Megosztás a következőn keresztül:

Teljesítménnyel kapcsolatos javaslatok nagy Microsoft Intune-környezetekben történő csoportosításhoz, célzáshoz és szűréshez

  • Cikk

Szabályzat létrehozásakor szűrők használatával rendelhet hozzá szabályzatot a létrehozott szabályok alapján. Szűrőket alkalmazhat az Intune-ban regisztrált eszközökre és az Intune által felügyelt alkalmazásokra. A szűrők áttekintését az Alkalmazások, szabályzatok és profilok Microsoft Intune-beli hozzárendelésekor szűrők használata című témakörben tekintheti meg.

Szűrők létrehozásakor figyelembe kell vennie néhány teljesítménnyel kapcsolatos javaslatot.

Ez a cikk felsorolja és ismerteti a szabályzatok és alkalmazások Intune-csoportosítására, célzására és szűrésére vonatkozó javaslatokat. A cél az, hogy segítséget nyújtsunk az Intune nagy méretű környezetekben történő üzembe helyezéséhez szükséges architektúra- és tervezési döntések meghozatalában.

Ezek a teljesítménnyel kapcsolatos javaslatok és azok megvalósítása eltérő lehet, és a saját környezetétől & egyéb tényezőktől, többek között a kezelhetőségtől és az egyszerűségtől függenek.

A témakör tartalma

  • Áttekintés az Intune csoportosítási és célzási fogalmairól
  • Teljesítménnyel kapcsolatos javaslatok lekérése

A dinamikus csoportokkal kapcsolatos útmutatásért tekintse meg a Dinamikus csoportok egyszerűbb és hatékonyabb szabályainak létrehozása a Microsoft Entra ID-ban című témakört.

Az Intune csoportosítási és célzási fogalmainak áttekintése

Tekintsük át az Intune-ban elérhető csoportosítási, célzási és szűrési funkciókat.

Microsoft Entra-csoportok

Az Intune szinte kizárólag Microsoft Entra-csoportokat használ csoportosításhoz és célzáshoz. Amikor a Microsoft Intune Felügyeleti központban a Csoportok lehetőséget választja, a Microsoft Entra-csoportokat vizsgáljuk meg.

Képernyőkép az Intune Felügyeleti központról, csoportokról és a Microsoft Intune összes csoportjáról.

A Microsoft Entra-csoportok az Intune fontos részét képezik, mivel ezek a csoportok a következők:

  • Az alkalmazások, szabályzatok és egyéb számítási feladatok felhasználókhoz és eszközökhöz való hozzárendeléséhez használt objektumok
  • Az Intune Felügyeleti központban a rendszergazdák által megtekinthető és felügyelhető eszközök meghatározására szolgál, például a szerepköralapú hozzáférés-vezérlés (RBAC) hatókörcsoportjaira.

Virtuális csoportok

A Minden felhasználó és a Minden eszköz hozzárendelés "virtuális" Intune-csoportok. Ezek a virtuális csoportok alapértelmezés szerint minden Intune-bérlőben elérhetők, és nem járnak felügyeleti többletterheléssel. Nem kell például Microsoft Entra-azonosító szabályokat létrehoznia vagy módosítania ahhoz, hogy a tagjaik ki legyenek töltve.

A Minden felhasználó és a Minden eszköz csoport is nagy mértékben méretezhető és optimalizált, főként azért, mert nem kell szinkronizálni őket a Microsoft Entra-azonosítóból ugyanúgy, mint más csoportok.

Szűrők

Miután hozzárendelte az alkalmazást vagy szabályzatot egy Microsoft Entra-azonosítóhoz vagy virtuális csoporthoz, szűrőkkel szűkítheti az alkalmazások és szabályzatok hozzárendelési hatókörét adott felhasználói vagy eszközcsoportokra.

A szűrő az eszköztulajdonságok alapján szűri az eszközöket a hozzárendelésben (vagy azon kívül).

Képernyőkép az Intune Felügyeleti központról, a Microsoft Entra-csoportokról, a virtuális csoportokról és néhány szűrőtulajdonságról a Microsoft Intune-ban.

A szűrés nagy teljesítményű, kis késésű alkalmazhatóság-kiértékelés az eszközbeadáskor anélkül, hogy előre meg kellene adni a csoporttagságot.

Teljesítménnyel kapcsolatos javaslatok

Ez a szakasz néhány javaslatot tartalmaz, amelyek javíthatják a teljesítményt a szabályzatok Microsoft Intune-ban való hozzárendelésekor.

Ezek a javaslatok a teljesítmény javítására és a számítási feladatok hozzárendelésének késésének csökkentésére összpontosítanak. A legnagyobb hatással vannak a nagy Intune-környezetekben, például a 100 000 eszközzel rendelkező >környezetekben végzett munka során. Ezeket a javaslatokat más tervezési szempontokkal is figyelembe kell venni, mint például a kezelhetőség, a könnyű használat, a szerepköralapú adminisztráció és az egyszerűség.

A beépített virtuális csoportok használata

CSINÁL NEM
✅ Használja a Minden felhasználó és a Minden eszköz virtuális csoportot ahelyett, hogy a Microsoft Entra dinamikus csoportjait használva saját verziót hoz létre az összes felhasználóról/eszközről. ❌ Ne hozzon létre saját "Minden felhasználó" vagy "Minden eszköz" dinamikus csoportot szabályzat- és alkalmazáscélzáshoz az Intune-ban.

A nagyobb csoportoknak tovább tart a tagsági frissítések szinkronizálása a Microsoft Entra ID és az Intune között. Általában a Minden felhasználó és a Minden eszköz a legnagyobb csoport. Ha az Intune számítási feladatait nagy, sok felhasználóval vagy eszközzel rendelkező Microsoft Entra-csoportokhoz rendeli, akkor a szinkronizálási teendőlisták az Intune-környezetben fordulhatnak elő. Ez a teendőlista hatással van a szabályzatok és az alkalmazások üzembe helyezésére, amelyek hosszabb időt vesznek igénybe a felügyelt eszközök eléréséhez.

A beépített Minden felhasználó és Minden eszköz csoport csak intune-beli csoportosítási objektumok, amelyek nem léteznek a Microsoft Entra-azonosítóban. Nincs folyamatos szinkronizálás a Microsoft Entra ID és az Intune között. A csoporttagság tehát azonnali.

Megjegyzés:

Az Intune bejelentkezési szabályzat frissítési időközéről az Intune-szabályzat frissítési időközei című témakörben talál további információt.

Ezt az optimalizálást más nagy és gyakran változó csoportokra is alkalmazhatja, például "Minden Windows-eszköz" vagy "minden iOS-eszköz". A csoportok létrehozása és megcélzása helyett használja a meglévő "Minden felhasználó" vagy "Minden eszköz" virtuális csoportot, mivel az Intune-szabályzatok és -alkalmazások hatóköre automatikusan platform szerint van korlátozva.

Ha nagyon nagy csoportokat használ az Intune-ban (több mint 100 000 tagot), a célzás kezdeti késése várható. Először történik beállítási folyamat a Microsoft Entra ID és az Intune között. Az első teljes szinkronizálás mindig tovább tart, mint a későbbi növekményes szinkronizálások.

Csoportok újrafelhasználása

CSINÁL NEM
✅ Ugyanazokat a csoportobjektumokat több szabályzat hozzárendeléséhez is felhasználhatja. ❌ Ne hozzon létre duplikált másolatokat ugyanabból a csoportból a különböző szabályzatok megcélzásához.

❌ Ne hozzon létre dedikált "alkalmazáscsoportokat" vagy "Szabályzatcsoportokat".

Az Intune a színfalak mögött a Microsoft Entra-csoport tagjait hozzárendeli az egyes felhasználókra és eszközökre vonatkozó célzott üzenetekhez. Ez a folyamat nagy mértékben optimalizált, ha a csoportobjektumok azonosak.

Az Intune csoportosítása és célzása például akkor működik a legjobban, ha a "Mérnöki" felhasználói csoport 10 szabályzattal van megcélzva. Nem működik a legjobban, ha a mérnöki felhasználók 10 különböző csoport tagjai, és mindegyik csoport más-más szabályzathoz van rendelve.

Láthattunk néhány olyan tervet, amely nem használja ezt az útmutatót. A rendszergazdák például létrehoznak egy "Install_Edge" csoportot, létrehoznak egy "Deploy_Edge_Config_Policy" csoportot, majd minden csoportban ugyanazokat az eszközöket helyezik el, ami teljesítmény szempontjából nem ajánlott.

Hasonló és nem ajánlott minta az "alkalmazáscsoportok" létrehozása. Az alkalmazáscsoport akkor van, ha minden alkalmazáshoz több Microsoft Entra-csoport is létrejön. A Microsoft Edge alkalmazás kezeléséhez például egy rendszergazda a következő csoportokat hozza létre:

  • Edge_Required
  • Edge_Available
  • Edge_Uninstall

A rendszergazda egyéni felhasználókat vagy eszközöket ad hozzá ezekhez a csoportokhoz. Ezek az alkalmazáscsoportok jelentősen növelik azon Microsoft Entra-csoportok számát, amelyekre az Intune-nak elő kell fizetnie, és figyelnie kell a tagsági frissítéseket, ami kevésbé hatékony. A nem hatékony csoportszinkronizálási tervezés hatással van az új hozzárendelések gyors létrehozására és az eszközökre való kézbesítésére.

Növekményes csoportmódosítások végrehajtása

CSINÁL NEM
✅ A Microsoft Entra ID-ban a nagy méretű csoportbe ágyazási módosításokkal óvatosan járjon el. ❌ Ne hajtsa végre egyszerre a nagy méretű csoportbe ágyazási módosításokat.

A Microsoft Entra ID-ban bekövetkező nagy csoporttagságváltozások az Intune-ban a célzási módosítások hirtelen növekedéséhez vezethetnek. Ezek az adatcsúcsok késleltethetik a környezet más hozzárendeléseinek megcélzását.

Ha egy rendszergazdai csoport kezeli a csoportokat, és egy másik csoport kezeli a Microsoft Entra-azonosítót, akkor közölnie kell, hogy a Microsoft Entra ID módosításai milyen hatással lehetnek az Intune-beli célzásra.

Ha például egy Microsoft Entra-rendszergazda új nagy csoportokat ágyaz be egy meglévő csoportba, amelyet az Intune a célzáshoz használ, akkor az Intune megkezdi az összes csoport és csoporttagság szinkronizálását. Az összes tagság feldolgozásához szükséges idő a Microsoft Entra-azonosítóban végrehajtott csoportmódosítások számától és méretétől függ.

Ez a javaslat akkor is érvényes, ha a csoportok "nincsenek betöltve". A beágyazott csoportokkal kapcsolatos további információkért tekintse meg a Microsoft Entra-csoportok és -csoporttagságok kezelését ismertető témakört.

Szűrők használata belefoglaláshoz és kizáráshoz

CSINÁL NEM
✅ Használjon szűrőket a felhasználó és eszköz megfelelő kombinációjának eléréséhez a célzáshoz. ❌ Ne keverje a felhasználói csoportokat és az eszközcsoportokat a Belefoglalás és a Kizárás csoport használatakor.

Ez a javaslat egyben egy támogatási nyilatkozat is. Nem javasoljuk vagy támogatjuk a hozzárendelések létrehozását a felhasználói csoportokhoz, és nem zárunk ki egy eszközcsoportot a hozzárendelésből, vagy fordítva.

Ez a javaslat a dinamikus csoportok időzítési/késési jellemzői miatt létezik. A kizárt csoportok tagsága nem azonnali, ami olyan eseteket eredményezhet, amikor az eszközök helytelenül kapják meg az alkalmazás- vagy szabályzat-hozzárendeléseket. További információ: Szabályzatok és profilok hozzárendelése – támogatási mátrix.

A vegyes kizárások helyett azt javasoljuk, hogy rendeljen hozzá egy felhasználói csoporthoz. Ezután használjon szűrőket a megfelelő eszközök dinamikus belefoglalásához vagy kizárásához.

Összefoglalás

Amikor feladatokat hoz létre és kezel az Intune-ban, építsen be néhányat ezekből a javaslatokból. Használjon csoportokat vagy virtuális csoportokat, és alkalmazzon szűrőket a cél hatókörének finomításához. Tartsa szem előtt az ajánlott eljárásokat:

  • Ne hozza létre a "Minden felhasználó" vagy a "Minden eszköz" csoport saját verzióját. Használja az Intune-beli virtuális csoportokat, mivel nem igényelnek Microsoft Entra-azonosító szinkronizálását, amikor új felhasználót vagy eszközt adnak hozzá a környezethez.
  • A célzás optimalizálásához használja fel a csoportokat a lehető legnagyobb mértékben.
  • Ügyeljen arra, hogy az Intune-csoportok nagy méretű beágyazási módosításokat hajtanak végre. Az Intune-nak fel kell dolgoznia ezeket a módosításokat, és ki kell számítania a változás által érintett csoportok összes tagjának tényleges módosításait.
  • Az Intune nem támogatja a vegyes csoportkizárásokat. A szűrőkkel tehát dinamikusan belefoglalhatja és kizárhatja az eszközöket a csoport- vagy virtuáliscsoport-hozzárendelések mellett.