在大型 Microsoft Intune 環境中分組、設定目標和篩選的效能建議
本文列出並說明針對您的原則和應用程式進行 Intune 群組、目標設定和篩選的建議。 目標是協助您針對大型環境中的 Intune 部署做出架構和設計決策。
這些效能建議及其實作可能不同,而且取決於您自己的環境 & 其他因素,包括管理性和簡單性。
本文內容:
- 取得 Intune 群組和目標概念的概觀
- 取得一些效能建議
如需詳細資訊和篩選的概觀,請移至在 Microsoft Intune 中指派應用程式、原則和配置檔時使用篩選。
如需動態群組的指引,請移至在 Microsoft Entra 標識符中為動態群組建立更簡單、更有效率的規則。
Intune 群組和目標概念的概觀
進入建議之前,讓我們先檢閱 Intune 中可用的群組、目標設定和篩選功能。
Microsoft Entra 群組
Intune 幾乎完全使用 Microsoft Entra 群組來分組和設定目標。 當您在 Microsoft Intune 系統管理中心選取 [群組] 時,您會看到 Microsoft Entra 群組。
Microsoft Entra 群組是 Intune 的重要部分,因為這些群組如下:
- 物件,用於將應用程式、原則和其他工作負載指派給使用者和裝置。
- 用來定義系統管理員可以在 Intune 系統管理中心檢視和管理的裝置,例如角色型訪問控制中的範圍群組 (RBAC) 。
虛擬群組
[所有使用者] 和 [所有裝置] 指派都是 Intune「虛擬」群組。 這些虛擬群組預設可在所有 Intune 租使用者中使用,而且不會產生任何管理額外負荷。 例如,您不需要建立或調整任何 Microsoft Entra標識符規則,即可讓成員保持填入。
[所有使用者] 和 [所有裝置] 群組也具有高延展性和優化性,主要原因是不需要像其他群組一樣,從 Microsoft Entra 標識符進行同步處理。
篩選
將應用程式或原則指派給 Microsoft Entra 標識碼或虛擬群組之後,您可以使用篩選條件將這些應用程式和原則的指派範圍縮小到特定使用者或裝置群組。
您的篩選器會根據裝置屬性,篩選 (或) 該指派的裝置。
在裝置簽入時,篩選是高效能、低延遲的適用性評估,不需要預先計算群組成員資格。
效能建議
本節包含一些建議,可改善在 Microsoft Intune 中指派原則時的效能。
這些建議著重於改善效能並減少工作負載指派的延遲。 在大型 Intune 環境中工作時,它們的影響最大,例如具有 >100,000 部裝置的環境。 這些建議應該與其他設計層面一起考慮,例如管理性、易用性、角色型系統管理,以及簡單性。
使用虛擬群組
| DO | 不要 |
|---|---|
| ✔️ 使用 [所有使用者] 和 [所有裝置] 虛擬群組,而不是使用 Microsoft Entra 動態群組建立您自己的所有使用者/所有裝置版本。 | ❌ 請勿針對 Intune 中以原則和應用程式為目標,建立您自己的「所有使用者」或「所有裝置」動態群組。 |
較大的群組需要較長的時間來同步 Microsoft Entra標識碼與 Intune 之間的成員資格更新。 「所有使用者」和「所有裝置」通常是您擁有的最大群組。 如果您將 Intune 工作負載指派給具有許多使用者或裝置的大型 Microsoft Entra 群組,則 Intune 環境中可能會發生同步處理待辦專案。 此待辦專案會影響原則和應用程式部署,需要較長的時間才能連線到受控裝置。
內建的 [所有使用者] 和 [所有裝置] 群組是僅限 Intune 的群組物件,不存在於 Microsoft Entra 標識符中。 Microsoft Entra識別碼與 Intune 之間沒有持續同步。 因此,群組成員資格是即時的。
注意事項
如需 Intune 簽入原則重新整理間隔的資訊,請移至 Intune 原則重新整理間隔。
您也可以將此優化套用至您可能擁有的其他大型且經常變更的群組,例如「所有 Windows 裝置」或「所有 iOS 裝置」。 您可以使用現有的「所有使用者」或「所有裝置」虛擬群組,而不是建立和鎖定這些群組,因為 Intune 原則和應用程式已依平台設定範圍。
在 Intune 中使用非常大的群組時, (超過 100,000 個成員) ,預期目標設定會有一些初始延遲。 Microsoft Entra識別碼與 Intune 之間會發生第一次設定程式。 第一個完整同步處理一律會比後續的累加式同步處理花費更長的時間。
重複使用群組
| DO | 不要 |
|---|---|
| ✔️ 重複使用相同的群組物件來指派多個原則。 | ❌ 請勿建立相同群組的重複復本,以以不同的原則為目標。 ❌ 請勿建立專用的「應用程式群組」或「原則群組」。 |
在幕後,Intune 會將 Microsoft Entra 群組成員轉換為每個使用者和裝置的指派目標訊息。 當群組物件相同時,此程式會高度優化。
例如,當「工程」使用者群組以10個原則為目標時,Intune群組和目標最適合使用。 當工程使用者是 10 個不同群組的成員,且每個群組都指派給不同的原則時,其運作效果並不最佳。
我們已看到一些反向此指引的設計。 例如,IT 系統管理員會建立「Install_Edge」群組、建立「Deploy_Edge_Config_Policy」群組,然後在每個群組中放置相同的裝置。
建立「應用程式群組」是類似且不建議的模式。 應用程式群組是在每個應用程式都有數個為其建立 Microsoft Entra 群組時。 例如,若要管理 Edge 應用程式,系統管理員會建立下列群組:
- Edge_Required
- Edge_Available
- Edge_Uninstall
系統管理員會將個別使用者或裝置新增至這些群組。 這些應用程式群組會大幅增加 Intune 必須訂閱和監視的成員資格更新 Microsoft Entra 群組數目,因此效率較低。 效率不佳的群組同步設計會影響新指派建立和傳遞至裝置的速度。
進行累加式群組變更
| DO | 不要 |
|---|---|
| ✔️ 請小心處理 Microsoft Entra標識碼中的大型群組巢狀變更。 | ❌ 請勿一次進行大型群組巢狀變更。 |
Microsoft Entra 標識碼中的大型群組成員資格變更,可能會在 Intune 中產生大量的目標變更。 這些高載可能會延遲您環境中其他指派的目標。
如果您的群組是由一組與管理 Microsoft Entra 標識符的系統管理員不同的系統管理員所管理,則您應該傳達 #DBF0C0D9659014688B29C43D57E375DE7 標識符變更對 Intune 目標目標的影響。
例如,如果 Microsoft Entra 系統管理員將 Intune 用於目標的現有群組內的新大型群組巢狀化,則 Intune 會開始同步處理所有群組和群組成員資格。 處理所有成員資格所需的時間取決於在 Microsoft Entra 標識碼中所做的群組變更數目和大小。
此建議也適用於群組「未標示」時。 如需巢狀群組的詳細資訊,請移至管理 Microsoft Entra 群組和群組成員資格。
使用篩選條件來包含和排除
| DO | 不要 |
|---|---|
| ✔️ 使用篩選條件來達成正確的使用者+裝置組合以進行目標設定。 | ❌ 使用 Include 和 Exclude 群組時,請勿混用使用者群組和裝置群組。 |
此建議也是支持聲明。 我們不建議或支援建立指派給使用者群組,並將裝置群組從該指派中排除,反之亦然。
這項建議是因為動態群組的計時/延遲特性而存在。 排除的群組 成員資格不是即時的,這可能會導致裝置不正確地接收應用程式或原則指派的情況。 若要深入瞭解,請移至 指派原則和配置檔 - 支援矩陣。
建議您指派給使用者群組,而不是混合排除專案。 然後,使用篩選以動態方式包含或排除適當的裝置。
摘要
在 Intune 中建立和管理指派時,請納入其中一些建議。 使用群組或虛擬群組,並套用篩選來協助縮小目標範圍。 請記住最佳做法:
- 請勿建立您自己的「所有使用者」或「所有裝置」群組版本。 使用 Intune 虛擬群組,因為當新使用者或裝置新增至環境時,不需要 Microsoft Entra 標識符同步處理。
- 若要將目標優化,請盡可能重複使用群組。
- 對 Intune 群組進行大型巢狀變更時請小心。 Intune 必須處理所有這些變更,並計算所有受該變更影響之群組成員的有效變更。
- Intune 不支援混合群組排除專案。 因此,除了群組或虛擬群組指派之外,請使用篩選以動態方式包含和排除裝置。
後續步驟
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應