Raccomandazioni sulle prestazioni per il raggruppamento, la destinazione e il filtro in ambienti di Microsoft Intune di grandi dimensioni
Quando si crea un criterio, è possibile usare i filtri per assegnare un criterio in base alle regole create. È possibile applicare filtri ai dispositivi registrati Intune e alle app gestite da Intune. Per una panoramica dei filtri, vedere Usare i filtri durante l'assegnazione di app, criteri e profili in Microsoft Intune.
Quando si creano filtri, è necessario prendere in considerazione alcune raccomandazioni sulle prestazioni.
Questo articolo elenca e descrive le raccomandazioni per Intune raggruppamento, destinazione e filtro per i criteri e le app. L'obiettivo è aiutare a prendere decisioni di architettura e progettazione per le distribuzioni Intune in ambienti di grandi dimensioni.
Queste raccomandazioni sulle prestazioni e la relativa implementazione possono essere diverse e dipendono dal proprio ambiente & altri fattori, tra cui gestibilità e semplicità.
Contenuto dell'articolo:
- Panoramica dei concetti relativi al raggruppamento e alla destinazione di Intune
- Ottenere alcuni consigli sulle prestazioni
Per indicazioni sui gruppi dinamici, vedere Creare regole più semplici ed efficienti per i gruppi dinamici in Microsoft Entra ID.
Panoramica dei concetti relativi al raggruppamento e alla destinazione di Intune
Verranno ora esaminate le funzionalità di raggruppamento, destinazione e filtro disponibili in Intune.
gruppi Microsoft Entra
Intune usa quasi esclusivamente gruppi Microsoft Entra per il raggruppamento e la destinazione. Quando si seleziona Gruppi nell'interfaccia di amministrazione Microsoft Intune, si esaminano Microsoft Entra gruppi.
Microsoft Entra gruppi sono una parte importante di Intune perché questi gruppi sono:
- Oggetti usati per assegnare app, criteri e altri carichi di lavoro a utenti e dispositivi
- Usato per definire i dispositivi che gli amministratori possono visualizzare e gestire nell'interfaccia di amministrazione Intune, ad esempio i gruppi di ambito nel controllo degli accessi in base al ruolo
Gruppi virtuali
Le assegnazioni Tutti gli utenti e Tutti i dispositivi sono Intune gruppi "virtuali". Questi gruppi virtuali sono disponibili per impostazione predefinita in tutti i tenant Intune e non presentano alcun sovraccarico di gestione. Ad esempio, non è necessario creare o modificare le regole di Microsoft Entra ID per mantenere popolati i membri.
Anche i gruppi Tutti gli utenti e Tutti i dispositivi sono altamente scalabili e ottimizzati, soprattutto perché non devono essere sincronizzati da Microsoft Entra ID nello stesso modo degli altri gruppi.
Filtri
Dopo che l'app o i criteri sono stati assegnati a un Microsoft Entra ID o a un gruppo virtuale, è possibile usare i filtri per limitare l'ambito di assegnazione di queste app e criteri a gruppi di utenti o dispositivi specifici.
Il filtro filtra i dispositivi in (o fuori) di tale assegnazione in base alle proprietà del dispositivo.
Il filtro è una valutazione delle prestazioni elevate e dell'applicabilità a bassa latenza al momento del check-in del dispositivo senza la necessità di precomputare l'appartenenza al gruppo.
Consigli sulle prestazioni
Questa sezione include alcune raccomandazioni che possono migliorare le prestazioni quando si assegnano i criteri in Microsoft Intune.
Queste raccomandazioni sono incentrate sul miglioramento delle prestazioni e sulla riduzione della latenza nell'assegnazione del carico di lavoro. Hanno l'impatto maggiore quando si lavora in ambienti di Intune di grandi dimensioni, ad esempio ambienti con >100.000 dispositivi. Queste raccomandazioni devono essere considerate con altri aspetti di progettazione, ad esempio gestibilità, facilità d'uso, amministrazione basata sui ruoli e semplicità.
Usare i gruppi virtuali predefiniti
| FARE | NON |
|---|---|
| ✅Usare i gruppi virtuali Tutti gli utenti e Tutti i dispositivi invece di creare una versione personalizzata di tutti gli utenti/tutti i dispositivi usando Microsoft Entra gruppi dinamici. | ❌Non creare gruppi dinamici "Tutti gli utenti" o "Tutti i dispositivi" per la destinazione di criteri e app in Intune. |
La sincronizzazione degli aggiornamenti dell'appartenenza tra Microsoft Entra ID e Intune richiede più tempo per i gruppi più grandi. Tutti gli utenti e Tutti i dispositivi sono in genere i gruppi più grandi disponibili. Se si assegnano carichi di lavoro Intune a gruppi di Microsoft Entra di grandi dimensioni con molti utenti o dispositivi, i backlog di sincronizzazione possono verificarsi nell'ambiente Intune. Questo backlog influisce sulle distribuzioni di criteri e app, che richiedono più tempo per raggiungere i dispositivi gestiti.
L'aggiornamento da Microsoft Entra a Intune avviene in genere entro 5 minuti. Non è istantaneo. Questa volta può influire sulle assegnazioni di registrazione. Gli amministratori devono registrare i dispositivi dopo alcuni minuti, non immediatamente dopo l'aggiunta degli utenti che registrano a un gruppo.
I gruppi predefiniti Tutti gli utenti e Tutti i dispositivi sono oggetti di raggruppamento Intune che non esistono in Microsoft Entra ID. Non esiste una sincronizzazione continua tra Microsoft Entra ID e Intune. Quindi, l'appartenenza ai gruppi è immediata.
Nota
Per informazioni sugli intervalli di aggiornamento dei criteri di archiviazione Intune, vedere Intune Intervalli di aggiornamento dei criteri.
È anche possibile applicare questa ottimizzazione ad altri gruppi di grandi dimensioni e che cambiano di frequente, ad esempio "Tutti i dispositivi Windows" o "tutti i dispositivi iOS". Anziché creare e definire come destinazione questi gruppi, usare i gruppi virtuali "Tutti gli utenti" o "Tutti i dispositivi" esistenti, poiché i criteri e le applicazioni Intune vengono automaticamente assegnati in base alla piattaforma.
Quando si usano gruppi molto grandi in Intune (oltre 100.000 membri), si prevede un ritardo iniziale nella destinazione. È disponibile un processo di configurazione per la prima volta che si verifica tra Microsoft Entra ID e Intune. La prima sincronizzazione completa richiede sempre più tempo rispetto alle sincronizzazioni incrementali successive.
Riutilizzare i gruppi
| FARE | NON |
|---|---|
| ✅ Riutilizzare gli stessi oggetti gruppo per l'assegnazione di più criteri. |
❌ Non creare copie duplicate dello stesso gruppo per definire criteri diversi. ❌ Non creare "gruppi di app" o "gruppi di criteri" dedicati. |
Dietro le quinte, Intune converte Microsoft Entra membri del gruppo in messaggi di assegnazione destinati a ogni utente e dispositivo. Questo processo è altamente ottimizzato quando gli oggetti gruppo sono uguali.
Ad esempio, Intune raggruppamento e destinazione funziona meglio quando il gruppo di utenti "Progettazione" è destinato a 10 criteri. Non funziona meglio quando gli utenti di Progettazione sono membri di 10 gruppi diversi, con ogni gruppo assegnato a un criterio diverso.
Sono stati visualizzati alcuni progetti che non usano queste linee guida. Ad esempio, gli amministratori IT creano un gruppo "Install_Edge", creano un gruppo "Deploy_Edge_Config_Policy" e quindi inseriscono gli stessi dispositivi in ogni gruppo, operazione non consigliata per le prestazioni.
Un modello simile e non consigliato è la creazione di "gruppi di app". Un gruppo di app è quando ogni app ha diversi gruppi di Microsoft Entra creati. Ad esempio, per gestire l'applicazione Microsoft Edge, un amministratore crea i gruppi seguenti:
- Edge_Required
- Edge_Available
- Edge_Uninstall
L'amministratore aggiunge singoli utenti o dispositivi a questi gruppi. Questi gruppi di app aumentano notevolmente il numero di gruppi di Microsoft Entra che Intune devono sottoscrivere e monitorare per gli aggiornamenti dell'appartenenza, il che è meno efficiente. La progettazione inefficiente della sincronizzazione dei gruppi influisce sulla velocità con cui vengono create e recapitate nuove assegnazioni ai dispositivi.
Apportare modifiche incrementali ai gruppi
| FARE | NON |
|---|---|
| ✅Prestare attenzione alle modifiche di annidamento di gruppi di grandi dimensioni nel Microsoft Entra ID. | ❌ Non apportare modifiche all'annidamento di gruppi di grandi dimensioni contemporaneamente. |
Una modifica di appartenenza a gruppi di grandi dimensioni in Microsoft Entra ID può generare picchi di modifiche di destinazione in Intune. Questi burst possono ritardare la destinazione di altre assegnazioni nell'ambiente.
Se un set di amministratori gestisce i gruppi e un altro set gestisce Microsoft Entra ID, è necessario comunicare l'impatto Microsoft Entra ID modifiche possono avere sulla destinazione Intune.
Ad esempio, se un amministratore Microsoft Entra annida nuovi gruppi di grandi dimensioni all'interno di un gruppo esistente che Intune usa per la destinazione, Intune inizia a sincronizzare tutti i gruppi e le appartenenze ai gruppi. Il tempo necessario per elaborare tutte le appartenenze dipende dal numero e dalle dimensioni delle modifiche apportate ai gruppi in Microsoft Entra ID.
Questa raccomandazione si applica anche quando i gruppi sono "non annidati". Per altre informazioni sui gruppi annidati, vedere Gestire i gruppi Microsoft Entra e l'appartenenza ai gruppi.
Usare i filtri per includere ed escludere
| FARE | NON |
|---|---|
| ✅ Usare i filtri per ottenere la combinazione utente e dispositivo corretta per la destinazione. | ❌ Non combinare gruppi di utenti e gruppi di dispositivi quando si usano i gruppi di inclusione ed esclusione. |
Questa raccomandazione è anche un'istruzione di supporto. Non è consigliabile o supportare la creazione di assegnazioni ai gruppi di utenti ed esclusione di un gruppo di dispositivi da tale assegnazione o viceversa.
Questa raccomandazione esiste a causa della caratteristica di intervallo/latenza dei gruppi dinamici. L'appartenenza ai gruppi esclusi non è immediata, il che può comportare casi in cui i dispositivi ricevono erroneamente assegnazioni di app o criteri. Per altre informazioni, vedere Assegnare criteri e profili - matrice di supporto.
Anziché esclusioni miste, è consigliabile assegnare a un gruppo di utenti. Usare quindi i filtri per includere o escludere dinamicamente i dispositivi appropriati.
Riepilogo
Quando si creano e si gestiscono le assegnazioni in Intune, incorporare alcuni di questi consigli. Usare gruppi o gruppi virtuali e applicare filtri per ottimizzare l'ambito di destinazione. Tenere presenti le procedure consigliate:
- Non creare una versione personalizzata dei gruppi "Tutti gli utenti" o "Tutti i dispositivi". Usare i gruppi virtuali Intune, in quanto non richiedono la sincronizzazione Microsoft Entra ID quando un nuovo utente o dispositivo viene aggiunto all'ambiente.
- Per ottimizzare la destinazione, riutilizzare il più possibile i gruppi.
- Prestare attenzione quando si apportano modifiche di annidamento di grandi dimensioni ai gruppi Intune. Intune deve elaborare tutte queste modifiche e calcolare le modifiche effettive per tutti i membri di tutti i gruppi interessati da tale modifica.
- Intune non supporta le esclusioni di gruppi misti. Usare quindi i filtri per includere ed escludere in modo dinamico i dispositivi oltre alle assegnazioni di gruppi o gruppi virtuali.