在 Microsoft Intune 中分配策略

创建Intune策略时，它包括你在策略中添加和配置的所有设置。 准备好部署策略后，下一步是将策略“分配给”用户或设备组。 分配后，用户和设备会收到策略，并应用输入的设置。

在 Intune 中，可以创建并分配以下策略：

• 应用保护策略
• 应用配置策略
• 合规性策略
• 条件访问策略
• 设备配置文件
• 注册策略

本文介绍如何分配策略，包括有关使用范围标记的一些信息、何时向用户组或设备组分配策略等。

开始之前

请确保具有正确的角色来分配策略和配置文件。 有关详细信息，请转到使用 Microsoft Intune (RBAC) 的基于角色的访问控制。

将策略分配给用户或组

1. 登录到Microsoft Intune管理中心。

2. 选择“设备”>“配置文件”。 此时会列出所有配置文件。

3. 选择要分配>属性>分配编辑的>配置文件：

   例如，若要分配设备配置文件，请执行以下操作：

   1. 转到 设备>配置配置文件。 此时会列出所有配置文件。

   2. 选择要分配>属性>分配编辑的>配置文件：

      

4. 依次选择“包括的组”或“排除的组”和“选择要包括的组”。 选择组时，会选择 Azure AD 组。 若要选择多个组，请按住 Ctrl，然后选择组。

   

5. 选择“查看 + 保存”。 此步骤不会分配策略。

6. 选择“保存”。 保存时，将分配策略。 当设备使用 Intune 服务检查时，组将收到策略设置。

应了解和使用的工作分配功能

• 使用 筛选器 根据创建的规则分配策略。 可以为以下项创建筛选器：

  • 应用配置策略
  • 合规性策略
  • 设备配置文件

  有关详细信息，请转到在 Microsoft Intune 中分配应用、策略和配置文件时使用筛选器。

• 策略集 创建现有应用和策略的组或集合。 创建策略集后，可以从Microsoft Intune管理中心的单个位置分配策略集。

  有关详细信息，请转到使用策略集对Microsoft Intune中的管理对象的集合进行分组。

• 范围标记 是将策略筛选到特定组（例如 US-NC IT Team 或 JohnGlenn_ITDepartment）的好方法。 有关详细信息，请转到 使用分布式 IT 的 RBAC 和范围标记。

• 在 Windows 10/11 设备上，可以添加适用性规则，以便策略仅适用于特定的 OS 版本或特定的 Windows 版本。 有关详细信息，请转到 适用性规则。

用户组与设备组

许多用户询问何时使用用户组以及何时使用设备组。 答案取决于你的目标。 下面是一些入门指南。

设备组

如果要在设备上应用设置（无论登录者是谁），请将策略分配给设备组。 应用于设备组的设置始终随附于设备（而不是用户）。

例如：

• 设备组适用于管理没有专用用户的设备。 例如，你的设备将打印票证、扫描清单、由换班工作人员共享、将其分配到特定仓库等。 将这些设备放在设备组中，并将策略分配给此设备组。

• 创建一个设备固件配置接口 (DFCI) Intune 配置文件，用于更新 BIOS 中的设置。 例如，将此策略配置为禁用设备相机，或锁定启动选项以防止用户启动其他 OS。 此策略是分配给设备组的好方案。

• 在某些特定的 Windows 设备上，你始终需要控制某些 Microsoft Edge 设置，而不考虑使用该设备的用户。 例如，你想要阻止所有下载，将所有 cookie 限制为当前浏览会话，并删除浏览历史记录。 对于这种情况，请将这些特定 Windows 设备放在设备组中。 然后，在 Intune 中创建管理模板，添加这些设备设置，然后将此策略分配给设备组。

总而言之，当你不关心登录设备的用户或是否有任何人登录时，请使用设备组。 你希望设置始终位于设备上。

用户组

应用于用户组的策略设置始终随用户一起使用，并在登录到其多个设备时随用户一起使用。 通常用户有很多设备，如 Surface Pro 用于办公，iOS/iPadOS 设备用于处理私事。 而且，通常人们可以从这些设备访问电子邮件和其他组织资源。

如果用户在同一平台上拥有多个设备，你可以对组分配使用筛选器。 例如，用户拥有个人 iOS/iPadOS 设备和组织拥有的 iOS/iPadOS。 为该用户分配策略时，可以使用筛选器仅指向组织拥有的设备。

遵循这一常规规则：如果功能属于用户（如电子邮件或用户证书），则分配给用户组。

例如：

• 你需要为所有设备上的所有用户提供一个技术支持图标。 在此方案中，请将这些用户放入用户组，并将技术支持图标策略分配给此用户组。

• 用户将收到一个新的组织拥有的设备。 用户通过其域帐户登录到设备。 设备在 Azure AD 中自动注册，并由 Intune 自动管理。 此策略是分配给用户组的好方案。

• 每当用户登录到设备时，你都需要控制 OneDrive 或 Office 等应用中的功能。 在此方案中，将 OneDrive 或 Office 策略设置分配给用户组。

  例如，你想要在 Office 应用中阻止不受信任的 ActiveX 控件。 可以在 Intune 中创建管理模板，配置此设置，然后将此策略分配给用户组。

总而言之，当你希望设置和规则始终随附于用户而不考虑使用的设备时，请使用用户组。

Windows CSP 及其行为

Windows 设备的策略设置是基于 配置服务提供商 (CSP) 的。 这些设置映射到设备上的注册表项或文件。

以下是你需要了解的有关 Windows CSP 的信息：

• Intune公开这些 CSP，以便你可以配置这些设置并将其分配给 Windows 设备。 这些设置可使用内置模板和 设置目录 进行配置。 在设置目录中，你将看到某些设置适用于用户范围，某些设置则适用于设备范围。

  有关如何将限定用户范围和限定设备范围的设置应用于 Windows 设备的信息，请转到 是指目录：设备范围与用户范围设置。

• 删除策略或不再将策略分配给设备时，可能会发生不同情况，具体取决于策略中的设置。 每个 CSP 都可以以不同的方式处理策略删除。

  例如，设置可能会保留现有值，而不会恢复为默认值。 该行为由操作系统中的每个 CSP 控制。 有关 Windows CSP 的列表，请参阅配置服务提供程序 (CSP) 参考。

  若要将设置更改为其他值，请创建新策略，将设置配置为 “未配置”，然后分配策略。 当策略应用于设备时，用户应有权将设置更改为其首选值。

• 在配置这些设置时，我们建议部署到试验组。 有关 Intune 推出建议的更多信息，请参阅创建推出计划。

从策略分配中排除组

Intune设备配置策略允许在策略分配中包含和排除组。

最佳做法是：

• 专门为用户组创建和分配策略。 使用筛选器包含或排除这些用户的设备。
• 专门为设备组创建和分配不同的策略。

有关组的详细信息，请参阅添加用于组织用户和设备的组。

包含和排除组的原则

分配策略和策略时，请应用以下一般原则：

• 对于将要接收策略的用户和设备，将“包含的组”或“排除的组”看作是一个起点。 Azure AD 组是限制组，因此请尽可能使用最小的组范围。 使用筛选器限制或优化策略分配。

• 分配的 Azure AD 组（也称为静态组）可以添加到“包含的组”或“排除的组”。

  通常，如果设备已在 Azure AD 中预先注册，则可以静态地将设备分配到 Azure AD 组（如 Windows Autopilot）。 或者，如果想组合设备以进行一次性的临时部署。 否则，静态地将设备分配到 Azure AD 组可能不太实际。

• 动态 Azure AD 用户组可以添加到“包含的组”或“排除的组”。

• 动态 Azure AD 设备组可以添加到“包含的组”。 但在填充动态组成员身份时，可能会出现延迟。 在对延迟敏感的场景中，使用筛选器以针对特定设备执行操作，并将策略分配给用户组。

  例如，你希望在设备注册后立即将策略分配给设备。 在这种对延迟敏感的情况下，请创建筛选器以针对所需设备执行操作，并将带有此筛选器的策略分配给用户组。 而不要将其分配给设备组。

  在无用户场景中，请创建筛选器以针对所需设备执行操作，并将带有筛选器的策略分配给“所有设备”组。

• 避免将动态 Azure AD 设备组添加到“排除的组”。 注册时动态设备组计算中的延迟可能导致意外结果。 例如，在填充“排除的组”的成员身份之前，可能会部署不需要的应用程序和策略。

支持矩阵

使用以下矩阵了解对排除组的支持：

• ✔️：支持
• ❌：不支持
• ❕：部分支持

应用场景	支持
1	❕ 部分支持将 策略分配给动态设备组，同时排除另一个动态设备组。 但在对延迟敏感的场景中，不建议使用此设置。 排除组成员身份计算中的任何延迟都可能导致向设备提供策略。 在此场景中，我们建议使用筛选器，而不是使用动态设备组来排除设备。 例如，你有一个分配给 “所有设备”的设备策略。 然后，你要求新的市场营销设备不会收到此策略。 因此，你基于 enrollmentProfilename 属性 (device.enrollmentProfileName -eq "Marketing_devices") 创建一个名为“市场营销设备”的动态设备组。 在策略中，你将“市场营销设备”动态组添加为排除组。 新营销设备首次在 Intune 中注册，并创建新的 Azure AD 设备对象。 动态分组过程会将设备置于“市场营销设备”组中，可能存在计算延迟。 同时，设备注册到 Intune，并开始接收所有适用的策略。 在将设备放入排除组之前，可以部署 Intune 策略。 此行为会导致将不需要的策略（或应用）部署到“市场营销设备”组中。 因此，不建议在延迟敏感方案中对排除使用动态设备组。 请改用筛选器。
2	✔️ 支持在 排除静态设备组时向动态设备组分配策略。
3	❌ 不支持 将策略分配给动态设备组，同时排除 (动态和静态) 的用户组。 Intune 不会评估用户到设备组关系，并且不会排除包含的用户的设备。
4	❌ 不支持 将策略分配给动态设备组并排除 (动态和静态) 的用户组。 Intune 不会评估用户到设备组关系，并且不会排除包含的用户的设备。
5	❕ 部分支持在 排除动态设备组时将策略分配给静态设备组。 但在对延迟敏感的场景中，不建议使用此设置。 排除组成员身份计算中的任何延迟都可能导致向设备提供策略。 在此场景中，我们建议使用筛选器，而不是使用动态设备组来排除设备。
6	✔️ 支持将策略分配给静态设备组并排除其他静态设备组。
7	❌ 不支持 将策略分配给静态设备组并排除 (动态和静态) 的用户组。 Intune 不会评估用户到设备组关系，并且不会排除包含的用户的设备。
8	❌ 不支持 将策略分配给静态设备组并排除 (动态和静态) 的用户组。 Intune 不会评估用户到设备组关系，并且不会排除包含的用户的设备。
9	❌ 不支持 将策略分配给动态用户组并排除 (动态和静态) 的设备组。
10	❌ 不支持 将策略分配给动态用户组并排除 (动态和静态) 的设备组。
11	✔️ 支持将策略分配给动态用户组，同时排除 (动态和静态) 的用户组。
12	✔️ 支持将策略分配给动态用户组，同时排除 (动态和静态) 的用户组。
13	❌ 不支持在 排除 (动态和静态) 的设备组时向静态用户组分配策略。
14	❌ 不支持在 排除 (动态和静态) 的设备组时向静态用户组分配策略。
15	✔️ 支持将策略分配给静态用户组，同时排除其他用户组 (动态和静态) 。
16	✔️ 支持将策略分配给静态用户组，同时排除其他用户组 (动态和静态) 。

后续步骤

有关 监视 策略和运行策略的设备的指导，请参阅监视设备配置文件。