Organizowanie użytkowników i urządzeń na potrzeby Microsoft Intune przy użyciu grup

Microsoft Intune używa grup zabezpieczeń z Tożsamość Microsoft Entra do różnych potrzeb organizacyjnych. Te potrzeby obejmują grupowanie użytkowników lub urządzeń według lokalizacji geograficznej, działu, cech sprzętu i innych. Aby obsługiwać korzystanie z grup Entra przez Intune, centrum administracyjne Intune obejmuje interfejs użytkownika Entra Groups ze wszystkimi jego funkcjami. Wszystkie grupy wyświetlane w usłudze Entra i nowe grupy, które może utworzyć administrator Intune, są widoczne w Intune, Entra i innych produktach, które współużytkują interfejs użytkownika Entra Groups, taki jak Microsoft 365.

Intune administratorzy używają dobrze zdefiniowanych grup podczas wdrażania zasad, wdrażania aplikacji i przypisywania uprawnień innych użytkowników administracyjnych, dzięki czemu mogą one pomóc w administrowaniu różnymi aspektami subskrypcji Intune.

W tym artykule skupiono się na używaniu centrum administracyjnego Intune do tworzenia grup do użycia z Intune, w tym szczegółów dotyczących uprawnień wymaganych do zarządzania tymi grupami i korzystania z nich w centrum administracyjnym.

Więcej informacji na temat grup Microsoft Entra można znaleźć w dokumentacji entry.

Kontrola dostępu oparta na rolach do pracy z grupami

Domyślnie wszystkie konta użytkowników Microsoft Entra mają uprawnienia do tworzenia i konfigurowania nowych grup bez przypisywania roli kontroli dostępu opartej na rolach (RBAC) entra. Uprawnienia te rozszerzają się w celu korzystania z węzła Grupy w centrum administracyjnym Intune.

Tylko użytkownik, który utworzył grupę, użytkownicy przypisani jako właściciel, oraz użytkownicy, którzy mają wystarczające uprawnienia rbac entra do zarządzania grupami Entra, mogą edytować właściwości grupy. Inni użytkownicy bez uprawnień do edytowania grupy mogą wyświetlać jej członkostwo, a jeśli zarządzają Intune, mogą przypisywać do grupy zasady Intune, aplikacje i przypisania ról.

Następująca Microsoft Entra wbudowana rola RBAC jest najmniej uprzywilejowaną wbudowaną rolą, która zawiera wystarczające uprawnienia do edytowania grup Entra utworzonych przez innych użytkowników i zarządzania nimi:

• Administrator grup — ta rola zapewnia uprawnienia wystarczające do dodawania i edytowania grup z poziomu centrów administracyjnych dla Microsoft Intune, Microsoft Entra i platformy Microsoft 365.

Podczas pracy z funkcją RBAC firma Microsoft zaleca stosowanie zasady najmniejszych uprawnień przy użyciu tylko kont, które mają minimalne wymagane uprawnienia do zadania, oraz ograniczenie użycia i przypisania uprzywilejowanych ról administracyjnych, takich jak administrator Intune.

Aby dowiedzieć się więcej na temat Microsoft Entra grup i dostępu do grupy, zobacz Informacje o grupach i prawach dostępu w dokumentacji usługi Entra.

Wymagania dotyczące grup używanych z Intune

Intune administratorzy powinni pamiętać o następujących aspektach grup Microsoft Entra podczas tworzenia nowych grup lub przypisywania ich do wdrożenia zasad lub ról administracyjnych.

Zabezpieczenia — grupy używane z Intune muszą być grupami, które są włączone dla zabezpieczeń. Zwykle wymaga to ustawienia typu grupy grup na wartość Zabezpieczenia podczas tworzenia grupy. Grupa zabezpieczeń obsługuje zarówno użytkowników, jak i urządzenia jako członków.

Domyślnie grupy platformy Microsoft 365 w Microsoft Entra nie są włączone w zabezpieczeniach, obsługują tylko użytkowników jako członków i nie są obsługiwane przez Intune. Program Microsoft Graph PowerShell umożliwia tworzenie grup platformy Microsoft 365 z obsługą zabezpieczeń, które Intune obsługuje, podobnie jak domyślne grupy platformy Microsoft 365, które mogą obejmować tylko użytkowników, a nie urządzenia.

Członkostwo — Intune obsługuje członkostwo w grupach Przypisane i Dynamiczne. Wybierz typ członkostwa w oparciu o sposób zarządzania członkostwem w grupie — ręcznie lub automatycznie na podstawie reguł. Aby na przykład przypisać wbudowaną rolę rbac Intune, taką jak Menedżer zabezpieczeń punktu końcowego, do użytkowników administracyjnych, użyj grupy z ręcznie przypisanymi członkami, aby ograniczyć liczbę osób, które otrzymują tę uprzywilejowaną rolę. Z drugiej strony, aby wdrożyć domyślny zestaw zasad konfiguracji urządzeń na wszystkich urządzeniach Windows 11, możesz użyć grupy, która dynamicznie dodaje członków na podstawie wersji systemu operacyjnego urządzeń. Użycie grupy dynamicznej może pomóc w zapewnieniu, że urządzenia zarejestrowane w Intune automatycznie otrzymają zamierzone zasady domyślne bez konieczności ręcznego dodawania urządzenia do grupy.

Grupy Intune Wszyscy użytkownicy i Wszystkie urządzenia

Oprócz grup Microsoft Entra, które można tworzyć i używać z Intune, Intune obejmuje dwie grupy wirtualne, które są dostępne tylko w kontekście Intune i z poziomu centrum administracyjnego Intune:

• Wszyscy użytkownicy — ta grupa automatycznie obejmuje każdego użytkownika, który ma licencję na Intune.
• Wszystkie urządzenia — ta grupa automatycznie obejmuje każde urządzenie zarejestrowane przy użyciu Intune.

Te grupy wirtualne umożliwiają łatwe kierowanie do wszystkich odpowiednich użytkowników lub urządzeń Intune zasad i przypisań, które powinny być szeroko stosowane.

Na przykład można wdrożyć zasady zgodności Intune we wszystkich grupach urządzeń, aby ustalić minimalny poziom wymagań dotyczących zgodności, który muszą spełniać wszystkie urządzenia w organizacji. Później można wdrożyć więcej wymagań w określonych grupach Entra, aby zastosować dodatkowe wymagania dotyczące określonych grup urządzeń lub użytkowników.

Porada

Rozważ użycie filtrów dla grup w Intune. Filtrów w ramach Intune można używać podczas przypisywania aplikacji, zasad i profilów w Microsoft Intune do dużych grup, takich jak Wszyscy użytkownicy i Wszystkie urządzenia. Filtry mogą pomóc w dynamicznym kontrolowaniu urządzeń lub użytkowników, którzy otrzymują wdrożenie. Aby uzyskać informacje na temat korzystania z filtrów, zobacz:

• Używanie filtrów podczas przypisywania aplikacji, zasad i profilów w usłudze Microsoft Intune
• Zalecenia dotyczące wydajności grupowania, określania wartości docelowych i filtrowania w dużych środowiskach Microsoft Intune

Dodawanie grup do Intune

Podczas tworzenia grupy w centrum administracyjnym Microsoft Intune tworzysz grupę w Tożsamość Microsoft Entra. Poniższa procedura zawiera podstawowe wskazówki dotyczące tworzenia grup w centrum administracyjnym Intune. Aby uzyskać bardziej szczegółowe informacje, zobacz następujące artykuły Microsoft Entra:

• Zarządzanie grupami Microsoft Entra i członkostwem w grupach
• Tworzenie podstawowej grupy i dodawanie członków przy użyciu Tożsamość Microsoft Entra
• Reguły członkostwa dynamicznego dla grup w Tożsamości Microsoft Entra

Aby utworzyć grupy w centrum administracyjnym Microsoft Intune:

1. Zaloguj się do centrum administracyjnego Microsoft Intune, a następnie wybierz pozycję Grupy>Nowa grupa:

   

2. Zostanie otwarte okienko Nowa grupa, które jest tym samym interfejsem, co w Microsoft Entra:

   

   Skonfiguruj następujące opcje dla nowej grupy:

   1. Ustaw wartość Typ grupy na Wartość zabezpieczeń.

   2. W polu Nazwa grupy określ znaczącą nazwę, która wyraźnie identyfikuje grupę. Ta nazwa jest widoczna dla użytkowników, którzy pracują z grupami w centrum administracyjnym.

   3. W polu Opis grupy, który jest opcjonalny, określ inne szczegóły dotyczące grupy, takie jak jej zamierzone użycie.

   4. W polu Typ członkostwa wybierz jedną z następujących opcji:

      • Przypisano — w przypadku tego typu członkostwa należy ręcznie dodać użytkowników do grupy, co można zrobić teraz lub później po utworzeniu grupy.

        Aby dodać użytkowników w tej chwili, znajdź i wybierz pozycję Brak wybranych członków , aby otworzyć okienko Dodaj członków .

        W okienku użyj karty Użytkownicy lub Urządzenia , gdzie możesz zaznaczyć pole wyboru obok każdego obiektu, który chcesz dodać do tej grupy.

        Możesz również wybrać kartę Grupy , jeśli chcesz zagnieżdżać grupę w tej grupie. Grupa, która zawiera grupę jako element członkowski, jest nazywana grupą nadrzędną. Zachowaj ostrożność podczas zagnieżdżania grup, ponieważ relacje członkostwa mogą nie być jasne dla administratorów, którzy później używają grupy nadrzędnej do przypisania. Wszelkie zmiany członkostwa wprowadzone w grupie zagnieżdżonej są automatycznie stosowane do efektywnego członkostwa w grupie nadrzędnej.

        Ważna

        Unikaj tworzenia grup obejmujących zarówno użytkowników, jak i urządzenia, ponieważ może to prowadzić do konfliktów zasad i nieprzewidywalnego zachowania podczas wdrożeń Intune.

        Porada

        Aby utworzyć grupy urządzeń, możesz użyć kategorii urządzeń do automatycznego dołączania urządzeń do grupy w momencie rejestracji w Intune.

      • Użytkownik dynamiczny — w przypadku tego typu członkostwa wybierz pozycję Dodaj zapytanie dynamiczne , a następnie skonfiguruj reguły członkostwa dynamicznego. Aby uzyskać wskazówki, zobacz Zarządzanie regułami dla dynamicznych grup członkostwa w Tożsamość Microsoft Entra.

        Ważna

        Aby korzystać z dynamicznych grup użytkowników, musisz mieć licencję Tożsamość Microsoft Entra P1 dla każdego użytkownika, który jest członkiem grupy dynamicznej.

      • Urządzenie dynamiczne — w przypadku tego typu członkostwa wybierz pozycję Dodaj zapytanie dynamiczne , a następnie skonfiguruj reguły członkostwa dynamicznego. Aby uzyskać wskazówki, zobacz Zarządzanie regułami dla dynamicznych grup członkostwa w Tożsamość Microsoft Entra.

        Porada

        Dla członków dynamicznych grup urządzeń nie jest wymagana żadna określona licencja Tożsamość Entra.

   5. Konfiguracja Właściciele jest opcjonalna. Domyślnie użytkownik tworzący grupę jest właścicielem. Aby dodać innych właścicieli, wybierz pozycję Nie wybrano właścicieli , a następnie kartę Użytkownicy , na której można wybrać co najmniej jednego użytkownika do dodania jako właścicieli tej grupy.

3. Wybierz pozycję Utwórz , aby dodać nową grupę. Grupa jest wyświetlana na liście.

Edytowanie grupy

Jako administrator Intune możesz edytować grupy, takie jak zmiana członków grupy, właściciela i właściwości.

Aby edytować istniejącą grupę, wykonaj następujące kroki:

1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.
2. Wybierz pozycję Grupy>Wszystkie grupy>wybierz nazwę grupy do edycji.
3. W obszarze Zarządzaj grupą menu wybierz obszar grupy do edycji, na przykład Właściwości, Członkowie lub Właściciele. Intune wyświetla interfejs użytkownika związany z tą opcją konfiguracji.

Usuwanie grupy

Jako administrator Intune możesz usuwać grupy, które nie są już potrzebne.

Aby usunąć istniejącą grupę, wykonaj następujące kroki:

1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.
2. Wybierz pozycję Grupy>Wszystkie grupy.
3. Zaznacz pole wyboru dla każdej grupy, którą chcesz usunąć, a następnie wybierz pozycję Usuń z opcji w górnej części widoku Wszystkie grupy . Alternatywnie możesz wybrać nazwę grupy, aby otworzyć stronę Przegląd pojedynczej grupy, a następnie wybrać pozycję Usuń* w górnej części tego widoku.

Porada

Po usunięciu grupy może upłynąć trochę czasu, zanim zostanie wyświetlona na liście Usunięte grupy .

Zawartość pokrewna

• Przypisywanie licencji użytkowników do Intune
• Przypisywanie ról Microsoft Intune do grup użytkowników na potrzeby kontroli dostępu opartej na rolach