Tilldela principer i Microsoft Intune

  • Artikel

När du skapar en Intune princip innehåller den alla inställningar som du har lagt till och konfigurerat i principen. När principen är redo att distribueras är nästa steg att "tilldela" principen till dina användar- eller enhetsgrupper. När den har tilldelats får användarna och enheterna din princip och de inställningar som du har angett tillämpas.

I Intune kan du skapa och tilldela följande principer:

  • Appskydd principer
  • Appkonfigurationsprinciper
  • Efterlevnadsprinciper
  • Villkorliga åtkomstprinciper
  • Enhetskonfigurationsprofiler
  • Registreringsprinciper

Den här artikeln visar hur du tilldelar en princip, innehåller viss information om hur du använder omfångstaggar, beskriver när du ska tilldela principer till användargrupper eller enhetsgrupper med mera.

Innan du börjar

Se till att du har rätt roll för att tilldela principer och profiler. Mer information finns i Rollbaserad åtkomstkontroll (RBAC) med Microsoft Intune.

Tilldela en princip till användare eller grupper

  1. Logga in på Microsoft Intune administrationscenter.

  2. Välj Enhetskonfiguration>. Alla profiler visas.

  3. Välj den profil som du vill tilldela >Egenskaper>Tilldelningar>Redigera:

    Om du till exempel vill tilldela en enhetskonfigurationsprofil:

    1. Gå till Enhetskonfiguration>. Alla profiler visas.

    2. Välj den princip som du vill tilldela >Egenskaper>Tilldelningar>Redigera:

      Skärmbild som visar hur du väljer tilldelningar för att distribuera profilen till användare och grupper i Microsoft Intune.

  4. Under Inkluderade grupper eller Exkluderade grupper väljer du Lägg till grupper för att välja en eller flera Microsoft Entra grupper. Om du tänker distribuera principen brett till alla tillämpliga enheter väljer du Lägg till alla användare eller Lägg till alla enheter.

    Obs!

    Om du väljer "Alla enheter" och "Alla användare" inaktiveras alternativet för att lägga till ytterligare Microsoft Entra grupper.

  5. Välj Granska + Spara. Det här steget tilldelar inte principen.

  6. Välj Spara. När du sparar tilldelas principen. Dina grupper får dina principinställningar när enheterna checkar in med Intune-tjänsten.

Tilldelningsfunktioner som du bör känna till och använda

Användargrupper jämfört med enhetsgrupper

Många användare frågar när de ska använda användargrupper och när de ska använda enhetsgrupper. Svaret beror på ditt mål. Här är några riktlinjer för att komma igång.

Enhetsgrupper

Om du vill tillämpa inställningar på en enhet, oavsett vem som är inloggad, tilldelar du dina principer till en enhetsgrupp. Inställningar som tillämpas på enhetsgrupper följer alltid med enheten, inte användaren.

Till exempel:

  • Enhetsgrupper är användbara för att hantera enheter som inte har en dedikerad användare. Du har till exempel enheter som skriver ut biljetter, genomsöker inventering, delas av skiftarbetare, tilldelas till ett visst lager och så vidare. Placera dessa enheter i en enhetsgrupp och tilldela dina principer till den här enhetsgruppen.

  • Du skapar en DFCI(Device Firmware Configuration Interface) Intune profil som uppdaterar inställningarna i BIOS. Du kan till exempel konfigurera den här principen för att inaktivera enhetens kamera eller låsa startalternativen för att förhindra användare från att starta ett annat operativsystem. Den här principen är ett bra scenario för att tilldela till en enhetsgrupp.

  • På vissa specifika Windows-enheter vill du alltid styra vissa Microsoft Edge-inställningar, oavsett vem som använder enheten. Du vill till exempel blockera alla nedladdningar, begränsa alla cookies till den aktuella webbläsarsessionen och ta bort webbhistoriken. I det här scenariot placerar du dessa specifika Windows-enheter i en enhetsgrupp. Skapa sedan en administrativ mall i Intune, lägg till de här enhetsinställningarna och tilldela sedan den här principen till enhetsgruppen.

Sammanfattnings skull använder du enhetsgrupper när du inte bryr dig om vem som är inloggad på enheten eller om någon loggar in. Du vill att inställningarna alltid ska finnas på enheten.

Användargrupper

Principinställningar som tillämpas på användargrupper följer alltid med användaren och följer med användaren när de är inloggade på sina många enheter. Det är normalt att användarna har många enheter, till exempel en Surface Pro för arbete och en personlig iOS/iPadOS-enhet. Och det är normalt att en person får åtkomst till e-post och andra organisationsresurser från dessa enheter.

Om en användare har flera enheter på samma plattform kan du använda filter för grupptilldelningen. En användare har till exempel en personlig iOS/iPadOS-enhet och en organisationsägd iOS/iPadOS. När du tilldelar en princip för den användaren kan du använda filter för att endast rikta in dig på den organisationsägda enheten.

Följ den här allmänna regeln: Om en funktion tillhör en användare, till exempel e-post eller användarcertifikat, tilldelar du till användargrupper.

Till exempel:

  • Du vill lägga till en supportikon för alla användare på alla deras enheter. I det här scenariot placerar du dessa användare i en användargrupp och tilldelar principen för supportikonen till den här användargruppen.

  • En användare får en ny organisationsägd enhet. Användaren loggar in på enheten med sitt domänkonto. Enheten registreras automatiskt i Microsoft Entra ID och hanteras automatiskt av Intune. Den här principen är ett bra scenario för att tilldela till en användargrupp.

  • När en användare loggar in på en enhet vill du styra funktioner i appar, till exempel OneDrive eller Office. I det här scenariot tilldelar du dina OneDrive- eller Office-principinställningar till en användargrupp.

    Du vill till exempel blockera ej betrodda ActiveX-kontroller i dina Office-appar. Du kan skapa en administrativ mall i Intune, konfigurera den här inställningen och sedan tilldela den här principen till en användargrupp.

Sammanfattnings skull använder du användargrupper när du vill att dina inställningar och regler alltid ska följa med användaren, oavsett vilken enhet de använder.

Flera sessioner i Azure Virtual Desktop

Du kan använda Intune för att hantera windows fjärrskrivbord med flera sessioner som skapats med Azure Virtual Desktop, precis som du hanterar andra delade Windows-klientenheter. När du tilldelar principer till användargrupper eller enheter är Azure Virtual Desktop flera sessioner ett särskilt scenario. När du använder dessa virtuella datorer måste enhetens CSP:er rikta in sig på enhetsgrupper. Användar-CSP:er måste vara mål för användargrupper.

Mer information finns i Använda Azure Virtual Desktop för flera sessioner med Microsoft Intune.

Windows CSP:er och deras beteende

Principinställningarna för Windows-enheter baseras på konfigurationstjänstleverantörerna (CSP:er). De här inställningarna mappas till registernycklar eller filer på enheterna.

Det här behöver du veta om Windows CSP:er:

  • Intune exponerar dessa molnlösningsleverantörer så att du kan konfigurera de här inställningarna och tilldela dem till dina Windows-enheter. De här inställningarna kan konfigureras med hjälp av de inbyggda mallarna och med hjälp av inställningskatalogen. I inställningskatalogen ser du att vissa inställningar gäller för användaromfånget och att vissa inställningar gäller för enhetens omfång.

    Information om hur inställningar för användaromfång och enhetsomfång tillämpas på Windows-enheter finns i Inställningskatalog: Enhetsomfattning jämfört med inställningar för användaromfång.

  • När en princip tas bort eller inte längre tilldelas till en enhet kan olika saker hända, beroende på inställningarna i principen. Varje CSP kan hantera principborttagningen på olika sätt.

    En inställning kan till exempel behålla det befintliga värdet och inte återgå till ett standardvärde. Beteendet styrs av varje CSP i operativsystemet. En lista över Windows CSP:er finns i referensen för konfigurationstjänstleverantör (CSP).

    Om du vill ändra en inställning till ett annat värde skapar du en ny princip, konfigurerar inställningen till Inte konfigurerad och tilldelar principen. När principen gäller för enheten bör användarna ha kontroll över att ändra inställningen till önskat värde.

  • När du konfigurerar de här inställningarna föreslår vi att du distribuerar till en pilotgrupp. Mer information om Intune distribution finns i skapa en distributionsplan.

Undanta grupper från en principtilldelning

Intune enhetskonfigurationsprinciper kan du inkludera och exkludera grupper från principtilldelning.

Som bästa praxis:

  • Skapa och tilldela principer specifikt för dina användargrupper. Använd filter för att inkludera eller exkludera enheter för dessa användare.
  • Skapa och tilldela olika principer specifikt för dina enhetsgrupper.

Mer information om grupper finns i Lägga till grupper för att organisera användare och enheter.

Principer för att inkludera och exkludering av grupper

När du tilldelar principer och principer tillämpar du följande allmänna principer:

  • Tänk på Inkluderade grupper eller Exkluderade grupper som en startpunkt för de användare och enheter som ska ta emot dina principer. Den Microsoft Entra gruppen är den begränsande gruppen, så använd det minsta möjliga gruppomfånget. Använd filter för att begränsa eller förfina principtilldelningen.

  • Tilldelade Microsoft Entra grupper, även kallade statiska grupper, kan läggas till i inkluderade grupper eller exkluderade grupper.

    Vanligtvis tilldelar du enheter statiskt till en Microsoft Entra grupp om de är förregistrerade i Microsoft Entra ID, till exempel med Windows Autopilot. Eller om du vill kombinera enheter för en engångsdistribution, ad hoc-distribution. Annars kanske det inte är praktiskt att statiskt tilldela enheter till en Microsoft Entra grupp.

  • Dynamiska Microsoft Entra användargrupper kan läggas till i inkluderade grupper eller exkluderade grupper.

  • Exkluderade grupper kan vara grupper med användare eller grupper med enheter.

  • Dynamiska Microsoft Entra enhetsgrupper kan läggas till i inkluderade grupper. Men det kan finnas svarstider när du fyller i det dynamiska gruppmedlemskapet. I scenarier som är känsliga för svarstid använder du filter för att rikta in sig på specifika enheter och tilldelar dina principer till användargrupper.

    Du vill till exempel att principer ska tilldelas till enheter så snart de registreras. I den här svarstidskänsliga situationen skapar du ett filter som riktar sig mot de enheter som du vill använda och tilldelar principen med det här filtret till användargrupper. Tilldela inte till enhetsgrupper.

    I ett användarlöst scenario skapar du ett filter som riktar sig mot de enheter du vill använda och tilldelar principen med filtret till gruppen "Alla enheter".

  • Undvik att lägga till dynamiska Microsoft Entra enhetsgrupper i exkluderade grupper. Svarstid i beräkningen av dynamiska enhetsgrupper vid registreringen kan orsaka oönskade resultat. Oönskade appar och principer kan till exempel distribueras innan det exkluderade gruppmedlemskapet fylls i.

Stödmatris

Använd följande matris för att förstå stödet för att exkludering av grupper:

  • ✔️:Stöds
  • ❌: Stöds inte
  • ❕ : Stöds delvis

Skärmbild som visar de alternativ som stöds för att inkludera eller exkludera grupper från en principtilldelning.

Scenario Support
1 ❕ Delvis stöd

för tilldelning av principer till en dynamisk enhetsgrupp samtidigt som en annan dynamisk enhetsgrupp exkluderas stöds. Men det rekommenderas inte i scenarier som är känsliga för svarstider. Eventuella fördröjningar i exkludera gruppmedlemskapsberäkningar kan göra att principer erbjuds till enheter. I det här scenariot rekommenderar vi att du använder filter i stället för dynamiska enhetsgrupper för att undanta enheter.

Du har till exempel en enhetsprincip som är tilldelad till Alla enheter. Senare har du ett krav på att nya marknadsföringsenheter inte får den här principen. Så du skapar en dynamisk enhetsgrupp med namnet Marknadsföringsenheter baserat på enrollmentProfilename egenskapen (device.enrollmentProfileName -eq "Marketing_devices"). I principen lägger du till den dynamiska gruppen Marknadsföringsenheter som en exkluderad grupp.

En ny marknadsföringsenhet registreras i Intune för första gången och ett nytt Microsoft Entra enhetsobjekt skapas. Den dynamiska grupperingsprocessen placerar enheten i gruppen Marknadsföringsenheter med en eventuell fördröjd beräkning. Samtidigt registreras enheten i Intune och börjar ta emot alla tillämpliga principer. Den Intune principen kan distribueras innan enheten placeras i undantagsgruppen. Det här beteendet resulterar i att en oönskad princip (eller app) distribueras till gruppen Marknadsföringsenheter .

Därför rekommenderas det inte att använda dynamiska enhetsgrupper för undantag i känsliga scenarier med svarstid. Använd i stället filter.
2 ✔️ Stöd för

att tilldela en princip till en dynamisk enhetsgrupp samtidigt som en statisk enhetsgrupp exkluderas stöds.
3 ❌ Det går

inte att tilldela en princip till en dynamisk enhetsgrupp utan användargrupper (både dynamiska och statiska) stöds inte. Intune utvärderar inte användar-till-enhet-grupprelationer och enheter för de inkluderade användarna utesluts inte.
4 ❌ Det går

inte att tilldela en princip till en dynamisk enhetsgrupp och exkludera användargrupper (både dynamiska och statiska) stöds inte. Intune utvärderar inte användar-till-enhet-grupprelationer och enheter för de inkluderade användarna utesluts inte.
5 ❕ Delvis stöd

för att tilldela en princip till en statisk enhetsgrupp samtidigt som en dynamisk enhetsgrupp exkluderas stöds. Men det rekommenderas inte i scenarier som är känsliga för svarstider. Eventuella fördröjningar i exkludera gruppmedlemskapsberäkningar kan göra att principer erbjuds till enheter. I det här scenariot rekommenderar vi att du använder filter i stället för dynamiska enhetsgrupper för att undanta enheter.
6 ✔️ Stöd för

att tilldela en princip till en statisk enhetsgrupp och exkludera en annan statisk enhetsgrupp stöds.
7 ❌ Det går

inte att tilldela en princip till en statisk enhetsgrupp och exkludera användargrupper (både dynamiska och statiska) stöds inte. Intune utvärderar inte användar-till-enhet-grupprelationer och enheter för de inkluderade användarna utesluts inte.
8 ❌ Det går

inte att tilldela en princip till en statisk enhetsgrupp och exkludera användargrupper (både dynamiska och statiska) stöds inte. Intune utvärderar inte användar-till-enhet-grupprelationer och enheter för de inkluderade användarna utesluts inte.
9 ❌ Det går

inte att tilldela en princip till en dynamisk användargrupp och exkludera enhetsgrupper (både dynamiska och statiska) stöds inte.
10 ❌ Det går

inte att tilldela en princip till en dynamisk användargrupp och exkludera enhetsgrupper (både dynamiska och statiska) stöds inte.
11 ✔️ Stöd för

att tilldela en princip till en dynamisk användargrupp samtidigt som andra användargrupper (både dynamiska och statiska) stöds.
12 ✔️ Stöd för

att tilldela en princip till en dynamisk användargrupp samtidigt som andra användargrupper (både dynamiska och statiska) stöds.
13 ❌ Det går

inte att tilldela en princip till en statisk användargrupp utan enhetsgrupper (både dynamiska och statiska) stöds inte.
14 ❌ Det går

inte att tilldela en princip till en statisk användargrupp utan enhetsgrupper (både dynamiska och statiska) stöds inte.
15 ✔️ Stöd för

att tilldela en princip till en statisk användargrupp samtidigt som andra användargrupper (både dynamiska och statiska) stöds.
16 ✔️ Stöd för

att tilldela en princip till en statisk användargrupp samtidigt som andra användargrupper (både dynamiska och statiska) stöds.

Nästa steg

Mer information om hur du övervakar dina principer och de enheter som kör dina principer finns i Övervaka enhetsprofiler .