Рекомендации по повышению производительности для группирования, нацеливания и фильтрации в средах больших Microsoft Intune
При создании политики можно использовать фильтры для назначения политики на основе создаваемых правил. Фильтры можно применять к зарегистрированным Intune устройствам и приложениям, управляемым Intune. Общие сведения о фильтрах см. в статье Использование фильтров при назначении приложений, политик и профилей в Microsoft Intune.
При создании фильтров следует учитывать некоторые рекомендации по производительности.
В этой статье перечислены и описаны рекомендации по Intune группирования, нацеливания и фильтрации для политик и приложений. Цель состоит в том, чтобы помочь вам принимать решения по архитектуре и проектированию для Intune развертываний в больших средах.
Эти рекомендации по производительности и их реализация могут быть разными и зависят от вашей среды & других факторов, включая управляемость и простоту.
В этой статье
- Общие сведения о Intune концепциях группирования и нацеливания
- Получите некоторые рекомендации по производительности
Рекомендации по динамическим группам см. в статье Создание более простых и эффективных правил для динамических групп в Microsoft Entra ID.
Общие сведения о концепциях группирования и нацеливания Intune
Давайте рассмотрим функции группирования, нацеливания и фильтрации, доступные в Intune.
группы Microsoft Entra
Intune почти исключительно использует Microsoft Entra группы для группирования и нацеливания. При выборе Группы в Центре администрирования Microsoft Intune вы просматриваете группы Microsoft Entra.
Microsoft Entra группы являются важной частью Intune, так как они:
- Объекты, используемые для назначения приложений, политик и других рабочих нагрузок пользователям и устройствам
- Используется для определения устройств, которые администраторы могут просматривать и администрировать в Центре администрирования Intune, например область группы в управлении доступом на основе ролей (RBAC).
Виртуальные группы
Назначения Все пользователи и Все устройства являются Intune "виртуальными" группами. Эти виртуальные группы доступны по умолчанию во всех клиентах Intune и не связаны с дополнительными затратами на управление. Например, вам не нужно создавать или настраивать правила Microsoft Entra ID, чтобы их члены заполнялись.
Группы Все пользователи и Все устройства также являются высокомасштабируемыми и оптимизированными, главным образом потому, что их не нужно синхронизировать с Microsoft Entra ID так же, как другие группы.
Фильтры
После назначения приложения или политики Microsoft Entra ID или виртуальной группе можно использовать фильтры, чтобы сузить область назначения этих приложений и политик определенными группами пользователей или устройств.
Фильтр фильтрует устройства в (или вне) этого назначения на основе свойств устройства.
Фильтрация — это высокопроизводительная оценка применимости с низкой задержкой на устройстве проверка без необходимости предварительного вычисления членства в группах.
Рекомендации по производительности
В этом разделе содержатся некоторые рекомендации, которые могут повысить производительность при назначении политик в Microsoft Intune.
В этих рекомендациях основное внимание уделяется повышению производительности и снижению задержки при назначении рабочей нагрузки. Они оказывают наибольшее влияние на работу в средах с большими Intune, например в средах с >100 000 устройств. Эти рекомендации следует учитывать с другими аспектами проектирования, такими как управляемость, простота использования, администрирование на основе ролей и простота.
Использование встроенных виртуальных групп
| ДЕЛАТЬ | НЕ НАДО |
|---|---|
| ✅Используйте виртуальные группы Все пользователи и Все устройства вместо создания собственной версии всех пользователей или всех устройств с помощью Microsoft Entra динамических групп. | ❌Не создавайте собственные динамические группы "Все пользователи" или "Все устройства" для нацеливания на политики и приложения в Intune. |
Синхронизация обновлений членства в больших группах между Microsoft Entra ID и Intune занимает больше времени. Все пользователи и Все устройства обычно являются самыми большими группами, которые у вас есть. Если назначить Intune рабочие нагрузки большим Microsoft Entra группам с большим количеством пользователей или устройств, в среде Intune может произойти невыполненная работа по синхронизации. Эта невыполненная работа влияет на развертывание политик и приложений, которые требуют больше времени для охвата управляемых устройств.
Встроенные группы Все пользователи и Все устройства — это Intune только объекты группирования, которые не существуют в Microsoft Entra ID. Не существует непрерывной синхронизации между Microsoft Entra ID и Intune. Таким образом, членство в группах выполняется мгновенно.
Примечание.
Сведения о интервалах обновления политики Intune проверка см. в статье Интервалы обновления политики Intune.
Вы также можете применить эту оптимизацию к другим большим и часто меняющимся группам, которые могут быть у вас, например "Все устройства с Windows" или "Все устройства iOS". Вместо создания и назначения этих групп используйте существующие виртуальные группы "Все пользователи" или "Все устройства", так как Intune политики и приложения автоматически определяются платформой.
При использовании очень больших групп в Intune (более 100 000 участников) ожидается некоторая начальная задержка при нацеливание. Существует первый процесс настройки, который происходит между Microsoft Entra ID и Intune. Первая полная синхронизация всегда занимает больше времени, чем последующие добавочные синхронизации.
Повторное использование групп
| ДЕЛАТЬ | НЕ НАДО |
|---|---|
| ✅ Повторно используйте одни и те же объекты группы для назначения нескольких политик. |
❌ Не создавайте повторяющиеся копии одной группы для разных политик. ❌ Не создавайте выделенные "Группы приложений" или "Группы политик". |
В фоновом режиме Intune преобразует Microsoft Entra участников группы в назначение целевых сообщений для каждого пользователя и устройства. Этот процесс является высокооптимизируемым, если объекты группы совпадают.
Например, Intune группирование и нацеливание лучше всего работает, если группа пользователей "Инженерная" предназначена с 10 политиками. Это не работает лучше, если пользователи инженеров являются членами 10 разных групп, каждая из которых назначена другой политике.
Мы видели несколько проектов, которые не используют это руководство. Например, ИТ-администраторы создают группу "Install_Edge", группу "Deploy_Edge_Config_Policy", а затем помещают одни и те же устройства в каждую группу, что не рекомендуется для повышения производительности.
Аналогичный и не рекомендуемый шаблон — это создание групп приложений. Группа приложений — это когда для каждого приложения создано несколько Microsoft Entra групп. Например, для управления приложением Microsoft Edge администратор создает следующие группы:
- Edge_Required
- Edge_Available
- Edge_Uninstall
Администратор добавляет отдельных пользователей или устройства в эти группы. Эти группы приложений значительно увеличивают количество Microsoft Entra групп, на которые Intune должны подписаться и отслеживать обновления членства, что менее эффективно. Неэффективная синхронизация групп влияет на то, как быстро создаются и доставляются на устройства новые назначения.
Внесение добавочных изменений в группу
| ДЕЛАТЬ | НЕ НАДО |
|---|---|
| ✅Будьте осторожны с изменениями вложений больших групп в Microsoft Entra ID. | ❌ Не вносите большие вложенные изменения в группу одновременно. |
Изменение членства в больших группах в Microsoft Entra ID может привести к всплескам целевых изменений в Intune. Эти пики могут отложить назначение других назначений в вашей среде.
Если набор администраторов управляет группами, а другой набор управляет Microsoft Entra ID, следует сообщить о влиянии Microsoft Entra ID изменений на Intune таргетинга.
Например, если администратор Microsoft Entra встраивает новые большие группы в существующую группу, которая Intune использует для нацеливания, то Intune начинает синхронизацию всех групп и членства в группах. Время, необходимое для обработки всех членства, зависит от количества и размера изменений в группах, внесенных в Microsoft Entra ID.
Эта рекомендация также применяется, если группы "отменяется". Дополнительные сведения о вложенных группах см. в статье Управление группами Microsoft Entra и членством в группах.
Использование фильтров для включения и исключения
| ДЕЛАТЬ | НЕ НАДО |
|---|---|
| ✅ Используйте фильтры для достижения правильного сочетания пользователей и устройств для нацеливания. | ❌ Не смешивайте группы пользователей и устройств при использовании групп включения и исключения. |
Эта рекомендация также является заявлением о поддержке. Мы не рекомендуем и не поддерживаем создание назначений для групп пользователей и исключение группы устройств из этого назначения или наоборот.
Эта рекомендация существует из-за характеристики времени и задержки динамических групп. Членство в исключенных группах не является мгновенным, что может привести к тому, что устройства неправильно получают назначения приложений или политик. Дополнительные сведения см. в статье Назначение политик и профилей — матрица поддержки.
Вместо смешанных исключений рекомендуется назначать группе пользователей. Затем используйте фильтры для динамического включения или исключения соответствующих устройств.
Сводка
При создании назначений и управлении ими в Intune используйте некоторые из этих рекомендаций. Используйте группы или виртуальные группы и примените фильтры для уточнения целевого область. Учитывайте рекомендации.
- Не создавайте собственную версию групп "Все пользователи" или "Все устройства". Используйте Intune виртуальных групп, так как для них не требуется синхронизация Microsoft Entra ID при добавлении нового пользователя или устройства в среду.
- Чтобы оптимизировать таргетинг, повторно используйте группы как можно больше.
- Следите за внесением больших изменений в вложенные Intune группы. Intune необходимо обработать все эти изменения и вычислить эффективные изменения для всех членов всех групп, затронутых этим изменением.
- Intune не поддерживает исключения смешанных групп. Поэтому используйте фильтры для динамического включения и исключения устройств в дополнение к назначениям групп или виртуальных групп.