sincronizar na aplicação >DefiniçõesContas>de Acesso profissional ou escolar, poderá ver um The sync could not be initiated (0x80072f9a)
erro.
Se o Trusted Platform Module (TPM) tiver sido reposto para as definições de fábrica, o dispositivo terá de voltar a ser inscrito para retomar a sincronização. A identidade Microsoft Entra do dispositivo é armazenada no TPM. Por isso, se o ID for removido, a inscrição é a única forma de restabelecer a identidade Microsoft Entra.
Artigos relacionados
- Solução de problemas de políticas e perfis.
- Precisa de mais ajuda? Consulte Como obter suporte no Microsoft Intune.