我有一个 Intune 环境,我目前正在努力推出一个端点保护配置文件。有一个较旧的端点保护配置文件仅将应用程序控制推送为“仅审核”。此配置文件已完成对所有机器的更新。我从环境中删除了这个配置文件,大量用户开始收到重启通知。他们无法推迟重新启动,他们的机器将在接下来的 10 分钟内重新启动。我试图找出删除配置文件是否会导致这种情况。我唯一能发现的是,将更改推送到应用程序控制会导致机器重新启动,但前提是发生更改。在今天的工作中没有推动任何改变。
这里要注意的另一个奇怪之处是并非每台机器都受到影响。我仍在收集确切的数字,但似乎有大量加入 Intune 的计算机。
我能够建立一个实验室,运行几个不同的测试,并确认一个答案。在 Intune Endpoint Protection 配置文件文档 ( https://docs.microsoft.com/en-us/mem/intune/protect/endpoint-protection-windows-10#microsoft-defender-application-control ) 中,有一个脚注说明声明部署策略将导致重新启动。没有提到删除配置文件也会这样做。我已经能够确认是这种情况,如果配置文件被删除,所有分配的机器将被强制重启。这在 Applocker csp 文档 ( https://docs.microsoft.com/en-us/windows/client-management/mdm/applocker-csp ) 中有进一步说明。
此重新启动的事件日志是通用系统事件 ID 1074:
在代码完整性事件部分下还记录了一个事件,用于删除和任何后续启动应用程序控件:
移动
添加
我将向 MSFT 文档提交更改以进行端点保护以反映这一点。感谢您的时间。