Doporučení k výkonu pro seskupování, cílení a filtrování ve velkých Microsoft Intune prostředích
Tento článek obsahuje seznam a popisuje doporučení pro seskupování, cílení a filtrování zásad a aplikací v Intune. Cílem je pomoct vám při rozhodování o architektuře a návrhu nasazení Intune ve velkých prostředích.
Tato doporučení k výkonu a jejich implementace se můžou lišit a záviset na vašem prostředí & dalších faktorech, včetně spravovatelnosti a jednoduchosti.
V tomto článku:
- Přehled konceptů seskupování a cílení v Intune
- Získání doporučení k výkonu
Další informace a přehled filtrů najdete v článku Použití filtrů při přiřazování aplikací, zásad a profilů v Microsoft Intune.
Pokyny k dynamickým skupinám najdete v článku Vytvoření jednodušších a efektivnějších pravidel pro dynamické skupiny v id Microsoft Entra.
Přehled konceptů seskupování a cílení v Intune
Než se k doporučením dostaneme, pojďme si projít funkce seskupení, cílení a filtrování, které jsou dostupné v Intune.
skupiny Microsoft Entra
Intune používá k seskupování a cílení téměř výhradně Microsoft Entra skupin. Když v Centru pro správu Microsoft Intune vyberete Skupiny, zobrazí se Microsoft Entra skupiny.
Microsoft Entra skupiny jsou důležitou součástí Intune, protože tyto skupiny jsou:
- Objekty používané k přiřazování aplikací, zásad a dalších úloh uživatelům a zařízením
- Slouží k definování zařízení, která můžou správci zobrazit a spravovat v Centru pro správu Intune, jako jsou skupiny oborů v řízení přístupu na základě role (RBAC).
Virtuální skupiny
Přiřazení Všichni uživatelé a Všechna zařízení jsou virtuální skupiny Intune. Tyto virtuální skupiny jsou ve výchozím nastavení dostupné ve všech tenantech Intune a nemají žádné režijní náklady na správu. Nemusíte například vytvářet ani upravovat žádná pravidla Microsoft Entra ID, aby zůstali jejich členové naplněni.
Skupiny Všichni uživatelé a Všechna zařízení jsou také vysoce škálovatelné a optimalizované, hlavně proto, že se nemusí synchronizovat z id Microsoft Entra stejným způsobem jako ostatní skupiny.
Filtry
Po přiřazení aplikace nebo zásady k ID Microsoft Entra nebo virtuální skupině můžete pomocí filtrů zúžit rozsah přiřazení těchto aplikací a zásad na konkrétní skupiny uživatelů nebo zařízení.
Filtr filtruje zařízení v daném přiřazení (nebo mimo) na základě vlastností zařízení.
Filtrování je vysoký výkon a vyhodnocení použitelnosti s nízkou latencí při ohlášení zařízení bez nutnosti předkomputovat členství ve skupině.
Doporučení k výkonu
Tato část obsahuje několik doporučení, která můžou zvýšit výkon při přiřazování zásad v Microsoft Intune.
Tato doporučení se zaměřují na zvýšení výkonu a snížení latence při přiřazování úloh. Největší dopad mají při práci ve velkých prostředích Intune, jako jsou prostředí se >100 000 zařízeními. Tato doporučení by se měla zvážit s dalšími aspekty návrhu, jako jsou možnosti správy, snadné použití, správa na základě rolí a jednoduchost.
Použití virtuálních skupin
| DO | NE |
|---|---|
| ✔️ Místo vytváření vlastní verze všech uživatelů a všech zařízení pomocí Microsoft Entra dynamických skupin použijte virtuální skupiny Všichni uživatelé a Všechna zařízení. | ❌ Nevytvovávejte vlastní dynamické skupiny Všichni uživatelé nebo Všechna zařízení pro cílení zásad a aplikací v Intune. |
Synchronizace aktualizací členství mezi Microsoft Entra ID a Intune u větších skupin trvá déle. "Všichni uživatelé" a "Všechna zařízení" jsou obvykle největší skupiny, které máte. Pokud přiřadíte úlohy Intune velkým Microsoft Entra skupinám, které mají mnoho uživatelů nebo zařízení, může docházet k synchronizaci backlogů ve vašem prostředí Intune. Tento backlog má vliv na nasazení zásad a aplikací, jejichž přístup ke spravovaným zařízením trvá déle.
Předdefinované skupiny Všichni uživatelé a Všechna zařízení jsou objekty seskupení jenom v Intune, které neexistují v id Microsoft Entra. Mezi Microsoft Entra ID a Intune nedochází k průběžné synchronizaci. Členství ve skupinách je tedy okamžité.
Poznámka
Informace o intervalech aktualizace zásad vracení se změnami v Intune najdete v tématu Intervaly aktualizace zásad Intune.
Tuto optimalizaci můžete použít také u jiných velkých a často se měnících skupin, které můžete mít, jako jsou Všechna zařízení s Windows nebo všechna zařízení s iOSem. Místo vytváření a cílení těchto skupin můžete použít existující virtuální skupiny Všichni uživatelé nebo Všechna zařízení, protože zásady a aplikace Intune už jsou vymezené platformou.
Pokud v Intune používáte velmi velké skupiny (více než 100 000 členů), očekávejte počáteční zpoždění při cílení. Mezi Microsoft Entra ID a Intune probíhá první proces nastavení. První úplná synchronizace vždy trvá déle než následná přírůstková synchronizace.
Opakované použití skupin
| DO | NE |
|---|---|
| ✔️ Znovu použijte stejné objekty skupiny pro přiřazování více zásad. | ❌ Nevytvovávejte duplicitní kopie stejné skupiny, abyste mohli cílit na různé zásady. ❌ Nevytvovávejte vyhrazené skupiny aplikací ani skupiny zásad. |
Intune na pozadí převádí Microsoft Entra členy skupiny na zprávy zaměřené na přiřazení pro každého uživatele a zařízení. Tento proces je vysoce optimalizovaný, pokud jsou objekty skupiny stejné.
Například seskupování a cílení Intune funguje nejlépe, když je skupina uživatelů "Engineering" cílená na 10 zásad. Nefunguje nejlépe, když jsou uživatelé s technikem členy 10 různých skupin, z nichž každá je přiřazená k jiné zásadě.
Viděli jsme několik návrhů, které jsou proti tomuto návodu. Správci IT například vytvoří skupinu "Install_Edge", vytvoří skupinu "Deploy_Edge_Config_Policy" a pak do každé skupiny umístí stejná zařízení.
Podobným a nedoporučenou vzorem je vytváření skupin aplikací. Skupina aplikací je, když má každá aplikace několik Microsoft Entra skupin vytvořených pro ni. Správce například pro správu aplikace Edge vytvoří následující skupiny:
- Edge_Required
- Edge_Available
- Edge_Uninstall
Správce do těchto skupin přidá jednotlivé uživatele nebo zařízení. Tyto skupiny aplikací výrazně zvyšují počet Microsoft Entra skupin, ke kterým se Intune musí přihlásit, a monitorovat aktualizace členství, což je méně efektivní. Neefektivní návrh synchronizace skupin má vliv na to, jak rychle se nová přiřazení vytvářejí a doručují do zařízení.
Provádění přírůstkových změn skupin
| DO | NE |
|---|---|
| ✔️ Při změnách velkého vnoření skupin v ID Microsoft Entra buďte opatrní. | ❌ Neprovádějte velké změny vnoření skupin najednou. |
Velká změna členství ve skupině v id Microsoft Entra může v Intune generovat nárůsty změn cílení. Tyto shluky můžou zpozdit cílení na jiná přiřazení ve vašem prostředí.
Pokud vaše skupiny spravuje jiná skupina správců než správci, kteří spravují ID Microsoft Entra, měli byste sdělit, jaký dopad můžou mít změny Microsoft Entra ID na cílení na Intune.
Pokud například správce Microsoft Entra vnořuje nové velké skupiny do existující skupiny, kterou Intune používá k cílení, začne Intune synchronizovat všechny skupiny a členství ve skupinách. Doba potřebná ke zpracování všech členství závisí na počtu a velikosti změn skupin provedených v id Microsoft Entra.
Toto doporučení platí také v případě, že jsou skupiny "neoznačené". Další informace o vnořených skupinách najdete v tématu Správa Microsoft Entra skupin a členství ve skupinách.
Zahrnutí a vyloučení pomocí filtrů
| DO | NE |
|---|---|
| ✔️ Pomocí filtrů dosáhnete správné kombinace uživatele a zařízení pro cílení. | ❌ Při použití skupin Zahrnout a Vyloučit nemíchejte skupiny uživatelů a zařízení. |
Toto doporučení je také prohlášením o podpoře. Nedoporučujeme ani nepodporujeme vytváření přiřazení skupin uživatelů a vyloučení skupiny zařízení z daného přiřazení nebo naopak.
Toto doporučení existuje kvůli charakteristikě časování/latence dynamických skupin. Členství ve vyloučených skupinách není okamžité, což může vést k případům, kdy zařízení nesprávně obdrží přiřazení aplikací nebo zásad. Další informace najdete v matici Přiřazení zásad a profilů – podpora.
Místo smíšených vyloučení doporučujeme přiřadit skupině uživatelů. Potom použijte filtry k dynamickému zahrnutí nebo vyloučení příslušných zařízení.
Souhrn
Při vytváření a správě přiřazení v Intune zapracováte některá z těchto doporučení. Použijte skupiny nebo virtuální skupiny a použijte filtry, které vám pomůžou upřesnit rozsah cílení. Mějte na paměti osvědčené postupy:
- Nevytvovávejte vlastní verzi skupin Všichni uživatelé nebo Všechna zařízení. Použijte virtuální skupiny Intune, protože nevyžadují synchronizaci id Microsoft Entra, když se do prostředí přidá nový uživatel nebo zařízení.
- Pokud chcete optimalizovat cílení, co nejvíce používejte skupiny.
- Při provádění velkých změn vnoření skupin Intune buďte obezřetní. Intune musí všechny tyto změny zpracovat a vypočítat efektivní změny pro všechny členy všech skupin, na které se tato změna týká.
- Intune nepodporuje vyloučení smíšených skupin. Proto použijte filtry k dynamickému zahrnutí a vyloučení zařízení kromě přiřazení skupin nebo virtuálních skupin.
Další kroky
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro