具有相同Microsoft Intune租使用者中許多系統管理員的分散式 IT 環境

  • 發行項

許多組織使用分散式 IT 環境,其中有一個具有多個本機系統管理員的單一Microsoft Intune租使用者。 本文說明一種方式來調整Microsoft Intune,以支援多個本機系統管理員管理自己的使用者、裝置,並在單一Microsoft Intune租使用者內建立自己的原則。 對於您租使用者中可以擁有多少個系統管理員,沒有正確或錯誤的答案。 本文著重于擁有許多本機系統管理員的租使用者。

大量本機系統管理員連線到單一 Intune 租使用者的系統需要分散式 IT。 例如,某些學校系統會組織起來,讓您擁有系統或區域中每個學校的本機系統管理員。 有時候,這個分散式環境可能是 15 個或更多不同的本機系統管理員,這些系統管理員會匯總到相同的中央系統或Microsoft Intune租使用者。

每個本機系統管理員都可以設定群組以符合其組織需求。 本機系統管理員通常會根據地理位置、部門或硬體特性,建立群組並組織多個使用者或裝置。 本機系統管理員也會使用這些群組來大規模管理工作。 例如,本機系統管理員可以為許多使用者設定原則,或將應用程式部署到一組裝置。

您需要知道的角色

  • 中央小組:中央小組或群組包含您租使用者中的全域系統管理員或主要系統管理員。 這些系統管理員可以監督所有本機系統管理員,並可為本機系統管理員提供指引。

  • 本機系統管理員:本機系統管理員是本機系統管理員,並著重于其特定位置的原則和設定檔;學校、醫院等等。

角色型存取控制

本節簡要說明不同的模型,並針對管理中央小組與本機系統管理員之間的原則、設定檔和應用程式,在每個模型下提出指導方針。 模型包括:

  • 部分委派模型
  • 完整委派模型
  • 中央模型
  • 已解除捲動的模型
  • 混合式模型

部分委派模型

部分委派模型會針對中央小組與本機系統管理員之間的原則管理,提出下列指導方針。

✔️ 許可權

  • 建立、更新和刪除原則、註冊設定檔和應用程式的許可權,應由中央小組持有。
  • 只授與讀取權限,並將許可權指派給本機系統管理員。

✔️ 重用

  • 通常設定的原則、註冊設定檔和應用程式應該盡可能提供給本機系統管理員重複使用。
  • Microsoft Intune使用許多屬於幾個類別的常見組態。 檢閱 針對應用程式保護原則所列出的建議。
  • 當本機系統管理員上線時,他們應該檢閱現有的原則,並視需要重複使用這些原則。

✔️ 異常

  • 如有需要,中央小組可以代表本機系統管理員建立特定的新原則、註冊設定檔和應用程式作為例外狀況。 這些例外狀況通常包括任何需要唯一參數的配置檔案類型。

部分委派模型會在這兩個區域中提出:

本機系統管理員的群組和指派指導方針:透過Microsoft Intune組織裝置管理群組時,本機系統管理員採用哪一些最佳做法? 若要瞭解,請閱讀Intune 群組、目標和篩選:最佳效能的建議 - Microsoft Tech Community

功能特定指導方針:在中央授權單位與具有不同功能特定許可權的本機系統管理員之間管理原則/設定檔/應用程式的方式。 如需詳細資訊,請移至 功能特定指導方針一節。

完整委派模型

完整委派模型會針對中央小組與本機系統管理員之間的原則管理,提出下列指導方針。

  • 每個本機系統管理員都應該有自己的範圍標籤,以分隔他們完全管理的每個物件。
  • 當本機系統管理員不需要建立、更新或刪除時,請將具有讀取和指派許可權的角色授與本機系統管理員,並避免指派具有完整許可權的任何其他角色。 透過這種方法,您可以避免跨範圍標籤結合許可權。
  • 有時候,本機系統管理員可能需要建立自己的原則、設定檔和應用程式,同時共用一些常見的原則、設定檔和應用程式。 在這種情況下,請建立特殊群組,並將一般原則、設定檔和應用程式指派給這個群組。 此群組不應包含在任何本機系統管理員的範圍群組中。 範圍群組。 這種方法可防止指派給本機系統管理員的建立、更新和刪除許可權套用至這些一般原則、設定檔和應用程式。

中央模型

在中央模型中,單一本機系統管理小組 (父) 管理多個子組織。 地理位置、業務單位或大小等因素可能會與子組織相關聯。

  • 只有一個範圍標籤可用來涵蓋所有 Managed 本機系統管理員。

  • 可能的話,本機系統管理員小組應該將指派標準化為跨本機系統管理員,並將其所有裝置放入單一Microsoft Entra群組以進行指派。 當無法建立單一Microsoft Entra群組時,本機系統管理員小組可以建立不同的Microsoft Entra群組來進行不同的指派。

  • 如果不同的本機系統管理小組管理或移動組織,則必須採取下列步驟:

    • 組織的所有裝置和使用者都必須從原始本機系統管理小組範圍內的一般Microsoft Entra群組中擷取。

    • 針對該組織唯一指派的所有原則/應用程式/設定檔,都必須為新的本機系統管理小組更新其範圍標籤。

已解除捲動的模型

在反向模型中,多個本機系統管理員 (子系) 由其專屬的本機系統管理員管理,也由中繼本機系統管理員小組監督。 父系和子系系統管理員都有自己的範圍標籤來代表管理界限。

  • 如果少於 50 個子系統管理員,則可以將所有子系的範圍標籤指派給中繼本機系統管理員小組 RBAC 角色指派,以授與中繼本機系統管理員小組的存取權。
  • 如果有超過 50 個子系系統管理員,則中繼本機系統管理員小組應該獲授與自己的範圍標籤,以代表他們監督的整個子系統管理員集合。
  • 子系統管理員範圍標籤下新建立的原則必須具有全域系統管理員角色新增的中繼標籤,以防止中繼本機系統管理員小組失去可見度。

混合式模型

在混合式模型中,相同的父系統管理員同時用於 Central 和 Devolved 模型中。 此模型沒有特殊建議。

功能特定指導方針

根據每個功能的商務需求,本節提供的指導方針可能會建議您為每個本機系統管理員建立原則,以及/或將建立物件所需的許可權委派給本機系統管理員。

注意事項

本節提供的指引不會解決所有功能,但只涵蓋我們具有特殊指示的區域。

應用程式防護原則

應用程式防護原則是確保組織資料保持安全或包含在受管理應用程式中的規則。 如需詳細資訊,請移至應用程式防護原則

應用程式防護原則的指導方針會分成中央小組和本機系統管理員,如下所示:

中央小組 - 工作

  • 檢閱整個組織的安全性和商務需求,並為本機系統管理員產生一組常見的應用程式防護原則。
  • 在建立任何應用程式防護原則之前,請檢閱列出的建議,以找出哪些安全性控制項是適當的。
  • 有一個已建立的方法,讓本機系統管理員在必要時要求自訂的應用程式防護原則,以符合無法使用現有一般原則達成商務需求的特定商務需求。
  • 如需每個設定層級和必須保護之最低應用程式的特定建議,請檢閱使用應用程式防護原則的資料保護架構,移至應用程式防護原則

本機系統管理員 - 許可權和工作

  • 提供受控應用程式的讀取和指派許可權,但不提供建立、更新、刪除許可權,讓他們無法建立自己的應用程式防護原則。
  • 提供應用程式設定原則指派給其應用程式的讀取和指派許可權。
  • 只有在受控裝置和非受控裝置有不同的保護原則時,才提供讀取和指派許可權。 如果中央小組選擇只提供兩者一個原則,則不需要應用程式設定原則。
  • 如果使用應用程式設定原則,建議您將應用程式設定原則指派給所有應用程式實例,而不會發生例外狀況。
  • 從一般應用程式防護原則中選擇。 本機系統管理員可以要求中央小組建立自訂應用程式保護原則作為例外狀況,而且只有在必要時才建立。
  • 如需詳細資訊,請移至應用程式防護原則

合規性政策

Intune 中的合規性原則會定義使用者和裝置必須符合才能相容的規則和設定。 如需合規性原則的詳細資訊,請移至 合規性原則

中央小組

中央小組應該建立一般合規性政策,讓本機系統管理員選擇,而且只有在必要時才建立例外狀況原則。 如需詳細資訊,請移至 合規性原則。 建立原則包括建立自訂合規性政策腳本,因為它們受限於與一般合規性政策相同的規模。

如需如何建立合規性原則的詳細資訊,請移至 合規性原則

本機系統管理員

為本機系統管理員提供讀取和指派許可權,但不提供合規性原則的建立、更新或刪除許可權。 讀取和指派許可權可讓他們從中央小組所建立的一般合規性原則中進行選擇,並將它們指派給其使用者和裝置。

裝置設定

本節內容:

  • 裝置限制和一般設定
  • 資源存取
  • Windows 更新通道
  • 功能更新
  • 品質更新

裝置限制和一般設定

  • 授與本機系統管理員在自己的範圍內建立、更新、刪除的許可權。

  • 使用 [設定目錄和安全性基準] 來降低Microsoft Intune系統管理中心的規模,而不是在 [組態設定檔] 清單中建立的設定檔。

  • 一般而言,中央小組應該嘗試集中監視設定的內容,並盡可能以共用設定檔取代許多重複的設定檔。

資源存取

建議 使用完整委派模型

Windows 更新通道

  • 我們建議集中管理 Windows 更新通道。 中央小組應該建立所需數量的一般 Windows 更新通道原則,以支援本機系統管理員的差異。
  • 本機系統管理員不應該建立自己的 Windows 更新通道。 當您委派給大量系統管理員時,物件總數可能會變得很大且難以管理。 每個功能的最佳做法各不相同。 如需詳細資訊,請移至 Windows 更新通道

功能更新

建議 使用完整委派模型

品質更新

建議 使用完整委派模型

憑證

  • 建議您透過中央小組使用許可權,視需要將連接器上線/下線。 為每個本機系統管理員上線連接器,以支援憑證發行。

  • 請勿將 UPDATE 或 DELETE 連接器的許可權授與本機系統管理員。

應用程式

授與本機系統管理員完整許可權,以在其範圍內管理應用程式。

本節內容:

  • Apple 大量採購方案

  • Windows

  • Android

如需詳細資訊,請移至 管理應用程式

Apple 大量採購方案

目前,對於支援的大量採購方案權杖數目沒有任何規模考慮。 如需詳細資訊,請移至 [我可以上傳多少權杖]

Windows

Android

  • 本機系統管理員應該從現有的市集應用程式中選擇,或要求中央小組新增新的 Android 市集應用程式。 本機系統管理員不應該建立新的 Android 市集應用程式。 物件總數可能會變得很大且難以管理。

  • 本機系統管理員可以在跨平臺、企業營運應用程式和 Web 連結限制內,視需要建立 Android 企業營運應用程式。

  • 中央小組必須新增受控 Google Play 應用程式。

    • 中央小組只能查看其租使用者國家/地區中可用的受控 Google Play 應用程式。 如果中央小組只需要在某些國家/地區提供受控 Google Play 應用程式,則可能需要與應用程式開發人員合作,使其正確列出。
    • 中央小組應該管理與受控 Google Play 應用程式相關的所有內容,包括私人應用程式、Web 應用程式和集合。 例如,如果客戶打算使用受 控 Google Play iframe 來發佈私人應用程式,他們必須使用中央小組所擁有的單一開發人員帳戶來執行此動作。
    • 中央小組可以選取單一範圍標籤作為受控 Google Play 範圍標籤。 它有受控 Google Play 連接器頁面中的特殊下拉式清單。 範圍標籤會在中央小組將範圍標籤新增至主控台之後套用至所有受控 Google Play 應用程式,但不會回溯套用至已新增的應用程式。 強烈建議中央小組在新增應用程式之前 先設定範圍標籤 ,然後指派該範圍標籤的每個區域小組。 否則,區域系統管理員可能無法查看其受控 Google Play 應用程式。

  • 除了 Zebra 裝置以外,每個裝置只支援一個 OEMConfig 原則。 使用 Zebra 裝置時,強烈建議您盡可能使用最少的原則數目,因為強制執行原則的時間是累加的。 例如,如果您指派六個原則,並假設它們會彼此相迭,則開始在裝置上工作所需的時間會比單一原則長約 6 倍。

注意事項

在許多不同的應用程式和群組上設定高優先順序更新模式時,請務必謹慎。 這有多個原因:

  • 雖然許多應用程式可以設定為高優先順序模式,但一次只能安裝一個應用程式更新。 一個大型應用程式更新可能會封鎖許多較小的更新,直到大型應用程式完成安裝為止。
  • 視應用程式發行新更新的時間而定,如果應用程式發行一致,您的網路使用量可能會突然增加。 如果某些裝置上無法使用 Wi-Fi,則行動資料使用量也可能突然增加。
  • 雖然已提及干擾性使用者體驗,但問題會隨著更多應用程式設定為高優先順序更新模式而成長。

如需有關使用高優先順序更新模式進行受控 Google Play 應用程式更新之規模考慮的詳細資訊,請參閱此 Techcommunity 文章。

註冊設定檔

本節內容:

  • Autopilot
  • ESP) (註冊狀態頁面
  • Apple Business manager (ABM)
  • Android Enterprise 設定檔
  • 註冊限制
  • 裝置類別

Autopilot

  • 授與本機系統管理員讀取 Autopilot 裝置和上傳新 Autopilot 裝置的許可權。
  • 本機系統管理員不應該建立 Autopilot 設定檔。 當您委派給大量系統管理員時,物件總數可能會變得很大且難以管理。 每個功能區域的最佳做法各不相同。 如需 Autopilot 的詳細資訊,請移至 使用 Autopilot 在 Intune 中註冊 Windows 裝置

註冊狀態頁面

  • 本機系統管理員應從要指派的現有註冊狀態頁面設定檔中選取,或是只在必要時要求中央小組建立例外狀況設定檔。
  • 本機系統管理員不應該建立註冊狀態頁面設定檔。 當您委派給大量系統管理員時,物件總數可能會變得很大且難以管理。 每個功能區域的最佳做法各不相同。 如需註冊狀態頁面的詳細資訊,請移至 設定註冊狀態頁面

Apple Business Manager

可能的話,不應該授與本機系統管理員註冊設定檔的建立、更新或刪除許可權。 如果本機系統管理員獲授與建立 Apple Business Manager 設定檔的許可權,也會在 Autopilot 中為其提供建立、更新和刪除許可權。 不過,本機系統管理員不應該建立 Autopilot 設定檔。

當您委派給大量系統管理員時,物件總數可能會變得很大且難以管理。 每個功能區域的最佳做法各不相同。 如需詳細資訊,請移至 使用 Apple Business Manager 在 Intune 中註冊 Apple 裝置

Android Enterprise 設定檔

  • 中央小組應該為每個本機系統管理員建立 Android Enterprise 公司擁有的專用裝置註冊設定檔,以進行裝置群組。
  • 可能的話,不應授與本機系統管理員在 Android Enterprise 裝置上的建立、更新或刪除許可權。 這些限制可防止本機系統管理員修改全租使用者的 Android Enterprise 設定和全域完全受控註冊設定檔。

註冊限制

  • 相同的許可權集合同時管理裝置設定和註冊限制。 當您授與建立裝置設定的許可權時,您也會授與建立註冊限制的許可權。 不過,本機系統管理員不應獲得建立註冊限制設定檔的許可權。 因此,應該指示他們不要建立新的註冊限制設定檔。

  • 註冊裝置限制會定義每位使用者可以註冊的裝置數目。 註冊裝置限制應涵蓋本機系統管理員共用的所有可能裝置限制。 如需詳細資訊,請移至 什麼是註冊限制

  • 中央小組應該盡可能標準化裝置類型限制,並新增新限制,但只有在本機系統管理員已檢閱現有限制之後,才會有特殊例外狀況。

裝置類別

裝置類別 (裝置>類別) 功能沒有自己的許可權系列。 相反地,其許可權是由 [組織] 下設定的許可權所控管。 移至 [租使用者系統管理 > 角色]。 選取自訂或內建角色,然後選取 [ 屬性]。 您可以在這裡指派許可權,其中一個是組織。 因此,如果您需要裝置類別的讀取權限,請在組織中設定讀取權限。

中央小組可以建立裝置類別。 不過,不應該允許本機系統管理員建立、更新或刪除裝置類別,因為其需要授與他們組織許可權,讓他們能夠存取受組織版權管理的其他租使用者層級功能。

如需詳細資訊,請移至 [裝置類別]

端點分析

  • 中央小組應該建立所需的一般端點分析基準數目,以支援本機系統管理員的差異。
  • 可能的話,本機系統管理員不應該建立自己的 Endpoint Analytics 基準。 當您委派給大量系統管理員時,物件總數可能會變得很大且難以管理。 每個功能區域的最佳做法各不相同。
  • 如需詳細資訊,請移至在 端點分析中設定設定