Microsoft Intune 使用来自Microsoft Entra ID 的安全组以满足各种组织需求。 这些需求包括按地理位置、部门、硬件特征等对用户或设备进行分组。 为了支持 Intune 使用 Entra 组,Intune 管理中心包括 Entra Groups 用户界面及其所有功能。 在 Entra 中显示的任何组以及 Intune 管理员可能创建的新组在 Intune、Entra 和其他共享 Entra Groups 用户界面的产品(如 Microsoft 365)中可见。
Intune 管理员在部署策略、部署应用以及分配其他管理用户的权限时使用定义完善的组,以便他们可以帮助管理 Intune 订阅的不同方面。
本文重点介绍如何使用 Intune 管理中心创建用于 Intune 的组,包括有关在管理中心内管理和使用这些组所需的权限的详细信息。
可以在 Entra 文档中详细了解Microsoft Entra组。
用于处理组的基于角色的访问控制
默认情况下,所有Microsoft Entra用户帐户都有权创建和配置新组,而无需分配 Entra 基于角色的访问控制 (RBAC) 角色。 这些权限扩展到使用 Intune 管理中心内的“组”节点。
只有创建组的用户、分配为 所有者的用户以及具有足够的 Entra RBAC 权限来管理 Entra 组的用户才能编辑组的属性。 没有编辑组权限的其他用户可以查看其成员身份,如果管理 Intune,可以将 Intune 策略、应用和角色分配分配给该组。
以下Microsoft Entra内置 RBAC 角色是最低特权内置角色,其中包含编辑和管理其他用户创建的 Entra 组所需的足够权限:
- 组管理员 – 此角色提供的权限足以从管理中心内为 Microsoft Intune、Microsoft Entra 和 Microsoft 365 添加和编辑组。
使用 RBAC 时,Microsoft建议遵循最低权限原则,仅使用具有任务最低所需权限的帐户,并限制使用和分配特权管理角色(如 Intune 管理员)。
若要详细了解Microsoft Entra组和组访问权限,请参阅 Entra 文档中的了解组和访问权限。
与 Intune 一起使用的组的要求
在创建新组或为策略部署或管理角色分配组时,Intune 管理员应注意Microsoft Entra组的以下方面。
安全性 - 与 Intune 一起使用的组必须是启用了安全性的组。 这通常需要在创建组时将 组组类型 设置为 “安全性 ”。 安全组支持用户和设备作为成员。
默认情况下,Microsoft Entra 中的Microsoft 365 个组未启用安全,仅支持用户作为成员,Intune 不支持。 虽然可以使用 Microsoft Graph PowerShell 创建启用安全性Microsoft Intune 支持的 365 个组,例如默认Microsoft 365 组,它们只能包含用户,而不能包含设备。
成员身份 - Intune 支持 分配 组成员身份和 动态组 成员身份。 根据计划管理组 成员身份 的方式选择成员身份类型 - 手动或基于规则自动。 例如,若要将内置 Intune RBAC 角色(如 Endpoint Security Manager)分配给管理用户,请使用具有手动分配成员的组来限制谁接收该特权角色。 相反,若要将一组默认的设备配置策略部署到所有Windows 11设备,可以使用基于设备作系统版本动态添加成员的组。 使用动态组有助于确保向 Intune 注册的设备自动接收预期的默认策略,而无需手动将设备添加到组中。
Intune 所有用户和所有设备组
除了可与 Intune 一起创建和使用Microsoft Entra组外,Intune 还包括两个仅在 Intune 上下文和 Intune 管理中心内可用的虚拟组:
- 所有用户 - 此组自动包括拥有 Intune 许可证的每个用户。
- 所有设备 - 此组自动包括向 Intune 注册的每个设备。
这些虚拟组提供了一种简单的方法,可通过 Intune 策略和应广泛应用的分配来面向所有适用的用户或设备。
例如,可以将 Intune 合规性策略部署到 所有设备 组,以建立组织中所有设备必须满足的最低合规性要求级别。 稍后,可以将更多要求部署到特定的 Entra 组,以应用特定设备或用户组可能具有的额外要求。
提示
请考虑对 Intune 中的组使用 筛选器 。 在将 intune 中的应用、策略和配置文件分配给大型组(如 所有用户 和 所有设备)Microsoft 时,可以在 Intune 中使用筛选器。 筛选器可帮助动态控制接收部署的设备或用户。 有关使用筛选器的信息,请参阅:
将组添加到 Intune
在 Microsoft Intune 管理中心内创建组时,实际上是在Microsoft Entra ID 中创建组。 以下过程提供有关在 Intune 管理中心中创建组的基本指南。 有关详细信息,请参阅以下Microsoft Entra文章:
若要在 Intune 管理中心Microsoft创建组,请执行以下作:
登录到 Microsoft Intune 管理中心,然后选择“ 组>”“新建组”:
此时会打开“新建组”窗格,该窗格与Microsoft Entra中的界面相同:
为“新建组”配置以下选项:
将 “组类型” 设置为 “安全性”。
对于 “组名称”,请指定一个明确标识组的有意义名称。 在管理中心内处理组的用户可以看到此名称。
对于 “组说明”(可选),请指定有关组的其他详细信息,例如其预期用途。
对于 “成员身份类型”,请从以下选项中进行选择:
已分配 - 使用此成员身份类型,需要手动将用户添加到组,这可以在创建组后立即或稍后完成。
若要此时添加用户,请找到并选择“ 未选择任何成员 ”以打开“ 添加成员 ”窗格。
在窗格中,使用“ 用户 或 设备 ”选项卡,可在其中选中要添加到此组的每个对象旁边的复选框。
如果要在此 组中嵌套组 ,还可以选择“组”选项卡。 将组作为成员包含的组称为父组。 当将组嵌套为成员身份关系时,对于稍后使用父组进行分配的管理员来说可能并不清楚时,请小心。 对嵌套组所做的任何成员身份更改都会自动应用于父组的有效成员身份。
重要
避免创建同时包含用户和设备的组,因为这可能会在 Intune 部署期间导致策略冲突和不可预知的行为。
提示
若要创建设备组,可以使用 设备类别 在设备注册 Intune 时自动将设备加入组。
动态用户 - 对于此成员身份类型,请选择“ 添加动态查询 ”,然后配置动态成员身份规则。 有关指导,请参阅管理Microsoft Entra ID 中的动态成员身份组的规则。
重要
若要使用动态用户组,必须为作为动态组成员的每个用户提供Microsoft Entra ID P1 许可证。
动态设备 - 对于此成员身份类型,请选择“ 添加动态查询 ”,然后配置动态成员身份规则。 有关指导,请参阅管理Microsoft Entra ID 中的动态成员身份组的规则。
提示
动态设备组的成员不需要特定的Entra ID许可证。
所有者配置是可选的。 默认情况下,创建组的用户是所有者。 若要添加其他所有者,请选择“ 未选择任何所有者” ,然后选择“ 用户 ”选项卡,然后可在其中选择要添加为此组的所有者的一个或多个用户。
选择“ 创建 ”以添加新组。 此时,组显示在列表中。
编辑组
作为 Intune 管理员,可以编辑组,例如更改组成员、所有者和属性。
使用以下步骤编辑现有组:
- 登录到 Microsoft Intune 管理中心。
- 选择 “组>”“所有组>”选择要编辑的组的名称。
- 在“管理”菜单组下,选择要编辑的组区域,例如“属性”、“成员”或“所有者”。 Intune 显示与该配置选项相关的用户界面。
删除组
作为 Intune 管理员,可以删除不再需要的组。
使用以下步骤删除现有组:
- 登录到 Microsoft Intune 管理中心。
- 选择 “组>”“所有组”。
- 选中要删除的每个组的复选框,然后选择“所有组”视图顶部的“从选项中删除”。 或者,可以选择组的名称以打开单个组的 “概述 ”页,然后从该视图顶部选择“ 删除*”。
提示
删除组后,可能需要一段时间才能显示在 “已删除的组” 列表中。