Delen via


Prestatieaanbevelingen voor groeperen, targeten en filteren in grote Microsoft Intune-omgevingen

Wanneer u een beleid maakt, kunt u filters gebruiken om een beleid toe te wijzen op basis van regels die u maakt. U kunt filters toepassen op apparaten die zijn ingeschreven bij Intune en door Intune beheerde apps. Ga voor een overzicht van filters naar Filters gebruiken bij het toewijzen van uw apps, beleid en profielen in Microsoft Intune.

Wanneer u filters maakt, zijn er enkele aanbevelingen voor prestaties die u moet overwegen.

In dit artikel worden aanbevelingen beschreven voor het groeperen, targeten en filteren van uw beleid en apps in Intune. Het doel is om u te helpen bij het nemen van architectuur- en ontwerpbeslissingen voor Intune-implementaties in grote omgevingen.

Deze prestatieaanbeveling en de implementatie ervan kunnen verschillen en afhankelijk zijn van uw eigen omgeving & andere factoren, waaronder beheerbaarheid en eenvoud.

In dit artikel:

  • Een overzicht van intune-concepten voor groeperen en targeten
  • Prestatieaanbeveling ophalen

Voor hulp bij dynamische groepen gaat u naar Eenvoudigere, efficiëntere regels maken voor dynamische groepen in Microsoft Entra ID.

Overzicht van intune-concepten voor groeperen en targeten

Laten we eens kijken naar de functies voor groeperen, targeten en filteren die beschikbaar zijn in Intune.

Microsoft Entra-groepen

Intune maakt bijna uitsluitend gebruik van Microsoft Entra-groepen voor groepering en targeting. Wanneer u Groepen selecteert in het Microsoft Intune-beheercentrum, bekijkt u Microsoft Entra-groepen.

Schermopname van het Intune-beheercentrum, groepen en alle groepen in Microsoft Intune.

Microsoft Entra-groepen zijn een belangrijk onderdeel van Intune, omdat deze groepen het volgende zijn:

  • De objecten die worden gebruikt voor het toewijzen van apps, beleid en andere workloads aan gebruikers en apparaten
  • Wordt gebruikt om de apparaten te definiëren die beheerders kunnen weergeven en beheren in het Intune-beheercentrum, zoals bereikgroepen in op rollen gebaseerd toegangsbeheer (RBAC)

Virtuele groepen

De toewijzingen Alle gebruikers en Alle apparaten zijn virtuele Intune-groepen. Deze virtuele groepen zijn standaard beschikbaar in alle Intune-tenants en hebben geen beheeroverhead. U hoeft bijvoorbeeld geen Microsoft Entra ID-regels te maken of aan te passen om hun leden gevuld te houden.

De groepen Alle gebruikers en Alle apparaten zijn ook zeer schaalbaar en geoptimaliseerd, vooral omdat ze niet hoeven te worden gesynchroniseerd vanuit Microsoft Entra ID op dezelfde manier als andere groepen.

Filters

Nadat de app of het beleid is toegewezen aan een Microsoft Entra ID of virtuele groep, kunt u filters gebruiken om het toewijzingsbereik van deze apps en beleidsregels te beperken tot specifieke gebruikers- of apparaatgroepen.

Uw filter filtert apparaten in of uit die toewijzing op basis van apparaateigenschappen.

Schermopname van het Intune-beheercentrum, de Microsoft Entra-groepen, virtuele groepen en enkele filtereigenschappen in Microsoft Intune.

Filteren is een evaluatie van de toepasselijkheid met hoge prestaties en lage latentie bij het inchecken van het apparaat, zonder dat u het groepslidmaatschap vooraf hoeft te berekenen.

Prestatieaanbeveling

Deze sectie bevat enkele aanbevelingen die de prestaties kunnen verbeteren bij het toewijzen van uw beleid in Microsoft Intune.

Deze aanbevelingen zijn gericht op het verbeteren van de prestaties en het verminderen van latentie bij de toewijzing van workloads. Ze hebben de meeste impact bij het werken in grote Intune-omgevingen, zoals omgevingen met >100.000 apparaten. Deze aanbevelingen moeten worden overwogen met andere ontwerpaspecten, zoals beheerbaarheid, gebruiksgemak, op rollen gebaseerd beheer en eenvoud.

De ingebouwde virtuele groepen gebruiken

DOEN NIET DOEN
✅ Gebruik de virtuele groepen Alle gebruikers en Alle apparaten in plaats van uw eigen versie van alle gebruikers/alle apparaten te maken met behulp van dynamische Microsoft Entra-groepen. ❌ Maak niet uw eigen dynamische groepen 'Alle gebruikers' of 'Alle apparaten' voor beleid en app-targeting in Intune.

Het duurt langer voordat grotere groepen lidmaatschapsupdates synchroniseren tussen Microsoft Entra ID en Intune. Alle gebruikers en Alle apparaten zijn meestal de grootste groepen die u hebt. Als u Intune-workloads toewijst aan grote Microsoft Entra-groepen met veel gebruikers of apparaten, kunnen synchronisatieachterstanden optreden in uw Intune-omgeving. Deze achterstand is van invloed op beleid en app-implementaties, die langer duren om beheerde apparaten te bereiken.

De ingebouwde groepen Alle gebruikers en Alle apparaten zijn alleen Intune-groeperingsobjecten die niet bestaan in Microsoft Entra ID. Er is geen continue synchronisatie tussen Microsoft Entra ID en Intune. Het groepslidmaatschap is dus direct.

Opmerking

Ga naar Vernieuwingsintervallen voor Intune-beleid voor informatie over vernieuwingsintervallen voor Intune-check-inbeleid.

U kunt deze optimalisatie ook toepassen op andere grote en regelmatig veranderende groepen, zoals 'Alle Windows-apparaten' of 'alle iOS-apparaten'. In plaats van deze groepen te maken en te richten, gebruikt u de bestaande virtuele groepen 'Alle gebruikers' of 'Alle apparaten', omdat Intune-beleid en -toepassingen automatisch worden bepaald per platform.

Wanneer u zeer grote groepen in Intune gebruikt (meer dan 100.000 leden), verwacht u enige vertraging bij het richten. Er is een eerste keer dat het installatieproces plaatsvindt tussen Microsoft Entra ID en Intune. De eerste volledige synchronisatie duurt altijd langer dan volgende incrementele synchronisaties.

Groepen opnieuw gebruiken

DOEN NIET DOEN
✅ Gebruik dezelfde groepsobjecten opnieuw voor het toewijzen van meerdere beleidsregels. ❌ Maak geen dubbele kopieën van dezelfde groep om verschillende beleidsregels te gebruiken.

❌ Maak geen toegewezen app-groepen of beleidsgroepen.

Achter de schermen converteert Intune Microsoft Entra-groepsleden naar berichten die gericht zijn op toewijzingen voor elke gebruiker en elk apparaat. Dit proces is sterk geoptimaliseerd wanneer de groepsobjecten hetzelfde zijn.

Groeperen en targeten in Intune werkt bijvoorbeeld het beste wanneer de gebruikersgroep 'Engineering' is gericht op 10 beleidsregels. Dit werkt niet optimaal wanneer de technische gebruikers lid zijn van 10 verschillende groepen, waarbij elke groep is toegewezen aan een ander beleid.

We hebben gezien dat een aantal ontwerpen deze richtlijnen niet gebruiken. IT-beheerders maken bijvoorbeeld een 'Install_Edge'-groep, maken een 'Deploy_Edge_Config_Policy'-groep en plaatsen vervolgens dezelfde apparaten in elke groep, wat niet wordt aanbevolen voor prestaties.

Een vergelijkbaar en niet aanbevolen patroon is het maken van 'App-groepen'. Een app-groep is wanneer voor elke app meerdere Microsoft Entra-groepen zijn gemaakt. Als u bijvoorbeeld de Microsoft Edge-toepassing wilt beheren, maakt een beheerder de volgende groepen:

  • Edge_Required
  • Edge_Available
  • Edge_Uninstall

De beheerder voegt afzonderlijke gebruikers of apparaten toe aan deze groepen. Deze app-groepen verhogen het aantal Microsoft Entra-groepen waarop Intune zich moet abonneren en controleren op lidmaatschapsupdates aanzienlijk, wat minder efficiënt is. Inefficiënt ontwerp voor groepssynchronisatie is van invloed op hoe snel nieuwe toewijzingen worden gemaakt en geleverd aan apparaten.

Incrementele groepswijzigingen aanbrengen

DOEN NIET DOEN
✅ Wees voorzichtig met wijzigingen in het nesten van grote groepen in Microsoft Entra ID. ❌ Breng niet allemaal wijzigingen aan in het nesten van grote groepen.

Een grote wijziging van groepslidmaatschap in Microsoft Entra ID kan bursts van doelwijzigingen in Intune genereren. Deze bursts kunnen het targeten van andere toewijzingen in uw omgeving vertragen.

Als een set beheerders uw groepen beheert en een andere set Microsoft Entra ID beheert, moet u communiceren wat de impact is die wijzigingen in Microsoft Entra ID kunnen hebben op Intune-doelen.

Als een Microsoft Entra-beheerder bijvoorbeeld nieuwe grote groepen nest binnen een bestaande groep die Intune gebruikt voor targeting, begint Intune met het synchroniseren van alle groepen en groepslidmaatschappen. De tijd die nodig is om alle lidmaatschappen te verwerken, is afhankelijk van het aantal en de grootte van groepswijzigingen die zijn aangebracht in Microsoft Entra ID.

Deze aanbeveling is ook van toepassing wanneer groepen 'niet-toegewezen' zijn. Ga naar Microsoft Entra-groepen en groepslidmaatschap beheren voor meer informatie over geneste groepen.

Filters gebruiken om op te nemen en uit te sluiten

DOEN NIET DOEN
✅ Gebruik filters om de juiste combinatie van gebruiker en apparaat te bereiken voor targeting. ❌ Gebruik geen gebruikersgroepen en apparaatgroepen wanneer u groepen opnemen en Uitsluiten gebruikt.

Deze aanbeveling is ook een ondersteuningsverklaring. Het maken van toewijzingen voor gebruikersgroepen en het uitsluiten van een apparaatgroep van die toewijzing wordt niet aanbevolen of ondersteund, of omgekeerd.

Deze aanbeveling bestaat vanwege de timing/latentiekenmerken van dynamische groepen. Uitgesloten groepslidmaatschap is niet direct, wat kan leiden tot gevallen waarin apparaten ten onrechte app- of beleidstoewijzingen ontvangen. Ga voor meer informatie naar Beleid en profielen toewijzen - ondersteuningsmatrix.

In plaats van gemengde uitsluitingen wordt u aangeraden aan een gebruikersgroep toe te wijzen. Gebruik vervolgens filters om de juiste apparaten dynamisch op te nemen of uit te sluiten.

Samenvatting

Neem enkele van deze aanbevelingen op bij het maken en beheren van toewijzingen in Intune. Gebruik groepen of virtuele groepen en pas filters toe om het doelbereik te verfijnen. Houd rekening met de aanbevolen procedures:

  • Maak niet uw eigen versie van groepen 'Alle gebruikers' of 'Alle apparaten'. Gebruik de virtuele Intune-groepen, omdat ze geen Synchronisatie van Microsoft Entra ID vereisen wanneer een nieuwe gebruiker of een nieuw apparaat aan de omgeving wordt toegevoegd.
  • Als u uw doelen wilt optimaliseren, gebruikt u groepen zoveel mogelijk opnieuw.
  • Let op bij het aanbrengen van grote nestingswijzigingen in Intune-groepen. Intune moet al deze wijzigingen verwerken en effectieve wijzigingen berekenen voor alle leden van alle groepen die door die wijziging worden beïnvloed.
  • Intune biedt geen ondersteuning voor gemengde groepsuitsluitingen. Gebruik daarom filters om naast groeps- of virtuele groepstoewijzingen dynamisch apparaten op te nemen en uit te sluiten.