Szabályzatok hozzárendelése a Microsoft Intune-ban
Intune-szabályzat létrehozásakor a szabályzatban megadott és konfigurált összes beállítást tartalmazza. Ha a szabályzat készen áll az üzembe helyezésre, a következő lépés a szabályzat "hozzárendelése" a felhasználói vagy eszközcsoportokhoz. A szabályzat hozzárendelésekor a felhasználók és az eszközök megkapják a szabályzatot, és a rendszer alkalmazza a megadott beállításokat.
Az Intune-ban a következő szabályzatokat hozhatja létre és rendelheti hozzá:
- Alkalmazásvédelmi szabályzatok
- Alkalmazáskonfigurációs szabályzatok
- Megfelelőségi szabályzatok
- Feltételes hozzáférési szabályzatok
- Eszközkonfigurációs profilok
- Regisztrációs szabályzatok
Ez a cikk bemutatja, hogyan rendelhet hozzá szabályzatokat, tartalmaz néhány információt a hatókörcímkék használatáról, ismerteti, hogy mikor kell szabályzatokat hozzárendelni felhasználói csoportokhoz vagy eszközcsoportokhoz stb.
Az első lépések
Győződjön meg arról, hogy a megfelelő szerepkörrel rendelkezik, amely hozzárendelhet szabályzatokat és profilokat. További információ: Szerepköralapú hozzáférés-vezérlés (RBAC) a Microsoft Intune-nal.
Fontolja meg a Microsoft Copilot használatát az Intune-ban. Néhány előny:
- Amikor létrehoz egy szabályzatot és konfigurálja a beállításokat, a Copilot további információkat nyújt az egyes beállításokról, javasolhat egy értéket, és megkeresheti az esetleges ütközéseket.
- Amikor hozzárendel egy szabályzatot, a Copilot meg tudja mondani, hogy a szabályzat milyen csoportokhoz van hozzárendelve, és segít megérteni a szabályzat hatását.
További információt a Microsoft Copilot in Intune-ban című témakörben talál.
Szabályzat hozzárendelése felhasználókhoz vagy csoportokhoz
Jelentkezzen be a Microsoft Intune Felügyeleti központba.
Válassza az Eszközök Eszközök>kezelése>Konfiguráció lehetőséget. Az összes profil megjelenik a listában.
Válassza ki a tulajdonságok> hozzárendeléséhez hozzárendelni > kívántprofilt>:
Eszközkonfigurációs profil hozzárendelése például:
Lépjen az Eszközök Eszközök>kezelése>– Konfiguráció területre. Az összes profil megjelenik a listában.
Válassza ki a tulajdonságok> hozzárendeléséhez hozzárendelni > kívántszabályzatot>:
A Belefoglalt csoportok vagy a Kizárt csoportok csoportban válassza a Csoportok hozzáadása lehetőséget egy vagy több Microsoft Entra-csoport kiválasztásához. Ha széles körben szeretné telepíteni a szabályzatot az összes alkalmazható eszközön, válassza az Összes felhasználó hozzáadása vagy Az összes eszköz hozzáadása lehetőséget.
Megjegyzés:
Ha a "Minden eszköz" és a "Minden felhasználó" lehetőséget választja, a további Microsoft Entra-csoportok hozzáadásának lehetősége le lesz tiltva.
Válassza az Áttekintés + Mentés lehetőséget. Ez a lépés nem rendeli hozzá a szabályzatot.
Válassza a Mentés elemet. Mentéskor a rendszer hozzárendeli a szabályzatot. A csoportok megkapják a szabályzatbeállításokat, amikor az eszközök bejelentkeznek az Intune szolgáltatásba.
Ismert és használható hozzárendelési funkciók
A Szűrők használatával hozzárendelhet egy szabályzatot a létrehozott szabályok alapján. Szűrőket a következőhöz hozhat létre:
- Alkalmazáskonfigurációs szabályzatok
- Alkalmazásvédelmi szabályzatok
- Alkalmazás-hozzárendelések
- Megfelelőségi szabályzatok
- Eszközkonfigurációs profilok
További információt a következő témakörben talál:
A szabályzatkészletek meglévő alkalmazások és szabályzatok csoportját vagy gyűjteményét hozzák létre. A szabályzatkészlet létrehozásakor a szabályzatkészletet egyetlen helyről rendelheti hozzá a Microsoft Intune Felügyeleti központban.
További információ: Szabályzatkészletek használata felügyeleti objektumok gyűjteményeinek csoportosításához a Microsoft Intune-ban.
A hatókörcímkék kiválóan alkalmasak a szabályzatok adott csoportokra( például
US-NC IT Team
vagyJohnGlenn_ITDepartment
) való szűrésére. További információt az RBAC és a hatókörcímkék használata elosztott it-hez című témakörben talál.Windows 10/11 rendszerű eszközökön alkalmazhatósági szabályokat adhat hozzá, így a szabályzat csak egy adott operációsrendszer-verzióra vagy egy adott Windows-kiadásra vonatkozik. További információt az Alkalmazhatósági szabályok című témakörben talál.
Felhasználói csoportok és eszközcsoportok
Sok felhasználó megkérdezi, hogy mikor és mikor érdemes felhasználói csoportokat használni. A válasz a céltól függ. Íme néhány útmutató az első lépésekhez.
Eszközcsoportok
Ha egy eszközön szeretné alkalmazni a beállításokat, függetlenül attól, hogy ki van bejelentkezve, akkor rendelje hozzá a szabályzatokat egy eszközcsoporthoz. Az eszközcsoportokra alkalmazott beállítások mindig az eszközre vonatkoznak, nem a felhasználóra.
Például:
Az eszközcsoportok olyan eszközök kezeléséhez hasznosak, amelyek nem rendelkeznek dedikált felhasználóval. Vannak például olyan eszközei, amelyek jegyeket nyomtatnak, beolvasják a leltárt, a műszakban dolgozók osztják meg, egy adott raktárhoz vannak rendelve stb. Helyezze ezeket az eszközöket egy eszközcsoportba, és rendelje hozzá a szabályzatokat ehhez az eszközcsoporthoz.
Létre kell hoznia egy DFCI-profilt az Intune-ban , amely frissíti a BIOS beállításait. Ezt a házirendet például úgy konfigurálja, hogy letiltsa az eszköz kamerát, vagy zárolja a rendszerindítási beállításokat, hogy a felhasználók ne indítsanak el egy másik operációs rendszert. Ez a szabályzat jó megoldás egy eszközcsoporthoz való hozzárendeléshez.
Bizonyos Windows-eszközökön mindig érdemes szabályozni a Microsoft Edge egyes beállításait, függetlenül attól, hogy ki használja az eszközt. Például le szeretné tiltani az összes letöltést, korlátozni szeretné az összes cookie-t az aktuális böngészési munkamenetre, és törölni szeretné a böngészési előzményeket. Ebben a forgatókönyvben helyezze ezeket az adott Windows-eszközöket egy eszközcsoportba. Ezután hozzon létre egy felügyeleti sablont az Intune-ban, adja hozzá ezeket az eszközbeállításokat, majd rendelje hozzá ezt a szabályzatot az eszközcsoporthoz.
Összefoglalva, akkor használjon eszközcsoportokat, ha nem érdekli, hogy ki jelentkezett be az eszközön, vagy ha valaki bejelentkezik. Azt szeretné, hogy a beállítások mindig az eszközön legyenek.
Felhasználói csoportok
A felhasználói csoportokra alkalmazott házirend-beállítások mindig a felhasználóhoz kerülnek, és a felhasználóval együtt lépnek be a számos eszközükre. A felhasználók általában sok eszközzel rendelkeznek, például a Surface Pro for work eszközzel és egy személyes iOS/iPadOS-eszközzel. Az e-maileket és más szervezeti erőforrásokat pedig általában ezekről az eszközökről éri el egy személy.
Ha egy felhasználó több eszközzel rendelkezik ugyanazon a platformon, akkor szűrőket használhat a csoport-hozzárendeléshez. Egy felhasználó például rendelkezik egy személyes iOS/iPadOS-eszközzel, valamint egy szervezet tulajdonában lévő iOS/iPadOS eszközzel. Amikor hozzárendel egy szabályzatot az adott felhasználóhoz, szűrőkkel csak a szervezet tulajdonában lévő eszközt célozhatja meg.
Kövesse az alábbi általános szabályt: Ha egy szolgáltatás egy felhasználóhoz tartozik, például e-mailhez vagy felhasználói tanúsítványokhoz, akkor rendelje hozzá a felhasználói csoportokhoz.
Például:
Egy Ügyfélszolgálat ikont szeretne elhelyezni az összes felhasználó számára az összes eszközén. Ebben a forgatókönyvben helyezze ezeket a felhasználókat egy felhasználói csoportba, és rendelje hozzá az ügyfélszolgálat ikonszabályzatát ehhez a felhasználói csoporthoz.
A felhasználó új szervezeti tulajdonú eszközt kap. A felhasználó a tartományi fiókjával jelentkezik be az eszközre. Az eszköz automatikusan regisztrálva lesz a Microsoft Entra-azonosítóban, és az Intune automatikusan felügyeli. Ez a szabályzat jó megoldás egy felhasználói csoporthoz való hozzárendeléshez.
Amikor egy felhasználó bejelentkezik egy eszközre, ön szabályozni szeretné az alkalmazások funkcióit, például a OneDrive-ot vagy az Office-t. Ebben a forgatókönyvben rendelje hozzá a OneDrive- vagy Az Office-házirend beállításait egy felhasználói csoporthoz.
Például le szeretné tiltani a nem megbízható ActiveX-vezérlőket az Office-appokban. Létrehozhat egy felügyeleti sablont az Intune-ban, konfigurálhatja ezt a beállítást, majd hozzárendelheti ezt a házirendet egy felhasználói csoporthoz.
Összegzésképpen használjon felhasználói csoportokat, ha azt szeretné, hogy a beállítások és szabályok mindig a felhasználóhoz menjenek, bármilyen eszközt is használnak.
Azure Virtual Desktop több munkamenet
Az Intune-nal ugyanúgy kezelheti az Azure Virtual Desktoppal létrehozott több munkamenetes távoli Windows-asztalokat, mint bármely más megosztott Windows-ügyféleszközt. Amikor szabályzatokat rendel felhasználói csoportokhoz vagy eszközökhöz, az Azure Virtual Desktop több munkamenetes használata egy speciális forgatókönyv. A virtuális gépek esetében az eszköz CSP-nek meg kell céloznia az eszközcsoportokat. A felhasználói CSP-knek meg kell céloznia a felhasználói csoportokat.
További információ: Az Azure Virtual Desktop több munkamenetes használata a Microsoft Intune-nal.
Windows CSP-k és viselkedésük
A Windows-eszközök szabályzatbeállításai a konfigurációszolgáltatókon (CSP-ken) alapulnak. Ezek a beállítások az eszközökön található beállításkulcsokra vagy fájlokra vannak leképzve.
A Windows CSP-kről az alábbiakat kell tudnia:
Az Intune elérhetővé teszi ezeket a CSP-ket, így konfigurálhatja ezeket a beállításokat, és hozzárendelheti őket a Windows-eszközeihez. Ezek a beállítások a beépített sablonok és a beállításkatalógus használatával konfigurálhatók. A beállításkatalógusban láthatja, hogy egyes beállítások a felhasználói hatókörre, egyes beállítások pedig az eszköz hatókörére vonatkoznak.
A felhasználói hatókörű és eszközhatókörű beállítások Windows-eszközökre való alkalmazásáról a Beállítások katalógus: Eszközhatókör és felhasználói hatókör beállításai című témakörben talál további információt.
Ha eltávolít egy szabályzatot, vagy már nincs hozzárendelve egy eszközhöz, a szabályzat beállításaitól függően különböző dolgok történhetnek. Minden CSP másképpen tudja kezelni a szabályzatok eltávolítását.
Előfordulhat például, hogy egy beállítás megtartja a meglévő értéket, és nem áll vissza alapértelmezett értékre. A viselkedést minden CSP szabályozza. A Windows CSP-k listáját a konfigurációs szolgáltató (CSP) referenciájában találja.
Ha egy beállítást egy másik értékre szeretne módosítani, hozzon létre egy új szabályzatot, konfigurálja a beállítást Nincs konfigurálva értékre, és rendelje hozzá a szabályzatot. Ha a szabályzat az eszközre vonatkozik, a felhasználóknak szabályozniuk kell, hogy a beállítást az előnyben részesített értékre módosítsák.
A beállítások konfigurálásakor javasoljuk, hogy telepítsen egy próbacsoportba. További intune-bevezetési tanácsokért lásd: Bevezetési terv létrehozása.
Csoportok kizárása szabályzat-hozzárendelésből
Az Intune eszközkonfigurációs szabályzatai lehetővé teszik csoportok belefoglalását és kizárását a szabályzat-hozzárendelésből.
Ajánlott eljárásként:
- Szabályzatokat hozhat létre és rendelhet hozzá kifejezetten a felhasználói csoportokhoz. Szűrők használatával belefoglalhatja vagy kizárhatja az adott felhasználók eszközeit.
- Külön szabályzatokat hozhat létre és rendelhet hozzá kifejezetten az eszközcsoportokhoz.
További információ a csoportokról: Csoportok hozzáadása a felhasználók és eszközök rendszerezéséhez.
A csoportok belefoglalásának és kizárásának alapelvei
A szabályzatok és szabályzatok hozzárendelésekor alkalmazza a következő általános alapelveket:
A Belefoglalt csoportok vagy a Kizárt csoportok a házirendeket fogadó felhasználók és eszközök kiindulási pontjának tekinthetők. A Microsoft Entra csoport a korlátozó csoport, ezért a lehető legkisebb csoporthatókört használja. Szűrők használatával korlátozhatja vagy finomíthatja a szabályzat-hozzárendelést.
A hozzárendelt Microsoft Entra-csoportok, más néven statikus csoportok hozzáadhatók a Belefoglalt vagy a Kizárt csoportokhoz.
Az eszközöket általában statikusan rendeli hozzá egy Microsoft Entra-csoporthoz, ha azok előre regisztrálva vannak a Microsoft Entra-azonosítóban, például a Windows Autopilotban. Vagy ha egyszeri, alkalmi üzembe helyezéshez szeretné kombinálni az eszközöket. Ellenkező esetben előfordulhat, hogy nem praktikus az eszközöket statikusan hozzárendelni egy Microsoft Entra-csoporthoz.
Dinamikus Microsoft Entra felhasználói csoportok hozzáadhatók a Belefoglalt vagy a Kizárt csoportokhoz.
A kizárt csoportok lehetnek felhasználókkal rendelkező csoportok vagy eszközökkel rendelkező csoportok.
Dinamikus Microsoft Entra-eszközcsoportok hozzáadhatók a belefoglalt csoportokhoz. A dinamikus csoporttagság feltöltése azonban késéssel is előfordulhat. A késésre érzékeny forgatókönyvekben szűrőkkel célozhat meg bizonyos eszközöket, és hozzárendelheti a szabályzatokat a felhasználói csoportokhoz.
Például azt szeretné, hogy a szabályzatok a regisztrálásuk után azonnal hozzá legyenek rendelve az eszközökhöz. Ebben a késésre érzékeny helyzetben hozzon létre egy szűrőt a kívánt eszközök megcélzásához, és rendelje hozzá a szabályzatot ezzel a szűrővel a felhasználói csoportokhoz. Ne rendeljen eszközcsoportokhoz.
Felhasználó nélküli forgatókönyv esetén hozzon létre egy szűrőt a kívánt eszközök megcélzásához, és rendelje hozzá a szűrővel rendelkező szabályzatot a "Minden eszköz" csoporthoz.
Kerülje a dinamikus Microsoft Entra-eszközcsoportok hozzáadását a kizárt csoportokhoz. A dinamikus eszközcsoportok számításának késése a regisztráció során nemkívánatos eredményeket okozhat. Előfordulhat például, hogy a nem kívánt alkalmazások és szabályzatok a kizárt csoporttagság feltöltése előtt lesznek üzembe helyezve.
Támogatási mátrix
Az alábbi mátrix segítségével megismerheti a csoportok kizárásának támogatását:
- ✔️:Támogatott
- ❌: Nem támogatott
- ❕ : Részben támogatott
Forgatókönyv | Támogatás |
---|---|
1 | ❕ Részben támogatott : A szabályzatok dinamikus eszközcsoporthoz való hozzárendelése egy másik dinamikus eszközcsoport kizárása mellett támogatott. A késésre érzékeny forgatókönyvekben azonban nem ajánlott. A csoporttagság kizárási számításának késése szabályzatok felajánlását okozhatja az eszközök számára. Ebben a forgatókönyvben azt javasoljuk, hogy dinamikus eszközcsoportok helyett használjunk szűrőket az eszközök kizárásához. Rendelkezik például egy minden eszközhöz rendelt eszközszabályzattal. Később követelmény, hogy az új marketingeszközök ne kapják meg ezt a szabályzatot. Ezért létre kell hoznia egy Marketingeszközök nevű dinamikus eszközcsoportot a enrollmentProfilename tulajdonság (device.enrollmentProfileName -eq "Marketing_devices" ) alapján. A szabályzatban a Marketingeszközök dinamikus csoportot kizárt csoportként adja hozzá. Egy új marketingeszköz első alkalommal regisztrál az Intune-ban, és létrejön egy új Microsoft Entra-eszközobjektum. A dinamikus csoportosítási folyamat egy lehetséges késleltetett számítással a Marketingeszközök csoportba helyezi az eszközt. Ezzel egyidejűleg az eszköz regisztrál az Intune-ba, és megkezdi az összes vonatkozó szabályzat fogadását. Az Intune-szabályzat üzembe helyezhető, mielőtt az eszköz a kizárási csoportba kerül. Ez a viselkedés egy nemkívánatos szabályzat (vagy alkalmazás) üzembe helyezését eredményezi a Marketingeszközök csoportban. Emiatt nem ajánlott dinamikus eszközcsoportokat használni a késésre érzékeny forgatókönyvek kivételeihez. Ehelyett használjon szűrőket. |
2 | ✔️ Támogatott: A szabályzatok dinamikus eszközcsoporthoz való hozzárendelése statikus eszközcsoport kizárása mellett támogatott. |
3 | ❌ Nem támogatott Szabályzat hozzárendelése dinamikus eszközcsoporthoz a felhasználói csoportok (dinamikus és statikus) kizárása mellett nem támogatott. Az Intune nem értékeli ki a felhasználók és eszközök közötti csoportkapcsolatokat, és a belefoglalt felhasználók eszközei nem lesznek kizárva. |
4 | ❌ Nem támogatott A szabályzatok dinamikus eszközcsoporthoz való hozzárendelése és a felhasználói csoportok kizárása (dinamikus és statikus) nem támogatott. Az Intune nem értékeli ki a felhasználók és eszközök közötti csoportkapcsolatokat, és a belefoglalt felhasználók eszközei nem lesznek kizárva. |
5 | ❕ Részben támogatott Szabályzat hozzárendelése statikus eszközcsoporthoz dinamikus eszközcsoport kizárása mellett. A késésre érzékeny forgatókönyvekben azonban nem ajánlott. A csoporttagság kizárási számításának késése szabályzatok felajánlását okozhatja az eszközök számára. Ebben a forgatókönyvben azt javasoljuk, hogy dinamikus eszközcsoportok helyett használjunk szűrőket az eszközök kizárásához. |
6 | ✔️ Támogatott: A szabályzatok statikus eszközcsoporthoz való hozzárendelése és egy másik statikus eszközcsoport kizárása támogatott. |
7 | ❌ Nem támogatott Szabályzat hozzárendelése statikus eszközcsoporthoz és a felhasználói csoportok kizárása (dinamikus és statikus) nem támogatott. Az Intune nem értékeli ki a felhasználók és eszközök közötti csoportkapcsolatokat, és a belefoglalt felhasználók eszközei nem lesznek kizárva. |
8 | ❌ Nem támogatott Szabályzat hozzárendelése statikus eszközcsoporthoz és a felhasználói csoportok kizárása (dinamikus és statikus) nem támogatott. Az Intune nem értékeli ki a felhasználók és eszközök közötti csoportkapcsolatokat, és a belefoglalt felhasználók eszközei nem lesznek kizárva. |
9 | ❌ Nem támogatott A szabályzatok dinamikus felhasználói csoportokhoz való hozzárendelése és az eszközcsoportok kizárása (dinamikus és statikus) nem támogatott. |
10 | ❌ Nem támogatott A szabályzatok dinamikus felhasználói csoportokhoz való hozzárendelése és az eszközcsoportok kizárása (dinamikus és statikus) nem támogatott. |
11 | ✔️ Támogatott : A szabályzatok dinamikus felhasználói csoportokhoz való hozzárendelése más (dinamikus és statikus) felhasználói csoportok kizárása mellett is támogatott. |
12 | ✔️ Támogatott : A szabályzatok dinamikus felhasználói csoportokhoz való hozzárendelése más (dinamikus és statikus) felhasználói csoportok kizárása mellett is támogatott. |
13 | ❌ Nem támogatott Szabályzat hozzárendelése statikus felhasználói csoporthoz az eszközcsoportok (dinamikus és statikus) kizárása mellett nem támogatott. |
14 | ❌ Nem támogatott Szabályzat hozzárendelése statikus felhasználói csoporthoz az eszközcsoportok (dinamikus és statikus) kizárása mellett nem támogatott. |
15 | ✔️ Támogatott Házirend hozzárendelése statikus felhasználói csoporthoz más (dinamikus és statikus) felhasználói csoportok kizárása mellett. |
16 | ✔️ Támogatott Házirend hozzárendelése statikus felhasználói csoporthoz más (dinamikus és statikus) felhasználói csoportok kizárása mellett. |
Következő lépések
A szabályzatok és a szabályzatokat futtató eszközök monitorozásával kapcsolatos útmutatásért lásd: eszközprofilok figyelése .
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: