分享方式:


在 Microsoft Intune 中指派原則

當您建立 Intune 原則時,它會包含您在原則中新增和設定的所有設定。 當原則準備好可供部署後,下一個步驟是將原則「指派」給您的使用者或裝置群組。 當您指派原則後,使用者和裝置會收到您的原則,並會套用您輸入的設定。

在 Intune 中,您可以建立並指派下列原則:

  • 應用程式防護原則
  • 應用程式設定原則
  • 合規性原則
  • 條件式存取原則
  • 裝置組態設定檔
  • 註冊原則

本文說明如何指派原則、包含使用範圍標籤的一些資訊、描述將原則指派給使用者群組或裝置群組之時機等等。

本功能適用於:

  • Android
  • iOS/iPadOS
  • macOS
  • Linux
  • Windows

開始之前

  • 請確定您具有可指派原則和設定檔的正確角色。 如需詳細資訊,請移至 使用 Microsoft Intune 的角色型存取控制 (RBAC)

  • 請考慮使用 Intune 中的 Microsoft Copilot。 一些優點包括:

    • 當您建立原則並設定設定後,Copilot 會提供每個設定的詳細資訊、建議值,並尋找潛在的衝突。
    • 當您指派原則後,Copilot 便會告訴您指派原則的群組,並協助您瞭解原則的效果。

    如需詳細資訊,請移至 Intune 中的 Microsoft Copilot

將原則指派給使用者或群組

  1. 登入 Microsoft Intune 系統管理中心

  2. 選取 [裝置]>[管理裝置]>[設定]。 所有設定檔都會列出。

  3. 選取您要指派的設定檔 >[屬性]>[指派]>[編輯]:

    例如,若要指派裝置組態設定檔:

    1. 移至 [裝置]>[管理裝置]>[設定]。 所有設定檔都會列出。

    2. 選取您要指派的原則 >[屬性]>[指派]>[編輯]:

      顯示如何選取指派,以將設定檔部署至 Microsoft Intune 中的使用者和群組之螢幕擷取畫面。

  4. [包含的群組][排除的群組] 底下,選擇 [新增群組],以選取一或多個 Microsoft Entra 群組。 如果您想要將原則廣泛部署至所有適用的裝置,請選取 [新增所有使用者][新增所有裝置]

    注意事項

    如果您選取「所有裝置」和「所有使用者」,則系統會停用新增其他 Microsoft Entra 群組的選項。

  5. 選取 [檢閱 + 儲存]。 此步驟不會指派您的原則。

  6. 選取 [儲存]。 當您儲存時,會指派您的原則。 當裝置簽入 Intune 服務時,您的群組會收到您的原則設定。

您應該知道並使用的指派功能

使用者群組與裝置群組

許多使用者會詢問使用使用者群組的時機,以及使用裝置群組的時機。 答案取決於您的目標。 以下是可協助您開始使用的一些指導方針。

裝置群組

如果您想要在裝置上套用設定,則不論登入的人員為誰,請將您的原則指派給裝置群組。 套用至裝置群組的設定一律隨裝置執行,而非使用者。

例如:

  • 裝置群組對於管理沒有專用使用者的裝置來說非常有用。 例如,您有列印票證、掃描庫存、由輪班員工共用、指派給特定倉儲等的裝置。 將這些裝置放在裝置群組中,並將您的原則指派給此裝置群組。

  • 您建立了 裝置韌體設定介面 (DFCI) Intune 設定檔,以更新 BIOS 中的設定。 例如,您設定此原則來停用裝置相機,或鎖定開機選項,以防止使用者啟動其他作業系統。 此原則是指派給裝置群組的好案例。

  • 在某些特定 Windows 裝置上,您總是想控制某些 Microsoft Edge 設定 (無論使用該裝置的人員為誰)。 例如,您想要封鎖所有下載、將所有 Cookie 限制為目前的瀏覽工作階段,並刪除瀏覽歷程記錄。 在此案例中,請將這些特定的 Windows 裝置放在裝置群組中。 然後,建立 Intune 中的系統管理範本、新增這些裝置設定,然後將此原則指派給裝置群組。

總而言之,當您不在意登入裝置的人員為誰,或是否有任何人登入時,請使用裝置群組。 您希望您的設定永遠位於裝置上。

使用者群組

套用至使用者群組的原則設定一律會隨使用者執行,並在使用者登入其許多裝置時,隨使用者一起執行。 使用者擁有許多裝置很正常,例如工作用 Surface Pro,以及個人 iOS/iPadOS 裝置。 且一個人從這些裝置存取電子郵件和其他組織資源也很正常。

如果使用者在同一個平台上有多個裝置,則您可以在群組指派上使用 篩選條件。 例如,使用者有個人 iOS/iPadOS 裝置,以及組織擁有的 iOS/iPadOS。 當您為該使用者指派原則時,您可以使用 篩選條件,以僅鎖定組織擁有的裝置。

遵循此一般規則: 如果功能屬於使用者 (例如電子郵件或使用者憑證),則指派給使用者群組。

例如:

  • 您想要在其所有裝置上針對所有使用者放置 [技術支援中心] 圖示。 在此案例中,請將這些使用者放在使用者群組中,並將您的 [技術支援中心] 圖示原則指派給此使用者群組。

  • 使用者會收到新的組織擁有的裝置。 使用者會使用其網域帳戶登入裝置。 裝置會在 Microsoft Entra ID 中自動註冊,並由 Intune 自動管理。 此原則是指派給使用者群組的好案例。

  • 每當使用者登入裝置時,您便想控制應用程式中的功能,例如 OneDrive 或 Office。 在此案例中,將您的 OneDrive 或 Office 原則設定指派給使用者群組。

    例如,您想要在 Office 應用程式中封鎖不受信任的 ActiveX 控制項。 您可以建立 Intune 中的系統管理範本、設定此設定,然後將此原則指派給使用者群組。

總而言之,當您想要讓設定和規則一律隨使用者執行時,請使用使用者群組 (無論使用者使用的裝置為何)。

Azure 虛擬桌面多工作階段

您可以使用 Intune 來管理使用 Azure 虛擬桌面建立的 Windows 多工作階段遠端桌面,就像管理任何其他共用的 Windows 用戶端裝置一樣。 當您將原則指派給使用者群組或裝置時,Azure 虛擬桌面多工作階段為特殊案例。 使用虛擬機器,裝置 CSP 必須以裝置群組為目標。 使用者 CSP 必須以使用者群組為目標。

如需詳細資訊,請移至 使用 Azure 虛擬桌面多工作階段搭配 Microsoft Intune

Windows CSP 及其行為

Windows 裝置的原則設定是以 設定服務提供者 (CSP) 為基礎。 這些設定會對應至裝置上的登錄機碼或檔案。

以下是您需要知道的 Windows CSP 相關資訊:

  • Intune 會公開這些 CSP,以便您設定這些設定,並將其指派給您的 Windows 裝置。 這些設定可使用內建範本和使用 設定目錄 進行設定。 在設定目錄中,您會看到某些設定適用於使用者範圍,而某些設定適用於裝置範圍。

    如需如何將使用者範圍和裝置範圍設定套用至 Windows 裝置的資訊,請移至 [設定目錄: 裝置範圍與使用者範圍設定]

  • 移除原則或不再指派原則給裝置後,視原則中的設定而定,可能會發生不同的情況。 每個 CSP 都可以以不同的方式處理原則移除。

    例如,設定可能會保留現有的值,而不會還原為預設值。 每個 CSP 都會控制行為。 如需 Windows CSP 的清單,請參閱 設定服務提供者 (CSP) 參考內容

    若要將設定變更為不同的值,請建立新的原則、將設定設定為 [未設定],然後指派原則。 當原則套用至裝置時,使用者應能夠控制將設定變更為其慣用值。

  • 設定這些設定時,建議您部署至試驗群組。 如需更多 Intune 發行建議,請參閱 建立發行計劃

從原則指派中排除群組

Intune 裝置設定原則可讓您從原則指派中包含和排除群組。

最佳做法是如下:

  • 特別針對您的使用者群組建立和指派原則。 使用 篩選條件 來包含或排除這些使用者的裝置。
  • 特別針對您的裝置群組建立並指派不同的原則。

如需群組的詳細資訊,請參閱 新增群組以組織使用者和裝置

包含和排除群組的原則

當您指派您的原則和原則時,請套用下列一般原則:

  • 請將 [包含的群組][排除的群組] 視為將接收您原則之使用者和裝置的起點。 Microsoft Entra 群組是限制群組,因此請盡可能使用最小的群組範圍。 使用 篩選條件 來限制或精簡原則指派。

  • 可將指派的 Microsoft Entra 群組 (也稱為靜態群組) 新增至 [包含的群組] 或 [排除的群組]。

    一般而言,如果裝置已在 Microsoft Entra ID 中預先註冊,您會以靜態方式將裝置指派至 Microsoft Entra 群組 (就像使用 Windows Autopilot 那樣)。 或者,如果您想要結合裝置進行一次性的臨機操作部署。 否則,以靜態方式將裝置指派到 Microsoft Entra 群組可能並不實用。

  • 您可將動態 Microsoft Entra 使用者群組新增至包含的群組或排除的群組。

  • 排除的群組可以是具有使用者的群組或具有裝置的群組。

  • 您可將動態 Microsoft Entra 裝置群組新增至包含的群組。 但是,填入動態群組成員資格時,可能會有延遲。 在延遲敏感的案例中,使用 篩選條件,以特定裝置為目標,並將您的原則指派給使用者群組。

    例如,您想要在裝置註冊後,立即將原則指派給裝置。 在此延遲敏感的情況下,請建立 篩選條件 以鎖定您想要的裝置,並將具有此篩選條件的原則指派給使用者群組。 請勿指派給裝置群組。

    在無使用者案例中,建立 篩選條件,以鎖定您想要的裝置,並將具有篩選條件的原則指派給「所有裝置」群組。

  • 避免將動態 Microsoft Entra 裝置群組新增至 [排除的群組]。 註冊時,動態裝置群組計算的延遲可能會導致不想要的結果。 例如,在填入排除的群組成員資格之前,系統可能會部署不想要的應用程式和原則。

支援矩陣

使用下列矩陣來瞭解排除群組的支援:

  • ✅: 支援
  • ❌: 不支援
  • ❕: 部分支援

顯示包含或排除來自原則指派中的群組之支援選項的螢幕擷取畫面。

案例 支援
1 ❕ 部分支援

支援將原則指派給動態裝置群組,同時排除另一個動態裝置群組。 但是,不建議在延遲敏感的案例中使用。 排除群組成員資格計算中的任何延遲,都可能導致原則被提供給裝置。 在此案例中,建議您使用 篩選條件,而非針對排除裝置使用動態裝置群組。

例如,您有已指派給 [所有裝置] 的裝置原則。 接著,您會收到新要求,即新的行銷裝置不會收到此原則。 因此,您會根據 enrollmentProfilename 屬性(device.enrollmentProfileName -eq "Marketing_devices"),建立名為 [行銷裝置]的動態裝置群組。 在該原則中,您會將 [行銷裝置] 動態群組新增為排除的群組。

新行銷裝置首次在 Intune 中註冊,並建立了新的 Microsoft Entra 裝置物件。 動態分組程序會將裝置放入 [行銷裝置] 群組,可能會有延遲計算。 同時,裝置會註冊至 Intune,並開始接收所有適用的原則。 在將裝置放入排除群組之前,可以先部署 Intune 原則。 此行為會導致系統將不想要的原則 (或應用程式) 部署至 [行銷裝置] 群組。

因此,不建議在延遲敏感案例中,針對排除項目使用動態裝置群組。 請改用 篩選條件
2 ✅ 支援

支援將原則指派給動態裝置群組,同時排除靜態裝置群組。
3 ❌ 不支援

不支援將原則指派給動態裝置群組,同時排除使用者群組 (動態和靜態)。 Intune 不會評估使用者對裝置群組的關係,且不會排除包含的使用者之裝置。
4 ❌ 不支援

不支援將原則指派給動態裝置群組並排除使用者群組 (動態和靜態)。 Intune 不會評估使用者對裝置群組的關係,且不會排除包含的使用者之裝置。
5 ❕ 部分支援

支援將原則指派給靜態裝置群組,同時排除動態裝置群組。 但是,不建議在延遲敏感的案例中使用。 排除群組成員資格計算中的任何延遲,都可能導致原則被提供給裝置。 在此案例中,建議您使用 篩選條件,而非針對排除裝置使用動態裝置群組。
6 ✅ 支援

支援將原則指派給靜態裝置群組並排除不同的靜態裝置群組。
7 ❌ 不支援

不支援將原則指派給靜態裝置群組並排除使用者群組 (動態和靜態)。 Intune 不會評估使用者對裝置群組的關係,且不會排除包含的使用者之裝置。
8 ❌ 不支援

不支援將原則指派給靜態裝置群組並排除使用者群組 (動態和靜態)。 Intune 不會評估使用者對裝置群組的關係,且不會排除包含的使用者之裝置。
9 ❌ 不支援

不支援將原則指派給動態使用者群組並排除裝置群組 (動態和靜態)。
10 ❌ 不支援

不支援將原則指派給動態使用者群組並排除裝置群組 (動態和靜態)。
11 ✅ 支援

支援將原則指派給動態使用者群組,同時排除其他使用者群組 (動態和靜態)。
12 ✅ 支援

支援將原則指派給動態使用者群組,同時排除其他使用者群組 (動態和靜態)。
13 ❌ 不支援

不支援將原則指派給靜態使用者群組,同時排除裝置群組 (動態和靜態)。
14 ❌ 不支援

不支援將原則指派給靜態使用者群組,同時排除裝置群組 (動態和靜態)。
15 ✅ 支援

支援將原則指派給靜態使用者群組,同時排除其他使用者群組 (動態和靜態)。
16 ✅ 支援

支援將原則指派給靜態使用者群組,同時排除其他使用者群組 (動態和靜態)。

如需監視您的原則和執行您原則之裝置的指導方針,請參閱 監視裝置設定檔