Consigli sulle prestazioni per il raggruppamento, la destinazione e il filtro in ambienti di Microsoft Intune di grandi dimensioni
Questo articolo elenca e descrive le raccomandazioni per il raggruppamento, la destinazione e il filtro di Intune per i criteri e le app. L'obiettivo è aiutare a prendere decisioni di architettura e progettazione per le distribuzioni di Intune in ambienti di grandi dimensioni.
Queste raccomandazioni sulle prestazioni e la relativa implementazione possono essere diverse e dipendono dal proprio ambiente & altri fattori, tra cui gestibilità e semplicità.
Contenuto dell'articolo:
- Panoramica dei concetti relativi al raggruppamento e alla destinazione di Intune
- Ottenere alcuni consigli sulle prestazioni
Per altre informazioni e una panoramica dei filtri, vedere Usare i filtri durante l'assegnazione di app, criteri e profili in Microsoft Intune.
Per indicazioni sui gruppi dinamici, vedere Creare regole più semplici ed efficienti per i gruppi dinamici in Microsoft Entra ID.
Panoramica dei concetti relativi al raggruppamento e alla destinazione di Intune
Prima di esaminare le raccomandazioni, verranno esaminate le funzionalità di raggruppamento, destinazione e filtro disponibili in Intune.
gruppi Microsoft Entra
Intune usa quasi esclusivamente gruppi Microsoft Entra per il raggruppamento e la destinazione. Quando si seleziona Gruppi nell'interfaccia di amministrazione Microsoft Intune, si esaminano Microsoft Entra gruppi.
Microsoft Entra gruppi sono una parte importante di Intune perché questi gruppi sono:
- Oggetti usati per assegnare app, criteri e altri carichi di lavoro a utenti e dispositivi.
- Usato per definire i dispositivi che gli amministratori possono visualizzare e gestire nell'interfaccia di amministrazione di Intune, ad esempio Gruppi di ambito nel controllo degli accessi in base al ruolo.
Gruppi virtuali
Le assegnazioni Tutti gli utenti e Tutti i dispositivi sono gruppi "virtuali" di Intune. Questi gruppi virtuali sono disponibili per impostazione predefinita in tutti i tenant di Intune e non presentano alcun sovraccarico di gestione. Ad esempio, non è necessario creare o modificare le regole id Microsoft Entra per mantenere popolati i membri.
Anche i gruppi Tutti gli utenti e Tutti i dispositivi sono altamente scalabili e ottimizzati, soprattutto perché non devono essere sincronizzati da Microsoft Entra ID nello stesso modo degli altri gruppi.
Filtri
Dopo che l'app o i criteri sono stati assegnati a un ID Microsoft Entra o a un gruppo virtuale, è possibile usare i filtri per limitare l'ambito di assegnazione di queste app e criteri a gruppi di utenti o dispositivi specifici.
Il filtro filtra i dispositivi in (o fuori) di tale assegnazione in base alle proprietà del dispositivo.
Il filtro è una valutazione delle prestazioni elevate e dell'applicabilità a bassa latenza al momento del check-in del dispositivo senza la necessità di precomputare l'appartenenza al gruppo.
Consigli sulle prestazioni
Questa sezione include alcune raccomandazioni che possono migliorare le prestazioni quando si assegnano i criteri in Microsoft Intune.
Queste raccomandazioni sono incentrate sul miglioramento delle prestazioni e sulla riduzione della latenza nell'assegnazione del carico di lavoro. Hanno l'impatto maggiore quando si lavora in ambienti di Intune di grandi dimensioni, ad esempio ambienti con >100.000 dispositivi. Queste raccomandazioni devono essere considerate con altri aspetti di progettazione, ad esempio gestibilità, facilità d'uso, amministrazione basata sui ruoli e semplicità.
Usare i gruppi virtuali
| FARE | NON |
|---|---|
| ✔️ Usare i gruppi virtuali Tutti gli utenti e Tutti i dispositivi invece di creare una versione personalizzata di tutti gli utenti/tutti i dispositivi usando Microsoft Entra gruppi dinamici. | ❌ Non creare gruppi dinamici "Tutti gli utenti" o "Tutti i dispositivi" per criteri e app destinati a Intune. |
I gruppi più grandi richiedono più tempo per sincronizzare gli aggiornamenti dell'appartenenza tra Microsoft Entra ID e Intune. "Tutti gli utenti" e "Tutti i dispositivi" sono in genere i gruppi più grandi disponibili. Se si assegnano carichi di lavoro di Intune a gruppi di Microsoft Entra di grandi dimensioni con molti utenti o dispositivi, i backlog di sincronizzazione possono verificarsi nell'ambiente Intune. Questo backlog influisce sulle distribuzioni di criteri e app, che richiedono più tempo per raggiungere i dispositivi gestiti.
I gruppi Predefiniti Tutti gli utenti e Tutti i dispositivi sono oggetti di raggruppamento solo in Intune che non esistono nell'ID Microsoft Entra. Non esiste una sincronizzazione continua tra Microsoft Entra ID e Intune. Quindi, l'appartenenza ai gruppi è immediata.
Nota
Per informazioni sugli intervalli di aggiornamento dei criteri di archiviazione di Intune, passare a Intervalli di aggiornamento dei criteri di Intune.
È anche possibile applicare questa ottimizzazione ad altri gruppi di grandi dimensioni e che cambiano di frequente, ad esempio "Tutti i dispositivi Windows" o "tutti i dispositivi iOS". Invece di creare e definire come destinazione questi gruppi, è possibile usare i gruppi virtuali "Tutti gli utenti" o "Tutti i dispositivi" esistenti, poiché i criteri e le applicazioni di Intune sono già interessati dalla piattaforma.
Quando si usano gruppi molto grandi in Intune (oltre 100.000 membri), si prevede un ritardo iniziale nella destinazione. È disponibile un processo di configurazione per la prima volta che si verifica tra Microsoft Entra ID e Intune. La prima sincronizzazione completa richiede sempre più tempo rispetto alle sincronizzazioni incrementali successive.
Riutilizzare i gruppi
| FARE | NON |
|---|---|
| ✔️ Riutilizzare gli stessi oggetti gruppo per l'assegnazione di più criteri. | ❌ Non creare copie duplicate dello stesso gruppo per definire criteri diversi. ❌ Non creare "gruppi di app" o "gruppi di criteri" dedicati. |
Dietro le quinte, Intune converte Microsoft Entra membri del gruppo in messaggi di assegnazione destinati a ogni utente e dispositivo. Questo processo è altamente ottimizzato quando gli oggetti gruppo sono uguali.
Ad esempio, il raggruppamento e la destinazione di Intune funzionano meglio quando il gruppo di utenti "Engineering" è destinato a 10 criteri. Non funziona meglio quando gli utenti di Progettazione sono membri di 10 gruppi diversi, ognuno assegnato a un criterio diverso.
Abbiamo visto alcuni progetti che contrastano queste linee guida. Ad esempio, gli amministratori IT creano un gruppo "Install_Edge", creano un gruppo "Deploy_Edge_Config_Policy" e quindi inseriscono gli stessi dispositivi in ogni gruppo.
Un modello simile e non consigliato è la creazione di "gruppi di app". Un gruppo di app è quando ogni app ha diversi gruppi di Microsoft Entra creati. Ad esempio, per gestire l'applicazione Edge, un amministratore crea i gruppi seguenti:
- Edge_Required
- Edge_Available
- Edge_Uninstall
L'amministratore aggiunge singoli utenti o dispositivi a questi gruppi. Questi gruppi di app aumentano notevolmente il numero di gruppi di Microsoft Entra che Intune deve sottoscrivere e monitorare per gli aggiornamenti dell'appartenenza, il che è meno efficiente. La progettazione inefficiente della sincronizzazione dei gruppi influisce sulla velocità con cui vengono create e recapitate nuove assegnazioni ai dispositivi.
Apportare modifiche incrementali ai gruppi
| FARE | NON |
|---|---|
| ✔️ Prestare attenzione alle modifiche di annidamento di gruppi di grandi dimensioni nell Microsoft Entra ID. | ❌ Non apportare modifiche all'annidamento di gruppi di grandi dimensioni contemporaneamente. |
Una modifica di appartenenza a gruppi di grandi dimensioni nell Microsoft Entra ID può generare picchi di modifiche di destinazione in Intune. Questi burst possono ritardare la destinazione di altre assegnazioni nell'ambiente.
Se i gruppi sono gestiti da un set diverso di amministratori rispetto agli amministratori che gestiscono Microsoft Entra ID, è necessario comunicare l'impatto Microsoft Entra modifiche dell'ID possono avere sulla destinazione di Intune.
Ad esempio, se un amministratore Microsoft Entra annida nuovi gruppi di grandi dimensioni all'interno di un gruppo esistente usato da Intune per la destinazione, Intune inizia a sincronizzare tutti i gruppi e le appartenenze ai gruppi. Il tempo necessario per elaborare tutte le appartenenze dipende dal numero e dalle dimensioni delle modifiche apportate al gruppo nell Microsoft Entra ID.
Questa raccomandazione si applica anche quando i gruppi sono "non annidati". Per altre informazioni sui gruppi annidati, vedere Gestire i gruppi Microsoft Entra e l'appartenenza ai gruppi.
Usare i filtri per includere ed escludere
| FARE | NON |
|---|---|
| ✔️ Usare i filtri per ottenere la combinazione utente e dispositivo corretta per la destinazione. | ❌ Non combinare gruppi di utenti e gruppi di dispositivi quando si usano i gruppi di inclusione ed esclusione. |
Questa raccomandazione è anche un'istruzione di supporto. Non è consigliabile o supportare la creazione di assegnazioni ai gruppi di utenti ed esclusione di un gruppo di dispositivi da tale assegnazione o viceversa.
Questa raccomandazione esiste a causa della caratteristica di intervallo/latenza dei gruppi dinamici. L'appartenenza ai gruppi esclusi non è immediata, il che può comportare casi in cui i dispositivi ricevono erroneamente assegnazioni di app o criteri. Per altre informazioni, passare alla matrice Assegna criteri e profili - supporto.
Anziché esclusioni miste, è consigliabile assegnare a un gruppo di utenti. Usare quindi i filtri per includere o escludere dinamicamente i dispositivi appropriati.
Riepilogo
Quando si creano e si gestiscono le assegnazioni in Intune, incorporare alcuni di questi consigli. Usare gruppi o gruppi virtuali e applicare filtri per ottimizzare l'ambito di destinazione. Tenere presenti le procedure consigliate:
- Non creare una versione personalizzata dei gruppi "Tutti gli utenti" o "Tutti i dispositivi". Usare i gruppi virtuali di Intune perché non richiedono la sincronizzazione dell'ID Microsoft Entra quando un nuovo utente o dispositivo viene aggiunto all'ambiente.
- Per ottimizzare la destinazione, riutilizzare il più possibile i gruppi.
- Prestare attenzione quando si apportano modifiche di annidamento di grandi dimensioni ai gruppi di Intune. Intune deve elaborare tutte queste modifiche e calcolare le modifiche effettive per tutti i membri di tutti i gruppi interessati da tale modifica.
- Intune non supporta le esclusioni di gruppi misti. Usare quindi i filtri per includere ed escludere in modo dinamico i dispositivi oltre alle assegnazioni di gruppi o gruppi virtuali.
Passaggi successivi
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per