添加用于组织用户和设备的组

Intune 使用Microsoft Entra组来管理设备和用户。 Intune 管理员可以设置组以适合组织需求。 创建组，以便按地理位置、部门或硬件特性来组织用户或设备。 使用组来管理大规模的任务。 例如，可设置适用于许多用户的策略，或向一组设备部署应用。

注意

从 Microsoft 365 管理中心 创建的默认组未启用安全性。 必须在Microsoft 365 管理中心、Microsoft Entra管理中心或Microsoft Intune管理中心显式创建启用了安全的 Microsoft 365 组。

可以添加下列类型的组：

• 分配组 - 将用户或设备手动添加到静态组。

• 动态组 (需要Microsoft Entra ID P1 或 P2) - 根据创建的表达式自动将用户或设备添加到用户组或设备组。

  例如，在添加具有经理职务的用户时，该用户将自动添加到“所有经理”用户组中。 或者，当设备具有 iOS/iPadOS 设备 OS 类型时，设备会自动添加到“所有 iOS/iPadOS 设备”设备组中。

添加新组

使用以下步骤来创建新组。

1. 登录到Microsoft Intune管理中心。

2. 选择“组”>“新建组”：

   

3. 在“组类型”中，选择下列选项之一：

   • 安全：安全组定义谁可以访问资源，并推荐谁可以加入你在 Intune 中的组。 例如，可以为用户创建组，如 所有 Charlotte 员工 或 远程工作者。 或者，为设备创建组，如“所有 iOS/iPadOS 设备”或“所有 Windows 10 学生设备”。

     提示

     还可以在Microsoft 365 管理中心、Microsoft Entra管理中心和Azure 门户Microsoft Intune中看到创建的用户和组。 在组织租户中，可以创建和管理所有这些区域中的组。

     如果主要角色是设备管理，我们建议使用 Microsoft Intune 管理中心。

   • Microsoft 365：通过授予成员访问共享邮箱、日历、文件、SharePoint 站点等的权限来提供协作机会。 使用此选项还可以向组织外部的用户授予对组的访问权限。 有关详细信息，请参阅 了解 Microsoft 365 组。

     注意

     仅支持启用安全的Microsoft 365 组。

4. 对于新组，输入 组名称 和 组说明。 具体明确并包含信息，使其他人知道组的用途。

   例如，对于“组名称”，请输入“所有 Windows 10 学生设备”，对于“组说明”，请输入“Contoso 高中 9-12 年级学生使用的所有 Windows 10 设备”。

5. 输入“成员身份类型”。 选项包括：

   • 已分配：管理员手动将用户或设备分配给此组，以及手动删除用户或设备。

   • 动态用户：管理员创建成员身份规则以自动添加和删除成员。

   • 动态设备：管理员创建动态组规则以自动添加和删除设备。

     

   有关这些成员身份类型和创建动态表达式的详细信息，请参阅：

   • 使用Microsoft Entra ID 创建基本组并添加成员
   • Microsoft Entra ID 中组的动态成员身份规则

   注意

   在此管理中心，创建用户或组时，可能不会看到Microsoft Entra ID 品牌。 但这就是你正在使用的内容。

6. 选择“创建”以添加新组。 此时，组显示在列表中。

请考虑你可以创建的一些其他动态用户和设备组，例如：

• Contoso 高中的所有学生
• 所有 iOS 11 及更早版本设备
• 市场营销
• 人力资源
• 所有 Charlotte 员工

设备组

需要基于设备标识而非用户标识运行管理任务时，可以创建设备组。 它们可用于管理无专用用户的设备，例如展台设备、由轮班工作人员共享的设备或分配给特定位置的设备。

例如：

• 所有Windows 10 Surface 设备
• CLT 分发中心-Zebra 设备

还可以使用 设备类别 在设备注册时自动将设备加入组。

Intune 所有用户和所有设备组

在 Intune 管理中心分配策略和应用时，可以选择将分配给 Intune 自动创建的 “所有用户 ”或“ 所有设备 ”组。

“ 所有设备 ”组面向已注册到管理中的所有设备。 “所有用户”组是一种面向已分配 Intune 许可证的所有用户的简单方法。 这些组被视为“虚拟”，因为你不会创建它们，也不会在MICROSOFT ENTRA ID 中查看它们。 它们使用起来很方便，因为它们已在租户中，并且是比Microsoft Entra组更快的目标单元。

提示

若要创建组织的基本合规性要求，可以创建适用于所有组和设备的默认策略。 然后，为最广泛的用户和设备类别创建更具体的策略。 例如，可以为每个设备操作系统创建电子邮件策略。

将策略和应用程序分配给大型组（例如 “所有用户 ”和“ 所有设备”）时，可以选择使用 筛选器，以便可以动态控制策略或应用部署应应用于哪些设备。

有关使用筛选器的更多指南，请转到：

• 在 Microsoft Intune 中分配应用、策略和配置文件时使用筛选器
• 在大型Microsoft Intune环境中分组、定位和筛选的性能建议

另请参阅

• Microsoft Intune 中的基于角色的访问控制 (RBAC)。
• 使用Microsoft Entra组管理对资源的访问权限
• 使用 Microsoft Intune 将应用分配到组