Recomendaciones de rendimiento para la agrupación, la segmentación y el filtrado en entornos de Microsoft Intune grandes
Al crear una directiva, puede usar filtros para asignar una directiva basada en las reglas que cree. Puede aplicar filtros a dispositivos inscritos en Intune y aplicaciones administradas Intune. Para obtener información general sobre los filtros, vaya a Usar filtros al asignar aplicaciones, directivas y perfiles en Microsoft Intune.
Al crear filtros, hay algunas recomendaciones de rendimiento que debe tener en cuenta.
En este artículo se enumeran y describen las recomendaciones para Intune agrupación, segmentación y filtrado de las directivas y aplicaciones. El objetivo es ayudarle a tomar decisiones de arquitectura y diseño para las implementaciones de Intune en entornos grandes.
Estas recomendaciones de rendimiento y su implementación pueden ser diferentes y dependen de su propio entorno & otros factores, como la facilidad de administración y la simplicidad.
En este artículo:
- Obtenga información general sobre los conceptos de agrupación y segmentación de Intune
- Obtener algunas recomendaciones de rendimiento
Para obtener instrucciones sobre los grupos dinámicos, vaya a Creación de reglas más sencillas y eficaces para grupos dinámicos en Microsoft Entra ID.
Introducción a los conceptos de agrupación y segmentación de Intune
Vamos a revisar las características de agrupación, selección de destino y filtrado disponibles en Intune.
grupos de Microsoft Entra
Intune usa casi exclusivamente grupos de Microsoft Entra para la agrupación y el destino. Al seleccionar Grupos en el centro de administración de Microsoft Intune, se examinan Microsoft Entra grupos.
Microsoft Entra grupos son una parte importante de Intune, ya que estos grupos son:
- Objetos usados para asignar aplicaciones, directivas y otras cargas de trabajo a usuarios y dispositivos
- Se usa para definir los dispositivos que los administradores pueden ver y administrar en el centro de administración de Intune, como los grupos de ámbito en el control de acceso basado en rol (RBAC)
Grupos virtuales
Las asignaciones Todos los usuarios y Todos los dispositivos se Intune grupos "virtuales". Estos grupos virtuales están disponibles de forma predeterminada en todos los inquilinos Intune y no incluyen ninguna sobrecarga de administración. Por ejemplo, no es necesario crear ni ajustar ninguna Microsoft Entra ID reglas para mantener rellenados sus miembros.
Los grupos Todos los usuarios y Todos los dispositivos también son altamente escalables y optimizados, principalmente porque no es necesario sincronizarlos desde Microsoft Entra ID de la misma manera que lo hacen otros grupos.
Filtros
Una vez asignada la aplicación o directiva a un Microsoft Entra ID o grupo virtual, puede usar filtros para restringir el ámbito de asignación de estas aplicaciones y directivas a grupos de usuarios o dispositivos específicos.
El filtro filtra los dispositivos dentro (o fuera) de esa asignación en función de las propiedades del dispositivo.
El filtrado es una evaluación de aplicabilidad de alto rendimiento y baja latencia en la protección del dispositivo sin necesidad de calcular previamente la pertenencia a grupos.
Recomendaciones de rendimiento
En esta sección se incluyen algunas recomendaciones que pueden mejorar el rendimiento al asignar las directivas en Microsoft Intune.
Estas recomendaciones se centran en mejorar el rendimiento y reducir la latencia en la asignación de cargas de trabajo. Tienen el mayor impacto al trabajar en entornos de Intune grandes, como entornos con >100 000 dispositivos. Estas recomendaciones deben tenerse en cuenta con otros aspectos de diseño, como la facilidad de administración, la facilidad de uso, la administración basada en roles y la simplicidad.
Uso de los grupos virtuales integrados
HACER | NO |
---|---|
✅Use los grupos virtuales Todos los usuarios y Todos los dispositivos en lugar de crear su propia versión de todos los usuarios o todos los dispositivos mediante Microsoft Entra grupos dinámicos. | ❌No cree sus propios grupos dinámicos "Todos los usuarios" o "Todos los dispositivos" para la segmentación de directivas y aplicaciones en Intune. |
Los grupos más grandes tardan más en sincronizar las actualizaciones de pertenencia entre Microsoft Entra ID y Intune. Todos los usuarios y todos los dispositivos suelen ser los grupos más grandes que tiene. Si asigna cargas de trabajo de Intune a grupos de Microsoft Entra grandes que tienen muchos usuarios o dispositivos, los trabajos pendientes de sincronización pueden producirse en el entorno de Intune. Este trabajo pendiente afecta a las implementaciones de directivas y aplicaciones, que tardan más en llegar a los dispositivos administrados.
La actualización de Microsoft Entra a Intune suele producirse en un plazo de 5 minutos. No es instantáneo. Esta vez puede afectar a las asignaciones de inscripción. Los administradores deben inscribir dispositivos después de varios minutos, no inmediatamente después de agregar los usuarios inscritos a un grupo.
Los grupos integrados Todos los usuarios y Todos los dispositivos son objetos de agrupación de solo Intune que no existen en Microsoft Entra ID. No hay una sincronización continua entre Microsoft Entra ID y Intune. Por lo tanto, la pertenencia a grupos es instantánea.
Nota:
Para obtener información sobre Intune intervalos de actualización de directivas de protección, vaya a Intune Intervalos de actualización de directivas.
También puede aplicar esta optimización a otros grupos grandes y con cambios frecuentes que pueda tener, como "Todos los dispositivos Windows" o "todos los dispositivos iOS". En lugar de crear y dirigirse a estos grupos, use los grupos virtuales "Todos los usuarios" o "Todos los dispositivos" existentes, ya que Intune directivas y aplicaciones se limitan automáticamente por plataforma.
Cuando se usan grupos muy grandes en Intune (más de 100 000 miembros), se espera un retraso inicial en la selección de destino. Hay un proceso de configuración por primera vez que se produce entre Microsoft Entra ID y Intune. La primera sincronización completa siempre tarda más que las sincronizaciones incrementales posteriores.
Reutilización de grupos
HACER | NO |
---|---|
✅ Reutilice los mismos objetos de grupo para asignar varias directivas. |
❌ No cree copias duplicadas del mismo grupo para tener como destino directivas diferentes. ❌ No cree "Grupos de aplicaciones" ni "Grupos de directivas" dedicados. |
En segundo plano, Intune convierte Microsoft Entra miembros del grupo en mensajes de destino de asignación para cada usuario y dispositivo. Este proceso está altamente optimizado cuando los objetos de grupo son iguales.
Por ejemplo, Intune agrupación y segmentación funciona mejor cuando el grupo de usuarios "Ingeniería" está destinado a 10 directivas. No funciona mejor cuando los usuarios de ingeniería son miembros de 10 grupos diferentes, con cada grupo asignado a una directiva diferente.
Hemos visto algunos diseños que no usan esta guía. Por ejemplo, los administradores de TI crean un grupo de "Install_Edge", crean un grupo de "Deploy_Edge_Config_Policy" y, a continuación, colocan los mismos dispositivos en cada grupo, lo que no se recomienda para el rendimiento.
Un patrón similar y no recomendado es crear "Grupos de aplicaciones". Un grupo de aplicaciones es cuando cada aplicación tiene varios grupos de Microsoft Entra creados para él. Por ejemplo, para administrar la aplicación Microsoft Edge, un administrador crea los siguientes grupos:
- Edge_Required
- Edge_Available
- Edge_Uninstall
El administrador agrega usuarios o dispositivos individuales a estos grupos. Estos grupos de aplicaciones aumentan considerablemente el número de grupos de Microsoft Entra a los que Intune deben suscribirse y supervisar las actualizaciones de pertenencia, lo que es menos eficaz. Un diseño de sincronización de grupo ineficaz afecta a la rapidez con la que se crean y entregan nuevas asignaciones a los dispositivos.
Realizar cambios incrementales en el grupo
HACER | NO |
---|---|
✅Tenga cuidado con los cambios de anidamiento de grupos grandes en Microsoft Entra ID. | ❌ No realice cambios de anidamiento de grupos grandes a la vez. |
Un cambio de pertenencia a grupos grandes en Microsoft Entra ID puede generar ráfagas de cambios de destino en Intune. Estas ráfagas pueden retrasar el destino de otras asignaciones en el entorno.
Si un conjunto de administradores administra los grupos y otro conjunto administra Microsoft Entra ID, debe comunicar el impacto Microsoft Entra ID los cambios que pueden tener en Intune destino.
Por ejemplo, si un administrador de Microsoft Entra anida nuevos grupos grandes dentro de un grupo existente que Intune usa para la segmentación, Intune comienza a sincronizar todos los grupos y pertenencias a grupos. El tiempo necesario para procesar todas las pertenencias depende del número y el tamaño de los cambios de grupo realizados en Microsoft Entra ID.
Esta recomendación también se aplica cuando los grupos están "sin asignar". Para obtener más información sobre los grupos anidados, vaya a Administrar grupos Microsoft Entra y pertenencia a grupos.
Uso de filtros para incluir y excluir
HACER | NO |
---|---|
✅ Use filtros para lograr la combinación correcta de usuario y dispositivo para la selección de destino. | ❌ No mezcle grupos de usuarios y grupos de dispositivos al usar incluir y excluir grupos. |
Esta recomendación también es una instrucción de soporte técnico. No se recomienda ni se admite la creación de asignaciones a grupos de usuarios y la exclusión de un grupo de dispositivos de esa asignación, ni viceversa.
Esta recomendación existe debido a la característica de tiempo y latencia de los grupos dinámicos. La pertenencia a grupos excluidos no es instantánea, lo que puede dar lugar a casos en los que los dispositivos reciben asignaciones de directivas o aplicaciones de forma incorrecta. Para obtener más información, vaya a Asignación de directivas y perfiles: matriz de compatibilidad.
En lugar de exclusiones mixtas, se recomienda asignar a un grupo de usuarios. A continuación, use filtros para incluir o excluir dinámicamente los dispositivos adecuados.
Resumen
Al crear y administrar asignaciones en Intune, incorpore algunas de estas recomendaciones. Use grupos o grupos virtuales y aplique filtros para ayudar a refinar el ámbito de destino. Tenga en cuenta los procedimientos recomendados:
- No cree su propia versión de los grupos "Todos los usuarios" o "Todos los dispositivos". Use el Intune grupos virtuales, ya que no requieren Microsoft Entra ID sincronización cuando se agrega un nuevo usuario o dispositivo al entorno.
- Para optimizar el destino, reutilice los grupos tanto como sea posible.
- Tenga cuidado al realizar cambios de anidamiento grandes en grupos de Intune. Intune debe procesar todos estos cambios y calcular los cambios efectivos para todos los miembros de todos los grupos afectados por ese cambio.
- Intune no admite exclusiones de grupos mixtos. Por lo tanto, use filtros para incluir y excluir dispositivos dinámicamente, además de las asignaciones de grupos o grupos virtuales.