创建策略时,可以使用 筛选器 根据创建的规则分配策略。 可以将筛选器应用于已注册 Intune 的设备和 Intune 托管的应用。 有关筛选器的概述,请转到在 Microsoft Intune 中分配应用、策略和配置文件时使用筛选器。
创建筛选器时,应考虑一些性能建议。
本文列出并介绍了有关策略和应用的 Intune 分组、目标以及筛选的建议。 目标是帮助你为大型环境中的 Intune 部署做出体系结构和设计决策。
这些性能建议及其实现可能有所不同,取决于你自己的环境 & 其他因素,包括可管理性和简单性。
本文内容:
- 获取 Intune 分组和目标概念的概述
- 获取一些性能建议
有关动态组的指导,请转到为Microsoft Entra ID 中的动态组创建更简单、更高效的规则。
Intune 分组和目标概念概述
让我们回顾一下 Intune 中可用的分组、定位和筛选功能。
Microsoft Entra组
Intune 几乎只使用Microsoft Entra组进行分组和定位。 在 Intune 管理中心Microsoft选择“组”时,会看到Microsoft Entra组。
Microsoft Entra组是 Intune 的重要组成部分,因为这些组是:
- 用于向用户和设备分配应用、策略和其他工作负载的对象
- 用于定义管理员可以在 Intune 管理中心查看和管理的设备 ,例如基于 角色的访问控制 (RBAC)
虚拟组
“所有用户”和“所有设备”分配是 Intune“虚拟”组。 默认情况下,这些虚拟组在所有 Intune 租户中都可用,并且没有任何管理开销。 例如,无需创建或调整任何Microsoft Entra ID 规则来使其成员保持填充状态。
“所有用户”和“所有设备”组也是高度可缩放和优化的,这主要是因为它们不需要像其他组一样从Microsoft Entra ID 同步。
筛选器
将应用或策略分配给Microsoft Entra ID 或虚拟组后,可以使用筛选器将这些应用和策略的分配范围缩小到特定的用户或设备组。
筛选器根据设备属性筛选 (或筛选出该分配) 中的设备。
筛选是在设备检查时进行高性能、低延迟适用性评估,无需预先计算组成员身份。
性能建议
本部分包括一些建议,这些建议可以提高在 Microsoft Intune 中分配策略时的性能。
这些建议侧重于提高性能并减少工作负载分配的延迟。 在大型 Intune 环境(例如具有 >100,000 台设备的环境)中工作时,它们的影响最大。 应结合其他设计方面考虑这些建议,例如可管理性、易用性、基于角色的管理以及简单性。
使用内置虚拟组
| 做 | 不要 |
|---|---|
| ✅使用“所有用户”和“所有设备”虚拟组,而不是使用Microsoft Entra动态组创建你自己的所有用户/所有设备版本。 | ❌ 不要为 Intune 中的策略和应用目标创建自己的“所有用户”或“所有设备”动态组。 |
较大的组在 Microsoft Entra ID 和 Intune 之间同步成员身份更新所需的时间更长。 “所有用户”和“所有设备”通常是你拥有的最大组。 如果将 Intune 工作负载分配给具有许多用户或设备的大型Microsoft Entra组,则 Intune 环境中可能会发生同步积压工作。 此积压工作会影响策略和应用部署,这些部署需要更长的时间才能到达托管设备。
从 Microsoft Entra 到 Intune 的更新通常在 5 分钟内完成。 这不是即时的。 这一次可能会影响注册分配。 管理员应在几分钟后注册设备,而不是在将注册用户添加到组后立即注册设备。
内置的“所有用户”和“所有设备”组是仅限 Intune 的分组对象,Microsoft Entra ID 中不存在。 Microsoft Entra ID 与 Intune 之间没有连续同步。 因此,组成员身份是即时的。
注意
有关 Intune 检查策略刷新间隔的信息,请转到 Intune 策略刷新间隔。
还可以将此优化应用于你可能拥有的其他大型且经常更改的组,例如“所有 Windows 设备”或“所有 iOS 设备”。 使用现有的“所有用户”或“所有设备”虚拟组,而不是创建和面向这些组,因为 Intune 策略和应用程序会自动按平台限定范围。
在 Intune 中使用非常大的组 (超过 100,000 个成员) 时,预期在目标设定方面会有一些初始延迟。 Microsoft Entra ID 和 Intune 之间首次发生设置过程。 第一次完全同步所花费的时间始终比后续增量同步更长。
重用组
| 做 | 不要 |
|---|---|
| ✅ 重复使用相同的组对象来分配多个策略。 |
❌ 不要创建同一组的重复副本,以面向不同的策略。 ❌ 不要创建专用的“应用组”或“策略组”。 |
在后台,Intune 将Microsoft Entra组成员转换为每个用户和设备的分配目标消息。 当组对象相同时,此过程将得到高度优化。
例如,当“工程”用户组面向 10 个策略时,Intune 分组和目标效果最佳。 当工程用户是 10 个不同组的成员,每个组分配给不同的策略时,它效果并不最佳。
我们已看到一些未使用本指南的设计。 例如,IT 管理员创建一个“Install_Edge”组,创建一个“Deploy_Edge_Config_Policy”组,然后将相同的设备放在每个组中,这是不建议用于性能的。
创建“应用组”时,有一种类似且不推荐的模式。 应用组是为每个应用创建多个Microsoft Entra组时。 例如,若要管理 Microsoft Edge 应用程序,管理员会创建以下组:
- Edge_Required
- Edge_Available
- Edge_Uninstall
管理员将单个用户或设备添加到这些组中。 这些应用组显著增加了 Intune 必须订阅和监视成员身份更新的Microsoft Entra组的数量,这效率较低。 低效的组同步设计会影响新分配的创建和传送到设备的速度。
进行增量组更改
| 做 | 不要 |
|---|---|
| ✅请注意Microsoft Entra ID 中的大型组嵌套更改。 | ❌ 不要一次性进行大型组嵌套更改。 |
Microsoft Entra ID 中的大型组成员身份更改可能会生成 Intune 中目标更改的突发。 这些突发可能会延迟环境中其他分配的目标。
如果一组管理员管理组,而另一组管理员管理Microsoft Entra ID,则应传达Microsoft Entra ID 更改对 Intune 目标的影响。
例如,如果Microsoft Entra管理员在 Intune 用于定位的现有组中嵌套新的大型组,则 Intune 将开始同步所有组和组成员身份。 处理所有成员身份所需的时间取决于Microsoft Entra ID 中所做的组更改的数量和大小。
当组“未引入”时,此建议也适用。 有关嵌套组的详细信息,请转到管理Microsoft Entra组和组成员身份。
使用筛选器包括和排除
| 做 | 不要 |
|---|---|
| ✅ 使用筛选器实现针对目标的正确用户+设备组合。 | ❌ 使用“包括”和“排除组”时,不要混合使用用户组和设备组。 |
此建议也是支持声明。 我们不建议或不支持为用户组创建分配,也不建议从该分配中排除设备组,反之亦然。
由于动态组的计时/延迟特性,存在此建议。 排除的组 成员身份不是即时的,这可能会导致设备错误地接收应用或策略分配。 若要了解详细信息,请转到 分配策略和配置文件 - 支持矩阵。
建议将分配给用户组,而不是混合排除项。 然后,使用筛选器动态包含或排除相应的设备。
摘要
在 Intune 中创建和管理分配时,请合并其中一些建议。 使用组或虚拟组,并应用筛选器来帮助优化目标范围。 请记住最佳做法:
- 不要创建自己的“所有用户”或“所有设备”组版本。 使用 Intune 虚拟组,因为它们在将新用户或设备添加到环境中时不需要Microsoft Entra ID 同步。
- 若要优化目标,请尽可能重复使用组。
- 对 Intune 组进行大型嵌套更改时要小心。 Intune 需要处理所有这些更改,并计算受该更改影响的所有组的所有成员的有效更改。
- Intune 不支持混合组排除。 因此,除了组或虚拟组分配之外,还可以使用筛选器动态包含和排除设备。