Utbildning
Modul
Förstå principer för villkorlig åtkomst med Microsoft Intune - Training
I den här modulen får du lära dig mer om princip- och säkerhetshantering med hjälp av Microsoft Intune.
Tilldela principer i Microsoft Intune
När du skapar en Intune-princip innehåller den alla inställningar som du har lagt till och konfigurerat i principen. När principen är redo att distribueras är nästa steg att "tilldela" principen till dina användar- eller enhetsgrupper. När du tilldelar principen får användarna och enheterna din princip och de inställningar som du har angett tillämpas.
I Intune kan du skapa och tilldela följande principer:
- Appskyddsprinciper
- Appkonfigurationsprinciper
- Kompatibilitetsprinciper
- Principer för villkorsstyrd åtkomst
- Enhetskonfigurationsprofiler
- Registreringsprinciper
Den här artikeln visar hur du tilldelar en princip, innehåller viss information om hur du använder omfångstaggar, beskriver när du ska tilldela principer till användargrupper eller enhetsgrupper med mera.
Den här funktionen gäller för:
- Android
- iOS/iPadOS
- macOS
- Linux
- Windows
Se till att du har rätt roll som kan tilldela principer och profiler. Mer information finns i RBAC (rollbaserad åtkomstkontroll) med Microsoft Intune.
Överväg att använda Microsoft Copilot i Intune. Några fördelar är:
- När du skapar en princip och konfigurerar inställningar ger Copilot mer information om varje inställning, kan rekommendera ett värde och hitta potentiella konflikter.
- När du tilldelar en princip kan Copilot berätta för dig vilka grupper principen har tilldelats och hjälpa dig att förstå principens effekt.
Mer information finns i Microsoft Copilot i Intune.
Logga in på Microsoft Intune administrationscenter.
Välj Enheter>Hantera enheter>Konfiguration. Alla profiler visas.
Välj den profil som du vill tilldela >Egenskaper>Tilldelningar>Redigera:
Om du till exempel vill tilldela en enhetskonfigurationsprofil:
Gå till Enheter>Hantera enheter>Konfiguration. Alla profiler visas.
Välj den princip som du vill tilldela >Egenskaper>Tilldelningar>Redigera:
Under inkluderade grupper eller undantagna grupper väljer du Lägg till grupper för att välja en eller flera Microsoft Entra-grupper. Om du tänker distribuera principen brett till alla tillämpliga enheter väljer du Lägg till alla användare eller Lägg till alla enheter.
Anteckning
Om du väljer "Alla enheter" och "Alla användare" inaktiveras alternativet för att lägga till ytterligare Microsoft Entra-grupper.
Välj Granska + Spara. Det här steget tilldelar inte din princip.
Välj Spara. När du sparar tilldelas principen. Dina grupper får dina principinställningar när enheterna checkar in med Intune-tjänsten.
Använd filter för att tilldela en princip baserat på regler som du skapar. Du kan skapa filter för:
- Appkonfigurationsprinciper
- Appskyddsprinciper
- Apptilldelningar
- Kompatibilitetsprinciper
- Enhetskonfigurationsprofiler
Mer information finns i:
Principuppsättningar skapa en grupp eller samling befintliga appar och principer. När principuppsättningen skapas kan du tilldela principuppsättningen från en enda plats i Microsoft Intune administrationscenter.
Mer information finns i Använda principuppsättningar för att gruppera samlingar av hanteringsobjekt i Microsoft Intune.
Omfångstaggar är ett bra sätt att filtrera principer till specifika grupper, till exempel
US-NC IT TeamellerJohnGlenn_ITDepartment. Mer information finns i Använda RBAC och omfångstaggar för distribuerade IT-.På Windows-enheter kan du lägga till tillämplighetsregler så att principen endast gäller för en specifik operativsystemversion eller en specifik Windows-utgåva. Mer information finns i Tillämplighetsregler.
Många användare frågar när de ska använda användargrupper och när de ska använda enhetsgrupper. Svaret beror på ditt mål. Här är några riktlinjer som hjälper dig att komma igång.
Om du vill tillämpa inställningar på en enhet, oavsett vem som är inloggad, tilldelar du dina principer till en enhetsgrupp. Inställningar som tillämpas på enhetsgrupper följer alltid med enheten, inte användaren.
Till exempel:
Enhetsgrupper är användbara för att hantera enheter som inte har en dedikerad användare. Dessa enheter kan skriva ut biljetter, skanna inventering, delas av skiftarbetare & hälso- och sjukvårdspersonal och så vidare. Placera dessa enheter i en enhetsgrupp och tilldela dina principer till den här enhetsgruppen.
Du kan till exempel registrera användarlösa iOS/iPadOS-enheter med delad iPad eller Microsoft Entra läget delad enhet. Lägg sedan till dessa enheter i en enhetsgrupp. När du är redo att tilldela principer tilldelar du principerna till den här enhetsgruppen.
Du skapar en DfCI Intune-profil (Device Firmware Configuration Interface) som uppdaterar inställningarna i BIOS. Du kan till exempel konfigurera den här principen för att inaktivera enhetens kamera eller låsa startalternativen för att förhindra att användare startar ett annat operativsystem. Den här principen är ett bra scenario för att tilldela till en enhetsgrupp.
På vissa specifika Windows-enheter vill du alltid styra vissa Microsoft Edge inställningar, oavsett vem som använder enheten. Du vill till exempel blockera alla nedladdningar, begränsa alla cookies till den aktuella webbläsarsessionen och ta bort webbhistoriken. I det här scenariot placerar du dessa specifika Windows-enheter i en enhetsgrupp. Skapa sedan en administrativ mall i Intune, lägg till de här enhetsinställningarna och tilldela sedan den här principen till enhetsgruppen.
Sammanfatta genom att använda enhetsgrupper när du inte bryr dig om vem som är inloggad på enheten eller om någon loggar in. Du vill att dina inställningar alltid ska finnas på enheten.
Principinställningar som tillämpas på användargrupper följer alltid med användaren och följer med användaren när han eller hon är inloggad på sina många enheter. Det är normalt att användarna har många enheter, till exempel en Surface Pro för arbete och en personlig iOS/iPadOS-enhet. Och det är normalt att en person får åtkomst till e-post och andra organisationsresurser från dessa enheter.
Om en användare har flera enheter på samma plattform kan du använda filter på grupptilldelningen. En användare har till exempel en personlig iOS/iPadOS-enhet och en organisationsägd iOS/iPadOS. När du tilldelar en princip för den användaren kan du använda filter för att endast rikta in dig på den organisationsägda enheten.
Följ den här allmänna regeln: Om en funktion tillhör en användare, till exempel e-post eller användarcertifikat, tilldelar du till användargrupper.
Till exempel:
Du vill lägga till en supportikon för alla användare på alla deras enheter. I det här scenariot placerar du dessa användare i en användargrupp och tilldelar din supportikonprincip till den här användargruppen.
En användare får en ny organisationsägd enhet. Användaren loggar in på enheten med sitt domänkonto. Enheten registreras automatiskt i Microsoft Entra ID och hanteras automatiskt av Intune. Den här principen är ett bra scenario att tilldela till en användargrupp.
När en användare loggar in på en enhet vill du styra funktioner i appar, till exempel OneDrive eller Office. I det här scenariot tilldelar du dina OneDrive- eller Office-principinställningar till en användargrupp.
Du vill till exempel blockera ActiveX-kontroller som inte är betrodda i dina Office-appar. Du kan skapa en Administrativ mall i Intune, konfigurera den här inställningen och sedan tilldela den här principen till en användargrupp.
Sammanfatta genom att använda användargrupper när du vill att dina inställningar och regler alltid ska följa med användaren, oavsett vilken enhet de använder.
Du kan använda Intune för att hantera Windows-fjärrskrivbord med flera sessioner som skapats med Azure Virtual Desktop, precis som du hanterar andra delade Windows-klientenheter. När du tilldelar principer till användargrupper eller enheter är Azure Virtual Desktop flera sessioner ett särskilt scenario. Med virtuella datorer måste enhets-CSP:er riktas mot enhetsgrupper. Användar-CSP:er måste vara mål för användargrupper.
Mer information finns i Använda Flera sessioner i Azure Virtual Desktop med Microsoft Intune.
Principinställningarna för Windows-enheter baseras på konfigurationstjänstleverantörerna (CSP:er). De här inställningarna mappas till registernycklar eller filer på enheterna.
Det här behöver du veta om Windows CSP:er:
Intune exponerar dessa CSP:er så att du kan konfigurera de här inställningarna och tilldela dem till dina Windows-enheter. De här inställningarna kan konfigureras med hjälp av de inbyggda mallarna och med hjälp av -inställningskatalogen. I inställningskatalogen ser du att vissa inställningar gäller för användaromfånget och vissa inställningar gäller för enhetens omfång.
Information om hur inställningar för användaromfång och enhetsomfattning tillämpas på Windows-enheter finns i Inställningskatalog: Enhetsomfattning jämfört med inställningar för användaromfång.
När en princip tas bort eller inte längre tilldelas till en enhet kan olika saker hända, beroende på inställningarna i principen. Varje molnlösningsleverantör kan hantera principborttagningen på olika sätt.
En inställning kan till exempel behålla det befintliga värdet och inte återgå till ett standardvärde. Varje CSP styr beteendet. En lista över Windows CSP:er finns i CSP-referens (Configuration Service Provider).
Om du vill ändra en inställning till ett annat värde skapar du en ny princip, konfigurerar inställningen till Inte konfigurerad och tilldelar principen. När principen gäller för enheten bör användarna ha kontroll över att ändra inställningen till önskat värde.
När du konfigurerar de här inställningarna föreslår vi att du distribuerar till en pilotgrupp. Mer information om Intune-distribution finns i skapa en distributionsplan.
Med intune-enhetskonfigurationsprinciper kan du inkludera och exkludera grupper från principtilldelning.
Som bästa praxis:
- Skapa och tilldela principer specifikt för dina användargrupper. Använd filter för att inkludera eller exkludera enheter för dessa användare.
- Skapa och tilldela olika principer specifikt för dina enhetsgrupper.
Mer information om grupper finns i Lägga till grupper för att organisera användare och enheter.
När du tilldelar principer och principer tillämpar du följande allmänna principer:
Tänk på inkluderade grupper eller undantagna grupper som utgångspunkt för de användare och enheter som ska ta emot dina principer. Microsoft Entra-gruppen är den begränsande gruppen, så använd det minsta möjliga gruppomfånget. Använd filter för att begränsa eller förfina principtilldelningen.
Tilldelade Microsoft Entra-grupper, även kallade statiska grupper, kan läggas till i inkluderade grupper eller exkluderade grupper.
Vanligtvis tilldelar du enheter statiskt till en Microsoft Entra-grupp om de är förregistrerade i Microsoft Entra ID, som med Windows Autopilot. Eller, om du vill kombinera enheter för en engångsdistribution, ad hoc-distribution. Annars kanske det inte är praktiskt att statiskt tilldela enheter till en Microsoft Entra-grupp.
Dynamiska Microsoft Entra-användargrupper kan läggas till i inkluderade grupper eller exkluderade grupper.
Undantagna grupper kan vara grupper med användare eller grupper med enheter.
Dynamiska Microsoft Entra-enhetsgrupper kan läggas till i inkluderade grupper. Men det kan finnas svarstider när du fyller i det dynamiska gruppmedlemskapet. I svarstidskänsliga scenarier använder du filter för att rikta in dig på specifika enheter och tilldela dina principer till användargrupper.
Du vill till exempel att principer ska tilldelas till enheter så snart de registreras. I den här fördröjningskänsliga situationen skapar du ett filter för att rikta in dig på de enheter du vill använda och tilldela principen med det här filtret till användargrupper. Tilldela inte till enhetsgrupper.
I ett användarlöst scenario skapar du ett filter för att rikta in dig på de enheter du vill använda och tilldela principen med filtret till gruppen "Alla enheter".
Undvik att lägga till dynamiska Microsoft Entra-enhetsgrupper i undantagna grupper. Svarstid i dynamisk enhetsgruppberäkning vid registrering kan orsaka oönskade resultat. Till exempel kan oönskade appar och principer distribueras innan det exkluderade gruppmedlemskapet fylls i.
Använd följande matris för att förstå stödet för att exkludering av grupper:
- ✅: Stöds
- ❌: Stöds inte
- ❕ : Stöds delvis
| Scenario | Support |
|---|---|
| 1 | ❕ Delvis stöd för Det finns stöd för att tilldela principer till en dynamisk enhetsgrupp samtidigt som du utesluter en annan dynamisk enhetsgrupp. Men det rekommenderas inte i scenarier som är känsliga för svarstider. Alla fördröjningar i exkludera gruppmedlemskapsberäkningar kan göra att principer erbjuds till enheter. I det här scenariot rekommenderar vi att du använder filter i stället för dynamiska enhetsgrupper för att exkludering av enheter. Du har till exempel en enhetsprincip som är tilldelad till Alla enheter. Senare har du ett krav på att nya marknadsföringsenheter inte får den här principen. Så du skapar en dynamisk enhetsgrupp som heter Marketing-enheter baserat på enrollmentProfilenameegenskapen (device.enrollmentProfileName -eq "Marketing_devices"). I principen lägger du till Marketing-enheter dynamisk grupp som en undantagen grupp.
En ny marknadsföringsenhet registreras i Intune för första gången och ett nytt Microsoft Entra-enhetsobjekt skapas. Den dynamiska grupperingsprocessen placerar enheten i gruppen Marketing-enheter med en möjlig fördröjd beräkning. Samtidigt registreras enheten i Intune och börjar ta emot alla tillämpliga principer. Intune-principen kan distribueras innan enheten placeras i undantagsgruppen. Det här beteendet resulterar i att en oönskad princip (eller app) distribueras till gruppen Marketing-enheter. Därför rekommenderar vi inte att dynamiska enhetsgrupper används för undantag i fördröjningskänsliga scenarier. Använd i stället filter. |
| 2 |
✅ Stöds Det finns stöd för att tilldela en princip till en dynamisk enhetsgrupp samtidigt som en statisk enhetsgrupp exkluderas. |
| 3 |
❌ Stöds inte Det finns inte stöd för att tilldela en princip till en dynamisk enhetsgrupp samtidigt som användargrupper (både dynamiska och statiska) undantas. Intune utvärderar inte användar-till-enhet-grupprelationer och enheter för de inkluderade användarna utesluts inte. |
| 4 |
❌ Stöds inte Det går inte att tilldela en princip till en dynamisk enhetsgrupp och exkludera användargrupper (både dynamiska och statiska). Intune utvärderar inte användar-till-enhet-grupprelationer och enheter för de inkluderade användarna utesluts inte. |
| 5 | ❕ Delvis stöd Det finns stöd för att tilldela en princip till en statisk enhetsgrupp samtidigt som en dynamisk enhetsgrupp exkluderas. Men det rekommenderas inte i scenarier som är känsliga för svarstider. Alla fördröjningar i exkludera gruppmedlemskapsberäkningar kan göra att principer erbjuds till enheter. I det här scenariot rekommenderar vi att du använder filter i stället för dynamiska enhetsgrupper för att exkludering av enheter. |
| 6 |
✅ Stöds Det finns stöd för att tilldela en princip till en statisk enhetsgrupp och exkludera en annan statisk enhetsgrupp. |
| 7 |
❌ Stöds inte Det går inte att tilldela en princip till en statisk enhetsgrupp och exkludera användargrupper (både dynamiska och statiska). Intune utvärderar inte användar-till-enhet-grupprelationer och enheter för de inkluderade användarna utesluts inte. |
| 8 |
❌ Stöds inte Det går inte att tilldela en princip till en statisk enhetsgrupp och exkludera användargrupper (både dynamiska och statiska). Intune utvärderar inte användar-till-enhet-grupprelationer och enheter för de inkluderade användarna utesluts inte. |
| 9 |
❌ Stöds inte Det går inte att tilldela en princip till en dynamisk användargrupp och exkludera enhetsgrupper (både dynamiska och statiska). |
| 10 |
❌ Stöds inte Det går inte att tilldela en princip till en dynamisk användargrupp och exkludera enhetsgrupper (både dynamiska och statiska). |
| 11 |
✅ Stöds Det finns stöd för att tilldela en princip till en dynamisk användargrupp samtidigt som andra användargrupper (både dynamiska och statiska) undantas. |
| 12 |
✅ Stöds Det finns stöd för att tilldela en princip till en dynamisk användargrupp samtidigt som andra användargrupper (både dynamiska och statiska) undantas. |
| 13 |
❌ Det finns inte stöd för Det finns inte stöd för att tilldela en princip till en statisk användargrupp samtidigt som enhetsgrupper (både dynamiska och statiska) undantas. |
| 14 |
❌ Det finns inte stöd för Det finns inte stöd för att tilldela en princip till en statisk användargrupp samtidigt som enhetsgrupper (både dynamiska och statiska) undantas. |
| 15 |
✅ Stöds Det finns stöd för att tilldela en princip till en statisk användargrupp samtidigt som andra användargrupper (både dynamiska och statiska) undantas. |
| 16 |
✅ Stöds Det finns stöd för att tilldela en princip till en statisk användargrupp samtidigt som andra användargrupper (både dynamiska och statiska) undantas. |
Se övervaka enhetsprofiler för vägledning om hur du övervakar dina principer och de enheter som kör dina principer.
Ytterligare resurser
Dokumentation
-
Distribuera enhetsprofiler i Microsoft Intune
Lägg till eller konfigurera en enhetskonfigurationsprofil i Microsoft Intune. Välj plattformstyp, konfigurera inställningarna och lägg till en omfångstagg.
-
Se enhetskonfigurationsprinciper med Microsoft Intune
Se och hantera information om enhetskonfigurationsprincipen i Microsoft Intune. Titta på ett grafiskt diagram över antalet enheter som tilldelats en princip och se vilka enheter som har principer tilldelade eller distribuerade. Kan också felsöka principer som har konfliktinställningar.
-
Principuppsättningar - Microsoft Intune
Använd principuppsättningar för att gruppera samlingar med hanteringsobjekt i Microsoft Intune.