Recommandations en matière de performances pour le regroupement, le ciblage et le filtrage dans de grands environnements Microsoft Intune
Lorsque vous créez une stratégie, vous pouvez utiliser des filtres pour affecter une stratégie en fonction des règles que vous créez. Vous pouvez appliquer des filtres aux appareils inscrits à Intune et aux applications gérées par Intune. Pour obtenir une vue d’ensemble des filtres, accédez à Utiliser des filtres lors de l’attribution de vos applications, stratégies et profils dans Microsoft Intune.
Lorsque vous créez des filtres, vous devez prendre en compte certaines recommandations en matière de performances.
Cet article répertorie et décrit des recommandations pour le regroupement, le ciblage et le filtrage Intune pour vos stratégies et applications. L’objectif est de vous aider à prendre des décisions en matière d’architecture et de conception pour les déploiements Intune dans de grands environnements.
Ces recommandations en matière de performances et leur implémentation peuvent être différentes et dépendent de votre propre environnement & d’autres facteurs, notamment la facilité de gestion et la simplicité.
Contenu de cet article :
- Obtenir une vue d’ensemble des concepts de regroupement et de ciblage Intune
- Obtenir des recommandations en matière de performances
Pour obtenir des conseils sur les groupes dynamiques, consultez Créer des règles plus simples et plus efficaces pour les groupes dynamiques dans l’ID Microsoft Entra.
Vue d’ensemble des concepts de regroupement et de ciblage Intune
Examinons les fonctionnalités de regroupement, de ciblage et de filtrage disponibles dans Intune.
Groupes Microsoft Entra
Intune utilise presque exclusivement des groupes Microsoft Entra pour le regroupement et le ciblage. Lorsque vous sélectionnez Groupes dans le Centre d’administration Microsoft Intune, vous examinez les groupes Microsoft Entra.
Les groupes Microsoft Entra sont une partie importante d’Intune, car ces groupes sont les suivants :
- Objets utilisés pour attribuer des applications, des stratégies et d’autres charges de travail à des utilisateurs et des appareils
- Permet de définir les appareils que les administrateurs peuvent afficher et gérer dans le Centre d’administration Intune, comme les groupes d’étendues dans le contrôle d’accès en fonction du rôle (RBAC)
Groupes virtuels
Les affectations Tous les utilisateurs et Tous les appareils sont des groupes Intune « virtuels ». Ces groupes virtuels sont disponibles par défaut dans tous les locataires Intune et ne sont pas fournis avec une surcharge de gestion. Par exemple, vous n’avez pas besoin de créer ou d’ajuster des règles d’ID Microsoft Entra pour que leurs membres restent renseignés.
Les groupes Tous les utilisateurs et Tous les appareils sont également hautement évolutifs et optimisés, principalement parce qu’ils n’ont pas besoin d’être synchronisés à partir de l’ID Microsoft Entra de la même façon que les autres groupes.
Filtres
Une fois que l’application ou la stratégie est affectée à un ID Microsoft Entra ou à un groupe virtuel, vous pouvez utiliser des filtres pour limiter l’étendue d’attribution de ces applications et stratégies à des groupes d’utilisateurs ou d’appareils spécifiques.
Votre filtre filtre les appareils entrants (ou sortants) de cette affectation en fonction des propriétés de l’appareil.
Le filtrage est une évaluation de l’applicabilité à haute performance et à faible latence lors de l’enregistrement de l’appareil sans avoir à précalculer l’appartenance au groupe.
Recommandations en matière de performances
Cette section contient des recommandations qui peuvent améliorer les performances lors de l’attribution de vos stratégies dans Microsoft Intune.
Ces recommandations se concentrent sur l’amélioration des performances et la réduction de la latence dans l’attribution des charges de travail. Ils ont le plus d’impact lorsque vous travaillez dans de grands environnements Intune, comme les environnements avec >100 000 appareils. Ces recommandations doivent être prises en compte avec d’autres aspects de conception, tels que la facilité de gestion, la facilité d’utilisation, l’administration basée sur les rôles et la simplicité.
Utiliser les groupes virtuels intégrés
FAIRE | NE PAS |
---|---|
✅ Utilisez les groupes virtuels Tous les utilisateurs et Tous les appareils au lieu de créer votre propre version de tous les utilisateurs/tous les appareils à l’aide de groupes dynamiques Microsoft Entra. | ❌ Ne créez pas vos propres groupes dynamiques « Tous les utilisateurs » ou « Tous les appareils » pour le ciblage des stratégies et des applications dans Intune. |
La synchronisation des mises à jour d’appartenance entre l’ID Microsoft Entra et Intune prend plus de temps pour les grands groupes. Tous les utilisateurs et Tous les appareils sont généralement les plus grands groupes dont vous disposez. Si vous affectez des charges de travail Intune à de grands groupes Microsoft Entra qui ont de nombreux utilisateurs ou appareils, des backlogs de synchronisation peuvent se produire dans votre environnement Intune. Ce backlog a un impact sur les déploiements de stratégies et d’applications, qui prennent plus de temps à atteindre les appareils gérés.
Les groupes intégrés Tous les utilisateurs et Tous les appareils sont des objets de regroupement Intune uniquement qui n’existent pas dans l’ID Microsoft Entra. Il n’existe pas de synchronisation continue entre l’ID Microsoft Entra et Intune. Par conséquent, l’appartenance au groupe est instantanée.
Remarque
Pour plus d’informations sur les intervalles d’actualisation de la stratégie d’archivage Intune, accédez à Intervalles d’actualisation de la stratégie Intune.
Vous pouvez également appliquer cette optimisation à d’autres groupes volumineux et fréquemment changeants, comme « Tous les appareils Windows » ou « tous les appareils iOS ». Au lieu de créer et de cibler ces groupes, utilisez les groupes virtuels « Tous les utilisateurs » ou « Tous les appareils » existants, car les stratégies et applications Intune sont automatiquement délimitées par plateforme.
Lorsque vous utilisez des groupes très volumineux dans Intune (plus de 100 000 membres), attendez-vous à un certain délai initial dans le ciblage. Il existe un premier processus de configuration qui se produit entre l’ID Microsoft Entra et Intune. La première synchronisation complète prend toujours plus de temps que les synchronisations incrémentielles suivantes.
Réutiliser des groupes
FAIRE | NE PAS |
---|---|
✅ Réutilisez les mêmes objets de groupe pour l’attribution de plusieurs stratégies. |
❌ Ne créez pas de copies du même groupe pour cibler des stratégies différentes. ❌ Ne créez pas de « groupes d’applications » ou de « groupes de stratégies » dédiés. |
En arrière-plan, Intune convertit les membres du groupe Microsoft Entra en messages de ciblage d’affectation pour chaque utilisateur et appareil. Ce processus est hautement optimisé lorsque les objets de groupe sont identiques.
Par exemple, le regroupement et le ciblage Intune fonctionnent mieux lorsque le groupe d’utilisateurs « Ingénierie » est ciblé avec 10 stratégies. Cela ne fonctionne pas mieux lorsque les utilisateurs d’ingénierie sont membres de 10 groupes différents, chaque groupe étant affecté à une stratégie différente.
Nous avons vu que quelques conceptions n’utilisait pas ces conseils. Par exemple, les administrateurs informatiques créent un groupe « Install_Edge », un groupe « Deploy_Edge_Config_Policy », puis placent les mêmes appareils dans chaque groupe, ce qui n’est pas recommandé pour les performances.
Un modèle similaire et non recommandé est la création de « groupes d’applications ». Un groupe d’applications est lorsque chaque application a plusieurs groupes Microsoft Entra créés pour elle. Par exemple, pour gérer l’application Microsoft Edge, un administrateur crée les groupes suivants :
- Edge_Required
- Edge_Available
- Edge_Uninstall
L’administrateur ajoute un utilisateur ou des appareils individuels à ces groupes. Ces groupes d’applications augmentent considérablement le nombre de groupes Microsoft Entra auxquels Intune doit s’abonner et surveiller les mises à jour d’appartenance, ce qui est moins efficace. La conception inefficace de la synchronisation de groupe a un impact sur la vitesse à laquelle les nouvelles affectations sont créées et remises aux appareils.
Apporter des modifications de groupe incrémentielles
FAIRE | NE PAS |
---|---|
✅ Soyez prudent avec les modifications d’imbrication de grands groupes dans l’ID Microsoft Entra. | ❌ N’apportez pas de modifications d’imbrication de grands groupes en même temps. |
Une modification importante de l’appartenance à un groupe dans l’ID Microsoft Entra peut générer des rafales de modifications de ciblage dans Intune. Ces rafales peuvent retarder le ciblage d’autres affectations dans votre environnement.
Si un ensemble d’administrateurs gère vos groupes et qu’un autre ensemble gère l’ID Microsoft Entra, vous devez communiquer l’impact que les modifications apportées à l’ID Microsoft Entra peuvent avoir sur le ciblage d’Intune.
Par exemple, si un administrateur Microsoft Entra imbriquez de nouveaux grands groupes au sein d’un groupe existant qu’Intune utilise pour le ciblage, Intune commence à synchroniser tous les groupes et appartenances aux groupes. Le temps nécessaire pour traiter toutes les appartenances dépend du nombre et de la taille des modifications apportées au groupe dans l’ID Microsoft Entra.
Cette recommandation s’applique également lorsque les groupes sont « non dénudés ». Pour plus d’informations sur les groupes imbriqués, accédez à Gérer les groupes Microsoft Entra et l’appartenance aux groupes.
Utiliser des filtres pour inclure et exclure
FAIRE | NE PAS |
---|---|
✅ Utilisez des filtres pour obtenir la bonne combinaison utilisateur/appareil pour le ciblage. | ❌ Ne mélangez pas les groupes d’utilisateurs et les groupes d’appareils lors de l’utilisation de groupes Include et Exclude. |
Cette recommandation est également une instruction de support. Nous ne recommandons pas ou ne prenons pas en charge la création d’affectations à des groupes d’utilisateurs et l’exclusion d’un groupe d’appareils de cette affectation, ou vice versa.
Cette recommandation existe en raison de la durée/latence caractéristique des groupes dynamiques. L’appartenance à des groupes exclus n’est pas instantanée, ce qui peut entraîner des cas où les appareils reçoivent incorrectement des affectations d’application ou de stratégie. Pour en savoir plus, accédez à Attribuer des stratégies et des profils - Matrice de prise en charge.
Au lieu d’exclusions mixtes, nous vous recommandons d’attribuer à un groupe d’utilisateurs. Ensuite, utilisez des filtres pour inclure ou exclure dynamiquement les appareils appropriés.
Résumé
Lorsque vous créez et gérez des affectations dans Intune, incorporez certaines de ces recommandations. Utilisez des groupes ou des groupes virtuels et appliquez des filtres pour affiner l’étendue de ciblage. Gardez à l’esprit les meilleures pratiques :
- Ne créez pas votre propre version des groupes « Tous les utilisateurs » ou « Tous les appareils ». Utilisez les groupes virtuels Intune, car ils ne nécessitent pas la synchronisation de l’ID Microsoft Entra lorsqu’un nouvel utilisateur ou appareil est ajouté à l’environnement.
- Pour optimiser votre ciblage, réutilisez les groupes autant que possible.
- Faites attention lorsque vous apportez des modifications d’imbrication importantes aux groupes Intune. Intune doit traiter toutes ces modifications et calculer les modifications effectives pour tous les membres de tous les groupes affectés par cette modification.
- Intune ne prend pas en charge les exclusions de groupes mixtes. Par conséquent, utilisez des filtres pour inclure et exclure dynamiquement des appareils en plus des affectations de groupe ou de groupe virtuel.