大規模なMicrosoft Intune環境でのグループ化、ターゲット設定、フィルター処理のパフォーマンスに関する推奨事項
この記事では、Intune のグループ化、ターゲット設定、およびポリシーとアプリのフィルター処理に関する推奨事項の一覧と説明を行います。 目標は、大規模な環境での Intune 展開のアーキテクチャと設計の決定を支援することです。
これらのパフォーマンスに関する推奨事項とその実装は異なる場合があり、管理性やシンプルさなど、独自の環境 & 他の要因に依存します。
この記事の内容:
- Intune のグループ化とターゲット設定の概念の概要を確認する
- パフォーマンスに関するいくつかの推奨事項を取得する
フィルターの詳細と概要については、「Microsoft Intuneでアプリ、ポリシー、プロファイルを割り当てるときにフィルターを使用する」を参照してください。
動的グループに関するガイダンスについては、「Microsoft Entra ID で動的グループのよりシンプルで効率的なルールを作成する」を参照してください。
Intune のグループ化とターゲット設定の概念の概要
推奨事項に進む前に、Intune で使用できるグループ化、ターゲット設定、フィルター処理の機能を確認しましょう。
Microsoft Entra グループ
Intune では、グループ化とターゲット設定にMicrosoft Entra グループがほぼ排他的に使用されます。 Microsoft Intune管理センターで [グループ] を選択すると、Microsoft Entra グループが表示されます。
Microsoft Entra グループは Intune の重要な部分です。これらのグループは次のとおりです。
- アプリ、ポリシー、およびその他のワークロードをユーザーとデバイスに割り当てるために使用されるオブジェクト。
- 役割ベースのアクセス制御 (RBAC) のスコープ グループなど、管理者が Intune 管理センターで表示および管理できるデバイスを定義するために使用されます。
仮想グループ
すべてのユーザーとすべてのデバイスの割り当ては、Intune の "仮想" グループです。 これらの仮想グループは、すべての Intune テナントで既定で使用でき、管理オーバーヘッドはありません。 たとえば、メンバーの設定を維持するために、Microsoft Entra ID ルールを作成または調整する必要はありません。
[すべてのユーザー] グループと [すべてのデバイス] グループも、他のグループと同じ方法でMicrosoft Entra ID から同期する必要がないため、高度にスケーラブルで最適化されています。
フィルター
アプリまたはポリシーがMicrosoft Entra ID または仮想グループに割り当てられた後、フィルターを使用して、これらのアプリとポリシーの割り当てスコープを特定のユーザーまたはデバイス グループに絞り込むことができます。
フィルターは、デバイスのプロパティに基づいて、その割り当てのデバイスをフィルター処理 (または除外) します。
フィルター処理は、グループ メンバーシップを事前に計算することなく、デバイス チェックインでの高パフォーマンス、低待機時間の適用性評価です。
パフォーマンスに関する推奨事項
このセクションには、Microsoft Intuneでポリシーを割り当てるときにパフォーマンスを向上させる推奨事項がいくつか含まれています。
これらの推奨事項は、パフォーマンスの向上とワークロード割り当ての待機時間の短縮に焦点を当てています。 100,000 台のデバイスを持つ環境など、大規模な Intune 環境で >作業する場合に最も影響を与えます。 これらの推奨事項は、管理容易性、使いやすさ、ロールベースの管理、シンプルさなど、他の設計面で考慮する必要があります。
仮想グループを使用する
| DO | できません |
|---|---|
| ✔️ 動的グループを使用して、すべてのユーザー/すべてのデバイスの独自のバージョンを作成する代わりに、[すべてのユーザー] と [すべてのデバイス] 仮想グループMicrosoft Entra使用します。 | ❌ Intune でポリシーとアプリを対象とする独自の "すべてのユーザー" または "すべてのデバイス" 動的グループを作成しないでください。 |
グループが大きいと、Microsoft Entra ID と Intune の間でメンバーシップの更新が同期されるまでに時間がかかります。 通常、"すべてのユーザー" と "すべてのデバイス" は、持っている最大のグループです。 多数のユーザーまたはデバイスを持つ大規模なMicrosoft Entra グループに Intune ワークロードを割り当てると、Intune 環境で同期バックログが発生する可能性があります。 このバックログは、ポリシーとアプリのデプロイに影響します。これは、マネージド デバイスに到達するまでに時間がかかります。
組み込みの [すべてのユーザー] グループと [すべてのデバイス] グループは、Microsoft Entra ID に存在しない Intune 専用のグループ化オブジェクトです。 Microsoft Entra ID と Intune の間に継続的な同期はありません。 そのため、グループ メンバーシップは即座に行えます。
注:
Intune チェックポリシー更新間隔の詳細については、「Intune ポリシーの更新間隔」を参照してください。
また、この最適化は、"すべての Windows デバイス" や "すべての iOS デバイス" など、頻繁に変化する他のグループにも適用できます。 これらのグループを作成してターゲット設定する代わりに、Intune ポリシーとアプリケーションのスコープがプラットフォームによって既に設定されているため、既存の "すべてのユーザー" または "すべてのデバイス" 仮想グループを使用できます。
Intune で非常に大規模なグループ (100,000 人以上のメンバー) を使用する場合、ターゲット設定に初期遅延が発生する可能性があります。 Microsoft Entra ID と Intune の間で行われる初めてのセットアップ プロセスがあります。 最初の完全同期は、常に後続の増分同期よりも長くかかります。
グループを再利用する
| DO | できません |
|---|---|
| ✔️ 複数のポリシーを割り当てるために同じグループ オブジェクトを再利用します。 | ❌ 同じグループの重複コピーを作成して、異なるポリシーをターゲットにしないでください。 ❌ 専用の "アプリ グループ" または "ポリシー グループ" を作成しないでください。 |
Intune では、バックグラウンドで、グループ メンバー Microsoft Entra各ユーザーとデバイスのメッセージをターゲットとする割り当てに変換します。 このプロセスは、グループ オブジェクトが同じ場合に高度に最適化されます。
たとえば、Intune のグループ化とターゲット設定は、"Engineering" ユーザー グループが 10 個のポリシーを対象としている場合に最適です。 エンジニアリング ユーザーが 10 個の異なるグループのメンバーであり、それぞれが異なるポリシーに割り当てられている場合は、最適に機能しません。
このガイダンスに反するデザインをいくつか見てきました。 たとえば、IT 管理者は "Install_Edge" グループを作成し、"Deploy_Edge_Config_Policy" グループを作成してから、各グループに同じデバイスを配置します。
同様で推奨されないパターンは、"アプリ グループ" を作成することです。 アプリ グループは、各アプリに複数のMicrosoft Entra グループが作成されている場合です。 たとえば、Edge アプリケーションを管理するために、管理者は次のグループを作成します。
- Edge_Required
- Edge_Available
- Edge_Uninstall
管理者は、これらのグループに個々のユーザーまたはデバイスを追加します。 これらのアプリ グループは、Intune がメンバーシップの更新プログラムをサブスクライブして監視する必要があるMicrosoft Entra グループの数を大幅に増やします。これは効率が低くなります。 非効率的なグループ同期設計は、新しい割り当てを作成してデバイスに配信する速度に影響します。
グループの増分変更を行う
| DO | できません |
|---|---|
| ✔️ Microsoft Entra ID の大きなグループの入れ子の変更には注意してください。 | ❌ 大規模なグループの入れ子に変更を一度に加えないでください。 |
Microsoft Entra ID の大規模なグループ メンバーシップの変更により、Intune でターゲット設定の変更がバーストされる可能性があります。 これらのバーストにより、環境内の他の割り当てのターゲット設定が遅延する可能性があります。
グループが、Microsoft Entra ID を管理する管理者とは異なる管理者によって管理されている場合は、ID の変更が Intune ターゲットに与える影響Microsoft Entra伝える必要があります。
たとえば、Microsoft Entra管理者が、Intune がターゲット設定に使用する既存のグループ内の新しい大きなグループを入れ子にした場合、Intune はすべてのグループとグループ メンバーシップの同期を開始します。 すべてのメンバーシップの処理にかかる時間は、Microsoft Entra ID で行われたグループの変更の数とサイズによって異なります。
この推奨事項は、グループが "未承認" である場合にも適用されます。 入れ子になったグループの詳細については、「Microsoft Entra グループとグループ メンバーシップの管理」を参照してください。
フィルターを使用して含める/除外する
| DO | できません |
|---|---|
| ✔️ フィルターを使用して、ターゲット設定に適したユーザーとデバイスの組み合わせを実現します。 | ❌ [グループを含める] と [除外] を使用する場合は、ユーザー グループとデバイス グループを混在させないでください。 |
この推奨事項は、サポート ステートメントでもあります。 ユーザー グループへの割り当ての作成と、その割り当てからのデバイス グループの除外、またはその逆の作成は推奨またはサポートされていません。
この推奨事項は、動的グループのタイミング/待機時間特性が原因で存在します。 除外されたグループ のメンバーシップがすぐには発生しないため、デバイスがアプリまたはポリシーの割り当てを誤って受け取る場合があります。 詳細については、 ポリシーとプロファイルの割り当て - サポート マトリックスに関するページを参照してください。
混合除外の代わりに、ユーザー グループに割り当てることをお勧めします。 次に、フィルターを使用して、適切なデバイスを動的に含めるか除外します。
概要
Intune で割り当てを作成および管理する場合は、これらの推奨事項の一部を組み込みます。 グループまたは仮想グループを使用し、フィルターを適用してターゲット 範囲を絞り込みます。 ベスト プラクティスに留意してください。
- 独自のバージョンの "すべてのユーザー" または "すべてのデバイス" グループを作成しないでください。 Intune 仮想グループは、新しいユーザーまたはデバイスが環境に追加されたときにMicrosoft Entra ID の同期を必要としないため、使用します。
- ターゲット設定を最適化するには、グループを可能な限り再利用します。
- Intune グループに大きな入れ子の変更を加える場合は注意してください。 Intune では、これらすべての変更を処理し、その変更の影響を受けるすべてのグループのすべてのメンバーに対する有効な変更を計算する必要があります。
- Intune では、混合グループの除外はサポートされていません。 そのため、フィルターを使用して、グループまたは仮想グループの割り当てに加えて、デバイスを動的に含めたり除外したりします。
次の手順
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示