Büyük Microsoft Intune ortamlarında gruplandırma, hedefleme ve filtreleme için performans önerileri
İlke oluşturduğunuzda, oluşturduğunuz kurallara göre ilke atamak için filtreleri kullanabilirsiniz. Intune'a kayıtlı cihazlara ve Intune ile yönetilen uygulamalara filtre uygulayabilirsiniz. Filtrelere genel bakış için Microsoft Intune'da uygulamalarınızı, ilkelerinizi ve profillerinizi atarken filtreleri kullanma bölümüne gidin.
Filtreler oluştururken dikkate almanız gereken bazı performans önerileri vardır.
Bu makalede ilkeleriniz ve uygulamalarınız için Intune gruplandırma, hedefleme ve filtreleme önerileri listelenip açıklanmaktadır. Amaç, büyük ortamlarda Intune dağıtımları için mimari ve tasarım kararları oluşturmanıza yardımcı olmaktır.
Bu performans önerileri ve uygulamaları farklı olabilir ve kendi ortamınıza & yönetilebilirlik ve basitlik gibi diğer faktörlere bağlı olabilir.
Bu makalede:
- Intune gruplandırma ve hedefleme kavramlarına genel bakış edinin
- Bazı performans önerileri alın
Dinamik gruplar hakkında rehberlik için Microsoft Entra ID'de dinamik gruplar için daha basit ve daha verimli kurallar oluşturma bölümüne gidin.
Intune gruplandırma ve hedefleme kavramlarına genel bakış
Şimdi Intune'da kullanılabilen gruplandırma, hedefleme ve filtreleme özelliklerini gözden geçirelim.
Microsoft Entra grupları
Intune, gruplandırma ve hedefleme için neredeyse yalnızca Microsoft Entra gruplarını kullanır. Microsoft Intune yönetim merkezinde Gruplar'ı seçtiğinizde, Microsoft Entra gruplarına bakarsınız.
Microsoft Entra grupları Intune'un önemli bir parçasıdır çünkü bu gruplar şunlardır:
- Kullanıcılara ve cihazlara uygulama, ilke ve diğer iş yüklerini atamak için kullanılan nesneler
- Yöneticilerin Rol tabanlı erişim denetimindeki (RBAC) kapsam grupları gibi Intune yönetim merkezinde görüntüleyebileceği ve yönetebileceği cihazları tanımlamak için kullanılır
Sanal gruplar
Tüm kullanıcılar ve Tüm cihaz atamaları Intune "sanal" gruplarıdır. Bu sanal gruplar tüm Intune kiracılarında varsayılan olarak kullanılabilir ve herhangi bir yönetim yüküyle birlikte gelmez. Örneğin, üyelerin dolu kalmasını sağlamak için herhangi bir Microsoft Entra ID kuralı oluşturmanız veya ayarlamanız gerekmez.
Tüm kullanıcılar ve Tüm cihazlar grupları da yüksek oranda ölçeklenebilir ve iyileştirilmiştir, çünkü bunların diğer gruplarda olduğu gibi Microsoft Entra Id'den eşitlenmesi gerekmez.
Filtreler
Uygulama veya ilke bir Microsoft Entra Id veya sanal gruba atandıktan sonra, bu uygulamaların ve ilkelerin atama kapsamını belirli kullanıcı veya cihaz gruplarına daraltmak için filtreleri kullanabilirsiniz.
Filtreniz, cihaz özelliklerine göre bu atamanın içindeki (veya dışında) cihazları filtreler.
Filtreleme, grup üyeliğini önceden derlemeye gerek kalmadan cihaz iadesinde yüksek performanslı, düşük gecikme süreli uygulanabilirlik değerlendirmesidir.
Performans önerileri
Bu bölüm, Microsoft Intune'da ilkelerinizi atarken performansı geliştirebilecek bazı öneriler içerir.
Bu öneriler, performansı geliştirmeye ve iş yükü atamasında gecikme süresini azaltmaya odaklanır. Bunlar, 100.000 cihaz içeren >ortamlar gibi büyük Intune ortamlarında çalışırken en fazla etkiye sahiptir. Bu öneriler yönetilebilirlik, kullanım kolaylığı, rol tabanlı yönetim ve basitlik gibi diğer tasarım yönleriyle dikkate alınmalıdır.
Yerleşik sanal grupları kullanma
| YAPMAK | YAPMA |
|---|---|
| ✅ Microsoft Entra dinamik gruplarını kullanarak tüm kullanıcıların / tüm cihazların kendi sürümünü oluşturmak yerine Tüm kullanıcılar ve Tüm cihazlar sanal gruplarını kullanın. | ❌ Intune'da ilke ve uygulama hedefleme için kendi "Tüm kullanıcılar" veya "Tüm cihazlar" dinamik gruplarınızı oluşturmayın. |
Microsoft Entra ID ile Intune arasında üyelik güncelleştirmelerinin eşitlenmesi daha uzun sürer. Tüm kullanıcılar ve Tüm cihazlar genellikle sahip olduğunuz en büyük gruplardır. Intune iş yüklerini çok sayıda kullanıcısı veya cihazı olan büyük Microsoft Entra gruplarına atarsanız, eşitleme kapsamları Intune ortamınızda gerçekleşebilir. Bu kapsam, yönetilen cihazlara ulaşmanın daha uzun sürmesi için ilke ve uygulama dağıtımlarını etkiler.
Yerleşik Tüm kullanıcılar ve Tüm cihazlar grupları, Microsoft Entra Id'de mevcut olmayan yalnızca Intune gruplandırma nesneleridir. Microsoft Entra Id ile Intune arasında sürekli eşitleme yoktur. Bu nedenle, grup üyeliği anında yapılır.
Not
Intune iade ilkesi yenileme aralıkları hakkında bilgi için Intune İlkesi yenileme aralıkları'na gidin.
Bu iyileştirmeyi, "Tüm windows cihazları" veya "tüm iOS cihazları" gibi sahip olabileceğiniz diğer büyük ve sık değişen gruplara da uygulayabilirsiniz. Intune ilkeleri ve uygulamalarının kapsamı platforma göre otomatik olarak belirlenmiş olduğundan, bu grupları oluşturmak ve hedeflemek yerine mevcut "Tüm kullanıcılar" veya "Tüm cihazlar" sanal gruplarını kullanın.
Intune'da çok büyük gruplar kullanırken (100.000'den fazla üye), hedeflemede biraz gecikme olmasını bekleyin. Microsoft Entra ID ile Intune arasında ilk kez kurulum işlemi gerçekleştirilir. İlk tam eşitleme her zaman sonraki artımlı eşitlemelerden daha uzun sürer.
Grupları yeniden kullanma
| YAPMAK | YAPMA |
|---|---|
| ✅ Birden çok ilke atamak için aynı grup nesnelerini yeniden kullanın. |
❌ Farklı ilkeleri hedeflemek için aynı grubun yinelenen kopyalarını oluşturmayın. ❌ Ayrılmış "Uygulama grupları" veya "İlke grupları" oluşturmayın. |
Arka planda Intune, Microsoft Entra grubu üyelerini her kullanıcı ve cihaz için atama hedefleme iletilerine dönüştürür. Grup nesneleri aynı olduğunda bu işlem yüksek oranda iyileştirilir.
Örneğin, "Mühendislik" kullanıcı grubu 10 ilkeyle hedeflendiğinde Intune gruplandırma ve hedefleme en iyi şekilde çalışır. Mühendislik kullanıcıları her grubun farklı bir ilkeye atandığı 10 farklı grubun üyesi olduğunda en iyi sonucu vermez.
Bu kılavuzu kullanmayan birkaç tasarım gördük. Örneğin, BT yöneticileri bir "Install_Edge" grubu oluşturur, bir "Deploy_Edge_Config_Policy" grubu oluşturur ve ardından aynı cihazları performans için önerilmez.
Benzer ve önerilmez bir desen "Uygulama grupları" oluşturmaktır. Bir uygulama grubu, her uygulama için oluşturulmuş birkaç Microsoft Entra grubuna sahip olmasıdır. Örneğin, Microsoft Edge uygulamasını yönetmek için bir yönetici aşağıdaki grupları oluşturur:
- Edge_Required
- Edge_Available
- Edge_Uninstall
Yönetici bu gruplara tek tek kullanıcı veya cihazlar ekler. Bu uygulama grupları, Intune'un abone olması ve üyelik güncelleştirmelerini izlemesi gereken Microsoft Entra gruplarının sayısını önemli ölçüde artırır ve bu da daha az verimlidir. Verimsiz grup eşitleme tasarımı, yeni atamaların ne kadar hızlı oluşturulup cihazlara teslim edileğini etkiler.
Artımlı grup değişiklikleri yapma
| YAPMAK | YAPMA |
|---|---|
| ✅ Microsoft Entra Id'de büyük grup iç içe yerleştirme değişikliklerine dikkat edin. | ❌ Büyük grup iç içe geçirme değişikliklerini aynı anda yapmayın. |
Microsoft Entra ID'deki büyük bir grup üyeliği değişikliği, Intune'da yapılan hedefleme değişikliklerinde ani artışlar oluşturabilir. Bu ani artışlar ortamınızdaki diğer atamaların hedeflenmesinde gecikmeye neden olabilir.
Gruplarınızı bir dizi yönetici yönetiyorsa ve başka bir küme Microsoft Entra Id'yi yönetiyorsa, Microsoft Entra ID değişikliklerinin Intune hedeflemesi üzerindeki etkisini iletmeniz gerekir.
Örneğin, bir Microsoft Entra yöneticisi, Intune'un hedefleme için kullandığı mevcut bir grubun içinde yeni büyük grupları iç içe yerleştiriyorsa, Intune tüm grupları ve grup üyeliklerini eşitlemeye başlar. Tüm üyeliklerin işlenmesi için geçen süre, Microsoft Entra Id'de yapılan grup değişikliklerinin sayısına ve boyutuna bağlıdır.
Bu öneri, gruplar "kaydedilmediğinde" de geçerlidir. İç içe gruplar hakkında daha fazla bilgi için Microsoft Entra gruplarını ve grup üyeliğini yönetme bölümüne gidin.
Dahil etmek ve dışlamak için filtreleri kullanma
| YAPMAK | YAPMA |
|---|---|
| ✅ Hedefleme için doğru kullanıcı+cihaz birleşimini elde etmek için filtreleri kullanın. | ❌ Dahil Et ve Dışla gruplarını kullanırken kullanıcı gruplarını ve cihaz gruplarını karıştırmayın. |
Bu öneri aynı zamanda bir destek bildirimidir. Kullanıcı gruplarına atama oluşturmanızı ve bir cihaz grubunu bu atamanın dışında tutarak (veya tam tersi) önermeyiz veya desteklemeyiz.
Bu öneri, dinamik grupların zamanlaması/gecikme süresi özelliği nedeniyle mevcuttur. Dışlanan gruplar üyeliği anlık değildir ve bu da cihazların yanlış uygulama veya ilke atamaları almasına neden olabilir. Daha fazla bilgi edinmek için İlke ve profil atama - destek matrisi bölümüne gidin.
Karma dışlamalar yerine bir kullanıcı grubuna atamanızı öneririz. Ardından, uygun cihazları dinamik olarak dahil etmek veya hariç tutmak için filtreleri kullanın.
Özet
Intune'da ödev oluştururken ve yönetirken bu önerilerden bazılarını ekleyin. Grupları veya sanal grupları kullanın ve hedefleme kapsamını iyileştirmeye yardımcı olmak için filtreler uygulayın. En iyi yöntemleri göz önünde bulundurun:
- "Tüm kullanıcılar" veya "Tüm cihazlar" gruplarının kendi sürümünü oluşturmayın. Ortama yeni bir kullanıcı veya cihaz eklendiğinde Microsoft Entra ID eşitlemesi gerektirmediğinden Intune sanal gruplarını kullanın.
- Hedeflemenizi iyileştirmek için grupları mümkün olduğunca yeniden kullanın.
- Intune gruplarında büyük iç içe yerleştirme değişiklikleri yaparken dikkatli olun. Intune'un tüm bu değişiklikleri işlemesi ve bu değişiklik tarafından etkilenen tüm grupların tüm üyeleri için geçerli değişiklikleri hesaplaması gerekir.
- Intune, karma grup dışlamalarını desteklemez. Bu nedenle, grup veya sanal grup atamalarına ek olarak cihazları dinamik olarak dahil etmek ve dışlamak için filtreleri kullanın.