Szabályzatok hozzárendelése Microsoft Intune

Amikor létrehoz egy Intune szabályzatot, az tartalmazza a szabályzatban hozzáadott és konfigurált összes beállítást. Ha a szabályzat készen áll az üzembe helyezésre, a következő lépés a szabályzat "hozzárendelése" a felhasználói vagy eszközcsoportokhoz. A hozzárendeléskor a felhasználók és az eszközök megkapják a szabályzatot, és a rendszer alkalmazza a megadott beállításokat.

A Intune a következő szabályzatokat hozhatja létre és rendelheti hozzá:

• szabályzatok Alkalmazásvédelem
• Alkalmazáskonfigurációs szabályzatok
• Megfelelőségi szabályzatok
• Feltételes hozzáférési szabályzatok
• Eszközkonfigurációs profilok
• Regisztrációs szabályzatok

Ez a cikk bemutatja, hogyan rendelhet hozzá szabályzatokat, tartalmaz néhány információt a hatókörcímkék használatáról, ismerteti, hogy mikor kell szabályzatokat hozzárendelni felhasználói csoportokhoz vagy eszközcsoportokhoz stb.

Az első lépések

Győződjön meg arról, hogy a megfelelő szerepkörrel rendelkezik a szabályzatok és profilok hozzárendeléséhez. További információ: Szerepköralapú hozzáférés-vezérlés (RBAC) a Microsoft Intune.

Szabályzat hozzárendelése felhasználókhoz vagy csoportokhoz

1. Jelentkezzen be a Microsoft Intune Felügyeleti központba.

2. Válassza az Eszközök>konfigurálása lehetőséget. Az összes profil megjelenik a listában.

3. Válassza ki a tulajdonságok> hozzárendeléséhez hozzárendelni > kívántprofilt>:

   Eszközkonfigurációs profil hozzárendelése például:

   1. Lépjen az Eszközök>konfigurációja területre. Az összes profil megjelenik a listában.

   2. Válassza ki a tulajdonságok> hozzárendeléséhez hozzárendelni > kívántszabályzatot>:

      

4. A Belefoglalt csoportok vagy a Kizárt csoportok csoportban válassza a Csoportok hozzáadása lehetőséget egy vagy több Microsoft Entra csoport kiválasztásához. Ha széles körben szeretné telepíteni a szabályzatot az összes alkalmazható eszközön, válassza az Összes felhasználó hozzáadása vagy Az összes eszköz hozzáadása lehetőséget.

   Megjegyzés:

   Ha a "Minden eszköz" és a "Minden felhasználó" lehetőséget választja, a további Microsoft Entra csoportok hozzáadásának lehetősége le lesz tiltva.

5. Válassza az Áttekintés + Mentés lehetőséget. Ez a lépés nem rendeli hozzá a szabályzatot.

6. Válassza a Mentés elemet. Mentéskor a rendszer hozzárendeli a szabályzatot. A csoportok megkapják a házirend-beállításokat, amikor az eszközök bejelentkeznek a Intune szolgáltatásba.

Ismert és használható hozzárendelési funkciók

• A Szűrők használatával hozzárendelhet egy szabályzatot a létrehozott szabályok alapján. Szűrőket a következőhöz hozhat létre:

  • Alkalmazáskonfigurációs szabályzatok
  • szabályzatok Alkalmazásvédelem
  • Alkalmazás-hozzárendelések
  • Megfelelőségi szabályzatok
  • Eszközkonfigurációs profilok

  További információt a következő témakörben talál:

  • Szűrők használata az alkalmazások, szabályzatok és profilok hozzárendeléséhez a Microsoft Intune
  • A szűrők által támogatott platformok, szabályzatok és alkalmazástípusok a Microsoft Intune

• A szabályzatkészletek meglévő alkalmazások és szabályzatok csoportját vagy gyűjteményét hozzák létre. A szabályzatkészlet létrehozásakor a házirendkészletet egyetlen helyről rendelheti hozzá a Microsoft Intune Felügyeleti központban.

  További információ: Szabályzatkészletek használata felügyeleti objektumok gyűjteményeinek csoportosításához Microsoft Intune.

• A hatókörcímkék kiválóan alkalmasak a szabályzatok adott csoportokra( például US-NC IT Team vagy JohnGlenn_ITDepartment) való szűrésére. További információt az RBAC és a hatókörcímkék használata elosztott it-hez című témakörben talál.

• A Windows 10/11-es eszközökön alkalmazhatósági szabályokat adhat hozzá, így a szabályzat csak egy adott operációsrendszer-verzióra vagy egy adott Windows-kiadásra vonatkozik. További információt az Alkalmazhatósági szabályok című témakörben talál.

Felhasználói csoportok és eszközcsoportok

Sok felhasználó megkérdezi, hogy mikor és mikor érdemes felhasználói csoportokat használni. A válasz a céltól függ. Íme néhány útmutató az első lépésekhez.

Eszközcsoportok

Ha egy eszközön szeretné alkalmazni a beállításokat, függetlenül attól, hogy ki van bejelentkezve, akkor rendelje hozzá a szabályzatokat egy eszközcsoporthoz. Az eszközcsoportokra alkalmazott beállítások mindig az eszközre vonatkoznak, nem a felhasználóra.

Például:

• Az eszközcsoportok olyan eszközök kezeléséhez hasznosak, amelyek nem rendelkeznek dedikált felhasználóval. Vannak például olyan eszközei, amelyek jegyeket nyomtatnak, beolvasják a leltárt, a műszakban dolgozók osztják meg, egy adott raktárhoz vannak rendelve stb. Helyezze ezeket az eszközöket egy eszközcsoportba, és rendelje hozzá a szabályzatokat ehhez az eszközcsoporthoz.

• Létre kell hoznia egy DFCI-Intune profilt, amely frissíti a BIOS beállításait. Ezt a házirendet például úgy konfigurálja, hogy letiltsa az eszköz kamerát, vagy zárolja a rendszerindítási beállításokat, hogy a felhasználók ne indítsanak el egy másik operációs rendszert. Ez a szabályzat jó megoldás egy eszközcsoporthoz való hozzárendeléshez.

• Bizonyos Windows-eszközökön mindig érdemes szabályozni a Microsoft Edge egyes beállításait, függetlenül attól, hogy ki használja az eszközt. Például le szeretné tiltani az összes letöltést, korlátozni szeretné az összes cookie-t az aktuális böngészési munkamenetre, és törölni szeretné a böngészési előzményeket. Ebben a forgatókönyvben helyezze ezeket az adott Windows-eszközöket egy eszközcsoportba. Ezután hozzon létre egy felügyeleti sablont Intune, adja hozzá ezeket az eszközbeállításokat, majd rendelje hozzá ezt a házirendet az eszközcsoporthoz.

Összefoglalva, akkor használjon eszközcsoportokat, ha nem érdekli, hogy ki jelentkezett be az eszközön, vagy ha valaki bejelentkezik. Azt szeretné, hogy a beállítások mindig az eszközön legyenek.

Felhasználói csoportok

A felhasználói csoportokra alkalmazott házirend-beállítások mindig a felhasználóhoz kerülnek, és a felhasználóval együtt lépnek be a számos eszközükre. A felhasználóknak általában sok eszközük van, például egy Surface Pro a munkához és egy személyes iOS/iPadOS-eszköz. Az e-maileket és más szervezeti erőforrásokat pedig általában ezekről az eszközökről éri el egy személy.

Ha egy felhasználó több eszközzel rendelkezik ugyanazon a platformon, akkor szűrőket használhat a csoport-hozzárendeléshez. Egy felhasználó például rendelkezik egy személyes iOS/iPadOS-eszközzel, valamint egy szervezet tulajdonában lévő iOS/iPadOS eszközzel. Amikor hozzárendel egy szabályzatot az adott felhasználóhoz, szűrőkkel csak a szervezet tulajdonában lévő eszközt célozhatja meg.

Kövesse az alábbi általános szabályt: Ha egy szolgáltatás egy felhasználóhoz tartozik, például e-mailhez vagy felhasználói tanúsítványokhoz, akkor rendelje hozzá a felhasználói csoportokhoz.

Például:

• Egy Ügyfélszolgálat ikont szeretne elhelyezni az összes felhasználó számára az összes eszközén. Ebben a forgatókönyvben helyezze ezeket a felhasználókat egy felhasználói csoportba, és rendelje hozzá az ügyfélszolgálat ikonszabályzatát ehhez a felhasználói csoporthoz.

• A felhasználó új szervezeti tulajdonú eszközt kap. A felhasználó a tartományi fiókjával jelentkezik be az eszközre. Az eszköz automatikusan regisztrálva van Microsoft Entra ID, és a Intune automatikusan felügyeli. Ez a szabályzat jó megoldás egy felhasználói csoporthoz való hozzárendeléshez.

• Amikor egy felhasználó bejelentkezik egy eszközre, ön szabályozni szeretné az alkalmazások funkcióit, például a OneDrive-ot vagy az Office-t. Ebben a forgatókönyvben rendelje hozzá a OneDrive- vagy Az Office-házirend beállításait egy felhasználói csoporthoz.

  Például le szeretné tiltani a nem megbízható ActiveX-vezérlőket az Office-appokban. Létrehozhat egy felügyeleti sablont Intune, konfigurálhatja ezt a beállítást, majd hozzárendelheti ezt a házirendet egy felhasználói csoporthoz.

Összegzésképpen használjon felhasználói csoportokat, ha azt szeretné, hogy a beállítások és szabályok mindig a felhasználóhoz menjenek, bármilyen eszközt is használnak.

Azure Virtual Desktop több munkamenet

A Intune az Azure Virtual Desktoppal létrehozott több munkamenetes távoli Windows-asztalok kezelésére is használható, ugyanúgy, mint bármely más megosztott Windows-ügyféleszköz. Amikor szabályzatokat rendel felhasználói csoportokhoz vagy eszközökhöz, az Azure Virtual Desktop több munkamenetes használata egy speciális forgatókönyv. Ezen virtuális gépek használatakor az eszköz CSP-nek meg kell céloznia az eszközcsoportokat. A felhasználói CSP-knek meg kell céloznia a felhasználói csoportokat.

További információ: Az Azure Virtual Desktop több munkamenetes használata Microsoft Intune.

Windows CSP-k és viselkedésük

A Windows-eszközök szabályzatbeállításai a konfigurációszolgáltatókon (CSP-ken) alapulnak. Ezek a beállítások az eszközökön található beállításkulcsokra vagy fájlokra vannak leképzve.

A Windows CSP-kről az alábbiakat kell tudnia:

• Intune elérhetővé teszi ezeket a CSP-ket, hogy konfigurálhassa ezeket a beállításokat, és hozzárendelhesse őket a Windows-eszközeihez. Ezek a beállítások a beépített sablonok és a beállításkatalógus használatával konfigurálhatók. A beállításkatalógusban láthatja, hogy egyes beállítások a felhasználói hatókörre, egyes beállítások pedig az eszköz hatókörére vonatkoznak.

  A felhasználói hatókörű és eszközhatókörű beállítások Windows-eszközökre való alkalmazásáról a Beállítások katalógus: Eszközhatókör és felhasználói hatókör beállításai című témakörben talál további információt.

• Ha eltávolít egy szabályzatot, vagy már nincs hozzárendelve egy eszközhöz, a szabályzat beállításaitól függően különböző dolgok történhetnek. Minden CSP másképpen tudja kezelni a szabályzatok eltávolítását.

  Előfordulhat például, hogy egy beállítás megtartja a meglévő értéket, és nem áll vissza alapértelmezett értékre. A viselkedést az operációs rendszer minden CSP-je vezérli. A Windows CSP-k listáját a konfigurációs szolgáltató (CSP) referenciájában találja.

  Ha egy beállítást egy másik értékre szeretne módosítani, hozzon létre egy új szabályzatot, konfigurálja a beállítást Nincs konfigurálva értékre, és rendelje hozzá a szabályzatot. Ha a szabályzat az eszközre vonatkozik, a felhasználóknak szabályozniuk kell, hogy a beállítást az előnyben részesített értékre módosítsák.

• A beállítások konfigurálásakor javasoljuk, hogy telepítsen egy próbacsoportba. További Intune bevezetési tanácsokért lásd: Bevezetési terv létrehozása.

Csoportok kizárása szabályzat-hozzárendelésből

Intune eszközkonfigurációs szabályzatok lehetővé teszik csoportok belefoglalását és kizárását a szabályzat-hozzárendelésből.

Ajánlott eljárásként:

• Szabályzatokat hozhat létre és rendelhet hozzá kifejezetten a felhasználói csoportokhoz. Szűrők használatával belefoglalhatja vagy kizárhatja az adott felhasználók eszközeit.
• Külön szabályzatokat hozhat létre és rendelhet hozzá kifejezetten az eszközcsoportokhoz.

További információ a csoportokról: Csoportok hozzáadása a felhasználók és eszközök rendszerezéséhez.

A csoportok belefoglalásának és kizárásának alapelvei

A szabályzatok és szabályzatok hozzárendelésekor alkalmazza a következő általános alapelveket:

• A Belefoglalt csoportok vagy a Kizárt csoportok a házirendeket fogadó felhasználók és eszközök kiindulási pontjának tekinthetők. A Microsoft Entra csoport a korlátozó csoport, ezért a lehető legkisebb csoporthatókört használja. Szűrők használatával korlátozhatja vagy finomíthatja a szabályzat-hozzárendelést.

• A hozzárendelt Microsoft Entra csoportok( más néven statikus csoportok) hozzáadhatók a Belefoglalt csoportokhoz vagy a Kizárt csoportokhoz.

  Általában statikusan rendel hozzá eszközöket egy Microsoft Entra csoporthoz, ha azok előre regisztrálva vannak Microsoft Entra ID, például a Windows Autopilotban. Vagy ha egyszeri, alkalmi üzembe helyezéshez szeretné kombinálni az eszközöket. Ellenkező esetben előfordulhat, hogy nem célszerű statikusan hozzárendelni az eszközöket egy Microsoft Entra csoporthoz.

• A dinamikus Microsoft Entra felhasználói csoportok hozzáadhatók a Belefoglalt csoportokhoz vagy a Kizárt csoportokhoz.

• A kizárt csoportok lehetnek felhasználókkal rendelkező csoportok vagy eszközökkel rendelkező csoportok.

• Dinamikus Microsoft Entra eszközcsoportok hozzáadhatók a Belefoglalt csoportokhoz. A dinamikus csoporttagság feltöltése azonban késéssel is előfordulhat. A késésre érzékeny forgatókönyvekben szűrőkkel célozhat meg bizonyos eszközöket, és hozzárendelheti a szabályzatokat a felhasználói csoportokhoz.

  Például azt szeretné, hogy a szabályzatok a regisztrálásuk után azonnal hozzá legyenek rendelve az eszközökhöz. Ebben a késésre érzékeny helyzetben hozzon létre egy szűrőt a kívánt eszközök megcélzásához, és rendelje hozzá a szabályzatot ezzel a szűrővel a felhasználói csoportokhoz. Ne rendeljen eszközcsoportokhoz.

  Felhasználó nélküli forgatókönyv esetén hozzon létre egy szűrőt a kívánt eszközök megcélzásához, és rendelje hozzá a szűrővel rendelkező szabályzatot a "Minden eszköz" csoporthoz.

• Kerülje a dinamikus Microsoft Entra eszközcsoportok hozzáadását a kizárt csoportokhoz. A dinamikus eszközcsoportok számításának késése a regisztráció során nemkívánatos eredményeket okozhat. Előfordulhat például, hogy a nem kívánt alkalmazások és szabályzatok a kizárt csoporttagság feltöltése előtt lesznek üzembe helyezve.

Támogatási mátrix

Az alábbi mátrix segítségével megismerheti a csoportok kizárásának támogatását:

• ✔️:Támogatott
• ❌: Nem támogatott
• ❕ : Részben támogatott

Forgatókönyv	Támogatás
1	❕ Részben támogatott : A szabályzatok dinamikus eszközcsoporthoz való hozzárendelése egy másik dinamikus eszközcsoport kizárása mellett támogatott. A késésre érzékeny forgatókönyvekben azonban nem ajánlott. A csoporttagság kizárási számításának késése szabályzatok felajánlását okozhatja az eszközök számára. Ebben a forgatókönyvben azt javasoljuk, hogy dinamikus eszközcsoportok helyett használjunk szűrőket az eszközök kizárásához. Rendelkezik például egy minden eszközhöz rendelt eszközszabályzattal. Később követelmény, hogy az új marketingeszközök ne kapják meg ezt a szabályzatot. Ezért létre kell hoznia egy Marketingeszközök nevű dinamikus eszközcsoportot a enrollmentProfilename tulajdonság (device.enrollmentProfileName -eq "Marketing_devices") alapján. A szabályzatban a Marketingeszközök dinamikus csoportot kizárt csoportként adja hozzá. Egy új marketingeszköz először regisztrál a Intune-ben, és létrejön egy új Microsoft Entra eszközobjektum. A dinamikus csoportosítási folyamat egy lehetséges késleltetett számítással a Marketingeszközök csoportba helyezi az eszközt. Ezzel egy időben az eszköz regisztrál a Intune, és elkezdi megkapni az összes vonatkozó szabályzatot. A Intune szabályzat üzembe helyezhető, mielőtt az eszköz a kizárási csoportba kerül. Ez a viselkedés egy nemkívánatos szabályzat (vagy alkalmazás) üzembe helyezését eredményezi a Marketingeszközök csoportban. Emiatt nem ajánlott dinamikus eszközcsoportokat használni a késésre érzékeny forgatókönyvek kivételeihez. Ehelyett használjon szűrőket.
2	✔️ Támogatott: A szabályzatok dinamikus eszközcsoporthoz való hozzárendelése statikus eszközcsoport kizárása mellett támogatott.
3	❌ Nem támogatott Szabályzat hozzárendelése dinamikus eszközcsoporthoz a felhasználói csoportok (dinamikus és statikus) kizárása mellett nem támogatott. Intune nem értékeli ki a felhasználók és eszközök közötti csoportkapcsolatokat, és a belefoglalt felhasználók eszközei nem lesznek kizárva.
4	❌ Nem támogatott A szabályzatok dinamikus eszközcsoporthoz való hozzárendelése és a felhasználói csoportok kizárása (dinamikus és statikus) nem támogatott. Intune nem értékeli ki a felhasználók és eszközök közötti csoportkapcsolatokat, és a belefoglalt felhasználók eszközei nem lesznek kizárva.
5	❕ Részben támogatott Szabályzat hozzárendelése statikus eszközcsoporthoz dinamikus eszközcsoport kizárása mellett. A késésre érzékeny forgatókönyvekben azonban nem ajánlott. A csoporttagság kizárási számításának késése szabályzatok felajánlását okozhatja az eszközök számára. Ebben a forgatókönyvben azt javasoljuk, hogy dinamikus eszközcsoportok helyett használjunk szűrőket az eszközök kizárásához.
6	✔️ Támogatott: A szabályzatok statikus eszközcsoporthoz való hozzárendelése és egy másik statikus eszközcsoport kizárása támogatott.
7	❌ Nem támogatott Szabályzat hozzárendelése statikus eszközcsoporthoz és a felhasználói csoportok kizárása (dinamikus és statikus) nem támogatott. Intune nem értékeli ki a felhasználók és eszközök közötti csoportkapcsolatokat, és a belefoglalt felhasználók eszközei nem lesznek kizárva.
8	❌ Nem támogatott Szabályzat hozzárendelése statikus eszközcsoporthoz és a felhasználói csoportok kizárása (dinamikus és statikus) nem támogatott. Intune nem értékeli ki a felhasználók és eszközök közötti csoportkapcsolatokat, és a belefoglalt felhasználók eszközei nem lesznek kizárva.
9	❌ Nem támogatott A szabályzatok dinamikus felhasználói csoportokhoz való hozzárendelése és az eszközcsoportok kizárása (dinamikus és statikus) nem támogatott.
10	❌ Nem támogatott A szabályzatok dinamikus felhasználói csoportokhoz való hozzárendelése és az eszközcsoportok kizárása (dinamikus és statikus) nem támogatott.
11	✔️ Támogatott : A szabályzatok dinamikus felhasználói csoportokhoz való hozzárendelése más (dinamikus és statikus) felhasználói csoportok kizárása mellett is támogatott.
12	✔️ Támogatott : A szabályzatok dinamikus felhasználói csoportokhoz való hozzárendelése más (dinamikus és statikus) felhasználói csoportok kizárása mellett is támogatott.
13	❌ Nem támogatott Szabályzat hozzárendelése statikus felhasználói csoporthoz az eszközcsoportok (dinamikus és statikus) kizárása mellett nem támogatott.
14	❌ Nem támogatott Szabályzat hozzárendelése statikus felhasználói csoporthoz az eszközcsoportok (dinamikus és statikus) kizárása mellett nem támogatott.
15	✔️ Támogatott Házirend hozzárendelése statikus felhasználói csoporthoz más (dinamikus és statikus) felhasználói csoportok kizárása mellett.
16	✔️ Támogatott Házirend hozzárendelése statikus felhasználói csoporthoz más (dinamikus és statikus) felhasználói csoportok kizárása mellett.

Következő lépések

A szabályzatok és a szabályzatokat futtató eszközök monitorozásával kapcsolatos útmutatásért lásd: eszközprofilok figyelése .