Leistungsempfehlungen für Gruppierung, Zielgruppenadressierung und Filterung in umgebungen mit großen Microsoft Intune
Wenn Sie eine Richtlinie erstellen, können Sie Filter verwenden, um eine Richtlinie basierend auf den von Ihnen erstellten Regeln zuzuweisen. Sie können Filter auf Intune registrierte Geräte und Intune verwaltete Apps anwenden. Eine Übersicht über Filter findest du unter Verwenden von Filtern beim Zuweisen von Apps, Richtlinien und Profilen in Microsoft Intune.
Beim Erstellen von Filtern gibt es einige Leistungsempfehlungen, die Sie berücksichtigen sollten.
In diesem Artikel werden Empfehlungen für Intune Gruppierung, Zielgruppenadressierung und Filterung für Ihre Richtlinien und Apps aufgeführt und beschrieben. Das Ziel besteht darin, Architektur- und Entwurfsentscheidungen für Intune Bereitstellungen in großen Umgebungen zu treffen.
Diese Leistungsempfehlungen und ihre Implementierung können unterschiedlich sein und von Ihrer eigenen Umgebung & anderen Faktoren wie Verwaltbarkeit und Einfachheit abhängen.
Inhalt dieses Artikels:
- Verschaffen Sie sich einen Überblick über Intune Gruppierungs- und Zielgruppenadressierungskonzepte.
- Abrufen einiger Leistungsempfehlungen
Anleitungen zu dynamischen Gruppen finden Sie unter Erstellen einfacherer, effizienterer Regeln für dynamische Gruppen in Microsoft Entra ID.
Übersicht über Intune Gruppierungs- und Zielgruppenadressierungskonzepte
Sehen wir uns die Gruppierungs-, Ziel- und Filterfunktionen an, die in Intune verfügbar sind.
Microsoft Entra Gruppen
Intune verwendet fast ausschließlich Microsoft Entra Gruppen zum Gruppieren und Targeting. Wenn Sie Gruppen im Microsoft Intune Admin Center auswählen, sehen Sie sich Microsoft Entra Gruppen an.
Microsoft Entra Gruppen sind ein wichtiger Bestandteil von Intune, da diese Gruppen:
- Die Objekte, die zum Zuweisen von Apps, Richtlinien und anderen Workloads zu Benutzern und Geräten verwendet werden
- Wird verwendet, um die Geräte zu definieren, die Administratoren im Intune Admin Center anzeigen und verwalten können, z. B. Bereichsgruppen in der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC)
Virtuelle Gruppen
Die Zuweisungen Alle Benutzer und Alle Geräte sind Intune "virtuellen" Gruppen. Diese virtuellen Gruppen sind standardmäßig in allen Intune Mandanten verfügbar und haben keinen Verwaltungsaufwand. Sie müssen z. B. keine Microsoft Entra ID Regeln erstellen oder anpassen, um deren Mitglieder aufgefüllt zu halten.
Die Gruppen Alle Benutzer und Alle Geräte sind ebenfalls hochgradig skalierbar und optimiert, vor allem, weil sie nicht auf die gleiche Weise wie andere Gruppen von Microsoft Entra ID synchronisiert werden müssen.
Filter
Nachdem die App oder Richtlinie einem Microsoft Entra ID oder einer virtuellen Gruppe zugewiesen wurde, können Sie filter verwenden, um den Zuweisungsbereich dieser Apps und Richtlinien auf bestimmte Benutzer- oder Gerätegruppen einzugrenzen.
Ihr Filter filtert Geräte in (oder aus) dieser Zuweisung basierend auf Geräteeigenschaften.
Filterung ist eine hohe Leistung und eine Auswertung der Anwendbarkeit mit geringer Latenz beim Einchecken des Geräts, ohne dass die Gruppenmitgliedschaft vorab berechnet werden muss.
Leistungsempfehlungen
Dieser Abschnitt enthält einige Empfehlungen, die die Leistung beim Zuweisen Ihrer Richtlinien in Microsoft Intune verbessern können.
Diese Empfehlungen konzentrieren sich auf die Verbesserung der Leistung und die Verringerung der Latenz bei der Workloadzuweisung. Sie haben die meisten Auswirkungen auf die Arbeit in großen Intune Umgebungen, z. B. Umgebungen mit >100.000 Geräten. Diese Empfehlungen sollten mit anderen Entwurfsaspekten wie Verwaltbarkeit, Benutzerfreundlichkeit, rollenbasierter Verwaltung und Einfachheit berücksichtigt werden.
Verwenden der integrierten virtuellen Gruppen
| TUN | TUE NICHT |
|---|---|
| ✅Verwenden Sie die virtuellen Gruppen Alle Benutzer und Alle Geräte, anstatt ihre eigene Version aller Benutzer/alle Geräte mit Microsoft Entra dynamischen Gruppen zu erstellen. | ❌Erstellen Sie keine eigenen dynamischen Gruppen "Alle Benutzer" oder "Alle Geräte" für Richtlinien- und App-Ziele in Intune. |
Größere Gruppen brauchen länger, um Mitgliedschaftsupdates zwischen Microsoft Entra ID und Intune zu synchronisieren. Alle Benutzer und Alle Geräte sind in der Regel die größten Gruppen, die Sie haben. Wenn Sie Intune Workloads großen Microsoft Entra Gruppen mit vielen Benutzern oder Geräten zuweisen, können Synchronisierungsbacklogs in Ihrer Intune-Umgebung auftreten. Dieses Backlog wirkt sich auf Richtlinien- und App-Bereitstellungen aus, deren Zugriff auf verwaltete Geräte länger dauert.
Die integrierten Gruppen Alle Benutzer und Alle Geräte sind nur Intune Gruppierungsobjekte, die in Microsoft Entra ID nicht vorhanden sind. Es erfolgt keine kontinuierliche Synchronisierung zwischen Microsoft Entra ID und Intune. Die Gruppenmitgliedschaft ist also sofort.
Hinweis
Informationen zu Intune Aktualisierungsintervallen der Eincheckrichtlinie finden Sie unter Intune Aktualisierungsintervalle für Richtlinien.
Sie können diese Optimierung auch auf andere große und sich häufig ändernde Gruppen anwenden, z. B. "Alle Windows-Geräte" oder "alle iOS-Geräte". Anstatt diese Gruppen zu erstellen und als Ziel zu verwenden, verwenden Sie die vorhandenen virtuellen Gruppen "Alle Benutzer" oder "Alle Geräte", da Intune Richtlinien und Anwendungen automatisch nach Plattform festgelegt werden.
Wenn Sie sehr große Gruppen in Intune (über 100.000 Mitglieder) verwenden, erwarten Sie eine anfängliche Verzögerung bei der Zielbestimmung. Es gibt einen ersten Einrichtungsprozess, der zwischen Microsoft Entra ID und Intune erfolgt. Die erste vollständige Synchronisierung dauert immer länger als nachfolgende inkrementelle Synchronisierungen.
Wiederverwenden von Gruppen
| TUN | TUE NICHT |
|---|---|
| ✅ Verwenden Sie die gleichen Gruppenobjekte wieder, um mehrere Richtlinien zuzuweisen. |
❌ Erstellen Sie keine doppelten Kopien derselben Gruppe, um unterschiedliche Richtlinien als Ziel zu verwenden. ❌ Erstellen Sie keine dedizierten "App-Gruppen" oder "Richtliniengruppen". |
Im Hintergrund konvertiert Intune Microsoft Entra Gruppenmitglieder in Zuweisungsnachrichten für jeden Benutzer und jedes Gerät. Dieser Prozess ist stark optimiert, wenn die Gruppenobjekte identisch sind.
Beispielsweise funktioniert Intune Gruppierung und Zielgruppenadressierung am besten, wenn die Benutzergruppe "Engineering" mit 10 Richtlinien ausgerichtet ist. Es funktioniert nicht am besten, wenn die Engineering-Benutzer Mitglieder von 10 verschiedenen Gruppen sind, wobei jede Gruppe einer anderen Richtlinie zugewiesen ist.
Wir haben einige Designs gesehen, die diese Anleitung nicht verwenden. Beispielsweise erstellen IT-Administratoren eine Gruppe "Install_Edge", erstellen eine "Deploy_Edge_Config_Policy"-Gruppe und platzieren dann die gleichen Geräte in jeder Gruppe, was aus Leistungsgründen nicht empfohlen wird.
Ein ähnliches und nicht empfohlenes Muster ist das Erstellen von "App-Gruppen". Eine App-Gruppe ist, wenn für jede App mehrere Microsoft Entra Gruppen erstellt wurden. Um beispielsweise die Microsoft Edge-Anwendung zu verwalten, erstellt ein Administrator die folgenden Gruppen:
- Edge_Required
- Edge_Available
- Edge_Uninstall
Der Administrator fügt diesen Gruppen einzelne Benutzer oder Geräte hinzu. Diese App-Gruppen erhöhen erheblich die Anzahl der Microsoft Entra Gruppen, die Intune abonnieren und auf Mitgliedschaftsupdates überwachen müssen, was weniger effizient ist. Ineffizientes Gruppensynchronisierungsdesign wirkt sich darauf aus, wie schnell neue Zuweisungen erstellt und an Geräte übermittelt werden.
Inkrementelle Gruppenänderungen vornehmen
| TUN | TUE NICHT |
|---|---|
| ✅Seien Sie vorsichtig bei Schachtelungsänderungen für große Gruppen in Microsoft Entra ID. | ❌ Nehmen Sie keine Änderungen an der Schachtelung großer Gruppen auf einmal vor. |
Eine große Änderung der Gruppenmitgliedschaft in Microsoft Entra ID kann Zuspitzungen von Zieländerungen in Intune führen. Diese Bursts können das Ziel anderer Zuweisungen in Ihrer Umgebung verzögern.
Wenn eine Gruppe von Administratoren Ihre Gruppen und eine andere Gruppe Microsoft Entra ID verwaltet, sollten Sie darüber informieren, welche Auswirkungen Microsoft Entra ID Änderungen auf Intune Haben können.
Wenn beispielsweise ein Microsoft Entra-Administrator neue große Gruppen in einer vorhandenen Gruppe verschachtelt, die Intune für die Zielbestimmung verwendet, beginnt Intune mit der Synchronisierung aller Gruppen und Gruppenmitgliedschaften. Die Zeit, die zum Verarbeiten aller Mitgliedschaften benötigt wird, hängt von der Anzahl und Größe der Gruppenänderungen ab, die in Microsoft Entra ID vorgenommen wurden.
Diese Empfehlung gilt auch, wenn Gruppen "nicht verwendet" werden. Weitere Informationen zu geschachtelten Gruppen findest du unter Verwalten von Microsoft Entra Gruppen und Gruppenmitgliedschaften.
Verwenden von Filtern zum Ein- und Ausschließen
| TUN | TUE NICHT |
|---|---|
| ✅ Verwenden Sie Filter, um die richtige Kombination aus Benutzer und Gerät für die Zielgruppenadressierung zu erzielen. | ❌ Kombinieren Sie keine Benutzergruppen und Gerätegruppen, wenn Sie Gruppen einschließen und ausschließen verwenden. |
Diese Empfehlung ist auch eine Support-Anweisung. Es wird nicht empfohlen oder unterstützt, Zuweisungen für Benutzergruppen zu erstellen und eine Gerätegruppe von dieser Zuweisung auszuschließen oder umgekehrt.
Diese Empfehlung besteht aufgrund des Zeit-/Latenzmerkmals dynamischer Gruppen. Die Mitgliedschaft ausgeschlossener Gruppen erfolgt nicht sofort, was dazu führen kann, dass Geräte fälschlicherweise App- oder Richtlinienzuweisungen empfangen. Weitere Informationen finden Sie unter Zuweisen von Richtlinien und Profilen – Unterstützungsmatrix.
Anstelle von gemischten Ausschlüssen wird empfohlen, eine Benutzergruppe zuzuweisen. Verwenden Sie dann Filter, um die entsprechenden Geräte dynamisch einzu- oder auszuschließen.
Zusammenfassung
Berücksichtigen Sie beim Erstellen und Verwalten von Zuweisungen in Intune einige dieser Empfehlungen. Verwenden Sie Gruppen oder virtuelle Gruppen, und wenden Sie Filter an, um den Zielbereich zu verfeinern. Beachten Sie die bewährten Methoden:
- Erstellen Sie keine eigene Version der Gruppen "Alle Benutzer" oder "Alle Geräte". Verwenden Sie die Intune virtuellen Gruppen, da sie keine Microsoft Entra ID Synchronisierung erfordern, wenn der Umgebung ein neuer Benutzer oder ein neues Gerät hinzugefügt wird.
- Um Ihre Zielgruppenadressierung zu optimieren, verwenden Sie Gruppen so weit wie möglich wieder.
- Achten Sie darauf, große Schachtelungsänderungen an Intune Gruppen vorzunehmen. Intune muss alle diese Änderungen verarbeiten und effektive Änderungen für alle Mitglieder aller Gruppen berechnen, die von dieser Änderung betroffen sind.
- Intune unterstützt keine Gemischten Gruppenausschlüsse. Verwenden Sie daher Filter, um Geräte zusätzlich zu Gruppen- oder virtuellen Gruppenzuweisungen dynamisch einzu- und auszuschließen.