Recomendações de desempenho para agrupamento, filtragem e filtragem em ambientes de Microsoft Intune grandes
Quando cria uma política, pode utilizar filtros para atribuir uma política com base nas regras que criar. Pode aplicar filtros a dispositivos inscritos Intune e aplicações geridas por Intune. Para obter uma descrição geral dos filtros, aceda a Utilizar filtros ao atribuir as suas aplicações, políticas e perfis no Microsoft Intune.
Quando cria filtros, existem algumas recomendações de desempenho que deve considerar.
Este artigo lista e descreve recomendações para Intune agrupamento, filtragem e filtragem para as suas políticas e aplicações. O objetivo é ajudá-lo a tomar decisões de arquitetura e conceção para implementações Intune em ambientes grandes.
Estas recomendações de desempenho e a respetiva implementação podem ser diferentes e depender do seu próprio ambiente & outros fatores, incluindo capacidade de gestão e simplicidade.
Neste artigo:
- Obter uma descrição geral dos conceitos de agrupamento e segmentação de Intune
- Obter algumas recomendações de desempenho
Para obter orientações sobre grupos dinâmicos, aceda a Criar regras mais simples e eficientes para grupos dinâmicos no Microsoft Entra ID.
Descrição geral dos conceitos de agrupamento e segmentação de Intune
Vamos rever as funcionalidades de agrupamento, filtragem e filtragem disponíveis no Intune.
grupos de Microsoft Entra
Intune utiliza quase exclusivamente grupos de Microsoft Entra para agrupamento e filtragem. Quando seleciona Grupos no centro de administração do Microsoft Intune, está a ver Microsoft Entra grupos.
Microsoft Entra grupos são uma parte importante do Intune porque estes grupos são:
- Os objetos utilizados para atribuir aplicações, políticas e outras cargas de trabalho a utilizadores e dispositivos
- Utilizado para definir os dispositivos que os administradores podem ver e gerir no centro de administração do Intune, como grupos de âmbito no controlo de acesso baseado em funções (RBAC)
Grupos virtuais
As atribuições Todos os utilizadores e Todos os dispositivos são Intune grupos "virtuais". Estes grupos virtuais estão disponíveis por predefinição em todos os inquilinos Intune e não têm qualquer sobrecarga de gestão. Por exemplo, não precisa de criar ou ajustar quaisquer regras de Microsoft Entra ID para manter os membros preenchidos.
Os grupos Todos os utilizadores e Todos os dispositivos também são altamente dimensionáveis e otimizados, principalmente porque não precisam de ser sincronizados a partir de Microsoft Entra ID da mesma forma que os outros grupos.
Filtros
Depois de a aplicação ou política ser atribuída a um Microsoft Entra ID ou grupo virtual, pode utilizar filtros para restringir o âmbito de atribuição destas aplicações e políticas a grupos de utilizadores ou dispositivos específicos.
O filtro filtra os dispositivos dentro (ou fora) dessa atribuição com base nas propriedades do dispositivo.
A filtragem é de elevado desempenho, avaliação da aplicabilidade de baixa latência no marcar do dispositivo sem necessidade de pré-conclusão da associação ao grupo.
Recomendações de desempenho
Esta secção inclui algumas recomendações que podem melhorar o desempenho ao atribuir as suas políticas no Microsoft Intune.
Estas recomendações focam-se em melhorar o desempenho e reduzir a latência na atribuição de cargas de trabalho. Têm mais impacto ao trabalhar em ambientes de Intune grandes, como ambientes com >100 000 dispositivos. Estas recomendações devem ser consideradas com outros aspetos de design, como capacidade de gestão, facilidade de utilização, administração baseada em funções e simplicidade.
Utilizar os grupos virtuais incorporados
DO | NÃO |
---|---|
✅Utilize os grupos virtuais Todos os utilizadores e Todos os dispositivos em vez de criar a sua própria versão de todos os utilizadores/todos os dispositivos com Microsoft Entra grupos dinâmicos. | ❌Não crie os seus próprios grupos dinâmicos "Todos os utilizadores" ou "Todos os dispositivos" para filtragem de políticas e aplicações no Intune. |
Os grupos maiores demoram mais tempo a sincronizar as atualizações de associação entre Microsoft Entra ID e Intune. Normalmente, todos os utilizadores e todos os dispositivos são os maiores grupos que tem. Se atribuir Intune cargas de trabalho a grandes grupos de Microsoft Entra que têm muitos utilizadores ou dispositivos, os registos de tarefas pendentes de sincronização podem ocorrer no seu ambiente de Intune. Este registo de tarefas pendentes afeta as implementações de políticas e aplicações, que demoram mais tempo a chegar aos dispositivos geridos.
Normalmente, a atualização de Microsoft Entra para Intune ocorre dentro de 5 minutos. Não é instantâneo. Desta vez, pode afetar as atribuições de inscrição. Os administradores devem inscrever dispositivos após vários minutos e não imediatamente após adicionar os utilizadores inscritos a um grupo.
Os grupos Todos os utilizadores e Todos os dispositivos incorporados são objetos de agrupamento apenas Intune que não existem no Microsoft Entra ID. Não existe uma sincronização contínua entre Microsoft Entra ID e Intune. Assim, a associação a grupos é instantânea.
Observação
Para obter informações sobre os intervalos de atualização de políticas Intune marcar, aceda a intervalos de atualização da política Intune.
Também pode aplicar esta otimização a outros grupos grandes e frequentemente alterados que possa ter, como "Todos os dispositivos Windows" ou "todos os dispositivos iOS". Em vez de criar e filtrar estes grupos, utilize os grupos virtuais "Todos os utilizadores" ou "Todos os dispositivos" existentes, uma vez que Intune políticas e aplicações são automaticamente confinadas pela plataforma.
Ao utilizar grupos muito grandes no Intune (mais de 100 000 membros), espere algum atraso inicial na segmentação. Há um processo de configuração pela primeira vez que ocorre entre Microsoft Entra ID e Intune. A primeira sincronização completa demora sempre mais tempo do que as sincronizações incrementais subsequentes.
Reutilizar grupos
DO | NÃO |
---|---|
✅ Reutilize os mesmos objetos de grupo para atribuir várias políticas. |
❌ Não crie cópias duplicadas do mesmo grupo para direcionar políticas diferentes. ❌ Não crie "Grupos de aplicações" ou "Grupos de políticas" dedicados. |
Nos bastidores, Intune converte Microsoft Entra membros do grupo em mensagens direcionadas para cada utilizador e dispositivo. Este processo é altamente otimizado quando os objetos de grupo são os mesmos.
Por exemplo, Intune agrupamento e filtragem funcionam melhor quando o grupo de utilizadores "Engenharia" é visado com 10 políticas. Não funciona melhor quando os utilizadores de Engenharia são membros de 10 grupos diferentes, com cada grupo atribuído a uma política diferente.
Vimos alguns designs não utilizarem esta documentação de orientação. Por exemplo, os administradores de TI criam um grupo "Install_Edge", criam um grupo "Deploy_Edge_Config_Policy" e, em seguida, colocam os mesmos dispositivos em cada grupo, o que não é recomendado para o desempenho.
Um padrão semelhante e não recomendado é a criação de "Grupos de aplicações". Um grupo de aplicações é quando cada aplicação tem vários grupos de Microsoft Entra criados para o mesmo. Por exemplo, para gerir a aplicação Microsoft Edge, um administrador cria os seguintes grupos:
- Edge_Required
- Edge_Available
- Edge_Uninstall
O administrador adiciona utilizadores ou dispositivos individuais a estes grupos. Estes grupos de aplicações aumentam significativamente o número de grupos de Microsoft Entra que Intune têm de subscrever e monitorizar para atualizações de associação, o que é menos eficiente. O design de sincronização de grupo ineficiente afeta a rapidez com que as novas atribuições são criadas e entregues aos dispositivos.
Efetuar alterações incrementais ao grupo
DO | NÃO |
---|---|
✅Tenha cuidado com grandes alterações de aninhamento de grupos no Microsoft Entra ID. | ❌ Não faça alterações de aninhamento de grupos grandes de uma só vez. |
Uma grande alteração de associação a grupos no Microsoft Entra ID pode gerar picos de segmentação de alterações no Intune. Estas rajadas podem atrasar a filtragem de outras atribuições no seu ambiente.
Se um conjunto de administradores gerir os seus grupos e outro conjunto gerir Microsoft Entra ID, deverá comunicar o impacto Microsoft Entra ID alterações podem ter na segmentação de Intune.
Por exemplo, se um administrador de Microsoft Entra aninhar novos grupos grandes dentro de um grupo existente que Intune utiliza para filtragem, Intune começa a sincronizar todos os grupos e associações a grupos. O tempo necessário para processar todas as associações depende do número e do tamanho das alterações de grupo efetuadas no Microsoft Entra ID.
Esta recomendação também se aplica quando os grupos são "unnested". Para obter mais informações sobre grupos aninhados, aceda a Gerir grupos de Microsoft Entra e associação a grupos.
Utilizar filtros para incluir e excluir
DO | NÃO |
---|---|
✅ Utilize filtros para obter a combinação de utilizador+dispositivo correta para filtragem. | ❌ Não misture grupos de utilizadores e grupos de dispositivos ao utilizar grupos Incluir e Excluir. |
Esta recomendação também é uma declaração de suporte. Não recomendamos nem suportamos a criação de atribuições para grupos de utilizadores e a exclusão de um grupo de dispositivos dessa atribuição ou vice-versa.
Esta recomendação existe devido à característica de temporização/latência dos grupos dinâmicos. A associação a grupos excluídos não é instantânea, o que pode resultar em casos em que os dispositivos recebem atribuições de aplicações ou políticas incorretamente. Para compreender melhor, aceda a Atribuir políticas e perfis – matriz de suporte.
Em vez de exclusões mistas, recomendamos atribuir a um grupo de utilizadores. Em seguida, utilize filtros para incluir ou excluir dinamicamente os dispositivos adequados.
Resumo
Ao criar e gerir atribuições no Intune, incorpore algumas destas recomendações. Utilize grupos ou grupos virtuais e aplique filtros para ajudar a refinar o âmbito de filtragem. Tenha em atenção as melhores práticas:
- Não crie a sua própria versão dos grupos "Todos os utilizadores" ou "Todos os dispositivos". Utilize o Intune grupos virtuais, uma vez que não necessitam de sincronização Microsoft Entra ID quando um novo utilizador ou dispositivo é adicionado ao ambiente.
- Para otimizar a sua filtragem, reutilize os grupos o máximo possível.
- Tenha cuidado ao fazer grandes alterações de aninhamento em grupos de Intune. Intune tem de processar todas estas alterações e calcular as alterações efetivas para todos os membros de todos os grupos afetados por essa alteração.
- Intune não suporta exclusões de grupos mistos. Por isso, utilize filtros para incluir e excluir dinamicamente dispositivos para além de atribuições de grupo ou grupo virtual.