了解基于组的策略管理

可根据用户组或设备组来管理对设备、应用和策略的分配。

可以添加下列类型的组：

设备

若要更轻松地管理设备，可使用 Microsoft Intune 设备类别，以根据定义的类别自动向组添加设备。

设备类别使用以下工作流：

创建可供用户在注册设备时选择的类别。
iOS/iPadOS 和 Android 设备的用户在注册设备时，必须从你配置的类别列表中选择一个类别。若要向 Windows 分配一个类别，用户必须使用公司门户网站。
你随后可以将策略和应用部署到这些组。

可以创建任何所需的设备类别。例如：

注册设备后，它将成为托管设备。组织可通过移动设备管理 (MDM) 提供程序（如 Intune）为该设备分配策略和应用。

将应用添加到 Microsoft Intune 后，可将其分配给用户和设备。请务必注意，无论设备是否由 Intune 管理，你都可以将应用分配给设备。

在 Intune 中，可以通过分配要包括的组和要排除的组来决定哪些用户有权访问应用。在将组分配到应用之前，必须设置应用的分配类型。分配类型使应用可用、成为所需应用，或者卸载应用。

要设置应用的可用性，你可以在一个用户或设备组中包含和排除应用分配。你可以组合使用包含和排除组分配的方式来实现这一点。此功能在以下情况下可能很有用：你通过包含一个大组来为用户提供应用；然后，通过排除较小的组来缩小所选用户的范围。较小的组可能是测试组或管理组。

最佳做法是，专门为用户组创建和分配应用，然后再单独为设备组创建和分配应用。

例如，添加用户并向其分配管理员职务时，该用户会自动添加到“所有管理员”用户组。如果设备具有 iOS/iPadOS 设备 OS 类型，设备会自动添加到“所有 iOS/iPadOS 设备”组中。

将应用分配给 Intune 中的组之后，可向用户或设备分配该应用的策略。

可使用 Intune 将策略分配给组。分配策略时，可选择要包含的用户和要排除的用户。

许多用户询问何时应使用用户组，而不是设备组。答案取决于你的目标。下面是一些入门指南：

如果无论登录的用户是谁，你都希望在设备上应用设置，那么请将配置文件分配给设备组。应用于设备组的设置始终随附于设备（而不是用户）。设备组通常用于共享和专用设备。

例如：

设备组适用于管理没有专用用户的设备。例如，你有用于完成打印工单、扫描清单、在轮班工人之间共享信息、将工单分配给特定仓库等任务的设备。将这些设备放在设备组中，并将配置文件分配给此设备组。
创建一个设备固件配置接口 (DFCI) Intune 配置文件，用于更新 BIOS 中的设置。例如，需要将此配置文件配置为禁用设备照相机，或锁定启动选项以防止用户启动其他操作系统。此配置文件就很适合分配给设备组。
在某些特定的 Windows 设备上，你始终需要控制某些 Microsoft Edge 设置，而不考虑使用该设备的用户。例如，你想要阻止所有下载，将所有 cookie 限制为当前浏览会话，并删除浏览历史记录。对于这种情况，请将这些特定的 Windows 设备放入设备组中。接下来，在 Intune 中创建管理模板，添加这些设备设置，然后将此配置文件分配给设备组。

总而言之，当你不关心登录设备的用户或是否有任何人登录时，请使用设备组。你希望设置始终位于设备上。

应用于用户组的配置文件设置始终随附于用户，并在登录到多个设备时随附于用户。用户通常有很多设备，例如一台工作用的 Surface Pro 和一台个人用的 iOS/iPadOS 设备。而且，用户通常可以从这些设备访问电子邮件和其他组织资源。用户组通常用于信息工作和知识工作者。

例如：

你需要为所有设备上的所有用户提供一个技术支持图标。在此方案中，请将这些用户放入一个用户组，然后将“支持人员”图标配置文件分配给此用户组。
用户将收到一个新的组织拥有的设备。用户通过其域帐户登录到设备。设备自动在 Microsoft Entra ID 中注册，并由 Intune 自动管理。此配置文件就很适合分配给用户组。
每当用户登录到设备时，你都需要控制 OneDrive 或 Office 等应用中的功能。在此方案中，将 OneDrive 或 Office 配置文件设置分配给用户组。

例如，你想要在 Office 应用中阻止不受信任的 ActiveX 控件。可在 Intune 中创建管理模板，分配此设置，然后将此配置文件分配给用户组。