Zalecenia dotyczące wydajności grupowania, określania wartości docelowych i filtrowania w dużych środowiskach Microsoft Intune
W tym artykule wymieniono i opisano zalecenia dotyczące grupowania, określania wartości docelowych i filtrowania w usłudze Intune dla zasad i aplikacji. Celem jest ułatwienie podejmowania decyzji dotyczących architektury i projektowania wdrożeń usługi Intune w dużych środowiskach.
Te zalecenia dotyczące wydajności i ich implementacja mogą być różne i zależą od własnego środowiska & innych czynników, w tym możliwości zarządzania i prostoty.
W tym artykule:
- Omówienie pojęć związanych z grupowaniem i określaniem wartości docelowej usługi Intune
- Uzyskiwanie pewnych zaleceń dotyczących wydajności
Aby uzyskać więcej informacji i omówienie filtrów, przejdź do tematu Używanie filtrów podczas przypisywania aplikacji, zasad i profilów w Microsoft Intune.
Aby uzyskać wskazówki dotyczące grup dynamicznych, zobacz Tworzenie prostszych i wydajniejszych reguł dla grup dynamicznych w Microsoft Entra identyfikatorze.
Omówienie pojęć dotyczących grupowania i określania wartości docelowej usługi Intune
Przed wprowadzeniem do zaleceń przejrzyjmy funkcje grupowania, określania wartości docelowej i filtrowania dostępne w usłudze Intune.
grupy Microsoft Entra
Usługa Intune używa niemal wyłącznie grup Microsoft Entra do grupowania i określania wartości docelowej. Po wybraniu pozycji Grupy w centrum administracyjnym Microsoft Intune przyjrzysz się grupom Microsoft Entra.
Microsoft Entra grupy są ważną częścią usługi Intune, ponieważ są to następujące grupy:
- Obiekty używane do przypisywania aplikacji, zasad i innych obciążeń do użytkowników i urządzeń.
- Służy do definiowania urządzeń, które administratorzy mogą wyświetlać i zarządzać w centrum administracyjnym usługi Intune, takich jak grupy zakresów w kontroli dostępu opartej na rolach (RBAC).
Grupy wirtualne
Przypisania Wszyscy użytkownicy i Wszystkie urządzenia to grupy "wirtualne" usługi Intune. Te grupy wirtualne są domyślnie dostępne we wszystkich dzierżawach usługi Intune i nie mają żadnego obciążenia związanego z zarządzaniem. Na przykład nie trzeba tworzyć ani dostosowywać żadnych reguł identyfikatorów Microsoft Entra, aby ich elementy członkowskie były wypełniane.
Grupy Wszyscy użytkownicy i Wszystkie urządzenia są również wysoce skalowalne i zoptymalizowane, głównie dlatego, że nie muszą być synchronizowane z identyfikatorem Microsoft Entra w taki sam sposób, jak inne grupy.
Filtry
Po przypisaniu aplikacji lub zasad do Microsoft Entra identyfikatora lub grupy wirtualnej możesz użyć filtrów, aby zawęzić zakres przypisań tych aplikacji i zasad do określonych grup użytkowników lub urządzeń.
Filtr filtruje urządzenia w (lub na zewnątrz) tego przypisania na podstawie właściwości urządzenia.
Filtrowanie to ocena stosowania o wysokiej wydajności i małych opóźnieniach podczas ewidencjonowania urządzenia bez konieczności wstępnego kompilowania członkostwa w grupie.
Zalecenia dotyczące wydajności
Ta sekcja zawiera kilka zaleceń, które mogą zwiększyć wydajność podczas przypisywania zasad w Microsoft Intune.
Te zalecenia koncentrują się na poprawie wydajności i zmniejszeniu opóźnienia w przypisywaniu obciążenia. Mają one największy wpływ podczas pracy w dużych środowiskach usługi Intune, takich jak środowiska z >100 000 urządzeń. Zalecenia te powinny być uwzględniane w innych aspektach projektowania, takich jak łatwość zarządzania, łatwość użycia, administracja oparta na rolach i prostota.
Korzystanie z grup wirtualnych
| ZROBIĆ | NIE |
|---|---|
| ✔️ Użyj grup wirtualnych Wszyscy użytkownicy i Wszystkie urządzenia zamiast tworzyć własną wersję wszystkich użytkowników/wszystkich urządzeń przy użyciu Microsoft Entra grup dynamicznych. | ❌ Nie twórz własnych grup dynamicznych "Wszyscy użytkownicy" ani "Wszystkie urządzenia" dla zasad i aplikacji docelowych w usłudze Intune. |
Synchronizacja aktualizacji członkostwa między Microsoft Entra identyfikatorem i usługą Intune trwa dłużej. "Wszyscy użytkownicy" i "Wszystkie urządzenia" są zwykle największymi grupami, które masz. Jeśli przypiszesz obciążenia usługi Intune do dużych grup Microsoft Entra, które mają wielu użytkowników lub urządzenia, w środowisku usługi Intune mogą wystąpić listy prac synchronizacji. Ta listę prac ma wpływ na wdrożenia zasad i aplikacji, które mogą trwać dłużej, aby dotrzeć do zarządzanych urządzeń.
Wbudowane grupy Wszyscy użytkownicy i Wszystkie urządzenia to obiekty grupujące tylko w usłudze Intune, które nie istnieją w Microsoft Entra identyfikatorze. Nie ma ciągłej synchronizacji między identyfikatorem Microsoft Entra a usługą Intune. Dlatego członkostwo w grupie jest natychmiastowe.
Uwaga
Aby uzyskać informacje na temat interwałów odświeżania zasad ewidencjonowania w usłudze Intune, przejdź do tematu Interwały odświeżania zasad usługi Intune.
Tę optymalizację można również zastosować do innych dużych i często zmieniających się grup, takich jak "Wszystkie urządzenia z systemem Windows" lub "wszystkie urządzenia z systemem iOS". Zamiast tworzyć i kierować te grupy, można użyć istniejących grup wirtualnych "Wszyscy użytkownicy" lub "Wszystkie urządzenia", ponieważ zasady i aplikacje usługi Intune są już objęte zakresem według platformy.
W przypadku korzystania z bardzo dużych grup w usłudze Intune (ponad 100 000 członków) należy spodziewać się początkowego opóźnienia w określaniu wartości docelowej. Proces konfiguracji odbywa się po raz pierwszy między Microsoft Entra identyfikatorem a usługą Intune. Pierwsza pełna synchronizacja zawsze trwa dłużej niż kolejne synchronizacje przyrostowe.
Ponowne używanie grup
| ZROBIĆ | NIE |
|---|---|
| ✔️ Użyj ponownie tych samych obiektów grupy, aby przypisać wiele zasad. | ❌ Nie twórz zduplikowanych kopii tej samej grupy w celu kierowania różnych zasad. ❌ Nie twórz dedykowanych "grup aplikacji" ani "grup zasad". |
W tle usługa Intune konwertuje Microsoft Entra członków grupy na komunikaty docelowe przypisywania dla każdego użytkownika i urządzenia. Ten proces jest wysoce zoptymalizowany, gdy obiekty grupy są takie same.
Na przykład grupowanie i określanie wartości docelowej usługi Intune działa najlepiej, gdy grupa użytkowników "Engineering" jest objęta 10 zasadami. Nie działa to najlepiej, gdy użytkownicy inżynieryjni są członkami 10 różnych grup, z których każda jest przypisana do innych zasad.
Widzieliśmy kilka projektów, które odpierają te wskazówki. Na przykład administratorzy IT tworzą grupę "Install_Edge", tworzą grupę "Deploy_Edge_Config_Policy", a następnie umieszczają te same urządzenia w każdej grupie.
Podobny i niezalecany wzorzec to tworzenie "grup aplikacji". Grupa aplikacji jest wtedy, gdy każda aplikacja ma kilka Microsoft Entra grup utworzonych dla niej. Aby na przykład zarządzać aplikacją edge, administrator tworzy następujące grupy:
- Edge_Required
- Edge_Available
- Edge_Uninstall
Administrator dodaje poszczególnych użytkowników lub urządzenia do tych grup. Te grupy aplikacji znacznie zwiększają liczbę grup Microsoft Entra, które usługa Intune musi subskrybować i monitorować pod kątem aktualizacji członkostwa, co jest mniej wydajne. Nieefektywny projekt synchronizacji grup wpływa na szybkość tworzenia i dostarczania nowych przypisań do urządzeń.
Wprowadzanie zmian w grupie przyrostowej
| ZROBIĆ | NIE |
|---|---|
| ✔️ Należy zachować ostrożność w przypadku zmian zagnieżdżania dużych grup w identyfikatorze Microsoft Entra. | ❌ Nie wprowadzaj zmian zagnieżdżania dużych grup jednocześnie. |
Duża zmiana członkostwa w grupie w identyfikatorze Microsoft Entra może generować wzrosty wartości docelowych zmian w usłudze Intune. Te wybuchy mogą opóźnić określanie wartości docelowej innych przypisań w środowisku.
Jeśli grupy są zarządzane przez inny zestaw administratorów niż administratorzy, którzy zarządzają identyfikatorem Microsoft Entra, należy poinformować o wpływie, jaki Microsoft Entra zmiany identyfikatorów mogą mieć na określanie wartości docelowej usługi Intune.
Jeśli na przykład administrator Microsoft Entra zagnieżdża nowe duże grupy w istniejącej grupie używanej przez usługę Intune do określania wartości docelowej, usługa Intune rozpocznie synchronizowanie wszystkich grup i członkostw w grupach. Czas potrzebny do przetworzenia wszystkich członkostw zależy od liczby i rozmiaru zmian w grupie wprowadzonych w identyfikatorze Microsoft Entra.
To zalecenie ma również zastosowanie, gdy grupy są "niepotrzebne". Aby uzyskać więcej informacji na temat grup zagnieżdżonych, przejdź do tematu Zarządzanie grupami Microsoft Entra i członkostwem w grupach.
Używanie filtrów do dołączania i wykluczania
| ZROBIĆ | NIE |
|---|---|
| ✔️ Użyj filtrów, aby uzyskać poprawną kombinację użytkowników i urządzeń do określania wartości docelowej. | ❌ Nie mieszaj grup użytkowników i grup urządzeń podczas korzystania z grup Dołączanie i wykluczanie. |
To zalecenie jest również instrukcją pomocy technicznej. Nie zalecamy ani nie obsługujemy tworzenia przypisań do grup użytkowników i wykluczania grupy urządzeń z tego przypisania lub odwrotnie.
To zalecenie istnieje ze względu na charakterystykę chronometrażu/opóźnienia grup dynamicznych. Wykluczone członkostwo w grupach nie jest natychmiastowe, co może spowodować, że urządzenia niepoprawnie odbierają przypisania aplikacji lub zasad. Aby dowiedzieć się więcej, przejdź do macierzy Przypisywanie zasad i profilów — obsługa.
Zamiast mieszanych wykluczeń zalecamy przypisanie do grupy użytkowników. Następnie użyj filtrów, aby dynamicznie dołączać lub wykluczać odpowiednie urządzenia.
Podsumowanie
Podczas tworzenia przypisań i zarządzania nimi w usłudze Intune należy uwzględnić niektóre z tych zaleceń. Użyj grup lub grup wirtualnych i zastosuj filtry, aby ułatwić uściślanie zakresu określania wartości docelowej. Należy pamiętać o najlepszych rozwiązaniach:
- Nie twórz własnej wersji grup "Wszyscy użytkownicy" ani "Wszystkie urządzenia". Użyj grup wirtualnych usługi Intune, ponieważ nie wymagają Microsoft Entra synchronizacji identyfikatorów po dodaniu nowego użytkownika lub urządzenia do środowiska.
- Aby zoptymalizować określanie wartości docelowej, należy jak najwięcej użyć grup ponownie.
- Należy zachować ostrożność podczas wprowadzania dużych zmian zagnieżdżania w grupach usługi Intune. Usługa Intune musi przetworzyć wszystkie te zmiany i obliczyć obowiązujące zmiany dla wszystkich członków wszystkich grup, których dotyczy ta zmiana.
- Usługa Intune nie obsługuje wykluczeń grup mieszanych. Dlatego użyj filtrów, aby dynamicznie dołączać i wykluczać urządzenia oprócz przypisań grup lub grup wirtualnych.
Następne kroki
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla