Szabályzatok hozzárendelése az Microsoft Intune-ban

Amikor létrehoz egy Intune-szabályzatot, az tartalmazza az összes olyan beállítást, amelyet a szabályzatban hozzáadott és konfigurált. Ha a szabályzat készen áll az üzembe helyezésre, a következő lépés a szabályzat „hozzárendelése” a felhasználói vagy eszközcsoportokhoz. A szabályzat hozzárendelésekor a felhasználók és az eszközök megkapják a szabályzatot, és a rendszer alkalmazza a megadott beállításokat.

Az Intune-ban a következő szabályzatokat hozhatja létre és rendelheti hozzá:

• Alkalmazásvédelmi szabályzatok
• Alkalmazáskonfigurációs szabályzatok
• Megfelelőségi házirendek
• Feltételes hozzáférési szabályzatok
• Eszközkonfigurációs profilok
• Regisztrációs szabályzatok

Ez a cikk bemutatja, hogyan rendelhet hozzá szabályzatokat, tartalmaz néhány információt a hatókörcímkék használatáról, ismerteti, hogy mikor kell szabályzatokat hozzárendelni felhasználói csoportokhoz vagy eszközcsoportokhoz és egyebeket.

Ez a funkció az alábbiakra vonatkozik:

• Android
• iOS/iPadOS
• macOS
• Linux
• A Windows

Az első lépések

• Győződjön meg róla, hogy a megfelelő szerepkörrel rendelkezik, amellyel szabályzatokat és profilokat rendelhet hozzá. További információ: Szerepköralapú hozzáférés-vezérlés (RBAC) a Microsoft Intune használatával.

• Fontolja meg a Microsoft Copilot használatát Intune. Néhány előny:

  • Amikor létrehoz egy szabályzatot és konfigurálja a beállításokat, a Copilot további információkat nyújt az egyes beállításokról, és megkeresi a lehetséges ütközéseket.
  • Amikor hozzárendel egy szabályzatot, a Copilot meg tudja mondani, hogy a szabályzat milyen csoportokhoz van hozzárendelve, és segít megérteni a szabályzat hatását.

  További információ: Copilot in Intune.

Szabályzat hozzárendelése felhasználókhoz vagy csoportokhoz

1. Jelentkezzen be a Microsoft Intune Felügyeleti központba.

2. Válassza az Eszközök>Eszközök kezelése> Konfiguráció lehetőséget. Az összes profil megjelenik a listában.

3. Válassza ki azt a profilt, amelyet hozzá szeretne rendelni a >Tulajdonságok>Hozzárendelések>Szerkesztés használatával:

   Például, eszközkonfigurációs profil hozzárendelése:

   1. Lépjen az Eszközök>Eszközök kezelése>Konfiguráció lehetőségre. Az összes profil megjelenik a listában.

   2. Válassza ki a hozzárendelni kívánt szabályzatot a >Tulajdonságok> Hozzárendelések> Szerkesztés használatával:

      

4. A Belefoglalt csoportok vagy a Kizárt csoportok lehetőségnél válassza a Csoportok hozzáadása elemet egy vagy több Microsoft Entra-csoport kiválasztásához. Ha a szabályzatot széles körben kívánja üzembe helyezni az összes érintett eszközön, válassza az Összes felhasználó hozzáadása vagy az Összes eszköz hozzáadása lehetőséget.

   Megjegyzés:

   Ha az „Összes eszköz” és az „Összes felhasználó” lehetőséget választja, a további Microsoft Entra-csoportok hozzáadásának lehetősége letiltásra kerül.

5. Válassza az Áttekintés + Mentés lehetőséget. Ez a lépés nem rendeli hozzá a szabályzatot.

6. Válassza a Mentés elemet. Mentéskor a rendszer hozzárendeli a szabályzatot. A csoportok megkapják a szabályzatbeállításokat, amikor az eszközök bejelentkeznek az Intune szolgáltatásba.

A hozzárendelési funkciók, amelyeket ismernie és használnia kell

• Hozzárendelési szűrőkkel hozzárendelhet egy szabályzatot a létrehozott szabályok alapján. Hozzárendelési szűrőket a következőhöz hozhat létre:

  • Alkalmazáskonfigurációs szabályzatok
  • Alkalmazásvédelmi szabályzatok
  • Alkalmazás-hozzárendelések
  • Megfelelőségi szabályzatok
  • Eszközkonfigurációs profilok

  További információ:

  • Hozzárendelési szűrők használata az alkalmazások, szabályzatok és profilok Microsoft Intune
  • A hozzárendelési szűrők által támogatott platformok, szabályzatok és alkalmazástípusok a Microsoft Intune

• A szabályzatkészletek meglévő alkalmazások és szabályzatok csoportját vagy gyűjteményét hozzák létre. A szabályzatkészlet létrehozásakor a szabályzatkészletet egyetlen helyről rendelheti hozzá a Microsoft Intune Felügyeleti központban.

  További információ: Szabályzatkészletek használata felügyeleti objektumok gyűjteményeinek csoportosításához a Microsoft Intune-ban.

• A hatókörcímkék kiválóan alkalmasak arra, hogy a szabályzatokat meghatározott csoportokra szűrje, mint például US-NC IT Team vagy JohnGlenn_ITDepartment. További információ: RBAC és hatókörcímkék használata elosztott IT-hoz.

• Windowsos eszközökön alkalmazhatósági szabályokat adhat hozzá, így a szabályzat csak egy adott operációsrendszer-verzióra vagy egy adott Windows-kiadásra vonatkozik. További információt az Alkalmazhatósági szabályok című témakörben talál.

Felhasználói csoportok és eszközcsoportok

Sok felhasználó felteszi a kérdést, hogy mikor használjon felhasználói csoportokat és mikor eszközcsoportokat. A válasz a céltól függ. Íme néhány útmutató az első lépésekhez.

Eszközcsoportok

Ha egy eszközön szeretné alkalmazni a beállításokat, függetlenül attól, hogy ki van bejelentkezve, akkor rendelje hozzá a szabályzatokat egy eszközcsoporthoz. Az eszközcsoportokra alkalmazott beállítások mindig az eszközre vonatkoznak, nem a felhasználóra.

Például:

• Az eszközcsoportok olyan eszközök kezeléséhez hasznosak, amelyek nem rendelkeznek dedikált felhasználóval. Ezek az eszközök kinyomtathatják a jegyeket, beolvashatják a leltárt, megoszthatják a műszakban dolgozók & egészségügyi dolgozók stb. Helyezze ezeket az eszközöket egy eszközcsoportba, és rendelje hozzá a szabályzatokat ehhez az eszközcsoporthoz.

  Regisztrálhat például felhasználó nélküli iOS-/iPadOS-eszközöket megosztott iPad vagy Microsoft Entra megosztott eszköz mód használatával. Ezután adja hozzá ezeket az eszközöket egy eszközcsoporthoz. Ha készen áll a szabályzatok hozzárendelésére, rendelje hozzá a szabályzatokat ehhez az eszközcsoporthoz.

• Létre kell hoznia egy DFCI-profilt az Intune-ban, amely frissíti a BIOS beállításait. Ezt a szabályzatot például úgy konfigurálhatja, hogy letiltja az eszköz kameráját, vagy zárolja a rendszerindítási beállításokat, hogy a felhasználók ne tudjanak másik operációs rendszert indítani. Ez a szabályzat alkalmas forgatókönyv egy eszközcsoporthoz való hozzárendeléshez.

• Bizonyos Windows-eszközökön mindig érdemes szabályozni a Microsoft Edge egyes beállításait, függetlenül attól, hogy ki használja az eszközt. Például le szeretné tiltani az összes letöltést, korlátozni szeretné az összes cookie-t az aktuális böngészési munkamenetre, és törölni szeretné a böngészési előzményeket. Ehhez a forgatókönyvhöz helyezze ezeket az adott Windows-eszközöket egy eszközcsoportba. Ezután hozzon létre egy beállításkatalógus-szabályzatot Intune, adja hozzá ezeket az eszközbeállításokat, majd rendelje hozzá ezt a házirendet az eszközcsoporthoz.

Összefoglalva, használja az eszközcsoportokat, ha nem számít, hogy ki van bejelentkezve az eszközön, vagy ha bárki bejelentkezik. A beállításokat mindig az eszközön szeretné tárolni.

Felhasználói csoportok

A felhasználói csoportokra alkalmazott szabályzat-beállítások mindig a felhasználóval együtt érvényesek, és a felhasználóhoz tartoznak, amikor bejelentkezik a különböző eszközeire. Természetes, hogy a felhasználók több eszközzel is rendelkeznek, például egy Surface Pro-val a munkához, és egy személyes iOS/iPadOS eszközzel. És az is mindennapos, hogy az illető ezekről az eszközökről is hozzáfér az e-mailekhez és más szervezeti erőforrásokhoz.

Ha egy felhasználó több eszközzel rendelkezik ugyanazon a platformon, akkor használhat hozzárendelési szűrőket a csoport-hozzárendeléshez. Például egy felhasználónak van egy személyes iOS/iPadOS eszköze és egy szervezet tulajdonában lévő iOS/iPadOS eszköze. Amikor hozzárendel egy szabályzatot az adott felhasználóhoz, hozzárendelési szűrőkkel csak a szervezet tulajdonában lévő eszközt célozhatja meg.

Kövesse a következő általános szabályt: Ha egy funkció egy felhasználóhoz tartozik, például az e-mail vagy a felhasználói tanúsítványok, akkor rendelje felhasználói csoportokhoz.

Például:

• Minden felhasználó számára egy Ügyfélszolgálat ikont szeretne elhelyezni az összes eszközükön. Ebben a forgatókönyvben helyezze ezeket a felhasználókat egy felhasználói csoportba, és rendelje hozzá az Ügyfélszolgálat ikon szabályzatát ehhez a felhasználói csoporthoz.

• Egy felhasználó új, a szervezet tulajdonában lévő eszközt kap. A felhasználó a tartományi fiókjával jelentkezik be az eszközre. Az eszköz automatikusan regisztrálva lesz a Microsoft Entra ID-ban, és az Intune automatikusan felügyeli. Ez a szabályzat egy jó forgatókönyv a felhasználói csoporthoz való hozzárendeléshez.

• Amikor egy felhasználó bejelentkezik egy eszközre, az alkalmazások, például a OneDrive vagy az Office funkcióit szeretné vezérelni. Ebben a forgatókönyvben rendelje a OneDrive vagy az Office szabályzat beállításait egy felhasználói csoporthoz.

  Például le szeretné tiltani az Összes ActiveX-vezérlőt az Office-appokban. Létrehozhat egy beállításkatalógus-szabályzatot Intune, konfigurálhatja ezt a beállítást, majd hozzárendelheti ezt a házirendet egy felhasználói csoporthoz.

Összefoglalva, használjon felhasználói csoportokat, ha azt szeretné, hogy a beállítások és szabályok mindig a felhasználóhoz tartozzanak, függetlenül attól, hogy milyen eszközt használ.

Több munkamenetes Azure Virtual Desktop

Az Intune segítségével ugyanúgy kezelheti az Azure Virtual Desktop használatával létrehozott, több munkamenetes távoli Windows-asztalokat, mint bármely más megosztott Windows-ügyféleszközt. Amikor szabályzatokat rendel felhasználói csoportokhoz vagy eszközökhöz, az Azure Virtual Desktop több munkamenetes használata egy speciális forgatókönyv. A virtuális gépek esetében az eszköz CSP-knek eszközcsoportokat kell megcélozniuk. A felhasználói CSP-knek felhasználói csoportokat kell megcélozniuk.

További információ: Az Azure Virtual Desktop több munkamenetes használata a Microsoft Intune-nal.

Windows CSP-k és viselkedésük

A Windows rendszerű eszközök szabályzatbeállításai a konfigurációszolgáltatókon (CSP-ken) alapulnak. Ezek a beállítások az eszközökön található beállításkulcsokra vagy fájlokra vannak leképezve.

A Windows CSP-kről az alábbiakat kell tudnia:

• Az Intune elérhetővé teszi ezeket a CSP-ket, így konfigurálhatja ezeket a beállításokat, és hozzárendelheti őket windowsos eszközeihez. Ezek a beállítások a beépített sablonok és a beállításkatalógus használatával konfigurálhatók. A beállításkatalógusban láthatja, hogy egyes beállítások a felhasználói hatókörre, egyes beállítások pedig az eszköz hatókörére vonatkoznak.

  A felhasználói hatókörű és eszközhatókörű beállítások Windows-eszközökre való alkalmazásáról a Beállításkatalógus: Eszközhatókör és felhasználói hatókör beállításai című témakörben talál további információt.

• Ha eltávolít egy szabályzatot, vagy már nincs hozzárendelve egy eszközhöz, a szabályzat beállításaitól függően különböző dolgok történhetnek. Minden CSP másképp kezelheti a szabályzat eltávolítását.

  Előfordulhat például, hogy egy beállítás megtartja a meglévő értéket, és nem áll vissza alapértelmezett értékre. Minden egyes CSP vezérli a viselkedést. A Windows CSP-k listáját a Konfigurációs szolgáltató (CSP) referenciájában találja.

  Ha egy beállítást egy másik értékre szeretne módosítani, hozzon létre egy új szabályzatot, konfigurálja a beállítást Nincs konfigurálva értékre, és rendelje hozzá a szabályzatot. Amikor a szabályzat az eszközre vonatkozik, a felhasználóknak meg kell adni a lehetőséget, hogy a beállítást az általuk előnyben részesített értékre módosítsák.

• A beállítások konfigurálásakor javasoljuk, hogy az üzembe helyezést egy próbacsoportban végezze el. További Intune-kibocsátási tanácsokért lásd: Kibocsátási terv létrehozása.

Csoportok kizárása szabályzat-hozzárendelésből

Az Intune eszközkonfigurációs szabályzatai lehetővé teszik csoportok belefoglalását és kizárását a szabályzat-hozzárendelésből.

Ajánlott eljárásként:

• Szabályzatokat hozhat létre és rendelhet hozzá kifejezetten a felhasználói csoportokhoz. Használjon hozzárendelési szűrőket az adott felhasználók eszközeinek belefoglalásához vagy kizárásához.
• Külön szabályzatokat hozhat létre és rendelhet hozzá kifejezetten az eszközcsoportokhoz.

További információ a csoportokról: Csoportok hozzáadása a felhasználók és eszközök rendszerezéséhez.

A csoportok belefoglalásának és kizárásának alapelvei

A saját szabályzatok és szabályzatok hozzárendelésekor alkalmazza a következő általános alapelveket:

• A Belefoglalt csoportok vagy a Kizárt csoportok a szabályzatokat fogadó felhasználók és eszközök kiindulási pontjának tekinthetők. A Microsoft Entra csoport a korlátozó csoport, ezért a lehető legkisebb csoporthatókört használja. A hozzárendelési szűrőkkel korlátozhatja vagy finomíthatja a szabályzat-hozzárendelést.

• A hozzárendelt Microsoft Entra-csoportok, más néven statikus csoportok hozzáadhatók Belefoglalt vagy Kizárt csoportokhoz.

  Általában statikusan rendelhet hozzá eszközöket egy Microsoft Entra csoporthoz, ha azok előzetesen regisztrálva vannak a Microsoft Entra ID-ben, mint például a Windows Autopilot esetében. Vagy ha egyszeri, eseti jellegű üzembe helyezéshez szeretné kombinálni az eszközöket. Ettől eltérő esetben nem biztos, hogy praktikus az eszközök statikus hozzárendelése egy Microsoft Entra csoporthoz.

• Dinamikus Microsoft Entra felhasználói csoportok hozzáadhatók a Belefoglalt vagy a Kizárt csoportokhoz.

• A kizárt csoportok lehetnek felhasználókkal rendelkező csoportok vagy eszközökkel rendelkező csoportok.

• Dinamikus Microsoft Entra-eszközcsoportok hozzáadhatók a Belefoglalt csoportokhoz. A dinamikus csoporttagság feltöltése azonban késést okozhat. Késésre érzékeny forgatókönyvekben hozzárendelési szűrőkkel célozhat meg bizonyos eszközöket, és hozzárendelheti a szabályzatokat felhasználói csoportokhoz.

  Például azt szeretné, hogy a szabályzatok a regisztrálásuk után azonnal hozzá legyenek rendelve az eszközökhöz. Ebben a késésre érzékeny helyzetben hozzon létre egy hozzárendelési szűrőt a kívánt eszközök megcélzásához, és rendelje hozzá a szabályzatot ezzel a hozzárendelési szűrővel a felhasználói csoportokhoz. Ne rendeljen hozzá eszközcsoportokhoz.

  Felhasználó nélküli forgatókönyv esetén hozzon létre egy hozzárendelési szűrőt a kívánt eszközök megcélzásához, és rendelje hozzá a szabályzatot a hozzárendelési szűrővel a "Minden eszköz" csoporthoz.

• Kerülje a dinamikus Microsoft Entra-eszközcsoportok hozzáadását a Kizárt csoportokhoz. A dinamikus eszközcsoportok számításának késése a beléptetés során nemkívánatos eredményeket okozhat. Előfordulhat például, hogy a nem kívánt alkalmazások és szabályzatok a kizárt csoporttagság feltöltése előtt lesznek üzembe helyezve.

Támogatási mátrix

Használja az alábbi mátrixot a kizárt csoportok támogatásának megértéséhez:

• ✅: Támogatott
• ❌: Nem támogatott
• ❕ : Részben támogatott

Forgatókönyv	Támogatás
1	❕ Részben támogatott : A szabályzatok dinamikus eszközcsoporthoz való hozzárendelése egy másik dinamikus eszközcsoport kizárása mellett támogatott. A késésre érzékeny forgatókönyvekben azonban nem ajánlott. A csoporttagság kizárási számításának késése szabályzatok felajánlását okozhatja az eszközök esetében. Ebben a forgatókönyvben azt javasoljuk, hogy az eszközök kizárásához a dinamikus eszközcsoportok helyett hozzárendelési szűrőket használjunk. Például rendelkezik egy Minden eszközhöz hozzárendelt eszközszabályzattal. Később lesz egy olyan követelmény, hogy az új marketingeszközök ne kapják meg ezt a szabályzatot. Ezért létre kell hoznia egy Marketingeszközök nevű dinamikus eszközcsoportot a(z) enrollmentProfilename tulajdonság (device.enrollmentProfileName -eq "Marketing_devices") alapján. A szabályzatban a Marketingeszközök dinamikus csoportot kizárt csoportként adja hozzá. Egy új marketingeszköz első alkalommal regisztrál az Intune-ban, és létrejön egy új Microsoft Entra-eszközobjektum. A dinamikus csoportosítási folyamat egy lehetséges késő számítással a Marketingeszközök csoportba helyezi az eszközt. Ezzel egyidejűleg az eszköz regisztrál az Intune-ba, és megkezdi az összes vonatkozó szabályzat fogadását. Az Intune-szabályzat üzembe helyezhető, mielőtt az eszköz a kizárt csoportba kerül. Ez a viselkedés egy nemkívánatos szabályzat (vagy alkalmazás) üzembe helyezését eredményezi a Marketingeszközök csoportban. Emiatt nem ajánlott dinamikus eszközcsoportokat használni a késésre érzékeny forgatókönyvek kivételeihez. Ehelyett használjon hozzárendelési szűrőket.
2	✅ Támogatott A szabályzatok dinamikus eszközcsoporthoz való hozzárendelése statikus eszközcsoport kizárása mellett támogatott.
3	❌ Nem támogatott Szabályzat hozzárendelése dinamikus eszközcsoporthoz a felhasználói csoportok (dinamikus és statikus) kizárása mellett nem támogatott. Az Intune nem értékeli ki a felhasználók és eszközök közötti csoportkapcsolatokat, és a belefoglalt felhasználók eszközei nem lesznek kizárva.
4	❌ Nem támogatott A szabályzatok dinamikus eszközcsoporthoz való hozzárendelése és a felhasználói csoportok kizárása (dinamikus és statikus) nem támogatott. Az Intune nem értékeli ki a felhasználók és eszközök közötti csoportkapcsolatokat, és a belefoglalt felhasználók eszközei nem lesznek kizárva.
5	❕ Részben támogatott Szabályzat hozzárendelése statikus eszközcsoporthoz dinamikus eszközcsoport kizárása mellett. A késésre érzékeny forgatókönyvekben azonban nem ajánlott. A csoporttagság kizárási számításának késése szabályzatok felajánlását okozhatja az eszközök esetében. Ebben a forgatókönyvben azt javasoljuk, hogy az eszközök kizárásához a dinamikus eszközcsoportok helyett hozzárendelési szűrőket használjunk.
6	✅ Támogatott A szabályzatok statikus eszközcsoporthoz való hozzárendelése és egy másik statikus eszközcsoport kizárása támogatott.
7	❌ Nem támogatott Szabályzat hozzárendelése statikus eszközcsoporthoz és a felhasználói csoportok kizárása (dinamikus és statikus) nem támogatott. Az Intune nem értékeli ki a felhasználók és eszközök közötti csoportkapcsolatokat, és a belefoglalt felhasználók eszközei nem lesznek kizárva.
8	❌ Nem támogatott Szabályzat hozzárendelése statikus eszközcsoporthoz és a felhasználói csoportok kizárása (dinamikus és statikus) nem támogatott. Az Intune nem értékeli ki a felhasználók és eszközök közötti csoportkapcsolatokat, és a belefoglalt felhasználók eszközei nem lesznek kizárva.
9	❌ Nem támogatott A szabályzatok dinamikus felhasználói csoportokhoz való hozzárendelése és az eszközcsoportok kizárása (dinamikus és statikus) nem támogatott.
10	❌ Nem támogatott A szabályzatok dinamikus felhasználói csoportokhoz való hozzárendelése és az eszközcsoportok kizárása (dinamikus és statikus) nem támogatott.
11	✅ Támogatott A szabályzatok dinamikus felhasználói csoportokhoz való hozzárendelése más (dinamikus és statikus) felhasználói csoportok kizárása mellett is támogatott.
12	✅ Támogatott A szabályzatok dinamikus felhasználói csoportokhoz való hozzárendelése más (dinamikus és statikus) felhasználói csoportok kizárása mellett is támogatott.
13	❌ Nem támogatott Szabályzat hozzárendelése statikus felhasználói csoporthoz az eszközcsoportok (dinamikus és statikus) kizárása mellett nem támogatott.
14	❌ Nem támogatott Szabályzat hozzárendelése statikus felhasználói csoporthoz az eszközcsoportok (dinamikus és statikus) kizárása mellett nem támogatott.
15	✅ Támogatott A szabályzatok statikus felhasználói csoportokhoz való hozzárendelése a többi (dinamikus és statikus) felhasználói csoport kizárása mellett támogatott.
16	✅ Támogatott A szabályzatok statikus felhasználói csoportokhoz való hozzárendelése a többi (dinamikus és statikus) felhasználói csoport kizárása mellett támogatott.

Kapcsolódó cikkek

A szabályzatok és a szabályzatokat futtató eszközök monitorozásával kapcsolatos útmutatásért lásd:eszközprofilok figyelése.