Comparteix a través de


Recomendaciones de rendimiento para la agrupación, la segmentación y el filtrado en entornos grandes de Microsoft Intune

Al crear una directiva, puede usar filtros para asignar una directiva basada en las reglas que cree. Puede aplicar filtros a dispositivos inscritos en Intune y aplicaciones administradas por Intune. Para obtener información general sobre los filtros, vaya a Usar filtros al asignar aplicaciones, directivas y perfiles en Microsoft Intune.

Al crear filtros, hay algunas recomendaciones de rendimiento que debe tener en cuenta.

En este artículo se enumeran y describen las recomendaciones para la agrupación, la segmentación y el filtrado de Intune para las directivas y aplicaciones. El objetivo es ayudarle a tomar decisiones de arquitectura y diseño para implementaciones de Intune en entornos grandes.

Estas recomendaciones de rendimiento y su implementación pueden ser diferentes y dependen de su propio entorno & otros factores, como la facilidad de administración y la simplicidad.

En este artículo:

  • Obtenga información general sobre los conceptos de agrupación y destino de Intune
  • Obtener algunas recomendaciones de rendimiento

Para obtener instrucciones sobre los grupos dinámicos, vaya a Creación de reglas más sencillas y eficaces para grupos dinámicos en Microsoft Entra ID.

Introducción a los conceptos de agrupación y destino de Intune

Vamos a revisar las características de agrupación, selección de destino y filtrado disponibles en Intune.

Grupos de Microsoft Entra

Intune usa casi exclusivamente grupos de Microsoft Entra para la agrupación y el destino. Al seleccionar Grupos en el Centro de administración de Microsoft Intune, se examinan los grupos de Microsoft Entra.

Captura de pantalla que muestra el Centro de administración de Intune, los grupos y todos los grupos de Microsoft Intune.

Los grupos de Microsoft Entra son una parte importante de Intune, ya que estos grupos son:

  • Objetos usados para asignar aplicaciones, directivas y otras cargas de trabajo a usuarios y dispositivos
  • Se usa para definir los dispositivos que los administradores pueden ver y administrar en el Centro de administración de Intune, como los grupos de ámbito en el control de acceso basado en rol (RBAC)

Grupos virtuales

Las asignaciones Todos los usuarios y Todos los dispositivos son grupos "virtuales" de Intune. Estos grupos virtuales están disponibles de forma predeterminada en todos los inquilinos de Intune y no incluyen ninguna sobrecarga de administración. Por ejemplo, no es necesario crear ni ajustar ninguna regla de id. de Microsoft Entra para mantener rellenados sus miembros.

Los grupos Todos los usuarios y Todos los dispositivos también son altamente escalables y optimizados, principalmente porque no es necesario sincronizarlos desde el identificador de Microsoft Entra de la misma manera que lo hacen otros grupos.

Filtros

Una vez asignada la aplicación o directiva a un identificador de Microsoft Entra o un grupo virtual, puede usar filtros para restringir el ámbito de asignación de estas aplicaciones y directivas a grupos de usuarios o dispositivos específicos.

El filtro filtra los dispositivos dentro (o fuera) de esa asignación en función de las propiedades del dispositivo.

Captura de pantalla que muestra el Centro de administración de Intune, los grupos de Microsoft Entra, los grupos virtuales y algunas propiedades de filtro de Microsoft Intune.

El filtrado es una evaluación de aplicabilidad de alto rendimiento y baja latencia en la protección del dispositivo sin necesidad de calcular previamente la pertenencia a grupos.

Recomendaciones de rendimiento

En esta sección se incluyen algunas recomendaciones que pueden mejorar el rendimiento al asignar las directivas en Microsoft Intune.

Estas recomendaciones se centran en mejorar el rendimiento y reducir la latencia en la asignación de cargas de trabajo. Tienen el mayor impacto al trabajar en entornos grandes de Intune, como entornos con >100 000 dispositivos. Estas recomendaciones deben tenerse en cuenta con otros aspectos de diseño, como la facilidad de administración, la facilidad de uso, la administración basada en roles y la simplicidad.

Uso de los grupos virtuales integrados

HACER NO
✅ Use los grupos virtuales Todos los usuarios y Todos los dispositivos en lugar de crear su propia versión de todos los usuarios o todos los dispositivos mediante grupos dinámicos de Microsoft Entra. ❌ No cree sus propios grupos dinámicos "Todos los usuarios" o "Todos los dispositivos" para la segmentación de directivas y aplicaciones en Intune.

Los grupos más grandes tardan más en sincronizar las actualizaciones de pertenencia entre Microsoft Entra ID e Intune. Todos los usuarios y todos los dispositivos suelen ser los grupos más grandes que tiene. Si asigna cargas de trabajo de Intune a grupos grandes de Microsoft Entra que tienen muchos usuarios o dispositivos, los trabajos pendientes de sincronización pueden producirse en el entorno de Intune. Este trabajo pendiente afecta a las implementaciones de directivas y aplicaciones, que tardan más en llegar a los dispositivos administrados.

Los grupos integrados Todos los usuarios y Todos los dispositivos son objetos de agrupación solo de Intune que no existen en Microsoft Entra ID. No hay una sincronización continua entre Microsoft Entra ID e Intune. Por lo tanto, la pertenencia a grupos es instantánea.

Nota:

Para obtener información sobre los intervalos de actualización de directivas de protección de Intune, vaya a Intervalos de actualización de directivas de Intune.

También puede aplicar esta optimización a otros grupos grandes y con cambios frecuentes que pueda tener, como "Todos los dispositivos Windows" o "todos los dispositivos iOS". En lugar de crear y dirigirse a estos grupos, use los grupos virtuales "Todos los usuarios" o "Todos los dispositivos" existentes, ya que las directivas y aplicaciones de Intune se limitan automáticamente por plataforma.

Cuando se usan grupos muy grandes en Intune (más de 100 000 miembros), se espera un retraso inicial en la selección de destino. Hay un proceso de configuración por primera vez que se produce entre microsoft entra id. e Intune. La primera sincronización completa siempre tarda más que las sincronizaciones incrementales posteriores.

Reutilización de grupos

HACER NO
✅ Reutilice los mismos objetos de grupo para asignar varias directivas. ❌ No cree copias duplicadas del mismo grupo para tener como destino directivas diferentes.

❌ No cree "Grupos de aplicaciones" ni "Grupos de directivas" dedicados.

En segundo plano, Intune convierte los miembros del grupo Microsoft Entra en mensajes de destino de asignación para cada usuario y dispositivo. Este proceso está altamente optimizado cuando los objetos de grupo son iguales.

Por ejemplo, la agrupación y la segmentación de Intune funcionan mejor cuando el grupo de usuarios "Ingeniería" tiene como destino 10 directivas. No funciona mejor cuando los usuarios de ingeniería son miembros de 10 grupos diferentes, con cada grupo asignado a una directiva diferente.

Hemos visto algunos diseños que no usan esta guía. Por ejemplo, los administradores de TI crean un grupo de "Install_Edge", crean un grupo de "Deploy_Edge_Config_Policy" y, a continuación, colocan los mismos dispositivos en cada grupo, lo que no se recomienda para el rendimiento.

Un patrón similar y no recomendado es crear "Grupos de aplicaciones". Un grupo de aplicaciones es cuando cada aplicación tiene varios grupos de Microsoft Entra creados para él. Por ejemplo, para administrar la aplicación Microsoft Edge, un administrador crea los siguientes grupos:

  • Edge_Required
  • Edge_Available
  • Edge_Uninstall

El administrador agrega usuarios o dispositivos individuales a estos grupos. Estos grupos de aplicaciones aumentan considerablemente el número de grupos de Microsoft Entra a los que Intune debe suscribirse y supervisar las actualizaciones de pertenencia, lo que es menos eficaz. Un diseño de sincronización de grupo ineficaz afecta a la rapidez con la que se crean y entregan nuevas asignaciones a los dispositivos.

Realizar cambios incrementales en el grupo

HACER NO
✅ Tenga cuidado con los cambios de anidamiento de grupos grandes en Microsoft Entra ID. ❌ No realice cambios de anidamiento de grupos grandes a la vez.

Un cambio de pertenencia a grupos grandes en Microsoft Entra ID puede generar ráfagas de cambios de destino en Intune. Estas ráfagas pueden retrasar el destino de otras asignaciones en el entorno.

Si un conjunto de administradores administra los grupos y otro conjunto administra el identificador de Microsoft Entra, debe comunicar el impacto que los cambios de identificador de Microsoft Entra pueden tener en la segmentación de Intune.

Por ejemplo, si un administrador de Microsoft Entra anida nuevos grupos grandes dentro de un grupo existente que Intune usa para la segmentación, Intune comienza a sincronizar todos los grupos y pertenencias a grupos. El tiempo que se tarda en procesar todas las pertenencias depende del número y el tamaño de los cambios de grupo realizados en Microsoft Entra ID.

Esta recomendación también se aplica cuando los grupos están "sin asignar". Para obtener más información sobre los grupos anidados, vaya a Administrar grupos de Microsoft Entra y pertenencia a grupos.

Uso de filtros para incluir y excluir

HACER NO
✅ Use filtros para lograr la combinación correcta de usuario y dispositivo para la selección de destino. ❌ No mezcle grupos de usuarios y grupos de dispositivos al usar incluir y excluir grupos.

Esta recomendación también es una instrucción de soporte técnico. No se recomienda ni se admite la creación de asignaciones a grupos de usuarios y la exclusión de un grupo de dispositivos de esa asignación, ni viceversa.

Esta recomendación existe debido a la característica de tiempo y latencia de los grupos dinámicos. La pertenencia a grupos excluidos no es instantánea, lo que puede dar lugar a casos en los que los dispositivos reciben asignaciones de directivas o aplicaciones de forma incorrecta. Para obtener más información, vaya a Asignación de directivas y perfiles: matriz de compatibilidad.

En lugar de exclusiones mixtas, se recomienda asignar a un grupo de usuarios. A continuación, use filtros para incluir o excluir dinámicamente los dispositivos adecuados.

Resumen

Al crear y administrar asignaciones en Intune, incorpore algunas de estas recomendaciones. Use grupos o grupos virtuales y aplique filtros para ayudar a refinar el ámbito de destino. Tenga en cuenta los procedimientos recomendados:

  • No cree su propia versión de los grupos "Todos los usuarios" o "Todos los dispositivos". Use los grupos virtuales de Intune, ya que no requieren la sincronización de identificadores de Microsoft Entra cuando se agrega un nuevo usuario o dispositivo al entorno.
  • Para optimizar el destino, reutilice los grupos tanto como sea posible.
  • Tenga cuidado al realizar cambios de anidamiento grandes en grupos de Intune. Intune debe procesar todos estos cambios y calcular los cambios efectivos para todos los miembros de todos los grupos afectados por ese cambio.
  • Intune no admite exclusiones de grupos mixtos. Por lo tanto, use filtros para incluir y excluir dispositivos dinámicamente, además de las asignaciones de grupos o grupos virtuales.