Distribuerad IT-miljö med många administratörer i samma Microsoft Intune klientorganisation

Många organisationer använder en distribuerad IT-miljö där de har en enda Microsoft Intune klientorganisation med flera lokala administratörer. Den här artikeln beskriver ett sätt att skala Microsoft Intune för att stödja flera lokala administratörer som hanterar sina egna användare, enheter och skapar sina egna principer inom en enda Microsoft Intune klientorganisation. Det finns inget rätt eller fel svar på hur många administratörer du kan ha i din klientorganisation. Artikeln fokuserar på klienter som har många lokala administratörer.

Distribuerad IT behövs i system där ett stort antal lokala administratörer ansluter till en enda Intune-klientorganisation. Vissa skolsystem är till exempel ordnade så att du har en lokal administratör för varje skola i systemet eller regionen. Ibland kan den här distribuerade miljön vara 15 eller flera olika lokala administratörer som ansluter till samma centrala system eller Microsoft Intune klientorganisation.

Varje lokal administratör kan konfigurera grupper så att de passar organisationens behov. Den lokala administratören skapar vanligtvis grupper och organiserar flera användare eller enheter efter geografisk plats, avdelning eller maskinvaruegenskaper. De lokala administratörerna använder också dessa grupper för att hantera uppgifter i stor skala. De lokala administratörerna kan till exempel ange principer för många användare eller distribuera appar till en uppsättning enheter.

Roller som du behöver känna till

• Centralt team: Det centrala teamet eller gruppen innehåller globala administratörer eller primära administratörer i din klientorganisation. Dessa administratörer kan övervaka alla lokala administratörer och kan ge vägledning till de lokala administratörerna.

• Lokala administratörer: De lokala administratörerna är lokala och fokuserar på principer och profiler för sina specifika platser. skolor, sjukhus och så vidare.

Rollbaserad åtkomstkontroll

Det här avsnittet beskriver kort de olika modellerna och föreslår riktlinjer under varje modell för hantering av principer, profiler och appar mellan centralteamet och de lokala administratörerna. Modellerna är:

• Partiell delegeringsmodell
• Fullständig delegeringsmodell
• Central modell
• Delegerad modell
• Hybridmodell

Partiell delegeringsmodell

Den partiella delegeringsmodellen föreslår följande riktlinjer för principhantering mellan centralteamet och de lokala administratörerna.

✔️ Behörigheter

• Behörigheter för att skapa, uppdatera och ta bort för principer, registreringsprofiler och appar ska innehas av centralteamet.
• Bevilja endast läs- och tilldelningsbehörigheter till de lokala administratörerna.

✔️ Återanvända

• Vanliga konfigurerade principer, registreringsprofiler och appar bör göras tillgängliga för de lokala administratörerna att återanvända så mycket som möjligt.
• Microsoft Intune använder många vanliga konfigurationer som hör till några kategorier. Granska rekommendationerna för appskyddsprinciper.
• När lokala administratörer registreras bör de granska befintliga principer och återanvända dem efter behov.

✔️ Undantag

• Central-teamet kan skapa vissa nya principer, registreringsprofiler och appar som undantag vid behov för de lokala administratörernas räkning. Dessa undantag omfattar vanligtvis alla typer av profiler som kräver unika parametrar.

En partiell delegeringsmodell föreslås inom följande två områden:

Riktlinjer för grupper och tilldelningar för lokala administratörer: Vilka är några av de metodtips som lokala administratörer kan använda när de organiserar grupper för enhetshantering via Microsoft Intune? Läs artikeln Intune-gruppering, inriktning och filtrering: Rekommendationer för bästa prestanda – Microsoft Tech Community

Funktionsspecifika riktlinjer: Hur hanteras principer/profiler/appar mellan en central utfärdare och de lokala administratörerna med specifika behörigheter för de olika funktionerna. Mer information finns i avsnittet Funktionsspecifika riktlinjer.

Fullständig delegeringsmodell

Den fullständiga delegeringsmodellen föreslår följande riktlinjer för principhantering mellan centralteamet och de lokala administratörerna.

• Varje lokal administratör bör ha en egen omfångstagg för att separera varje objekt som de hanterar fullständigt.
• När den lokala administratören inte behöver skapa, uppdatera eller ta bort ger du den lokala administratören en roll med läs- och tilldelningsbehörighet och undviker att tilldela någon annan roll med fullständig behörighet till dem. Med den här metoden kan du undvika att kombinera behörigheter mellan omfångstaggar.
• Ibland kan de lokala administratörerna behöva skapa egna principer, profiler och appar samtidigt som de delar några vanliga principer, profiler och appar. I sådana fall skapar du en särskild grupp och tilldelar de gemensamma principerna, profilerna och apparna till den här gruppen. Den här gruppen bör inte ingå i omfångsgruppen för någon lokal administratör. Omfångsgrupp. Den här metoden förhindrar att behörigheterna för att skapa, uppdatera och ta bort som tilldelats de lokala administratörerna tillämpas på dessa vanliga principer, profiler och appar.

Central modell

I den centrala modellen hanterar ett enda lokalt administratörsteam (överordnat) flera underordnade organisationer. Faktorer som geografi, affärsenhet eller storlek kan relatera underordnade organisationer.

• Det finns bara en omfångstagg som används för att täcka alla hanterade lokala administratörer.

• Om möjligt bör det lokala administratörsteamet standardisera tilldelningar mellan lokala administratörer och placera alla sina enheter i en enda Microsoft Entra grupp för tilldelning. När det inte går att skapa en enda Microsoft Entra grupp kan det lokala administratörsteamet skapa olika Microsoft Entra grupper för att göra olika tilldelningar.

• Om ett annat lokalt administratörsteam hanterar eller flyttar en organisation måste följande steg vidtas:

  • Alla organisationens enheter och användare måste extraheras från vanliga Microsoft Entra grupper i omfånget för det ursprungliga lokala administratörsteamet.

  • Alla principer/appar/profiler som tilldelats unikt för organisationen måste ha sin omfångstagg uppdaterad för det nya lokala administratörsteamet.

Delegerad modell

I den delegerade modellen hanteras flera lokala administratörer (underordnade) både av sin dedikerade lokala administratör och övervakas också av ett mellanliggande lokalt administratörsteam. Både överordnade och underordnade administratörer har egna omfångstaggar som representerar hanteringsgränser.

• Om det finns färre än 50 underordnade administratörer kan det mellanliggande lokala administratörsteamet beviljas åtkomst genom att tilldela alla underordnade omfångstaggar till rbac-rolltilldelningen mellanliggande lokala administratörsteam.
• Om det finns fler än 50 underordnade administratörer bör det mellanliggande lokala administratörsteamet beviljas en egen omfångstagg för att representera hela samlingen med underordnade administratörer som de övervakar.
• Nyligen skapade principer under underordnade administratörens omfångstaggar måste ha den mellanliggande taggen tillagd av en global administratörsroll för att förhindra att det mellanliggande lokala administratörsteamet förlorar synlighet.

Hybridmodell

I hybridmodellen används samma överordnade administratör i både central och delegerad modell samtidigt. Det finns inga särskilda rekommendationer för den här modellen.

Funktionsspecifika riktlinjer

Beroende på affärskraven för varje funktion kan riktlinjerna i det här avsnittet rekommendera att du skapar principer per lokal administratör och/eller delegerar de behörigheter som krävs för att skapa objekt till de lokala administratörerna.

Obs!

Vägledningen i det här avsnittet behandlar inte alla funktioner, utan omfattar bara de områden som vi har särskilda instruktioner för.

Appskydd princip

Appskydd principer är regler som säkerställer att en organisations data förblir säkra eller finns i en hanterad app. Mer information finns i Appskydd principer.

Riktlinjerna för Appskydd principer delas upp i centralteamet och de lokala administratörerna på följande sätt:

Centralt team – Uppgifter

• Granska säkerhets- och affärsbehoven i organisationen och generera en uppsättning vanliga Appskydd principer för lokala administratörer.
• Granska rekommendationerna i listan för att identifiera vilka säkerhetskontroller som är lämpliga innan du skapar några Appskydd principer.
• Ha en etablerad metod för lokala administratörer för att begära anpassade Appskydd principer, om det behövs, för specifika affärsbehov där affärskraven inte kan uppnås med befintliga gemensamma principer.
• Specifika rekommendationer om varje konfigurationsnivå och de lägsta appar som måste skyddas finns i Dataskyddsramverket med hjälp av Appskydd-principer. Gå till Appskydd principer

Lokala administratörer – Behörigheter och uppgifter

• Ange läs- och tilldelningsbehörigheter, men inte skapa, uppdatera, ta bort behörigheter för hanterade appar, så att de inte kan skapa egna Appskydd principer.
• Ange läs- och tilldelningsbehörigheter för tilldelning av programkonfigurationsprinciper till deras appar.
• Ange endast läs- och tilldelningsbehörigheter när det finns olika skyddsprinciper för hanterade enheter och ohanterade enheter. Om centralteamet väljer att endast erbjuda en princip för båda behövs inte programkonfigurationsprincipen.
• Om programkonfigurationsprincipen används rekommenderar vi att du tilldelar programkonfigurationsprincipen till alla appinstanser utan undantag.
• Välj bland vanliga Appskydd principer. Lokala administratörer kan begära att det centrala teamet skapar anpassade appskyddsprinciper som ett undantag, och endast om det behövs.
• Mer information finns i Appskydd principer

Efterlevnadsprincip

Efterlevnadsprinciper i Intune definierar de regler och inställningar som användare och enheter måste uppfylla för att vara kompatibla. Mer information om efterlevnadsprinciper finns i Efterlevnadsprinciper.

Centralt team

Det centrala teamet bör skapa vanliga efterlevnadsprinciper som lokala administratörer kan välja mellan och endast, om det behövs, skapa undantagsprinciper. Mer information finns i Efterlevnadsprinciper. När du skapar principer kan du skapa anpassade skript för efterlevnadsprinciper eftersom de är föremål för samma skala som den normala efterlevnadsprincipen.

Mer information om hur du skapar en efterlevnadsprincip finns i Efterlevnadsprinciper.

Lokala administratörer

Ge lokala administratörer läs- och tilldelningsbehörigheter, men inte behörighet att skapa, uppdatera eller ta bort i efterlevnadsprincipen. Med läs- och tilldelningsbehörigheterna kan de välja bland de vanliga efterlevnadsprinciper som skapats av det centrala teamet och tilldela dem till sina användare och enheter.

Enhetskonfiguration

I det här avsnittet:

• Enhetsbegränsningar och allmän konfiguration
• Resursåtkomst
• Windows-uppdateringsringar
• Funktionsuppdateringar
• Kvalitetsuppdateringar

Enhetsbegränsningar och allmän konfiguration

• Ge lokala administratörer behörighet att skapa, uppdatera, ta bort inom sitt eget omfång.

• Använd inställningskatalogen och säkerhetsbaslinjerna i största möjliga utsträckning, i stället för profiler som skapats i listan Konfigurationsprofiler, för att minska skalan i Microsoft Intune administrationscenter.

• I allmänhet bör det centrala teamet försöka övervaka innehållet i konfigurationerna centralt och ersätta många dubblettprofiler där det är möjligt med en delad profil.

Resursåtkomst

Modellen fullständig delegering rekommenderas.

Windows-uppdateringsringar

• Vi rekommenderar att Windows-uppdateringsringar hanteras centralt. Det centrala teamet bör skapa så många vanliga Principer för Windows-uppdateringsring som de behöver för att stödja variansen hos de lokala administratörerna.
• De lokala administratörerna bör inte skapa egna Windows-uppdateringsringar. När du delegerar till ett stort antal administratörer kan det totala antalet objekt bli stort och svårt att hantera. Metodtipsen varierar för varje funktion. Mer information finns i Windows-uppdateringsringar.

Funktionsuppdateringar

Modellen fullständig delegering rekommenderas.

Kvalitetsuppdateringar

Modellen fullständig delegering rekommenderas.

Certifikat

• Vi rekommenderar att du använder behörigheter via det centrala teamet för att registrera/avregistrera anslutningsappar efter behov. Registrera anslutningsappar för varje lokal administratör för att stödja certifikatutfärdning.

• Ge inte de lokala administratörerna behörighet att uppdatera eller ta bort anslutningsappar.

Program

Ge lokala administratörer fullständig behörighet att hantera appar i omfattningen.

I det här avsnittet:

• Apples volyminköpsprogram

• Windows

• Android

Mer information finns i Hantera appar.

Apples volyminköpsprogram

För närvarande finns det inga skalningsproblem för det antal token för volyminköpsprogram som stöds. Mer information finns i Hur många token kan jag ladda upp..

Windows

• Lokala administratörer kan skapa Win32-appar efter behov inom den plattformsoberoende, branschspecifika appen och webblänkgränsen. Mer information finns i Win32-apphantering.

• Lokala administratörer kan köpa Microsoft Store för företag-appar (MSFB) efter behov.

  Obs!

  Microsoft Store för företag dras tillbaka. Från och med Windows 11 har du ett nytt alternativ för dina privata volymlicensierade appar. Mer information finns i Privat applagringsplats i Windows 11 och Uppdatera för att Microsoft Intune integrering med Microsoft Store i Windows.

Android

• Lokala administratörer bör välja mellan befintliga store-appar eller be det centrala teamet att lägga till nya Android Store-appar. Lokala administratörer bör inte skapa nya Android Store-appar. Det totala antalet objekt kan bli stort och svårt att hantera.

• Lokala administratörer kan skapa verksamhetsspecifika Android-appar efter behov inom den plattformsoberoende, branschspecifika appen och webblänkgränsen.

• Det centrala teamet måste lägga till hanterade Google Play-appar.

  • Det centrala teamet kan bara se hanterade Google Play-appar som är tillgängliga i deras klientorganisations land/region. Om det centrala teamet behöver en hanterad Google Play-app som endast är tillgänglig i vissa länder/regioner kan de behöva samarbeta med apputvecklaren för att få den korrekt listad.
  • Det centrala teamet bör hantera allt innehåll som rör hanterade Google Play-appar, inklusive privata appar, webbappar och samlingar. Om en kund till exempel planerar att använda den hanterade Google Play-iframe:en för att publicera privata appar måste de göra det med ett enda utvecklarkonto som ägs av det centrala teamet.
  • Det centrala teamet kan välja en enda omfångstagg som omfångstagg för Hanterad Google Play. Den har en särskild listruta på sidan för hanterat Google Play-anslutningsprogram. Omfångstaggen gäller för alla hanterade Google Play-appar när det centrala teamet lägger till dem i konsolen, men gäller inte retroaktivt för appar som redan har lagts till. Vi rekommenderar starkt att det centrala teamet anger omfångstaggen innan de lägger till appar och sedan tilldelar varje regionalt team den omfångstaggen. Annars kanske regionala administratörer inte kan se sina hanterade Google Play-appar.

• Endast en OEMConfig-princip stöds per enhet, förutom Zebra-enheter. Med Zebra-enheter rekommenderar vi starkt att du har det minsta möjliga antalet principer eftersom tiden för att tillämpa principen är additiv. Om du till exempel tilldelar sex principer med antagandet att de kommer att lägga sig ovanpå varandra tar det cirka 6 X längre tid att börja arbeta på enheten än en enda princip.

Obs!

Var mycket försiktig när du ställer in högprioriterade uppdateringslägen för många olika appar och grupper. Detta beror på flera orsaker:

• Även om många appar kan ställas in på högprioritetsläge kan endast en appuppdatering installeras i taget. En stor appuppdatering kan potentiellt blockera många mindre uppdateringar tills den stora appen är klar med installationen.
• Beroende på när appar släpper nya uppdateringar kan nätverksanvändningen plötsligt öka om applanseringarna sammanfaller. Om Wi-Fi inte är tillgängligt på vissa enheter kan det också uppstå en ökning av mobilanvändningen.
• Även om störande användarupplevelser redan har nämnts växer problemet när fler appar är inställda på högprioriterad uppdateringsläge.

Mer information om skalningsproblem gällande hanterade Google Play-appuppdateringar med högprioriterat uppdateringsläge finns i den här Techcommunity-artikeln.

Registreringsprofiler

I det här avsnittet:

• Autopilot
• Sidan Registreringsstatus (ESP)
• Apple Business Manager (ABM)
• Android Enterprise-profiler
• Registreringsbegränsningar
• Enhetskategorier

Autopilot

• Ge lokala administratörer behörighet att läsa Autopilot-enheter och ladda upp nya Autopilot-enheter.
• Lokala administratörer bör inte skapa Autopilot-profiler. När du delegerar till ett stort antal administratörer kan det totala antalet objekt bli stort och svårt att hantera. Bästa praxis varierar per funktionsområde. Mer information om Autopilot finns i Använda Autopilot för att registrera Windows-enheter i Intune.

Sidan Registreringsstatus

• Lokala administratörer bör välja från befintliga profiler för registreringsstatussidan som ska tilldelas, eller så bör de be centralteamet att skapa en undantagsprofil, endast om det behövs.
• Lokala administratörer bör inte skapa profiler för registreringsstatussidan. När du delegerar till ett stort antal administratörer kan det totala antalet objekt bli stort och svårt att hantera. Bästa praxis varierar per funktionsområde. Information om sidan Registreringsstatus finns i Konfigurera sidan Registreringsstatus.

Apple Business Manager

Om möjligt bör lokala administratörer inte beviljas behörighet att skapa, uppdatera eller ta bort för registreringsprofiler. Om lokala administratörer får behörighet att skapa Apple Business Manager-profiler får de även behörighet att skapa, uppdatera och ta bort dem i Autopilot. Lokala administratörer bör dock inte skapa Autopilot-profiler.

När du delegerar till ett stort antal administratörer kan det totala antalet objekt bli stort och svårt att hantera. Bästa praxis varierar per funktionsområde. Mer information finns i Använda Apple Business Manager för att registrera Apple-enheter i Intune.

Android Enterprise-profiler

• Central-teamet bör skapa Registreringsprofiler för företagsägda dedikerade Android Enterprise-enheter för varje lokal administratör för enhetsgruppering.
• Om möjligt bör lokala administratörer inte beviljas behörighet att skapa, uppdatera eller ta bort på Android Enterprise-enheter. De här begränsningarna hindrar lokala administratörer från att ändra inställningarna för Android Enterprise i hela klientorganisationen och den globala fullständigt hanterade registreringsprofilen.

Registreringsbegränsningar

• Samma uppsättning behörigheter styr både Enhetskonfiguration och Registreringsbegränsningar. När du beviljar behörighet att skapa för enhetskonfiguration beviljar du även behörighet att skapa för registreringsbegränsningar. Lokala administratörer bör dock inte ges behörighet att skapa profiler för registreringsbegränsningar. Därför bör de instrueras att inte skapa nya profiler för registreringsbegränsningar.

• Begränsningar för enhetsbegränsningar för registrering definierar hur många enheter varje användare kan registrera. Begränsningarna för enhetsbegränsningar för registrering bör omfatta alla möjliga enhetsgränser som lokala administratörer kan dela. Mer information finns i Vad är registreringsbegränsningar?

• Central-teamet bör standardisera begränsningar för enhetstyp så mycket som möjligt och lägga till nya begränsningar, men bara som särskilda undantag när en lokal administratör har granskat befintliga begränsningar.

Enhetskategorier

Funktionen Enhetskategorier (Enheter>Enhetskategorier) har inte en egen behörighetsfamilj. I stället styrs dess behörigheter av de behörigheter som anges under Organisation. Gå till Administrationsroller > för klientorganisation. Välj en anpassad eller inbyggd roll och välj Egenskaper. Här kan du tilldela behörigheter, varav en är Organisation. Så om du behöver läsbehörigheter för enhetskategorier anger du läsbehörigheter i Organisation.

Centrala team kan skapa enhetskategorier. Lokala administratörer bör dock inte tillåtas att skapa, uppdatera eller ta bort enhetskategorier, eftersom det skulle kräva att de beviljas behörighet för organisationen, vilket ger dem åtkomst till andra funktioner på klientorganisationsnivå som styrs av organisationsbehörigheter.

Mer information finns i Enhetskategorier.

Slutpunktsanalys

• Det centrala teamet bör skapa så många vanliga slutpunktsanalysbaslinjer som de behöver för att stödja variansen för de lokala administratörerna.
• Om möjligt bör lokala administratörer inte skapa egna slutpunktsanalysbaslinjer. När du delegerar till ett stort antal administratörer kan det totala antalet objekt bli stort och svårt att hantera. Bästa praxis varierar per funktionsområde.
• Mer information finns i Konfigurera inställningar i Slutpunktsanalys.