大規模な Microsoft Intune 環境でのグループ化、ターゲット設定、フィルター処理のパフォーマンスに関する推奨事項
ポリシーを作成するときに、 フィルター を使用して、作成したルールに基づいてポリシーを割り当てることができます。 Intune に登録されているデバイスと Intune で管理されるアプリにフィルターを適用できます。 フィルターの概要については、「 Microsoft Intune でアプリ、ポリシー、プロファイルを割り当てるときにフィルターを使用する」を参照してください。
フィルターを作成するときは、いくつかのパフォーマンスに関する推奨事項を考慮する必要があります。
この記事では、Intune のグループ化、ターゲット設定、およびポリシーとアプリのフィルター処理に関する推奨事項の一覧と説明を行います。 目標は、大規模な環境での Intune 展開のアーキテクチャと設計の決定を支援することです。
これらのパフォーマンスに関する推奨事項とその実装は異なる場合があり、管理性やシンプルさなど、独自の環境 & 他の要因に依存します。
この記事の内容:
- Intune のグループ化とターゲット設定の概念の概要を確認する
- パフォーマンスに関するいくつかの推奨事項を取得する
動的グループに関するガイダンスについては、「 Microsoft Entra ID で動的グループのよりシンプルで効率的なルールを作成する」を参照してください。
Intune のグループ化とターゲット設定の概念の概要
Intune で使用できるグループ化、ターゲット設定、フィルター機能を確認してみましょう。
Microsoft Entra グループ
Intune では、グループ化とターゲット設定に Microsoft Entra グループがほぼ排他的に使用されます。 Microsoft Intune 管理センターで [グループ ] を選択すると、Microsoft Entra グループが表示されます。
Microsoft Entra グループは Intune の重要な部分です。これらのグループは次のとおりです。
- アプリ、ポリシー、およびその他のワークロードをユーザーとデバイスに割り当てるために使用されるオブジェクト
- 役割ベースのアクセス制御 (RBAC) のスコープ グループなど、管理者が Intune 管理センターで表示および管理できるデバイスを定義するために使用します
仮想グループ
すべてのユーザーとすべてのデバイスの割り当ては、Intune の "仮想" グループです。 これらの仮想グループは、すべての Intune テナントで既定で使用でき、管理オーバーヘッドはありません。 たとえば、メンバーの設定を維持するために Microsoft Entra ID ルールを作成または調整する必要はありません。
[すべてのユーザー] グループと [すべてのデバイス] グループも、他のグループと同じ方法で Microsoft Entra ID から同期する必要がないため、高度にスケーラブルで最適化されています。
フィルター
アプリまたはポリシーが Microsoft Entra ID または仮想グループに割り当てられた後、 フィルター を使用して、これらのアプリとポリシーの割り当て範囲を特定のユーザーまたはデバイス グループに絞り込むことができます。
フィルターは、デバイスのプロパティに基づいて、その割り当てのデバイスをフィルター処理 (または除外) します。
フィルター処理は、グループ メンバーシップを事前に計算する必要なく、デバイス チェックインでの高パフォーマンスで低遅延の適用性評価です。
パフォーマンスに関する推奨事項
このセクションには、Microsoft Intune でポリシーを割り当てるときにパフォーマンスを向上させる推奨事項がいくつか含まれています。
これらの推奨事項は、パフォーマンスの向上とワークロード割り当ての待機時間の短縮に焦点を当てています。 これらは、 > 100,000 台のデバイスを持つ環境など、大規模な Intune 環境で作業する場合に最も影響します。 これらの推奨事項は、管理容易性、使いやすさ、ロールベースの管理、シンプルさなど、他の設計面で考慮する必要があります。
組み込みの仮想グループを使用する
| する | できません |
|---|---|
| ✅ Microsoft Entra 動的グループを使用 して、すべてのユーザー / すべてのデバイス の独自のバージョンを作成する代わりに、[すべてのユーザー] と [すべてのデバイス] 仮想グループを使用します。 | ❌ Intune でポリシーとアプリを対象とする独自の "すべてのユーザー" または "すべてのデバイス" 動的グループを作成しないでください。 |
グループが大きいと、Microsoft Entra ID と Intune の間でメンバーシップの更新が同期されるまでに時間がかかります。 [すべてのユーザー] と [すべてのデバイス] は、通常、持っている最大のグループです。 多数のユーザーまたはデバイスを持つ大規模な Microsoft Entra グループに Intune ワークロードを割り当てると、Intune 環境で同期バックログが発生する可能性があります。 このバックログは、ポリシーとアプリのデプロイに影響します。これは、マネージド デバイスに到達するまでに時間がかかります。
組み込みの [すべてのユーザー ] グループと [ すべてのデバイス ] グループは、Microsoft Entra ID に存在しない Intune 専用のグループ化オブジェクトです。 Microsoft Entra ID と Intune の間に継続的な同期はありません。 そのため、グループ メンバーシップは即座に行えます。
注:
Intune チェックイン ポリシーの更新間隔については、「 Intune ポリシーの更新間隔」を参照してください。
この最適化は、"すべての Windows デバイス" や "すべての iOS デバイス" など、頻繁に変化する他のグループにも適用できます。 Intune のポリシーとアプリケーションはプラットフォームによって自動的にスコープ設定されるため、これらのグループを作成して対象にするのではなく、既存の "すべてのユーザー" または "すべてのデバイス" 仮想グループを使用します。
Intune で非常に大規模なグループ (100,000 人以上のメンバー) を使用する場合、ターゲット設定に初期遅延が発生する可能性があります。 Microsoft Entra ID と Intune の間で初めてセットアップ プロセスが行われます。 最初の完全同期は、常に後続の増分同期よりも長くかかります。
グループを再利用する
| する | できません |
|---|---|
| ✅ 複数のポリシーを割り当てるために同じグループ オブジェクトを再利用します。 |
❌ 同じグループの重複コピーを作成して、異なるポリシーをターゲットにしないでください。 ❌ 専用の "アプリ グループ" または "ポリシー グループ" を作成しないでください。 |
Intune では、バックグラウンドで、Microsoft Entra グループ メンバーを各ユーザーとデバイスのメッセージを対象とする割り当てに変換します。 このプロセスは、グループ オブジェクトが同じ場合に高度に最適化されます。
たとえば、Intune のグループ化とターゲット設定は、"Engineering" ユーザー グループが 10 個のポリシーを対象としている場合に最適です。 エンジニアリング ユーザーが 10 個の異なるグループのメンバーであり、各グループが異なるポリシーに割り当てられている場合は、最適に機能しません。
このガイダンスを使用していないデザインがいくつか見られました。 たとえば、IT 管理者は "Install_Edge" グループを作成し、"Deploy_Edge_Config_Policy" グループを作成してから、各グループに同じデバイスを配置します。これはパフォーマンスには推奨されません。
同様で推奨されないパターンは、"アプリ グループ" を作成することです。 アプリ グループは、各アプリに複数の Microsoft Entra グループが作成されている場合です。 たとえば、Microsoft Edge アプリケーションを管理するために、管理者は次のグループを作成します。
- Edge_Required
- Edge_Available
- Edge_Uninstall
管理者は、これらのグループに個々のユーザーまたはデバイスを追加します。 これらのアプリ グループは、Intune がメンバーシップの更新プログラムをサブスクライブして監視する必要がある Microsoft Entra グループの数を大幅に増やします。これは効率が低くなります。 非効率的なグループ同期設計は、新しい割り当てを作成してデバイスに配信する速度に影響します。
グループの増分変更を行う
| する | できません |
|---|---|
| ✅ Microsoft Entra ID の大規模なグループの入れ子の変更には注意してください。 | ❌ 大規模なグループの入れ子に変更を一度に加えないでください。 |
Microsoft Entra ID の大規模なグループ メンバーシップの変更により、Intune でターゲット設定の変更がバーストされる可能性があります。 これらのバーストにより、環境内の他の割り当てのターゲット設定が遅延する可能性があります。
一連の管理者がグループを管理し、別のセットが Microsoft Entra ID を管理する場合は、Microsoft Entra ID の変更が Intune のターゲット設定に与える影響を伝える必要があります。
たとえば、Microsoft Entra 管理者が、Intune がターゲット設定に使用する既存のグループ内の新しい大きなグループを入れ子にした場合、Intune はすべてのグループとグループ メンバーシップの同期を開始します。 すべてのメンバーシップの処理にかかる時間は、Microsoft Entra ID で行われたグループ変更の数とサイズによって異なります。
この推奨事項は、グループが "未承認" である場合にも適用されます。 入れ子になったグループの詳細については、「 Microsoft Entra グループとグループ メンバーシップの管理」を参照してください。
フィルターを使用して含める/除外する
| する | できません |
|---|---|
| ✅ フィルターを使用して、ターゲット設定に適したユーザーとデバイスの組み合わせを実現します。 | ❌ [グループを含める] と [除外] を使用する場合は、ユーザー グループとデバイス グループを混在させないでください。 |
この推奨事項は、サポート ステートメントでもあります。 ユーザー グループへの割り当ての作成と、その割り当てからのデバイス グループの除外、またはその逆の作成は推奨またはサポートされていません。
この推奨事項は、動的グループのタイミング/待機時間特性が原因で存在します。 除外されたグループ のメンバーシップがすぐには発生しないため、デバイスがアプリまたはポリシーの割り当てを誤って受け取る場合があります。 詳細については、「 ポリシーとプロファイルの割り当て - サポート マトリックス」を参照してください。
混合除外の代わりに、ユーザー グループに割り当てることをお勧めします。 次に、フィルターを使用して、適切なデバイスを動的に含めるか除外します。
概要
Intune で割り当てを作成および管理する場合は、これらの推奨事項の一部を組み込みます。 グループまたは仮想グループを使用し、フィルターを適用してターゲット 範囲を絞り込みます。 ベスト プラクティスに留意してください。
- 独自のバージョンの "すべてのユーザー" または "すべてのデバイス" グループを作成しないでください。 Intune 仮想グループは、新しいユーザーまたはデバイスが環境に追加されたときに Microsoft Entra ID を同期する必要がないため、使用します。
- ターゲット設定を最適化するには、グループを可能な限り再利用します。
- Intune グループに大きな入れ子の変更を加える場合は注意してください。 Intune では、これらすべての変更を処理し、その変更の影響を受けるすべてのグループのすべてのメンバーに対する有効な変更を計算する必要があります。
- Intune では、混合グループの除外はサポートされていません。 そのため、フィルターを使用して、グループまたは仮想グループの割り当てに加えて、デバイスを動的に含めたり除外したりします。
関連記事
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示