Общие сведения об управлении политиками на основе групп

  • 4 мин

Вы можете управлять назначением устройств, приложений и политик на основе групп пользователей или устройств.

Можно добавить следующие типы групп:

  • Назначенные группы: вручную добавьте пользователей или устройств в статическую группу.
  • Динамические группы (требуется идентификатор Microsoft Entra ID P1 или P2): автоматически добавляют пользователей или устройств в группы пользователей или группы устройств на основе создаваемого выражения.

.

Чтобы упростить управление устройствами, можно использовать категории устройств Microsoft Intune для автоматического добавления устройств в группы на основе определяемой категории.

Категории устройств используют следующий рабочий процесс:

  1. Создайте категории, из которых пользователи могут выбирать при регистрации устройства.
  2. Когда пользователи регистрируют свои устройства с iOS/iPadOS и Android, они должны выбрать категорию из заданного списка категорий. Чтобы назначить категорию устройству Windows, пользователи должны использовать веб-сайт Корпоративный портал.
  3. Затем можно развернуть политики и приложения в этих группах.

Вы можете создать любые нужные категории устройств. Например:

  • Устройство типа "точка продажи"
  • Демонстрационный устройство
  • Sales
  • Учет
  • Manager

После регистрации устройства он становится управляемым. Ваша организация может назначать политики и приложения устройству через поставщика управления мобильными устройствами (MDM), например Intune.

Приложения

После добавления приложения в Microsoft Intune можно назначить приложение пользователям и устройствам. Важно отметить, что вы можете назначить приложение устройству независимо от того, управляется ли устройство с помощью Intune.

В Intune можно определить, кто имеет доступ к приложению, назначив группам пользователей включение и исключение. Перед назначением групп приложению необходимо задать тип назначения для приложения. Тип назначения делает приложение доступным, обязательным или удаляет приложение.

Чтобы задать доступность приложения, необходимо включить и исключить назначения приложений группе пользователей или устройств с помощью сочетания назначений групп включения и исключения групп. Эта возможность может оказаться полезной при создании приложения, включив большую группу, а затем сузить выбранных пользователей, за исключением меньшей группы. Меньшая группа может быть тестовой группой или исполнительной группой.

Рекомендуется создавать и назначать приложения специально для групп пользователей и отдельно для групп устройств.

Например, при добавлении пользователя с заголовком Manager пользователь автоматически добавляется в группу пользователей All manager . Если устройство имеет тип ОС устройства iOS/iPadOS, устройство автоматически добавляется в группу устройств iOS/iPadOS.

После назначения приложения группе в Intune вы можете назначить пользователям или устройствам политики для этого приложения.

Политики

Политики можно назначить группам с помощью Intune. При назначении политик можно включать и исключать пользователей.

Группы пользователей и группы устройств

Многие пользователи спрашивают, когда следует использовать группы пользователей и когда следует использовать группы устройств. Ответ зависит от цели. Ниже приведены некоторые рекомендации по началу работы:

Группы устройств

Если вы хотите применить параметры на устройстве независимо от того, кто вошел в систему, назначьте профили группе устройств. Параметры, применяемых к группам устройств, всегда идти с устройством, а не пользователем. Группы устройств обычно используются для общих и специализированных устройств.

Например:

  • Группы устройств полезны для управления устройствами, у которых нет выделенного пользователя. Например, у вас есть устройства, которые печатают билеты, сканируют инвентаризацию, разделяются рабочими сменами, назначаются определенному складу и т. д. Поместите эти устройства в группу устройств и назначьте профили этой группе устройств.
  • Вы создаете профиль Intune для интерфейса конфигурации встроенного ПО устройства (DFCI), который обновляет параметры в BIOS. Например, вы настроите этот профиль, чтобы отключить камеру устройства или заблокировать параметры загрузки, чтобы запретить пользователям загружать другую ОС. Этот профиль хорошо подходит для назначения группе устройств.
  • На некоторых устройствах Windows всегда требуется управлять некоторыми параметрами Microsoft Edge независимо от того, кто использует устройство. Например, необходимо заблокировать все загрузки, ограничить все файлы cookie текущим сеансом просмотра и удалить журнал просмотра. В этом сценарии поместите эти определенные устройства Windows в группу устройств, а затем создайте Администратор истративный шаблон в Intune, добавьте эти параметры устройства и назначьте этот профиль группе устройств.

Чтобы свести итоги, используйте группы устройств, если вы не заботитесь о входе на устройстве или если кто-либо вошел в систему. Вы хотите, чтобы параметры всегда были на устройстве.

Группы пользователей

Параметры профиля, применяемые к группам пользователей, всегда идут вместе с пользователем и отправляются с пользователем при входе на множество устройств. Это нормально для пользователей, имеющих много устройств, таких как Surface Pro для работы и личное устройство iOS/iPadOS. Это также нормально для пользователя, чтобы получить доступ к электронной почте и другим ресурсам организации с этих устройств. Группы пользователей обычно используются для работы с данными и информационных работников.

Например:

  • Вы хотите поместить значок службы технической поддержки для всех пользователей на всех своих устройствах. В этом сценарии поместите этих пользователей в группу пользователей и назначьте профиль значка службы технической поддержки этой группе пользователей.

  • Пользователь получает новое устройство, принадлежающее организации. Пользователь входит на устройство с помощью учетной записи домена. Устройство автоматически регистрируется в идентификаторе Microsoft Entra и автоматически управляется Intune. Этот профиль хорошо подходит для назначения группе пользователей.

  • Каждый раз, когда пользователь входит на устройство, вы хотите управлять функциями в приложениях, таких как OneDrive или Office. В этом сценарии параметры профиля OneDrive или Office назначаются группе пользователей.

    Например, вы хотите заблокировать ненадежные элементы ActiveX в Приложение Office. Вы можете создать Администратор истратный шаблон в Intune, настроить этот параметр и назначить этот профиль группе пользователей.

Чтобы свести итоги, используйте группы пользователей, если вы хотите, чтобы параметры и правила всегда идти вместе с пользователем, независимо от используемого устройства.