Dowiedz się więcej o zarządzaniu zasadami na podstawie grup

4 min

Można zarządzać przypisaniami urządzeń, aplikacji i zasad na podstawie grup użytkowników lub urządzeń.

Możesz dodać następujące typy grup:

Przypisane grupy: ręcznie dodaj użytkowników lub urządzenia do grupy statycznej.
Grupy dynamiczne (wymaga identyfikatora Microsoft Entra ID P1 lub P2): automatycznie dodaj użytkowników lub urządzenia do grup użytkowników lub grup urządzeń na podstawie utworzonego wyrażenia.

Urządzenia

Aby ułatwić zarządzanie urządzeniami, możesz użyć kategorii urządzeń usługi Microsoft Intune, aby automatycznie dodawać urządzenia do grup na podstawie zdefiniowanych kategorii.

Kategorie urządzeń korzystają z następującego przepływu pracy:

Utwórz kategorie, z których użytkownicy mogą wybrać, kiedy zarejestrują swoje urządzenie.
Gdy użytkownicy urządzeń z systemem iOS/iPadOS i Android rejestrują urządzenie, muszą wybrać kategorię z listy skonfigurowanych kategorii. Aby przypisać kategorię do urządzenia z systemem Windows, użytkownicy muszą używać witryny internetowej Portal firmy.
Następnie można wdrożyć zasady i aplikacje w tych grupach.

Możesz utworzyć dowolne kategorie urządzeń. Przykład:

Urządzenie do punktu sprzedaży
Urządzenie demonstracyjne
Sprzedaż
Rachunkowość
Menedżer

Po zarejestrowaniu urządzenia stanie się ono zarządzane. Organizacja może przypisywać zasady i aplikacje do urządzenia za pośrednictwem dostawcy zarządzania urządzeniami przenośnymi (MDM), takiego jak usługa Intune.

Aplikacje

Po dodaniu aplikacji do usługi Microsoft Intune możesz przypisać aplikację do użytkowników i urządzeń. Należy pamiętać, że możesz przypisać aplikację do urządzenia niezależnie od tego, czy urządzenie jest zarządzane przez usługę Intune.

W usłudze Intune możesz określić, kto ma dostęp do aplikacji, przypisując grupy użytkowników do dołączania i wykluczania. Przed przypisaniem grup do aplikacji należy ustawić typ przypisania dla aplikacji. Typ przypisania udostępnia, wymagane lub odinstalowuje aplikację.

Aby ustawić dostępność aplikacji, dołączasz i wykluczasz przypisania aplikacji do grupy użytkowników lub urządzeń przy użyciu kombinacji przypisań dołączania i wykluczania grup. Ta funkcja może być przydatna podczas udostępniania aplikacji przez dołączenie dużej grupy, a następnie zawęzić wybranych użytkowników, wykluczając również mniejszą grupę. Mniejsza grupa może być grupą testową lub grupą wykonawczą.

Najlepszym rozwiązaniem jest tworzenie i przypisywanie aplikacji przeznaczonych specjalnie dla grup użytkowników i oddzielnie dla grup urządzeń.

Na przykład po dodaniu użytkownika z tytułem Menedżer użytkownik zostanie automatycznie dodany do grupy użytkowników Wszyscy menedżerowie . Gdy urządzenie ma typ systemu operacyjnego iOS/iPadOS, urządzenie zostanie automatycznie dodane do grupy Wszystkie urządzenia z systemem iOS/iPadOS.

Po przypisaniu aplikacji do grupy w usłudze Intune można przypisać zasady dla aplikacji do użytkowników lub urządzeń.

Zasady

Zasady można przypisywać do grup przy użyciu usługi Intune. Po przypisaniu zasad możesz wybrać, kto zostanie uwzględniony i kto zostanie wykluczony.

Grupy użytkowników a grupy urządzeń

Wielu użytkowników pyta, kiedy należy używać grup użytkowników i kiedy używać grup urządzeń. Odpowiedź zależy od twojego celu. Oto kilka wskazówek, które pomogą Ci rozpocząć pracę:

Grupy urządzeń

Jeśli chcesz zastosować ustawienia na urządzeniu niezależnie od tego, kto jest zalogowany, przypisz profile do grupy urządzeń. Ustawienia stosowane do grup urządzeń zawsze przechodzą z urządzeniem, a nie do użytkownika. Grupy urządzeń są często używane na potrzeby urządzeń udostępnionych i wyspecjalizowanych.

Przykład:

Grupy urządzeń są przydatne do zarządzania urządzeniami, które nie mają dedykowanego użytkownika. Na przykład masz urządzenia, które drukują bilety, skanują spis, są współużytkowane przez pracowników zmiany, są przypisywane do określonego magazynu itd. Umieść te urządzenia w grupie urządzeń i przypisz profile do tej grupy urządzeń.
Utworzysz profil usługi Intune interfejsu konfiguracji oprogramowania układowego urządzenia (DFCI), który aktualizuje ustawienia w systemie BIOS. Można na przykład skonfigurować ten profil, aby wyłączyć aparat urządzenia lub zablokować opcje rozruchu, aby uniemożliwić użytkownikom uruchamianie innego systemu operacyjnego. Ten profil jest dobrym scenariuszem przypisywania do grupy urządzeń.
Na niektórych określonych urządzeniach z systemem Windows zawsze chcesz kontrolować niektóre ustawienia przeglądarki Microsoft Edge, niezależnie od tego, kto używa urządzenia. Na przykład chcesz zablokować wszystkie pliki do pobrania, ograniczyć wszystkie pliki cookie do bieżącej sesji przeglądania i usunąć historię przeglądania. W tym scenariuszu umieść te określone urządzenia z systemem Windows w grupie urządzeń, a następnie utwórz szablon Administracja istracyjny w usłudze Intune, dodaj te ustawienia urządzenia i przypisz ten profil do grupy urządzeń.

Podsumowując, użyj grup urządzeń, gdy nie obchodzi cię, kto jest zalogowany na urządzeniu lub czy ktoś jest zalogowany. Chcesz, aby ustawienia zawsze znajdowały się na urządzeniu.

Grupy użytkowników

Ustawienia profilu stosowane do grup użytkowników zawsze idą z użytkownikiem i przechodzą do użytkownika po zalogowaniu się do wielu urządzeń. Zwykle użytkownicy mają wiele urządzeń, takich jak Surface Pro do pracy i osobiste urządzenie z systemem iOS/iPadOS. Normalne jest również, że osoba uzyskuje dostęp do poczty e-mail i innych zasobów organizacji z tych urządzeń. Grupy użytkowników są zwykle używane do pracy z informacjami i pracowników wiedzy.