Назначение политик в Microsoft Intune

При создании политики Intune она включает все параметры, добавленные и настроенные в ней. Когда политика будет готова к развертыванию, следующим шагом является "назначение" политики группам пользователей или устройств. При назначении политики пользователи и устройства получают ее, а введенные параметры применяются.

В Intune можно создать и назначить следующие политики:

• Политики защиты приложений
• Политики конфигурации приложений
• Политики соответствия
• Политики условного доступа
• Профили конфигурации устройства
• Политики регистрации

В этой статье показано, как назначить политику, приведены некоторые сведения об использовании тегов области, описано, когда следует назначать политики группам пользователей или группам устройств и многое другое.

Подготовка к работе

• Убедитесь, что у вас есть правильная роль, которая может назначать политики и профили. Дополнительные сведения см. в статье Управление доступом на основе ролей (RBAC) с помощью Microsoft Intune.

• Рассмотрите возможность использования Microsoft Copilot в Intune. Ниже приведены некоторые преимущества.

  • При создании политики и настройке параметров Copilot предоставляет дополнительные сведения о каждом параметре, может порекомендовать значение и найти потенциальные конфликты.
  • При назначении политики Copilot может сообщить группам, которым назначена политика, и помочь вам понять последствия политики.

  Дополнительные сведения см. в статье Microsoft Copilot в Intune.

Назначение политики пользователям или группам

1. Войдите в Центр администрирования Microsoft Intune.

2. Выберите Устройства>Управление устройствами Конфигурация устройств>. Перечисляются все профили.

3. Выберите профиль, который вы хотите назначить >Свойства>Назначения>Изменить:

   Например, чтобы назначить профиль конфигурации устройства, выполните приведенные ниже действия.

   1. Перейдите в раздел Устройства>Управление устройствами>Конфигурация. Перечисляются все профили.

   2. Выберите политику, которую вы хотите назначить>>Свойства Назначения>Изменить:

      

4. В разделе Включенные группы или Исключенные группы выберите Добавить группы , чтобы выбрать одну или несколько групп Microsoft Entra. Если вы планируете развернуть политику на всех применимых устройствах, выберите Добавить всех пользователей или Добавить все устройства.

   Примечание.

   Если выбрать "Все устройства" и "Все пользователи", параметр добавления дополнительных групп Microsoft Entra отключается.

5. Выберите Проверить и сохранить. Этот шаг не назначает политику.

6. Выберите Сохранить. При сохранении политика назначается. Ваши группы получат параметры политики, когда устройства будут зарегистрированы в службе Intune.

Функции назначения, которые следует знать и использовать

• Используйте фильтры для назначения политики на основе создаваемых правил. Вы можете создать фильтры для:

  • Политики конфигурации приложений
  • Политики защиты приложений
  • Назначения приложений
  • Политики соответствия
  • Профили конфигурации устройства

  Дополнительные сведения см. в статьях:

  • Использование фильтров при назначении приложений, политик и профилей в Microsoft Intune
  • Платформы, политики и типы приложений, поддерживаемые фильтрами в Microsoft Intune

• Наборы политик создают группу или коллекцию существующих приложений и политик. При создании набора политик его можно назначить из одного места в Центре администрирования Microsoft Intune.

  Дополнительные сведения см. в статье Использование наборов политик для группирования коллекций объектов управления в Microsoft Intune.

• Теги области — это отличный способ фильтрации политик по определенным группам, таким как US-NC IT Team или JohnGlenn_ITDepartment. Дополнительные сведения см. в статье Использование RBAC и тегов области для распределенной ИТ-службы.

• На устройствах с Windows 10/11 можно добавить правила применимости , чтобы политика применялись только к определенной версии ОС или определенному выпуску Windows. Дополнительные сведения см. в статье Правила применимости.

Группы пользователей и группы устройств

Многие пользователи спрашивают, когда использовать группы пользователей, а когда — группы устройств. Ответ зависит от цели. Вот несколько советов для начала работы.

Группы устройств

Если вы хотите применить параметры к устройству, независимо от того, кто вошел в систему, назначьте политики группе устройств. Параметры, применяемые к группам устройств, всегда относятся к устройству, а не к пользователю.

Например:

• Группы устройств используются для управления устройствами, у которых нет выделенного пользователя. Например, у вас есть устройства, которые печатают билеты, сканируют товары, совместно используются сотрудниками разных смен, назначаются определенному хранилищу и т. д. Поместите эти устройства в группу устройств и назначьте политики этой группе устройств.

• Вы создали профиль Intune интерфейса настройки встроенного ПО устройства (DFCI), который обновляет параметры в BIOS. Например, эта политика настраивается для отключения камеры устройства или блокировки параметров загрузки, чтобы запретить пользователям загружать другую ОС. Эта политика является хорошим сценарием для назначения группе устройств.

• На некоторых определенных устройствах Windows вы хотите всегда управлять некоторыми параметрами Microsoft Edge независимо от того, кто использует устройство. Например, вам нужно заблокировать все загрузки, ограничить все файлы cookie до текущего сеанса просмотра и удалить историю просмотров. Для этого поместите эти устройства Windows в группу устройств. Затем создайте административный шаблон в Intune, добавьте эти параметры устройства, а затем назначьте эту политику группе устройств.

Подытоживая вышесказанное: используйте группы устройств, если не важно, кто вошел в систему устройства и вошел ли хоть кто-нибудь. Параметры всегда должны быть на устройстве.

Группы пользователей

Параметры политики, применяемые к группам пользователей, всегда используются вместе с пользователем, а при входе в систему на нескольких устройствах. У пользователей может быть много устройств, таких как Surface Pro для выполнения рабочих задач и личное устройство iOS или iPadOS. И это нормально, когда пользователь получает доступ к электронной почте и другим ресурсам организации с этих устройств.

Если у пользователя несколько устройств на одной платформе, можно использовать фильтры для назначения группы. Например, у пользователя есть личное устройство iOS/iPadOS и принадлежащее организации устройство iOS/iPadOS. При назначении политики для этого пользователя можно использовать фильтры для выбора в качестве цели только устройства, которое принадлежит организации.

Следуйте общему правилу: если компонент принадлежит пользователю, например электронная почта или сертификат пользователя, назначайте его группам пользователей.

Например:

• Вы хотите разместить значок службы технической поддержки для всех пользователей на всех их устройствах. В этом сценарии поместите этих пользователей в группу пользователей и назначьте этой группе пользователей политику значков службы поддержки.

• Пользователь получает новое устройство, принадлежащее организации. Пользователь входит в устройство с использованием своей учетной записи домена. Устройство автоматически регистрируется в Идентификаторе Microsoft Entra и автоматически управляется Intune. Эта политика является хорошим сценарием для назначения группе пользователей.

• Вы хотите управлять функциями в приложениях, таких как OneDrive или Office, когда пользователь входит в систему устройства. В этом сценарии назначьте параметры политики OneDrive или Office группе пользователей.

  Например, вы хотите заблокировать недоверенные элементы ActiveX в своих приложениях Office. Вы можете создать административный шаблон в Intune, настроить этот параметр, а затем назначить эту политику группе пользователей.

Подытоживая вышесказанное: используйте группы пользователей, чтобы параметры и правила всегда применялись к пользователю, независимо от используемого им устройства.

Многосеансовый виртуальный рабочий стол Azure

Intune можно использовать для управления удаленными рабочими столами Windows с несколькими сеансами, созданными с помощью Виртуального рабочего стола Azure, так же, как и любым другим общим клиентским устройством Windows. При назначении политик группам пользователей или устройствам виртуальный рабочий стол Azure с несколькими сеансами является особым сценарием. При использовании виртуальных машин поставщики служб конфигурации устройств должны ориентироваться на группы устройств. Поставщики служб конфигурации пользователей должны быть ориентированы на группы пользователей.

Дополнительные сведения см. в статье Использование нескольких сеансов Виртуального рабочего стола Azure с Microsoft Intune.

Поставщики служб конфигурации Windows и их поведение

Параметры политики для устройств с Windows основаны на поставщиках служб конфигурации (CSP). Эти параметры сопоставляются с разделами реестра или файлами на устройствах.

Вот что вам нужно знать о поставщиках облачных служб Windows:

• Intune предоставляет эти поставщики служб конфигурации, чтобы вы могли настроить эти параметры и назначить их своим устройствам Windows. Эти параметры настраиваются с помощью встроенных шаблонов и каталога параметров. В каталоге параметров вы увидите, что некоторые параметры применяются к области пользователя, а некоторые — к области устройства.

  Сведения о том, как параметры области пользователя и области устройства применяются к устройствам Windows, см. в статье Каталог параметров: параметры области устройства и области пользователя.

• Когда политика удаляется или больше не назначается устройству, могут происходить разные вещи в зависимости от параметров в политике. Каждый поставщик служб CSP может обрабатывать удаление политики по-разному.

  Например, параметр может сохранить существующее значение и не вернуться к значению по умолчанию. Каждый поставщик служб CSP управляет поведением. Список CSP для Windows см. в статье Configuration service provider reference (Справочник по CSP).

  Чтобы изменить значение параметра на другое, создайте новую политику, задайте для параметра значение Не настроено и назначьте политику. Когда политика применяется к устройству, пользователи должны иметь контроль над изменением параметра на предпочитаемое значение.

• При настройке этих параметров мы рекомендуем выполнить развертывание в пилотной группе. Дополнительные советы по планах развертывания Intune см. в статье Разработка плана внедрения.

Исключение групп из назначения политики

Политики конфигурации устройств Intune позволяют включать и исключать группы из назначения политики.

Рекомендации:

• Создавайте и назначайте политики специально для групп пользователей. Используйте фильтры, чтобы добавить или исключить устройства этих пользователей.
• Создавайте и назначайте различные политики специально для групп устройств.

См. сведения о добавлении групп для упорядочивания пользователей и устройств.

Принципы включения и исключения групп

При назначении политик и политик примените следующие общие принципы:

• Рассматривайте Включенные группы или Исключенные группы в качестве отправной точки для пользователей и устройств, к которым будут применяться ваши политики. Группа Microsoft Entra является ограничивающей группой, поэтому используйте наименьшую из возможных областей группы. Используйте фильтры, чтобы ограничить или обновить назначение политики.

• Назначенные группы Microsoft Entra, также известные как статические группы, можно добавить в включенные группы или исключенные группы.

  Как правило, вы статически назначаете устройства в группу Microsoft Entra, если они предварительно зарегистрированы в Идентификаторе Microsoft Entra, например в Windows Autopilot. Или, если требуется объединить устройства для одноразового, автоматизированного развертывания. В противном случае статически назначать устройства в группу Microsoft Entra может оказаться нецелесообразно.

• Динамические группы пользователей Microsoft Entra можно добавить в включенные или исключенные группы.

• Исключенные группы могут быть группами с пользователями или группами с устройствами.

• Динамические группы устройств Microsoft Entra можно добавить в включенные группы. Но при заполнении динамического членства в группе может возникнуть задержка. В сценариях, зависящих от длительности задержки, используйте фильтры для назначения конкретных устройств и назначьте политики группам пользователей.

  Например, вы хотите назначать политики устройствам сразу после их регистрации. В этой ситуации с учетом задержки создайте фильтр для нужных устройств и назначьте политику с этим фильтром группам пользователей. Не назначайте его группам устройств.

  В сценарии без пользователей создайте фильтр , предназначенный для нужных устройств, и назначьте политику с фильтром группе "Все устройства".

• Избегайте добавления динамических групп устройств Microsoft Entra в исключенные группы. Задержка при вычислении динамической группы устройств при регистрации может привести к нежелательным результатам. Например, нежелательные приложения и политики могут быть развернуты до распространения исключенного членства в группе.

Таблица поддержки

Используйте следующую матрицу, чтобы получить основные сведения о поддержке для исключения групп:

• ✔️: поддерживается
• ❌: не поддерживается
• ❕ : частично поддерживается

Сценарий	Поддержка
1	❕ Поддерживается частичное назначение политик динамической группе устройств при исключении другой динамической группы устройств. Но не рекомендуется использовать его в сценариях, зависящих от задержки. Любая задержка при вычислении членства в группе может привести к тому, что политики будут предлагаться устройствам. В этом сценарии для исключения устройств рекомендуется использовать фильтры вместо динамических групп устройств. Например, у вас есть политика устройств, назначенная всем устройствам. В последующем у вас появляется требование, чтобы устройства маркетингового отдела не получали эту политику. Для этого вы создаете динамическую группу устройств с именем Устройства маркетингового отдела на основе свойства enrollmentProfilename (device.enrollmentProfileName -eq "Marketing_devices"). В политике вы добавляете динамическую группу Устройства маркетингового отдела как исключенную. Новое маркетинговое устройство регистрируется в Intune впервые, и создается новый объект устройства Microsoft Entra. В процессе динамического группирования это устройство добавляется в группу Устройства маркетингового отдела с возможной задержкой при вычислении. В то же время устройство регистрируется в Intune и начинает получать все применимые политики. Политику Intune можно развернуть до того, как устройство будет помещено в группу исключений. Это приведет к развертыванию нежелательной политики (или приложения) для группы Устройства маркетингового отдела. В результате не рекомендуется использовать динамические группы устройств для исключений в сценариях с учетом задержки. Вместо этого используйте фильтры.
2	✔️ Поддерживается назначение политики динамической группе устройств при исключении статической группы устройств.
3	❌ Не поддерживается назначение политики динамической группе устройств при исключении групп пользователей (как динамических, так и статических). Intune не оценивает отношения между группами пользователей и устройств, и устройства включенных пользователей не исключаются.
4	❌ Не поддерживается назначение политики динамической группе устройств и исключение групп пользователей (как динамических, так и статических). Intune не оценивает отношения между группами пользователей и устройств, и устройства включенных пользователей не исключаются.
5	❕ Поддерживается частичное назначение политики статической группе устройств при исключении динамической группы устройств. Но не рекомендуется использовать его в сценариях, зависящих от задержки. Любая задержка при вычислении членства в группе может привести к тому, что политики будут предлагаться устройствам. В этом сценарии для исключения устройств рекомендуется использовать фильтры вместо динамических групп устройств.
6	✔️ Поддерживается назначение политики статической группе устройств и исключение другой статической группы устройств.
7	❌ Не поддерживается назначение политики статической группе устройств и исключение групп пользователей (как динамических, так и статических). Intune не оценивает отношения между группами пользователей и устройств, и устройства включенных пользователей не исключаются.
8	❌ Не поддерживается назначение политики статической группе устройств и исключение групп пользователей (как динамических, так и статических). Intune не оценивает отношения между группами пользователей и устройств, и устройства включенных пользователей не исключаются.
9	❌ Не поддерживается назначение политики динамической группе пользователей и исключение групп устройств (как динамических, так и статических).
10	❌ Не поддерживается назначение политики динамической группе пользователей и исключение групп устройств (как динамических, так и статических).
11	✔️ Поддерживается назначение политики динамической группе пользователей при исключении других групп пользователей (как динамических, так и статических).
12	✔️ Поддерживается назначение политики динамической группе пользователей при исключении других групп пользователей (как динамических, так и статических).
13	❌ Не поддерживается назначение политики статической группе пользователей при исключении групп устройств (как динамических, так и статических).
14	❌ Не поддерживается назначение политики статической группе пользователей при исключении групп устройств (как динамических, так и статических).
15	✔️ Поддерживается назначение политики статической группе пользователей при исключении других групп пользователей (как динамических, так и статических).
16	✔️ Поддерживается назначение политики статической группе пользователей при исключении других групп пользователей (как динамических, так и статических).

Дальнейшие действия

Рекомендации по мониторингу политик и устройств, на которых выполняются политики, см. в разделе Мониторинг профилей устройств.