Заметка
Доступ к этой странице требует авторизации. Вы можете попробовать войти в систему или изменить каталог.
Доступ к этой странице требует авторизации. Вы можете попробовать сменить директорию.
При создании политики можно использовать фильтры назначений для назначения политики на основе создаваемых правил. Фильтры назначений можно применять к зарегистрированным Intune устройствам и приложениям, управляемым Intune. Общие сведения о фильтрах назначений см. в статье Использование фильтров при назначении приложений, политик и профилей в Microsoft Intune.
При создании фильтров назначений следует учитывать некоторые рекомендации по повышению производительности.
В этой статье перечислены и описаны рекомендации по Intune группирования, нацеливания и фильтрации для политик и приложений. Цель состоит в том, чтобы помочь вам принимать решения по архитектуре и проектированию для Intune развертываний в больших средах.
Эти рекомендации по производительности и их реализация могут быть разными и зависят от вашей среды & других факторов, включая управляемость и простоту.
В этой статье
- Общие сведения о Intune концепциях группирования и нацеливания
- Получите некоторые рекомендации по производительности
Рекомендации по динамическим группам см. в статье Создание более простых и эффективных правил для динамических групп в Microsoft Entra ID.
Общие сведения о концепциях группирования и нацеливания Intune
Давайте рассмотрим функции группирования, нацеливания и фильтрации, доступные в Intune.
группы Microsoft Entra
Intune почти исключительно использует Microsoft Entra группы для группирования и нацеливания. При выборе пункта Группы в Центре администрирования Microsoft Intune вы просматриваете Microsoft Entra группы.
Microsoft Entra группы являются важной частью Intune, так как они:
- Объекты, используемые для назначения приложений, политик и других рабочих нагрузок пользователям и устройствам
- Используется для определения устройств, которые администраторы могут просматривать и администрировать в Центре администрирования Intune, например область группы в управлении доступом на основе ролей (RBAC).
Виртуальные группы
Назначения Все пользователи и Все устройства являются Intune "виртуальными" группами. Эти виртуальные группы доступны по умолчанию во всех клиентах Intune и не связаны с дополнительными затратами на управление. Например, вам не нужно создавать или настраивать правила Microsoft Entra ID, чтобы их члены заполнялись.
Группы Все пользователи и Все устройства также являются высокомасштабируемыми и оптимизированными, главным образом потому, что их не нужно синхронизировать с Microsoft Entra ID так же, как другие группы.
Фильтры назначений
После назначения приложения или политики Microsoft Entra ID или виртуальной группе можно использовать фильтры назначений, чтобы сузить область назначения этих приложений и политик определенными группами пользователей или устройств.
Фильтр назначений фильтрует устройства в (или вне) этого назначения на основе свойств устройства.
Фильтрация — это высокопроизводительная оценка применимости с низкой задержкой на устройстве проверка без необходимости предварительного вычисления членства в группах.
Рекомендации по производительности
В этом разделе содержатся некоторые рекомендации, которые могут повысить производительность при назначении политик в Microsoft Intune.
В этих рекомендациях основное внимание уделяется повышению производительности и снижению задержки при назначении рабочей нагрузки. Они оказывают наибольшее влияние на работу в средах с большими Intune, например в средах с >100 000 устройств. Эти рекомендации следует учитывать с другими аспектами проектирования, такими как управляемость, простота использования, администрирование на основе ролей и простота.
Использование встроенных виртуальных групп
| ДЕЛАТЬ | НЕ НАДО |
|---|---|
| ✅Используйте виртуальные группы Все пользователи и Все устройства вместо создания собственной версии всех пользователей или всех устройств с помощью Microsoft Entra динамических групп. | ❌Не создавайте собственные динамические группы "Все пользователи" или "Все устройства" для нацеливания на политики и приложения в Intune. |
Синхронизация обновлений членства в больших группах между Microsoft Entra ID и Intune занимает больше времени. Все пользователи и Все устройства обычно являются самыми большими группами, которые у вас есть. Если назначить Intune рабочие нагрузки большим Microsoft Entra группам с большим количеством пользователей или устройств, в среде Intune может произойти невыполненная работа по синхронизации. Эта невыполненная работа влияет на развертывание политик и приложений, которые требуют больше времени для охвата управляемых устройств.
Обновление с Microsoft Entra до Intune обычно выполняется в течение 5 минут. Это не мгновенно. Это время может повлиять на назначения регистрации. Администраторы должны регистрировать устройства через несколько минут, а не сразу после добавления пользователей в группу.
Встроенные группы Все пользователи и Все устройства — это Intune только объекты группирования, которые не существуют в Microsoft Entra ID. Не существует непрерывной синхронизации между Microsoft Entra ID и Intune. Таким образом, членство в группах выполняется мгновенно.
Примечание.
Сведения о интервалах обновления политики Intune проверка см. в статье Интервалы обновления политики Intune.
Вы также можете применить эту оптимизацию к другим большим и часто меняющимся группам, которые могут быть у вас, например "Все устройства с Windows" или "Все устройства iOS". Вместо создания и назначения этих групп используйте существующие виртуальные группы "Все пользователи" или "Все устройства", так как Intune политики и приложения автоматически определяются платформой.
При использовании очень больших групп в Intune (более 100 000 участников) ожидается некоторая начальная задержка при нацеливание. Существует первый процесс настройки, который происходит между Microsoft Entra ID и Intune. Первая полная синхронизация всегда занимает больше времени, чем последующие добавочные синхронизации.
Повторное использование групп
| ДЕЛАТЬ | НЕ НАДО |
|---|---|
| ✅ Повторно используйте одни и те же объекты группы для назначения нескольких политик. |
❌ Не создавайте повторяющиеся копии одной группы для разных политик. ❌ Не создавайте выделенные "Группы приложений" или "Группы политик". |
В фоновом режиме Intune преобразует Microsoft Entra участников группы в назначение целевых сообщений для каждого пользователя и устройства. Этот процесс является высокооптимизируемым, если объекты группы совпадают.
Например, Intune группирование и нацеливание лучше всего работает, если группа пользователей "Инженерная" предназначена с 10 политиками. Это не работает лучше, если пользователи инженеров являются членами 10 разных групп, каждая из которых назначена другой политике.
Мы видели несколько проектов, которые не используют это руководство. Например, ИТ-администраторы создают группу "Install_Edge", группу "Deploy_Edge_Config_Policy", а затем помещают одни и те же устройства в каждую группу, что не рекомендуется для повышения производительности.
Аналогичный и не рекомендуемый шаблон — это создание групп приложений. Группа приложений — это когда для каждого приложения создано несколько Microsoft Entra групп. Например, для управления приложением Microsoft Edge администратор создает следующие группы:
- Edge_Required
- Edge_Available
- Edge_Uninstall
Администратор добавляет отдельных пользователей или устройства в эти группы. Эти группы приложений значительно увеличивают количество Microsoft Entra групп, на которые Intune должны подписаться и отслеживать обновления членства, что менее эффективно. Неэффективная синхронизация групп влияет на то, как быстро создаются и доставляются на устройства новые назначения.
Внесение добавочных изменений в группу
| ДЕЛАТЬ | НЕ НАДО |
|---|---|
| ✅Будьте осторожны с изменениями вложений больших групп в Microsoft Entra ID. | ❌ Не вносите большие вложенные изменения в группу одновременно. |
Изменение членства в больших группах в Microsoft Entra ID может привести к всплескам целевых изменений в Intune. Эти пики могут отложить назначение других назначений в вашей среде.
Если набор администраторов управляет группами, а другой набор управляет Microsoft Entra ID, следует сообщить о влиянии Microsoft Entra ID изменений на Intune таргетинга.
Например, если администратор Microsoft Entra встраивает новые большие группы в существующую группу, которая Intune использует для нацеливания, то Intune начинает синхронизацию всех групп и членства в группах. Время, необходимое для обработки всех членства, зависит от количества и размера изменений в группах, внесенных в Microsoft Entra ID.
Эта рекомендация также применяется, если группы "отменяется". Дополнительные сведения о вложенных группах см. в статье Управление группами Microsoft Entra и членством в группах.
Использование фильтров назначений для включения и исключения
| ДЕЛАТЬ | НЕ НАДО |
|---|---|
| ✅ Используйте фильтры назначений для достижения правильного сочетания пользователей и устройств для нацеливания. | ❌ Не смешивайте группы пользователей и устройств при использовании групп включения и исключения. |
Эта рекомендация также является заявлением о поддержке. Мы не рекомендуем и не поддерживаем создание назначений для групп пользователей и исключение группы устройств из этого назначения или наоборот.
Эта рекомендация существует из-за характеристики времени и задержки динамических групп. Членство в исключенных группах не является мгновенным, что может привести к тому, что устройства неправильно получают назначения приложений или политик. Дополнительные сведения см. в статье Назначение политик и профилей — матрица поддержки.
Вместо смешанных исключений рекомендуется назначать группе пользователей. Затем используйте фильтры назначений для динамического включения или исключения соответствующих устройств.
Сводка
При создании назначений и управлении ими в Intune используйте некоторые из этих рекомендаций. Используйте группы или виртуальные группы и примените фильтры назначений для уточнения целевого область. Учитывайте рекомендации.
- Не создавайте собственную версию групп "Все пользователи" или "Все устройства". Используйте Intune виртуальных групп, так как для них не требуется синхронизация Microsoft Entra ID при добавлении нового пользователя или устройства в среду.
- Чтобы оптимизировать таргетинг, повторно используйте группы как можно больше.
- Следите за внесением больших изменений в вложенные Intune группы. Intune необходимо обработать все эти изменения и вычислить эффективные изменения для всех членов всех групп, затронутых этим изменением.
- Intune не поддерживает исключения смешанных групп. Поэтому используйте фильтры назначений для динамического включения и исключения устройств в дополнение к назначениям групп или виртуальных групп.