添加用于组织用户和设备的组

Intune 使用 Microsoft Entra 组来管理设备和用户。 Intune 管理员可以设置组以适合组织需求。 创建组,以便按地理位置、部门或硬件特性来组织用户或设备。 使用组来管理大规模的任务。 例如,可设置适用于许多用户的策略,或向一组设备部署应用。

注意

Microsoft 365 管理中心 创建的默认组未启用安全性。 必须在 Microsoft 365 管理中心、Microsoft Entra 管理中心或 Intune 管理中心中显式创建 365 个Microsoft Microsoft启用安全性的组

可以添加下列类型的组:

  • 分配组 - 将用户或设备手动添加到静态组。

  • 动态组 (需要Microsoft Entra ID P1 或 P2) - 根据创建的表达式自动将用户或设备添加到用户组或设备组。

    例如,在添加具有经理职务的用户时,该用户将自动添加到“所有经理”用户组中。 或者,当设备具有 iOS/iPadOS 设备 OS 类型时,设备会自动添加到“所有 iOS/iPadOS 设备”设备组中

添加新组

使用以下步骤来创建新组。

  1. 登录到 Microsoft Intune 管理中心

  2. 选择“”>“新建组”:

    显示 Azure 门户的屏幕截图,其中选择了“新建组”。

  3. 在“组类型”中,选择下列选项之一:

    • 安全:安全组定义谁可以访问资源,并推荐谁可以加入你在 Intune 中的组。 例如,可以为用户创建组,如 所有 Charlotte 员工远程工作者。 或者,为设备创建组,如“所有 iOS/iPadOS 设备”或“所有 Windows 10 学生设备”

      提示

      还可以在 azure 门户中的 Microsoft 365 管理中心、Microsoft Entra 管理中心和 Microsoft Intune 中看到创建的用户和组。 在组织租户中,可以创建和管理所有这些区域中的组。

      如果主要角色是设备管理,我们建议使用 Microsoft Intune 管理中心

    • Microsoft 365:通过授予成员访问共享邮箱、日历、文件、SharePoint 站点等的权限来提供协作机会。 使用此选项还可以向组织外部的用户授予对组的访问权限。 有关详细信息,请参阅 了解 Microsoft 365 组

      注意

      仅支持启用安全性Microsoft 365 个组。

  4. 对于新组,输入 组名称组说明。 具体明确并包含信息,使其他人知道组的用途。

    例如,对于“组名称”,请输入“所有 Windows 10 学生设备”,对于“组说明”,请输入“Contoso 高中 9-12 年级学生使用的所有 Windows 10 设备”

  5. 输入“成员身份类型”。 选项包括:

    • 已分配:管理员手动将用户或设备分配给此组,以及手动删除用户或设备。

    • 动态用户:管理员创建成员身份规则以自动添加和删除成员。

    • 动态设备:管理员创建动态组规则以自动添加和删除设备。

      显示 Intune 组属性的屏幕截图。

    有关这些成员身份类型和创建动态表达式的详细信息,请参阅:

    注意

    在此管理中心,创建用户或组时,可能不会看到 Microsoft Entra ID 品牌。 但这就是你正在使用的内容。

  6. 选择“创建”以添加新组。 此时,组显示在列表中。

请考虑你可以创建的一些其他动态用户和设备组,例如:

  • Contoso 高中的所有学生
  • 所有 iOS 11 及更早版本设备
  • 市场营销
  • 人力资源
  • 所有 Charlotte 员工

设备组

需要基于设备标识而非用户标识运行管理任务时,可以创建设备组。 它们可用于管理无专用用户的设备,例如展台设备、由轮班工作人员共享的设备或分配给特定位置的设备。

例如:

  • 所有 Windows 10 Surface 设备
  • CLT 分发中心-Zebra 设备

还可以使用 设备类别 在设备注册时自动将设备加入组。

Intune 所有用户和所有设备组

在 Intune 管理中心分配策略和应用时,可以选择将分配给 Intune 自动创建的 “所有用户 ”或“ 所有设备 ”组。

所有设备 ”组面向已注册到管理中的所有设备。 “所有用户”组是一种面向已分配 Intune 许可证的所有用户的简单方法。 这些组被视为“虚拟”,因为你不会在 Entra ID Microsoft中创建或查看它们。 它们使用起来很方便,因为它们已在租户中,并且是比Microsoft Entra 组更快的目标单元。

提示

若要创建组织的基本合规性要求,可以创建适用于所有组和设备的默认策略。 然后,为最广泛的用户和设备类别创建更具体的策略。 例如,可以为每个设备操作系统创建电子邮件策略。

将策略和应用程序分配给大型组(例如 “所有用户 ”和“ 所有设备”)时,可以选择使用 筛选器,以便可以动态控制策略或应用部署应应用于哪些设备。

有关使用筛选器的更多指南,请转到:

另请参阅