대규모 Microsoft Intune 환경에서 그룹화, 대상 지정 및 필터링에 대한 성능 권장 사항
정책을 만들 때 필터 를 사용하여 만든 규칙에 따라 정책을 할당할 수 있습니다. Intune 등록된 디바이스 및 Intune 관리되는 앱에 필터를 적용할 수 있습니다. 필터에 대한 개요는 Microsoft Intune 앱, 정책 및 프로필을 할당할 때 필터 사용을 참조하세요.
필터를 만들 때 고려해야 할 몇 가지 성능 권장 사항이 있습니다.
이 문서에서는 정책 및 앱에 대한 Intune 그룹화, 대상 지정 및 필터링에 대한 권장 사항을 나열하고 설명합니다. 목표는 대규모 환경에서 Intune 배포에 대한 아키텍처 및 디자인 결정을 내리는 데 도움이 되는 것입니다.
이러한 성능 권장 사항 및 해당 구현은 다를 수 있으며 관리 효율성 및 단순성을 비롯한 다른 요인에 & 사용자 고유의 환경에 따라 달라질 수 있습니다.
이 문서의 내용
- Intune 그룹화 및 대상 지정 개념 개요 보기
- 몇 가지 성능 권장 사항 가져오기
동적 그룹에 대한 지침은 Microsoft Entra ID 동적 그룹에 대한 보다 간단하고 효율적인 규칙 만들기로 이동하세요.
Intune 그룹화 및 대상 지정 개념 개요
Intune 사용할 수 있는 그룹화, 대상 지정 및 필터링 기능을 검토해 보겠습니다.
Microsoft Entra 그룹
Intune 그룹화 및 대상 지정에 Microsoft Entra 그룹을 거의 독점적으로 사용합니다. Microsoft Intune 관리 센터에서 그룹 선택하면 Microsoft Entra 그룹을 살펴봅니다.
Microsoft Entra 그룹은 다음과 같은 Intune 중요한 부분입니다.
- 사용자 및 디바이스에 앱, 정책 및 기타 워크로드를 할당하는 데 사용되는 개체
- RBAC(역할 기반 액세스 제어)의 scope 그룹과 같이 관리자가 Intune 관리 센터에서 보고 관리할 수 있는 디바이스를 정의하는 데 사용됩니다.
가상 그룹
모든 사용자 및 모든 디바이스 할당은 "가상" 그룹에 Intune. 이러한 가상 그룹은 기본적으로 모든 Intune 테넌트에서 사용할 수 있으며 관리 오버헤드가 발생하지 않습니다. 예를 들어 Microsoft Entra ID 규칙을 만들거나 조정하여 멤버가 채워지지 않도록 할 필요가 없습니다.
모든 사용자 및 모든 디바이스 그룹은 확장성이 뛰어나고 최적화되어 있습니다. 주로 다른 그룹과 동일한 방식으로 Microsoft Entra ID 동기화할 필요가 없기 때문입니다.
필터
앱 또는 정책이 Microsoft Entra ID 또는 가상 그룹에 할당된 후 필터를 사용하여 이러한 앱 및 정책의 할당 scope 특정 사용자 또는 디바이스 그룹으로 좁힐 수 있습니다.
필터는 디바이스 속성에 따라 해당 할당의 내(또는 외부)에서 디바이스를 필터링합니다.
필터링은 그룹 멤버 자격을 미리 계산할 필요 없이 디바이스 검사 높은 성능, 낮은 대기 시간 적용 가능성 평가입니다.
성능 권장 사항
이 섹션에는 Microsoft Intune 정책을 할당할 때 성능을 향상시킬 수 있는 몇 가지 권장 사항이 포함되어 있습니다.
이러한 권장 사항은 성능을 개선하고 워크로드 할당의 대기 시간을 줄이는 데 중점을 줍니다. 디바이스가 100,000개인 환경과 >같은 대규모 Intune 환경에서 작업할 때 가장 큰 영향을 미칩니다. 이러한 권장 사항은 관리 효율성, 사용 용이성, 역할 기반 관리 및 단순성과 같은 다른 디자인 측면으로 고려해야 합니다.
기본 제공 가상 그룹 사용
| 하다 | 안 함 |
|---|---|
| ✅Microsoft Entra 동적 그룹을 사용하여 모든 사용자/모든 디바이스의 고유한 버전을 만드는 대신 모든 사용자 및 모든 디바이스 가상 그룹을 사용합니다. | ❌Intune 정책 및 앱 대상 지정을 위해 고유한 "모든 사용자" 또는 "모든 디바이스" 동적 그룹을 만들지 마세요. |
더 큰 그룹은 Microsoft Entra ID Intune 간에 멤버 자격 업데이트를 동기화하는 데 더 오래 걸립니다. 모든 사용자 및 모든 디바이스는 일반적으로 가장 큰 그룹입니다. 사용자 또는 디바이스가 많은 대규모 Microsoft Entra 그룹에 Intune 워크로드를 할당하는 경우 Intune 환경에서 동기화 백로그가 발생할 수 있습니다. 이 백로그는 관리되는 디바이스에 도달하는 데 더 오래 걸리는 정책 및 앱 배포에 영향을 줍니다.
Microsoft Entra Intune 업데이트는 일반적으로 5분 이내에 발생합니다. 그것은 즉각적이지 않습니다. 이번에는 등록 할당에 영향을 줄 수 있습니다. 관리자는 그룹에 등록하는 사용자를 추가한 직후가 아니라 몇 분 후에 디바이스를 등록해야 합니다.
기본 제공 모든 사용자 및 모든 디바이스 그룹은 Microsoft Entra ID 존재하지 않는 Intune 전용 그룹화 개체입니다. Microsoft Entra ID Intune 간에 연속 동기화가 없습니다. 따라서 그룹 멤버 자격은 즉시입니다.
참고
Intune 검사 정책 새로 고침 간격에 대한 자세한 내용은 Intune 정책 새로 고침 간격으로 이동합니다.
이 최적화는 "모든 Windows 디바이스" 또는 "모든 iOS 디바이스"와 같이 사용자가 가질 수 있는 다른 크고 자주 변경될 수 있는 그룹에 적용할 수도 있습니다. Intune 정책 및 애플리케이션은 플랫폼별로 자동으로 범위가 지정되므로 이러한 그룹을 만들고 대상으로 지정하는 대신 기존 "모든 사용자" 또는 "모든 디바이스" 가상 그룹을 사용합니다.
Intune 매우 큰 그룹(100,000명 이상의 멤버)을 사용하는 경우 대상 지정에 약간의 초기 지연이 예상됩니다. Microsoft Entra ID Intune 사이에 처음으로 발생하는 설정 프로세스가 있습니다. 첫 번째 전체 동기화는 항상 후속 증분 동기화보다 오래 걸립니다.
그룹 다시 사용
| 하다 | 안 함 |
|---|---|
| ✅ 여러 정책을 할당하는 데 동일한 그룹 개체를 다시 사용합니다. |
❌ 다른 정책을 대상으로 하는 동일한 그룹의 중복 복사본을 만들지 마세요. ❌ 전용 "앱 그룹" 또는 "정책 그룹"을 만들지 마세요. |
백그라운드에서 Intune Microsoft Entra 그룹 구성원을 각 사용자 및 디바이스에 대한 대상 지정 메시지로 변환합니다. 이 프로세스는 그룹 개체가 동일할 때 매우 최적화됩니다.
예를 들어 Intune 그룹화 및 대상 지정은 "엔지니어링" 사용자 그룹이 10대 정책을 대상으로 하는 경우에 가장 적합합니다. 엔지니어링 사용자가 10개의 서로 다른 그룹의 구성원이고 각 그룹이 다른 정책에 할당된 경우 가장 잘 작동하지 않습니다.
이 지침을 사용하지 않는 몇 가지 디자인을 살펴보았습니다. 예를 들어 IT 관리자는 "Install_Edge" 그룹을 만들고 , "Deploy_Edge_Config_Policy" 그룹을 만든 다음, 성능에 권장되지 않는 각 그룹에 동일한 디바이스를 배치합니다.
유사하고 권장되지 않는 패턴은 "앱 그룹"을 만드는 것입니다. 앱 그룹은 각 앱에 대해 만든 여러 Microsoft Entra 그룹이 있는 경우입니다. 예를 들어 관리자는 Microsoft Edge 애플리케이션을 관리하기 위해 다음 그룹을 만듭니다.
- Edge_Required
- Edge_Available
- Edge_Uninstall
관리자는 이러한 그룹에 개별 사용자 또는 디바이스를 추가합니다. 이러한 앱 그룹은 Intune 멤버 자격 업데이트를 구독하고 모니터링해야 하는 Microsoft Entra 그룹의 수를 크게 늘려 효율성이 떨어집니다. 비효율적인 그룹 동기화 디자인은 새 할당을 만들고 디바이스에 전달하는 속도에 영향을 줍니다.
증분 그룹 변경
| 하다 | 안 함 |
|---|---|
| ✅Microsoft Entra ID 대규모 그룹 중첩 변경에 주의하세요. | ❌ 대규모 그룹 중첩을 한 번에 변경하지 마세요. |
Microsoft Entra ID 대규모 그룹 멤버 자격 변경은 Intune 대상 변경 내용의 버스트를 생성할 수 있습니다. 이러한 버스트는 사용자 환경에서 다른 할당의 대상 지정을 지연할 수 있습니다.
관리자 집합이 그룹을 관리하고 다른 집합이 Microsoft Entra ID 관리하는 경우 Microsoft Entra ID 변경 내용이 Intune 대상 지정에 미칠 수 있는 영향을 전달해야 합니다.
예를 들어 Microsoft Entra 관리자가 Intune 대상 지정에 사용하는 기존 그룹 내에 새 큰 그룹을 중첩하는 경우 Intune 모든 그룹 및 그룹 멤버 자격 동기화를 시작합니다. 모든 멤버 자격을 처리하는 데 걸리는 시간은 Microsoft Entra ID 그룹 변경의 수와 크기에 따라 달라집니다.
이 권장 사항은 그룹이 "테스트되지 않음"인 경우에도 적용됩니다. 중첩된 그룹에 대한 자세한 내용은 Microsoft Entra 그룹 및 그룹 멤버 자격 관리를 참조하세요.
필터를 사용하여 포함 및 제외
| 하다 | 안 함 |
|---|---|
| ✅ 필터를 사용하여 대상 지정에 대한 올바른 사용자+디바이스 조합을 달성합니다. | ❌ 포함 및 제외 그룹을 사용할 때는 사용자 그룹과 디바이스 그룹을 혼합하지 마세요. |
이 권장 사항은 지원 설명이기도 합니다. 사용자 그룹에 대한 할당을 만들고 해당 할당에서 디바이스 그룹을 제외하거나 그 반대로 제외하는 것을 권장하거나 지원하지 않습니다.
이 권장 사항은 동적 그룹의 타이밍/대기 시간 특성으로 인해 존재합니다. 제외된 그룹 멤버 자격은 즉시 수행되지 않으므로 디바이스가 앱 또는 정책 할당을 잘못 수신하는 경우가 발생할 수 있습니다. 자세한 내용을 이해하려면 정책 및 프로필 할당 - 지원 매트릭스로 이동합니다.
혼합 제외 대신 사용자 그룹에 할당하는 것이 좋습니다. 그런 다음 필터를 사용하여 적절한 디바이스를 동적으로 포함하거나 제외합니다.
요약
Intune 할당을 만들고 관리할 때 이러한 권장 사항 중 일부를 통합합니다. 그룹 또는 가상 그룹을 사용하고 필터를 적용하여 대상 지정 scope 구체화합니다. 모범 사례를 염두에 두세요.
- "모든 사용자" 또는 "모든 디바이스" 그룹의 고유한 버전을 만들지 마세요. 새 사용자 또는 디바이스를 환경에 추가할 때 Microsoft Entra ID 동기화할 필요가 없으므로 Intune 가상 그룹을 사용합니다.
- 대상 지정을 최적화하려면 그룹을 가능한 한 많이 다시 사용합니다.
- Intune 그룹에 큰 중첩을 변경할 때 주의하세요. Intune 이러한 모든 변경 내용을 처리하고 해당 변경의 영향을 받는 모든 그룹의 모든 멤버에 대한 효과적인 변경 내용을 계산해야 합니다.
- Intune 혼합 그룹 제외를 지원하지 않습니다. 따라서 필터를 사용하여 그룹 또는 가상 그룹 할당 외에도 디바이스를 동적으로 포함하고 제외합니다.