Рекомендации по повышению производительности для группирования, назначения и фильтрации в средах больших Microsoft Intune
В этой статье перечислены и описаны рекомендации по группированию, нацеливание и фильтрация Intune для политик и приложений. Цель состоит в том, чтобы помочь вам принимать решения по архитектуре и проектированию для развертываний Intune в больших средах.
Эти рекомендации по производительности и их реализация могут быть разными и зависят от вашей среды & других факторов, включая управляемость и простоту.
В этой статье
- Обзор концепций группирования и таргетинга Intune
- Получите некоторые рекомендации по производительности
Дополнительные сведения и общие сведения о фильтрах см. в статье Использование фильтров при назначении приложений, политик и профилей в Microsoft Intune.
Рекомендации по динамическим группам см. в статье Создание более простых и эффективных правил для динамических групп в Microsoft Entra id.
Обзор концепций группирования и таргетинга в Intune
Прежде чем приступить к работе с рекомендациями, давайте рассмотрим функции группирования, нацеливания и фильтрации, доступные в Intune.
группы Microsoft Entra
Intune почти исключительно использует Microsoft Entra группы для группирования и нацеливания. При выборе пункта Группы в Центре администрирования Microsoft Intune вы просматриваете Microsoft Entra группы.
Microsoft Entra группы являются важной частью Intune, так как они:
- Объекты, используемые для назначения приложений, политик и других рабочих нагрузок пользователям и устройствам.
- Используется для определения устройств, которые администраторы могут просматривать и администрировать в Центре администрирования Intune, например группы областей в управлении доступом на основе ролей (RBAC).
Виртуальные группы
Назначения Все пользователи и Все устройства являются виртуальными группами Intune. Эти виртуальные группы доступны по умолчанию во всех клиентах Intune и не связаны с дополнительными затратами на управление. Например, вам не нужно создавать или настраивать правила идентификатора Microsoft Entra, чтобы их члены заполнялись.
Группы Все пользователи и Все устройства также являются высокомасштабируемыми и оптимизированными, главным образом потому, что их не нужно синхронизировать с идентификатором Microsoft Entra так же, как другие группы.
Фильтры
После назначения приложения или политики идентификатору или виртуальной группе Microsoft Entra можно использовать фильтры, чтобы сузить область назначения этих приложений и политик определенным группам пользователей или устройств.
Фильтр фильтрует устройства в (или вне) этого назначения на основе свойств устройства.
Фильтрация — это высокопроизводительная оценка применимости с низкой задержкой на устройстве проверка без необходимости предварительного вычисления членства в группах.
Рекомендации по производительности
В этом разделе содержатся некоторые рекомендации, которые могут повысить производительность при назначении политик в Microsoft Intune.
В этих рекомендациях основное внимание уделяется повышению производительности и снижению задержки при назначении рабочей нагрузки. Они оказывают наибольшее влияние на работу в больших средах Intune, например в средах с >100 000 устройств. Эти рекомендации следует учитывать с другими аспектами проектирования, такими как управляемость, простота использования, администрирование на основе ролей и простота.
Использование виртуальных групп
| DO | НЕ НАДО |
|---|---|
| ✔️ Используйте виртуальные группы Все пользователи и Все устройства вместо создания собственной версии всех пользователей или всех устройств с помощью Microsoft Entra динамических групп. | ❌ Не создавайте собственные динамические группы "Все пользователи" или "Все устройства" для таргетинга политик и приложений в Intune. |
Синхронизация обновлений членства между идентификатором Microsoft Entra и Intune в больших группах занимает больше времени. "Все пользователи" и "Все устройства", как правило, являются самыми большими группами, которые у вас есть. Если назначить рабочие нагрузки Intune большим Microsoft Entra группам с большим количеством пользователей или устройств, в среде Intune может произойти невыполненная синхронизация. Эта невыполненная работа влияет на развертывание политик и приложений, которые требуют больше времени для охвата управляемых устройств.
Встроенные группы Все пользователи и Все устройства являются объектами группирования только в Intune, которые не существуют в идентификаторе Microsoft Entra. Не существует непрерывной синхронизации между идентификатором Microsoft Entra и Intune. Таким образом, членство в группах выполняется мгновенно.
Примечание.
Сведения о интервалах обновления политики intune проверка см. в статье Интервалы обновления политики Intune.
Вы также можете применить эту оптимизацию к другим большим и часто меняющимся группам, например "Все устройства с Windows" или "все устройства iOS". Вместо создания и назначения этих групп можно использовать существующие виртуальные группы "Все пользователи" или "Все устройства", так как политики и приложения Intune уже ограничены платформой.
При использовании очень больших групп в Intune (более 100 000 членов) ожидается некоторая начальная задержка при нацеливание. Существует первый процесс настройки, который выполняется между Microsoft Entra id и Intune. Первая полная синхронизация всегда занимает больше времени, чем последующие добавочные синхронизации.
Повторное использование групп
| DO | НЕ НАДО |
|---|---|
| ✔️ Повторно используйте одни и те же объекты группы для назначения нескольких политик. | ❌ Не создавайте повторяющиеся копии одной группы для разных политик. ❌ Не создавайте выделенные "Группы приложений" или "Группы политик". |
Intune преобразует Microsoft Entra участников группы в назначения целевых сообщений для каждого пользователя и устройства. Этот процесс является высокооптимизируемым, если объекты группы совпадают.
Например, группирование и нацеливание Intune лучше всего работает, если группа пользователей "Инженерная" предназначена с 10 политиками. Это не работает лучше, если пользователи инженеров являются членами 10 разных групп, каждой из которых назначена другая политика.
Мы видели несколько проектов, противоречащих этому руководству. Например, ИТ-администраторы создают группу "Install_Edge", группу "Deploy_Edge_Config_Policy", а затем помещают одни и те же устройства в каждую группу.
Аналогичный и не рекомендуемый шаблон — это создание групп приложений. Группа приложений — это когда для каждого приложения создано несколько Microsoft Entra групп. Например, для управления приложением Edge администратор создает следующие группы:
- Edge_Required
- Edge_Available
- Edge_Uninstall
Администратор добавляет отдельных пользователей или устройства в эти группы. Эти группы приложений значительно увеличивают количество Microsoft Entra групп, на которые Intune необходимо подписаться и отслеживать обновления членства, что менее эффективно. Неэффективная синхронизация групп влияет на то, как быстро создаются и доставляются на устройства новые назначения.
Внесение добавочных изменений в группу
| DO | НЕ НАДО |
|---|---|
| ✔️ Будьте осторожны с изменениями вложенных групп в идентификаторе Microsoft Entra. | ❌ Не вносите большие вложенные изменения в группу одновременно. |
Изменение большого членства в группе в идентификаторе Microsoft Entra может привести к всплескам изменений таргетинга в Intune. Эти пики могут отложить назначение других назначений в вашей среде.
Если вашими группами управляет другой набор администраторов, чем администраторы, управляющие идентификаторами Microsoft Entra, следует сообщить о влиянии Microsoft Entra изменения идентификаторов на таргетинг Intune.
Например, если администратор Microsoft Entra вложены новые большие группы в существующую группу, которую Intune использует для таргетинга, Intune начинает синхронизацию всех групп и членства в группах. Время, необходимое для обработки всех членства, зависит от количества и размера изменений группы, внесенных в идентификатор Microsoft Entra.
Эта рекомендация также применяется, если группы "отменяется". Дополнительные сведения о вложенных группах см. в статье Управление группами Microsoft Entra и членством в группах.
Использование фильтров для включения и исключения
| DO | НЕ НАДО |
|---|---|
| ✔️ Используйте фильтры для достижения правильного сочетания пользователей и устройств для нацеливания. | ❌ Не смешивайте группы пользователей и устройств при использовании групп включения и исключения. |
Эта рекомендация также является заявлением о поддержке. Мы не рекомендуем и не поддерживаем создание назначений для групп пользователей и исключение группы устройств из этого назначения или наоборот.
Эта рекомендация существует из-за характеристики времени и задержки динамических групп. Членство в исключенных группах не является мгновенным, что может привести к тому, что устройства неправильно получают назначения приложений или политик. Дополнительные сведения см. в таблице Назначение политик и профилей — поддержка.
Вместо смешанных исключений рекомендуется назначать группе пользователей. Затем используйте фильтры для динамического включения или исключения соответствующих устройств.
Сводка
При создании назначений и управлении ими в Intune используйте некоторые из этих рекомендаций. Используйте группы или виртуальные группы и примените фильтры для уточнения целевого область. Учитывайте рекомендации.
- Не создавайте собственную версию групп "Все пользователи" или "Все устройства". Используйте виртуальные группы Intune, так как для них не требуется синхронизация идентификаторов Microsoft Entra при добавлении в среду нового пользователя или устройства.
- Чтобы оптимизировать таргетинг, повторно используйте группы как можно больше.
- Следите за внесением больших изменений в группы Intune. Intune необходимо обработать все эти изменения и вычислить эффективные изменения для всех членов всех групп, затронутых этим изменением.
- Intune не поддерживает исключения смешанных групп. Поэтому используйте фильтры для динамического включения и исключения устройств в дополнение к назначениям групп или виртуальных групп.
Дальнейшие действия
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по