Intune 是否會導致不必要的重新啟動?
我有一個 Intune 環境,我目前正在努力推出一個端點保護配置文件。有一個較舊的端點保護配置文件僅將應用程序控制推送為“僅審核”。此配置文件已完成對所有機器的更新。我從環境中刪除了這個配置文件,大量使用者開始收到重啟通知。他們無法推遲重新啟動,他們的機器將在接下來的 10 分鐘內重新啟動。我試圖找出刪除配置文件是否會導致這種情況。我唯一能發現的是,將更改推送到應用程序控制會導致機器重新啟動,但前提是發生更改。在今天的工作中沒有推動任何變化。
這裡要注意的另一個奇怪之處是並非每台機器都受到影響。我仍在收集確切的數字,但似乎有大量加入 Intune 的機器。
我能夠建立一個實驗室,執行幾個不同的測試,並確認一個答案。在 Intune Endpoint Protection 配置文件文件 ( https://docs.microsoft.com/en-us/mem/intune/protect/endpoint-protection-windows-10#microsoft-defender-application-control ) 中,有一個腳註說明聲明部署策略將導致重新啟動。沒有提到刪除配置文件也會這樣做。我已經能夠確認是這種情況,如果配置文件被刪除,所有分配的機器將被強制重啟。這在 Applocker csp 文件 ( https://docs.microsoft.com/en-us/windows/client-management/mdm/applocker-csp ) 中有進一步說明。
AppLocker CSP 將在應用策略或使用 AppLocker/ApplicationLaunchRestrictions/Grouping/CodeIntegrity/Policy URI 發生刪除時安排重新啟動。
此重新啟動的事件日誌是通用系統事件 ID 1074:
程序 C:\Windows\System32\RuntimeBroker.exe (
$$ computername $$) 已啟動電腦的重新啟動$$ computername $$代表使用者$$ domain\user $$由於以下原因:其他(計劃外)原因程式碼:0x0 關機類型:重新啟動評論:
在程式碼完整性事件部分下還記錄了一個事件,用於刪除和任何後續啟動應用程序控制項:
移動
程式碼完整性將禁用此引導會話的 whql 驅動程序強制執行。設置 0x0
添加
刷新並啟動程式碼完整性策略 {a244370e-44c9-4c06-b551-f6016e563076} DefaultWindowsAudit,id 031017。狀態 0x0
我將向 MSFT 文件送出更改以進行端點保護以反映這一點。感謝您的時間。