Исправление ошибки Intune 0x87d101f4

TL;DR: Если устройство отмечено как несоответствующее в Microsoft Intune с кодом ошибки 0x87d101f4, сначала синхронизируйте политики и проверьте сертификаты и профиль MDM. Если базовые шаги не помогают — выполните последовательно: проверку совместимости ОС, диагностику сертификатов, сброс регистрации и, при необходимости, полный сброс и повторную регистрацию. В статье — пошаговые инструкции для пользователя и администратора, чек-листы и план инцидента.

Визуализация управления устройствами и политиками Intune

Цель этой инструкции — помочь устранить ошибку 0x87d101f4 в Intune и вернуть устройство в соответствие требованиям вашей организации. Ниже вы найдёте понятные шаги для пользователей и IT-администраторов, рекомендации по диагностике и набор вспомогательных материалов: чек-листы, матрицу совместимости, план действий при инциденте и подсказки по отладке сертификатов.

Что означает код ошибки 0x87d101f4

Код 0x87d101f4 указывает на проблему с приведением устройства в соответствие политике Intune. Это может быть связано с отсутствием сертификата Intune, некорректно применёнными профилями MDM, устаревшей ОС, проблемами синхронизации или с тем, что устройство не прошло проверку безопасности, требуемую политикой.

Краткое определение: сертификат Intune — это доверенный цифровой сертификат, используемый для аутентификации устройства и установления защищённого канала между устройством и сервисом управления.

Быстрая проверка перед началом (пользователь)

Убедитесь, что устройство подключено к интернету.
Проверьте дату и время на устройстве (они должны быть точными).
Откройте «Доступ к работе или учебе» и проверьте состояние синхронизации.
Проверьте, установлен ли профиль MDM и есть ли сертификат Microsoft Intune.

Пошаговые действия для исправления ошибки

1. Принудительная синхронизация политик Intune

Нажмите клавишу Windows и откройте “Настройки”.

Окно настроек Windows с выделенным меню

Перейдите в раздел «Учётные записи», затем выберите «Доступ к работе или учебе».

Панель «Доступ к работе или учебе» в настройках Windows

Найдите учётную запись, подключённую к Azure, и нажмите «Сведения».

Кнопка «Сведения» для учётной записи Azure AD в Windows

Под заголовком «Состояние синхронизации устройства» нажмите «Синхронизировать».

Кнопка синхронизации устройства в параметрах учётной записи

Альтернативно используйте приложение Company Portal:
- Установите Company Portal из Microsoft Store.

Иконка приложения Company Portal в Microsoft Store

Откройте приложение, перейдите в Настройки и нажмите «Синхронизировать это устройство».

Кнопка «Синхронизировать это устройство» в приложении Company Portal

Примечание: синхронизация может занять время. Иногда требуется до 24 часов, чтобы изменения отразились в портале Azure.

2. Проверка сертификатов и профилей MDM

Откройте управление сертификатами на устройстве (certmgr.msc на Windows) и проверьте наличие сертификата Microsoft Intune или корпоративных сертификатов, назначенных политиками.
Убедитесь, что срок действия сертификата не истёк.
Проверьте, корректно ли установлен профиль MDM: в разделе «Доступ к работе или учебе» должна быть запись о регистрации устройства в Azure AD/Intune.

Если сертификат отсутствует или истёк — потребуется переустановить профиль MDM или обновить сертификат через Company Portal или политики PKI вашей организации.

3. Сброс регистрации (re-enroll)

Если синхронизация и проверка сертификатов не помогли, выполните повторную регистрацию:

В Windows откройте «Доступ к работе или учебе». Выберите запись и нажмите «Отключить» или «Удалить».
На устройстве удалите все некорректные сертификаты, связанные с Intune, если это разрешено политикой.
Перезагрузите устройство.
Заново зарегистрируйте устройство через Company Portal или через автоматическую регистрацию Azure AD.

Этот шаг удалит профили и настройки, применённые через Intune, и позволит заново применить актуальные политики.

4. Полный сброс устройства и повторная регистрация

Если проблема сохраняется после повторной регистрации и вы подозреваете повреждённые системные настройки, выполните полный сброс устройства (Wipe / Factory Reset) и снова зарегистрируйте его в Intune. Перед этим обязательно сохраните все важные данные — сброс удалит их.

Важно: выполняйте сброс только если политика организации и бизнес-процессы позволяют это и только после консультации с IT-администратором.

Диагностика для администраторов

Проверьте журналы в портале Microsoft Intune и в Azure AD (Audit и Sign-in logs) на наличие ошибок аутентификации или отклонённых сертификатов.
Убедитесь, что профиль соответствия (compliance policy) настроен корректно и не содержит конфликтующих требований (например, требования к шифрованию, которые несовместимы с ОС).
Проверьте политики Conditional Access: возможно, устройство блокируется политикой доступа.
Если используется PKI — проверьте CA и шаблоны сертификатов, выданные устройствам.

Матрица совместимости (основные версии)

Платформа	Минимально поддерживаемая версия	Примечания
Windows 10/11	Windows 10 20H2 и выше (рекомендуется 21H1+)	Для новых функций рекомендуется актуальная версия Windows Update
iOS/iPadOS	iOS 13 и выше	Ограничения на старых устройствах могут мешать установке профилей
Android	Android 8.0+ (для некоторых возможностей нужен Android Enterprise)	Различия между Android Enterprise и legacy MDM

Примечание: конкретные требования зависят от конфигурации вашей организации и используемых политик.

Чек-листы (роли)

Чек-лист для конечного пользователя:

Подключение к интернету есть.
Дата и время установлены автоматически.
Company Portal установлен и открыт.
Синхронизация выполнена вручную.
Профиль MDM отображается в параметрах.

Чек-лист для администратора:

Проверены журналы Intune и Azure AD.
Политики соответствия проверены на конфликтующие требования.
CA и шаблоны сертификатов проверены (если используются PKI).
Проверена настройка Auto-enroll и Conditional Access.

План реагирования на инцидент (короткий playbook)

Принять инцидент и зарегистрировать тикет.
Попросить пользователя выполнить базовые проверки (интернет, дата/время, синхронизация).
Удалённо инициировать синхронизацию и проверить статус в Intune.
Если неудачно — запросить скриншоты учётной записи и журналов событий (Event Viewer) с указанием ошибок Intune.
Выполнить сброс регистрации (re-enroll).
Если не помогло — согласовать полный сброс устройства и переустановку.
Закрыть тикет, сохранить шаги в базе знаний.

Критерии приёмки:

Устройство отмечено как “Комpliant” в портале Intune.
Политики успешно применяются (отсутствие ошибок в логах).
Пользователь подтверждает функционирование необходимых корпоративных сервисов.

Мини-методология для диагностики (быстрый подход)

Проверка связи и синхронизации.
Проверка сертификатов и профилей MDM.
Перерегистрация устройства.
Анализ логов в Intune/Azure AD.
Восстановление / сброс при необходимости.

Эта последовательность помогает быстро исключать наиболее вероятные причины.

Когда эти шаги не помогут — альтернативные причины

Проблемы на стороне сервиса Intune или Azure (проверьте статус службы Microsoft 365).
Конфликты с локальными политиками безопасности или сторонним ПО (например, антивирусы с расширенной интеграцией).
Проблемы с PKI-инфраструктурой: неправильно настроенные шаблоны или отказ CA.
Устройство физически повреждено или содержит системные ошибки ОС.

В таких ситуациях подключите инженера по инфраструктуре, проверьте инциденты в портале Microsoft и при необходимости откройте запрос в Microsoft Support.

Частые ошибки и советы по предотвращению

Не игнорируйте напоминания о завершении регистрации — это снижает риск возникновения ошибок.
Поддерживайте актуальность ОС и Company Portal.
Автоматизируйте выдачу сертификатов через PKI и интеграцию с Intune.
Документируйте шаги восстановления в базе знаний для быстрого реагирования.

Пример mermaid-диаграммы: быстрый алгоритм решения

flowchart TD
  A[Устройство помечено как non-compliant] --> B{Пользователь пробовал синхронизацию?}
  B -- Да --> C{Есть сертификат Intune?}
  B -- Нет --> D[Попросить синхронизировать через Settings или Company Portal]
  D --> C
  C -- Да --> E{Политики применены без ошибок?}
  C -- Нет --> F[Переустановить профиль MDM / обновить сертификат]
  F --> E
  E -- Да --> G[Проверить Conditional Access и журналы Azure]
  E -- Нет --> H[Перерегистрация устройства]
  H --> I{Работает?}
  I -- Да --> G
  I -- Нет --> J[Полный сброс и повторная регистрация]
  G --> K[Закрыть инцидент]
  J --> K

Приватность и соответствие требованиям (коротко)

При удалении/сбросе устройств обязательно соблюдайте внутренние правила конфиденциальности и защиты данных. Сброс устройства удалит локальные данные — заранее выполните резервное копирование, если в этом есть необходимость. Убедитесь, что доступ к журналам и сертификатам имеют только уполномоченные сотрудники.

Короткая галерея возможных ошибок (edge-case)

Устройство зарегистрировано в другом tenant — проверьте tenant ID в свойствах регистрации.
Дублирующиеся записи в Intune (старые/новые) — очистите старые устройства.
Устройства с dual-boot или с изменёнными системными файлами — возможны нестабильные состояния MDM.

Резюме

Начните с синхронизации и проверки сертификатов.
Перерегистрируйте устройство при необходимости.
Администраторам — проверьте логи Intune, настройки Conditional Access и PKI.
Для сложных случаев используйте план инцидента и документируйте шаги.

Важно: если вы исчерпали локальные и административные способы и подозреваете проблему на стороне Microsoft, проверьте статус сервисов и обратитесь в поддержку Microsoft.