在 Microsoft Intune 中指派原則
當您建立 Intune 原則時,它會包含您在原則中新增和設定的所有設定。 當原則準備好要部署時,下一個步驟是將原則「指派」給您的使用者或裝置群組。 指派時,用戶和裝置會接收您的原則,並套用您輸入的設定。
在 Intune 中,您可以建立並指派下列原則:
- 應用程式防護原則
- 應用程式設定原則
- 合規性原則
- 條件式存取原則
- 裝置組態配置檔
- 註冊原則
本文說明如何指派原則、包含使用範圍卷標的一些資訊、說明何時將原則指派給使用者群組或裝置群組等等。
開始之前
請確定您具有正確的角色來指派原則和配置檔。 如需詳細資訊,請移至使用 Microsoft Intune (RBAC) 的角色型訪問控制。
將原則指派給使用者或群組
選 取 [裝置>設定]。 所有設定檔都會列出。
選取您要指派屬性指派>>編輯的>配置檔:
例如,若要指派裝置組態配置檔:
移至 [裝置>設定]。 所有設定檔都會列出。
選取您想要指派 [屬性>指派>>編輯] 的原則:
在 [包含的群組] 或 [排除的群組] 下,選擇 [新增群組] 以選取一或多個 Microsoft Entra 群組。 如果您想要將原則廣泛部署至所有適用的裝置,請選取 [ 新增所有使用者 ] 或 [新增所有裝置]。
注意事項
如果您選取 [所有裝置] 和 [所有使用者],則會停用新增其他 Microsoft Entra 群組的選項。
選取 [檢閱 + 儲存]。 此步驟不會指派您的原則。
選取 [儲存]。 當您儲存時,會指派您的原則。 當裝置簽入 Intune 服務時,您的群組會收到您的原則設定。
您應該知道並使用的指派功能
使用 篩選器 ,根據您建立的規則來指派原則。 您可以建立下列項目的篩選條件:
- 應用程式設定原則
- 應用程式防護原則
- 應用程式指派
- 合規性原則
- 裝置組態配置檔
如需詳細資訊,請移至:
原則集合會 建立現有應用程式和原則的群組或集合。 建立原則集合時,您可以從 Microsoft Intune 系統管理中心的單一位置指派原則集。
如需詳細資訊,請移至使用原則集合將 Microsoft Intune 中管理物件的集合分組。
範圍標籤是 篩選原則至特定群組的絕佳方式,例如
US-NC IT Team或JohnGlenn_ITDepartment。 如需詳細資訊,請移至 使用分散式IT的 RBAC 和範圍標籤。在 Windows 10/11 裝置上,您可以新增適用性規則,讓原則僅適用於特定 OS 版本或特定 Windows 版本。 如需詳細資訊,請移至 適用性規則。
使用者群組與裝置群組
許多用戶會詢問何時使用使用者群組,以及何時使用裝置群組。 答案取決於您的目標。 以下是讓您開始使用的一些指引。
裝置群組
如果您想要在裝置上套用設定,而不論登入的人員為何,請將原則指派給裝置群組。 套用至裝置群組的設定一律會隨裝置而非使用者使用。
例如:
裝置群組適用於管理沒有專用用戶的裝置。 例如,您有列印票證、掃描清查、由輪班員工共用、指派給特定倉儲等的裝置。 將這些裝置放在裝置群組中,並將您的原則指派給此裝置群組。
您會 (DFCI) Intune 設定檔建立裝置韌體設定介面,以更新 BIOS 中的設定。 例如,您設定此原則來停用裝置相機,或鎖定開機選項,以防止用戶開機其他操作系統。 此原則是指派給裝置群組的好案例。
在某些特定的時間地點禁止狗狗 Windows 裝置上,您一律想要控制一些 Microsoft Edge 設定,而不論誰在使用該裝置。 例如,您想要封鎖所有下載、將所有 Cookie 限制為目前的瀏覽工作階段,以及刪除瀏覽歷程記錄。 在此案例中,請將這些特定的 Windows 裝置放在裝置群組中。 然後,在 Intune 中建立系統管理範本、新增這些裝置設定,然後將此原則指派給裝置群組。
總而言之,當您不在意誰登入裝置,或是否有任何人登入時,請使用裝置群組。 您希望您的設定一律在裝置上。
使用者群組
套用至使用者群組的原則設定一律會與使用者搭配使用,並在登入其許多裝置時與使用者一起移。 用戶擁有許多裝置是正常的,例如工作用 Surface Pro,以及個人 iOS/iPadOS 裝置。 而且,一個人從這些裝置存取電子郵件和其他組織資源是正常的。
如果使用者在同一個平臺上有多個裝置,則您可以在群組指派上使用 篩選 。 例如,使用者有個人 iOS/iPadOS 裝置,以及組織擁有的 iOS/iPadOS。 當您為該使用者指派原則時,可以使用 篩選 器僅以組織擁有的裝置為目標。
遵循此一般規則:如果功能屬於使用者,例如電子郵件或用戶憑證,則指派給使用者群組。
例如:
您想要在其所有裝置上為所有使用者放置技術支援中心圖示。 在此案例中,請將這些使用者放在使用者群組中,並將您的技術支援中心圖示原則指派給此使用者群組。
使用者會收到新的組織擁有的裝置。 使用者使用其網域帳戶登入裝置。 裝置會在 Microsoft Entra ID 中自動註冊,並由 Intune 自動管理。 此原則是指派給使用者群組的好案例。
每當使用者登入裝置時,您會想要控制應用程式中的功能,例如 OneDrive 或 Office。 在此案例中,將您的 OneDrive 或 Office 原則設定指派給使用者群組。
例如,您想要在 Office 應用程式中封鎖不受信任的 ActiveX 控制件。 您可以在 Intune 中建立系統管理範本、設定此設定,然後將此原則指派給使用者群組。
總而言之,當您想要讓設定和規則一律與使用者搭配使用時,請使用使用者群組,無論使用者使用的裝置為何。
Azure 虛擬桌面多重會話
您可以使用 Intune 來管理使用 Azure 虛擬桌面建立的 Windows 多重會話遠端桌面,就像管理任何其他共用的 Windows 用戶端裝置一樣。 當您將原則指派給使用者群組或裝置時,Azure 虛擬桌面多重會話是特殊案例。 使用這些虛擬機時,裝置 CSP 必須以裝置群組為目標。 使用者 CSP 必須以使用者群組為目標。
如需詳細資訊,請移至搭配使用 Azure 虛擬桌面多重會話與 Microsoft Intune。
Windows CSP 及其行為
Windows 裝置的原則設定是以設定 服務提供者 (CSP) 為基礎。 這些設定會對應至裝置上的登錄機碼或檔案。
以下是您需要知道的 Windows CSP 相關信息:
Intune 公開這些 CSP,讓您可以設定這些設定,並將其指派給您的 Windows 裝置。 這些設定可使用內建範本和使用 設定目錄進行設定。 在設定目錄中,您會看到某些設定套用至用戶範圍,而某些設定會套用至裝置範圍。
如需如何將使用者範圍和裝置範圍設定套用至 Windows 裝置的資訊,請移至 [設定目錄:裝置範圍與用戶範圍設定]。
拿掉原則或不再指派給裝置時,可能會發生不同的情況,視原則中的設定而定。 每個雲端解決方案提供者都可以以不同的方式處理原則移除。
例如,設定可能會保留現有的值,而不會還原為預設值。 此行為是由操作系統中的每個 CSP 所控制。 如需 Windows CSP 的清單,請參閱設定 服務提供者 (CSP) 參考。
若要將設定變更為不同的值,請建立新的原則、將設定設定為 [未設定],然後指派原則。 當原則套用至裝置時,用戶應該能夠控制將設定變更為其慣用值。
設定這些設定時,建議您部署至試驗群組。 如需 Intune 推出建議,請參閱建立首度發行計劃。
從原則指派中排除群組
Intune 裝置設定原則可讓您在原則指派中包含和排除群組。
最佳做法是:
- 特別為您的使用者群組建立和指派原則。 使用 篩選條件 來包含或排除這些用戶的裝置。
- 特別為您的裝置群組建立並指派不同的原則。
如需群組的詳細資訊,請 參閱新增群組以組織用戶和裝置。
包含和排除群組的原則
當您指派原則和原則時,請套用下列一般原則:
請將 [包含的群組 ] 或 [ 排除的群組 ] 視為將接收您原則之使用者和裝置的起點。 Microsoft Entra 群組是限制群組,因此請盡可能使用最小的群組範圍。 使用 篩選 來限制或精簡原則指派。
指派 Microsoft Entra 群組,也稱為靜態群組,可以新增至包含的群組或排除的群組。
一般而言,如果裝置已在 Microsoft Entra ID 中預先註冊,您會以靜態方式將裝置指派給 Microsoft Entra 群組,就像使用 Windows Autopilot 一樣。 或者,如果您想要結合裝置進行一次性的臨機操作部署。 否則,以靜態方式將裝置指派到 Microsoft Entra 群組可能並不實用。
動態 Microsoft Entra 使用者群組可以新增至 [包含的群組] 或 [排除的群組]。
排除的群組可以是具有使用者的群組或具有裝置的群組。
動態 Microsoft Entra 裝置群組可以新增至包含的群組。 但是,填入動態群組成員資格時可能會有延遲。 在延遲敏感的案例中,使用 篩選 以特定裝置為目標,並將原則指派給使用者群組。
例如,您想要在裝置註冊時立即將原則指派給裝置。 在此延遲敏感的情況下,請建立 篩選以以 您想要的裝置為目標,並將具有此篩選條件的原則指派給使用者群組。 請勿指派給裝置群組。
在無使用者案例中,建立 篩選 以以您想要的裝置為目標,並將具有篩選條件的原則指派給「所有裝置」群組。
避免將動態 Microsoft Entra 裝置群組新增至排除的群組。 註冊時動態裝置群組計算的延遲可能會導致不想要的結果。 例如,在填入排除的群組成員資格之前,可能會部署不必要的應用程式和原則。
支援矩陣
使用下列矩陣來瞭解排除群組的支援:
- ✔️ :支援
- ❌:不支援
- ❕ :部分支援
| 案例 | 支援 |
|---|---|
| 1 | ❕ 支援部分支持 將原則指派給動態裝置群組,同時排除另一個動態裝置群組。 但是,不建議在對延遲敏感的案例中使用。 排除群組成員資格計算的任何延遲都可能導致原則提供給裝置。 在此案例中,建議您使用 篩選條件 ,而不是使用動態裝置群組來排除裝置。 例如,您有指派給 所有裝置的裝置原則。 稍後,您需要新的行銷裝置不會收到此原則。 因此,您會根據enrollmentProfilenamedevice.enrollmentProfileName -eq "Marketing_devices" 屬性 () ,建立稱為「行銷裝置」的動態裝置群組。 在原則中,您會將 行銷裝置 動態群組新增為排除的群組。 新的行銷裝置第一次註冊 Intune,並建立新的 Microsoft Entra 裝置物件。 動態群組程式會將裝置放入 行銷裝置 群組,並進行可能的延遲計算。 同時,裝置會註冊 Intune,並開始接收所有適用的原則。 Intune 原則可能會在裝置放入排除群組之前部署。 此行為會導致不想要的原則 (或應用程式) 部署至 行銷裝置 群組。 因此,不建議在延遲敏感性案例中使用動態裝置群組來排除。 請改用 篩選條件。 |
| 2 | ✔️ 支援 在排除靜態裝置群組時,將原則指派給動態裝置群組。 |
| 3 | ❌ 不支援 將原則指派給動態裝置群組,同時不支援將使用者群組排除 (動態和靜態) 。 Intune 不會評估使用者對裝置群組的關聯性,且不會排除所包含用戶的裝置。 |
| 4 | ❌ 不支援 將原則指派給動態裝置群組,且不支援 (動態和靜態) 排除使用者群組。 Intune 不會評估使用者對裝置群組的關聯性,且不會排除所包含用戶的裝置。 |
| 5 | ❕ 部分支援 將原則指派給靜態裝置群組,但不支援動態裝置群組。 但是,不建議在對延遲敏感的案例中使用。 排除群組成員資格計算的任何延遲都可能導致原則提供給裝置。 在此案例中,建議您使用 篩選條件 ,而不是使用動態裝置群組來排除裝置。 |
| 6 | ✔️ 支援 將原則指派給靜態裝置群組,並排除不同的靜態裝置群組。 |
| 7 | ❌ 不支援 將原則指派給靜態裝置群組,也不支援將使用者群組排除 (動態和靜態) 。 Intune 不會評估使用者對裝置群組的關聯性,且不會排除所包含用戶的裝置。 |
| 8 | ❌ 不支援 將原則指派給靜態裝置群組,也不支援將使用者群組排除 (動態和靜態) 。 Intune 不會評估使用者對裝置群組的關聯性,且不會排除所包含用戶的裝置。 |
| 9 | ❌ 不支援 將原則指派給動態使用者群組,且不支援 (動態和靜態) 排除裝置群組。 |
| 10 | ❌ 不支援 將原則指派給動態使用者群組,且不支援 (動態和靜態) 排除裝置群組。 |
| 11 | ✔️ 支援 將原則指派給動態使用者群組,同時排除動態和靜態) (其他使用者群組。 |
| 12 | ✔️ 支援 將原則指派給動態使用者群組,同時排除動態和靜態) (其他使用者群組。 |
| 13 | ❌ 不支援 將原則指派給靜態使用者群組,同時不支援將裝置群組排除 (動態和靜態) 。 |
| 14 | ❌ 不支援 將原則指派給靜態使用者群組,同時不支援將裝置群組排除 (動態和靜態) 。 |
| 15 | ✔️ 支援 將原則指派給靜態使用者群組,同時排除動態和靜態) (其他使用者群組。 |
| 16 | ✔️ 支援 將原則指派給靜態使用者群組,同時排除動態和靜態) (其他使用者群組。 |
後續步驟
如需監視原則和執行原則之裝置的指引,請參閱 監視裝置配置檔 。
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: