Planeamiento de la agrupación y la segmentación de dispositivos de Education
✅ Organización de dispositivos y usuarios
Al organizar dispositivos, alumnos, aulas o planes de estudio de aprendizaje en grupos, puede proporcionar a los alumnos los recursos y configuraciones que necesitan.
Introducción a la agrupación y la segmentación
Intune tiene cuatro métodos de destino:
| Tipo de agrupación | Descripción | Ventajas | Desventajas |
|---|---|---|---|
| Grupos virtuales | Creado por Intune y le permite dirigirse a Todos los dispositivos y Todos los usuarios | Siempre actualizado automáticamente | Solo se puede limitar mediante filtros |
| Grupos asignados | Se usa cuando se desea agregar manualmente usuarios o dispositivos a un grupo. | Administrar fácilmente la pertenencia a grupos únicos | La pertenencia se mantiene manualmente |
| Grupos dinámicos | Grupos en función de las reglas que cree para asignar alumnos o dispositivos a grupos. | Automatiza el mantenimiento de pertenencia de esos grupos. | La actualización puede tardar entre varios minutos y 24 horas |
| Filtros | Permite restringir aún más el ámbito de asignación de una directiva o aplicación al dirigirse a un grupo. | Intune evalúa rápidamente los filtros en cada check-in | Debe aplicarse a grupos virtuales, asignados o dinámicos. |
Las organizaciones suelen usar una combinación de estos métodos de destino.
Nota:
No se puede acceder a los filtros en la consola de administración de Intune for Education, pero se puede acceder a ellos en la consola de administración de Intune.
Se crean dos grupos adicionales si usa Microsoft School Data Sync (SDS):Todos los profesores y Todos los alumnos. SDS también se puede configurar para crear y mantener automáticamente grupos de alumnos y profesores para cada escuela.
Más allá de los valores predeterminados, los grupos se pueden personalizar para satisfacer varias necesidades. Por ejemplo, si tiene dispositivos Windows 10 y Windows 11 en su escuela, puede crear grupos, como dispositivos Windows 10 y dispositivos de Windows 11, para asignarles directivas y aplicaciones diferentes.
Sugerencia
Para obtener más información sobre las opciones de agrupación y de destino, vea Recomendaciones de rendimiento para la agrupación, la selección de destino y el filtrado en entornos de Microsoft Intune grandes.
Para obtener sugerencias sobre cómo evitar conflictos de directivas, consulte Evitar conflictos de directivas.
Elección de métodos de agrupación
✅ Seleccione la mejor opción para la agrupación
La forma de dirigirse a la configuración y las aplicaciones puede depender de muchos factores y del tipo de inscripción.
En la tabla siguiente se proporcionan instrucciones sobre las opciones de agrupación de dispositivos Windows que se usarán en función del método de inscripción y el comportamiento deseado.
| Tipo de inscripción | Comportamiento | Mejores opciones de agrupación |
|---|---|---|
| Controlado por el usuario de Autopilot | Aplicación más rápida durante la inscripción | ✔️ Grupo dinámico de dispositivos basado en una etiqueta de grupo, fabricante o modelo de Autopilot ✔️ Grupos asignados de grupo✔️ dinámico de usuario |
| Modo de implementación automática de Autopilot | Aplicación más rápida durante la inscripción | ✔️ Grupo dinámico de dispositivos basado en una etiqueta de grupo, fabricante o modelo de Autopilot ✔️ Grupos asignados |
| Todos los tipos de inscripción | Aplicación más rápida durante la inscripción | ✔️ Todos los dispositivos agrupan ✔️ todos los dispositivos con un filtro |
| Todos los tipos de inscripción | Se aplica después de la inscripción | ✔️ Grupo dinámico de dispositivos basado en otros atributos |
En la tabla siguiente se proporcionan instrucciones sobre qué opciones de agrupación de dispositivos iOS usar en función del método de inscripción y el comportamiento deseado.
| Tipo de inscripción | Comportamiento | Mejores opciones de agrupación |
|---|---|---|
| Inscripción automatizada de dispositivos | Aplicación más rápida durante la inscripción | ✔️ Todos los dispositivos agrupan ✔️ todos los dispositivos con un filtro |
| Inscripción automatizada de dispositivos con afinidad de usuario | Aplicación más rápida durante la inscripción | ✔️ Grupos de usuarios dinámicos o asignados |
| Portal de empresa | Aplicación más rápida durante la inscripción | ✔️ Grupos de usuarios dinámicos o asignados |
| Todos los tipos de inscripción | Se aplica después de la inscripción | ✔️ Grupo dinámico ✔️ de dispositivos Grupos de dispositivos asignados |
Sugerencia
Para obtener más información sobre las opciones de agrupación y de destino, vea Recomendaciones de rendimiento para la agrupación, la selección de destino y el filtrado en entornos de Microsoft Intune grandes.
Creación de grupos y filtros
✅ Creación de grupos de la organización
Con el plan de inscripción y agrupación implementado, puede crear los grupos.
- Creación de grupos en Entra
- Usar filtros al asignar aplicaciones, directivas y perfiles en Microsoft Intune
- Crear o actualizar un grupo dinámico en Microsoft Entra ID
- Reglas de pertenencia dinámica para grupos en Microsoft Entra ID
- Creación de reglas más sencillas y eficaces para grupos dinámicos en Microsoft Entra ID
Grupos de ejemplo
✅ Consulte ejemplos de agrupación común por tipo de inscripción.
En esta sección se incluyen los métodos de destino que se suelen ver en las organizaciones de Educación.
Autopilot
Cuando los dispositivos se importan a Autopilot, incluyen el fabricante y el modelo del dispositivo. También se puede agregar una etiqueta de grupo a cada dispositivo importado. La etiqueta de grupo se puede usar para crear grupos para la segmentación. Algunos clientes usan etiquetas de grupo para crear grupos para diferentes perfiles de Autopilot, para dirigirse a diferentes aplicaciones o perfiles y también para asignar etiquetas de ámbito para el control de acceso basado en rol.
Esta tabla contiene grupos comunes que se usan para los dispositivos inscritos mediante Autopilot.
| Nombre | Tipo | Consulta |
|---|---|---|
| Todos los dispositivos Windows | Reglas de pertenencia dinámica | (device.deviceOSType -startsWith "Windows") |
| Todos los dispositivos Autopilot | Reglas de pertenencia dinámica | (device.devicePhysicalIDs -any _ -startsWith "[ZTDId]") |
| Todos los dispositivos que no son autopilot | Reglas de pertenencia dinámica | (device.deviceOSType -startsWith "Windows") -and (device.deviceOwnership -eq "Company") -and -not(device.devicePhysicalIds -any (_ -startsWith "[ZTDId]")) |
| Todos los dispositivos Autopilot Student | Reglas de pertenencia dinámica | (device.devicePhysicalIds -any (_ -eq "[OrderID]:Student")) |
Nota:
El ejemplo de grupo "Todos los dispositivos autopilot student" supone que la etiqueta de grupo de Autopilot está establecida en "Student". Puede usar otra etiqueta de grupo y actualizar la regla de pertenencia en consecuencia.
Nota:
- Si tiene previsto crear grupos o filtros basados en enrollmentProfileName, asegúrese de crear el perfil de inscripción con el nombre que coincida con las reglas.
- Si usa etiquetas de grupo de Autopilot para agrupar dispositivos, asegúrese de que las etiquetas de grupo agregadas a los objetos de dispositivo coincidan con las reglas de grupo dinámicas.
- En Windows, las aplicaciones y directivas también se pueden dirigir a grupos de usuarios. Sin embargo, la mayoría de las aplicaciones y directivas en dispositivos Windows se basan en dispositivos. Como resultado, cada usuario de un dispositivo Windows recibe aplicaciones y directivas basadas en dispositivos asignadas a cualquier usuario anterior del dispositivo, a menos que el nuevo usuario tenga configuraciones diferentes para la configuración aplicada anteriormente.
Paquetes de aprovisionamiento
Esta tabla contiene grupos comunes que se usan para dispositivos inscritos mediante paquetes de aprovisionamiento.
| Nombre | Tipo | Consulta |
|---|---|---|
| Todos los dispositivos Windows | Reglas de pertenencia dinámica | (device.deviceOSType -startsWith "Windows") |
| Todos los dispositivos student | Reglas de pertenencia dinámica | (device.displayName -startsWith "STU-") |
Nota:
El ejemplo de grupo "Todos los dispositivos de estudiantes" supone que el prefijo de nombre del dispositivo en el paquete de aprovisionamiento se establece en "STU-". Puede usar otro prefijo y actualizar la regla de pertenencia en consecuencia.
Todos los tipos de inscripción
Los filtros se pueden usar para incluir o excluir dispositivos de grupos. Por ejemplo:
- Dispositivos que ejecutan Windows 10 (osVersion comienza con 10.0.1)
- Dispositivos que ejecutan Windows 11 (osVersion comienza con 10.0.2)
Inscripción de dispositivos automatizada
Cuando los dispositivos están inscritos con la inscripción automatizada de dispositivos, los dispositivos se marcan con el nombre del perfil de inscripción que se usa durante la inscripción. Los dispositivos se pueden asociar con diferentes perfiles de inscripción en la sección Token de inscripción de dispositivos automatizados en inscripción. Algunos clientes usan nombres de perfil de inscripción para crear grupos o filtros para diferentes configuraciones de inscripción, para dirigirse a diferentes aplicaciones o perfiles y también para asignar etiquetas de ámbito para el control de acceso basado en rol.
Estos son ejemplos de consultas que se suelen usar para grupos de seguridad dinámicos.
| Nombre | Tipo | Consulta |
|---|---|---|
| Todos los dispositivos iOS | Reglas de pertenencia dinámica | (device.deviceOSType -startsWith "iOS") |
| Todos los dispositivos de "caso de uso" | Reglas de pertenencia dinámica | (device.enrollmentProfileName -eq "'use case'") |
Para aplicar la configuración lo más rápidamente posible durante la inscripción sin esperar a las actualizaciones dinámicas del grupo, algunos clientes usan un filtro basado en enrollmentProfileName y la configuración de destino en el grupo virtual Todos los dispositivos .
- Dispositivos con una inscripción específicaProfileName (enrollmentProfileName equals'usecase')
Nota:
Si tiene previsto crear grupos o filtros basados en enrollmentProfileName, asegúrese de crear el perfil de inscripción con el nombre que coincida con las reglas.
Advertencia
Cada vez que un dispositivo iOS se inscribe, crea un nuevo objeto de dispositivo Entra, por lo que las pertenencias a grupos asignadas no se mantienen afer un dispositivo se restablece.