Přiřazení zásad v Microsoft Intune

Když vytvoříte zásadu Intune, budou zahrnovat všechna nastavení, která jste v rámci zásady přidali a nakonfigurovali. Jakmile je zásada připravená k nasazení, dalším krokem je přiřazení zásady ke skupinám uživatelů nebo zařízení. Po přiřazení zásady obdrží uživatelé a zařízení a použijí se vámi zadaná nastavení.

V Intune můžete vytvořit a přiřadit následující zásady:

• zásady Ochrana aplikací
• Zásady konfigurace aplikací
• Zásady dodržování předpisů
• Zásady podmíněného přístupu
• Profily konfigurace zařízení
• Zásady registrace

Tento článek popisuje, jak přiřadit zásady, obsahuje některé informace o používání značek oboru, popisuje, kdy přiřadit zásady skupinám uživatelů nebo skupinám zařízení a další.

Než začnete

Ujistěte se, že máte správnou roli pro přiřazení zásad a profilů. Další informace najdete v tématu Řízení přístupu na základě role (RBAC) s Microsoft Intune.

Přiřazení zásad uživatelům nebo skupinám

1. Přihlaste se do Centra pro správu Microsoft Intune.

2. Vyberte Konfigurace zařízení>. Zobrazí se všechny profily.

3. Vyberte profil, kterému chcete přiřadit >přiřazení>vlastností>Upravit:

   Pokud chcete například přiřadit konfigurační profil zařízení:

   1. Přejděte na Konfigurace zařízení>. Zobrazí se všechny profily.

   2. Vyberte zásadu, kterou chcete přiřadit >Přiřazení>vlastností>Upravit:

      

4. V části Zahrnuté skupiny nebo Vyloučené skupiny zvolte Přidat skupiny a vyberte jednu nebo více Microsoft Entra skupin. Pokud chcete zásady nasadit obecně na všechna příslušná zařízení, vyberte Přidat všechny uživatele nebo Přidat všechna zařízení.

   Poznámka

   Pokud vyberete Všechna zařízení a Všichni uživatelé, možnost přidat další Microsoft Entra skupiny se zakáže.

5. Vyberte Zkontrolovat a uložit. Tímto krokem se zásady nepřiřazují.

6. Vyberte Uložit. Když uložíte, přiřadí se vaše zásady. Vaše skupiny obdrží nastavení zásad, když se zařízení přihlásí ke službě Intune.

Funkce přiřazení, které byste měli znát a používat

• Pomocí filtrů přiřaďte zásady na základě pravidel, která vytvoříte. Filtry můžete vytvořit pro:

  • Zásady konfigurace aplikací
  • zásady Ochrana aplikací
  • Přiřazení aplikací
  • Zásady dodržování předpisů
  • Profily konfigurace zařízení

  Další informace najdete tady:

  • Použití filtrů při přiřazování aplikací, zásad a profilů v Microsoft Intune
  • Platformy, zásady a typy aplikací podporované filtry v Microsoft Intune

• Sady zásad vytvářejí skupinu nebo kolekci existujících aplikací a zásad. Po vytvoření sady zásad můžete sadu zásad přiřadit z jednoho místa v Centru pro správu Microsoft Intune.

  Další informace najdete v tématu Použití sad zásad k seskupení kolekcí objektů správy v Microsoft Intune.

• Značky oboru představují skvělý způsob, jak filtrovat zásady podle konkrétních skupin, jako US-NC IT TeamJohnGlenn_ITDepartmentje nebo . Další informace najdete v tématu Použití Značek RBAC a oborů pro distribuované IT.

• Na zařízeních Windows 10/11 můžete přidat pravidla použitelnosti, aby se zásady vztahovaly jenom na konkrétní verzi operačního systému nebo konkrétní edici Windows. Další informace najdete v článku Pravidla použitelnosti.

Skupiny uživatelů vs. skupiny zařízení

Mnoho uživatelů se ptá, kdy použít skupiny uživatelů a kdy použít skupiny zařízení. Odpověď závisí na vašem cíli. Tady je několik pokynů, které vám pomůžou začít.

Skupiny zařízení

Pokud chcete nastavení použít na zařízení bez ohledu na to, kdo je přihlášený, přiřaďte zásady skupině zařízení. Nastavení použitá pro skupiny zařízení vždy platí pro zařízení, ne s uživatelem.

Příklady:

• Skupiny zařízení jsou užitečné pro správu zařízení, která nemají vyhrazeného uživatele. Máte například zařízení, která tisknou lístky, skenují inventář, sdílejí je pracovníci na směnách, přiřazují se ke konkrétnímu skladu atd. Umístěte tato zařízení do skupiny zařízení a přiřaďte zásady této skupině zařízení.

• Vytvoříte profil DFCI (Device Firmware Configuration Interface) Intune, který aktualizuje nastavení v systému BIOS. Tuto zásadu například nakonfigurujete tak, aby zakazila kameru zařízení nebo zamkla možnosti spouštění, aby se uživatelům zabránilo ve spuštění jiného operačního systému. Tato zásada je vhodný scénář pro přiřazení ke skupině zařízení.

• Na některých konkrétních zařízeních s Windows chcete vždy ovládat některá nastavení aplikace Microsoft Edge bez ohledu na to, kdo zařízení používá. Chcete například blokovat všechna stahování, omezit všechny soubory cookie na aktuální relaci procházení a odstranit historii procházení. V tomto scénáři umístěte tato konkrétní zařízení s Windows do skupiny zařízení. Potom v Intune vytvořte šablonu pro správu, přidejte tato nastavení zařízení a pak přiřaďte tuto zásadu skupině zařízení.

Když to shrneme, použijte skupiny zařízení, pokud vám nezáleží na tom, kdo je na zařízení přihlášený nebo jestli se někdo přihlašuje. Chcete, aby vaše nastavení byla vždy na zařízení.

Skupiny uživatelů

Nastavení zásad použité pro skupiny uživatelů vždy probíhá s uživatelem a s uživatelem, když se přihlásí k mnoha zařízením. Je běžné, že uživatelé mají mnoho zařízení, například Surface Pro pro práci a osobní zařízení s iOS/iPadOS. A je běžné, že uživatel z těchto zařízení přistupuje k e-mailu a dalším prostředkům organizace.

Pokud má uživatel na stejné platformě více zařízení, můžete pro přiřazení skupiny použít filtry . Uživatel má například osobní zařízení s iOS/iPadOS a iOS/iPadOS vlastněné organizací. Když přiřadíte zásadu pro daného uživatele, můžete pomocí filtrů cílit jenom na zařízení vlastněné organizací.

Postupujte podle tohoto obecného pravidla: Pokud funkce patří uživateli, jako je e-mail nebo uživatelské certifikáty, přiřaďte je ke skupinám uživatelů.

Příklady:

• Chcete umístit ikonu helpdesku pro všechny uživatele na všech jejich zařízeních. V tomto scénáři umístěte tyto uživatele do skupiny uživatelů a přiřaďte zásady ikon helpdesku této skupině uživatelů.

• Uživatel obdrží nové zařízení vlastněné organizací. Uživatel se k zařízení přihlásí pomocí svého doménového účtu. Zařízení se automaticky zaregistruje v Microsoft Entra ID a automaticky spravuje Intune. Tato zásada je vhodný scénář pro přiřazení ke skupině uživatelů.

• Kdykoli se uživatel přihlásí k zařízení, budete chtít ovládat funkce v aplikacích, jako je OneDrive nebo Office. V tomto scénáři přiřaďte nastavení zásad OneDrivu nebo Office skupině uživatelů.

  Chcete například blokovat nedůvěryhodné ovládací prvky ActiveX v aplikacích Office. Šablonu pro správu můžete vytvořit v Intune, nakonfigurovat toto nastavení a pak tuto zásadu přiřadit skupině uživatelů.

Chcete-li to shrnout, použijte skupiny uživatelů, pokud chcete, aby nastavení a pravidla vždy byly s uživatelem, bez ohledu na to, jaké zařízení používá.

Azure Virtual Desktop s více relacemi

Pomocí Intune můžete spravovat vzdálené plochy windows s více relacemi vytvořené pomocí služby Azure Virtual Desktop stejně jako jakékoli jiné sdílené klientské zařízení s Windows. Při přiřazování zásad skupinám uživatelů nebo zařízením je speciálním scénářem více relací služby Azure Virtual Desktop. Při použití těchto virtuálních počítačů musí poskytovatelé CSP zařízení cílit na skupiny zařízení. Poskytovatelé CSP uživatelů musí cílit na skupiny uživatelů.

Další informace najdete v tématu Použití více relací služby Azure Virtual Desktop s Microsoft Intune.

Poskytovatelé CSP systému Windows a jejich chování

Nastavení zásad pro zařízení s Windows jsou založená na poskytovatelích konfiguračních služeb (CSP). Tato nastavení se mapují na klíče registru nebo soubory na zařízeních.

Tady je to, co potřebujete vědět o poskytovateli CSP ve Windows:

• Intune zpřístupňuje tyto CSP, abyste je mohli nakonfigurovat a přiřadit k zařízením s Windows. Tato nastavení se dají konfigurovat pomocí předdefinovaných šablon a katalogu nastavení. V katalogu nastavení uvidíte, že některá nastavení platí pro obor uživatele a některá nastavení platí pro obor zařízení.

  Informace o tom, jak se u zařízení s Windows použijí nastavení s oborem uživatele a zařízení, najdete v katalogu Nastavení: Obor zařízení vs. nastavení oboru uživatele.

• Když se zásada odebere nebo už není přiřazená k zařízení, můžou se stát různé věci v závislosti na nastavení zásad. Každý z poskytovatelů CSP může odebrání zásad zpracovat jinak.

  Nastavení například může zachovat existující hodnotu a nemusí se vrátit zpět na výchozí hodnotu. Chování řídí každý CSP v operačním systému. Seznam poskytovatelů CSP pro Windows najdete v referenčních informacích o poskytovateli konfiguračních služeb (CSP).

  Pokud chcete změnit nastavení na jinou hodnotu, vytvořte novou zásadu, nakonfigurujte nastavení na Nenakonfigurováno a přiřaďte zásadu. Pokud se zásady vztahují na zařízení, uživatelé by měli mít kontrolu nad změnou nastavení na upřednostňovanou hodnotu.

• Při konfiguraci těchto nastavení doporučujeme nasazení do pilotní skupiny. Další rady Intune zavedení najdete v tématu Vytvoření plánu zavedení.

Vyloučení skupin z přiřazení zásad

Intune zásady konfigurace zařízení umožňují zahrnout a vyloučit skupiny z přiřazení zásad.

Osvědčený postup:

• Vytvořte a přiřaďte zásady speciálně pro vaše skupiny uživatelů. Pomocí filtrů můžete zahrnout nebo vyloučit zařízení těchto uživatelů.
• Vytvořte a přiřaďte různé zásady speciálně pro vaše skupiny zařízení.

Další informace o skupinách najdete v tématu Přidání skupin pro uspořádání uživatelů a zařízení.

Zásady zahrnutí a vyloučení skupin

Při přiřazování zásad použijte následující obecné zásady:

• Skupiny Zahrnuté nebo Vyloučené skupiny si můžete představit jako výchozí bod pro uživatele a zařízení, která budou přijímat vaše zásady. Skupina Microsoft Entra je omezující skupina, proto použijte nejmenší možný rozsah skupiny. Pomocí filtrů omezte nebo upřesněte přiřazení zásad.

• Přiřazené Microsoft Entra skupiny, označované také jako statické skupiny, je možné přidat do zahrnutých skupin nebo vyloučených skupin.

  Obvykle staticky přiřazujete zařízení do skupiny Microsoft Entra, pokud jsou předem zaregistrovaná v Microsoft Entra ID, například ve Windows Autopilotu. Nebo pokud chcete kombinovat zařízení pro jednorázové ad hoc nasazení. Jinak nemusí být statické přiřazení zařízení do skupiny Microsoft Entra praktické.

• Dynamické Microsoft Entra skupiny uživatelů je možné přidat do zahrnutých skupin nebo vyloučených skupin.

• Vyloučené skupiny můžou být skupiny s uživateli nebo skupiny se zařízeními.

• Dynamické Microsoft Entra skupiny zařízení je možné přidat do zahrnutých skupin. Při naplnění členství v dynamické skupině ale může docházet k latenci. Ve scénářích citlivých na latenci použijte filtry k cílení na konkrétní zařízení a přiřazení zásad skupinám uživatelů.

  Například chcete, aby se zásady přiřadily zařízením hned po registraci. V této situaci citlivé na latenci vytvořte filtr , který cílí na požadovaná zařízení, a přiřaďte zásady s tímto filtrem skupinám uživatelů. Nepřiřazujte do skupin zařízení.

  Ve scénáři bez uživatelů vytvořte filtr , který cílí na požadovaná zařízení, a přiřaďte zásadu s filtrem skupině Všechna zařízení.

• Vyhněte se přidávání dynamických Microsoft Entra skupin zařízení do vyloučených skupin. Latence při výpočtu dynamické skupiny zařízení při registraci může způsobit nežádoucí výsledky. Například nežádoucí aplikace a zásady se můžou nasadit před naplněním vyloučeného členství ve skupině.

Matice podpory

K pochopení podpory vyloučení skupin použijte následující matici:

• ✔️:Podporovány
• ❌: Nepodporováno
• ❕ : Částečně podporováno

Scénář	Podpora
1	❕ Podporuje se částečně přiřazování zásad k dynamické skupině zařízení při vyloučení jiné dynamické skupiny zařízení. Nedoporučuje se to ale ve scénářích, které jsou citlivé na latenci. Jakékoli zpoždění při výpočtu vyloučení členství ve skupinách může způsobit nabízení zásad zařízením. V tomto scénáři doporučujeme k vyloučení zařízení použít filtry místo dynamických skupin zařízení. Máte například zásadu zařízení, která je přiřazená ke všem zařízením. Později budete mít požadavek, aby nová marketingová zařízení tuto zásadu neobdržela. Na základě enrollmentProfilename vlastnosti () tedy vytvoříte dynamickou skupinu zařízení s názvem Marketingová zařízení.device.enrollmentProfileName -eq "Marketing_devices" V zásadách přidáte dynamickou skupinu Marketing zařízení jako vyloučenou skupinu. Nové marketingové zařízení se poprvé zaregistruje do Intune a vytvoří se nový Microsoft Entra objekt zařízení. Proces dynamického seskupení umístí zařízení do skupiny Marketing devices s možným zpožděním výpočtu. Současně se zařízení zaregistruje do Intune a začne přijímat všechny platné zásady. Zásady Intune se můžou nasadit před tím, než se zařízení umístí do skupiny vyloučení. Výsledkem tohoto chování je nasazení nežádoucích zásad (nebo aplikace) do skupiny Marketing devices . V důsledku toho se nedoporučuje používat dynamické skupiny zařízení pro vyloučení ve scénářích citlivých na latenci. Místo toho použijte filtry.
2	✔️ Podporuje se přiřazení zásady k dynamické skupině zařízení při vyloučení statické skupiny zařízení.
3	❌ Nepodporuje se přiřazení zásady k dynamické skupině zařízení při vyloučení skupin uživatelů (dynamických i statických). Intune nevyhodnocuje relace mezi uživateli a zařízeními a zařízení zahrnutých uživatelů nebudou vyloučena.
4	❌ Nepodporuje se přiřazení zásady k dynamické skupině zařízení a vyloučení skupin uživatelů (dynamických i statických). Intune nevyhodnocuje relace mezi uživateli a zařízeními a zařízení zahrnutých uživatelů nebudou vyloučena.
5	❕ Částečně podporované je přiřazování zásad ke statické skupině zařízení při vyloučení dynamické skupiny zařízení. Nedoporučuje se to ale ve scénářích, které jsou citlivé na latenci. Jakékoli zpoždění při výpočtu vyloučení členství ve skupinách může způsobit nabízení zásad zařízením. V tomto scénáři doporučujeme k vyloučení zařízení použít filtry místo dynamických skupin zařízení.
6	✔️ Podporuje se přiřazení zásady ke statické skupině zařízení a vyloučení jiné skupiny statických zařízení.
7	❌ Nepodporuje se přiřazení zásady ke statické skupině zařízení a vyloučení skupin uživatelů (dynamických i statických). Intune nevyhodnocuje relace mezi uživateli a zařízeními a zařízení zahrnutých uživatelů nebudou vyloučena.
8	❌ Nepodporuje se přiřazení zásady ke statické skupině zařízení a vyloučení skupin uživatelů (dynamických i statických). Intune nevyhodnocuje relace mezi uživateli a zařízeními a zařízení zahrnutých uživatelů nebudou vyloučena.
9	❌ Nepodporuje se přiřazení zásady k dynamické skupině uživatelů a vyloučení skupin zařízení (dynamických i statických).
10	❌ Nepodporuje se přiřazení zásady k dynamické skupině uživatelů a vyloučení skupin zařízení (dynamických i statických).
11	✔️ Podporuje se přiřazení zásady k dynamické skupině uživatelů při vyloučení jiných skupin uživatelů (dynamických i statických).
12	✔️ Podporuje se přiřazení zásady k dynamické skupině uživatelů při vyloučení jiných skupin uživatelů (dynamických i statických).
13	❌ Nepodporuje se přiřazení zásady statické skupině uživatelů při vyloučení skupin zařízení (dynamických i statických).
14	❌ Nepodporuje se přiřazení zásady statické skupině uživatelů při vyloučení skupin zařízení (dynamických i statických).
15	✔️ Podporuje se přiřazení zásady ke statické skupině uživatelů při vyloučení jiných skupin uživatelů (dynamických i statických).
16	✔️ Podporuje se přiřazení zásady ke statické skupině uživatelů při vyloučení jiných skupin uživatelů (dynamických i statických).

Další kroky

Pokyny k monitorování zásad a zařízení, na kterých se zásady používají, najdete v tématu Monitorování profilů zařízení.