Udostępnij za pośrednictwem

Przypisywanie zasad w usłudze Microsoft Intune

  • Artykuł

Kiedy tworzysz zasady usługi Intune, zawierają one wszystkie ustawienia dodane i skonfigurowane w ramach tych zasad. Gdy zasady są gotowe do wdrożenia, następnym krokiem jest „przypisanie” ich do grup użytkowników lub urządzeń. Po przypisaniu zasad użytkownicy i urządzenia otrzymują te zasady, a wprowadzone przez Ciebie ustawienia są stosowane.

W usłudze Intune można tworzyć i przypisywać następujące zasady:

  • Zasady ochrony aplikacji
  • Zasady konfiguracji aplikacji
  • Zasady zgodności
  • Zasady dostępu warunkowego
  • Profile konfiguracji urządzeń
  • Zasady rejestracji

Ten artykuł zawiera między innymi opis sposobu przypisywania zasad, informacje dotyczące używania tagów zakresu oraz wyjaśnienie, kiedy należy przypisywać zasady do grup użytkowników lub urządzeń.

Przed rozpoczęciem

  • Upewnij się, że masz odpowiednią rolę, która umożliwia przypisywanie zasad i profilów. Aby uzyskać więcej informacji, zobacz Kontrola dostępu na podstawie ról (RBAC) w usłudze Microsoft Intune.

  • Rozważ użycie usługi Microsoft Copilot w usłudze Intune. Niektóre korzyści takiego rozwiązania są następujące:

    • Podczas tworzenia zasad i konfigurowania ustawień usługa Copilot udostępnia więcej informacji na temat każdego ustawienia, może zarekomendować wartość i znaleźć potencjalne konflikty.
    • Podczas przypisywania zasad usługa Copilot może wymienić grupy, do których przypisano zasady, a także pomóc w zrozumieniu wpływu tych zasad.

    Aby uzyskać więcej informacji, zobacz Funkcja Microsoft Copilot w usłudze Intune.

Przypisywanie zasad do użytkowników lub grup

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

  2. Wybierz kolejno pozycje Urządzenia>Zarządzanie urządzeniami>Konfiguracja. Zostaną wyświetlone wszystkie profile.

  3. Wybierz profil, który chcesz przypisać >Właściwości>Przypisania>Edytuj:

    Aby na przykład przypisać profil konfiguracji urządzenia:

    1. Wybierz kolejno pozycje Urządzenia>Zarządzanie urządzeniami>Konfiguracja. Zostaną wyświetlone wszystkie profile.

    2. Wybierz zasady, które chcesz przypisać >Właściwości>Przypisania>Edytuj:

      Zrzut ekranu przedstawiający sposób wybierania przypisań w celu wdrożenia profilu dla użytkowników i grup w usłudze Microsoft Intune.

  4. W obszarze Uwzględnione grupy lub Wykluczone grupy wybierz pozycję Dodaj grupy, aby wybrać co najmniej jedną grupę Microsoft Entra. Jeśli chcesz wdrożyć zasady na wszystkich dostępnych urządzeniach, wybierz pozycję Dodaj wszystkich użytkowników lub Dodaj wszystkie urządzenia.

    Uwaga

    Jeśli wybierzesz opcje „Wszystkie urządzenia” i „Wszyscy użytkownicy”, opcja dodania dodatkowych grup Microsoft Entra zostanie wyłączona.

  5. Kliknij pozycję Przejrzyj i zapisz. Ten krok nie powoduje przypisania zasad.

  6. Wybierz Zapisz. Zasady zostaną przypisane po zapisaniu. Grupy otrzymają ustawienia zasad, gdy urządzenia zostaną zaewidencjonowane w usłudze Intune.

Funkcje przypisania, które należy znać i których należy używać

Grupy użytkowników a grupy urządzeń

Wielu użytkowników pyta, kiedy stosować grupy użytkowników, a kiedy grupy urządzeń. Odpowiedź zależy od tego, jaki masz cel. Poniżej przedstawiono wskazówki ułatwiające rozpoczęcie pracy.

Grupy urządzeń

Jeśli chcesz zastosować ustawienia na urządzeniu niezależnie od tego, kto jest na nim zalogowany, przypisz zasady do grupy urządzeń. Ustawienia zastosowane dla grupy urządzeń zawsze są przypisywane do urządzenia, a nie do użytkownika.

Przykład:

  • Grupy urządzeń są przydatne do zarządzania urządzeniami, które nie mają dedykowanego użytkownika. Na przykład masz urządzenia, które drukują bilety, skanują zapasy, są współużytkowane przez pracowników zmianowych, są przypisane do określonego magazynu itd. Umieść te urządzenia w grupie urządzeń i przypisz zasady do tej grupy.

  • Tworzysz profil interfejsu konfiguracji oprogramowania układowego urządzenia (DFCI) w usłudze Intune, który aktualizuje ustawienia w systemie BIOS. Konfigurujesz te zasady na przykład po to, aby wyłączyć aparat urządzenia lub zablokować opcje rozruchu (aby uniemożliwić użytkownikom uruchamianie innego systemu operacyjnego). Takie zasady najlepiej przypisywać do grup urządzeń.

  • Na niektórych określonych urządzeniach z systemem Windows zawsze warto kontrolować niektóre ustawienia przeglądarki Microsoft Edge, niezależnie od tego, kto korzysta z urządzenia. Chcesz na przykład zablokować możliwość pobierania plików, ograniczyć wszystkie pliki cookie do bieżącej sesji przeglądania i usunąć historię przeglądania. W takiej sytuacji umieść te konkretne urządzenia z systemem Windows w grupie urządzeń. Następnie utwórz szablon administracyjny w usłudze Intune, dodaj te ustawienia urządzenia, a następnie przypisz te zasady do grupy urządzeń.

Podsumowując, używaj grup urządzeń, jeśli nie ma znaczenia, kto jest zalogowany na urządzeniu lub czy ktoś w ogóle jest zalogowany. Chcesz, aby ustawienia zawsze były na danym urządzeniu.

Grupy użytkowników

Ustawienia zasad zastosowane do grup użytkowników zawsze są przypisane do użytkownika i działają na wszystkich urządzeniach, na których dany użytkownik jest zalogowany. To normalne, że użytkownicy mają wiele urządzeń, na przykład Surface Pro w pracy i osobiste urządzenie z systemem iOS/iPadOS. Normalne jest także, że użytkownicy uzyskują dostęp do poczty e-mail i innych zasobów organizacji, korzystając z tych urządzeń.

Jeśli użytkownik ma wiele urządzeń działających na tej samej platformie, możesz użyć filtrów dla przypisania grupy. Na przykład użytkownik ma osobiste urządzenie z systemem iOS/iPadOS oraz służbowe urządzenie z systemem iOS/iPadOS. Przypisując zasady dla tego użytkownika, możesz użyć filtrów, aby wybrać tylko urządzenie należące do organizacji.

Postępuj zgodnie z następującą ogólną regułą: jeśli funkcja należy do użytkownika, na przykład poczta e-mail lub certyfikaty użytkownika, przypisz zasady do grup użytkowników.

Przykład:

  • Chcesz dodać ikonę pomocy technicznej dla wszystkich użytkowników na wszystkich urządzeniach. W takiej sytuacji umieść tych użytkowników w grupie i przypisz zasady dotyczące ikony pomocy technicznej do tej grupy użytkowników.

  • Użytkownik otrzymuje nowe urządzenie należące do organizacji. Użytkownik loguje się do urządzenia przy użyciu swojego konta domeny. Urządzenie jest automatycznie rejestrowane w usłudze Tożsamość Microsoft Entra i automatycznie zarządzane przez usługę Intune. Takie zasady najlepiej przypisywać do grup użytkowników.

  • Za każdym razem, gdy użytkownik loguje się na urządzeniu, chcesz kontrolować funkcje w aplikacjach takich jak OneDrive lub Office. W takiej sytuacji przypisz ustawienia zasad usługi OneDrive lub pakietu Office do grupy użytkowników.

    Możesz na przykład chcieć zablokować niezaufane kontrolki ActiveX w aplikacjach pakietu Office. Możesz utworzyć szablon administracyjny w usłudze Intune, skonfigurować to ustawienie, a następnie przypisać te zasady do grupy użytkowników.

Podsumowując, zastosuj grupy użytkowników, jeśli chcesz, aby ustawienia i reguły zawsze towarzyszyły użytkownikowi niezależnie od urządzenia, z którego korzysta.

Wiele sesji usługi Azure Virtual Desktop

Usługa Intune umożliwia zarządzanie pulpitami zdalnymi z wieloma sesjami systemu Windows utworzonymi za pomocą usługi Azure Virtual Desktop, podobnie jak w przypadku zarządzania każdym innym udostępnionym urządzeniem klienckim z systemem Windows. W przypadku przypisywania zasad do grup użytkowników lub urządzeń wiele sesji usługi Azure Virtual Desktop stanowi scenariusz specjalny. W przypadku maszyn wirtualnych dostawcy CSP urządzeń muszą być kierowani na grupy urządzeń. Dostawcy CSP użytkowników muszą być kierowani na grupy użytkowników.

Aby uzyskać więcej informacji, zobacz Pulpity zdalne z wieloma sesjami systemu Windows 10 lub Windows 11 Enterprise.

Dostawcy CSP systemu Windows i ich zachowanie

Ustawienia zasad dla urządzeń z systemem Windows są oparte na dostawcach usług konfiguracji (CSP). Te ustawienia są mapowane na klucze rejestru lub pliki na urządzeniach.

Oto co musisz wiedzieć na temat dostawców CSP systemu Windows:

  • Usługa Intune uwidacznia tych dostawców CSP, aby można było skonfigurować te ustawienia i przypisać je do urządzeń z systemem Windows. Te ustawienia można skonfigurować przy użyciu wbudowanych szablonów oraz katalogu ustawień. W katalogu ustawień można zauważyć, że niektóre ustawienia mają zastosowanie do zakresu użytkownika, a niektóre — do zakresu urządzenia.

    Aby uzyskać informacje o tym, jak ustawienia zakresu użytkownika i ustawienia zakresu urządzenia są stosowane do urządzeń z systemem Windows, zobacz Katalog ustawień: ustawienia zakresu urządzenia a ustawienia zakresu użytkownika.

  • Kiedy zasady są usuwane lub nie są już przypisane do urządzenia, mogą zdarzyć się różne rzeczy w zależności od ustawień w zasadach. Każdy dostawca CSP może obsługiwać usunięcie zasad inaczej.

    Na przykład ustawienie może zachować istniejącą wartość — wartość domyślna nie zostanie przywrócona. To zachowanie jest kontrolowane przez dostawców CSP. Aby uzyskać listę dostawców CSP systemu Windows, zobacz dokumentację dotyczącą dostawców usług konfiguracji.

    Aby zmienić wartość ustawienia na inną, utwórz nowe zasady, skonfiguruj ustawienie jako Nieskonfigurowane i przypisz zasady. Gdy zasady zostaną zastosowane do urządzenia, użytkownicy powinni mieć możliwość zmiany wartości ustawienia na dowolną.

  • Jeśli będziesz konfigurować te ustawienia, zalecamy wdrożenie ich najpierw w grupie pilotażowej. Aby uzyskać więcej porad dotyczących wdrażania usługi Intune, zobacz Tworzenie planu wdrożenia.

Wykluczanie grup z przypisania zasad

Zasady konfiguracji urządzeń w usłudze Intune umożliwiają dołączanie i wykluczanie grup z przypisywania zasad.

Oto najlepsze rozwiązania:

  • Twórz i przypisuj zasady konkretnie dla grup użytkowników. Użyj filtrów, aby dołączać lub wykluczać urządzenia tych użytkowników.
  • Twórz i przypisuj różne zasady konkretnie dla grup urządzeń.

Aby uzyskać więcej informacji na temat grup, zobacz Dodawanie grup w celu organizowania użytkowników i urządzeń.

Zasady uwzględniania i wykluczania grup

Przypisując zasady, stosuj następujące reguły ogólne:

  • Traktuj grupy uwzględnione i grupy wykluczone jako punkt wyjścia dla użytkowników i urządzeń, którzy otrzymają Twoje zasady. Grupa Microsoft Entra jest grupą ograniczającą, więc zastosuj najmniejszy możliwy zakres grupy. Użyj filtrów, aby ograniczyć lub uściślić przypisanie zasad.

  • Przypisane grupy Microsoft Entra, znane również jako grupy statyczne, można dodawać do grup uwzględnionych lub wykluczonych.

    Na ogół urządzenia są statycznie przypisywane do grupy Microsoft Entra, jeśli są wstępnie zarejestrowane w usłudze Tożsamość Microsoft Entra, na przykład jak w przypadku rozwiązania Windows Autopilot. Bądź jeśli chcesz połączyć urządzenia w celu jednorazowego wdrożenia ad hoc. W przeciwnym razie statyczne przypisywanie urządzeń do grupy Microsoft Entra może nie być praktyczne.

  • Dynamiczne grupy użytkowników usługi Microsoft Entra można dodawać do grup uwzględnionych lub wykluczonych.

  • Grupy wykluczone mogą być grupami z użytkownikami lub grupami z urządzeniami.

  • Dynamiczne grupy urządzeń usługi Microsoft Entra można dodawać do grup uwzględnionych. Jednak podczas wypełniania członkostwa w grupie dynamicznego może wystąpić opóźnienie. W scenariuszach wrażliwych na opóźnienia użyj filtrów, aby wyodrębnić konkretne urządzenia, i przypisz zasady do grup użytkowników.

    Chcesz na przykład, aby zasady były przypisywane do urządzeń natychmiast po ich zarejestrowaniu. W tej sytuacji wrażliwej na opóźnienia utwórz filtr, aby wyodrębnić wybrane urządzenia, i przypisz zasady z tym filtrem do grup użytkowników. Nie przypisuj do grup urządzeń.

    W scenariuszu bez użytkowników utwórz filtr, aby wyodrębnić wybrane urządzenia, i przypisz zasady z tym filtrem do grupy „Wszystkie urządzenia”.

  • Unikaj dodawania dynamicznych grup urządzeń usługi Microsoft Entra do grup wykluczonych. Opóźnienie w obliczaniu dynamicznej grupy urządzeń podczas rejestracji może powodować niepożądane wyniki. Na przykład niechciane aplikacje i zasady mogą zostać wdrożone przed wypełnieniem członkostwa w grupie wykluczonej.

Macierz obsługi

Skorzystaj z następującej macierzy, aby zrozumieć, jak są obsługiwane grupy wykluczone:

  • ✔️: Obsługiwane
  • ❌: Nieobsługiwane
  • ❕ : Częściowo obsługiwane

Zrzut ekranu przedstawiający obsługiwane opcje uwzględniania lub wykluczania grup z przypisania zasad.

Scenariusz Pomoc techniczna
1 ❕ Częściowo obsługiwane

Przypisywanie zasad do dynamicznej grupy urządzeń z wykluczeniem innej dynamicznej grupy urządzeń jest obsługiwane. Nie jest to jednak zalecane w scenariuszach, które są wrażliwe na opóźnienia. Każde opóźnienie w obliczaniu członkostwa w grupie wykluczonej może spowodować, że zasady będą oferowane urządzeniom. W tym scenariuszu zalecamy wykluczanie urządzeń przy użyciu filtrów, a nie przy użyciu dynamicznych grup urządzeń.

Załóżmy na przykład, że masz zasady urządzenia, które są przypisane do grupy Wszystkie urządzenia. Później musisz spełnić wymaganie, aby nowe urządzenia marketingowe nie otrzymywały tych zasad. Tworzysz więc dynamiczną grupę urządzeń o nazwie Urządzenia marketingowe na podstawie właściwości enrollmentProfilename (device.enrollmentProfileName -eq "Marketing_devices"). W zasadach dodajesz grupę dynamiczną Urządzenia marketingowe jako grupę wykluczoną.

Nowe urządzenie marketingowe jest rejestrowane w usłudze Intune po raz pierwszy i jest tworzony nowy obiekt urządzenia usługi Microsoft Entra. Proces grupowania dynamicznego umieszcza to urządzenie w grupie Urządzenia marketingowe z możliwym opóźnionym obliczeniem. Jednocześnie urządzenie jest rejestrowane w usłudze Intune i zaczyna odbierać wszystkie odpowiednie zasady. Zasady usługi Intune mogą zostać wdrożone zanim urządzenie zostanie umieszczone w grupie wykluczeń. To zachowanie powoduje wdrożenie niechcianych zasad (lub aplikacji) w grupie Urządzenia marketingowe.

W związku z tym nie zaleca się używania dynamicznych grup urządzeń do obsługi wykluczeń w scenariuszach wrażliwych na opóźnienia. Zamiast tego lepiej użyć filtrów.
2 ✔️ Obsługiwane

Przypisywanie zasad do dynamicznej grupy urządzeń z jednoczesnym wykluczeniem statycznej grupy urządzeń jest obsługiwane.
3 ❌ Nieobsługiwane

Przypisywanie zasad do dynamicznej grupy urządzeń z jednoczesnym wykluczeniem grup użytkowników (zarówno dynamicznych, jak i statycznych) nie jest obsługiwane. Usługa Intune nie ocenia relacji między użytkownikami i grupami urządzeń, a urządzenia uwzględnionych użytkowników nie są wykluczane.
4 ❌ Nieobsługiwane

Przypisywanie zasad do dynamicznej grupy urządzeń i wykluczanie grup użytkowników (zarówno dynamicznych, jak i statycznych) nie jest obsługiwane. Usługa Intune nie ocenia relacji między użytkownikami i grupami urządzeń, a urządzenia uwzględnionych użytkowników nie są wykluczane.
5 ❕ Częściowo obsługiwane

Przypisywanie zasad do statycznej grupy urządzeń z jednoczesnym wykluczeniem dynamicznej grupy urządzeń jest obsługiwane. Nie jest to jednak zalecane w scenariuszach, które są wrażliwe na opóźnienia. Każde opóźnienie w obliczaniu członkostwa w grupie wykluczonej może spowodować, że zasady będą oferowane urządzeniom. W tym scenariuszu zalecamy wykluczanie urządzeń przy użyciu filtrów, a nie przy użyciu dynamicznych grup urządzeń.
6 ✔️ Obsługiwane

Przypisywanie zasad do statycznej grupy urządzeń i wykluczanie innej statycznej grupy urządzeń jest obsługiwane.
7 ❌ Nieobsługiwane

Przypisywanie zasad do statycznej grupy urządzeń i wykluczanie grup użytkowników (zarówno dynamicznych, jak i statycznych) nie jest obsługiwane. Usługa Intune nie ocenia relacji między użytkownikami i grupami urządzeń, a urządzenia uwzględnionych użytkowników nie są wykluczane.
8 ❌ Nieobsługiwane

Przypisywanie zasad do statycznej grupy urządzeń i wykluczanie grup użytkowników (zarówno dynamicznych, jak i statycznych) nie jest obsługiwane. Usługa Intune nie ocenia relacji między użytkownikami i grupami urządzeń, a urządzenia uwzględnionych użytkowników nie są wykluczane.
9 ❌ Nieobsługiwane

Przypisywanie zasad do dynamicznej grupy użytkowników i wykluczanie grup urządzeń (zarówno dynamicznych, jak i statycznych) nie jest obsługiwane.
10 ❌ Nieobsługiwane

Przypisywanie zasad do dynamicznej grupy użytkowników i wykluczanie grup urządzeń (zarówno dynamicznych, jak i statycznych) nie jest obsługiwane.
11 ✔️ Obsługiwane

Przypisywanie zasad do dynamicznej grupy użytkowników z jednoczesnym wykluczeniem innych grup użytkowników (zarówno dynamicznych, jak i statycznych) jest obsługiwane.
12 ✔️ Obsługiwane

Przypisywanie zasad do dynamicznej grupy użytkowników z jednoczesnym wykluczeniem innych grup użytkowników (zarówno dynamicznych, jak i statycznych) jest obsługiwane.
13 ❌ Nieobsługiwane

Przypisywanie zasad do statycznej grupy użytkowników z jednoczesnym wykluczeniem grup urządzeń (zarówno dynamicznych, jak i statycznych) nie jest obsługiwane.
14 ❌ Nieobsługiwane

Przypisywanie zasad do statycznej grupy użytkowników z jednoczesnym wykluczeniem grup urządzeń (zarówno dynamicznych, jak i statycznych) nie jest obsługiwane.
15 ✔️ Obsługiwane

Przypisywanie zasad do statycznej grupy użytkowników z jednoczesnym wykluczeniem innych grup użytkowników (zarówno dynamicznych, jak i statycznych) jest obsługiwane.
16 ✔️ Obsługiwane

Przypisywanie zasad do statycznej grupy użytkowników z jednoczesnym wykluczeniem innych grup użytkowników (zarówno dynamicznych, jak i statycznych) jest obsługiwane.

Następne kroki

Aby uzyskać wskazówki dotyczące monitorowania zasad oraz urządzeń z uruchomionymi zasadami, zobacz Monitorowanie profilów urządzeń.