我有一个 Intune 环境,目前正在努力推出端点保护配置文件。有一个较旧的端点保护配置文件,它仅将应用程序控制推送为“仅审核”。此配置文件已完成更新所有计算机。我从环境中删除了此配置文件,大量用户开始收到重启通知。他们无法推迟重启,他们的计算机将在接下来的 10 分钟内重启。我试图找出删除配置文件是否会导致这种情况。我唯一能找到的是,将更改推送到应用程序控制会导致计算机重启,但前提是发生更改。今天的工作中没有推送任何更改。
需要注意的另一个奇怪之处是,并不是每台机器都受到了影响。我仍在收集确切的数字,但似乎有大量加入 Intune 的机器受到影响。
答案1
我能够设置一个实验室,运行几个不同的测试,并确认答案。在 Intune Endpoint Protection 配置文件文档 (https://docs.microsoft.com/en-us/mem/intune/protect/endpoint-protection-windows-10#microsoft-defender-application-control),有一个脚注指出部署策略将导致重新启动。没有提到删除配置文件也会导致同样的结果。我已经能够确认情况确实如此,如果删除配置文件,所有分配的机器都将被强制重新启动。Applocker csp 文档 (https://docs.microsoft.com/en-us/windows/client-management/mdm/applocker-csp)。
当应用策略或使用 AppLocker/ApplicationLaunchRestrictions/Grouping/CodeIntegrity/Policy URI 发生删除时,AppLocker CSP 将安排重新启动。
此次重启的事件日志是通用系统事件 ID 1074:
进程 C:\Windows\System32\RuntimeBroker.exe ([computername]) 已代表用户 [domain\user] 启动计算机 [computername] 的重新启动,原因如下:其他(计划外)原因代码:0x0 关机类型:重新启动注释:
代码完整性事件部分下还会记录一个事件,用于删除以及随后启动应用程序控制:
移动
代码完整性将禁用此启动会话的 whql 驱动程序强制执行。设置 0x0
添加
已刷新并激活代码完整性策略 {a244370e-44c9-4c06-b551-f6016e563076} DefaultWindowsAudit,ID 031017。状态 0x0
我将向 MSFT 文档提交一份更改,以反映端点保护。感谢您的时间。