在大型Microsoft Intune环境中分组、定位和筛选的性能建议
创建策略时,可以使用 筛选器 根据创建的规则分配策略。 可以将筛选器应用于Intune注册设备和Intune托管的应用。 有关筛选器的概述,请转到在 Microsoft Intune 中分配应用、策略和配置文件时使用筛选器。
创建筛选器时,应考虑一些性能建议。
本文列出并介绍了针对策略和应用Intune分组、定位和筛选的建议。 目标是帮助你为大型环境中的Intune部署做出体系结构和设计决策。
这些性能建议及其实现可能有所不同,取决于你自己的环境 & 其他因素,包括可管理性和简单性。
本文内容:
- 大致了解Intune分组和目标概念
- 获取一些性能建议
有关动态组的指导,请转到为Microsoft Entra ID中的动态组创建更简单、更高效的规则。
Intune分组和目标概念概述
让我们回顾一下Intune中可用的分组、定位和筛选功能。
Microsoft Entra组
Intune几乎只使用Microsoft Entra组进行分组和定位。 在Microsoft Intune管理中心选择“组”时,会看到Microsoft Entra组。
Microsoft Entra组是Intune的重要组成部分,因为这些组包括:
- 用于向用户和设备分配应用、策略和其他工作负载的对象
- 用于定义管理员可以在Intune管理中心查看和管理的设备,例如基于角色的访问控制 (RBAC)
虚拟组
“所有用户”和“所有设备”分配Intune“虚拟”组。 默认情况下,这些虚拟组在所有Intune租户中都可用,并且没有任何管理开销。 例如,无需创建或调整任何Microsoft Entra ID规则来使其成员保持填充状态。
“所有用户”和“所有设备”组也高度可缩放和优化,这主要是因为它们不需要像其他组一样从Microsoft Entra ID同步。
筛选器
将应用或策略分配给Microsoft Entra ID或虚拟组后,可以使用筛选器将这些应用和策略的分配范围缩小到特定用户或设备组。
筛选器根据设备属性筛选 (或筛选出该分配) 中的设备。
筛选是在设备检查时进行高性能、低延迟适用性评估,无需预先计算组成员身份。
性能建议
本部分包含一些可在 Microsoft Intune 中分配策略时提高性能的建议。
这些建议侧重于提高性能并减少工作负载分配的延迟。 在大型Intune环境(例如具有 >100,000 台设备的环境中)中工作时,它们的影响最大。 应结合其他设计方面考虑这些建议,例如可管理性、易用性、基于角色的管理以及简单性。
使用内置虚拟组
| 做 | 不要 |
|---|---|
| ✅使用“所有用户”和“所有设备”虚拟组,而不是使用Microsoft Entra动态组创建你自己的所有用户/所有设备版本。 | ❌不要为Intune中的策略和应用目标创建自己的“所有用户”或“所有设备”动态组。 |
较大的组在Microsoft Entra ID和Intune之间同步成员身份更新所需的时间更长。 “所有用户”和“所有设备”通常是你拥有的最大组。 如果将Intune工作负载分配给具有许多用户或设备的大型Microsoft Entra组,则Intune环境中可能会发生同步积压工作。 此积压工作会影响策略和应用部署,这些部署需要更长的时间才能到达托管设备。
内置的“所有用户”和“所有设备”组是Microsoft Entra ID中不存在的仅Intune分组对象。 Microsoft Entra ID 和 Intune 之间没有连续同步。 因此,组成员身份是即时的。
注意
有关Intune 检查策略刷新间隔的信息,请转到Intune策略刷新间隔。
还可以将此优化应用于你可能拥有的其他大型且经常更改的组,例如“所有 Windows 设备”或“所有 iOS 设备”。 使用现有的“所有用户”或“所有设备”虚拟组,而不是创建和面向这些组,因为Intune策略和应用程序会自动按平台限定范围。
在Intune (超过 100,000 个成员) 中使用非常大的组时,预期在目标方面会有一些初始延迟。 Microsoft Entra ID 和 Intune 之间首次发生设置过程。 第一次完全同步所花费的时间始终比后续增量同步更长。
重用组
| 做 | 不要 |
|---|---|
| ✅ 重复使用相同的组对象来分配多个策略。 |
❌ 不要创建同一组的重复副本,以面向不同的策略。 ❌ 不要创建专用的“应用组”或“策略组”。 |
在后台,Intune将Microsoft Entra组成员转换为每个用户和设备的分配目标消息。 当组对象相同时,此过程将得到高度优化。
例如,当“工程”用户组面向 10 个策略时,Intune分组和定位效果最佳。 当工程用户是 10 个不同组的成员,每个组分配给不同的策略时,它效果并不最佳。
我们已看到一些未使用本指南的设计。 例如,IT 管理员创建一个“Install_Edge”组,创建一个“Deploy_Edge_Config_Policy”组,然后将相同的设备放在每个组中,这是不建议用于性能的。
创建“应用组”时,有一种类似且不推荐的模式。 应用组是为每个应用创建多个Microsoft Entra组时。 例如,若要管理 Microsoft Edge 应用程序,管理员会创建以下组:
- Edge_Required
- Edge_Available
- Edge_Uninstall
管理员将单个用户或设备添加到这些组中。 这些应用组显著增加了Intune必须订阅和监视成员身份更新的Microsoft Entra组的数量,这效率较低。 低效的组同步设计会影响新分配的创建和传送到设备的速度。
进行增量组更改
| 做 | 不要 |
|---|---|
| ✅请注意Microsoft Entra ID中的大型组嵌套更改。 | ❌ 不要一次性进行大型组嵌套更改。 |
Microsoft Entra ID中的大型组成员身份更改可能会生成Intune中目标更改的突发。 这些突发可能会延迟环境中其他分配的目标。
如果一组管理员管理组,另一组管理员管理Microsoft Entra ID,则应传达Microsoft Entra ID更改对Intune目标的影响。
例如,如果Microsoft Entra管理员在Intune用于定位的现有组中嵌套新的大型组,则Intune开始同步所有组和组成员身份。 处理所有成员身份所需的时间取决于Microsoft Entra ID中所做的组更改的数量和大小。
当组“未引入”时,此建议也适用。 有关嵌套组的详细信息,请转到管理Microsoft Entra组和组成员身份。
使用筛选器包括和排除
| 做 | 不要 |
|---|---|
| ✅ 使用筛选器实现针对目标的正确用户+设备组合。 | ❌ 使用“包括”和“排除组”时,不要混合使用用户组和设备组。 |
此建议也是支持声明。 我们不建议或不支持为用户组创建分配,也不建议从该分配中排除设备组,反之亦然。
由于动态组的计时/延迟特性,存在此建议。 排除的组 成员身份不是即时的,这可能会导致设备错误地接收应用或策略分配。 若要了解详细信息,请转到 分配策略和配置文件 - 支持矩阵。
建议将分配给用户组,而不是混合排除项。 然后,使用筛选器动态包含或排除相应的设备。
摘要
在 Intune 中创建和管理分配时,请合并其中一些建议。 使用组或虚拟组,并应用筛选器来帮助优化目标范围。 请记住最佳做法:
- 不要创建自己的“所有用户”或“所有设备”组版本。 使用 Intune虚拟组,因为它们在将新用户或设备添加到环境中时不需要Microsoft Entra ID同步。
- 若要优化目标,请尽可能重复使用组。
- 对Intune组进行大型嵌套更改时要小心。 Intune需要处理所有这些更改,并计算受该更改影响的所有组的所有成员的有效更改。
- Intune不支持混合组排除。 因此,除了组或虚拟组分配之外,还可以使用筛选器动态包含和排除设备。