Zalecenia dotyczące wydajności grupowania, określania wartości docelowej i filtrowania w dużych środowiskach Microsoft Intune
Podczas tworzenia zasad można użyć filtrów do przypisania zasad na podstawie utworzonych reguł. Filtry można stosować do urządzeń zarejestrowanych w Intune i aplikacji zarządzanych Intune. Aby zapoznać się z omówieniem filtrów, przejdź do tematu Używanie filtrów podczas przypisywania aplikacji, zasad i profilów w Microsoft Intune.
Podczas tworzenia filtrów należy wziąć pod uwagę pewne zalecenia dotyczące wydajności.
W tym artykule wymieniono i opisano zalecenia dotyczące grupowania Intune, określania wartości docelowych i filtrowania dla zasad i aplikacji. Celem jest ułatwienie podejmowania decyzji dotyczących architektury i projektowania wdrożeń Intune w dużych środowiskach.
Te zalecenia dotyczące wydajności i ich implementacja mogą być różne i zależą od własnego środowiska & innych czynników, w tym możliwości zarządzania i prostoty.
W tym artykule:
- Omówienie pojęć związanych z grupowaniem i określaniem wartości docelowych Intune
- Uzyskiwanie pewnych zaleceń dotyczących wydajności
Aby uzyskać wskazówki dotyczące grup dynamicznych, zobacz Tworzenie prostszych i wydajniejszych reguł dla grup dynamicznych w Tożsamość Microsoft Entra.
Omówienie pojęć dotyczących grupowania i określania wartości docelowej Intune
Przejrzyjmy funkcje grupowania, określania wartości docelowej i filtrowania dostępne w Intune.
grupy Microsoft Entra
Intune prawie wyłącznie używa grup Microsoft Entra do grupowania i określania wartości docelowej. Po wybraniu Grupy w centrum administracyjnym Microsoft Intune przyjrzysz się grupom Microsoft Entra.
Microsoft Entra grupy są ważną częścią Intune, ponieważ są to:
- Obiekty używane do przypisywania aplikacji, zasad i innych obciążeń do użytkowników i urządzeń
- Służy do definiowania urządzeń, które administratorzy mogą wyświetlać i zarządzać w centrum administracyjnym Intune, takich jak grupy zakresów w kontroli dostępu opartej na rolach (RBAC)
Grupy wirtualne
Przypisania Wszyscy użytkownicy i Wszystkie urządzenia są Intune grup "wirtualnych". Te grupy wirtualne są domyślnie dostępne we wszystkich dzierżawach Intune i nie mają żadnego obciążenia związanego z zarządzaniem. Na przykład nie trzeba tworzyć ani dostosowywać żadnych reguł Tożsamość Microsoft Entra, aby ich elementy członkowskie były wypełniane.
Grupy Wszyscy użytkownicy i Wszystkie urządzenia są również wysoce skalowalne i zoptymalizowane, głównie dlatego, że nie muszą być synchronizowane z Tożsamość Microsoft Entra w taki sam sposób jak inne grupy.
Filtry
Po przypisaniu aplikacji lub zasad do Tożsamość Microsoft Entra lub grupy wirtualnej możesz użyć filtrów, aby zawęzić zakres przypisań tych aplikacji i zasad do określonych grup użytkowników lub urządzeń.
Filtr filtruje urządzenia w (lub na zewnątrz) tego przypisania na podstawie właściwości urządzenia.
Filtrowanie to ocena stosowania o wysokiej wydajności i małych opóźnieniach podczas ewidencjonowania urządzenia bez konieczności wstępnego kompilowania członkostwa w grupie.
Zalecenia dotyczące wydajności
Ta sekcja zawiera kilka zaleceń, które mogą zwiększyć wydajność podczas przypisywania zasad w Microsoft Intune.
Te zalecenia koncentrują się na poprawie wydajności i zmniejszeniu opóźnienia w przypisywaniu obciążenia. Mają one największy wpływ podczas pracy w dużych środowiskach Intune, takich jak środowiska z >100 000 urządzeń. Zalecenia te powinny być uwzględniane w innych aspektach projektowania, takich jak łatwość zarządzania, łatwość użycia, administracja oparta na rolach i prostota.
Korzystanie z wbudowanych grup wirtualnych
| ROBIĆ | NIE |
|---|---|
| ✅Użyj grup wirtualnych Wszyscy użytkownicy i Wszystkie urządzenia zamiast tworzyć własną wersję wszystkich użytkowników/wszystkich urządzeń przy użyciu Microsoft Entra grup dynamicznych. | ❌Nie twórz własnych grup dynamicznych "Wszyscy użytkownicy" ani "Wszystkie urządzenia" dla zasad i aplikacji docelowych w Intune. |
Synchronizacja aktualizacji członkostwa między Tożsamość Microsoft Entra i Intune trwa dłużej. Wszystkie użytkownicy i wszystkie urządzenia są zwykle największymi grupami, które masz. Jeśli przypiszesz obciążenia Intune do dużych grup Microsoft Entra, które mają wielu użytkowników lub urządzenia, wówczas w środowisku Intune mogą wystąpić listy prac synchronizacji. Ta listę prac ma wpływ na wdrożenia zasad i aplikacji, które mogą trwać dłużej, aby dotrzeć do zarządzanych urządzeń.
Wbudowane grupy Wszyscy użytkownicy i Wszystkie urządzenia to obiekty grupujące tylko Intune, które nie istnieją w Tożsamość Microsoft Entra. Nie ma ciągłej synchronizacji między Tożsamość Microsoft Entra a Intune. Dlatego członkostwo w grupie jest natychmiastowe.
Uwaga
Aby uzyskać informacje na temat Intune interwałów odświeżania zasad ewidencjonowania, przejdź do Intune Interwały odświeżania zasad.
Tę optymalizację można również zastosować do innych dużych i często zmieniających się grup, takich jak "Wszystkie urządzenia z systemem Windows" lub "wszystkie urządzenia z systemem iOS". Zamiast tworzyć i kierować te grupy, użyj istniejących grup wirtualnych "Wszyscy użytkownicy" lub "Wszystkie urządzenia", ponieważ zasady i aplikacje Intune są automatycznie objęte zakresem według platformy.
W przypadku korzystania z bardzo dużych grup w Intune (ponad 100 000 członków) należy spodziewać się początkowego opóźnienia w określaniu wartości docelowej. Proces konfiguracji odbywa się po raz pierwszy między Tożsamość Microsoft Entra a Intune. Pierwsza pełna synchronizacja zawsze trwa dłużej niż kolejne synchronizacje przyrostowe.
Ponowne używanie grup
| ROBIĆ | NIE |
|---|---|
| ✅ Użyj ponownie tych samych obiektów grupy, aby przypisać wiele zasad. |
❌ Nie twórz zduplikowanych kopii tej samej grupy w celu kierowania różnych zasad. ❌ Nie twórz dedykowanych "grup aplikacji" ani "grup zasad". |
W tle Intune konwertuje Microsoft Entra członków grupy na komunikaty przeznaczone dla poszczególnych użytkowników i urządzeń. Ten proces jest wysoce zoptymalizowany, gdy obiekty grupy są takie same.
Na przykład Intune grupowanie i określanie wartości docelowej działa najlepiej, gdy grupa użytkowników "Engineering" jest objęta 10 zasadami. Nie działa to najlepiej, gdy użytkownicy inżynieryjni są członkami 10 różnych grup, przy czym każda grupa jest przypisana do innych zasad.
Widzieliśmy kilka projektów, które nie korzystają z tych wskazówek. Na przykład administratorzy IT tworzą grupę "Install_Edge", tworzą grupę "Deploy_Edge_Config_Policy", a następnie umieszczają te same urządzenia w każdej grupie, co nie jest zalecane pod kątem wydajności.
Podobny i niezalecany wzorzec to tworzenie "grup aplikacji". Grupa aplikacji jest wtedy, gdy każda aplikacja ma kilka Microsoft Entra grup utworzonych dla niej. Aby na przykład zarządzać aplikacją microsoft edge, administrator tworzy następujące grupy:
- Edge_Required
- Edge_Available
- Edge_Uninstall
Administrator dodaje poszczególnych użytkowników lub urządzenia do tych grup. Te grupy aplikacji znacznie zwiększają liczbę grup Microsoft Entra, które Intune muszą subskrybować i monitorować aktualizacje członkostwa, co jest mniej wydajne. Nieefektywny projekt synchronizacji grup wpływa na szybkość tworzenia i dostarczania nowych przypisań do urządzeń.
Wprowadzanie zmian w grupie przyrostowej
| ROBIĆ | NIE |
|---|---|
| ✅Zachowaj ostrożność w przypadku dużych zmian zagnieżdżania grup w Tożsamość Microsoft Entra. | ❌ Nie wprowadzaj zmian zagnieżdżania dużych grup jednocześnie. |
Duża zmiana członkostwa w grupie w Tożsamość Microsoft Entra może generować wzrosty wartości docelowych zmian w Intune. Te wybuchy mogą opóźnić określanie wartości docelowej innych przypisań w środowisku.
Jeśli zestaw administratorów zarządza twoimi grupami, a inny zestaw zarządza Tożsamość Microsoft Entra, należy przekazać wpływ, jaki Tożsamość Microsoft Entra zmiany mogą mieć na Intune określanie wartości docelowej.
Jeśli na przykład administrator Microsoft Entra zagnieżdża nowe duże grupy w istniejącej grupie, która Intune używa do określania wartości docelowej, Intune rozpoczyna synchronizowanie wszystkich grup i członkostw w grupach. Czas potrzebny do przetworzenia wszystkich członkostw zależy od liczby i rozmiaru zmian w grupie wprowadzonych w Tożsamość Microsoft Entra.
To zalecenie ma również zastosowanie, gdy grupy są "niepotrzebne". Aby uzyskać więcej informacji na temat grup zagnieżdżonych, przejdź do tematu Zarządzanie grupami Microsoft Entra i członkostwem w grupach.
Używanie filtrów do dołączania i wykluczania
| ROBIĆ | NIE |
|---|---|
| ✅ Użyj filtrów, aby uzyskać poprawną kombinację użytkowników i urządzeń do określania wartości docelowej. | ❌ Nie mieszaj grup użytkowników i grup urządzeń podczas korzystania z grup Dołączanie i wykluczanie. |
To zalecenie jest również instrukcją pomocy technicznej. Nie zalecamy ani nie obsługujemy tworzenia przypisań do grup użytkowników i wykluczania grupy urządzeń z tego przypisania lub odwrotnie.
To zalecenie istnieje ze względu na charakterystykę chronometrażu/opóźnienia grup dynamicznych. Wykluczone członkostwo w grupach nie jest natychmiastowe, co może spowodować, że urządzenia niepoprawnie odbierają przypisania aplikacji lub zasad. Aby dowiedzieć się więcej, przejdź do tematu Przypisywanie zasad i profilów — macierz obsługi.
Zamiast mieszanych wykluczeń zalecamy przypisanie do grupy użytkowników. Następnie użyj filtrów, aby dynamicznie dołączać lub wykluczać odpowiednie urządzenia.
Podsumowanie
Podczas tworzenia przypisań w Intune i zarządzania nimi należy uwzględnić niektóre z tych zaleceń. Użyj grup lub grup wirtualnych i zastosuj filtry, aby ułatwić uściślanie zakresu określania wartości docelowej. Należy pamiętać o najlepszych rozwiązaniach:
- Nie twórz własnej wersji grup "Wszyscy użytkownicy" ani "Wszystkie urządzenia". Użyj Intune grup wirtualnych, ponieważ nie wymagają Tożsamość Microsoft Entra synchronizacji po dodaniu nowego użytkownika lub urządzenia do środowiska.
- Aby zoptymalizować określanie wartości docelowej, należy jak najwięcej użyć grup ponownie.
- Należy zachować ostrożność podczas wprowadzania dużych zmian zagnieżdżania w grupach Intune. Intune musi przetworzyć wszystkie te zmiany i obliczyć obowiązujące zmiany dla wszystkich członków wszystkich grup, których dotyczy ta zmiana.
- Intune nie obsługuje wykluczeń grup mieszanych. Dlatego użyj filtrów, aby dynamicznie dołączać i wykluczać urządzenia oprócz przypisań grup lub grup wirtualnych.