Prestandarekommendationer för gruppering, inriktning och filtrering i stora Microsoft Intune miljöer
När du skapar en princip kan du använda filter för att tilldela en princip baserat på regler som du skapar. Du kan använda filter för Intune registrerade enheter och Intune hanterade appar. En översikt över filter finns i Använda filter när du tilldelar appar, principer och profiler i Microsoft Intune.
När du skapar filter finns det några prestandarekommendationer som du bör överväga.
Den här artikeln listar och beskriver rekommendationer för Intune gruppering, inriktning och filtrering för dina principer och appar. Målet är att hjälpa dig att fatta arkitektur- och designbeslut för Intune distributioner i stora miljöer.
Dessa prestandarekommendationer och deras implementering kan vara olika och beror på din egen miljö & andra faktorer, inklusive hanterbarhet och enkelhet.
I den här artikeln:
- Få en översikt över Intune grupperings- och målkoncept
- Få några prestandarekommendationer
Vägledning om dynamiska grupper finns i Skapa enklare och effektivare regler för dynamiska grupper i Microsoft Entra ID.
Översikt över Intune grupperings- och målbegrepp
Nu ska vi granska de grupperings-, mål- och filtreringsfunktioner som är tillgängliga i Intune.
Microsoft Entra grupper
Intune använder nästan uteslutande Microsoft Entra grupper för gruppering och inriktning. När du väljer Grupper i Microsoft Intune administrationscenter tittar du på Microsoft Entra grupper.
Microsoft Entra grupper är en viktig del av Intune eftersom dessa grupper är:
- De objekt som används för att tilldela appar, principer och andra arbetsbelastningar till användare och enheter
- Används för att definiera de enheter som administratörer kan visa och hantera i Intune administrationscenter, till exempel omfångsgrupper i rollbaserad åtkomstkontroll (RBAC)
Virtuella grupper
Tilldelningarna Alla användare och Alla enheter är Intune "virtuella" grupper. Dessa virtuella grupper är tillgängliga som standard i alla Intune klientorganisationer och har inga hanteringskostnader. Du behöver till exempel inte skapa eller justera några Microsoft Entra ID regler för att hålla medlemmarna ifyllda.
Grupperna Alla användare och Alla enheter är också mycket skalbara och optimerade, främst för att de inte behöver synkroniseras från Microsoft Entra ID på samma sätt som andra grupper gör.
Filter
När appen eller principen har tilldelats till en Microsoft Entra ID eller virtuell grupp kan du använda filter för att begränsa tilldelningsomfånget för dessa appar och principer till specifika användar- eller enhetsgrupper.
Filtret filtrerar enheter in (eller ut) från tilldelningen baserat på enhetsegenskaper.
Filtrering är högpresterande, utvärdering med låg latens vid enhetsincheckning utan att du behöver förberäkna gruppmedlemskap.
Prestandarekommendationer
Det här avsnittet innehåller några rekommendationer som kan förbättra prestanda när du tilldelar dina principer i Microsoft Intune.
De här rekommendationerna fokuserar på att förbättra prestanda och minska svarstiden i tilldelning av arbetsbelastningar. De har störst inverkan när du arbetar i stora Intune miljöer, till exempel miljöer med >100 000 enheter. Dessa rekommendationer bör övervägas med andra designaspekter, till exempel hanterbarhet, användarvänlighet, rollbaserad administration och enkelhet.
Använda de inbyggda virtuella grupperna
| GÖRA | GÖR INTE |
|---|---|
| ✅Använd de virtuella grupperna Alla användare och Alla enheter i stället för att skapa en egen version av alla användare/alla enheter med hjälp av Microsoft Entra dynamiska grupper. | ❌Skapa inte dina egna dynamiska grupper "Alla användare" eller "Alla enheter" för princip- och appinriktning i Intune. |
Större grupper tar längre tid att synkronisera medlemskapsuppdateringar mellan Microsoft Entra ID och Intune. Enheterna Alla användare och Alla är vanligtvis de största grupperna du har. Om du tilldelar Intune arbetsbelastningar till stora Microsoft Entra grupper som har många användare eller enheter kan synkroniseringsloggar inträffa i din Intune miljö. Den här kvarvarande informationen påverkar princip- och appdistributioner, vilket tar längre tid att nå hanterade enheter.
Uppdateringen från Microsoft Entra till Intune sker vanligtvis inom 5 minuter. Det är inte omedelbart. Den här gången kan det påverka registreringstilldelningar. Administratörer bör registrera enheter efter flera minuter, inte omedelbart efter att de har lagt till de registrerade användarna i en grupp.
De inbyggda grupperna Alla användare och Alla enheter är Intune grupperingsobjekt som inte finns i Microsoft Entra ID. Det finns ingen kontinuerlig synkronisering mellan Microsoft Entra ID och Intune. Gruppmedlemskap är alltså omedelbart.
Obs!
Information om Intune uppdateringsintervall för incheckningsprinciper finns i Intune Uppdateringsintervall för princip.
Du kan också tillämpa den här optimeringen på andra stora och ofta föränderliga grupper som du kan ha, till exempel "Alla Windows-enheter" eller "alla iOS-enheter". I stället för att skapa och rikta in dig på dessa grupper använder du de befintliga virtuella grupperna "Alla användare" eller "Alla enheter", eftersom Intune principer och program automatiskt begränsas av plattformen.
När du använder mycket stora grupper i Intune (över 100 000 medlemmar) förväntar du dig en viss inledande fördröjning i målinriktningen. Det finns en konfigurationsprocess för första gången mellan Microsoft Entra ID och Intune. Den första fullständiga synkroniseringen tar alltid längre tid än efterföljande inkrementella synkroniseringar.
Återanvänd grupper
| GÖRA | GÖR INTE |
|---|---|
| ✅ Återanvänd samma gruppobjekt för att tilldela flera principer. |
❌ Skapa inte duplicerade kopior av samma grupp för att rikta in dig på olika principer. ❌ Skapa inte dedikerade "appgrupper" eller "principgrupper". |
I bakgrunden konverterar Intune Microsoft Entra gruppmedlemmar till tilldelningsinriktningsmeddelanden för varje användare och enhet. Den här processen är mycket optimerad när gruppobjekten är desamma.
Till exempel fungerar Intune gruppering och inriktning bäst när användargruppen "Teknik" är riktad mot 10 principer. Det fungerar inte bäst när teknikanvändare är medlemmar i 10 olika grupper, där varje grupp tilldelas till en annan princip.
Vi har sett några mönster som inte använder den här vägledningen. IT-administratörer skapar till exempel en "Install_Edge"-grupp, skapar en "Deploy_Edge_Config_Policy"-grupp och placerar sedan samma enheter i varje grupp, vilket inte rekommenderas för prestanda.
Ett liknande och inte rekommenderat mönster är att skapa "Appgrupper". En appgrupp är när varje app har flera Microsoft Entra grupper som skapats för den. Om du till exempel vill hantera Microsoft Edge-programmet skapar en administratör följande grupper:
- Edge_Required
- Edge_Available
- Edge_Uninstall
Administratören lägger till enskilda användare eller enheter i dessa grupper. Dessa appgrupper ökar dramatiskt antalet Microsoft Entra grupper som Intune måste prenumerera på och övervaka för medlemskapsuppdateringar, vilket är mindre effektivt. Ineffektiv design för gruppsynkronisering påverkar hur snabbt nya tilldelningar skapas och levereras till enheter.
Göra inkrementella gruppändringar
| GÖRA | GÖR INTE |
|---|---|
| ✅Var försiktig med stora gruppkapslingsändringar i Microsoft Entra ID. | ❌ Gör inte stora gruppkapslingsändringar samtidigt. |
En stor gruppmedlemskapsändring i Microsoft Entra ID kan generera ökningar av måländringar i Intune. Dessa ökningar kan fördröja målinriktningen för andra tilldelningar i din miljö.
Om en uppsättning administratörer hanterar dina grupper och en annan uppsättning hanterar Microsoft Entra ID bör du informera om vilken inverkan Microsoft Entra ID ändringar kan ha på Intune mål.
Om en Microsoft Entra administratör till exempel kapslar nya stora grupper i en befintlig grupp som Intune använder för målinriktning, börjar Intune synkronisera alla grupper och gruppmedlemskap. Hur mycket tid det tar att bearbeta alla medlemskap beror på antalet och storleken på gruppändringar som görs i Microsoft Entra ID.
Den här rekommendationen gäller även när grupper är "oregistrerade". Mer information om kapslade grupper finns i Hantera Microsoft Entra grupper och gruppmedlemskap.
Använda filter för att inkludera och exkludera
| GÖRA | GÖR INTE |
|---|---|
| ✅ Använd filter för att uppnå rätt kombination av användare och enhet för målinriktning. | ❌ Blanda inte användargrupper och enhetsgrupper när du använder grupperna Inkludera och Exkludera. |
Den här rekommendationen är också en support-instruktion. Vi rekommenderar eller stöder inte att du skapar tilldelningar till användargrupper och exkluderar en enhetsgrupp från den tilldelningen, eller tvärtom.
Den här rekommendationen finns på grund av tids- och svarstidsegenskaperna för dynamiska grupper. Medlemskap i exkluderade grupper är inte omedelbart, vilket kan resultera i fall där enheter felaktigt tar emot app- eller principtilldelningar. Mer information finns i Tilldela principer och profiler – supportmatris.
I stället för blandade undantag rekommenderar vi att du tilldelar till en användargrupp. Använd sedan filter för att dynamiskt inkludera eller exkludera lämpliga enheter.
Sammanfattning
När du skapar och hanterar tilldelningar i Intune bör du inkludera några av dessa rekommendationer. Använd grupper eller virtuella grupper och använd filter för att förfina målomfånget. Tänk på metodtipsen:
- Skapa inte din egen version av grupperna "Alla användare" eller "Alla enheter". Använd Intune virtuella grupper eftersom de inte kräver Microsoft Entra ID synkronisering när en ny användare eller enhet läggs till i miljön.
- Om du vill optimera din inriktning återanvänder du grupper så mycket som möjligt.
- Var försiktig när du gör stora kapslingsändringar i Intune grupper. Intune behöver bearbeta alla dessa ändringar och beräkna effektiva ändringar för alla medlemmar i alla grupper som påverkas av ändringen.
- Intune stöder inte undantag för blandade grupper. Använd därför filter för att dynamiskt inkludera och exkludera enheter utöver grupp- eller virtuell grupptilldelningar.