在 Microsoft Intune 中分配用户和设备配置文件

创建设备配置文件,其中包含输入的所有设置。 下一步是部署配置文件或将其“分配”给用户或设备组。 分配后,用户和设备会收到你的配置文件,并且会应用你输入的设置。

本文介绍如何分配配置文件,并包含有关在设备配置文件上使用作用域标记的一些信息。

有关设备配置文件以及可配置的内容的信息,请转到 在设备上使用 Microsoft Intune 中的设备配置文件在设备上应用功能和设置

注意

当配置文件被删除或不再分配给设备时,根据配置文件中设置的不同,可能会执行不同的操作。 这些设置基于 CSP,并且每个 CSP 可以不同地处理配置文件删除。 例如,设置可能会保留现有值,而不会恢复为默认值。 该行为由操作系统中的每个 CSP 控制。 有关 Windows CSP 的列表,请参阅配置服务提供程序 (CSP) 参考

要将设置更改为其他值,请创建新的配置文件,将设置配置为“未配置”,然后分配配置文件。 应用于设备后,用户应该可控制将设置更改为其首选值。

在配置这些设置时,我们建议部署到试验组。 有关 Intune 推出建议的更多信息,请参阅创建推出计划

准备工作

确保你拥有正确的角色来分配配置文件。 有关详细信息,请参阅 Microsoft Intune 的基于角色的访问控制 (RBAC)

分配设备配置文件

  1. 登录到 Microsoft Endpoint Manager 管理中心

  2. 选择“设备”>“配置文件”。 此时会列出所有配置文件。

  3. 选择要分配>属性>分配编辑的>配置文件:

    显示如何选择分配以将配置文件部署到Microsoft Intune中的用户和组的屏幕截图。

  4. 依次选择“包括的组”“排除的组”“选择要包括的组”。 选择组时,会选择 Azure AD 组。 若要选择多个组,请按住 Ctrl,然后选择组。

    显示如何在Microsoft Intune中分配或部署配置文件时包括或排除用户和组的屏幕截图。

  5. 选择“查看 + 保存”。 此步骤不会分配配置文件。

  6. 选择“保存”。 保存时,会分配配置文件。 当设备签入 Intune 服务时,你的组将收到配置文件设置。

使用作用域标记或适用性规则

创建或更新配置文件时,还可以向配置文件添加作用域标记和适用性规则。

“作用域标记”非常适合用于将配置文件筛选到特定组(例如 US-NC IT TeamJohnGlenn_ITDepartment将 RBAC 和作用域标记用于分布式 IT 提供了详细信息。

在 Windows 10/11 设备上,可以添加适用性规则,以便配置文件仅适用于特定操作系统版本或特定 Windows 版本。 适用性规则包含详细信息。

用户组与设备组

许多用户询问何时使用用户组以及何时使用设备组。 答案取决于你的目标。 下面是一些入门指南。

设备组

如果要在设备上应用设置,而不考虑登录的用户,请将配置文件分配给设备组。 应用于设备组的设置始终随附于设备(而不是用户)。

例如:

  • 设备组适用于管理没有专用用户的设备。 例如,你的设备将打印票证、扫描清单、由换班工作人员共享、将其分配到特定仓库等。 将这些设备放在设备组中,并将配置文件分配给此设备组。

  • 创建一个设备固件配置接口 (DFCI) Intune 配置文件,用于更新 BIOS 中的设置。 例如,你将此配置文件配置为禁用设备照相机,或锁定启动选项以防止用户启动其他操作系统。 此配置文件是分配给设备组的良好方案。

  • 在某些特定的 Windows 设备上,你始终需要控制某些 Microsoft Edge 设置,而不考虑使用该设备的用户。 例如,你想要阻止所有下载,将所有 cookie 限制为当前浏览会话,并删除浏览历史记录。 对于这种情况,请将这些特定 Windows 设备放在设备组中。 然后,在 Intune 中创建管理模板,添加这些设备设置,然后将此配置文件分配到设备组。

总而言之,当你不关心登录设备的用户或是否有任何人登录时,请使用设备组。 你希望设置始终位于设备上。

用户组

应用于用户组的配置文件设置始终随附于用户,并在登录到多个设备时随附于用户。 通常用户有很多设备,如 Surface Pro 用于办公,iOS/iPadOS 设备用于处理私事。 而且,通常人们可以从这些设备访问电子邮件和其他组织资源。

如果用户在同一平台上拥有多个设备,你可以对组分配使用筛选器。 例如,用户拥有个人 iOS/iPadOS 设备和组织拥有的 iOS/iPadOS。 为该用户分配策略时,可以使用筛选器仅指向组织拥有的设备。

遵循这一常规规则:如果功能属于用户(如电子邮件或用户证书),则分配给用户组。

例如:

  • 你需要为所有设备上的所有用户提供一个技术支持图标。 在此情况下,将这些用户放在用户组中,并将你的技术支持图标配置文件分配给此用户组。

  • 用户将收到一个新的组织拥有的设备。 用户通过其域帐户登录到设备。 设备在 Azure AD 中自动注册,并由 Intune 自动管理。 此配置文件是分配给用户组的良好方案。

  • 每当用户登录到设备时,你都需要控制 OneDrive 或 Office 等应用中的功能。 在这种情况下,将 OneDrive 或 Office 配置文件设置分配给用户组。

    例如,你想要在 Office 应用中阻止不受信任的 ActiveX 控件。 你可以在 Intune 中创建管理模板,配置这些设置,然后将此配置文件分配到用户组。

总而言之,当你希望设置和规则始终随附于用户而不考虑使用的设备时,请使用用户组。

Windows CSP

Windows 设备的策略设置是基于 配置服务提供商 (CSP) 的。 这些设置映射到设备上的注册表项或文件。

Intune公开这些 CSP,以便你可以配置这些设置并将其分配给 Windows 设备。 这些设置可使用内置模板和 设置目录 进行配置。 在设置目录中,你将看到某些设置适用于用户范围,某些设置则适用于设备范围。

有关如何将限定用户范围和限定设备范围的设置应用于 Windows 设备的信息,请转到 是指目录:设备范围与用户范围设置

从配置文件分配中排除组

通过使用 Intune 设备配置文件,可在配置文件分配中包括和排除组。

最佳做法是:

  • 专门为用户组创建和分配配置文件。 使用筛选器包含或排除这些用户的设备。
  • 专门为设备组创建和分配不同的配置文件。

有关组的详细信息,请参阅添加用于组织用户和设备的组

基础知识

分配策略和配置文件时,请应用以下常规原则:

  • 对于将要接收策略的用户和设备,将“包含的组”或“排除的组”看作是一个起点。 Azure AD 组是限制组,因此请尽可能使用最小的组范围。 使用筛选器限制或优化策略分配。

  • 分配的 Azure AD 组(也称为静态组)可以添加到“包含的组”或“排除的组”。

    通常,如果设备已在 Azure AD 中预先注册,则可以静态地将设备分配到 Azure AD 组(如 Windows Autopilot)。 或者,如果想组合设备以进行一次性的临时部署。 否则,静态地将设备分配到 Azure AD 组可能不太实际。

  • 动态 Azure AD 用户组可以添加到“包含的组”或“排除的组”。

  • 动态 Azure AD 设备组可以添加到“包含的组”。 但在填充动态组成员身份时,可能会出现延迟。 在对延迟敏感的场景中,使用筛选器以针对特定设备执行操作,并将策略分配给用户组。

    例如,你希望在设备注册后立即将策略分配给设备。 在这种对延迟敏感的情况下,请创建筛选器以针对所需设备执行操作,并将带有此筛选器的策略分配给用户组。 而不要将其分配给设备组。

    在无用户场景中,请创建筛选器以针对所需设备执行操作,并将带有筛选器的策略分配给“所有设备”组。

  • 避免将动态 Azure AD 设备组添加到“排除的组”。 注册时动态设备组计算中的延迟可能导致意外结果。 例如,在填充“排除的组”的成员身份之前,可能会部署不需要的应用程序和策略。

支持矩阵

使用以下矩阵了解对排除组的支持:

  • ✔️:支持
  • ❌:不支持
  • ❕:部分支持

显示用于在配置文件分配中包含或排除组的支持选项的屏幕截图。

应用场景 支持
1 ❕ 部分支持将

策略分配给动态设备组,同时排除另一个动态设备组。 但在对延迟敏感的场景中,不建议使用此设置。 排除组成员身份计算中的任何延迟都可能导致向设备提供策略。 在此场景中,我们建议使用筛选器,而不是使用动态设备组来排除设备。

例如,你有一个分配给 “所有设备”的设备策略。 然后,你要求新的市场营销设备不会收到此策略。 因此,你基于 enrollmentProfilename 属性 (device.enrollmentProfileName -eq "Marketing_devices") 创建一个名为“市场营销设备”的动态设备组。 在策略中,你将“市场营销设备”动态组添加为排除组。

新营销设备首次在 Intune 中注册,并创建新的 Azure AD 设备对象。 动态分组过程会将设备置于“市场营销设备”组中,可能存在计算延迟。 同时,设备注册到 Intune,并开始接收所有适用的策略。 在将设备放入排除组之前,可以部署 Intune 策略。 此行为会导致将不需要的策略(或应用)部署到“市场营销设备”组中。

因此,不建议在延迟敏感方案中对排除使用动态设备组。 请改用筛选器
2 ✔️ 支持在

排除静态设备组时向动态设备组分配策略。
3 ❌ 不支持

将策略分配给动态设备组,同时排除 (动态和静态) 的用户组。 Intune 不会评估用户到设备组关系,并且不会排除包含的用户的设备。
4 ❌ 不支持

将策略分配给动态设备组并排除 (动态和静态) 的用户组。 Intune 不会评估用户到设备组关系,并且不会排除包含的用户的设备。
5 ❕ 部分支持在

排除动态设备组时将策略分配给静态设备组。 但在对延迟敏感的场景中,不建议使用此设置。 排除组成员身份计算中的任何延迟都可能导致向设备提供策略。 在此场景中,我们建议使用筛选器,而不是使用动态设备组来排除设备。
6 ✔️

支持将策略分配给静态设备组并排除其他静态设备组。
7 ❌ 不支持

将策略分配给静态设备组并排除 (动态和静态) 的用户组。 Intune 不会评估用户到设备组关系,并且不会排除包含的用户的设备。
8 ❌ 不支持

将策略分配给静态设备组并排除 (动态和静态) 的用户组。 Intune 不会评估用户到设备组关系,并且不会排除包含的用户的设备。
9 ❌ 不支持

将策略分配给动态用户组并排除 (动态和静态) 的设备组。
10 ❌ 不支持

将策略分配给动态用户组并排除 (动态和静态) 的设备组。
11 ✔️

支持将策略分配给动态用户组,同时排除 (动态和静态) 的用户组。
12 ✔️

支持将策略分配给动态用户组,同时排除 (动态和静态) 的用户组。
13 ❌ 不支持在

排除 (动态和静态) 的设备组时向静态用户组分配策略。
14 ❌ 不支持在

排除 (动态和静态) 的设备组时向静态用户组分配策略。
15 ✔️

支持将策略分配给静态用户组,同时排除其他用户组 (动态和静态) 。
16 ✔️

支持将策略分配给静态用户组,同时排除其他用户组 (动态和静态) 。

后续步骤

有关监视配置文件以及运行配置文件的设备的指南,请参阅监视设备配置文件