Рекомендации по повышению производительности для группирования, нацеливания и фильтрации в больших средах Microsoft Intune
При создании политики можно использовать фильтры для назначения политики на основе создаваемых правил. Фильтры можно применять к зарегистрированным в Intune устройствам и приложениям, управляемым Intune. Общие сведения о фильтрах см. в статье Использование фильтров при назначении приложений, политик и профилей в Microsoft Intune.
При создании фильтров следует учитывать некоторые рекомендации по производительности.
В этой статье перечислены и описаны рекомендации по группированию, нацеливание и фильтрация Intune для политик и приложений. Цель состоит в том, чтобы помочь вам принимать решения по архитектуре и проектированию для развертываний Intune в больших средах.
Эти рекомендации по производительности и их реализация могут быть разными и зависят от вашей среды & других факторов, включая управляемость и простоту.
В этой статье
- Обзор концепций группирования и таргетинга Intune
- Получите некоторые рекомендации по производительности
Рекомендации по динамическим группам см. в статье Создание более простых и эффективных правил для динамических групп в Идентификаторе Microsoft Entra.
Обзор концепций группирования и таргетинга в Intune
Давайте рассмотрим функции группирования, нацеливания и фильтрации, доступные в Intune.
Группы Microsoft Entra
Intune почти исключительно использует группы Microsoft Entra для группирования и нацеливания. При выборе пункта Группы в Центре администрирования Microsoft Intune вы просматриваете группы Microsoft Entra.
Группы Microsoft Entra являются важной частью Intune, так как они:
- Объекты, используемые для назначения приложений, политик и других рабочих нагрузок пользователям и устройствам
- Используется для определения устройств, которые администраторы могут просматривать и администрировать в Центре администрирования Intune, например группы областей в управлении доступом на основе ролей (RBAC).
Виртуальные группы
Назначения Все пользователи и Все устройства являются виртуальными группами Intune. Эти виртуальные группы доступны по умолчанию во всех клиентах Intune и не связаны с дополнительными затратами на управление. Например, вам не нужно создавать или изменять правила идентификатора Microsoft Entra, чтобы их участники заполнялись.
Группы Все пользователи и Все устройства также являются высокомасштабируемыми и оптимизированными, главным образом потому, что их не нужно синхронизировать с идентификатором Microsoft Entra так же, как другие группы.
Фильтры
После назначения приложения или политики идентификатору Microsoft Entra или виртуальной группе можно использовать фильтры , чтобы сузить область назначения этих приложений и политик определенными группами пользователей или устройств.
Фильтр фильтрует устройства в (или вне) этого назначения на основе свойств устройства.
Фильтрация — это высокая производительность и низкая задержка, оценка применимости при регистрации устройства без необходимости предварительного вычисления членства в группах.
Рекомендации по производительности
В этом разделе содержатся некоторые рекомендации, которые могут повысить производительность при назначении политик в Microsoft Intune.
В этих рекомендациях основное внимание уделяется повышению производительности и снижению задержки при назначении рабочей нагрузки. Они оказывают наибольшее влияние на работу в больших средах Intune, например в средах с >100 000 устройств. Эти рекомендации следует учитывать с другими аспектами проектирования, такими как управляемость, простота использования, администрирование на основе ролей и простота.
Использование встроенных виртуальных групп
ДЕЛАТЬ | НЕ НАДО |
---|---|
✅ Используйте виртуальные группы Все пользователи и Все устройства вместо создания собственной версии всех пользователей или всех устройств с помощью динамических групп Microsoft Entra. | ❌ Не создавайте собственные динамические группы "Все пользователи" или "Все устройства" для таргетинга политик и приложений в Intune. |
Синхронизация обновлений членства между Идентификатором Microsoft Entra ID и Intune для больших групп занимает больше времени. Все пользователи и Все устройства обычно являются самыми большими группами, которые у вас есть. Если назначить рабочие нагрузки Intune крупным группам Microsoft Entra с большим количеством пользователей или устройств, в среде Intune может произойти невыполненная синхронизация. Эта невыполненная работа влияет на развертывание политик и приложений, которые требуют больше времени для охвата управляемых устройств.
Встроенные группы Все пользователи и Все устройства являются объектами группирования только в Intune, которые не существуют в идентификаторе Microsoft Entra. Не существует непрерывной синхронизации между Идентификатором Microsoft Entra и Intune. Таким образом, членство в группах выполняется мгновенно.
Примечание.
Сведения о интервалах обновления политики возврата Intune см. в статье Интервалы обновления политики Intune.
Вы также можете применить эту оптимизацию к другим большим и часто меняющимся группам, которые могут быть у вас, например "Все устройства с Windows" или "Все устройства iOS". Вместо создания и назначения этих групп используйте существующие виртуальные группы "Все пользователи" или "Все устройства", так как политики и приложения Intune автоматически ограничены платформой.
При использовании очень больших групп в Intune (более 100 000 членов) ожидается некоторая начальная задержка при нацеливание. Между Идентификатором Microsoft Entra ID и Intune впервые выполняется процесс настройки. Первая полная синхронизация всегда занимает больше времени, чем последующие добавочные синхронизации.
Повторное использование групп
ДЕЛАТЬ | НЕ НАДО |
---|---|
✅ Повторно используйте одни и те же объекты группы для назначения нескольких политик. |
❌ Не создавайте повторяющиеся копии одной группы для разных политик. ❌ Не создавайте выделенные "Группы приложений" или "Группы политик". |
Intune преобразует участников группы Microsoft Entra в назначения целевых сообщений для каждого пользователя и устройства. Этот процесс является высокооптимизируемым, если объекты группы совпадают.
Например, группирование и нацеливание Intune лучше всего работает, если группа пользователей "Инженерная" предназначена с 10 политиками. Это не работает лучше, если пользователи инженеров являются членами 10 разных групп, каждая из которых назначена другой политике.
Мы видели несколько проектов, которые не используют это руководство. Например, ИТ-администраторы создают группу "Install_Edge", группу "Deploy_Edge_Config_Policy", а затем помещают одни и те же устройства в каждую группу, что не рекомендуется для повышения производительности.
Аналогичный и не рекомендуемый шаблон — это создание групп приложений. Группа приложений — это когда для каждого приложения создано несколько групп Microsoft Entra. Например, для управления приложением Microsoft Edge администратор создает следующие группы:
- Edge_Required
- Edge_Available
- Edge_Uninstall
Администратор добавляет отдельных пользователей или устройства в эти группы. Эти группы приложений значительно увеличивают количество групп Microsoft Entra, на которые Intune необходимо подписаться и отслеживать обновления членства, что менее эффективно. Неэффективная синхронизация групп влияет на то, как быстро создаются и доставляются на устройства новые назначения.
Внесение добавочных изменений в группу
ДЕЛАТЬ | НЕ НАДО |
---|---|
✅ Будьте осторожны с изменениями вложенных групп в идентификаторе Microsoft Entra. | ❌ Не вносите большие вложенные изменения в группу одновременно. |
Изменение членства в больших группах в Microsoft Entra ID может привести к всплескам целевых изменений в Intune. Эти пики могут отложить назначение других назначений в вашей среде.
Если группами управляет набор администраторов, а другой набор управляет идентификатором Microsoft Entra, следует сообщить о влиянии изменений идентификатора Microsoft Entra на таргетинг Intune.
Например, если администратор Microsoft Entra встраивает новые большие группы в существующую группу, которую Intune использует для таргетинга, intune начинает синхронизацию всех групп и членства в группах. Время, необходимое для обработки всех участников, зависит от количества и размера изменений группы, внесенных в идентификатор Microsoft Entra.
Эта рекомендация также применяется, если группы "отменяется". Дополнительные сведения о вложенных группах см. в статье Управление группами Microsoft Entra и членством в группах.
Использование фильтров для включения и исключения
ДЕЛАТЬ | НЕ НАДО |
---|---|
✅ Используйте фильтры для достижения правильного сочетания пользователей и устройств для нацеливания. | ❌ Не смешивайте группы пользователей и устройств при использовании групп включения и исключения. |
Эта рекомендация также является заявлением о поддержке. Мы не рекомендуем и не поддерживаем создание назначений для групп пользователей и исключение группы устройств из этого назначения или наоборот.
Эта рекомендация существует из-за характеристики времени и задержки динамических групп. Членство в исключенных группах не является мгновенным, что может привести к тому, что устройства неправильно получают назначения приложений или политик. Дополнительные сведения см. в статье Назначение политик и профилей — матрица поддержки.
Вместо смешанных исключений рекомендуется назначать группе пользователей. Затем используйте фильтры для динамического включения или исключения соответствующих устройств.
Сводка
При создании назначений и управлении ими в Intune используйте некоторые из этих рекомендаций. Используйте группы или виртуальные группы и примените фильтры для уточнения области назначения. Учитывайте рекомендации.
- Не создавайте собственную версию групп "Все пользователи" или "Все устройства". Используйте виртуальные группы Intune, так как для них не требуется синхронизация идентификаторов Microsoft Entra при добавлении нового пользователя или устройства в среду.
- Чтобы оптимизировать таргетинг, повторно используйте группы как можно больше.
- Следите за внесением больших изменений в группы Intune. Intune необходимо обработать все эти изменения и вычислить эффективные изменения для всех членов всех групп, затронутых этим изменением.
- Intune не поддерживает исключения смешанных групп. Поэтому используйте фильтры для динамического включения и исключения устройств в дополнение к назначениям групп или виртуальных групп.