在 Microsoft Intune 中分配策略
创建Intune策略时,它包括你在策略中添加和配置的所有设置。 准备好部署策略后,下一步是将策略“分配给”用户或设备组。 分配后,用户和设备会收到你的策略,并且将应用你输入的设置。
在 Intune 中,可以创建并分配以下策略:
- 应用保护策略
- 应用配置策略
- 合规性策略
- 条件访问策略
- 设备配置文件
- 注册策略
本文介绍如何分配策略,包括有关使用范围标记的一些信息、何时向用户组或设备组分配策略等。
开始之前
请确保具有正确的角色来分配策略和配置文件。 有关详细信息,请转到使用 Microsoft Intune (RBAC) 的基于角色的访问控制。
将策略分配给用户或组
选择“ 设备>配置”。 此时会列出所有配置文件。
选择要分配>属性>分配编辑的>配置文件:
例如,若要分配设备配置文件,请执行以下操作:
转到 “设备>配置”。 此时会列出所有配置文件。
选择要分配>“属性分配编辑”>的策略>:
在“包含的组”或“排除的组”下,选择“添加组”,选择一个或多个Microsoft Entra组。 如果打算将策略广泛部署到所有适用设备,请选择 “添加所有用户 ”或“ 添加所有设备”。
注意
如果选择“所有设备”和“所有用户”,则添加其他Microsoft Entra组的选项将禁用。
选择“查看 + 保存”。 此步骤不会分配策略。
选择“保存”。 保存时,将分配策略。 当设备使用 Intune 服务检查时,组将收到策略设置。
应了解和使用的工作分配功能
使用 筛选器 根据创建的规则分配策略。 可以为以下项创建筛选器:
- 应用配置策略
- 应用保护策略
- 应用分配
- 合规性策略
- 设备配置文件
有关详细信息,请转到:
策略集 创建现有应用和策略的组或集合。 创建策略集后,可以从Microsoft Intune管理中心的单个位置分配策略集。
有关详细信息,请转到使用策略集对Microsoft Intune中的管理对象的集合进行分组。
范围标记 是将策略筛选到特定组(例如
US-NC IT Team或JohnGlenn_ITDepartment)的好方法。 有关详细信息,请转到 使用分布式 IT 的 RBAC 和范围标记。在 Windows 10/11 设备上,可以添加适用性规则,以便策略仅适用于特定的 OS 版本或特定的 Windows 版本。 有关详细信息,请转到 适用性规则。
用户组与设备组
许多用户询问何时使用用户组以及何时使用设备组。 答案取决于你的目标。 下面是一些入门指南。
设备组
如果要在设备上应用设置(无论登录者是谁),请将策略分配给设备组。 应用于设备组的设置始终随附于设备(而不是用户)。
例如:
设备组适用于管理没有专用用户的设备。 例如,你的设备将打印票证、扫描清单、由换班工作人员共享、将其分配到特定仓库等。 将这些设备放在设备组中,并将策略分配给此设备组。
创建一个设备固件配置接口 (DFCI) Intune 配置文件,用于更新 BIOS 中的设置。 例如,将此策略配置为禁用设备相机,或锁定启动选项以防止用户启动其他 OS。 此策略是分配给设备组的好方案。
在某些特定的 Windows 设备上,你始终需要控制某些 Microsoft Edge 设置,而不考虑使用该设备的用户。 例如,你想要阻止所有下载,将所有 cookie 限制为当前浏览会话,并删除浏览历史记录。 对于这种情况,请将这些特定 Windows 设备放在设备组中。 然后,在 Intune 中创建管理模板,添加这些设备设置,然后将此策略分配给设备组。
总而言之,当你不关心登录设备的用户或是否有任何人登录时,请使用设备组。 你希望设置始终位于设备上。
用户组
应用于用户组的策略设置始终随用户一起使用,并在登录到其多个设备时随用户一起使用。 通常用户有很多设备,如 Surface Pro 用于办公,iOS/iPadOS 设备用于处理私事。 而且,通常人们可以从这些设备访问电子邮件和其他组织资源。
如果用户在同一平台上拥有多个设备,你可以对组分配使用筛选器。 例如,用户拥有个人 iOS/iPadOS 设备和组织拥有的 iOS/iPadOS。 为该用户分配策略时,可以使用筛选器仅指向组织拥有的设备。
遵循这一常规规则:如果功能属于用户(如电子邮件或用户证书),则分配给用户组。
例如:
你需要为所有设备上的所有用户提供一个技术支持图标。 在此方案中,请将这些用户放入用户组,并将技术支持图标策略分配给此用户组。
用户将收到一个新的组织拥有的设备。 用户通过其域帐户登录到设备。 设备在 Microsoft Entra ID 中自动注册,并由Intune自动管理。 此策略是分配给用户组的好方案。
每当用户登录到设备时,你都需要控制 OneDrive 或 Office 等应用中的功能。 在此方案中,将 OneDrive 或 Office 策略设置分配给用户组。
例如,你想要在 Office 应用中阻止不受信任的 ActiveX 控件。 可以在 Intune 中创建管理模板,配置此设置,然后将此策略分配给用户组。
总而言之,当你希望设置和规则始终随附于用户而不考虑使用的设备时,请使用用户组。
Azure 虚拟桌面多会话
可以使用 Intune管理使用 Azure 虚拟桌面创建的 Windows 多会话远程桌面,就像管理任何其他共享 Windows 客户端设备一样。 将策略分配给用户组或设备时,Azure 虚拟桌面多会话是一种特殊方案。 使用这些虚拟机时,设备 CSP 必须面向设备组。 用户 CSP 必须面向用户组。
有关详细信息,请转到将 Azure 虚拟桌面多会话与Microsoft Intune配合使用。
Windows CSP 及其行为
Windows 设备的策略设置是基于 配置服务提供商 (CSP) 的。 这些设置映射到设备上的注册表项或文件。
以下是你需要了解的有关 Windows CSP 的信息:
Intune公开这些 CSP,以便你可以配置这些设置并将其分配给 Windows 设备。 这些设置可使用内置模板和 设置目录 进行配置。 在设置目录中,你将看到某些设置适用于用户范围,某些设置则适用于设备范围。
有关如何将限定用户范围和限定设备范围的设置应用于 Windows 设备的信息,请转到 是指目录:设备范围与用户范围设置。
删除策略或不再将策略分配给设备时,可能会发生不同情况,具体取决于策略中的设置。 每个 CSP 都可以以不同的方式处理策略删除。
例如,设置可能会保留现有值,而不会恢复为默认值。 该行为由操作系统中的每个 CSP 控制。 有关 Windows CSP 的列表,请参阅配置服务提供程序 (CSP) 参考。
若要将设置更改为其他值,请创建新策略,将设置配置为 “未配置”,然后分配策略。 当策略应用于设备时,用户应有权将设置更改为其首选值。
在配置这些设置时,我们建议部署到试验组。 有关 Intune 推出建议的更多信息,请参阅创建推出计划。
从策略分配中排除组
Intune设备配置策略允许在策略分配中包含和排除组。
最佳做法是:
- 专门为用户组创建和分配策略。 使用筛选器包含或排除这些用户的设备。
- 专门为设备组创建和分配不同的策略。
有关组的详细信息,请参阅添加用于组织用户和设备的组。
包含和排除组的原则
分配策略和策略时,请应用以下一般原则:
对于将要接收策略的用户和设备,将“包含的组”或“排除的组”看作是一个起点。 Microsoft Entra组是限制组,因此请尽可能使用最小的组范围。 使用筛选器限制或优化策略分配。
分配的Microsoft Entra组(也称为静态组)可以添加到“包含组”或“排除的组”。
通常,如果设备在Microsoft Entra ID中预先注册(例如使用 Windows Autopilot),则会静态地将设备分配到Microsoft Entra组中。 或者,如果想组合设备以进行一次性的临时部署。 否则,将设备静态分配到Microsoft Entra组中可能不切实际。
动态Microsoft Entra用户组可以添加到“包含组”或“排除的组”。
排除的组可以是具有用户的组,也可以是具有设备的组。
动态Microsoft Entra设备组可以添加到包含的组中。 但在填充动态组成员身份时,可能会出现延迟。 在对延迟敏感的场景中,使用筛选器以针对特定设备执行操作,并将策略分配给用户组。
例如,你希望在设备注册后立即将策略分配给设备。 在这种对延迟敏感的情况下,请创建筛选器以针对所需设备执行操作,并将带有此筛选器的策略分配给用户组。 而不要将其分配给设备组。
在无用户方案中,创建一个 筛选器 以面向所需设备,并将带有筛选器的策略分配给“所有设备”组。
避免将动态Microsoft Entra设备组添加到“已排除的组”。 注册时动态设备组计算中的延迟可能导致意外结果。 例如,在填充“排除的组”的成员身份之前,可能会部署不需要的应用程序和策略。
支持矩阵
使用以下矩阵了解对排除组的支持:
- ✔️:支持
- ❌:不支持
- ❕:部分支持
| 应用场景 | 支持 |
|---|---|
| 1 | ❕ 部分支持将 策略分配给动态设备组,同时排除另一个动态设备组。 但在对延迟敏感的场景中,不建议使用此设置。 排除组成员身份计算中的任何延迟都可能导致向设备提供策略。 在此场景中,我们建议使用筛选器,而不是使用动态设备组来排除设备。 例如,你有一个分配给 “所有设备”的设备策略。 然后,你要求新的市场营销设备不会收到此策略。 因此,你基于 enrollmentProfilename 属性 (device.enrollmentProfileName -eq "Marketing_devices") 创建一个名为“市场营销设备”的动态设备组。 在策略中,你将“市场营销设备”动态组添加为排除组。 新营销设备首次在 Intune 中注册,并创建新的Microsoft Entra设备对象。 动态分组过程会将设备置于“市场营销设备”组中,可能存在计算延迟。 同时,设备注册到 Intune,并开始接收所有适用的策略。 在将设备放入排除组之前,可以部署 Intune 策略。 此行为会导致将不需要的策略(或应用)部署到“市场营销设备”组中。 因此,不建议在延迟敏感方案中对排除使用动态设备组。 请改用筛选器。 |
| 2 | ✔️ 支持在 排除静态设备组时向动态设备组分配策略。 |
| 3 | ❌ 不支持将 策略分配给动态设备组,同时排除 (动态和静态) 的用户组。 Intune 不会评估用户到设备组关系,并且不会排除包含的用户的设备。 |
| 4 | ❌ 不支持 将策略分配给动态设备组并排除 (动态和静态) 的用户组。 Intune 不会评估用户到设备组关系,并且不会排除包含的用户的设备。 |
| 5 | ❕ 部分支持在 排除动态设备组时将策略分配给静态设备组。 但在对延迟敏感的场景中,不建议使用此设置。 排除组成员身份计算中的任何延迟都可能导致向设备提供策略。 在此场景中,我们建议使用筛选器,而不是使用动态设备组来排除设备。 |
| 6 | ✔️ 支持将策略分配给静态设备组并排除其他静态设备组。 |
| 7 | ❌ 不支持 将策略分配给静态设备组并排除 (动态和静态) 的用户组。 Intune 不会评估用户到设备组关系,并且不会排除包含的用户的设备。 |
| 8 | ❌ 不支持 将策略分配给静态设备组并排除 (动态和静态) 的用户组。 Intune 不会评估用户到设备组关系,并且不会排除包含的用户的设备。 |
| 9 | ❌ 不支持 将策略分配给动态用户组,并排除 (动态和静态) 的设备组。 |
| 10 | ❌ 不支持 将策略分配给动态用户组,并排除 (动态和静态) 的设备组。 |
| 11 | ✔️ 支持将策略分配给动态用户组,同时排除 (动态和静态) 的用户组。 |
| 12 | ✔️ 支持将策略分配给动态用户组,同时排除 (动态和静态) 的用户组。 |
| 13 | ❌ 不支持在 排除 (动态和静态) 的设备组时向静态用户组分配策略。 |
| 14 | ❌ 不支持在 排除 (动态和静态) 的设备组时向静态用户组分配策略。 |
| 15 | ✔️ 支持将策略分配给静态用户组,同时排除 (动态和静态) 的用户组。 |
| 16 | ✔️ 支持将策略分配给静态用户组,同时排除 (动态和静态) 的用户组。 |
后续步骤
有关 监视 策略和运行策略的设备的指导,请参阅监视设备配置文件。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈