Планирование группирования устройств для образовательных учреждений и нацеливания
✅ Организация устройств и пользователей
Упорядочив устройства, учащиеся, классы или учебные программы по группам, вы можете предоставить учащимся необходимые ресурсы и конфигурации.
Общие сведения о группировке и нацеливание
Intune имеет четыре метода нацеливания:
Тип группировки | Описание | Преимущества | Недостатки |
---|---|---|---|
Виртуальные группы | Создано Intune и позволяет ориентироваться на все устройства и всех пользователей | Всегда обновляйте автоматически | Область действия может быть ограничена только с помощью фильтров |
Назначенные группы | Используется при добавлении пользователей или устройств в группу вручную. | Простое управление уникальным членством в группах | Членство поддерживается вручную |
Динамические группы | Группы на основе правил, создаваемых для назначения учащихся или устройств группам. | Автоматизирует обслуживание членства в этих группах | Обновление может занять от нескольких минут до 24 часов |
Фильтры | Позволяет дополнительно сузить область назначения политики или приложения при нацеливание на группу. | Intune быстро вычисляет фильтры для каждого проверка в | Должен применяться к виртуальным, назначенным или динамическим группам |
Организации обычно используют сочетание этих методов нацеливания.
Примечание.
Фильтры недоступны в консоли администрирования Intune для образовательных учреждений, но доступны в консоли администрирования Intune.
При использовании Синхронизация сведений о школе Microsoft (SDS) предварительно создаются две дополнительные группы: все преподаватели и все учащиеся. SDS также можно настроить для автоматического создания и обслуживания групп учащихся и преподавателей для каждого учебного заведения.
Помимо значений по умолчанию, группы можно настроить в соответствии с различными потребностями. Например, если у вас есть устройства Windows 10 и Windows 11 в учебном заведении, можно создавать группы, например Windows 10 устройства и устройства Windows 11, чтобы назначать им различные политики и приложения.
Совет
Дополнительные сведения о параметрах группирования и нацеливания см. в статье Рекомендации по производительности для группирования, нацеливания и фильтрации в средах больших Microsoft Intune.
Советы по предотвращению конфликтов политик см. в статье Предотвращение конфликтов политик.
Выбор методов группирования
✅ Выберите оптимальный вариант для группировки
Способ назначения конфигурации и приложений может зависеть от многих факторов и типа регистрации.
В следующей таблице приведены рекомендации по использованию параметров группирования устройств Windows на основе метода регистрации и требуемого поведения.
Тип регистрации | Поведение | Лучшие варианты группировки |
---|---|---|
Autopilot, управляемый пользователем | Самое быстрое приложение во время регистрации | ✔️ Динамическая группа устройств на основе тега группы Autopilot, производителя или модели ✔️ Назначенные группы пользователей динамической группы✔️ |
Режим саморазвертывания Autopilot | Самое быстрое приложение во время регистрации | ✔️ Динамическая группа устройств на основе тега группы Autopilot, производителя или модели ✔️ Назначенные группы |
Все типы регистрации | Самое быстрое приложение во время регистрации | ✔️ Группа "Все устройства " ✔️ Группа "Все устройства " с фильтром |
Все типы регистрации | Применяется после регистрации | ✔️ Динамическая группа устройств на основе других атрибутов |
В следующей таблице приведены рекомендации по использованию параметров группирования устройств iOS на основе метода регистрации и требуемого поведения.
Тип регистрации | Поведение | Лучшие варианты группировки |
---|---|---|
Автоматическая регистрация устройств | Самое быстрое приложение во время регистрации | ✔️ Группа "Все устройства " ✔️ Группа "Все устройства " с фильтром |
Автоматическая регистрация устройств с сопоставлением пользователей | Самое быстрое приложение во время регистрации | ✔️ Назначенные или динамические группы пользователей |
Корпоративный портал | Самое быстрое приложение во время регистрации | ✔️ Назначенные или динамические группы пользователей |
Все типы регистрации | Применяется после регистрации | ✔️ Динамические группы ✔️ устройств Назначены группы устройств |
Совет
Дополнительные сведения о параметрах группирования и нацеливания см. в статье Рекомендации по производительности для группирования, нацеливания и фильтрации в средах больших Microsoft Intune.
Создание групп и фильтров
✅ Создание групп организации
Используя план регистрации и группирования, вы можете создавать группы.
- Создание групп в Entra
- Использование фильтров при назначении приложений, политик и профилей в Intune
- Создание или обновление динамической группы в Microsoft Entra ID
- Правила динамического членства для групп в Microsoft Entra ID
- Создание более простых и эффективных правил для динамических групп в Microsoft Entra ID
Примеры групп
✅ См. примеры общего группирования по типу регистрации.
В этом разделе рассматриваются методы нацеливания, часто встречающиеся в организациях для образовательных учреждений.
Autopilot
Когда устройства импортируются в Autopilot, они включают производителя и модель устройства. Тег группы также можно добавить на каждое импортированное устройство. Тег группы можно использовать для создания групп для нацеливания. Некоторые клиенты используют теги групп для создания групп для различных профилей autopilot, для назначения различных приложений или профилей, а также для назначения область тегов для управления доступом на основе ролей.
Эта таблица содержит общие группы, используемые для устройств, зарегистрированных с помощью Autopilot.
Имя | Тип | Запрос |
---|---|---|
Все устройства с Windows | Правила динамического членства | (device.deviceOSType -startsWith "Windows") |
Все устройства Autopilot | Правила динамического членства | (device.devicePhysicalIDs -any _ -startsWith "[ZTDId]") |
Все устройства, не относящиеся к Autopilot | Правила динамического членства | (device.deviceOSType -startsWith "Windows") -and (device.deviceOwnership -eq "Company") -and -not(device.devicePhysicalIds -any (_ -startsWith "[ZTDId]")) |
Все устройства Autopilot Student | Правила динамического членства | (device.devicePhysicalIds -any (_ -eq "[OrderID]:Student ")) |
Примечание.
В примере группы "Все устройства Autopilot Student" предполагается, что для тега группы Autopilot задано значение "Student". Можно использовать другой тег группы и соответствующим образом обновить правило членства.
Примечание.
- Если вы планируете создавать группы или фильтры на основе enrollmentProfileName, убедитесь, что вы создаете профиль регистрации с именем, соответствующим правилам.
- Если вы используете теги группы Autopilot для группирования устройств, убедитесь, что теги групп, добавленные в объекты устройств, соответствуют правилам динамической группы.
- В Windows приложения и политики также могут быть ориентированы на группы пользователей. Однако большинство приложений и политик на устройствах Windows основаны на устройствах. В результате каждый пользователь устройства с Windows получает приложения и политики на основе устройств, назначенные любому предыдущему пользователю устройства, если у нового пользователя нет других конфигураций для параметров, примененных ранее.
Пакеты подготовки
Эта таблица содержит общие группы, используемые для устройств, зарегистрированных с помощью пакетов подготовки.
Имя | Тип | Запрос |
---|---|---|
Все устройства с Windows | Правила динамического членства | (device.deviceOSType -startsWith "Windows") |
Все устройства учащегося | Правила динамического членства | (device.displayName -startsWith "STU- ") |
Примечание.
В примере группы "Все устройства учащихся" предполагается, что префикс имени устройства в пакете подготовки имеет значение "STU-". Можно использовать другой префикс и соответствующим образом обновить правило членства.
Все типы регистрации
Фильтры можно использовать для дальнейшего включения или исключения устройств из групп. Например:
- Устройства под управлением Windows 10 (osVersion начинается с версии 10.0.1)
- Устройства под управлением Windows 11 (osVersion начинается с версии 10.0.2)
Автоматическая регистрация устройств
При регистрации устройств с помощью автоматической регистрации устройств устройства помечаются именем профиля регистрации, используемым во время регистрации. Устройства можно связать с разными профилями регистрации в разделе Маркер автоматической регистрации устройств в разделе Регистрация. Некоторые клиенты используют имена профилей регистрации для создания групп или фильтров для различных параметров регистрации, для назначения различных приложений или профилей, а также для назначения область тегов для управления доступом на основе ролей.
Ниже приведены примеры запросов, часто используемых для динамических групп безопасности.
Имя | Тип | Запрос |
---|---|---|
Все устройства iOS | Правила динамического членства | (device.deviceOSType -startsWith "iOS") |
Все устройства с вариантами использования | Правила динамического членства | (device.enrollmentProfileName -eq "'use case'") |
Чтобы как можно быстрее применить параметры во время регистрации, не дожидаясь динамических обновлений группы, некоторые клиенты используют фильтр на основе enrollmentProfileName и целевой конфигурации в виртуальной группе "Все устройства ".
- Устройства с определенным параметром enrollmentProfileName (enrollmentProfileName equals'use case')
Примечание.
Если вы планируете создавать группы или фильтры на основе enrollmentProfileName, убедитесь, что вы создаете профиль регистрации с именем, соответствующим правилам.
Предупреждение
Каждый раз, когда устройство iOS регистрируется, оно создает новый объект устройства Entra, поэтому назначенные членства в группах не сохраняются при сбросе устройства.