在 Microsoft Intune 中分配策略
创建 Intune 策略时,它将包括在策略中添加和配置的所有设置。 准备好部署策略后,下一步是将策略“分配”给用户或设备组。 分配策略时,用户和设备将收到策略,并应用你输入的设置。
在 Intune 中,可以创建并分配以下策略:
- 应用保护策略
- 应用配置策略
- 合规性策略
- 条件访问策略
- 设备配置文件
- 注册策略
本文介绍了如何分配策略,包括有关使用范围标记的一些信息,介绍何时将策略分配给用户组或设备组等。
此功能适用于:
- Android
- iOS/iPadOS
- macOS
- Linux
- Windows
开始之前
请确保具有可以分配策略和配置文件的正确角色。 有关详细信息,请转到使用 Microsoft Intune 实现基于角色的访问控制 (RBAC)。
请考虑在 Intune 中使用 Microsoft Copilot。 一些好处包括:
- 创建策略并配置设置时,Copilot 会提供有关每个设置的详细信息,可以推荐一个值并查找潜在冲突。
- 分配策略时,Copilot 可以告知策略分配到的组,并帮助你了解策略的效果。
有关详细信息,请转到 Intune 中的 Microsoft Copilot。
将策略分配给用户或组
选择“设备”>“管理设备”>“配置”。 此时会列出所有配置文件。
选择要分配的配置文件:“>属性”>“分配”>“编辑”:
例如,若要分配设备配置文件,请执行以下操作:
转到“设备”>“管理设备”>“配置”。 此时会列出所有配置文件。
选择要分配的策略:“>属性”>“分配”>“编辑”:
在“包含的组”或“排除的组”下,选择“添加组”以选择一个或多个 Microsoft Entra 组。 如果打算将策略广泛部署到所有适用设备,请选择““添加所有用户”或“添加所有设备”。
注意
如果选择“所有设备”和“所有用户”,则用于添加其他 Microsoft Entra 组的选项将禁用。
选择“查看 + 保存”。 此步骤不分配策略。
选择“保存”。 保存时,系统会分配策略。 当设备签入 Intune 服务时,你的组将收到策略设置。
应了解和使用的分配功能
使用筛选器根据创建的规则分配策略。 可以为以下对象创建筛选器:
- 应用配置策略
- 应用保护策略
- 应用分配
- 合规性策略
- 设备配置文件
有关详细信息,请转到:
策略集创建现有应用和策略的组或集合。 创建策略集后,可以从 Microsoft Intune 管理中心的单个位置分配策略集。
有关详细信息,请转到使用策略集对 Microsoft Intune 中的管理对象集合进行分组。
范围标记非常适合用于将策略筛选到特定组(例如
US-NC IT Team
或JohnGlenn_ITDepartment
)。 有关详细信息,请参阅将 RBAC 和范围标记用于分布式 IT。在 Windows 设备上,可以添加 适用性规则 ,以便策略仅适用于特定的 OS 版本或特定的 Windows 版本。 有关详细信息,请转到适用性规则。
用户组与设备组
许多用户询问何时使用用户组以及何时使用设备组。 答案取决于你的目标。 下面是一些入门指南。
设备组
如果要在设备上应用设置,而不考虑登录的用户,请将策略分配给设备组。 应用于设备组的设置始终随附于设备(而不是用户)。
例如:
设备组适用于管理没有专用用户的设备。 例如,你的设备将打印票证、扫描清单、由换班工作人员共享、将其分配到特定仓库等。 将这些设备放在设备组中,并将策略分配给此设备组。
创建一个设备固件配置接口 (DFCI) Intune 配置文件,用于更新 BIOS 中的设置。 例如,你将此策略配置为禁用设备照相机,或锁定启动选项以防止用户启动其他操作系统。 此策略是分配给设备组的良好方案。
在某些特定的 Windows 设备上,你始终需要控制某些 Microsoft Edge 设置,而不考虑使用该设备的用户。 例如,你想要阻止所有下载,将所有 cookie 限制为当前浏览会话,并删除浏览历史记录。 对于这种情况,请将这些特定 Windows 设备放在设备组中。 然后,在 Intune 中创建管理模板,添加这些设备设置,然后将此策略分配给设备组。
总而言之,当你不关心登录设备的用户或是否有任何人登录时,请使用设备组。 你希望设置始终位于设备上。
用户组
应用于用户组的策略设置始终随附于用户,并在登录到多个设备时随附于用户。 通常用户有很多设备,如 Surface Pro 用于办公,iOS/iPadOS 设备用于处理私事。 而且,通常人们可以从这些设备访问电子邮件和其他组织资源。
如果用户在同一平台上拥有多个设备,你可以对组分配使用筛选器。 例如,用户拥有个人 iOS/iPadOS 设备和组织拥有的 iOS/iPadOS。 为该用户分配策略时,可以使用筛选器仅指向组织拥有的设备。
遵循这一常规规则:如果功能属于用户(如电子邮件或用户证书),则分配给用户组。
例如:
你需要为所有设备上的所有用户提供一个技术支持图标。 在此情况下,将这些用户放在用户组中,并将你的技术支持图标策略分配给此用户组。
用户将收到一个新的组织拥有的设备。 用户通过其域帐户登录到设备。 设备在 Microsoft Entra ID 中自动注册,并由 Intune 自动管理。 此策略是分配给用户组的良好方案。
每当用户登录到设备时,你都需要控制 OneDrive 或 Office 等应用中的功能。 在这种情况下,将 OneDrive 或 Office 策略设置分配给用户组。
例如,你想要在 Office 应用中阻止不受信任的 ActiveX 控件。 你可以在 Intune 中创建管理模板,配置此设置,然后将此策略分配到用户组。
总而言之,当你希望设置和规则始终随附于用户而不考虑使用的设备时,请使用用户组。
Azure 虚拟桌面多会话
可以使用 Intune 管理通过 Azure 虚拟桌面创建的 Windows 多会话远程桌面,就像管理任何其他共享 Windows 客户端设备一样。 将策略分配给用户组或设备时,Azure 虚拟桌面多会话是一种特殊方案。 对于虚拟机,设备 CSP 必须面向设备组。 用户 CSP 必须面向用户组。
有关详细信息,请参阅结合使用 Azure 虚拟桌面多会话与 Microsoft Intune。
Windows CSP 及其行为
Windows 设备的策略设置是基于 配置服务提供商 (CSP) 的。 这些设置映射到设备上的注册表项或文件。
下面是有关 Windows CSP 的需要了解的内容:
Intune 公开了这些 CSP,以便你可以配置这些设置并将其分配给 Windows 设备。 这些设置可使用内置模板和 设置目录 进行配置。 在设置目录中,你将看到某些设置适用于用户范围,某些设置则适用于设备范围。
有关如何将限定用户范围和限定设备范围的设置应用于 Windows 设备的信息,请转到 是指目录:设备范围与用户范围设置。
当策略被删除或不再分配给设备时,根据策略中设置的不同,可能会执行不同的操作。 每个 CSP 可以以不同的方式处理策略删除。
例如,设置可能会保留现有值,而不会恢复为默认值。 每个 CSP 控制行为。 有关 Windows CSP 的列表,请参阅配置服务提供程序 (CSP) 参考。
若要将设置更改为其他值,请创建新策略,将设置配置为“未配置”,然后分配该策略。 当策略应用于设备时,用户应具有将设置更改为其首选值的控制权。
在配置这些设置时,我们建议部署到试验组。 有关 Intune 推出建议的更多信息,请参阅创建推出计划。
从策略分配中排除组
Intune 设备配置策略允许在策略分配中包括和排除组。
最佳做法是:
- 专门为用户组创建和分配策略。 使用筛选器包含或排除这些用户的设备。
- 专门为设备组创建和分配不同的策略。
有关组的详细信息,请参阅添加用于组织用户和设备的组。
包含和排除组的原则
分配策略时,请采用以下常规原则:
对于将要接收策略的用户和设备,将“包含的组”或“排除的组”看作是一个起点。 Microsoft Entra 组是限制组,因此可以使用最小的组范围。 使用筛选器限制或优化策略分配。
分配的 Microsoft Entra 组(也称为静态组)可以添加到“包含的组”或“排除的组”。
通常情况下,如果设备已在 Microsoft Entra ID 中预先注册,则可以静态地将设备分配到 Microsoft Entra 组,如 Windows Autopilot。 或者,如果想组合设备以进行一次性的临时部署。 否则,静态地将设备分配到 Microsoft Entra 组可能不太实际。
动态 Microsoft Entra 用户组可以添加到“包含的组”或“排除的组”。
排除的组可以是具有用户的组,也可以是具有设备的组。
动态 Microsoft Entra 设备组可以添加到“包含的组”。 但在填充动态组成员身份时,可能会出现延迟。 在对延迟敏感的场景中,使用筛选器以针对特定设备执行操作,并将策略分配给用户组。
例如,你希望在设备注册后立即将策略分配给设备。 在这种对延迟敏感的情况下,请创建筛选器以针对所需设备执行操作,并将带有此筛选器的策略分配给用户组。 而不要将其分配给设备组。
在无用户场景中,请创建筛选器以针对所需设备执行操作,并将带有筛选器的策略分配给“所有设备”组。
避免将动态 Microsoft Entra 设备组添加到“排除的组”。 注册时动态设备组计算中的延迟可能导致意外结果。 例如,在填充“排除的组”的成员身份之前,可能会部署不需要的应用程序和策略。
支持矩阵
使用以下矩阵了解对排除组的支持:
- ✅:支持
- ❌:不支持
- ❕:部分支持
应用场景 | 支持 |
---|---|
1 | ❕ 部分支持 支持在排除其他动态设备组的同时将策略分配给动态设备组。 但在对延迟敏感的场景中,不建议使用此设置。 排除组成员身份计算中的任何延迟都可能导致向设备提供策略。 在此场景中,我们建议使用筛选器,而不是使用动态设备组来排除设备。 例如,你有一个分配给所有设备的设备策略。 然后,你要求新的市场营销设备不会收到此策略。 因此,你基于 enrollmentProfilename 属性 (device.enrollmentProfileName -eq "Marketing_devices" ) 创建一个名为“市场营销设备”的动态设备组。 在策略中,你将“市场营销设备”动态组添加为排除组。
新的市场营销设备首次在 Intune 中注册,并且会创建一个新的 Microsoft Entra 设备对象。 动态分组过程会将设备置于“市场营销设备”组中,可能存在计算延迟。 同时,设备注册到 Intune,并开始接收所有适用的策略。 在将设备放入排除组之前,可以部署 Intune 策略。 此行为会导致将不需要的策略(或应用)部署到“市场营销设备”组中。 因此,在对延迟敏感的场景中,不建议使用动态设备组进行排除。 请改用筛选器。 |
2 |
✅ 支持在 排除静态设备组时向动态设备组分配策略。 |
3 |
❌ 不支持 不支持在排除用户组(动态和静态)的同时将策略分配给动态设备组。 Intune 不会评估用户到设备组的关系,也不会排除所包含用户的设备。 |
4 |
❌ 不支持 不支持在排除用户组(动态和静态)的同时将策略分配给动态设备组。 Intune 不会评估用户到设备组的关系,也不会排除所包含用户的设备。 |
5 | ❕ 部分支持 支持在排除动态设备组的同时将策略分配给静态设备组。 但在对延迟敏感的场景中,不建议使用此设置。 排除组成员身份计算中的任何延迟都可能导致向设备提供策略。 在此场景中,我们建议使用筛选器,而不是使用动态设备组来排除设备。 |
6 |
✅
支持将策略分配给静态设备组并排除其他静态设备组。 |
7 |
❌ 不支持 不支持在排除用户组(动态和静态)的同时将策略分配给静态设备组。 Intune 不会评估用户到设备组的关系,也不会排除所包含用户的设备。 |
8 |
❌ 不支持 不支持在排除用户组(动态和静态)的同时将策略分配给静态设备组。 Intune 不会评估用户到设备组的关系,也不会排除所包含用户的设备。 |
9 |
❌ 不支持 不支持在排除设备组(动态和静态)的同时将策略分配给动态用户组。 |
10 |
❌ 不支持 不支持在排除设备组(动态和静态)的同时将策略分配给动态用户组。 |
11 |
✅
支持将策略分配给动态用户组,同时排除其他用户组 (支持动态和静态) 。 |
12 |
✅
支持将策略分配给动态用户组,同时排除其他用户组 (支持动态和静态) 。 |
13 |
❌ 不支持 不支持在排除设备组(动态和静态)的同时将策略分配给静态用户组。 |
14 |
❌ 不支持 不支持在排除设备组(动态和静态)的同时将策略分配给静态用户组。 |
15 |
✅
支持将策略分配给静态用户组,同时排除其他用户组 (动态和静态) 。 |
16 |
✅
支持将策略分配给静态用户组,同时排除其他用户组 (动态和静态) 。 |
相关文章
有关监视策略和运行策略的设备的指导,请参阅监视设备配置文件。