Использование групп для организации пользователей и устройств для Microsoft Intune

Microsoft Intune использует группы безопасности из Microsoft Entra ID для различных потребностей организации. Эти потребности включают группирование пользователей или устройств по географическому расположению, отделу, характеристикам оборудования и многому другому. Для поддержки использования групп Entra Intune центр администрирования Intune включает пользовательский интерфейс Entra Groups со всеми его функциями. Все группы, отображаемые в Entra, и новые группы, которые может создать администратор Intune, отображаются в Intune, Entra и других продуктах, которые используют пользовательский интерфейс Entra Groups, например Microsoft 365.

Intune администраторы используют четко определенные группы при развертывании политик, развертывании приложений и назначении разрешений других администраторов, чтобы они могли управлять различными аспектами Intune подписки.

Эта статья посвящена использованию центра администрирования Intune для создания групп для использования с Intune, включая сведения о разрешениях, необходимых для управления этими группами в Центре администрирования и их использования.

Дополнительные сведения о группах Microsoft Entra см. в документации по Entra.

Управление доступом на основе ролей для работы с группами

По умолчанию все учетные записи пользователей Microsoft Entra имеют разрешения на создание и настройку новых групп без назначения роли управления доступом на основе ролей Entra (RBAC). Эти разрешения распространяются на использование узла Группы в Центре администрирования Intune.

Только пользователь, создавший группу, пользователи, назначенные в качестве владельца, и пользователи с достаточными разрешениями Entra RBAC для управления группами Entra могут изменять свойства группы. Другие пользователи, не имеющие прав на редактирование группы, могут просматривать ее членство и при администрировании Intune могут назначать группе Intune политики, приложения и назначения ролей.

Следующая Microsoft Entra встроенная роль RBAC является встроенной ролью с наименьшими привилегиями, которая включает достаточные разрешения для редактирования групп Entra, созданных другими пользователями, и управления ими:

• Администратор групп. Эта роль предоставляет разрешения, достаточные для добавления и редактирования групп в центрах администрирования для Microsoft Intune, Microsoft Entra и Microsoft 365.

При работе с RBAC корпорация Майкрософт рекомендует следовать принципу минимальных разрешений, используя только учетные записи с минимальными необходимыми разрешениями для задачи, а также ограничить использование и назначение привилегированных административных ролей, таких как администратор Intune.

Дополнительные сведения о Microsoft Entra группах и доступе к группам см. в статье Сведения о группах и правах доступа в документации Entra.

Требования групп, используемых с Intune

администраторы Intune должны учитывать следующие аспекты Microsoft Entra групп при создании новых групп или назначении их для развертывания политики или административных ролей.

Безопасность. Группы, используемые с Intune, должны быть группами, которые включены для обеспечения безопасности. Обычно при создании группы для типа группы должно быть задано значение Безопасность . Группа безопасности поддерживает как пользователей, так и устройства в качестве участников.

По умолчанию группы Microsoft 365 в Microsoft Entra не поддерживают безопасность, поддерживают только пользователей в качестве участников и не поддерживаются Intune. Хотя вы можете использовать Microsoft Graph PowerShell для создания групп Microsoft 365 с поддержкой безопасности, которые Intune поддерживаются, например группы Microsoft 365 по умолчанию, они могут включать только пользователей, а не устройства.

Членство — Intune поддерживает как назначенное, так и динамическое членство в группах. Выберите тип членства в зависимости от того, как вы планируете управлять членством в группах вручную или автоматически на основе правил. Например, чтобы назначить администраторам встроенную роль Intune RBAC, такую как Endpoint Security Manager, используйте группу с назначенными вручную членами, чтобы ограничить пользователей, получающих эту привилегированную роль. И наоборот, чтобы развернуть набор политик конфигурации устройств по умолчанию на всех Windows 11 устройствах, можно использовать группу, которая динамически добавляет участников на основе версии операционной системы устройств. Использование динамической группы позволяет гарантировать, что устройства, которые регистрируются с помощью Intune автоматически получают предполагаемую политику по умолчанию без необходимости добавления устройства в группу вручную.

Группы Intune Все пользователи и все устройства

Помимо Microsoft Entra групп, которые можно создавать и использовать с Intune, Intune включает две виртуальные группы, доступные только в контексте Intune и из Центра администрирования Intune:

• Все пользователи. Эта группа автоматически включает всех пользователей, имеющих лицензию на Intune.
• Все устройства. Эта группа автоматически включает каждое устройство, которое регистрируется с помощью Intune.

Эти виртуальные группы позволяют легко ориентироваться на всех применимых пользователей или устройства с помощью Intune политик и назначений, которые должны широко применяться.

Например, можно развернуть политику соответствия Intune для группы всех устройств, чтобы установить минимальный уровень требований к соответствию, которым должны соответствовать все устройства в вашей организации. Позже вы сможете развернуть дополнительные требования к определенным группам Entra, чтобы применить дополнительные требования, которые могут потребоваться для определенных групп устройств или пользователей.

Добавление групп в Intune

Создавая группу в центре администрирования Microsoft Intune, вы фактически создаете группу в Microsoft Entra ID. Следующая процедура содержит основные рекомендации по созданию групп в Центре администрирования Intune. Дополнительные сведения см. в следующих статьях Microsoft Entra:

• Управление группами Microsoft Entra и членством в группах
• Создание базовой группы и добавление участников с помощью Microsoft Entra ID
• Правила динамического членства для групп в Microsoft Entra ID

Чтобы создать группы в Центре администрирования Microsoft Intune, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Intune, а затем выберите Группы>Новая группа:

   

2. Откроется панель Создать группу, которая представляет собой тот же интерфейс, что и в Microsoft Entra:

   

   Настройте следующие параметры для новой группы:

   1. Задайте для параметра Тип группы значениеБезопасность.

   2. В поле Имя группы укажите понятное имя, которое четко идентифицирует группу. Это имя отображается пользователям, которые работают с группами в Центре администрирования.

   3. В поле Описание группы, которое является необязательным, укажите другие сведения о группе, например ее предполагаемое использование.

   4. Для параметра Тип членства выберите один из следующих вариантов:

      • Назначено — с этим типом членства необходимо вручную добавить пользователей в группу, что можно сделать сейчас или позже после создания группы.

        Чтобы добавить пользователей в это время, найдите и выберите Пункт Нет выбранных участников , чтобы открыть панель Добавление участников .

        На панели используйте вкладку Пользователи или Устройства , где можно установить флажок рядом с каждым объектом, который нужно добавить в эту группу.

        Вы также можете выбрать вкладку Группы , если вы хотите вложить группу в эту группу. Группа, включающая группу в качестве члена, называется родительской группой. Будьте внимательны при вложении групп, так как отношения членства могут быть неясными для администраторов, которые позже используют родительскую группу для назначения. Любые изменения членства, внесенные во вложенную группу, автоматически применяются к действующему членству в родительской группе.

        Важно!

        Избегайте создания групп, включающих пользователей и устройства, так как это может привести к конфликтам политик и непредсказуемому поведению во время Intune развертываний.

        Совет

        Чтобы создать группы устройств, можно использовать категории устройств для автоматического присоединения устройств к группе во время их регистрации в Intune.

      • Динамический пользователь . Для этого типа членства выберите Добавить динамический запрос и настройте правила динамического членства. Инструкции см. в статье Управление правилами для динамических групп членства в Microsoft Entra ID.

        Важно!

        Чтобы использовать группы динамических пользователей, необходимо иметь лицензию Microsoft Entra ID P1 для каждого пользователя, который является членом динамической группы.

      • Динамическое устройство . Для этого типа членства выберите Добавить динамический запрос , а затем настройте правила динамического членства. Инструкции см. в статье Управление правилами для динамических групп членства в Microsoft Entra ID.

        Совет

        Для членов динамических групп устройств не требуется лицензия на Entra ID.

   5. Конфигурация "Владельцы" является необязательной. По умолчанию пользователь, создающий группу, является владельцем. Чтобы добавить других владельцев, выберите Нет выбранных владельцев , а затем перейдите на вкладку Пользователи , где можно выбрать одного или нескольких пользователей для добавления в качестве владельцев этой группы.

3. Нажмите кнопку Создать , чтобы добавить новую группу. Ваша группа появится в списке.

Изменение группы

Как администратор Intune вы можете изменять группы, например изменять членов группы, владельца и свойства.

Чтобы изменить существующую группу, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Intune.
2. Выберите Группы>Все группы>выберите имя группы для изменения.
3. В группе меню Управление выберите область группы для редактирования, например Свойства, Участники или Владельцы. Intune отображает пользовательский интерфейс, связанный с этим параметром конфигурации.

Удаление группы

Администратор Intune может удалять ненужные группы.

Чтобы удалить существующую группу, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Intune.
2. Выберите Группы>Все группы.
3. Установите флажки для каждой группы, которую вы хотите удалить, а затем выберите Удалить из параметров в верхней части представления Все группы . Кроме того, можно выбрать имя группы, чтобы открыть страницу Обзор отдельной группы, а затем выбрать Удалить* в верхней части этого представления.

Связанные материалы

• Назначение пользователям лицензий для Intune
• Назначение Microsoft Intune ролей группам пользователей для управления доступом на основе ролей