Recommandations en matière de performances pour le regroupement, le ciblage et le filtrage dans les environnements de grande Microsoft Intune
Cet article répertorie et décrit des recommandations pour le regroupement, le ciblage et le filtrage Intune pour vos stratégies et applications. L’objectif est de vous aider à prendre des décisions en matière d’architecture et de conception pour les déploiements Intune dans de grands environnements.
Ces recommandations en matière de performances et leur implémentation peuvent être différentes et dépendent de votre propre environnement & d’autres facteurs, notamment la facilité de gestion et la simplicité.
Contenu de cet article :
- Obtenir une vue d’ensemble des concepts de regroupement et de ciblage Intune
- Obtenir des recommandations en matière de performances
Pour plus d’informations et une vue d’ensemble des filtres, consultez Utiliser des filtres lors de l’attribution de vos applications, stratégies et profils dans Microsoft Intune.
Pour obtenir des conseils sur les groupes dynamiques, consultez Créer des règles plus simples et plus efficaces pour les groupes dynamiques dans Microsoft Entra ID.
Vue d’ensemble des concepts de regroupement et de ciblage Intune
Avant d’examiner les recommandations, examinons les fonctionnalités de regroupement, de ciblage et de filtrage disponibles dans Intune.
Microsoft Entra groupes
Intune utilise presque exclusivement des groupes Microsoft Entra pour le regroupement et le ciblage. Lorsque vous sélectionnez Groupes dans le Centre d’administration Microsoft Intune, vous examinez Microsoft Entra groupes.
Microsoft Entra groupes sont une partie importante d’Intune, car ces groupes sont les suivants :
- Objets utilisés pour affecter des applications, des stratégies et d’autres charges de travail à des utilisateurs et des appareils.
- Permet de définir les appareils que les administrateurs peuvent afficher et gérer dans le Centre d’administration Intune, comme les groupes d’étendues dans le contrôle d’accès en fonction du rôle (RBAC).
Groupes virtuels
Les affectations Tous les utilisateurs et Tous les appareils sont des groupes Intune « virtuels ». Ces groupes virtuels sont disponibles par défaut dans tous les locataires Intune et ne sont pas fournis avec une surcharge de gestion. Par exemple, vous n’avez pas besoin de créer ou d’ajuster des règles d’ID de Microsoft Entra pour que leurs membres restent renseignés.
Les groupes Tous les utilisateurs et Tous les appareils sont également hautement évolutifs et optimisés, principalement parce qu’ils n’ont pas besoin d’être synchronisés à partir de Microsoft Entra’ID de la même façon que les autres groupes.
Filtres
Une fois que l’application ou la stratégie est affectée à un ID de Microsoft Entra ou à un groupe virtuel, vous pouvez utiliser des filtres pour limiter l’étendue d’attribution de ces applications et stratégies à des groupes d’utilisateurs ou d’appareils spécifiques.
Votre filtre filtre les appareils entrants (ou sortants) de cette affectation en fonction des propriétés de l’appareil.
Le filtrage est une évaluation de l’applicabilité à haute performance et à faible latence au niveau de l’appareil case activée sans avoir à précalculer l’appartenance au groupe.
Recommandations en matière de performances
Cette section contient des recommandations qui peuvent améliorer les performances lors de l’attribution de vos stratégies dans Microsoft Intune.
Ces recommandations se concentrent sur l’amélioration des performances et la réduction de la latence dans l’attribution des charges de travail. Ils ont le plus d’impact lorsque vous travaillez dans de grands environnements Intune, comme les environnements avec >100 000 appareils. Ces recommandations doivent être prises en compte avec d’autres aspects de conception, tels que la facilité de gestion, la facilité d’utilisation, l’administration basée sur les rôles et la simplicité.
Utiliser des groupes virtuels
| FAIRE | NE PAS |
|---|---|
| ✔️ Utilisez les groupes virtuels Tous les utilisateurs et Tous les appareils au lieu de créer votre propre version de tous les utilisateurs/tous les appareils à l’aide de Microsoft Entra groupes dynamiques. | ❌ Ne créez pas vos propres groupes dynamiques « Tous les utilisateurs » ou « Tous les appareils » pour le ciblage des stratégies et des applications dans Intune. |
La synchronisation des mises à jour d’appartenance entre l’ID de Microsoft Entra et Intune prend plus de temps pour les grands groupes. Les groupes « Tous les utilisateurs » et « Tous les appareils » sont généralement les plus grands groupes dont vous disposez. Si vous affectez des charges de travail Intune à des groupes de Microsoft Entra volumineux qui ont de nombreux utilisateurs ou appareils, des backlogs de synchronisation peuvent se produire dans votre environnement Intune. Ce backlog a un impact sur les déploiements de stratégies et d’applications, qui prennent plus de temps à atteindre les appareils gérés.
Les groupes intégrés Tous les utilisateurs et Tous les appareils sont des objets de regroupement Intune uniquement qui n’existent pas dans Microsoft Entra ID. Il n’existe pas de synchronisation continue entre Microsoft Entra ID et Intune. Par conséquent, l’appartenance au groupe est instantanée.
Remarque
Pour plus d’informations sur les intervalles d’actualisation des stratégies de case activée Intune, accédez à Intervalles d’actualisation de la stratégie Intune.
Vous pouvez également appliquer cette optimisation à d’autres groupes volumineux et fréquemment changeants que vous pouvez avoir, comme « Tous les appareils Windows » ou « tous les appareils iOS ». Au lieu de créer et de cibler ces groupes, vous pouvez utiliser les groupes virtuels « Tous les utilisateurs » ou « Tous les appareils » existants, car les stratégies et applications Intune sont déjà étendues par plateforme.
Lorsque vous utilisez des groupes très volumineux dans Intune (plus de 100 000 membres), attendez-vous à un certain délai initial dans le ciblage. Il existe un premier processus de configuration qui se produit entre Microsoft Entra ID et Intune. La première synchronisation complète prend toujours plus de temps que les synchronisations incrémentielles suivantes.
Réutiliser des groupes
| FAIRE | NE PAS |
|---|---|
| ✔️ Réutilisez les mêmes objets de groupe pour l’attribution de plusieurs stratégies. | ❌ Ne créez pas de copies du même groupe pour cibler des stratégies différentes. ❌ Ne créez pas de « groupes d’applications » ou de « groupes de stratégies » dédiés. |
En arrière-plan, Intune convertit Microsoft Entra membres du groupe en messages de ciblage d’affectation pour chaque utilisateur et appareil. Ce processus est hautement optimisé lorsque les objets de groupe sont identiques.
Par exemple, le regroupement et le ciblage Intune fonctionnent mieux lorsque le groupe d’utilisateurs « Ingénierie » est ciblé avec 10 stratégies. Cela ne fonctionne pas mieux lorsque les utilisateurs d’ingénierie sont membres de 10 groupes différents, chacun affecté à une stratégie différente.
Nous avons vu quelques conceptions contrecarrer ces conseils. Par exemple, les administrateurs informatiques créent un groupe « Install_Edge », un groupe « Deploy_Edge_Config_Policy », puis placent les mêmes appareils dans chaque groupe.
Un modèle similaire et non recommandé est la création de « groupes d’applications ». Un groupe d’applications est lorsque chaque application a plusieurs groupes Microsoft Entra créés pour elle. Par exemple, pour gérer l’application Edge, un administrateur crée les groupes suivants :
- Edge_Required
- Edge_Available
- Edge_Uninstall
L’administrateur ajoute un utilisateur ou des appareils individuels à ces groupes. Ces groupes d’applications augmentent considérablement le nombre de groupes Microsoft Entra auxquels Intune doit s’abonner et surveiller les mises à jour d’appartenance, ce qui est moins efficace. La conception inefficace de la synchronisation de groupe a un impact sur la vitesse à laquelle les nouvelles affectations sont créées et remises aux appareils.
Apporter des modifications de groupe incrémentielles
| FAIRE | NE PAS |
|---|---|
| ✔️ Soyez prudent avec les modifications d’imbrication de groupes volumineux dans l’ID Microsoft Entra. | ❌ N’apportez pas de modifications d’imbrication de grands groupes en même temps. |
Une modification importante de l’appartenance à un groupe dans Microsoft Entra ID peut générer des rafales de modifications de ciblage dans Intune. Ces rafales peuvent retarder le ciblage d’autres affectations dans votre environnement.
Si vos groupes sont gérés par un ensemble d’administrateurs différent de celui des administrateurs qui gèrent Microsoft Entra’ID, vous devez communiquer l’impact que les modifications d’ID Microsoft Entra peuvent avoir sur le ciblage Intune.
Par exemple, si un administrateur Microsoft Entra imbriquez de nouveaux grands groupes au sein d’un groupe existant qu’Intune utilise pour le ciblage, Intune commence à synchroniser tous les groupes et appartenances aux groupes. Le temps nécessaire pour traiter toutes les appartenances dépend du nombre et de la taille des modifications apportées au groupe dans Microsoft Entra’ID.
Cette recommandation s’applique également lorsque les groupes sont « non dénudés ». Pour plus d’informations sur les groupes imbriqués, consultez Gérer les groupes Microsoft Entra et l’appartenance aux groupes.
Utiliser des filtres pour inclure et exclure
| FAIRE | NE PAS |
|---|---|
| ✔️ Utilisez des filtres pour obtenir la bonne combinaison utilisateur/appareil pour le ciblage. | ❌ Ne mélangez pas les groupes d’utilisateurs et les groupes d’appareils lors de l’utilisation de groupes Include et Exclude. |
Cette recommandation est également une instruction de support. Nous ne recommandons pas ou ne prenons pas en charge la création d’affectations à des groupes d’utilisateurs et l’exclusion d’un groupe d’appareils de cette affectation, ou vice versa.
Cette recommandation existe en raison de la durée/latence caractéristique des groupes dynamiques. L’appartenance à des groupes exclus n’est pas instantanée, ce qui peut entraîner des cas où les appareils reçoivent incorrectement des affectations d’application ou de stratégie. Pour en savoir plus, accédez à la matrice Attribuer des stratégies et des profils - Prise en charge.
Au lieu d’exclusions mixtes, nous vous recommandons d’attribuer à un groupe d’utilisateurs. Ensuite, utilisez des filtres pour inclure ou exclure dynamiquement les appareils appropriés.
Résumé
Lorsque vous créez et gérez des affectations dans Intune, incorporez certaines de ces recommandations. Utilisez des groupes ou des groupes virtuels et appliquez des filtres pour affiner l’étendue de ciblage. Gardez à l’esprit les meilleures pratiques :
- Ne créez pas votre propre version des groupes « Tous les utilisateurs » ou « Tous les appareils ». Utilisez les groupes virtuels Intune, car ils ne nécessitent pas de synchronisation d’ID Microsoft Entra lorsqu’un nouvel utilisateur ou appareil est ajouté à l’environnement.
- Pour optimiser votre ciblage, réutilisez les groupes autant que possible.
- Faites attention lorsque vous apportez des modifications d’imbrication importantes aux groupes Intune. Intune doit traiter toutes ces modifications et calculer les modifications effectives pour tous les membres de tous les groupes affectés par cette modification.
- Intune ne prend pas en charge les exclusions de groupes mixtes. Par conséquent, utilisez des filtres pour inclure et exclure dynamiquement des appareils en plus des affectations de groupe ou de groupe virtuel.
Prochaines étapes
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour