分散式 IT 環境，在相同的 Microsoft Intune 租使用者中具有許多系統管理員

許多組織使用分散式 IT 環境，其中有單一 Microsoft Intune 租用戶，其中包含多個本機系統管理員。 本文說明調整 Microsoft Intune 的一種方式，以支援多個本機系統管理員，這些系統管理員會管理自己的使用者、裝置，並在單一 Microsoft Intune 租用戶內建立自己的原則。

對於租用戶中應該有多少系統管理員，沒有正確或錯誤的答案。 本文著重於具有許多本機系統管理員的租用戶。

大量本機系統管理員連線到單一 Intune 租使用者的組織需要分散式 IT。 例如，某些學校系統經過組織，以便系統或區域中的每所學校都有本機管理員。 有時候，此分散式環境可能包含超過 15 個不同的本機系統管理員，這些系統管理員會匯總至相同的中央系統或 Microsoft Intune 租用戶。

每個本機管理員都可以設定群組，以符合其本機組織需求。 本機管理員通常會建立群組，並依地理位置、部門或硬體特性來組織多個使用者或裝置。 本機系統管理員也會使用這些群組來大規模管理工作。 例如，本機系統管理員可以為許多使用者設定原則，或將應用程式部署至一組裝置。

本文中使用的術語

• 最低權限：保護對組織的存取是重要的安全步驟。 Intune 會使用角色型存取控制 (RBAC) ，在 Intune 內指派系統管理使用者許可權，以管理不同的工作。 根據 最低權限 存取原則，您的管理員只能在他們應授權管理的使用者和裝置上執行指派的工作。

• 中央小組：中央小組或群組包含租使用者中的主要系統管理員。 這些系統管理員可以監督所有本機系統管理員，並可以為本機系統管理員提供指引。

• 本機系統管理員：本機系統管理員是本機系統管理員，並專注於其特定位置的原則和設定檔;學校、醫院等等。

角色型存取控制

保護對組織的存取是重要的安全步驟。 Intune 會使用 角色型存取控制 ，將細微的許可權授與系統管理員，以控制誰可以存取您組織的資源，以及他們可以使用這些資源執行的動作。 藉由指派 Intune RBAC 角色並遵守最低許可權存取原則，您的系統管理員只能在他們應該有權管理的使用者和裝置上執行指派的工作。

下列各節簡要說明不同的模型，以及每個模型下的指導方針，以管理 中央小組 與 本機系統管理員之間的原則、設定檔和應用程式。 這些型號是：

• 部分委派模型
• 完整委派模型
• 中央模型
• 下放模型
• 混合模型

部分委派模型

部分委派模型建議下列中央小組與本機系統管理員之間的原則管理指導方針。

✔️ 權限

• 建立、更新和刪除原則、註冊配置檔和應用程式的許可權應該由中央小組保留。
• 僅將讀取和指派權限授與本機系統管理員。

✔️ 重複使用

• 通常設定的原則、註冊配置檔和應用程式應該盡可能提供給本機系統管理員重複使用。
• Microsoft Intune 會使用許多常見的設定，這些設定屬於幾個類別。 檢閱 針對應用程式保護原則列出的建議。
• 作為本機系統管理員，他們應該檢閱現有的原則，並視需要重複使用它們。

✔️ 例外狀況

• 中央小組可以在需要時代表本機系統管理員建立新的原則、註冊配置檔和應用程式作為例外狀況。 通常，這些例外狀況包括需要唯一參數的任何類型的設定檔。

在這兩個領域提出了部分委託模型：

本機系統管理員的群組和指派指導方針：本機系統管理員在透過 Microsoft Intune 組織裝置管理群組時，要採用哪些最佳做法？ 若要瞭解，請參閱 Intune 分組、目標和篩選：最佳效能的建議 - Microsoft Tech Community 部落格。

功能特定指導方針：如何在中央授權單位與具有不同功能特定權限的本機系統管理員之間管理原則/設定檔/應用程式。 如需詳細資訊，請參閱本文中的 功能特定指導方針 。

完整委派模型

完整委派模型會針對中央小組與本機系統管理員之間的原則管理提出下列指導方針。

• 每個本機系統管理員都應該有自己的範圍標籤，以分隔他們完全管理的每個物件。
• 當本機系統管理員不需要建立、更新或刪除時，請授與本機系統管理員具有讀取和指派權限的角色，並避免將任何其他具有完整權限的角色指派給他們。 使用此方法，您可以避免跨範圍標籤合併許可權。
• 有時，本機系統管理員可能需要建立自己的原則、設定檔和應用程式，同時共用一些常見的原則、設定檔和應用程式。 在這種情況下，請建立特殊群組，並將通用原則、設定檔和應用程式指派給此群組。 此群組不應包含在任何本機系統管理員的 Intune RBAC 角色指派的 [範圍 (群組]) 中。此方法可防止指派給本機系統管理員的 建立、 更新和 刪除 許可權套用至這些常見的原則、配置檔和應用程式。

中央模型

在中央模型中，單一本機系統管理團隊 (父) 管理多個子組織。 地理位置、業務單位或規模等因素可用於將子組織分組。

• 只有一個範圍標籤可用來涵蓋所有受控本機系統管理員。

• 可能的話，本機系統管理小組應該標準化本機系統管理員之間的指派，並將其所有裝置放入單一 Microsoft Entra 群組中進行指派。 當無法建立單一 Microsoft Entra 群組時，本機系統管理小組可以建立不同的 Microsoft Entra 群組來進行不同的指派。

• 如果不同的本機系統管理團隊管理或移動組織，則必須採取下列步驟：

  • 組織的所有裝置和使用者都必須從原始本機系統管理小組範圍內的常見 Microsoft Entra 群組擷取。

  • 為該組織唯一指派的所有原則/應用程式/設定檔都必須針對新的本機系統管理員團隊更新其範圍標籤。

下放模型

在權力下放模型中，多個本機管理員 (子) 由其專屬本機管理員管理，並由中介本機系統管理小組監督。 父系和子系系統管理員都有自己的範圍標籤來代表管理界限。

• 如果子系統管理員少於 50 個，則可能會將所有子系的範圍標籤指派給中繼本機系統管理員小組 RBAC 角色指派，以授與中繼本機系統管理員小組的存取權。
• 如果有超過 50 個子管理員，則應授予中繼本機管理員團隊自己的範圍標籤，以代表他們監督的整個子管理員集合。
• 在子系統管理員的範圍標籤下新建立的原則必須具有具有適當角色的使用者新增的中繼標籤，以防止中繼本機系統管理員小組失去可見度。

混合模型

在混合式模型中，相同的父系統管理員會同時在中央和下放模型中使用。 該模型沒有特別建議。

功能特定指導方針

根據每個功能的業務需求，本節中提供的指導方針可以建議您為每個本機管理員建立原則，並可能將建立物件所需的權限委派給本機管理員。

注意事項

本節中提供的指南並未解決所有功能，而僅涵蓋我們有特殊說明的領域。

應用程式防護原則

應用程式防護原則是確保組織資料保持安全或包含在受管理應用程式中的規則。 如需詳細資訊，請參閱 應用程式防護原則。

應用程式防護原則的指導方針會在中央小組和本機系統管理員之間分割，如下所示：

中央團隊 - 任務

• 檢閱整個組織的安全性和商務需求，並為本機系統管理員產生一組常見的應用程式防護原則。
• 在建立任何應用程式防護原則之前，請檢閱列出的建議，以識別哪些安全性控制是適當的。
• 如有需要，本機系統管理員可針對無法使用現有通用原則達成商務需求的特定商務需求，建立已建立的方法來要求自定義應用程式防護原則。
• 如需每個設定層級和必須保護的最低應用程式的特定建議，請參閱 使用應用程式防護原則的資料保護架構。

本機系統管理員 - 權限和工作

• 為本機系統管理員提供讀取和指派權限，但不提供建立、更新或刪除受控應用程式的權限。 此權限設定可防止他們建立自己的應用程式防護原則。
• 提供讀取和指派應用程式組態原則指派給其應用程式的許可權。
• 只有在受管理裝置和非受管理裝置有不同的保護原則時，才提供讀取和指派權限。 如果中央小組選擇只為兩者提供一個原則，則不需要應用程式設定原則。
• 如果使用應用程式組態原則，建議您將應用程式組態原則指派給所有應用程式執行個體，無例外。
• 從常見的應用程式防護原則中選擇。 本機系統管理員可以要求中央小組建立自訂應用程式保護原則作為例外狀況，而且只有在必要時。
• 如需詳細資訊，請參閱 應用程式防護原則。

合規政策

Intune 中的合規性原則會定義使用者和裝置必須符合的規則和設定，才能符合規範。 在使用裝置存取組織資源之前，可能需要合規性。 如需合規性原則的詳細資訊，請參閱 使用合規性原則為您使用 Intune 管理的裝置設定規則。

中央團隊

中央小組應該建立通用合規性原則，供本機系統管理員選擇，並僅在必要時建立例外狀況原則。 如需詳細資訊，請參閱 使用合規性原則來設定您使用 Intune 管理的裝置規則。 建立原則包括建立自訂合規性原則指令碼，因為它們受限於與一般合規性原則相同的規模。

如需如何建立合規性原則的詳細資訊，請參閱 在 Microsoft Intune 中建立合規性原則。

本機管理員

為本機系統管理員提供讀取和指派權限，但不建立、更新或刪除合規性原則的權限。 讀取和指派權限可讓他們從中央小組所建立的一般合規性原則中進行選擇，並將其指派給其使用者和裝置。

裝置設定

本節內容：

• 裝置限制和一般設定
• 資源存取
• Windows 更新通道
• 功能更新
• 品質更新

裝置限制和一般設定

• 授與本機系統管理員在自己的範圍內建立、更新、刪除的權限。

• 盡可能使用 設定目錄 和 安全性基準 ，而不是在 [組態配置檔] 清單中建立的配置檔，以減輕 Microsoft Intune 系統管理中心的規模。

• 一般而言，中央團隊應嘗試集中監視設定內容，並儘可能以共用設定檔取代重複的設定檔。

資源存取

建議使用 完整委派模型 。

Windows 更新通道

• 建議集中管理 Windows 更新通道。 中央小組應該建立盡可能多的常見 Windows 更新通道原則，以支援本機系統管理員的差異。
• 本機系統管理員不應該建立自己的 Windows 更新通道。 當您委派給大量管理員時，物件總數可能會變得很大且難以管理。 每個功能的最佳實務都有所不同。 如需詳細資訊，請參閱 Windows 更新通道。

功能更新

建議使用 完整委派模型 。

品質更新

建議使用 完整委派模型 。

憑證

• 建議您透過中央小組使用許可權，視需要將連接器上線和離線。 為每個本機系統管理員上線連接器，以支援憑證發行。

• 請勿授與本機系統管理員更新或刪除連接器的權限。

應用程式

授與本機系統管理員在其範圍範圍內管理應用程式的完整權限。

本節內容：

• Apple 批量購買計劃

• Windows

• Android

如需詳細資訊，請參閱 管理應用程式。

Apple 批量購買計劃

目前，支援的大量購買計畫代幣數量沒有規模問題。 如需詳細資訊，請參閱我可以上傳多少權杖。

Windows

• 本機系統管理員可以視需要在跨平臺、企業營運應用程式和 Web 連結限制內建立 Win32 應用程式。 如需詳細資訊，請參閱 Win32 應用程式管理。

  注意事項

  商務商務用 Microsoft Store 即將淘汰。 從 Windows 11 開始，您的私人大量授權應用程式有一個新選項。 如需詳細資訊，請參閱 Windows 11 中的私人應用程式存放庫 和 更新至 Microsoft Intune 與 Windows 上的 Microsoft Store 整合。

Android

• 本地管理員應從現有的商店應用程序中進行選擇，或要求中央團隊添加新的 Android 商店應用程序。 本機管理員不應建立新的 Android 市集應用程式。 物件總數可能會變得很大且難以管理。

• 本機系統管理員可以視需要在跨平臺、企業營運應用程式和 Web 連結限制內建立 Android 企業營運應用程式。

• 中央團隊必須新增受管理的 Google Play 應用程式。

  • 中央小組只能看到其租用戶國家或地區可用的受控 Google Play 應用程式。 如果中央團隊需要僅在特定國家或地區提供的受管理 Google Play 應用程式，他們可能需要與應用程式開發人員合作，才能正確列出該應用程式。
  • 中央團隊應管理與受管理的 Google Play 應用程式相關的所有內容，包括私人應用程式、網路應用程式和精選集。 舉例來說，如果客戶計劃使用 受管理的 Google Play iframe 來發佈私人應用程式，則必須使用中央團隊擁有的單一開發人員帳戶來執行此操作。
  • 中央團隊可以選取單一範圍標籤作為受控 Google Play 範圍標籤。 它在受控 Google Play 連接器頁面中有一個特殊的下拉式清單。 範圍標籤會在中央小組將所有受控 Google Play 應用程式新增至主機之後套用至所有受控 Google Play 應用程式，但不會追溯套用至已新增的應用程式。 強烈建議中央小組在新增應用程式之前 設定範圍標籤 ，然後指派每個區域小組該範圍標籤。 否則，區域管理員可能無法看到其受管理的 Google Play 應用程式。

• 每個裝置僅支援一個 OEMConfig 原則，Zebra 裝置除外。 對於 Zebra 裝置，我們建議您盡可能少地使用原則數量，因為強制執行原則的時間是累加的。 例如，如果您指派六個原則，並假設它們會彼此疊加，則開始在裝置上工作的時間比單一原則長約 6 倍。

注意事項

在許多不同的應用程式和群組上設定高優先順序更新模式時，請格外考慮和謹慎。 這是出於多種原因：

• 雖然許多應用程式可以設定為高優先順序模式，但一次只能安裝一個應用程式更新。 一個大型應用程式更新可能會阻止許多較小的更新，直到大型應用程式完成安裝。
• 根據應用程式發佈新更新的時間，如果應用程式發佈時間同時進行，您的網路使用量可能會突然激增。 如果某些裝置上無法使用 Wi-Fi，蜂窩網路使用量也可能會出現激增。
• 儘管已經提到了破壞性的用戶體驗，但隨著越來越多的應用程序設置為高優先級更新模式，問題也越來越大。

如需使用高優先順序更新模式的受控 Google Play 應用程式更新的規模問題的詳細資訊，請參閱 Techcommunity 部落格 更新 Android Enterprise 應用程式的最佳做法。

註冊設定檔

本節內容：

• Windows Autopilot
• ESP) (註冊狀態頁面
• 蘋果業務經理 (ABM)
• Android Enterprise 設定檔
• 註冊限制
• 裝置類別

Windows Autopilot

• 授與本機系統管理員讀取 Windows Autopilot 裝置和上傳新 Windows Autopilot 裝置的許可權。
• 本機系統管理員不應該建立 Windows Autopilot 配置檔。 當您委派給大量管理員時，物件總數可能會變得很大且難以管理。 最佳實務會因功能區域而異。 如需 Windows Autopilot 的詳細資訊，請參閱 使用 Windows Autopilot 在 Intune 中註冊 Windows 裝置。

註冊狀態頁面

• 本機系統管理員應該從現有的註冊狀態頁面配置檔中選取要指派的配置檔，或者只有在必要時，他們才應該要求中央小組建立例外狀況配置檔。
• 本機系統管理員不應該建立註冊狀態頁面設定檔。 當您委派給大量管理員時，物件總數可能會變得很大且難以管理。 最佳實務會因功能區域而異。 如需註冊狀態頁面的相關資訊，請參閱設定註冊 狀態頁面。

蘋果商務管理

可能的話，本機系統管理員不應被授與註冊配置檔的建立、更新或刪除許可權。 如果本機管理員獲得建立 Apple Business Manager 設定檔的權限，也會授予他們在 Windows Autopilot 中建立、更新和刪除權限。 不過，本機系統管理員不應該建立 Windows Autopilot 配置檔。

當您委派給大量管理員時，物件總數可能會變得很大且難以管理。 最佳實務會因功能區域而異。 如需詳細資訊，請參閱 使用 Apple Business Manager 在 Intune 中註冊 Apple 裝置。

Android Enterprise 設定檔

• 中央小組應該為每個本機系統管理員建立 Android Enterprise 公司擁有的專用裝置註冊配置檔，以進行裝置分組。
• 可能的話，本機系統管理員不應被授予 Android Enterprise 裝置上的建立、更新或刪除權限。 這些限制可防止本機系統管理員修改租用戶範圍的 Android Enterprise 設定和全域完全受控註冊配置檔。

註冊限制

• 同一組權限會控管裝置設定和註冊限制。 當您授與建立裝置設定的許可權時，您也會授與建立註冊限制的許可權。 不過，本機系統管理員不應該獲得建立註冊限制配置檔的許可權。 相反地，請指示他們不要建立新的註冊限制設定檔。

• 註冊裝置限制定義每個使用者可以註冊的裝置數量。 註冊裝置限制應該涵蓋本機系統管理員共用的所有可能裝置限制。 如需詳細資訊，請參閱 什麼是註冊限制。

• 中央團隊應盡可能標準化裝置類型限制，並新增新的限制，但僅限於本機系統管理員檢閱現有限制之後，作為特殊例外。

裝置類別

裝置類別 (裝置>裝置類別) 功能沒有自己的權限系列。 相反地，其許可權是由 「組織」下設定的許可權所控管。 移至 租用戶管理 > 角色。 選取自訂或內建角色，然後選取 屬性。 您可以在此處分配權限，其中之一是 組織。

中央團隊可以建立裝置類別。 不過，不應允許本機系統管理員建立、更新或刪除裝置類別，因為這需要授與他們 組織的許可 權，以授與他們存取 受組織 許可權所控管的其他租用戶層級功能。

如需詳細資訊，請參閱 裝置類別。

端點分析

• 中央團隊應根據需要建立盡可能多的通用端點分析基準，以支援本機系統管理員的差異。
• 可能的話，本機系統管理員不應該建立自己的端點分析基準。 當您委派給大量管理員時，物件總數可能會變得很大且難以管理。 最佳實務會因功能區域而異。
• 如需詳細資訊，請參閱 在端點分析中設定設定。