Использование фильтров при назначении приложений, политик и профилей в Intune
При создании политик можно назначать их с использованием фильтров, основанных на созданных вами правилах. Фильтр позволяет ограничить область назначения политики. Например, в фильтрах можно задать целевые устройства с определенной версией ОС или устройства определенного производителя, только личные или только корпоративные устройства и т. д.
Фильтры доступны для:
Устройства, зарегистрированные в Intune, которые являются управляемыми устройствами.
Приложения, управляемые Intune, которые являются управляемыми приложениями.
Управляемые приложения используются в сценариях управления мобильными приложениями (MAM). MAM включает управление приложениями на устройствах, которые не зарегистрированы в Intune, что обычно используется для личных устройств. Дополнительные сведения о MAM в Intune см. в статье Что такое управление приложениями Microsoft Intune?.
Фильтры можно использовать в следующих сценариях:
- Развертывание политики ограниченного использования устройств с Windows только на корпоративных устройствах, принадлежащих отделу маркетинга (за исключением личных устройств).
- Развертывание приложения iOS/iPadOS только на устройствах iPad в группе пользователей из финансового отдела.
- Развертывание политики соответствия мобильных телефонов Android для всех пользователей в компании, за исключением устройств Android в комнате переговоров, которые не поддерживают параметры политики соответствия для мобильных телефонов.
- На личных устройствах разверните политику конфигурации приложений для конкретного производителя приложения или политику защиты приложений, которая запускает определенную версию ОС.
Фильтры предоставят вам следующие возможности и преимущества:
- Дополнительная гибкость и детализация при назначении политик и приложений в Intune.
- Используются при назначении приложений, политик и профилей. Они динамически предназначены для управляемых устройств на основе свойств устройств и целевых управляемых приложений на основе вводимых свойств приложения.
- Может включать или исключать устройства или приложения в определенной группе на основе введенных вами критериев.
- Может создавать запрос свойств устройства или приложения на основе различных свойств, таких как платформа устройства или версия приложения.
- Можно использовать и повторно использовать в нескольких сценариях в режиме "Включить" или "Исключить".
Данная функция применяется к:
Управляемые устройства на следующих платформах:
- Администратор устройств Android
- Android Enterprise
- Android (AOSP)
- iOS/iPadOS
- macOS
- Windows 10/11
Управляемые приложения на следующих платформах:
- Android
- iOS/iPadOS
- Windows
В этой статье описывается архитектура фильтров и действия, позволяющие создать, обновить или удалить фильтр.
Важно!
Microsoft Intune прекращает поддержку управления администраторами устройств Android на устройствах с доступом к Google Mobile Services (GMS) 31 декабря 2024 г. После этой даты регистрация устройств, техническая поддержка, исправления ошибок и исправления безопасности будут недоступны. Если в настоящее время вы используете управление администраторами устройств, мы рекомендуем перейти на другой вариант управления Android в Intune до окончания поддержки. Дополнительные сведения см. в разделе Прекращение поддержки администратора устройств Android на устройствах GMS.
Как работают фильтры
Перед применением политики к приложению или устройству фильтры динамически оценивают применимость. Ниже приведен обзор изображения:
Вы создаете повторно используемый фильтр на основе приложения или свойства устройства. В этом примере фильтр устройств предназначен для устройств IPhone XR.
Вы назначаете политику группе. Вы добавляете фильтр в режиме включения или исключения в это назначение. Например, вы "включаете" устройства iPhone XR или "исключаете" устройства iPhone XR из политики.
Оценка фильтра происходит при каждой регистрации устройства, синхронизации со службой Intune и в любой другой ситуации, когда политика выполняет оценку.
Здесь показаны результаты оценки фильтра. Например, приложение или политика применяется или не применяется.
Ограничения
При создании фильтров существуют некоторые общие ограничения.
- Для каждого клиента может быть до 200 фильтров.
- Каждый фильтр ограничен 3072 символами.
- Для управляемых устройств устройства должны быть зарегистрированы в Intune.
- Для управляемых приложений фильтры применяются к политикам защиты приложений и политикам конфигурации приложений. Они не применяются к другим политикам, таким как соответствие требованиям или профили конфигурации устройств.
Предварительные требования
- Войдите в систему с правами администратора Intune. Дополнительные сведения о ролях Intune см. в статье Управление доступом на основе ролей (RBAC) с помощью Microsoft Intune.
Создание фильтра
Войдите в центр администрирования Intune.
Выберите Администрирование клиента>Фильтры>Создать.
Кроме того, можно создавать собственные фильтры в следующих разделах:
- Приборы>Упорядочение устройств>Фильтры
- Приложения>Фильтры
Выберите Управляемые устройства или Управляемые приложения:
Помните, что управляемые устройства — это устройства, зарегистрированные в Intune и обычно принадлежащие организациям. Управляемые приложения предназначены для устройств, которые не зарегистрированы в Intune и обычно принадлежат конечным пользователям.
В разделе Основные укажите следующие свойства.
Filter name (Имя фильтра). Введите описательное имя для фильтра. Назначьте имена фильтрам, чтобы потом их можно было легко идентифицировать. Пример хорошего имени для фильтра: Фильтр по версии ОС Windows.
Description (Описание). Введите описание фильтра. Этот необязательный параметр, но мы рекомендуем его использовать.
Platform (Платформа). Выберите платформу. Доступны следующие варианты:
Управляемые устройства:
- Администратор устройств Android
- Android Enterprise
- Android (AOSP)
- iOS/iPadOS
- macOS
- Windows 10 и более поздние версии
Управляемые приложения:
- Android
- iOS/iPadOS
- Windows
Нажмите кнопку Далее.
В разделе Rules (Правила) поддерживаются два способа создания правил: построитель правил и синтаксис правил.
Rule builder (Построитель правил):
And/Or (И/Или). Добавив в фильтр выражение, вы можете объединить его с другим с помощью операторов
and
иor
.Свойство. Выберите свойство для правила, например номер SKU устройства или операционной системы.
Оператор: выберите оператор из списка, например
equals
илиcontains
.Value (Значение). Введите значение для выражения. Например, в качестве версии ОС можно указать значение
10.0.18362
, а в качестве производителя —Microsoft
.Add expression (Добавить выражение). Завершив ввод свойства, оператора и значения, щелкните Add expression (Добавить выражение):
Созданное вами выражение автоматически добавляется в редактор синтаксиса правил.
Rule syntax (Синтаксис правил).
Можно также вручную ввести выражение правила и создать собственные правила сразу в редакторе синтаксиса правил. В разделе Rule syntax (Синтаксис правил) выберите Edit (Изменить).
Откроется построитель выражений. Введите выражения вручную, например
(device.osVersion -eq "10.0.18362") and (device.manufacturer -eq "Microsoft")
:Дополнительные сведения о написании собственных выражений см. в статье Свойства устройства и приложения, операторы и редактирование правил при создании фильтров.
Щелкните ОК, чтобы сохранить выражение.
Совет
- При создании правила выполняется проверка правильности синтаксиса и отображаются найденные ошибки.
- Если введенный синтаксис не поддерживается построителем простых правил, то построитель правил отключается. Например, использование вложенных скобок отключает построитель простых правил.
Выберите Предварительный просмотр устройств. Отображается список зарегистрированных устройств, соответствующих заданным условиям фильтра.
В этом списке также можно искать устройства по имени устройства, версии ОС, модели устройства, изготовителю устройства и т. д.
Примечание.
При выборе предварительного просмотра устройств для свойства, которое находится в режиме предварительной
You cannot use Filter preview with experimental properties
версии, вы получите сообщение. Несмотря на то, что вы не можете просмотреть свойство, его можно использовать в фильтрах.Нажмите кнопку Далее.
В поле Теги области (необязательно) назначьте тег для фильтрации профиля по конкретным ИТ-группам, например
US-NC IT Team
илиJohnGlenn_ITDepartment
. Дополнительные сведения о тегах область см. в статье Использование тегов RBAC и область для распределенной ИТ-службы.Нажмите кнопку Далее.
Проверьте параметры в окне Проверка и создание. Щелкните Create (Создать), чтобы сохранить изменения. Это действие создает готовый к использованию фильтр. Он также появляется в списке фильтров.
Использование фильтра
После создания фильтр сразу готов к добавлению в назначения приложений или политик.
В Центре администрирования Intune перейдите к своим приложениям, политикам соответствия требованиям или профилям конфигурации. Список поддерживаемых рабочих нагрузок см. в статье Поддерживаемые рабочие нагрузки при создании фильтров. Выберите существующую политику или создайте новую.
Например, выберите Соответствие устройств> и выберите существующую политику. Выберите Свойства>Назначения>Изменить:
Назначьте политику группе пользователей или группе устройств.
Выберите Изменить фильтр. Доступны следующие параметры:
Не применять фильтр. Все целевые пользователи или устройства получат приложение или политику без фильтрации.
Включить отфильтрованные устройства в назначение. Устройства, соответствующие условиям фильтра, получат приложение или политику. Устройства, которые не соответствуют условиям фильтра, не получат приложение или политику.
Появится список фильтров, соответствующих платформе политики.
Исключить отфильтрованные устройства из назначения. Устройства, соответствующие условиям фильтра, не получат приложение или политику. Устройства, которые не соответствуют условиям фильтра, получат приложение или политику.
Появится список фильтров, соответствующих платформе политики.
Выберите существующий фильтр >Выберите.
Например, установите флажок Включить отфильтрованные устройства в назначение и выберите фильтр:
Чтобы сохранить изменения, щелкните Review + save (Проверка и сохранение)>Save (Сохранить).
Когда устройство выполняет синхронизацию со службой Intune, оцениваются определенные в фильтре свойства и определяется, нужно ли применять приложение или политику.
Фильтрация существующих фильтров
После создания фильтра можно отфильтровать существующий список фильтров по платформе и типу профиля (управляемые устройства или управляемые приложения).
В Центре администрирования Intune выберите Администрирование> клиентовФильтры. Отобразится полный список фильтров.
Вы также можете перейти к разделу Устройства>Упорядочить устройства>Фильтры илиФильтры приложений>.
Выберите Добавить фильтры:
Список можно отфильтровать по типу фильтра или по платформе:
Выберите Тип> фильтраПрименить. Затем выберите Управляемые устройства или Управляемые приложения>Применить. Список фильтров фильтруется в зависимости от выбранного вами списка.
Добавьте еще один фильтр и выберите Применить платформу>. Выберите свою платформу в списке, например Windows 10 и более поздних версий>Применить. Список фильтров фильтруется в зависимости от выбранного вами списка.
Просмотр назначений
После назначения фильтра политикам вы увидите все политики, использующие фильтр.
В Центре администрирования Intune выберите Администрирование> клиентовФильтры. Отобразится полный список фильтров.
Вы также можете перейти к разделу Устройства>Упорядочить устройства>Фильтры илиФильтры приложений>.
Выберите фильтр, который нужно просмотреть > на вкладке Связанные назначения.
На странице отображаются все приложения и политики, использующие фильтр, группы, которые получают назначения фильтров, а также режим фильтра (включить или исключить):
Изменение существующего фильтра
После создания фильтра его также можно изменить или обновить.
В Центре администрирования Intune выберите Администрирование> клиентовФильтры. Отобразится полный список фильтров.
Вы также можете обновить фильтры в разделе Устройства>Упорядочивание устройств>Фильтры илиФильтры приложений>.
Чтобы обновить существующий фильтр, выберите фильтр, который требуется изменить. Щелкните Rules (Правила)>Edit (Изменить) и внесите изменения:
Чтобы сохранить изменения, щелкните Review + save (Проверка и сохранение)>Save (Сохранить).
Удаление фильтра
В Центре администрирования Intune выберите Администрирование> клиентовФильтры. Отобразится полный список фильтров.
Вы также можете удалить фильтры в разделе Устройства>Упорядочить фильтры устройств> илиФильтры приложений.>
Рядом с фильтром щелкните многоточие (...) и выберите Delete (Удалить):
Чтобы удалить фильтр, его сначала необходимо удалить изо всех назначений политик. В противном случае при попытке удалить фильтр отображается следующая ошибка:
Unable to delete assignment filter – An assignment filter is associated with existing assignments. Delete all the assignments for the filter and try again.