Prestandarekommendationer för gruppering, inriktning och filtrering i stora Microsoft Intune-miljöer
När du skapar en princip kan du använda filter för att tilldela en princip baserat på regler som du skapar. Du kan använda filter på Intune-registrerade enheter och Intune-hanterade appar. En översikt över filter finns i Använda filter när du tilldelar appar, principer och profiler i Microsoft Intune.
När du skapar filter finns det några prestandarekommendationer som du bör överväga.
Den här artikeln listar och beskriver rekommendationer för Intune-gruppering, inriktning och filtrering för dina principer och appar. Målet är att hjälpa dig att fatta arkitektur- och designbeslut för Intune-distributioner i stora miljöer.
Dessa prestandarekommendationer och deras implementering kan vara olika och beror på din egen miljö & andra faktorer, inklusive hanterbarhet och enkelhet.
I den här artikeln:
- Få en översikt över intune-gruppering och inriktningsbegrepp
- Få några prestandarekommendationer
Vägledning om dynamiska grupper finns i Skapa enklare och effektivare regler för dynamiska grupper i Microsoft Entra-ID.
Översikt över begrepp för gruppering och inriktning i Intune
Nu ska vi granska de grupperings-, mål- och filtreringsfunktioner som är tillgängliga i Intune.
Microsoft Entra-grupper
Intune använder nästan uteslutande Microsoft Entra-grupper för gruppering och inriktning. När du väljer Grupper i administrationscentret för Microsoft Intune tittar du på Microsoft Entra-grupper.
Microsoft Entra-grupper är en viktig del av Intune eftersom dessa grupper är:
- De objekt som används för att tilldela appar, principer och andra arbetsbelastningar till användare och enheter
- Används för att definiera de enheter som administratörer kan visa och hantera i Intune-administrationscentret, till exempel omfångsgrupper i rollbaserad åtkomstkontroll (RBAC)
Virtuella grupper
Tilldelningarna Alla användare och Alla enheter är "virtuella" Intune-grupper. Dessa virtuella grupper är tillgängliga som standard i alla Intune-klientorganisationer och har inga hanteringskostnader. Du behöver till exempel inte skapa eller justera några Microsoft Entra-ID-regler så att deras medlemmar fylls i.
Grupperna Alla användare och Alla enheter är också mycket skalbara och optimerade, främst för att de inte behöver synkroniseras från Microsoft Entra-ID på samma sätt som andra grupper gör.
Filter
När appen eller principen har tilldelats till ett Microsoft Entra-ID eller en virtuell grupp kan du använda filter för att begränsa tilldelningsomfånget för dessa appar och principer till specifika användar- eller enhetsgrupper.
Filtret filtrerar enheter in (eller ut) från tilldelningen baserat på enhetsegenskaper.
Filtrering är högpresterande, utvärdering med låg latens vid enhetsincheckning utan att du behöver förberäkna gruppmedlemskap.
Prestandarekommendationer
Det här avsnittet innehåller några rekommendationer som kan förbättra prestanda när du tilldelar dina principer i Microsoft Intune.
De här rekommendationerna fokuserar på att förbättra prestanda och minska svarstiden i tilldelning av arbetsbelastningar. De har störst inverkan när de arbetar i stora Intune-miljöer, till exempel miljöer med >100 000 enheter. Dessa rekommendationer bör övervägas med andra designaspekter, till exempel hanterbarhet, användarvänlighet, rollbaserad administration och enkelhet.
Använda de inbyggda virtuella grupperna
| GÖRA | GÖR INTE |
|---|---|
| ✅ Använd de virtuella grupperna Alla användare och Alla enheter i stället för att skapa en egen version av alla användare/alla enheter med hjälp av dynamiska Microsoft Entra-grupper. | ❌ Skapa inte dina egna dynamiska grupper "Alla användare" eller "Alla enheter" för princip- och appinriktning i Intune. |
Större grupper tar längre tid att synkronisera medlemskapsuppdateringar mellan Microsoft Entra-ID och Intune. Enheterna Alla användare och Alla är vanligtvis de största grupperna du har. Om du tilldelar Intune-arbetsbelastningar till stora Microsoft Entra-grupper som har många användare eller enheter kan synkroniseringsloggar inträffa i Din Intune-miljö. Den här kvarvarande informationen påverkar princip- och appdistributioner, vilket tar längre tid att nå hanterade enheter.
De inbyggda grupperna Alla användare och Alla enheter är grupperingsobjekt endast för Intune som inte finns i Microsoft Entra-ID. Det finns ingen kontinuerlig synkronisering mellan Microsoft Entra ID och Intune. Gruppmedlemskap är alltså omedelbart.
Obs!
Information om uppdateringsintervall för Intune-incheckningsprinciper finns i Uppdateringsintervall för Intune-princip.
Du kan också tillämpa den här optimeringen på andra stora och ofta föränderliga grupper som du kan ha, till exempel "Alla Windows-enheter" eller "alla iOS-enheter". I stället för att skapa och rikta in sig på dessa grupper använder du de befintliga virtuella grupperna "Alla användare" eller "Alla enheter", eftersom Intune-principer och -program automatiskt begränsas av plattformen.
När du använder mycket stora grupper i Intune (över 100 000 medlemmar) förväntar du dig en viss inledande fördröjning i målinriktningen. Det finns en konfigurationsprocess för första gången mellan Microsoft Entra ID och Intune. Den första fullständiga synkroniseringen tar alltid längre tid än efterföljande inkrementella synkroniseringar.
Återanvänd grupper
| GÖRA | GÖR INTE |
|---|---|
| ✅ Återanvänd samma gruppobjekt för att tilldela flera principer. |
❌ Skapa inte duplicerade kopior av samma grupp för att rikta in dig på olika principer. ❌ Skapa inte dedikerade "appgrupper" eller "principgrupper". |
I bakgrunden konverterar Intune Microsoft Entra-gruppmedlemmar till tilldelningsinriktningsmeddelanden för varje användare och enhet. Den här processen är mycket optimerad när gruppobjekten är desamma.
Intune-gruppering och -inriktning fungerar till exempel bäst när användargruppen "Teknik" är riktad mot 10 principer. Det fungerar inte bäst när teknikanvändare är medlemmar i 10 olika grupper, där varje grupp tilldelas till en annan princip.
Vi har sett några mönster som inte använder den här vägledningen. IT-administratörer skapar till exempel en "Install_Edge"-grupp, skapar en "Deploy_Edge_Config_Policy"-grupp och placerar sedan samma enheter i varje grupp, vilket inte rekommenderas för prestanda.
Ett liknande och inte rekommenderat mönster är att skapa "Appgrupper". En appgrupp är när varje app har flera Microsoft Entra-grupper som skapats för den. Om du till exempel vill hantera Microsoft Edge-programmet skapar en administratör följande grupper:
- Edge_Required
- Edge_Available
- Edge_Uninstall
Administratören lägger till enskilda användare eller enheter i dessa grupper. Dessa appgrupper ökar dramatiskt antalet Microsoft Entra-grupper som Intune måste prenumerera på och övervaka för medlemskapsuppdateringar, vilket är mindre effektivt. Ineffektiv design för gruppsynkronisering påverkar hur snabbt nya tilldelningar skapas och levereras till enheter.
Göra inkrementella gruppändringar
| GÖRA | GÖR INTE |
|---|---|
| ✅ Var försiktig med stora gruppkapslingsändringar i Microsoft Entra-ID. | ❌ Gör inte stora gruppkapslingsändringar samtidigt. |
En stor gruppmedlemskapsändring i Microsoft Entra-ID kan generera ökningar av måländringar i Intune. Dessa ökningar kan fördröja målinriktningen för andra tilldelningar i din miljö.
Om en uppsättning administratörer hanterar dina grupper och en annan uppsättning hanterar Microsoft Entra-ID bör du kommunicera vilken inverkan Microsoft Entra ID-ändringar kan ha på Intune-mål.
Om en Microsoft Entra-administratör till exempel kapslar nya stora grupper i en befintlig grupp som Intune använder för att rikta in sig på, börjar Intune synkronisera alla grupper och gruppmedlemskap. Den tid det tar att bearbeta alla medlemskap beror på antalet och storleken på gruppändringar som görs i Microsoft Entra-ID.
Den här rekommendationen gäller även när grupper är "oregistrerade". Mer information om kapslade grupper finns i Hantera Microsoft Entra-grupper och gruppmedlemskap.
Använda filter för att inkludera och exkludera
| GÖRA | GÖR INTE |
|---|---|
| ✅ Använd filter för att uppnå rätt kombination av användare och enhet för målinriktning. | ❌ Blanda inte användargrupper och enhetsgrupper när du använder grupperna Inkludera och Exkludera. |
Den här rekommendationen är också en support-instruktion. Vi rekommenderar eller stöder inte att du skapar tilldelningar till användargrupper och exkluderar en enhetsgrupp från den tilldelningen, eller tvärtom.
Den här rekommendationen finns på grund av tids- och svarstidsegenskaperna för dynamiska grupper. Medlemskap i exkluderade grupper är inte omedelbart, vilket kan resultera i fall där enheter felaktigt tar emot app- eller principtilldelningar. Mer information finns i Tilldela principer och profiler – supportmatris.
I stället för blandade undantag rekommenderar vi att du tilldelar till en användargrupp. Använd sedan filter för att dynamiskt inkludera eller exkludera lämpliga enheter.
Sammanfattning
När du skapar och hanterar tilldelningar i Intune bör du inkludera några av dessa rekommendationer. Använd grupper eller virtuella grupper och använd filter för att förfina målomfånget. Tänk på metodtipsen:
- Skapa inte din egen version av grupperna "Alla användare" eller "Alla enheter". Använd de virtuella Intune-grupperna eftersom de inte kräver Microsoft Entra-ID-synkronisering när en ny användare eller enhet läggs till i miljön.
- Om du vill optimera din inriktning återanvänder du grupper så mycket som möjligt.
- Var försiktig när du gör stora kapslingsändringar i Intune-grupper. Intune måste bearbeta alla dessa ändringar och beräkna effektiva ändringar för alla medlemmar i alla grupper som påverkas av ändringen.
- Intune stöder inte undantag för blandade grupper. Använd därför filter för att dynamiskt inkludera och exkludera enheter utöver grupp- eller virtuell grupptilldelningar.