Doporučení k výkonu pro seskupování, cílení a filtrování ve velkých prostředích Microsoft Intune
Když vytváříte zásadu, můžete pomocí filtrů přiřadit zásadu na základě pravidel, která vytvoříte. Filtry můžete použít u zařízení zaregistrovaných Intune a aplikací spravovaných Intune. Přehled filtrů najdete v článku Použití filtrů při přiřazování aplikací, zásad a profilů v Microsoft Intune.
Při vytváření filtrů byste měli zvážit několik doporučení k výkonu.
Tento článek obsahuje seznam a popisuje doporučení pro Intune seskupování, cílení a filtrování zásad a aplikací. Cílem je pomoct vám s rozhodováním o architektuře a návrhu pro Intune nasazení ve velkých prostředích.
Tato doporučení k výkonu a jejich implementace se můžou lišit a záviset na vašem prostředí & dalších faktorech, včetně spravovatelnosti a jednoduchosti.
V tomto článku:
- Přehled konceptů Intune seskupení a cílení
- Získání doporučení k výkonu
Pokyny k dynamickým skupinám najdete v článku Vytvoření jednodušších a efektivnějších pravidel pro dynamické skupiny v Microsoft Entra ID.
Přehled konceptů Intune seskupení a cílení
Pojďme se podívat na funkce seskupení, cílení a filtrování, které jsou dostupné v Intune.
skupiny Microsoft Entra
Intune používá k seskupování a cílení téměř výhradně Microsoft Entra skupiny. Když v Centru pro správu Microsoft Intune vyberete Skupiny, zobrazí se Microsoft Entra skupiny.
Microsoft Entra skupiny jsou důležitou součástí Intune, protože tyto skupiny jsou:
- Objekty používané k přiřazování aplikací, zásad a dalších úloh uživatelům a zařízením
- Slouží k definování zařízení, která můžou správci prohlížet a spravovat v Centru pro správu Intune, jako jsou skupiny oborů v řízení přístupu na základě role (RBAC).
Virtuální skupiny
Přiřazení Všichni uživatelé a Všechna zařízení jsou Intune "virtuálních" skupinách. Tyto virtuální skupiny jsou ve výchozím nastavení dostupné ve všech tenantech Intune a nemají žádné režijní náklady na správu. Nemusíte například vytvářet ani upravovat žádná pravidla Microsoft Entra ID, aby zůstali jejich členové naplněni.
Skupiny Všichni uživatelé a Všechna zařízení jsou také vysoce škálovatelné a optimalizované, hlavně proto, že je není potřeba synchronizovat z Microsoft Entra ID stejným způsobem jako ostatní skupiny.
Filtruje
Po přiřazení aplikace nebo zásady k Microsoft Entra ID nebo virtuální skupině můžete pomocí filtrů zúžit rozsah přiřazení těchto aplikací a zásad na konkrétní skupiny uživatelů nebo zařízení.
Filtr filtruje zařízení v daném přiřazení (nebo mimo) na základě vlastností zařízení.
Filtrování je vysoký výkon a vyhodnocení použitelnosti s nízkou latencí při ohlášení zařízení bez nutnosti předkomputovat členství ve skupině.
Doporučení k výkonu
Tato část obsahuje několik doporučení, která můžou zvýšit výkon při přiřazování zásad v Microsoft Intune.
Tato doporučení se zaměřují na zvýšení výkonu a snížení latence při přiřazování úloh. Největší dopad mají při práci ve velkých Intune prostředích, jako jsou prostředí se >100 000 zařízeními. Tato doporučení by se měla zvážit s dalšími aspekty návrhu, jako jsou možnosti správy, snadné použití, správa na základě rolí a jednoduchost.
Použití předdefinovaných virtuálních skupin
| DĚLAT | NE |
|---|---|
| ✅Místo vytváření vlastní verze všech uživatelů a všech zařízení pomocí Microsoft Entra dynamických skupin použijte virtuální skupiny Všichni uživatelé a Všechna zařízení. | ❌Nevytvovávejte vlastní dynamické skupiny "Všichni uživatelé" nebo "Všechna zařízení" pro cílení zásad a aplikací v Intune. |
Synchronizace aktualizací členství mezi Microsoft Entra ID a Intune většími skupinami trvá déle. Největší skupiny, které máte, jsou obvykle všichni uživatelé a Všechna zařízení . Pokud přiřadíte Intune úlohy velkým Microsoft Entra skupinám, které mají mnoho uživatelů nebo zařízení, může docházet k backlogům synchronizace ve vašem Intune prostředí. Tento backlog má vliv na nasazení zásad a aplikací, jejichž přístup ke spravovaným zařízením trvá déle.
Aktualizace z Microsoft Entra na Intune obvykle proběhne během 5 minut. Není to okamžité. Tento čas může mít vliv na přiřazení registrace. Správci by měli zařízení registrovat po několika minutách, ne hned po přidání registrujícího uživatele do skupiny.
Předdefinované skupiny Všichni uživatelé a Všechna zařízení jsou pouze Intune objekty seskupení, které neexistují v Microsoft Entra ID. Mezi Microsoft Entra ID a Intune nedochází k nepřetržité synchronizaci. Členství ve skupinách je tedy okamžité.
Poznámka
Informace o Intune intervalech aktualizace zásad vracení se změnami najdete v části Intune Intervaly aktualizace zásad.
Tuto optimalizaci můžete použít také u jiných velkých a často se měnících skupin, které můžete mít, jako jsou Všechna zařízení s Windows nebo všechna zařízení s iOSem. Místo vytváření a cílení těchto skupin použijte existující virtuální skupiny Všichni uživatelé nebo Všechna zařízení, protože zásady a aplikace Intune jsou automaticky vymezeny platformou.
Při použití velmi velkých skupin v Intune (více než 100 000 členů) očekávejte počáteční zpoždění při cílení. Mezi Microsoft Entra ID a Intune probíhá první proces nastavení. První úplná synchronizace vždy trvá déle než následná přírůstková synchronizace.
Opakované použití skupin
| DĚLAT | NE |
|---|---|
| ✅ Znovu použijte stejné objekty skupiny pro přiřazování více zásad. |
❌ Nevytvovávejte duplicitní kopie stejné skupiny, abyste mohli cílit na různé zásady. ❌ Nevytvovávejte vyhrazené skupiny aplikací ani skupiny zásad. |
Intune na pozadí převádí Microsoft Entra členy skupiny na přiřazení, která cílí na zprávy pro každého uživatele a zařízení. Tento proces je vysoce optimalizovaný, pokud jsou objekty skupiny stejné.
Například Intune seskupení a cílení funguje nejlépe, když je skupina uživatelů "Engineering" cílem 10 zásad. Nefunguje to nejlépe, když jsou uživatelé s technikem členy 10 různých skupin, přičemž každá skupina je přiřazená k jiné zásadě.
Viděli jsme několik návrhů, které tyto pokyny nepoužívají. Správci IT například vytvoří skupinu "Install_Edge", vytvoří skupinu "Deploy_Edge_Config_Policy" a pak do každé skupiny umístí stejná zařízení, což se z hlediska výkonu nedoporučuje.
Podobným a nedoporučenou vzorem je vytváření skupin aplikací. Skupina aplikací je, když má každá aplikace několik Microsoft Entra skupin vytvořených pro ni. Správce například pro správu aplikace Microsoft Edge vytvoří následující skupiny:
- Edge_Required
- Edge_Available
- Edge_Uninstall
Správce do těchto skupin přidá jednotlivé uživatele nebo zařízení. Tyto skupiny aplikací výrazně zvyšují počet Microsoft Entra skupin, které se Intune musí přihlásit k odběru a monitorovat aktualizace členství, což je méně efektivní. Neefektivní návrh synchronizace skupin má vliv na to, jak rychle se nová přiřazení vytvářejí a doručují do zařízení.
Provádění přírůstkových změn skupin
| DĚLAT | NE |
|---|---|
| ✅Při změnách velkého skupinového vnoření v Microsoft Entra ID buďte opatrní. | ❌ Neprovádějte velké změny vnoření skupin najednou. |
Velká změna členství ve skupinách v Microsoft Entra ID může generovat nárůsty změn cílení na Intune. Tyto shluky můžou zpozdit cílení na jiná přiřazení ve vašem prostředí.
Pokud skupiny spravuje skupina správců a Microsoft Entra ID spravuje jiná sada, měli byste sdělit, jaký dopad můžou mít změny Microsoft Entra ID na cílení na Intune.
Pokud například správce Microsoft Entra vnořil nové velké skupiny do existující skupiny, kterou Intune používá k cílení, zahájí Intune synchronizaci všech skupin a členství ve skupinách. Doba potřebná ke zpracování všech členství závisí na počtu a velikosti změn skupin provedených v Microsoft Entra ID.
Toto doporučení platí také v případě, že jsou skupiny "neoznačené". Další informace o vnořených skupinách najdete v tématu Správa Microsoft Entra skupin a členství ve skupinách.
Zahrnutí a vyloučení pomocí filtrů
| DĚLAT | NE |
|---|---|
| ✅ Pomocí filtrů dosáhnete správné kombinace uživatele a zařízení pro cílení. | ❌ Při použití skupin Zahrnout a Vyloučit nemíchejte skupiny uživatelů a zařízení. |
Toto doporučení je také prohlášením o podpoře. Nedoporučujeme ani nepodporujeme vytváření přiřazení skupin uživatelů a vyloučení skupiny zařízení z daného přiřazení nebo naopak.
Toto doporučení existuje kvůli charakteristikě časování/latence dynamických skupin. Členství ve vyloučených skupinách není okamžité, což může vést k případům, kdy zařízení nesprávně obdrží přiřazení aplikací nebo zásad. Další informace najdete v tématu Přiřazení zásad a profilů – matice podpory.
Místo smíšených vyloučení doporučujeme přiřadit skupině uživatelů. Potom použijte filtry k dynamickému zahrnutí nebo vyloučení příslušných zařízení.
Souhrn
Při vytváření a správě přiřazení v Intune začleňte některá z těchto doporučení. Použijte skupiny nebo virtuální skupiny a použijte filtry, které vám pomůžou upřesnit rozsah cílení. Mějte na paměti osvědčené postupy:
- Nevytvovávejte vlastní verzi skupin Všichni uživatelé nebo Všechna zařízení. Použijte Intune virtuálních skupin, protože při přidání nového uživatele nebo zařízení do prostředí nevyžadují synchronizaci Microsoft Entra ID.
- Pokud chcete optimalizovat cílení, co nejvíce používejte skupiny.
- Při provádění velkých změn vnoření skupin Intune buďte obezřetní. Intune musí zpracovat všechny tyto změny a vypočítat efektivní změny pro všechny členy všech skupin, na které se změna týká.
- Intune nepodporuje vyloučení smíšených skupin. Proto použijte filtry k dynamickému zahrnutí a vyloučení zařízení kromě přiřazení skupin nebo virtuálních skupin.