Informacje na temat zarządzania zasadami na podstawie grup

  • 4 min

Możesz zarządzać przypisaniami urządzeń, aplikacji i zasad w oparciu o grupy użytkowników i urządzeń.

Możesz dodać następujące typy grup:

  • Przypisane grupy: ręcznie dodaj użytkowników lub urządzenia do grupy statycznej.
  • Grupy dynamiczne (wymaga identyfikatora Microsoft Entra ID P1 lub P2): automatycznie dodaj użytkowników lub urządzenia do grup użytkowników lub grup urządzeń na podstawie utworzonego wyrażenia.

Urządzenia

Aby ułatwić zarządzanie urządzeniami, możesz użyć kategorii urządzeń usługi Microsoft Intune, aby automatycznie dodawać urządzenia do grup na podstawie zdefiniowanych kategorii.

Kategorie urządzeń korzystają z następującego przepływu pracy:

  1. Utwórz kategorie, z których użytkownicy mogą wybrać, kiedy zarejestrują swoje urządzenie.
  2. Podczas rejestrowania urządzeń z systemem iOS/iPadOS lub Android użytkownicy muszą wybrać kategorię ze skonfigurowanej przez Ciebie listy. Aby przypisać kategorię do urządzenia z systemem Windows, użytkownicy muszą używać witryny internetowej Portal firmy.
  3. Następnie można wdrożyć zasady i aplikacje w tych grupach.

Możesz utworzyć dowolne kategorie urządzeń. Na przykład:

  • Urządzenie do punktu sprzedaży
  • Urządzenie demonstracyjne
  • Sales
  • Rachunkowość
  • Menedżer

Po zarejestrowaniu urządzenia stanie się ono zarządzane. Organizacja może przypisywać zasady i aplikacje do urządzenia za pośrednictwem dostawcy zarządzania urządzeniami przenośnymi (MDM), takiego jak usługa Intune.

Aplikacje

Po dodaniu aplikacji do usługi Microsoft Intune możesz przypisać aplikację do użytkowników i urządzeń. Należy pamiętać, że możesz przypisać aplikację do urządzenia niezależnie od tego, czy usługa Intune zarządza nią, czy nie.

W usłudze Intune możesz określić, kto ma dostęp do aplikacji, przypisując grupy użytkowników do dołączania i wykluczania. Przed przypisaniem grup do aplikacji należy ustawić typ przypisania dla aplikacji. Typ przypisania udostępnia, wymagane lub odinstalowuje aplikację.

Aby ustawić dostępność aplikacji, dołączasz i wykluczasz przypisania aplikacji do grupy użytkowników lub urządzeń. Można to zrobić przy użyciu kombinacji przypisań dołączania i wykluczania grup. Ta funkcja może być przydatna w przypadku udostępniania aplikacji przez dołączenie dużej grupy. Następnie zawężaj wybranych użytkowników, wykluczając również mniejszą grupę. Mniejsza grupa może być grupą testową lub grupą wykonawczą.

Najlepszym rozwiązaniem jest tworzenie i przypisywanie aplikacji przeznaczonych specjalnie dla grup użytkowników i oddzielnie dla grup urządzeń.

Na przykład po dodaniu użytkownika z tytułem Menedżer użytkownik zostanie automatycznie dodany do grupy użytkowników Wszyscy menedżerowie . Gdy urządzenie ma typ systemu operacyjnego iOS/iPadOS, urządzenie zostanie automatycznie dodane do grupy Wszystkie urządzenia z systemem iOS/iPadOS.

Po przypisaniu aplikacji do grupy w usłudze Intune można przypisać zasady dotyczące tej aplikacji do użytkowników lub urządzeń.

Zasady

Zasady można przypisywać do grup przy użyciu usługi Intune. Przypisując zasady, możesz określić, kto zostanie uwzględniony, a kto wykluczony.

Grupy użytkowników a grupy urządzeń

Wielu użytkowników, kiedy należy korzystać z grup użytkowników i grup urządzeń. Odpowiedź zależy od twojego celu. Oto kilka wskazówek, które pomogą Ci rozpocząć pracę:

Grupy urządzeń

Jeśli chcesz zastosować ustawienia na urządzeniu niezależnie od tego, kto jest zalogowany, przypisz profile do grupy urządzeń. Ustawienia stosowane do grup urządzeń zawsze idą za pomocą urządzenia, a nie użytkownika. Grupy urządzeń są często używane na potrzeby urządzeń udostępnionych i wyspecjalizowanych.

Na przykład:

  • Grupy urządzeń są przydatne do zarządzania urządzeniami, które nie mają dedykowanego użytkownika. Na przykład masz urządzenia, które drukują bilety, skanują spis, udostępniają informacje między pracownikami zmiany, przypisują bilety do określonych magazynów itd. Umieść te urządzenia w grupie urządzeń i przypisz profile do tej grupy urządzeń.
  • Utworzysz profil usługi Intune interfejsu konfiguracji oprogramowania układowego urządzenia (DFCI), który aktualizuje ustawienia w systemie BIOS. Można na przykład skonfigurować ten profil, aby wyłączyć aparat urządzenia lub zablokować opcje rozruchu, aby uniemożliwić użytkownikom uruchamianie innego systemu operacyjnego. Ten profil jest dobrym scenariuszem przypisywania do grupy urządzeń.
  • Na niektórych określonych urządzeniach z systemem Windows zawsze chcesz kontrolować niektóre ustawienia przeglądarki Microsoft Edge, niezależnie od tego, kto używa urządzenia. Na przykład chcesz zablokować wszystkie pliki do pobrania, ograniczyć wszystkie pliki cookie do bieżącej sesji przeglądania i usunąć historię przeglądania. W tym scenariuszu należy umieścić te konkretne urządzenia z systemem Windows w grupie urządzeń. Następnie utwórz szablon administracyjny w usłudze Intune, dodaj te ustawienia urządzenia i przypisz ten profil do grupy urządzeń.

Podsumowując, użyj grup urządzeń, gdy nie obchodzi cię, kto jest zalogowany na urządzeniu lub czy ktoś jest zalogowany. Chcesz, aby ustawienia zawsze znajdowały się na urządzeniu.

Grupy użytkowników

Ustawienia profilu stosowane do grup użytkowników zawsze idą z użytkownikiem i przechodzą do użytkownika po zalogowaniu się do wielu urządzeń. Zwykle użytkownicy mają wiele urządzeń, takich jak Surface Pro do pracy i osobiste urządzenie z systemem iOS/iPadOS. Normalne jest również, że osoba uzyskuje dostęp do poczty e-mail i innych zasobów organizacji z tych urządzeń. Grupy użytkowników są zwykle używane w przypadku pracowników merytorycznych i przetwarzających informacje.

Na przykład:

  • Chcesz umieścić ikonę pomocy technicznej dla wszystkich użytkowników na wszystkich swoich urządzeniach. W tym scenariuszu umieść tych użytkowników w grupie użytkowników i przypisz profil ikony pomocy technicznej do tej grupy użytkowników.

  • Użytkownik otrzymuje nowe urządzenie należące do organizacji. Użytkownik loguje się na urządzeniu przy użyciu konta domeny. Urządzenie jest automatycznie rejestrowane w identyfikatorze Entra firmy Microsoft i automatycznie zarządzane przez usługę Intune. Ten profil pasuje do scenariusza przypisania do grupy użytkowników.

  • Za każdym razem, gdy użytkownik zaloguje się na urządzeniu, chcesz kontrolować funkcje w aplikacjach, takich jak OneDrive lub Office. W tym scenariuszu należy przypisać do grupy użytkowników ustawienia profilu aplikacji OneDrive lub pakietu Office.

    Na przykład chcesz zablokować niezaufane kontrolki ActiveX w aplikacja pakietu Office. Szablon administracyjny można utworzyć w usłudze Intune, skonfigurować to ustawienie i przypisać ten profil do grupy użytkowników.

Podsumowując, użyj grup użytkowników, gdy chcesz, aby ustawienia i reguły zawsze były używane przez użytkownika.