规划教育版设备分组和目标
✅ 组织设备和用户
通过将设备、学生、教室或学习课程组织成组,可以为学生提供所需的资源和配置。
分组和目标概述
Intune有四种定位方法:
| 分组类型 | 说明 | 优点 | 缺点 |
|---|---|---|---|
| 虚拟组 | 由 Intune 创建,并允许面向所有设备和所有用户 | 始终自动保持最新状态 | 只能使用筛选器限定范围 |
| 分配的组 | 在想要手动将用户或设备添加到组时使用。 | 轻松管理唯一的组成员身份 | 成员身份是手动维护的 |
| 动态组 | 组基于你创建的规则将学生或设备分配到组。 | 自动执行这些组的成员身份维护 | 更新可能需要几分钟到 24 小时 |
| 筛选器 | 允许在面向组时进一步缩小策略或应用的分配范围。 | Intune快速评估每个检查的筛选器 | 需要应用于虚拟组、已分配组或动态组 |
组织通常使用这些目标方法的组合。
注意
在适用于教育版的Intune管理控制台中无法访问筛选器,但在Intune管理控制台中可访问筛选器。
如果使用 Microsoft 学校数据同步 (SDS) ,则预创建两个额外的组:所有教师和所有学生。 还可以将 SDS 配置为自动创建和维护每个学校的学生和教师组。
除默认值外,还可以自定义组以满足各种需求。 例如,如果学校中有Windows 10和Windows 11设备,则可以创建组(例如Windows 10设备和Windows 11设备)来为其分配不同的策略和应用程序。
选择分组方法
✅ 选择最佳分组选项
目标配置和应用的方式可能取决于许多因素和注册类型。
下表提供了有关根据注册方法和所需行为要使用的 Windows 设备分组选项的指导。
| 注册类型 | 行为 | 最佳分组选项 |
|---|---|---|
| Autopilot 用户驱动 | 注册期间最快的应用程序 | ✔️ 基于 Autopilot 组标记、制造商或型号的设备动态组 ✔️ 用户动态组✔️已分配组 |
| Autopilot 自部署模式 | 注册期间最快的应用程序 | ✔️ 基于 Autopilot 组标记、制造商或型号的设备动态组 ✔️ 分配的组 |
| 所有注册类型 | 注册期间最快的应用程序 | ✔️ 具有筛选器的所有设备 ✔️组“所有设备”组 |
| 所有注册类型 | 注册后应用 | ✔️ 基于其他属性的设备动态组 |
下表提供了有关根据注册方法和所需行为要使用的 iOS 设备分组选项的指导。
| 注册类型 | 行为 | 最佳分组选项 |
|---|---|---|
| 自动设备注册 | 注册期间最快的应用程序 | ✔️ 具有筛选器的所有设备 ✔️组“所有设备”组 |
| 具有用户相关性的自动设备注册 | 注册期间最快的应用程序 | ✔️ 已分配或动态用户组 |
| 公司门户 | 注册期间最快的应用程序 | ✔️ 已分配或动态用户组 |
| 所有注册类型 | 注册后应用 | ✔️ 设备动态组 ✔️已分配设备组 |
提示
有关分组和目标选项的详细信息,请参阅大型Microsoft Intune环境中分组、定位和筛选的性能建议。
创建组和筛选器
✅ 创建组织组
注册和分组计划到位后,可以创建组。
示例组
✅ 查看按注册类型划分的常见分组示例
本部分包括教育组织中常见的目标方法。
Autopilot
将设备导入 Autopilot 时,它们包括设备的制造商和型号。 还可以将组标记添加到导入的每个设备。 组标记可用于创建用于目标的组。 某些客户使用组标记为不同的 autopilot 配置文件创建组,以面向不同的应用或配置文件,以及为基于角色的访问控制分配范围标记。
此表包含用于使用 Autopilot 注册的设备的公共组。
| 名称 | 类型 | 查询 |
|---|---|---|
| 所有 Windows 设备 | 动态成员身份规则 | (device.deviceOSType -startsWith“Windows”) |
| 所有 Autopilot 设备 | 动态成员身份规则 | (device.devicePhysicalIDs -any _ -startsWith “[ZTDId]”) |
| 所有非 Autopilot 设备 | 动态成员身份规则 | (device.deviceOSType -startsWith “Windows”) -and (deviceOwnership -eq “Company”) -and -not (devicePhysicalIds -any (_ -startsWith “[ZTDId]”) ) |
| 所有 Autopilot Student 设备 | 动态成员身份规则 | (device.devicePhysicalIds -any (_ -eq “[OrderID]:Student”) ) |
注意
“所有 Autopilot Student 设备”组示例假定 Autopilot 组标记设置为“Student”。 可以使用另一个组标记并相应地更新成员身份规则。
注意
- 如果计划基于 enrollmentProfileName 创建组或筛选器,请确保使用与规则匹配的名称创建注册配置文件。
- 如果使用 Autopilot 组标记对设备进行分组,请确保添加到设备对象的组标记与动态组规则匹配。
- 在 Windows 上,应用和策略也可以针对用户组。 但是,Windows 设备上的大多数应用和策略都是基于设备的。 因此,Windows 设备的每个用户都会收到分配给设备的任何先前用户的基于设备的应用和策略,除非新用户对以前应用的设置有不同的配置。
预配包
此表包含用于使用预配包注册的设备的公共组。
| 名称 | 类型 | 查询 |
|---|---|---|
| 所有 Windows 设备 | 动态成员身份规则 | (device.deviceOSType -startsWith“Windows”) |
| 所有学生设备 | 动态成员身份规则 | (device.displayName -startsWith“STU-”) |
注意
“所有学生设备”组示例假定预配包中的设备名称前缀设置为“STU-”。 可以使用另一个前缀并相应地更新成员身份规则。
所有注册类型
筛选器可用于进一步在组中包括或排除设备。 例如:
- 运行 Windows 10 (osVersion 的设备从 10.0.1 开始)
- 运行 Windows 11 (osVersion 的设备从 10.0.2 开始)
自动设备注册
使用自动设备注册注册设备时,设备将标记在注册期间使用的注册配置文件名称。 设备可以与注册下的“自动设备注册令牌”部分中的不同注册配置文件相关联。 某些客户使用注册配置文件名称为不同的注册设置创建组或筛选器,以面向不同的应用或配置文件,以及为基于角色的访问控制分配范围标记。
下面是通常用于动态安全组的查询示例。
| 名称 | 类型 | 查询 |
|---|---|---|
| 所有 iOS 设备 | 动态成员身份规则 | (device.deviceOSType -startsWith “iOS”) |
| 所有 “用例” 设备 | 动态成员身份规则 | (device.enrollmentProfileName -eq “'use case'”) |
为了在注册过程中尽快应用设置,而无需等待动态组更新,某些客户使用基于“ 所有设备” 虚拟组中的 enrollmentProfileName 和目标配置的筛选器。
- 具有特定 enrollmentProfileName (enrollmentProfileName 的设备等于“用例”)
注意
如果计划基于 enrollmentProfileName 创建组或筛选器,请确保使用与规则匹配的名称创建注册配置文件。
警告
每次 iOS 设备注册时,都会创建新的 Entra 设备对象,因此不会维护 分配的组 成员身份,因此设备会重置。