Szabályzatok hozzárendelése az Microsoft Intune-ban
Amikor létrehoz egy Intune-szabályzatot, az tartalmazza az összes olyan beállítást, amelyet a szabályzatban hozzáadott és konfigurált. Ha a szabályzat készen áll az üzembe helyezésre, a következő lépés a szabályzat „hozzárendelése” a felhasználói vagy eszközcsoportokhoz. A szabályzat hozzárendelésekor a felhasználók és az eszközök megkapják a szabályzatot, és a rendszer alkalmazza a megadott beállításokat.
Az Intune-ban a következő szabályzatokat hozhatja létre és rendelheti hozzá:
- Alkalmazásvédelmi szabályzatok
- Alkalmazáskonfigurációs szabályzatok
- Megfelelőségi házirendek
- Feltételes hozzáférési szabályzatok
- Eszközkonfigurációs profilok
- Regisztrációs szabályzatok
Ez a cikk bemutatja, hogyan rendelhet hozzá szabályzatokat, tartalmaz néhány információt a hatókörcímkék használatáról, ismerteti, hogy mikor kell szabályzatokat hozzárendelni felhasználói csoportokhoz vagy eszközcsoportokhoz és egyebeket.
Ez a funkció az alábbiakra vonatkozik:
- Android
- iOS/iPadOS
- macOS
- Linux
- A Windows
Az első lépések
Győződjön meg róla, hogy a megfelelő szerepkörrel rendelkezik, amellyel szabályzatokat és profilokat rendelhet hozzá. További információ: Szerepköralapú hozzáférés-vezérlés (RBAC) a Microsoft Intune használatával.
Fontolja meg a Microsoft Copilot használatát az Intune-ban. Néhány előny:
- A szabályzat létrehozásakor és a beállítások konfigurálásakor a Copilot további információt nyújt minden egyes beállításról, javaslatot tehet az értékre, és megkeresi a lehetséges ütközéseket.
- Amikor hozzárendel egy szabályzatot, a Copilot meg tudja mondani, hogy a szabályzat milyen csoportokhoz van hozzárendelve, és segít megérteni a szabályzat hatását.
További információt a Microsoft Copilot az Intune-ban című témakörben talál.
Szabályzat hozzárendelése felhasználókhoz vagy csoportokhoz
Jelentkezzen be a Microsoft Intune Felügyeleti központba.
Válassza az Eszközök>Eszközök kezelése> Konfiguráció lehetőséget. Az összes profil megjelenik a listában.
Válassza ki azt a profilt, amelyet hozzá szeretne rendelni a >Tulajdonságok>Hozzárendelések>Szerkesztés használatával:
Például, eszközkonfigurációs profil hozzárendelése:
Lépjen az Eszközök>Eszközök kezelése>Konfiguráció lehetőségre. Az összes profil megjelenik a listában.
Válassza ki a hozzárendelni kívánt szabályzatot a >Tulajdonságok> Hozzárendelések> Szerkesztés használatával:
A Belefoglalt csoportok vagy a Kizárt csoportok lehetőségnél válassza a Csoportok hozzáadása elemet egy vagy több Microsoft Entra-csoport kiválasztásához. Ha a szabályzatot széles körben kívánja üzembe helyezni az összes érintett eszközön, válassza az Összes felhasználó hozzáadása vagy az Összes eszköz hozzáadása lehetőséget.
Megjegyzés:
Ha az „Összes eszköz” és az „Összes felhasználó” lehetőséget választja, a további Microsoft Entra-csoportok hozzáadásának lehetősége letiltásra kerül.
Válassza az Áttekintés + Mentés lehetőséget. Ez a lépés nem rendeli hozzá a szabályzatot.
Válassza a Mentés elemet. Mentéskor a rendszer hozzárendeli a szabályzatot. A csoportok megkapják a szabályzatbeállításokat, amikor az eszközök bejelentkeznek az Intune szolgáltatásba.
A hozzárendelési funkciók, amelyeket ismernie és használnia kell
A Szűrők használatával hozzárendelhet egy szabályzatot a létrehozott szabályok alapján. Szűrőket a következőkhöz hozhat létre:
- Alkalmazáskonfigurációs szabályzatok
- Alkalmazásvédelmi szabályzatok
- Alkalmazás-hozzárendelések
- Megfelelőségi szabályzatok
- Eszközkonfigurációs profilok
További információ:
A szabályzatkészletek meglévő alkalmazások és szabályzatok csoportját vagy gyűjteményét hozzák létre. A szabályzatkészlet létrehozásakor a szabályzatkészletet egyetlen helyről rendelheti hozzá a Microsoft Intune Felügyeleti központban.
További információ: Szabályzatkészletek használata felügyeleti objektumok gyűjteményeinek csoportosításához a Microsoft Intune-ban.
A hatókörcímkék kiválóan alkalmasak arra, hogy a szabályzatokat meghatározott csoportokra szűrje, mint például
US-NC IT Team
vagyJohnGlenn_ITDepartment
. További információ: RBAC és hatókörcímkék használata elosztott IT-hoz.Windowsos eszközökön alkalmazhatósági szabályokat adhat hozzá, így a szabályzat csak egy adott operációsrendszer-verzióra vagy egy adott Windows-kiadásra vonatkozik. További információt az Alkalmazhatósági szabályok című témakörben talál.
Felhasználói csoportok és eszközcsoportok
Sok felhasználó felteszi a kérdést, hogy mikor használjon felhasználói csoportokat és mikor eszközcsoportokat. A válasz a céltól függ. Íme néhány útmutató az első lépésekhez.
Eszközcsoportok
Ha egy eszközön szeretné alkalmazni a beállításokat, függetlenül attól, hogy ki van bejelentkezve, akkor rendelje hozzá a szabályzatokat egy eszközcsoporthoz. Az eszközcsoportokra alkalmazott beállítások mindig az eszközre vonatkoznak, nem a felhasználóra.
Például:
Az eszközcsoportok olyan eszközök kezeléséhez hasznosak, amelyek nem rendelkeznek dedikált felhasználóval. Például olyan eszközökkel rendelkezik, amelyek jegyeket nyomtatnak, készletet szkennelnek, amelyeket különböző műszakokban dolgozók osztanak meg, egy adott raktárhoz vannak hozzárendelve és így tovább. Helyezze ezeket az eszközöket egy eszközcsoportba, és rendelje hozzá a szabályzatokat ehhez az eszközcsoporthoz.
Létre kell hoznia egy DFCI-profilt az Intune-ban, amely frissíti a BIOS beállításait. Ezt a szabályzatot például úgy konfigurálhatja, hogy letiltja az eszköz kameráját, vagy zárolja a rendszerindítási beállításokat, hogy a felhasználók ne tudjanak másik operációs rendszert indítani. Ez a szabályzat alkalmas forgatókönyv egy eszközcsoporthoz való hozzárendeléshez.
Bizonyos Windows-eszközökön mindig érdemes szabályozni a Microsoft Edge egyes beállításait, függetlenül attól, hogy ki használja az eszközt. Például le szeretné tiltani az összes letöltést, korlátozni szeretné az összes cookie-t az aktuális böngészési munkamenetre, és törölni szeretné a böngészési előzményeket. Ehhez a forgatókönyvhöz helyezze ezeket az adott Windows-eszközöket egy eszközcsoportba. Ezután hozzon létre egy Felügyeleti sablont az Intune-ban, adja hozzá ezeket az eszközbeállításokat, majd rendelje hozzá ezt a szabályzatot az eszközcsoporthoz.
Összefoglalva, használja az eszközcsoportokat, ha nem számít, hogy ki van bejelentkezve az eszközön, vagy ha bárki bejelentkezik. A beállításokat mindig az eszközön szeretné tárolni.
Felhasználói csoportok
A felhasználói csoportokra alkalmazott szabályzat-beállítások mindig a felhasználóval együtt érvényesek, és a felhasználóhoz tartoznak, amikor bejelentkezik a különböző eszközeire. Természetes, hogy a felhasználók több eszközzel is rendelkeznek, például egy Surface Pro-val a munkához, és egy személyes iOS/iPadOS eszközzel. És az is mindennapos, hogy az illető ezekről az eszközökről is hozzáfér az e-mailekhez és más szervezeti erőforrásokhoz.
Ha egy felhasználó több eszközzel rendelkezik ugyanazon a platformon, akkor szűrőket használhat a csoport-hozzárendeléshez. Például egy felhasználónak van egy személyes iOS/iPadOS eszköze és egy szervezet tulajdonában lévő iOS/iPadOS eszköze. Amikor hozzárendel egy szabályzatot az adott felhasználóhoz, szűrőkkel csak a szervezet tulajdonában lévő eszközt célozhatja meg.
Kövesse a következő általános szabályt: Ha egy funkció egy felhasználóhoz tartozik, például az e-mail vagy a felhasználói tanúsítványok, akkor rendelje felhasználói csoportokhoz.
Például:
Minden felhasználó számára egy Ügyfélszolgálat ikont szeretne elhelyezni az összes eszközükön. Ebben a forgatókönyvben helyezze ezeket a felhasználókat egy felhasználói csoportba, és rendelje hozzá az Ügyfélszolgálat ikon szabályzatát ehhez a felhasználói csoporthoz.
Egy felhasználó új, a szervezet tulajdonában lévő eszközt kap. A felhasználó a tartományi fiókjával jelentkezik be az eszközre. Az eszköz automatikusan regisztrálva lesz a Microsoft Entra ID-ban, és az Intune automatikusan felügyeli. Ez a szabályzat egy jó forgatókönyv a felhasználói csoporthoz való hozzárendeléshez.
Amikor egy felhasználó bejelentkezik egy eszközre, az alkalmazások, például a OneDrive vagy az Office funkcióit szeretné vezérelni. Ebben a forgatókönyvben rendelje a OneDrive vagy az Office szabályzat beállításait egy felhasználói csoporthoz.
Például le szeretné tiltani a nem megbízható ActiveX-vezérlőket az Office-appokban. Létrehozhat egy Felügyeleti sablont az Intune-ban, konfigurálhatja ezt a beállítást, majd hozzárendelheti ezt a szabályzatot egy felhasználói csoporthoz.
Összefoglalva, használjon felhasználói csoportokat, ha azt szeretné, hogy a beállítások és szabályok mindig a felhasználóhoz tartozzanak, függetlenül attól, hogy milyen eszközt használ.
Több munkamenetes Azure Virtual Desktop
Az Intune segítségével ugyanúgy kezelheti az Azure Virtual Desktop használatával létrehozott, több munkamenetes távoli Windows-asztalokat, mint bármely más megosztott Windows-ügyféleszközt. Amikor szabályzatokat rendel felhasználói csoportokhoz vagy eszközökhöz, az Azure Virtual Desktop több munkamenetes használata egy speciális forgatókönyv. A virtuális gépek esetében az eszköz CSP-knek eszközcsoportokat kell megcélozniuk. A felhasználói CSP-knek felhasználói csoportokat kell megcélozniuk.
További információ: Az Azure Virtual Desktop több munkamenetes használata a Microsoft Intune-nal.
Windows CSP-k és viselkedésük
A Windows rendszerű eszközök szabályzatbeállításai a konfigurációszolgáltatókon (CSP-ken) alapulnak. Ezek a beállítások az eszközökön található beállításkulcsokra vagy fájlokra vannak leképezve.
A Windows CSP-kről az alábbiakat kell tudnia:
Az Intune elérhetővé teszi ezeket a CSP-ket, így konfigurálhatja ezeket a beállításokat, és hozzárendelheti őket windowsos eszközeihez. Ezek a beállítások a beépített sablonok és a beállításkatalógus használatával konfigurálhatók. A beállításkatalógusban láthatja, hogy egyes beállítások a felhasználói hatókörre, egyes beállítások pedig az eszköz hatókörére vonatkoznak.
A felhasználói hatókörű és eszközhatókörű beállítások Windows-eszközökre való alkalmazásáról a Beállításkatalógus: Eszközhatókör és felhasználói hatókör beállításai című témakörben talál további információt.
Ha eltávolít egy szabályzatot, vagy már nincs hozzárendelve egy eszközhöz, a szabályzat beállításaitól függően különböző dolgok történhetnek. Minden CSP másképp kezelheti a szabályzat eltávolítását.
Előfordulhat például, hogy egy beállítás megtartja a meglévő értéket, és nem áll vissza alapértelmezett értékre. Minden egyes CSP vezérli a viselkedést. A Windows CSP-k listáját a Konfigurációs szolgáltató (CSP) referenciájában találja.
Ha egy beállítást egy másik értékre szeretne módosítani, hozzon létre egy új szabályzatot, konfigurálja a beállítást Nincs konfigurálva értékre, és rendelje hozzá a szabályzatot. Amikor a szabályzat az eszközre vonatkozik, a felhasználóknak meg kell adni a lehetőséget, hogy a beállítást az általuk előnyben részesített értékre módosítsák.
A beállítások konfigurálásakor javasoljuk, hogy az üzembe helyezést egy próbacsoportban végezze el. További Intune-kibocsátási tanácsokért lásd: Kibocsátási terv létrehozása.
Csoportok kizárása szabályzat-hozzárendelésből
Az Intune eszközkonfigurációs szabályzatai lehetővé teszik csoportok belefoglalását és kizárását a szabályzat-hozzárendelésből.
Ajánlott eljárásként:
- Szabályzatokat hozhat létre és rendelhet hozzá kifejezetten a felhasználói csoportokhoz. Szűrők használatával belefoglalhatja vagy kizárhatja az adott felhasználók eszközeit.
- Külön szabályzatokat hozhat létre és rendelhet hozzá kifejezetten az eszközcsoportokhoz.
További információ a csoportokról: Csoportok hozzáadása a felhasználók és eszközök rendszerezéséhez.
A csoportok belefoglalásának és kizárásának alapelvei
A saját szabályzatok és szabályzatok hozzárendelésekor alkalmazza a következő általános alapelveket:
A Belefoglalt csoportok vagy a Kizárt csoportok a szabályzatokat fogadó felhasználók és eszközök kiindulási pontjának tekinthetők. A Microsoft Entra csoport a korlátozó csoport, ezért a lehető legkisebb csoporthatókört használja. Szűrők használatával korlátozhatja vagy pontosíthatja a szabályzat-hozzárendelést.
A hozzárendelt Microsoft Entra-csoportok, más néven statikus csoportok hozzáadhatók Belefoglalt vagy Kizárt csoportokhoz.
Általában statikusan rendelhet hozzá eszközöket egy Microsoft Entra csoporthoz, ha azok előzetesen regisztrálva vannak a Microsoft Entra ID-ben, mint például a Windows Autopilot esetében. Vagy ha egyszeri, eseti jellegű üzembe helyezéshez szeretné kombinálni az eszközöket. Ettől eltérő esetben nem biztos, hogy praktikus az eszközök statikus hozzárendelése egy Microsoft Entra csoporthoz.
Dinamikus Microsoft Entra felhasználói csoportok hozzáadhatók a Belefoglalt vagy a Kizárt csoportokhoz.
A kizárt csoportok lehetnek felhasználókkal rendelkező csoportok vagy eszközökkel rendelkező csoportok.
Dinamikus Microsoft Entra-eszközcsoportok hozzáadhatók a Belefoglalt csoportokhoz. A dinamikus csoporttagság feltöltése azonban késést okozhat. A késésre érzékeny forgatókönyvekben szűrőkkel célozhat meg bizonyos eszközöket, és hozzárendelheti a szabályzatokat a felhasználói csoportokhoz.
Például azt szeretné, hogy a szabályzatok a regisztrálásuk után azonnal hozzá legyenek rendelve az eszközökhöz. Ebben a késésre érzékeny helyzetben hozzon létre egy szűrőt a kívánt eszközök megcélzásához, és rendelje hozzá a szabályzatot ezzel a szűrővel a felhasználói csoportokhoz. Ne rendeljen hozzá eszközcsoportokhoz.
Felhasználó nélküli forgatókönyv esetén hozzon létre egy szűrőt a kívánt eszközök megcélzásához, és rendelje hozzá a szűrővel rendelkező szabályzatot a „Minden eszköz” csoporthoz.
Kerülje a dinamikus Microsoft Entra-eszközcsoportok hozzáadását a Kizárt csoportokhoz. A dinamikus eszközcsoportok számításának késése a beléptetés során nemkívánatos eredményeket okozhat. Előfordulhat például, hogy a nem kívánt alkalmazások és szabályzatok a kizárt csoporttagság feltöltése előtt lesznek üzembe helyezve.
Támogatási mátrix
Használja az alábbi mátrixot a kizárt csoportok támogatásának megértéséhez:
- ✅: Támogatott
- ❌: Nem támogatott
- ❕ : Részben támogatott
Forgatókönyv | Támogatás |
---|---|
1 | ❕ Részben támogatott : A szabályzatok dinamikus eszközcsoporthoz való hozzárendelése egy másik dinamikus eszközcsoport kizárása mellett támogatott. A késésre érzékeny forgatókönyvekben azonban nem ajánlott. A csoporttagság kizárási számításának késése szabályzatok felajánlását okozhatja az eszközök esetében. Ebben a forgatókönyvben azt javasoljuk, hogy dinamikus eszközcsoportok helyett használjon szűrőket az eszközök kizárásához. Például rendelkezik egy Minden eszközhöz hozzárendelt eszközszabályzattal. Később lesz egy olyan követelmény, hogy az új marketingeszközök ne kapják meg ezt a szabályzatot. Ezért létre kell hoznia egy Marketingeszközök nevű dinamikus eszközcsoportot a(z) enrollmentProfilename tulajdonság (device.enrollmentProfileName -eq "Marketing_devices" ) alapján. A szabályzatban a Marketingeszközök dinamikus csoportot kizárt csoportként adja hozzá.
Egy új marketingeszköz első alkalommal regisztrál az Intune-ban, és létrejön egy új Microsoft Entra-eszközobjektum. A dinamikus csoportosítási folyamat egy lehetséges késő számítással a Marketingeszközök csoportba helyezi az eszközt. Ezzel egyidejűleg az eszköz regisztrál az Intune-ba, és megkezdi az összes vonatkozó szabályzat fogadását. Az Intune-szabályzat üzembe helyezhető, mielőtt az eszköz a kizárt csoportba kerül. Ez a viselkedés egy nemkívánatos szabályzat (vagy alkalmazás) üzembe helyezését eredményezi a Marketingeszközök csoportban. Emiatt nem ajánlott dinamikus eszközcsoportokat használni a késésre érzékeny forgatókönyvek kivételeihez. Ehelyett használjon szűrőket. |
2 |
✅ Támogatott A szabályzatok dinamikus eszközcsoporthoz való hozzárendelése statikus eszközcsoport kizárása mellett támogatott. |
3 |
❌ Nem támogatott Szabályzat hozzárendelése dinamikus eszközcsoporthoz a felhasználói csoportok (dinamikus és statikus) kizárása mellett nem támogatott. Az Intune nem értékeli ki a felhasználók és eszközök közötti csoportkapcsolatokat, és a belefoglalt felhasználók eszközei nem lesznek kizárva. |
4 |
❌ Nem támogatott A szabályzatok dinamikus eszközcsoporthoz való hozzárendelése és a felhasználói csoportok kizárása (dinamikus és statikus) nem támogatott. Az Intune nem értékeli ki a felhasználók és eszközök közötti csoportkapcsolatokat, és a belefoglalt felhasználók eszközei nem lesznek kizárva. |
5 | ❕ Részben támogatott Szabályzat hozzárendelése statikus eszközcsoporthoz dinamikus eszközcsoport kizárása mellett. A késésre érzékeny forgatókönyvekben azonban nem ajánlott. A csoporttagság kizárási számításának késése szabályzatok felajánlását okozhatja az eszközök esetében. Ebben a forgatókönyvben azt javasoljuk, hogy dinamikus eszközcsoportok helyett használjon szűrőket az eszközök kizárásához. |
6 |
✅ Támogatott A szabályzatok statikus eszközcsoporthoz való hozzárendelése és egy másik statikus eszközcsoport kizárása támogatott. |
7 |
❌ Nem támogatott Szabályzat hozzárendelése statikus eszközcsoporthoz és a felhasználói csoportok kizárása (dinamikus és statikus) nem támogatott. Az Intune nem értékeli ki a felhasználók és eszközök közötti csoportkapcsolatokat, és a belefoglalt felhasználók eszközei nem lesznek kizárva. |
8 |
❌ Nem támogatott Szabályzat hozzárendelése statikus eszközcsoporthoz és a felhasználói csoportok kizárása (dinamikus és statikus) nem támogatott. Az Intune nem értékeli ki a felhasználók és eszközök közötti csoportkapcsolatokat, és a belefoglalt felhasználók eszközei nem lesznek kizárva. |
9 |
❌ Nem támogatott A szabályzatok dinamikus felhasználói csoportokhoz való hozzárendelése és az eszközcsoportok kizárása (dinamikus és statikus) nem támogatott. |
10 |
❌ Nem támogatott A szabályzatok dinamikus felhasználói csoportokhoz való hozzárendelése és az eszközcsoportok kizárása (dinamikus és statikus) nem támogatott. |
11 |
✅ Támogatott A szabályzatok dinamikus felhasználói csoportokhoz való hozzárendelése más (dinamikus és statikus) felhasználói csoportok kizárása mellett is támogatott. |
12 |
✅ Támogatott A szabályzatok dinamikus felhasználói csoportokhoz való hozzárendelése más (dinamikus és statikus) felhasználói csoportok kizárása mellett is támogatott. |
13 |
❌ Nem támogatott Szabályzat hozzárendelése statikus felhasználói csoporthoz az eszközcsoportok (dinamikus és statikus) kizárása mellett nem támogatott. |
14 |
❌ Nem támogatott Szabályzat hozzárendelése statikus felhasználói csoporthoz az eszközcsoportok (dinamikus és statikus) kizárása mellett nem támogatott. |
15 |
✅ Támogatott A szabályzatok statikus felhasználói csoportokhoz való hozzárendelése a többi (dinamikus és statikus) felhasználói csoport kizárása mellett támogatott. |
16 |
✅ Támogatott A szabályzatok statikus felhasználói csoportokhoz való hozzárendelése a többi (dinamikus és statikus) felhasználói csoport kizárása mellett támogatott. |
Kapcsolódó cikkek
A szabályzatok és a szabályzatokat futtató eszközök monitorozásával kapcsolatos útmutatásért lásd:eszközprofilok figyelése.