Deine Geräte sicher und konform zu halten, erfordert die Einhaltung der neuesten Richtlinien. Traditionell hat Microsoft Intune geplante Check-Ins verwendet, damit Geräte Richtlinienaktualisierungen erhalten. Eine neuere Funktion namens Config Refresh bietet einen dynamischeren Ansatz und eliminiert die Notwendigkeit häufiger Check-Ins.

Dieser Blogbeitrag erklärt, wie Config Refresh lokal auf Geräten funktioniert und wie es sich von einer Richtliniensynchronisation unterscheidet. Da Config Refresh beim Troubleshooting knifflig sein kann, zeige ich Dir auch, wie Du es bei Bedarf pausieren kannst.

Table of Contents

Config Refresh vs. Policy Sync: A Different Approach

Beide Funktionen arbeiten Hand in Hand. Eine Synchronisation ist immer Voraussetzung für Config Refresh.

Richtliniensynchronisation

  • Geräte melden sich in vordefinierten Intervallen (typischerweise alle 8 Stunden) oder bei bestimmten Auslösern (wie Benutzeraktionen) bei Intune an.
  • Während des Check-Ins ruft das Gerät alle neuen oder aktualisierten Richtlinien ab, die ihm zugewiesen wurden.
  • Dieser Ansatz stellt sicher, dass Richtlinien letztendlich angewendet werden, aber es kann zu Verzögerungen zwischen Änderungen und ihrer Umsetzung kommen. Das automatische Intervall beträgt hier 8 Stunden.

Config Refresh

  • Diese Funktion nutzt eine geplante Aufgabe auf dem registrierten Gerät.
  • Die Aufgabe überprüft lokal Abweichungen von der zuvor heruntergeladenen Konfiguration von Intune in einem viel häufigeren Intervall (konfigurierbar durch den Administrator).
  • Wenn eine Richtlinieneinstellung auf dem Gerät geändert wird, entweder manuell oder durch ein anderes Tool, erkennt Config Refresh die Abweichung und stellt die Einstellung automatisch auf den gewünschten Zustand in der Intune-Richtlinie zurück.

Analogie-Update: Denk an Config Refresh wie an einen Sicherheitsbeamten, der regelmäßig ein Gebäude patrouilliert, um sicherzustellen, dass alles an seinem vorgesehenen Platz bleibt. Wenn der Wächter etwas fehl am Platz findet, bringt er es zurück an seinen richtigen Ort.

Wann Config Refresh verwenden

Config Refresh ist besonders nützlich in Szenarien, in denen eine konsistente Richtlinieneinhaltung entscheidend ist:

  • Sicherheitskonfigurationen aufrechterhalten: Erzwinge kritische Sicherheitseinstellungen wie Verschlüsselung oder Passwortkomplexität, selbst wenn ein Benutzer versucht, sie lokal zu ändern.
  • Einhaltung von Compliance-Richtlinien: Stelle sicher, dass Geräte organisatorische Vorschriften oder interne Sicherheitsstandards einhalten, indem Abweichungen automatisch korrigiert werden.
  • Geräteeinstellungen standardisieren: Halte konsistente Konfigurationen über Deine gesamte Geräteflotte aufrecht und verhindere versehentliche oder unbefugte Änderungen.

Wichtiger Hinweis: Obwohl Config Refresh die Einhaltung zuvor heruntergeladener Konfigurationen sicherstellt, überprüft es nicht aktiv neue oder aktualisierte Richtlinien von Intune. Regelmäßige Geräte-Check-Ins sind weiterhin notwendig, um die neuesten Richtlinienversionen zu erhalten.

Config Refresh in Intune konfigurieren

Config Refresh ist nicht standardmäßig aktiv. Um es zu aktivieren, müssen wir ein Einstellungen-Katalog-Profil erstellen. Öffne dazu Intune und navigiere zu:

Devices > Windows > Configuration profiles und klicke auf "+ New Policy"
Wähle "Windows 10 and later" und "Settings catalog"

Gib der Richtlinie einen guten Namen und eine optionale Beschreibung:

New Config Refresh Policy in Intune

Füge die Einstellungen hinzu, indem Du nach „Config Refresh“ suchst und beide aktivierst:

Settings for Config Refresh in Intune

Nach der Zuweisung der Richtlinie an Dein Publikum wird Config Refresh aktiv sein.

Für einen tieferen Einblick, siehe Rudys Beitrag: Config Refresh | Intune | Offline Refresh Intune Policies (call4cloud.nl)

Config Refresh pausieren (on Demand)

Die Schritte zum Pausieren von Config Refresh sind sehr einfach. Du findest eine Aktion im Gerätemanagement in Intune:

manually pause Config Refresh

Denke jedoch daran, dass das Pausieren von Config Refresh zu einer Verzögerung bei der Durchsetzung der Compliance führen kann, bis zum nächsten erfolgreichen Geräte-Check-In mit Intune.

Wie lange wird Config Refresh pausiert?

Das ist eine gute Frage. Wenn wir in die CSP-Dokumentation schauen und nach dem „Pause Period“ suchen, sehen wir, dass der Standardwert „0“ ist. Bedeutet das, dass das Refresh überhaupt nicht pausiert wird?
DMClient CSP - Windows Client Management | Microsoft Learn
In der Vorschau musste diese Einstellung manuell über eine OMA-URI gesetzt werden.

Was sich geändert hat, seit die Funktion nur im Windows Insider-Kanal verfügbar war, ist, dass wir nun manuell den Zeitraum auswählen können, in dem für jede Pausenaktion aktualisiert werden soll.

definition of pause period of config refresh in Intune

Demo von "Pause config refresh"

Der technische Ablauf hinter der Pause ist sehr einfach: Sobald Du auf „Pause“ drückst, wird bis zur nächsten Auslösezeit der geplanten Aufgabe die von Dir definierte Anzahl von Minuten hinzugefügt.

Demo of Config Refresh Pause in Intune

Wann ist die nächste Aktualisierung auf deinem Gerät?

Config Refresh bietet leider keine integrierte Möglichkeit, die genaue Uhrzeit der nächsten Aktualisierung auf deinem Gerät direkt anzuzeigen. Der Aktualisierungsprozess wird jedoch durch eine geplante Aufgabe ausgelöst.

So kannst du die Konfiguration der geplanten Aufgabe überprüfen, um die Aktualisierungshäufigkeit (wie oft die Aktualisierung erfolgt) zu bestimmen:

  1. Öffne die Aufgabenplanung. Du kannst danach suchen, indem du im Startmenü "Aufgabenplanung" eingibst.
  2. Navigiere zum folgenden Ordnerpfad: Microsoft > Windows > EnterpriseMgmtNonCritical
  3. Suchen Sie nach einer Aufgabe mit dem Namen "Geplante Aufgabe des DM-Clients zum Aktualisieren der Einstellungen". Diese Aufgabe befindet sich in einem Unterordner mit einer eindeutigen Kennung:
Config Refresh Task locally

Fazit

Config Refresh empowers you to maintain consistent policy compliance on your organization's devices. By understanding its functionality and leveraging it strategically, you can enhance device security and ensure adherence to your policies, even when devices are offline for extended periods.