在 Microsoft Intune 中指派使用者和裝置組態設定檔

您會建立裝置組態設定檔,其中包含您輸入的所有設定。 下一個步驟是將設定檔部署或「指派」給您的使用者或裝置群組。 指派後,使用者和裝置會收到您的設定檔,並會套用您輸入的設定。

本文說明如何指派設定檔,並包含在裝置組態設定檔上使用範圍標籤的一些資訊。

如需裝置組態設定檔的相關資訊,以及您可以設定的內容,請移至在裝置上使用裝置設定檔在裝置上套用功能和設定Microsoft Intune

注意

當設定檔被移除或不再指派給裝置時,可能會發生不同的情況,視設定檔中的設定而定。 這些設定是以 CSP 為基礎,而且每個 CSP 可以以不同的方式處理設定檔移除。 例如,設定可能會保留現有的值,而不會還原為預設值。 此行為是由作業系統中的每個 CSP 所控制。 如需 Windows CSP 的清單,請參閱設定 服務提供者 (CSP) 參考

若要將設定變更為不同的值,請建立新的設定檔、將設定設定為 [未設定],然後指派設定檔。 套用至裝置之後,使用者應該能夠控制將設定變更為其慣用值。

設定這些設定時,建議您部署至試驗群組。 如需Intune推出建議的詳細資訊,請參閱建立首度發行計畫

在您開始之前

請確定您具有正確的角色來指派設定檔。 如需詳細資訊,請參閱角色型存取控制 (RBAC) 與Microsoft Intune

指派裝置設定檔

  1. 登入 Microsoft 端點管理員系統管理中心

  2. 選取 [裝置 > 組態設定檔]。 所有設定檔都會列出。

  3. 選取您要指派的設定檔>屬性 > > 派 編輯

    選取指派,將設定檔部署至Microsoft Intune和端點管理員中的使用者和群組

  4. 選取 [包含的群組][排除的群組],然後選擇 [選取要包含的群組]。 當您選取群組時,您會選擇 Azure AD 群組。 若要選取多個群組,請按住 Ctrl 鍵,然後選取您的群組。

    在Microsoft Intune和端點管理員中指派或部署設定檔時,包含或排除使用者和群組。

  5. 選取 [檢閱 + 儲存]。 此步驟不會指派您的設定檔。

  6. 選取 [儲存]。 當您儲存時,會指派您的設定檔。 當裝置簽入 Intune 服務時,您的群組會收到您的設定檔設定。

使用範圍標籤或適用性規則

當您建立或更新設定檔時,也可以將範圍標籤和適用性規則新增至設定檔。

範圍標籤 是將設定檔篩選為特定群組的絕佳方式,例如 US-NC IT TeamJohnGlenn_ITDepartment針對分散式 IT 使用 RBAC 和範圍標籤 有詳細資訊。

在 Windows 10/11 裝置上,您可以新增 適用性規則,讓設定檔僅適用于特定 OS 版本或特定 Windows 版本。 適用性規則 有詳細資訊。

使用者群組與裝置群組

許多使用者會詢問何時使用使用者群組,以及何時使用裝置群組。 答案取決於您的目標。 以下是讓您開始使用的一些指引。

裝置群組

如果您想要在裝置上套用設定,而不論登入的人員為何,請將您的設定檔指派給裝置群組。 套用至裝置群組的設定一律會隨裝置而非使用者使用。

例如:

  • 裝置群組適用于管理沒有專用使用者的裝置。 例如,您有列印票證、掃描清查、由輪班員工共用、指派給特定倉儲等的裝置。 將這些裝置放在裝置群組中,並將您的設定檔指派給此裝置群組。

  • 您會 (DFCI) Intune設定檔建立裝置韌體設定介面,以更新 BIOS 中的設定。 例如,您將此設定檔設定為停用裝置相機,或鎖定開機選項,以防止使用者啟動另一個作業系統。 此設定檔是指派給裝置群組的好案例。

  • 在某些特定的 Windows 裝置上,您一律想要控制一些 Microsoft Edge 設定,無論誰使用該裝置。 例如,您想要封鎖所有下載、將所有 Cookie 限制為目前的流覽會話,以及刪除流覽歷程記錄。 在此案例中,請將這些特定的 Windows 裝置放在裝置群組中。 然後,在 Intune 中建立系統管理範本、新增這些裝置設定,然後將此設定檔指派給裝置群組。

總而言之,當您不在意誰已登入裝置,或是否有任何人登入時,請使用裝置群組。 您希望您的設定一律在裝置上。

使用者群組

套用至使用者群組的設定檔設定一律會與使用者搭配使用,並在登入其許多裝置時與使用者一起移。 使用者擁有許多裝置是正常的,例如工作用Surface Pro,以及個人 iOS/iPadOS 裝置。 而且,一個人從這些裝置存取電子郵件和其他組織資源是正常的。

如果使用者在同一個平臺上有多個裝置,則您可以在群組指派上使用 篩選 。 例如,使用者有個人 iOS/iPadOS 裝置,以及組織擁有的 iOS/iPadOS。 當您為該使用者指派原則時,可以使用 篩選 器僅以組織擁有的裝置為目標。

遵循此一般規則:如果功能屬於使用者,例如電子郵件或使用者憑證,則指派給使用者群組。

例如:

  • 您想要在其所有裝置上為所有使用者放置技術支援中心圖示。 在此案例中,請將這些使用者放在使用者群組中,並將您的技術支援中心圖示設定檔指派給此使用者群組。

  • 使用者會收到新的組織擁有的裝置。 使用者使用其網域帳戶登入裝置。 裝置會在 Azure AD 中自動註冊,並由Intune自動管理。 此設定檔是指派給使用者群組的好案例。

  • 每當使用者登入裝置時,您會想要控制應用程式中的功能,例如 OneDrive 或 Office。 在此案例中,將您的 OneDrive 或 Office 設定檔設定指派給使用者群組。

    例如,您想要在 Office 應用程式中封鎖不受信任的 ActiveX 控制項。 您可以在 Intune 中建立系統管理範本、設定此設定,然後將此設定檔指派給使用者群組。

總而言之,當您想要讓設定和規則一律與使用者搭配使用時,請使用使用者群組,無論使用者使用的裝置為何。

Windows CSP

Windows 裝置的原則設定是以設定 服務提供者 (CSP) 為基礎。 這些設定會對應至裝置上的登錄機碼或檔案。

端點管理員公開這些 CSP,讓您可以設定這些設定,並將其指派給您的 Windows 裝置。 這些設定可使用內建範本和使用 設定目錄進行設定。 在設定目錄中,您會看到某些設定套用至使用者範圍,而某些設定會套用至裝置範圍。

如需如何將使用者範圍和裝置範圍設定套用至 Windows 裝置的資訊,請移至 [設定目錄:裝置範圍與使用者範圍設定]

從設定檔指派排除群組

Intune裝置組態設定檔可讓您在設定檔指派中包含和排除群組。

最佳做法是:

  • 特別為您的使用者群組建立和指派設定檔。 使用 篩選準則 來包含或排除這些使用者的裝置。
  • 特別為您的裝置群組建立並指派不同的設定檔。

如需群組的詳細資訊,請 參閱新增群組以組織使用者和裝置

基礎

當您指派原則和設定檔時,請套用下列一般原則:

  • 請將 [包含的群組 ] 或 [ 排除的群組 ] 視為將接收您原則之使用者和裝置的起點。 Azure AD 群組是限制群組,因此請盡可能使用最小的群組範圍。 使用 篩選 來限制或精簡原則指派。

  • 指派的 Azure AD 群組也稱為靜態群組,可以新增至包含的群組或排除的群組。

    一般而言,如果裝置已在 Azure AD 中預先註冊,您會以靜態方式將裝置指派給 Azure AD 群組,就像使用 Windows Autopilot 一樣。 或者,如果您想要結合裝置進行一次性的臨機操作部署。 否則,以靜態方式將裝置指派給 Azure AD 群組可能並不實用。

  • 動態 Azure AD 使用者群組可以新增至 [包含的群組] 或 [排除的群組]。

  • 動態 Azure AD 裝置群組可以新增至包含的群組。 但是,填入動態群組成員資格時可能會有延遲。 在延遲敏感的案例中,使用 篩選 以特定裝置為目標,並將原則指派給使用者群組。

    例如,您想要在裝置註冊時立即將原則指派給裝置。 在此延遲敏感的情況下,請建立 篩選以以 您想要的裝置為目標,並將具有此篩選準則的原則指派給使用者群組。 請勿指派給裝置群組。

    在無使用者案例中,建立 篩選 以以您想要的裝置為目標,並將具有篩選準則的原則指派給「所有裝置」群組。

  • 避免將動態 Azure AD 裝置群組新增至排除的群組。 註冊時動態裝置群組計算的延遲可能會導致不想要的結果。 例如,在填入排除的群組成員資格之前,可能會部署不必要的應用程式和原則。

支援矩陣

使用下列矩陣來瞭解排除群組的支援:

  • ✔️ :支援
  • ❌:不支援
  • ❕ :部分支援

支援的選項包括或排除設定檔指派中的群組

案例 支援
1 ❕ 部分支援

支援將原則指派給動態裝置群組,同時排除另一個動態裝置群組。 但是,不建議在對延遲敏感的案例中使用。 排除群組成員資格計算的任何延遲都可能導致原則提供給裝置。 在此案例中,建議您使用 篩選準則 ,而不是使用動態裝置群組來排除裝置。

例如,您有指派給 所有裝置的裝置 原則。 稍後,您需要新的行銷裝置不會收到此原則。 因此,您會根據 enrollmentProfilename device.enrollmentProfileName -eq "Marketing_devices" 屬性 () ,建立稱為 「行銷裝置」的動態裝置群組。 在原則中,您會將 行銷裝置 動態群組新增為排除的群組。

新的行銷裝置第一次註冊Intune,並建立新的 Azure AD 裝置物件。 動態群組程式會將裝置放入 行銷裝置 群組,並進行可能的延遲計算。 同時,裝置會註冊Intune,並開始接收所有適用的原則。 Intune原則可能會在裝置放入排除群組之前部署。 此行為會導致不想要的原則 (或應用程式) 部署至 行銷裝置 群組。

因此,不建議在延遲敏感性案例中使用動態裝置群組來排除。 請改用 篩選準則
2 ✔️ 支援

支援將原則指派給動態裝置群組,同時排除靜態裝置群組。
3 ❌ 不支援

不支援將原則指派給動態裝置群組,同時將使用者群組排除 (動態和靜態) 。 Intune不會評估使用者對裝置群組的關聯性,且不會排除所包含使用者的裝置。
4 ❌ 不支援

不支援將原則指派給動態裝置群組,並將使用者群組排除 (動態和靜態) 。 Intune不會評估使用者對裝置群組的關聯性,且不會排除所包含使用者的裝置。
5 ❕ 部分支援

支援將原則指派給靜態裝置群組,同時排除動態裝置群組。 但是,不建議在對延遲敏感的案例中使用。 排除群組成員資格計算的任何延遲都可能導致原則提供給裝置。 在此案例中,建議您使用 篩選準則 ,而不是使用動態裝置群組來排除裝置。
6 ✔️ 支援

支援將原則指派給靜態裝置群組,並排除不同的靜態裝置群組。
7 ❌ 不支援

不支援將原則指派給靜態裝置群組,並將使用者群組排除 (動態和靜態) 。 Intune不會評估使用者對裝置群組的關聯性,且不會排除所包含使用者的裝置。
8 ❌ 不支援

不支援將原則指派給靜態裝置群組,並將使用者群組排除 (動態和靜態) 。 Intune不會評估使用者對裝置群組的關聯性,且不會排除所包含使用者的裝置。
9 ❌ 不支援

不支援將原則指派給動態使用者群組,並將裝置群組排除 (動態和靜態) 。
10 ❌ 不支援

不支援將原則指派給動態使用者群組,並將裝置群組排除 (動態和靜態) 。
11 ✔️ 支援

支援將原則指派給動態使用者群組,同時排除動態和靜態) (其他使用者群組。
12 ✔️ 支援

支援將原則指派給動態使用者群組,同時排除動態和靜態) (其他使用者群組。
13 ❌ 不支援

不支援將原則指派給靜態使用者群組,同時排除裝置群組 (動態和靜態) 。
14 ❌ 不支援

不支援將原則指派給靜態使用者群組,同時排除裝置群組 (動態和靜態) 。
15 ✔️ 支援

支援將原則指派給靜態使用者群組,同時排除動態和靜態) (其他使用者群組。
16 ✔️ 支援

支援將原則指派給靜態使用者群組,同時排除動態和靜態) (其他使用者群組。

後續步驟

如需 監視設定檔 和執行設定檔之裝置的指引,請參閱監視裝置設定檔。