Leistungsempfehlungen für Gruppierung, Zielgruppenadressierung und Filterung in großen Microsoft Intune-Umgebungen
Wenn Sie eine Richtlinie erstellen, können Sie Filter verwenden, um eine Richtlinie basierend auf den von Ihnen erstellten Regeln zuzuweisen. Sie können Filter auf in Intune registrierte Geräte und von Intune verwaltete Apps anwenden. Eine Übersicht über Filter findest du unter Verwenden von Filtern beim Zuweisen von Apps, Richtlinien und Profilen in Microsoft Intune.
Beim Erstellen von Filtern gibt es einige Leistungsempfehlungen, die Sie berücksichtigen sollten.
In diesem Artikel werden Empfehlungen zum Gruppieren, Zielen und Filtern von Intune für Ihre Richtlinien und Apps aufgelistet und beschrieben. Das Ziel besteht darin, Architektur- und Entwurfsentscheidungen für Intune-Bereitstellungen in großen Umgebungen zu treffen.
Diese Leistungsempfehlungen und ihre Implementierung können unterschiedlich sein und von Ihrer eigenen Umgebung & anderen Faktoren wie Verwaltbarkeit und Einfachheit abhängen.
Inhalt dieses Artikels:
- Verschaffen Sie sich einen Überblick über die Intune-Gruppierungs- und Zielkonzepte
- Abrufen einiger Leistungsempfehlungen
Anleitungen zu dynamischen Gruppen finden Sie unter Erstellen einfacherer, effizienterer Regeln für dynamische Gruppen in Microsoft Entra ID.
Übersicht über die Intune-Gruppierungs- und Zielkonzepte
Sehen wir uns die in Intune verfügbaren Gruppierungs-, Ziel- und Filterfunktionen an.
Microsoft Entra-Gruppen
Intune verwendet fast ausschließlich Microsoft Entra-Gruppen zum Gruppieren und Zielen. Wenn Sie im Microsoft Intune Admin Center Gruppen auswählen, sehen Sie sich Microsoft Entra-Gruppen an.
Microsoft Entra-Gruppen sind ein wichtiger Bestandteil von Intune, da diese Gruppen:
- Die Objekte, die zum Zuweisen von Apps, Richtlinien und anderen Workloads zu Benutzern und Geräten verwendet werden
- Wird verwendet, um die Geräte zu definieren, die Administratoren im Intune Admin Center anzeigen und verwalten können, z. B. Bereichsgruppen in der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC)
Virtuelle Gruppen
Die Zuweisungen Alle Benutzer und Alle Geräte sind "virtuelle" Intune-Gruppen. Diese virtuellen Gruppen sind standardmäßig in allen Intune-Mandanten verfügbar und enthalten keinen Verwaltungsaufwand. Beispielsweise müssen Sie keine Microsoft Entra-ID-Regeln erstellen oder anpassen, um deren Mitglieder aufzufüllen.
Die Gruppen Alle Benutzer und Alle Geräte sind ebenfalls hochgradig skalierbar und optimiert, vor allem, weil sie nicht auf die gleiche Weise wie andere Gruppen von Microsoft Entra ID synchronisiert werden müssen.
Filter
Nachdem die App oder Richtlinie einer Microsoft Entra-ID oder einer virtuellen Gruppe zugewiesen wurde, können Sie filter verwenden, um den Zuweisungsbereich dieser Apps und Richtlinien auf bestimmte Benutzer- oder Gerätegruppen einzugrenzen.
Ihr Filter filtert Geräte in (oder aus) dieser Zuweisung basierend auf Geräteeigenschaften.
Filterung ist eine hohe Leistung und eine Auswertung der Anwendbarkeit mit geringer Latenz beim Einchecken des Geräts, ohne dass die Gruppenmitgliedschaft vorab berechnet werden muss.
Leistungsempfehlungen
Dieser Abschnitt enthält einige Empfehlungen, die die Leistung beim Zuweisen Ihrer Richtlinien in Microsoft Intune verbessern können.
Diese Empfehlungen konzentrieren sich auf die Verbesserung der Leistung und die Verringerung der Latenz bei der Workloadzuweisung. Sie haben die meisten Auswirkungen auf die Arbeit in großen Intune-Umgebungen, z. B. Umgebungen mit >100.000 Geräten. Diese Empfehlungen sollten mit anderen Entwurfsaspekten wie Verwaltbarkeit, Benutzerfreundlichkeit, rollenbasierter Verwaltung und Einfachheit berücksichtigt werden.
Verwenden der integrierten virtuellen Gruppen
TUN | TUE NICHT |
---|---|
✅ Verwenden Sie die virtuellen Gruppen Alle Benutzer und Alle Geräte , anstatt Ihre eigene Version aller Benutzer/alle Geräte mit dynamischen Microsoft Entra-Gruppen zu erstellen. | ❌ Erstellen Sie keine eigenen dynamischen Gruppen "Alle Benutzer" oder "Alle Geräte" für Richtlinien und Apps in Intune. |
Größere Gruppen brauchen länger, um Mitgliedschaftsupdates zwischen Microsoft Entra ID und Intune zu synchronisieren. Alle Benutzer und Alle Geräte sind in der Regel die größten Gruppen, die Sie haben. Wenn Sie Intune-Workloads großen Microsoft Entra-Gruppen mit vielen Benutzern oder Geräten zuweisen, können Synchronisierungsbacklogs in Ihrer Intune-Umgebung auftreten. Dieses Backlog wirkt sich auf Richtlinien- und App-Bereitstellungen aus, deren Zugriff auf verwaltete Geräte länger dauert.
Die integrierten Gruppen Alle Benutzer und Alle Geräte sind reine Intune-Gruppierungsobjekte, die in Microsoft Entra ID nicht vorhanden sind. Es gibt keine kontinuierliche Synchronisierung zwischen Microsoft Entra ID und Intune. Die Gruppenmitgliedschaft ist also sofort.
Hinweis
Informationen zu Den Aktualisierungsintervallen für Intune-Check-In-Richtlinien finden Sie unter Aktualisierungsintervalle für Intune-Richtlinien.
Sie können diese Optimierung auch auf andere große und sich häufig ändernde Gruppen anwenden, z. B. "Alle Windows-Geräte" oder "alle iOS-Geräte". Anstatt diese Gruppen zu erstellen und als Ziel zu verwenden, verwenden Sie die vorhandenen virtuellen Gruppen "Alle Benutzer" oder "Alle Geräte", da Intune-Richtlinien und -Anwendungen automatisch nach Plattform festgelegt werden.
Wenn Sie sehr große Gruppen in Intune (über 100.000 Mitglieder) verwenden, erwarten Sie eine anfängliche Verzögerung bei der Zielbestimmung. Es gibt einen ersten Einrichtungsprozess zwischen Microsoft Entra ID und Intune. Die erste vollständige Synchronisierung dauert immer länger als nachfolgende inkrementelle Synchronisierungen.
Wiederverwenden von Gruppen
TUN | TUE NICHT |
---|---|
✅ Verwenden Sie die gleichen Gruppenobjekte wieder, um mehrere Richtlinien zuzuweisen. |
❌ Erstellen Sie keine doppelten Kopien derselben Gruppe, um unterschiedliche Richtlinien als Ziel zu verwenden. ❌ Erstellen Sie keine dedizierten "App-Gruppen" oder "Richtliniengruppen". |
Im Hintergrund konvertiert Intune Microsoft Entra-Gruppenmitglieder in Zuweisungsnachrichten für jeden Benutzer und jedes Gerät. Dieser Prozess ist stark optimiert, wenn die Gruppenobjekte identisch sind.
Die Intune-Gruppierung und -zielung funktioniert beispielsweise am besten, wenn die Benutzergruppe "Engineering" auf 10 Richtlinien ausgerichtet ist. Es funktioniert nicht am besten, wenn die Engineering-Benutzer Mitglieder von 10 verschiedenen Gruppen sind, wobei jede Gruppe einer anderen Richtlinie zugewiesen ist.
Wir haben einige Designs gesehen, die diese Anleitung nicht verwenden. Beispielsweise erstellen IT-Administratoren eine Gruppe "Install_Edge", erstellen eine "Deploy_Edge_Config_Policy"-Gruppe und platzieren dann die gleichen Geräte in jeder Gruppe, was aus Leistungsgründen nicht empfohlen wird.
Ein ähnliches und nicht empfohlenes Muster ist das Erstellen von "App-Gruppen". Eine App-Gruppe ist, wenn für jede App mehrere Microsoft Entra-Gruppen erstellt wurden. Um beispielsweise die Microsoft Edge-Anwendung zu verwalten, erstellt ein Administrator die folgenden Gruppen:
- Edge_Required
- Edge_Available
- Edge_Uninstall
Der Administrator fügt diesen Gruppen einzelne Benutzer oder Geräte hinzu. Diese App-Gruppen erhöhen erheblich die Anzahl der Microsoft Entra-Gruppen, die Intune abonnieren und auf Mitgliedschaftsupdates überwachen muss, was weniger effizient ist. Ineffizientes Gruppensynchronisierungsdesign wirkt sich darauf aus, wie schnell neue Zuweisungen erstellt und an Geräte übermittelt werden.
Inkrementelle Gruppenänderungen vornehmen
TUN | TUE NICHT |
---|---|
✅ Seien Sie vorsichtig mit Änderungen an der Schachtelung großer Gruppen in Microsoft Entra ID. | ❌ Nehmen Sie keine Änderungen an der Schachtelung großer Gruppen auf einmal vor. |
Eine große Änderung der Gruppenmitgliedschaft in Microsoft Entra ID kann Zuspitzungen von Zieländerungen in Intune führen. Diese Bursts können das Ziel anderer Zuweisungen in Ihrer Umgebung verzögern.
Wenn eine Gruppe von Administratoren Ihre Gruppen und ein anderer Satz Microsoft Entra ID verwaltet, sollten Sie die Auswirkungen von Microsoft Entra ID-Änderungen auf die Intune-Zielbestimmung mitteilen.
Wenn beispielsweise ein Microsoft Entra-Administrator neue große Gruppen in einer vorhandenen Gruppe verschachtelt, die Intune für die Ausrichtung verwendet, beginnt Intune mit der Synchronisierung aller Gruppen und Gruppenmitgliedschaften. Die Zeit, die zum Verarbeiten aller Mitgliedschaften benötigt wird, hängt von der Anzahl und Größe der Gruppenänderungen ab, die in Microsoft Entra ID vorgenommen wurden.
Diese Empfehlung gilt auch, wenn Gruppen "nicht verwendet" werden. Weitere Informationen zu geschachtelten Gruppen findest du unter Verwalten von Microsoft Entra-Gruppen und Gruppenmitgliedschaften.
Verwenden von Filtern zum Ein- und Ausschließen
TUN | TUE NICHT |
---|---|
✅ Verwenden Sie Filter, um die richtige Kombination aus Benutzer und Gerät für die Zielgruppenadressierung zu erzielen. | ❌ Kombinieren Sie keine Benutzergruppen und Gerätegruppen, wenn Sie Gruppen einschließen und ausschließen verwenden. |
Diese Empfehlung ist auch eine Support-Anweisung. Es wird nicht empfohlen oder unterstützt, Zuweisungen für Benutzergruppen zu erstellen und eine Gerätegruppe von dieser Zuweisung auszuschließen oder umgekehrt.
Diese Empfehlung besteht aufgrund des Zeit-/Latenzmerkmals dynamischer Gruppen. Die Mitgliedschaft ausgeschlossener Gruppen erfolgt nicht sofort, was dazu führen kann, dass Geräte fälschlicherweise App- oder Richtlinienzuweisungen empfangen. Weitere Informationen finden Sie unter Zuweisen von Richtlinien und Profilen – Unterstützungsmatrix.
Anstelle von gemischten Ausschlüssen wird empfohlen, eine Benutzergruppe zuzuweisen. Verwenden Sie dann Filter, um die entsprechenden Geräte dynamisch einzu- oder auszuschließen.
Zusammenfassung
Berücksichtigen Sie beim Erstellen und Verwalten von Zuweisungen in Intune einige dieser Empfehlungen. Verwenden Sie Gruppen oder virtuelle Gruppen, und wenden Sie Filter an, um den Zielbereich zu verfeinern. Beachten Sie die bewährten Methoden:
- Erstellen Sie keine eigene Version der Gruppen "Alle Benutzer" oder "Alle Geräte". Verwenden Sie die virtuellen Intune-Gruppen, da sie keine Microsoft Entra ID-Synchronisierung erfordern, wenn der Umgebung ein neuer Benutzer oder ein neues Gerät hinzugefügt wird.
- Um Ihre Zielgruppenadressierung zu optimieren, verwenden Sie Gruppen so weit wie möglich wieder.
- Achten Sie darauf, große Schachtelungsänderungen an Intune-Gruppen vorzunehmen. Intune muss alle diese Änderungen verarbeiten und effektive Änderungen für alle Mitglieder aller Gruppen berechnen, die von dieser Änderung betroffen sind.
- Intune unterstützt keine Ausschlüsse gemischter Gruppen. Verwenden Sie daher Filter, um Geräte zusätzlich zu Gruppen- oder virtuellen Gruppenzuweisungen dynamisch einzu- und auszuschließen.