添加用于组织用户和设备的组
Intune使用Microsoft Entra组来管理设备和用户。 Intune 管理员可以设置组以适合组织需求。 创建组,以便按地理位置、部门或硬件特性来组织用户或设备。 使用组来管理大规模的任务。 例如,可设置适用于许多用户的策略,或向一组设备部署应用。
注意
从 Microsoft 365 管理中心 创建的默认组未启用安全性。 必须在 Microsoft 365 管理中心、Microsoft Entra 管理中心 或 Microsoft Intune 管理中心中显式创建 365 个Microsoft启用安全性的组。
可以添加下列类型的组:
分配组 - 将用户或设备手动添加到静态组。
动态组 (需要Microsoft Entra ID P1 或 P2) - 根据创建的表达式自动将用户或设备添加到用户组或设备组。
例如,在添加具有经理职务的用户时,该用户将自动添加到“所有经理”用户组中。 或者,当设备具有 iOS/iPadOS 设备 OS 类型时,设备会自动添加到“所有 iOS/iPadOS 设备”设备组中。
添加新组
使用以下步骤来创建新组。
选择“组”>“新建组”:
在“组类型”中,选择下列选项之一:
安全:安全组定义谁可以访问资源,并推荐谁可以加入你在 Intune 中的组。 例如,可以为用户创建组,如 所有 Charlotte 员工 或 远程工作者。 或者,为设备创建组,如“所有 iOS/iPadOS 设备”或“所有 Windows 10 学生设备”。
提示
还可以在Azure 门户Microsoft 365 管理中心、Microsoft Entra 管理中心和Microsoft Intune中看到创建的用户和组。 在组织租户中,可以创建和管理所有这些区域中的组。
如果主要角色是设备管理,我们建议使用 Microsoft Intune 管理中心。
Microsoft 365:通过授予成员访问共享邮箱、日历、文件、SharePoint 站点等的权限来提供协作机会。 使用此选项还可以向组织外部的用户授予对组的访问权限。 有关详细信息,请参阅 了解 Microsoft 365 组。
注意
仅支持启用安全的Microsoft 365 组。
对于新组,输入 组名称 和 组说明。 具体明确并包含信息,使其他人知道组的用途。
例如,对于“组名称”,请输入“所有 Windows 10 学生设备”,对于“组说明”,请输入“Contoso 高中 9-12 年级学生使用的所有 Windows 10 设备”。
输入“成员身份类型”。 选项包括:
已分配:管理员手动将用户或设备分配给此组,以及手动删除用户或设备。
动态用户:管理员创建成员身份规则以自动添加和删除成员。
动态设备:管理员创建动态组规则以自动添加和删除设备。
有关这些成员身份类型和创建动态表达式的详细信息,请参阅:
注意
在此管理中心,创建用户或组时,可能看不到Microsoft Entra ID品牌。 但这就是你正在使用的内容。
选择“创建”以添加新组。 此时,组显示在列表中。
请考虑你可以创建的一些其他动态用户和设备组,例如:
- Contoso 高中的所有学生
- 所有 iOS 11 及更早版本设备
- 市场营销
- 人力资源
- 所有 Charlotte 员工
设备组
需要基于设备标识而非用户标识运行管理任务时,可以创建设备组。 它们可用于管理无专用用户的设备,例如展台设备、由轮班工作人员共享的设备或分配给特定位置的设备。
例如:
- 所有Windows 10 Surface 设备
- CLT 分发中心-Zebra 设备
还可以使用 设备类别 在设备注册时自动将设备加入组。
Intune 所有用户和所有设备组
在Intune管理中心分配策略和应用时,可以选择分配给“所有用户”或“所有设备”组,这些组由Intune自动创建。
“ 所有设备 ”组面向已注册到管理中的所有设备。 “所有用户”组是一种面向已分配Intune许可证的所有用户的简单方法。 这些组被视为“虚拟”,因为你不会在Microsoft Entra ID中创建或查看它们。 它们使用起来很方便,因为它们已在租户中,并且是比Microsoft Entra组更快的目标单元。
提示
若要创建组织的基本合规性要求,可以创建适用于所有组和设备的默认策略。 然后,为最广泛的用户和设备类别创建更具体的策略。 例如,可以为每个设备操作系统创建电子邮件策略。
将策略和应用程序分配给大型组(例如 “所有用户 ”和“ 所有设备”)时,可以选择使用 筛选器,以便可以动态控制策略或应用部署应应用于哪些设备。
有关使用筛选器的更多指南,请转到: