Använd grupper för att organisera användare och enheter för Microsoft Intune

Microsoft Intune använder säkerhetsgrupper från Microsoft Entra ID för olika organisationsbehov. Dessa behov omfattar gruppering av användare eller enheter efter geografisk plats, avdelning, maskinvaruegenskaper med mera. För att stödja användningen av Entra-grupper efter Intune innehåller Intune administrationscenter användargränssnittet för Entra-grupper med alla dess funktioner. Alla grupper som visas i Entra och nya grupper som en Intune administratör kan skapa visas i Intune, Entra och andra produkter som delar användargränssnittet för Entra-grupper som Microsoft 365.

Intune administratörer använder väldefinierade grupper när de distribuerar principer, distribuerar appar och för att tilldela andra administrativa användare behörigheter så att de kan hjälpa till att administrera olika aspekter av Intune-prenumerationen.

Den här artikeln fokuserar på att använda Intune administrationscenter för att skapa grupper för användning med Intune, inklusive information om de behörigheter som krävs för att hantera och använda dessa grupper i administrationscentret.

Du kan läsa mer om Microsoft Entra grupper i Entra-dokumentationen.

Rollbaserade åtkomstkontroller för att arbeta med grupper

Som standard har alla Microsoft Entra användarkonton behörighet att skapa och konfigurera nya grupper utan att tilldelas rollbaserad åtkomstkontroll (RBAC) i Entra. Dessa behörigheter utökas till användning av noden Grupper i Intune administrationscenter.

Endast den användare som skapade gruppen, användare som har tilldelats som ägare och användare som har tillräcklig Entra RBAC-behörighet för att hantera Entra-grupper kan redigera egenskaperna för en grupp. Andra användare utan behörighet att redigera en grupp kan visa sitt medlemskap och om de administrerar Intune kan de tilldela Intune principer, appar och rolltilldelningar till gruppen.

Följande Microsoft Entra inbyggda RBAC-rollen är den minst privilegierade inbyggda rollen som innehåller tillräcklig behörighet för att redigera och hantera Entra-grupper som skapats av andra användare:

• Gruppadministratör – Den här rollen ger behörighet att lägga till och redigera grupper inifrån administrationscentret för Microsoft Intune, Microsoft Entra och Microsoft 365.

När du arbetar med RBAC rekommenderar Microsoft att du följer principen om lägsta behörigheter genom att endast använda konton som har den minsta behörighet som krävs för en uppgift och begränsa användningen och tilldelningen av privilegierade administrativa roller som Intune-administratören.

Mer information om Microsoft Entra grupper och gruppåtkomst finns i Läs mer om grupper och åtkomsträttigheter i Entra-dokumentationen.

Krav för grupper som du använder med Intune

Intune administratörer bör känna till följande aspekter av Microsoft Entra grupper när de skapar nya grupper eller tilldelar dem för principdistribution eller administrativa roller.

Säkerhet – De grupper som du använder med Intune måste vara grupper som är aktiverade för säkerhet. Detta kräver vanligtvis att grupptypen grupper anges till Säkerhet när gruppen skapas. En säkerhetsgrupp stöder både användare och enheter som medlemmar.

Som standard är Microsoft 365-grupper i Microsoft Entra inte säkerhetsaktiverade, stöder endast användare som medlemmar och stöds inte av Intune. Du kan använda Microsoft Graph PowerShell för att skapa säkerhetsaktiverade Microsoft 365-grupper som Intune stöder, precis som standardgrupperna för Microsoft 365, men de kan bara innehålla användare och inte enheter.

Medlemskap – Intune stöder både tilldelade och dynamiska gruppmedlemskap. Välj medlemskapstyp baserat på hur du planerar att hantera gruppmedlemskap – manuellt eller automatiskt baserat på regler. Om du till exempel vill tilldela en inbyggd Intune RBAC-roll som Endpoint Security Manager till administrativa användare använder du en grupp med manuellt tilldelade medlemmar för att begränsa vem som får den privilegierade rollen. Om du vill distribuera en standarduppsättning enhetskonfigurationsprinciper till alla Windows 11 enheter kan du använda en grupp som dynamiskt lägger till medlemmar baserat på en version av enhetens operativsystem. Om du använder en dynamisk grupp kan du se till att enheter som registreras med Intune automatiskt får den avsedda standardprincipen utan att enheten behöver läggas till manuellt i en grupp.

Grupperna Intune Alla användare och Alla enheter

Förutom de Microsoft Entra grupper som du kan skapa och använda med Intune innehåller Intune två virtuella grupper som endast är tillgängliga i kontexten för Intune och inifrån Intune administrationscenter:

• Alla användare – Den här gruppen innehåller automatiskt alla användare som har en licens för Intune.
• Alla enheter – Den här gruppen innehåller automatiskt varje enhet som registreras med Intune.

Dessa virtuella grupper är ett enkelt sätt att rikta in sig på alla tillämpliga användare eller enheter med Intune principer och tilldelningar som bör tillämpas på ett brett sätt.

Du kan till exempel distribuera en Intune efterlevnadsprincip till gruppen alla enheter för att fastställa en lägsta nivå av efterlevnadskrav som alla enheter i organisationen måste uppfylla. Senare kan du distribuera fler krav till specifika Entra-grupper för att tillämpa extra krav som du kan ha för specifika grupper av enheter eller användare.

Tips

Överväg att använda filter för grupper inom Intune. Du kan använda filter i Intune när du tilldelar appar, principer och profiler i Microsoft Intune till stora grupper som Alla användare och Alla enheter. Filter kan hjälpa dig att dynamiskt styra vilka enheter eller användare som får distributionen. Information om hur du använder filter finns i:

• Använd filter när du tilldelar appar, principer och profiler i Microsoft Intune
• Prestandarekommendationer för gruppering, inriktning och filtrering i stora Microsoft Intune miljöer

Lägga till grupper i Intune

När du skapar en grupp i Microsoft Intune administrationscenter skapar du faktiskt en grupp i Microsoft Entra ID. Följande procedur ger grundläggande vägledning för att skapa grupper i Intune administrationscenter. Mer detaljerad information finns i följande Microsoft Entra artiklar:

• Hantera Microsoft Entra grupper och gruppmedlemskap
• Skapa en grundläggande grupp och lägg till medlemmar med hjälp av Microsoft Entra ID
• Regler för dynamiskt medlemskap för grupper i Microsoft Entra-ID

Så här skapar du grupper i Microsoft Intune administrationscenter:

1. Logga in på Microsoft Intune administrationscenter och välj sedan Grupper>Ny grupp:

   

2. Fönstret Ny grupp öppnas, vilket är samma gränssnitt som finns i Microsoft Entra:

   

   Konfigurera följande alternativ för den nya gruppen:

   1. Ange Grupptyp till Säkerhet.

   2. För Gruppnamn anger du ett beskrivande namn som tydligt identifierar gruppen. Det här namnet är synligt för användare som arbetar med grupper i administrationscentret.

   3. För Gruppbeskrivning, som är valfri, anger du annan information om gruppen, t.ex. dess avsedda användning.

   4. För Medlemskapstyp väljer du bland följande alternativ:

      • Tilldelad – Med den här medlemskapstypen måste du manuellt lägga till användare i gruppen, vilket kan göras nu eller senare när gruppen har skapats.

        Om du vill lägga till användare just nu letar du upp och väljer Inga medlemmar har valts för att öppna fönstret Lägg till medlemmar .

        I fönstret använder du fliken Användare eller Enheter där du kan markera kryssrutan bredvid varje objekt som du vill lägga till i den här gruppen.

        Du kan också välja fliken Grupper om du vill kapsla en grupp i den här gruppen. En grupp som innehåller en grupp som medlem kallas för en överordnad grupp. Var försiktig när du kapslar grupper eftersom medlemskapsrelationerna kanske inte är tydliga för administratörer som senare använder den överordnade gruppen för en tilldelning. Eventuella medlemskapsändringar som görs i en kapslad grupp tillämpas automatiskt på det gällande medlemskapet i den överordnade gruppen.

        Viktigt

        Undvik att skapa grupper som omfattar både användare och enheter, eftersom detta kan leda till principkonflikter och oförutsägbart beteende under Intune distributioner.

        Tips

        Om du vill skapa grupper av enheter kan du använda enhetskategorier för att automatiskt ansluta enheter till en grupp när de registreras med Intune.

      • Dynamisk användare – Med den här medlemskapstypen väljer du Lägg till dynamisk fråga och konfigurerar sedan reglerna för dynamiskt medlemskap. Vägledning finns i Hantera regler för dynamiska medlemskapsgrupper i Microsoft Entra ID.

        Viktigt

        Om du vill använda dynamiska användargrupper måste du ha en Microsoft Entra ID P1-licens för varje användare som är medlem i den dynamiska gruppen.

      • Dynamisk enhet – Med den här medlemskapstypen väljer du Lägg till dynamisk fråga och konfigurerar sedan reglerna för dynamiskt medlemskap. Vägledning finns i Hantera regler för dynamiska medlemskapsgrupper i Microsoft Entra ID.

        Tips

        Ingen specifik Entra ID licens krävs för medlemmar i dynamiska enhetsgrupper.

   5. Konfigurationen Ägare är valfri. Som standard är den användare som skapar en grupp ägare. Om du vill lägga till andra ägare väljer du Inga ägare valda och sedan fliken Användare , där du sedan kan välja en eller flera användare att lägga till som ägare till den här gruppen.

3. Välj Skapa för att lägga till den nya gruppen. Din grupp visas i listan.

Redigera en grupp

Som Intune administratör kan du redigera grupper, till exempel ändra gruppmedlemmar, ägare och egenskaper.

Använd följande steg för att redigera en befintlig grupp:

1. Logga in på Microsoft Intune administrationscenter.
2. Välj Grupper>Alla grupper>välj namnet på en grupp som ska redigeras.
3. Under menygruppen Hantera väljer du ett område i gruppen som ska redigeras, till exempel Egenskaper, Medlemmar eller Ägare. Intune visar användargränssnittet som är relaterat till konfigurationsalternativet.

Ta bort en grupp

Som Intune administratör kan du ta bort grupper som inte längre behövs.

Använd följande steg för att ta bort en befintlig grupp:

1. Logga in på Microsoft Intune administrationscenter.
2. Välj Grupper>Alla grupper.
3. Markera kryssrutan för varje grupp som du vill ta bort och välj sedan Ta bort från alternativ överst i vyn Alla grupper . Alternativt kan du välja namnet på en grupp för att öppna en enskild grupps översiktssida och sedan välja Ta bort* överst i den vyn.

Tips

När en grupp har tagits bort kan det ta en stund innan den visas i listan Borttagna grupper .

Relaterat innehåll

• Tilldela användarlicenser till Intune
• Tilldela Microsoft Intune roller till användargrupper för rollbaserad åtkomstkontroll