Přiřazení zásad v Microsoft Teams
Když vytvoříte zásadu Intune, budou obsahovat všechna nastavení, která jste přidali a nakonfigurovali v rámci zásad. Jakmile je zásada připravená k nasazení, dalším krokem je přiřazení zásady ke skupinám uživatelů nebo zařízení. Když zásadu přiřadíte, uživatelé a zařízení získají vaši zásadu a použijí se vámi zadaná nastavení.
V Intune můžete vytvořit a přiřadit následující zásady:
- Zásady ochrany aplikací
- Zásady konfigurace aplikací pro Microsoft Intune
- Zásady dodržování předpisů
- Zásady podmíněného přístupu
- Profily konfigurace zařízení
- Zásady registrace
Tento článek popisuje, jak přiřadit zásady, obsahuje některé informace o používání značek oboru, popisuje, kdy přiřadit zásady skupinám uživatelů nebo skupinám zařízení a další.
Tato funkce platí pro:
- Android
- iOS/iPadOS
- macOS
- Linux
- Windows
Než začnete
Ujistěte se, že máte správnou roli, která může přiřazovat zásady a profily. Další informace najdete v tématu Řízení přístupu na základě role (RBAC) v Microsoft Intune.
Zvažte použití Microsoft Copilotu v Intune. Mezi výhody patří:
- Při vytváření zásad a konfiguraci nastavení nástroj Copilot poskytuje další informace o každém nastavení, může doporučit hodnotu a najít potenciální konflikty.
- Když přiřadíte zásadu, Copilot vám může říct, ke kterým skupinám je zásada přiřazená, a pomůže vám pochopit účinek zásad.
Další informace najdete v Microsoft Copilot v Intune.
Přiřazení zásad uživatelům nebo skupinám
Přihlaste se k Centru pro správu Microsoft 365.
Vyberte Zařízení>Spravovat zařízení>Konfigurace. Zobrazí se všechny profily.
Vyberte profil, který chcete přiřadit >Vlastnosti>Přiřazení>Upravit:
Pokud chcete například přiřadit konfigurační profil zařízení:
Přejděte na Zařízení>Spravovat zařízení>Konfigurace. Zobrazí se všechny profily.
Vyberte zásadu, kterou chcete přiřadit >Vlastnosti>Přiřazení>Upravit:
V části Zahrnuté skupiny nebo Vyloučené skupiny zvolte Přidat skupiny a vyberte jednu nebo více skupin Microsoft Entra. Pokud chcete zásady nasadit obecně na všechna příslušná zařízení, vyberte Přidat všechny uživatele nebo Přidat všechna zařízení.
Poznámka
Pokud vyberete Všechna zařízení a Všichni uživatelé, možnost přidat další skupiny Microsoft Entra se zakáže.
Vyberte Zkontrolovat a uložit. Tímto krokem se zásady nepřiřazují.
Vyberte Uložit. Když uložíte, přiřadí se vaše zásady. Vaše skupiny obdrží nastavení zásad, když se zařízení přihlásí ke službě Intune.
Funkce přiřazení, které byste měli znát a používat
Pomocí filtrů přiřaďte zásady na základě pravidel, která vytvoříte. Filtry můžete vytvořit pro:
- Zásady konfigurace aplikací pro Microsoft Intune
- Zásady ochrany aplikací
- Přiřazení aplikací
- Zásady dodržování předpisů
- Profily konfigurace zařízení
Další informace najdete v článku:
Sady zásad vytvářejí skupinu nebo kolekci existujících aplikací a zásad. Po vytvoření sady zásad můžete sadu zásad přiřadit z jednoho místa v Centru pro správu Microsoft Intune.
Další informace najdete v Použití sad zásad k seskupování kolekcí objektů správy v Microsoft Intune.
Značky oboru představují skvělý způsob, jak filtrovat zásady podle konkrétních skupin, jako je
US-NC IT Team
neboJohnGlenn_ITDepartment
. Další informace o značkách oboru najdete v tématu Použití RBAC a značek oboru pro distribuované IT.Na zařízeních s Windows můžete přidat pravidla použitelnosti, aby se zásady vztahovaly jenom na konkrétní verzi operačního systému nebo konkrétní edici Windows. Další informace najdete v článku Pravidla použitelnosti.
Skupiny uživatelů vs. skupiny zařízení
Mnoho uživatelů se ptá, kdy použít skupiny uživatelů a kdy použít skupiny zařízení. Odpověď závisí na vašem cíli. Tady je několik pokynů, které vám pomůžou začít.
Skupiny zařízení
Pokud chcete nastavení použít na zařízení bez ohledu na to, kdo je přihlášený, přiřaďte zásady skupině zařízení. Nastavení použitá pro skupiny zařízení vždy platí pro zařízení, ne s uživatelem.
Příklady:
Skupiny zařízení jsou užitečné pro správu zařízení, která nemají vyhrazeného uživatele. Máte například zařízení, která tisknou lístky, skenují inventář, sdílejí je pracovníci na směnách, přiřazují se ke konkrétnímu skladu atd. Umístěte tato zařízení do skupiny zařízení a přiřaďte zásady této skupině zařízení.
Vytvoříte profil Intune DFCI (Device Firmware Configuration Interface), který aktualizuje nastavení v systému BIOS. Tuto zásadu například nakonfigurujete tak, aby zakázala kameru zařízení, nebo uzamknete možnosti spouštění, aby uživatelé nemohli spustit jiný operační systém. Tato zásada je vhodný scénář pro přiřazení ke skupině zařízení.
Na některých konkrétních zařízeních s Windows chcete vždy ovládat některá nastavení aplikace Microsoft Edge bez ohledu na to, kdo zařízení používá. Chcete například blokovat všechna stahování, omezit všechny soubory cookie na aktuální relaci procházení a odstranit historii procházení. V tomto scénáři umístěte tato konkrétní zařízení s Windows do skupiny zařízení. Potom vytvořte v Intune šablonu pro správu, přidejte tato nastavení zařízení a pak tuto zásadu přiřaďte skupině zařízení.
Když to shrneme, použijte skupiny zařízení, pokud vám nezáleží na tom, kdo je na zařízení přihlášený nebo jestli se někdo přihlašuje. Chcete, aby vaše nastavení byla vždy na zařízení.
Skupiny uživatelů
Nastavení zásad použité pro skupiny uživatelů vždy probíhá s uživatelem a s uživatelem, když se přihlásí k mnoha zařízením. Je běžné, že uživatelé mají mnoho zařízení, například Surface Pro pro práci a osobní zařízení s iOS/iPadOS. A je běžné, že uživatel z těchto zařízení přistupuje k e-mailu a dalším prostředkům organizace.
Pokud má uživatel na stejné platformě více zařízení, můžete pro přiřazení skupiny použít filtry. Uživatel má například osobní zařízení s iOS/iPadOS a iOS/iPadOS vlastněné organizací. Když přiřadíte zásadu pro daného uživatele, můžete pomocí filtrů cílit jenom na zařízení vlastněné organizací.
Postupujte podle tohoto obecného pravidla: Pokud funkce patří uživateli, jako je e-mail nebo uživatelské certifikáty, přiřaďte je ke skupinám uživatelů.
Příklady:
Chcete umístit ikonu helpdesku pro všechny uživatele na všech jejich zařízeních. V tomto scénáři umístěte tyto uživatele do skupiny uživatelů a přiřaďte zásady ikon helpdesku této skupině uživatelů.
Uživatel obdrží nové zařízení vlastněné organizací. Uživatel se k zařízení přihlásí pomocí svého doménového účtu. Zařízení se automaticky zaregistruje v Microsoft Entra ID a automaticky se spravuje službou Intune. Tato zásada je vhodný scénář pro přiřazení ke skupině uživatelů.
Kdykoli se uživatel přihlásí k zařízení, budete chtít ovládat funkce v aplikacích, jako je OneDrive nebo Office. V tomto scénáři přiřaďte nastavení zásad OneDrivu nebo Office skupině uživatelů.
Chcete například blokovat nedůvěryhodné ovládací prvky ActiveX v aplikacích Office. V Intune můžete vytvořit šablonu pro správu, nakonfigurovat toto nastavení a pak tuto zásadu přiřadit skupině uživatelů.
Chcete-li to shrnout, použijte skupiny uživatelů, pokud chcete, aby nastavení a pravidla vždy byly s uživatelem, bez ohledu na to, jaké zařízení používá.
Azure Virtual Desktop
Intune můžete použít ke správě vzdálených ploch s Windows ve více relacích vytvořených pomocí služby Azure Virtual Desktop, stejně jako spravujete jakékoli jiné sdílené klientské zařízení s Windows. Když přiřadíte zásady skupinám uživatelů nebo zařízením, je více relací Azure Virtual Desktopu zvláštní scénář. U virtuálních počítačů musí poskytovatelé CSP zařízení cílit na skupiny zařízení. Poskytovatelé CSP uživatelů musí cílit na skupiny uživatelů.
Další informace najdete v tématu Použití více relací služby Azure Virtual Desktop s Microsoft Intune.
Poskytovatelé CSP systému Windows a jejich chování
Nastavení zásad pro zařízení s Windows jsou založená na poskytovatelích konfiguračních služeb (CSP). Tato nastavení se mapují na klíče registru nebo soubory na zařízeních.
Tady je to, co potřebujete vědět o poskytovateli CSP ve Windows:
Intune tyto poskytovatele CSP zpřístupňuje, abyste je mohli nakonfigurovat a přiřadit k zařízením s Windows. Tato nastavení se dají konfigurovat pomocí předdefinovaných šablon a katalogu nastavení. V katalogu nastavení vidíte, že některá nastavení platí pro obor uživatele a některá nastavení platí pro obor zařízení.
Informace o tom, jak se u zařízení s Windows použijí nastavení s oborem uživatele a zařízení, najdete v katalogu Nastavení: Obor zařízení vs. nastavení oboru uživatele.
Když se zásada odebere nebo už není přiřazená k zařízení, můžou se stát různé věci v závislosti na nastavení zásad. Každý z poskytovatelů CSP může odebrání zásad zpracovat jinak.
Nastavení například může zachovat existující hodnotu a nemusí se vrátit zpět na výchozí hodnotu. Každý CSP řídí chování. Seznam poskytovatelů CSP pro Windows najdete v referenčních informacích o poskytovateli konfiguračních služeb (CSP).
Pokud chcete změnit nastavení na jinou hodnotu, vytvořte novou zásadu, nakonfigurujte nastavení na Nenakonfigurováno a přiřaďte zásadu. Pokud se zásady vztahují na zařízení, uživatelé by měli mít kontrolu nad změnou nastavení na upřednostňovanou hodnotu.
Při konfiguraci těchto nastavení doporučujeme nasazení do pilotní skupiny. Další rady k zavedení Intune najdete v tématu Vytvoření plánu zavedení.
Vyloučení skupin z přiřazení zásad
Zásady konfigurace zařízení Intune umožňují zahrnout a vyloučit skupiny z přiřazení zásad.
Osvědčený postup:
- Vytvořte a přiřaďte zásady speciálně pro vaše skupiny uživatelů. Pomocí filtrů můžete zahrnout nebo vyloučit zařízení těchto uživatelů.
- Vytvořte a přiřaďte různé zásady speciálně pro vaše skupiny zařízení.
Další informace o skupinách najdete v tématu Přidání skupin pro uspořádání uživatelů a zařízení.
Zásady zahrnutí a vyloučení skupin
Při přiřazování zásad použijte následující obecné zásady:
Zahrnuté skupiny nebo Vyloučené skupiny si můžete představit jako výchozí bod pro uživatele a zařízení, která budou přijímat vaše zásady. Skupina Microsoft Entra je omezující skupina, proto použijte nejmenší možný rozsah skupiny. Pomocí filtrů omezte nebo upřesněte přiřazení zásad.
Přiřazené skupiny Microsoft Entra, označované také jako statické skupiny, je možné přidat do zahrnutých skupin nebo vyloučených skupin.
Obvykle staticky přiřazujete zařízení do skupiny Microsoft Entra, pokud jsou předem zaregistrovaná v Microsoft Entra ID, například ve Windows Autopilotu. Nebo pokud chcete kombinovat zařízení pro jednorázové ad hoc nasazení. Jinak nemusí být praktické staticky přiřazovat zařízení do skupiny Microsoft Entra.
Dynamické skupiny uživatelů Microsoft Entra je možné přidat do zahrnutých skupin nebo vyloučených skupin.
Vyloučené skupiny můžou být skupiny s uživateli nebo skupiny se zařízeními.
Dynamické skupiny zařízení Microsoft Entra je možné přidat do zahrnutých skupin. Při naplnění členství v dynamické skupině ale může docházet k latenci. Ve scénářích citlivých na latenci použijte filtry k cílení na konkrétní zařízení a přiřazení zásad skupinám uživatelů.
Například chcete, aby se zásady přiřadily zařízením hned po registraci. V této situaci citlivé na latenci vytvořte filtr, který cílí na požadovaná zařízení, a přiřaďte zásady s tímto filtrem skupinám uživatelů. Nepřiřazujte do skupin zařízení.
Ve scénáři bez uživatelů vytvořte filtr, který cílí na požadovaná zařízení, a přiřaďte zásadu s filtrem skupině Všechna zařízení.
Vyhněte se přidávání dynamických skupin zařízení Microsoft Entra do vyloučených skupin. Latence při výpočtu dynamické skupiny zařízení při registraci může způsobit nežádoucí výsledky. Například nežádoucí aplikace a zásady se můžou nasadit před naplněním vyloučeného členství ve skupině.
Matice podpory
K pochopení podpory vyloučení skupin použijte následující matici:
- ✅: Podporováno
- ❌: Nepodporováno
- ❕ : Částečně podporováno
Scénář | Podpora |
---|---|
1 | ❕ Podporuje se částečně Přiřazování zásad k dynamické skupině zařízení při vyloučení jiné dynamické skupiny zařízení. Nedoporučuje se to ale ve scénářích, které jsou citlivé na latenci. Jakékoli zpoždění při výpočtu vyloučení členství ve skupinách může způsobit nabízení zásad zařízením. V tomto scénáři doporučujeme k vyloučení zařízení použít filtry místo dynamických skupin zařízení. Máte například zásadu zařízení, která je přiřazená ke všem zařízením. Později budete mít požadavek, aby nová marketingová zařízení tuto zásadu neobdržela. Proto vytvoříte dynamickou skupinu zařízení s názvem Marketing na základě enrollmentProfilename vlastnosti (device.enrollmentProfileName -eq "Marketing_devices" ). V zásadách přidáte dynamickou skupinu Marketing zařízení jako vyloučenou skupinu.
Nové marketingové zařízení se poprvé zaregistruje v Intune a vytvoří se nový objekt zařízení Microsoft Entra. Proces dynamického seskupení umístí zařízení do skupiny Marketingová zařízení s možným zpožděním výpočtu. Současně se zařízení zaregistruje do Intune a začne přijímat všechny platné zásady. Zásady Intune je možné nasadit před tím, než se zařízení umístí do skupiny vyloučení. Výsledkem tohoto chování je nasazení nežádoucích zásad (nebo aplikace) do skupiny Marketingová zařízení. V důsledku toho se nedoporučuje používat dynamické skupiny zařízení pro vyloučení ve scénářích citlivých na latenci. Místo toho použijte filtry. |
2 |
✅ Podporováno Podporuje se přiřazení zásady k dynamické skupině zařízení při vyloučení statické skupiny zařízení. |
3 |
❌ Nepodporováno Nepodporuje se přiřazení zásady k dynamické skupině zařízení při vyloučení skupin uživatelů (dynamických i statických). Intune nevyhodnocuje vztahy mezi uživateli a skupinami zařízení a zařízení zahrnutých uživatelů nejsou vyloučená. |
4 |
❌ Nepodporováno Nepodporuje se přiřazení zásady k dynamické skupině zařízení a vyloučení skupin uživatelů (dynamických i statických). Intune nevyhodnocuje vztahy mezi uživateli a skupinami zařízení a zařízení zahrnutých uživatelů nejsou vyloučená. |
5 | ❕ Částečně podporováno Podporuje se přiřazování zásad ke statické skupině zařízení při vyloučení dynamické skupiny zařízení. Nedoporučuje se to ale ve scénářích, které jsou citlivé na latenci. Jakékoli zpoždění při výpočtu vyloučení členství ve skupinách může způsobit nabízení zásad zařízením. V tomto scénáři doporučujeme k vyloučení zařízení použít filtry místo dynamických skupin zařízení. |
6 |
✅ Podporováno Podporuje se přiřazení zásady ke statické skupině zařízení a vyloučení jiné skupiny statických zařízení. |
7 |
❌ Nepodporováno Nepodporuje se přiřazení zásady ke statické skupině zařízení a vyloučení skupin uživatelů (dynamických i statických). Intune nevyhodnocuje vztahy mezi uživateli a skupinami zařízení a zařízení zahrnutých uživatelů nejsou vyloučená. |
8 |
❌ Nepodporováno Nepodporuje se přiřazení zásady ke statické skupině zařízení a vyloučení skupin uživatelů (dynamických i statických). Intune nevyhodnocuje vztahy mezi uživateli a skupinami zařízení a zařízení zahrnutých uživatelů nejsou vyloučená. |
9 |
❌ Nepodporováno Nepodporuje se přiřazení zásady k dynamické skupině uživatelů a vyloučení skupin zařízení (dynamických i statických). |
10 |
❌ Nepodporováno Nepodporuje se přiřazení zásady k dynamické skupině uživatelů a vyloučení skupin zařízení (dynamických i statických). |
11 |
✅ Podporováno Podporuje se přiřazení zásady k dynamické skupině uživatelů při vyloučení jiných skupin uživatelů (dynamických i statických). |
12 |
✅ Podporováno Podporuje se přiřazení zásady k dynamické skupině uživatelů při vyloučení jiných skupin uživatelů (dynamických i statických). |
13 |
❌ Nepodporováno Nepodporuje se přiřazení zásady statické skupině uživatelů při vyloučení skupin zařízení (dynamických i statických). |
14 |
❌ Nepodporováno Nepodporuje se přiřazení zásady statické skupině uživatelů při vyloučení skupin zařízení (dynamických i statických). |
15 |
✅ Podporováno Podporuje se přiřazení zásady ke statické skupině uživatelů při vyloučení jiných skupin uživatelů (dynamických i statických). |
16 |
✅ Podporováno Podporuje se přiřazení zásady ke statické skupině uživatelů při vyloučení jiných skupin uživatelů (dynamických i statických). |
Související články
Pokyny k monitorování zásad a zařízení, na kterých se zásady používají, najdete v tématu Sledování profilů zařízení.