Plánování skupin uživatelů a zařízeníPlan your user and device groups

Platí pro: Intune v klasickém portáluApplies to: Intune in the classic portal
Hledáte dokumentaci o Intune na Azure Portalu?Looking for documentation about Intune in the Azure portal? Přejděte sem.Go here.

Skupiny v Intune poskytují při správě zařízení a uživatelů velkou flexibilitu.Groups in Intune give you great flexibility when you're managing your devices and users. Můžete nastavit skupin tak, aby odpovídaly potřebám vaší organizace podle těchto kritérií:You can set up groups to suit your organizational needs according to:

  • Geografické umístěnígeographic location
  • Oddělenídepartment
  • Vlastnosti hardwaruhardware characteristics
  • Operační systémoperating system
  • To, jestli je zařízení ve vlastnictví uživatele, nebo společnostiwhether the device is user-owned or company-owned

Jak fungují skupiny IntuneHow Intune groups work

Toto je výchozí zobrazení uzlu Skupiny v konzole pro správu Intune:This is the default view of the Groups node in the Intune admin console:

Snímek obrazovky s výchozím zobrazením uzlu Skupiny v konzole pro správu Intune

Zásady se nasazují do skupin, takže hierarchie skupin představuje jedno z klíčových rozhodnutí při návrhu.Policies are deployed to groups, so group hierarchy is one of your key design considerations. Je důležité pamatovat na to, že po vytvoření skupiny už nebude možné změnit její nadřazenou skupinu.It's important to know that you cannot change a group’s parent group after you've created the group. Způsob návrhu skupin má zásadní význam od první chvíle, kdy začnete používat službu Intune.How you design your groups is critically important from the moment you start using the Intune service. Toto téma obsahuje popis některých doporučených postupů při návrhu hierarchie skupin na základě potřeb organizace.Some recommended practices for designing a group hierarchy based on your organizational needs are described here.

Pravidla členství ve skupináchGroup membership rules

  • Skupina může obsahovat uživatele nebo zařízení, nemůže obsahovat oboje.A group can contain either users or devices, but not both.

    • Skupiny zařízení.Device groups. Sem patří počítače a mobilní zařízení.This includes computers and mobile devices. Před přidáním počítače do skupiny je potřeba ho zapsat.Before you can add a computer to a group, it must be enrolled. Než budete moct přidat mobilní zařízení do skupiny, musíte nakonfigurovat prostředí tak, aby podporovalo mobilní zařízení. Zařízení musí navíc být zapsaná nebo zjištěná protokolem Exchange ActiveSync.Before you can add a mobile device to a group, your environment must be configured to support mobile devices, and the device must be enrolled or discovered in Exchange ActiveSync.

    • Skupiny uživatelů.User groups. Skupina může mít uživatele ze skupin zabezpečení.A group can have users from security groups. Skupiny zabezpečení se synchronizují se službou Active Directory.Security groups sync with your instance of Active Directory. Pokud synchronizaci Active Directory nepoužíváte, můžete tyto skupiny vytvořit ručně.If you do not sync with Active Directory, you can manually create these groups.

  • Zařízení nebo uživatel může patřit do víc než jedné skupiny.A device or a user can belong to more than one group.

  • Skupina může zahrnout a vyloučit členy na základě následujících pravidel členství:A group can include and exclude members based on the following membership rules:

    • Členství na základě kritérií.Criteria Membership. Jedná se o dynamická pravidla, která Intune používá pro zahrnutí nebo vyloučení členů.These are dynamic rules that Intune runs to include or exclude members. Tato kritéria používají skupiny zabezpečení a další informace synchronizované z vaší místní služby Active Directory.These criteria use security groups and other information synced with your local instance of Active Directory. Pokud se změní skupina zabezpečení nebo data, při synchronizaci se službou Active Directory se změní i členství ve skupině.When the security group or data changes, the group membership changes when you sync with Active Directory.

    • Přímé členství.Direct Membership. Jedná se o statická pravidla, která členy explicitně přidávají nebo vylučují.These are static rules that explicitly add or exclude members. Seznam členství je statický.The membership list is static.

  • K vytvoření skupin uživatelů nebo skupin zařízení obsahujících uživatele nebo počítače se služba Active Directory Domain Services (AD DS) nevyžaduje.Active Directory Domain Services (AD DS) is not required when you create user groups or device groups that include users or computers. Pokud ale mají skupiny zařízení obsahovat mobilní zařízení, musí být prostředí nakonfigurované pro podporu mobilních zařízení.But, for device groups to include mobile devices, your environment must be configured to support mobile devices.

    Zařízení navíc musí být zjištěná a přidaná do Intune.Additionally, the devices must be discovered and added to Intune.

Pravidla vztahů skupinyGroup relationship rules

  • Každá vytvořená skupina musí mít nadřazenou skupinu.Each group you create must have a parent group. Po vytvoření skupiny už nebude možné změnit její nadřazenou skupinu.You cannot change a group’s parent group after you've created the group.

  • Přidávání uživatelů nebo zařízení do podřízené skupiny:When you add users or devices to a child group:

    • Podřízená skupina je vždy podskupinou nadřazené skupiny.The child group is always a subset of the parent group.

    • Noví členové přidaní do podřízené skupiny se automaticky přidají do příslušné nadřazené skupiny.New members you add to a child group are automatically added to that group’s parent group.

    • Pokud je člen vyloučený z nadřazené skupiny, nemůžete ho přidat do podřízené skupiny.You cannot add a member to a child group when that member is excluded from the parent group.

  • Členství v nadřazené skupině definuje dostupné členy pro podřízenou skupinu.The membership of a parent group defines the available membership for the child group.

  • Pokud odstraníte nadřazenou skupinu, odstraní se všechny podřízené skupiny.When you delete a parent group, all child groups are deleted.

  • Obsah a zásady můžete nasadit na nadřazenou skupinu a současně vyloučit nasazení na její podřízené skupiny.You can deploy content and policies to a parent group but exclude the deployment to child groups.

  • Konkrétního uživatele nebo zařízení můžete přidat do podřízené skupiny, pokud už není členem nadřazené skupiny.You can add a specific user or device to a child group if the user or device is not already a member of the parent group. V takovém případě se nový člen skupiny přidá do nadřazené skupiny.If you do this, the new member of the child group will be added to the parent group.

    Člena ale nemůžete přidat do podřízené skupiny, pokud je vyloučený z nadřazené skupiny.However, you cannot add a member to a child group if the member is excluded from the parent group.

  • Členství ve skupině je rekurzivní.Group membership is recursive. Například:For example:

    • Jan je členem jenom jedné skupiny, skupiny zabezpečení Uživatelé přenosných počítačů .Pat is a member of only one group, the Laptop Users security group.

    • Skupina Uživatelé přenosných počítačů je členem skupiny zabezpečení Schválení uživatelé .The Laptop Users group is a member of the Approved Users security group.

    • Vytvoříte v Intune skupinu, která používá dynamický dotaz na členství obsahující členy skupiny Schválení uživatelé.You create a group in Intune that uses a dynamic membership query that includes the members of the Approved Users group. Výsledkem je, že vaše skupina uživatelů Intune zahrnuje uživatele Jan.The result is that your Intune user group includes Pat.

Tip

Při vytváření skupin vezměte v úvahu, jak budete zásady používat.When you create groups, think about how you will apply policy. Například můžete mít zásady specifické pro operační systémy zařízení nebo pro různé role či organizační jednotky, které už máte definované ve službě Active Directory.For example, you might have policies that are specific to device operating systems, or policies that are specific to different roles or organizational units you've already defined in your Active Directory service. Někteří správci považují za užitečné vytvářet skupiny zařízení pro iOS, Android a Windows.Some admins find it useful to create device groups that are specific to iOS, Android, and Windows. Samozřejmě jako doplněk skupin uživatelů pro každou organizační roli.This is in addition to creating user groups for each organizational role.

Předdefinované skupinyBuilt-in groups

Intune poskytuje devět předdefinovaných skupin, které se nedají upravit ani odstranit: Intune has nine built-in groups that you cannot edit or delete:

  • Všichni uživateléAll Users
    • Neseskupení uživateléUngrouped Users
  • Všechna zařízeníAll Devices
    • Všechny počítačeAll Computers
    • Všechna mobilní zařízeníAll Mobile Devices
      • Všechna přímo spravovaná zařízeníAll Direct Managed Devices
      • Všechna zařízení spravovaná prostřednictvím protokolu Exchange ActiveSyncAll Exchange ActiveSync Managed Devices
    • Všechna zařízení vlastněná společnostíAll Corporate-owned Devices
    • Neseskupená zařízeníUngrouped Devices

Poznámka

Vaším mottem by měla být jednoduchost.Let your motto be: keep it simple. Pokud vaše organizace nemá žádné specifické potřeby podobné těm, které jsou popsané v dalších částech, pro jednoduchost použijte výchozí strukturu skupin a zásad.If your organization does not have specific needs like those described in the following sections, keep it simple and go with the default group structure and policies. To zajistí z dlouhodobého hlediska udržitelnější správu služby.This will make the service more manageable in the long term. Správa bude jednodušší, pokud budete moci s uživateli pracovat jednotně.Maintenance will be easier if you can treat your users uniformly. S menším rozlišováním podle skupin budete mít k udržování méně zásad.With little differentiation by group, you'll have fewer policies to maintain.

Všichni uživatelé a zařízení ve vaší organizaciAll users and devices in your organization

Definujte nadřazenou skupinu všech uživatelů a zařízení ve vaší organizaci.Define a parent group for all users and devices in your organization. Pravděpodobně budete mít některé zásady, které se budou vztahovat na všechny.You are likely to have policies that will apply to all. K tomuto účelu můžete v Intune použít výchozí skupiny Všichni uživatelé a Všechna zařízení.You can use the Intune default All Users and All devices groups for this purpose. Podřízenými položkami nadřazených skupin Všichni uživatelé a Všechna zařízení můžou být podskupiny, které umožňují uspořádat zařízení podle konkrétních kritérií, třeba skupina zařízení využívajících model Přineste si vlastní zařízení (BYOD) a skupina zařízení ve vlastnictví společnosti.Sub-groups that organize devices by specifics, like a group for bring your own device (BYOD) and one for corporate-owned (CO) devices, can be child groups of the All Users and All devices parent groups.

Přizpůsobení skupin vaší organizaciCustomize groups for your organization

Vlastní zařízení a zařízení ve vlastnictví firmyBYOD and corporate-owned devices

Pokud vaše organizace umožňuje zaměstnancům používat v práci jejich vlastní zařízení, poskytuje jim zařízení ve vlastnictví společnosti nebo používá kombinaci těchto přístupů, doporučujeme uplatňovat zásady na základě těchto kategorií zařízení odděleně.If your organization allows employees to use their own devices, provides company-owned devices, or has a combination of both, we recommend that you apply separate policies for these categories of devices.

V případě modelu BYOD nebo kombinace zařízení zásady pečlivě naplánujte tak, aby neporušovaly místní předpisy na ochranu osobních údajů.In the case of BYOD or a mix, be careful to plan policies that do not infringe on local privacy regulations. Vytvořte nadřazenou skupinu pro všechny uživatele, kteří budou používat svoje vlastní zařízení.Create a parent group for all users who will be bringing their own devices. Tuto skupinu pak můžete použít k uplatnění zásad, které platí pro všechny uživatele v této kategorii.You can use this group to apply policies that are applicable to all users in this category.

Vytvoření nadřazené skupiny BYOD

Podobně můžete vytvořit skupinu pro uživatele se zařízeními ve vlastnictví společnosti:Similarly, you can create a group for the CO device users in your organization:

Skupiny uživatelů na stejné úrovni – zařízení BYOD a zařízení ve vlastnictví společnosti

Skupiny pro zeměpisné oblastiGroups for geographic regions

Pokud vaše organizace potřebuje různé zásady podle oblastí, můžete vytvořit skupiny založené na geografické oblasti.If your organization needs policies for specific regions, you can create groups based on geographic region. Můžete pro ně použít oblastních skupiny, které už možná máte vytvořené ve službě Active Directory, a synchronizovat je se službou Azure Active Directory.You can base them on regional groups that you might have already created in your instance of Active Directory, and sync them with your Azure Active Directory service. Oblastní skupiny můžete také vytvořit přímo v Azure Active Directory.You also can create regional groups directly in Azure Active Directory.

Následující snímky obrazovky ukazují, jak vytvořit skupiny Intune na základě skupin synchronizovaných z místní služby Active Directory.The next screenshots show you how to create Intune groups based on groups synced with your on-premises Active Directory instance. Tento příklad vychází z předpokladu, že máte skupinu zabezpečení služby Active Directory s názvem US Users Group (Uživatelé v USA).These examples assume that you have an Active Directory security group called US Users Group.

Nejdřív zadejte obecné informace.First, provide general information.

Snímek obrazovky s oblastí Upravit skupinu

V části Kritéria členství vyberte skupinu US Users Group synchronizovanou ze služby AD jako skupinu zabezpečení, která se má použít v souladu s pravidly členství.Under Membership criteria, select US Users Group, synced with Active Directory, as the security group to use under membership rules.

Snímek obrazovky s dialogovým oknem Upravit skupinu

Zkontrolujte zadané informace a dokončete vytváření skupiny výběrem možnosti Dokončit.Review your entries, and then choose Finish to create the group.

Snímek obrazovky s dialogovým oknem Upravit skupinu

V našem příkladu jsme také vytvořili skupinu MEA pro Střední východ a Asii.In our example, we’ve also created a group called MEA, for the Middle East and Asia.

Poznámka

Pokud se do části členství ve skupině automaticky nezadají informace na základě členství ve skupině zabezpečení, zkontrolujte, jestli jste těmto členům přiřadili licence služby Intune.If group membership is not populated based on security group membership, make sure that you have assigned Intune licenses to group members.

Skupiny pro konkrétní hardwareGroups for specific hardware

Pokud vaše organizace potřebuje zásady, které se budou uplatňovat na konkrétní typy hardwaru, můžete vytvořit skupiny založené na tomto požadavku.If your organization requires policies that apply to specific hardware types, you can create groups based on this requirement. Zásady můžete založit na konkrétních skupinách, které už možná máte vytvořené v místní službě Active Directory, a synchronizovat je se službou Azure Active Directory.You can base the policies on specific groups that you have already created in your on-premises instance of Active Directory, and then sync them with Azure Active Directory. Skupiny podle oblastí můžete také vytvořit přímo v Azure Active Directory.You also can create groups directly in Azure Active Directory. V tomto příkladu používáme skupinu US User Group jako nadřazenou pro skupinu Laptop Users (Uživatelé přenosných počítačů).In this example, we use US Users Group as the parent group for the Laptop Users group.

Dialog Vybrat skupinu zabezpečení

Dosud vytvořená hierarchie skupin by měla odpovídat následujícímu snímku obrazovky.At this point, your group's hierarchy should look similar to the next screenshot. Jak vidíte, skupina Intune Laptop Users (Uživatelé přenosných počítačů) teď obsahuje členy.You can see that there are now members in the Intune group Laptop Users. Všechny zásady uplatněné na tuto skupinu se použijí na uživatele vlastních přenosných počítačů z oblasti USA.Any policies applied to this group will be applied to BYOD laptop users from the U.S. region.

Zobrazení skupiny Uživatelé přenosných počítačů

Skupiny pro konkrétní operační systémyGroups for specific operating systems

Pokud vaše organizace potřebuje zásady, které se budou uplatňovat na konkrétní operační systémy, třeba na Android, iOS nebo Windows, můžete vytvořit skupiny založené na tomto požadavku.If your organization requires policies that apply to specific operating systems like Android, iOS, or Windows, you can create groups based on this requirement. Jako v předchozích příkladech můžete zásady založit na konkrétních skupinách, které už možná máte vytvořené v místní službě Active Directory, a synchronizovat je se službou Azure Active Directory.As in earlier examples, you can base them on OS-specific groups that you have already created in your on-premises instance of Active Directory, and sync them with Azure Active Directory. Můžete je také vytvořit přímo ve vaší instanci Azure Active Directory.You also can create them directly in your instance of Azure Active Directory.

Použitím stejného postupu jako v předchozích příkladech můžete vytvořit skupiny založené na uživatelích , kteří používají konkrétní platformy operačních systémů.By using the same method from earlier examples, you can create groups based on users who use specific operating system platforms.

Poznámka

Pokud máte uživatele, kteří používají různé mobilní platformy nebo operační systémy a nemáte automatizovaný způsob, jak je zařadit do kategorií uživatelů systému Android, iOS nebo Windows, promyslete si, jestli nebude lepší uplatňovat zásady na úrovni zařízení.If you have users who use multiple mobile platforms or operating systems and you do not have an automated way to categorize users as Android users, iOS users, or Windows users, consider applying policies at the device level. To vám dá větší flexibilitu při uplatňování zásad pro konkrétní operační systémy.This will give you more flexibility to apply policies that are specific to an operating system.

Dynamické zřizování skupin na základě operačního systému zařízení není možné.You cannot provision groups dynamically based on the operating system of the device. Místo toho použijte skupiny zabezpečení Active Directory nebo Azure Active Directory.Instead, do this by using Active Directory or Azure Active Directory security groups.

Skupina Laptop Users (Uživatelé přenosných počítačů)

Po zaplnění všech skupin uživatelů na základě požadavků organizace by vaše hierarchie skupin měla vypadat přibližně takto:After all of your user groups are populated based on your organizational requirements, your group hierarchy should look something like this:

Zobrazení hierarchie skupin

Tuto hierarchii můžete použít k uplatňování zásad vaší organizace.You can use this hierarchy to apply the organization's policies.

Skupiny zařízeníDevice groups

Podobné skupiny můžete vytvořit také pro zařízení, jak ukazuje následující příklad. V případě modelu BYOD (Přineste si vlastní zařízení) začněte velkou skupinou zahrnující všechna zařízení ve vlastnictví zaměstnanců.You also can create similar groups for devices as shown here, starting with a broad group that includes all employee-owned devices, for the BYOD scenario.

Dialog Vytvořit skupinu

Nezapomeňte vybrat možnost Všechna zařízení (počítače a mobilní zařízení), aby skupina obsahovala všechna vlastní zařízení zaměstnanců:Make sure that you select All devices (computers and mobile) so that the group will include all BYO devices:

Stránka Definovat kritéria členství

Zkontrolujte zadané informace a dokončete vytváření skupiny výběrem možnosti Dokončit.Review your entries, and then choose Finish to create the BYOD group.

Dialog Vytvořit skupinu

Pokračujte ve vytváření skupin zařízení, dokud nebudete mít hierarchii skupin zařízení podobnou hierarchii skupin uživatelů.Continue to create device groups until you have a device group hierarchy that is similar to the user group hierarchy. Uzel skupiny v konzole Intune se bude podobat tomuto příkladu:Your group node in the Intune console will look similar to this:

Zobrazení hierarchie skupin v Intune

Hierarchie skupin a konvence pojmenováníGroup hierarchies and naming conventions

V zájmu snazší správy zásad doporučujeme pojmenovat každou zásadu podle účelu, platformy a rozsahu jejího uplatnění.To make policy management easier, we recommend that you name each policy according to the purpose, platform, and scope to which you apply it. Použijte systém pojmenování vycházející ze struktury skupin, které jste vytvořili při přípravě zásad.Use a naming standard that follows the group structure that you created when you prepared to apply your policies.

Třeba zásada pro systém Android, která se uplatňuje na všechna firemní mobilní zařízení s Androidem v oblasti USA, může mít název CO_US_Mob_Android_General.For instance, for an Android policy that applies to all corporate, Android, mobile devices at the U.S. regional level, you might name the policy CO_US_Mob_Android_General.

Vytvoření zásady pro Android

Když zásady pojmenujete tímto způsobem, budete je moct snadno identifikovat a zjistit jejich účel a rozsah přímo z uzlu Zásady v konzole, například takto:When you name your policies this way, you can quickly identify policies and their intended use and scope in the Policies node, like this:

Seznam zásad Intune

Další krokyNext steps

Vytváření skupinCreate groups