Použití skupin pro správu uživatelů a zařízení v Microsoft IntuneUse groups to manage users and devices in Microsoft Intune

Platí pro: Intune v klasické konzoleApplies to: Intune in the classic console
Hledáte dokumentaci k Intune v Azure?Looking for documentation about Intune on Azure? Přejděte sem.Go here.

Toto téma popisuje, jak vytvořit skupiny v Intune.This topic describes how to create groups in Intune. Poskytuje také informace o změně správy skupin, která se chystá v nadcházejících měsících.It also provides information about how the management of groups is going to change over the coming months.

Důležité

Pokud se vám na portálu Intune po otevření pracovního prostoru Skupiny zobrazí odkaz na portál Azure Active Directory (Azure AD), znamená to, že používáte nový přístup ke správě skupin v Intune – na základě skupin zabezpečení Azure AD. Jeho popis najdete v tématu Migrace skupin Azure Active Directory.If you open the Groups workspace in the Intune portal and see a link to the Azure active directory (Azure AD) portal, then you are using the new Azure AD security groups approach to group management in Intune, described in Migrating groups to Azure Active Directory. Pokud chcete vytvářet a spravovat skupiny, klikněte na odkaz na portál Azure AD.Click the link to the Azure AD portal to create and manage your groups.

Snímek obrazovky s odkazem na správu skupin Azure

Pokud odkaz na portál Azure AD nevidíte, stále používáte současný přístup ke správě skupin popsaný v tomto tématu v části Vytvoření skupin.If you do not see the link to the Azure AD portal, you are still using the current approach to group management, described in Create groups in this topic.

Toto téma popisuje, jak vytvořit skupiny Intune v konzole pro správu Intune.This topic describes how to create Intune groups in the Intune administration console.

Skupiny můžete vytvářet a spravovat v pracovním prostoru Skupiny v konzole pro správu Microsoft Intune.You can create and manage groups in the Groups workspace in the Microsoft Intune admin console. Stránka Přehled skupin zobrazuje souhrny stavů, které vám pomůžou identifikovat problémy vyžadující vaši pozornost a určit jejich prioritu.The Groups Overview page shows status summaries that can help you identify and prioritize issues that require your attention. Souhrny stavů pokrývají tyto oblasti:Status summaries cover these areas:

  • VýstrahyAlerts
  • Aktualizace softwaruSoftware updates
  • Endpoint ProtectionEndpoint Protection
  • ZásadyPolicy
  • Správa softwaruSoftware management

Hierarchie skupiny navíc zobrazí souhrny stavu, které vám pomůžou identifikovat a vyřešit problémy členů vybrané skupiny.Your group hierarchy also shows status summaries to help you identify and resolve problems for members of a selected group.

Vytváření skupinCreate groups

Tip

Při vytváření skupin vezměte v úvahu, jak použijete zásady.When you create groups, consider how you will apply policies. Můžete mít například zásady specifické pro operační systém zařízení a zásady specifické pro různé role ve vaší organizaci nebo organizační jednotky, které už jste ve službě Active Directory definovali dříve.For example, you might have policies that are specific to a device operating system, and policies that are specific to different roles in your organization, or to organizational units that you've already defined in Active Directory. Může být užitečné používat oddělené skupiny zařízení pro iOS, Android a Windows a oddělené skupiny uživatelů pro jednotlivé organizační role.It might be useful to have separate device groups for iOS, Android, and Windows, as well as a user group for each organizational role.

Budete taky nejspíš chtít vytvořit výchozí zásady, které budou platit pro všechny skupiny a zařízení, aby se stanovily základní požadavky na dodržování předpisů vaší organizace.You'll probably also want to create a default policy that applies to all groups and devices, to establish the basic compliance requirements of your organization. Poté můžete vytvořit konkrétnější zásady pro nejširší kategorie uživatelů a zařízení.Then, you can create more specific policies for the broadest categories of users and devices. Můžete například vytvořit zásady e-mailů pro každý operační systém zvlášť.For example, you might create email policies for each of the device operating systems.

Pečlivě zásady pojmenujte, abyste je později mohli snadno identifikovat.Be careful when you name your policies so that you can easily identify them later. Dobrý a popisný název zásady je třeba Zásada e-mailů WP pro celou firmu.For example, a good descriptive policy name is WP Email Policy for Entire Company.

Pokaždé, když vytvoříte omezující zásadu, budete o tom chtít informovat uživatele.Each time you create a restrictive policy, you'll want to communicate it to your users. Po vytvoření obecnějších skupin a zásad věnujte pozornost tomu, jak vytváříte menší skupiny, aby se redukovala zbytečná komunikace.After you create the more general groups and policies, pay attention to how you create smaller groups, so that you can reduce unnecessary communication.

Vytvoření skupiny zařízeníTo create a device group

  1. V konzole pro správu Intune zvolte Skupiny > Přehled > Vytvořit skupinu.In the Intune admin console, choose Groups > Overview > Create Group.

  2. Zadejte název skupiny a její popis (nepovinné) a pak vyberte skupinu zařízení jako nadřazenou skupinu.Enter a name and a description (optional) for the group, and then select a device group as the parent group. Vyberte Další.Choose Next.

  3. Na stránce Definovat kritéria členství vyberte typ zařízení, který má skupina obsahovat.On the Define Membership Criteria page, select the type of devices to include in the group. Na základě typů zařízení, která budete chtít zahrnout, pro vás budou dostupné další možnosti konfigurace skupiny:You have additional group configuration options based on the types of devices you choose to include:

    • Počítač.Computer. Rozhodněte, jestli se mají zahrnout všichni členové nadřazené skupiny, a vyberte organizační jednotky a domény, které chcete zahrnout nebo vyloučit.Select whether to include all members of the parent group; the organizational units you want to include or exclude; and domains you want to include or exclude. Organizační jednotky a informace o doménách pro počítač můžete získat z inventáře.You can get organizational unit and domain information for a computer from inventory.

    • Mobilní.Mobile. Vyberte, jestli se mají zahrnout jenom mobilní zařízení spravovaná službou Intune, jenom zařízení spravovaná službou Exchange ActiveSync, nebo obojí.Select whether to include mobile devices that are managed by Intune, mobile devices that are managed by Exchange ActiveSync, or both.

    • Všechna zařízení.All devices. Tato možnost zahrnuje všechna zařízení, nepoužívají se žádná kritéria k vyloučení.This option includes all devices, with no exclusions based on any criteria.

  4. Na stránce Definovat přímé členství klikněte na Procházet a vyberte, která zařízení chcete zahrnout a která vyloučit.On the Define Direct Membership page, choose Browse to select individual devices to include or exclude. Pokud vyberete zařízení, která nejsou ve vámi určené nadřazené skupině, přidá Intune tato zařízení do nadřazené skupiny automaticky.If you select devices that are not in the parent group that you specified, Intune automatically adds those devices to the parent group.

  5. Na stránce Souhrn zkontrolujte své výběry a klikněte na Dokončit.On the Summary page, review your selections, and then choose Finish.

Nově vytvořená skupina se zobrazí v seznamu Skupiny v pracovním prostoru Skupiny pod příslušnou nadřazenou skupinou.The newly created group is shown in the Groups list, in the Groups workspace, under the parent group. Tady taky můžete skupinu upravit nebo odstranit.That's also where you can edit or delete the group.

Vytvoření skupiny uživatelůTo create a user group

  1. V konzole pro správu Intune zvolte Skupiny > Přehled > Vytvořit skupinu.In the Intune admin console, choose Groups > Overview > Create Group.

  2. Zadejte název skupiny a její popis (nepovinné) a pak vyberte nadřazenou skupinu uživatelů.Enter a name and a description (optional) for the group, and then select a user group as the parent group. Vyberte Další.Choose Next.

  3. Na stránce Definovat kritéria členství vyberte, jestli se mají zahrnout všichni členové nadřazené skupiny, nebo jestli se má začít s prázdnou skupinou.On the Define Membership Criteria page, choose whether to include all members of the parent group or to start with an empty group. Potom zahrňte nebo vylučte členy na základě uživatelských skupin zabezpečení, které buď ručně nakonfigurujete v Centru pro správu Office 365, nebo synchronizujete z Active Directory.Then, include or exclude members based on the security groups of users that you either manually configure in the Office 365 admin center, or sync from Active Directory. Pokud se změní členství ve skupině zabezpečení, může se změnit i členství ve skupinách uživatelů založených na této skupině zabezpečení.If the membership of a security group changes, the membership of user groups based on that security group also might change.

    Důležité

    Pokud nyní skupina obsahuje členy z konkrétních skupin zabezpečení nebo skupin manažerů a vy z nějakých skupin členy vyloučíte, dojde k odebrání členů, které jste původně zahrnuli.Currently, if your group includes members from specific security groups or manager groups and you exclude members from some groups, the members you initially included will be removed. Pokud chcete vytvořit skupinu, která obsahuje zahrnuté i vyloučené členy, doporučujeme, abyste nejdříve vytvořili nadřazenou skupinu se zahrnutými členy.To create a group that has both included members and excluded members, we recommend that first you create a parent group that has the included members. Pak vytvořte podřízenou skupinu této nadřazené skupiny.Then, create a child group for that parent group. Do nové podřízené skupiny přidejte vyloučené členy.In the new child group, list the excluded members. Podřízenou skupinu pak používejte ke správě zásad Intune, profilů a distribuce aplikací.Then, use that child group to manage Intune policies, profiles, and app distribution.

    Poznámka

    Na webu Azure Portal můžete vytvořit skupiny založené na tom, pod jakého manažera uživatelé spadají.In the Azure portal, you can create groups based on the managers who users report to. Tento typ skupiny je dynamický a bude se měnit v závislosti na tom, jak se do týmu daného manažera ve službě Azure Active Directory přidávají zaměstnanci nebo se z něj naopak odebírají.This type of group is dynamic, and it will change as employees are added to or removed from a manager's team in Azure Active Directory. Návod, jak vytvořit skupinu Azure na základě jména manažera, najdete v článku Vytváření rozšířených pravidel pomocí atributů v části Konfigurace skupiny manažera.How to create an Azure group based on manager name is described in Using attributes to create advanced rules, in the section To configure a group as a “Manager” group.

  4. Na stránce Definovat přímé členství klikněte na Procházet a vyberte, které uživatele chcete zahrnout a které vyloučit.On the Define Direct Membership page, choose Browse to select individual users to include or exclude. Pokud vyberete uživatele, kteří nejsou ve vámi určené nadřazené skupině, přidají se tito uživatelé do nadřazené skupiny automaticky.If you select users that are not in the parent group that you specified, those devices are automatically added to the parent group. Možnost ručně přidat uživatele najdete v dolní části dialogu Vybrat členy.The option to manually add a user is at the bottom of the Select Members dialog box. To je užitečné, pokud chcete přidat uživatele, který dosud nemá zaregistrované zařízení.This is helpful if you want to add a user who does not yet have an enrolled device.

  5. Na stránce Souhrn zkontrolujte zvolené možnosti a klikněte na Dokončit.On the Summary page, review your selections, and then choose Finish.

Nově vytvořená skupina se zobrazí v seznamu Skupiny v pracovním prostoru Skupiny pod příslušnou nadřazenou skupinou.The newly created group is shown in the Groups list, in the Groups workspace, under the parent group. Tady taky můžete skupinu upravit nebo odstranit.That's also where you can edit or delete the group.

Tip

Skupiny zabezpečení jsou dobrý prostředek pro naplňování skupin uživatelů.Security groups are a good resource to use when you populate user groups. Vzhledem k tomu, že skupiny zabezpečení definují, kdo má přístup k jakým prostředkům, jsou dobře převeditelné i na skupiny uživatelů Intune.Because security groups define who can access which resources, security groups can translate well to Intune user groups. Skupiny zabezpečení, které jsou synchronizované z Active Directory do Azure Active Directory nebo které vytvoříte přímo v Azure Active Directory pomocí Centra pro správu Office 365 nebo webu Azure Portal, můžete použít k vytváření skupin uživatelů ve službě Intune.Security groups that are synced from Active Directory to Azure Active Directory, or which you create directly in Azure Active Directory through the Office 365 admin center or the Azure portal are available to you to use when you create user groups in Intune.

Filtrování zobrazení správce podle rolíFilter admin views by role

Ve filtrovaných zobrazeních skupiny můžete určit, co správce IT uvidí, na základě jeho role.In filtered group views, you can tailor what an IT admin can see based on the admin's role. Můžete taky pro jednotlivé správce IT omezit, které skupiny můžou spravovat.You also can restrict which groups each IT admin can manage. To může být užitečné, když:This can be useful when:

  • Chcete, aby vaši správci IT měli možnost nasadit položky jenom u konkrétních uživatelů a zařízeníYou want your IT admins to be able to deploy items only to specific users and devices
  • Chcete, aby vaši správci IT viděli jenom skupiny, které jsou pro ně relevantníYou want your IT admins to see only the groups that are relevant to that admin

Filtrovaná zobrazení skupin pro jednotlivé správce služby můžete nakonfigurovat v konzole pro správu Intune.You can configure filtered group views for service admins in the Intune admin console. Podrobnosti najdete v tématu Co potřebujete vědět, než začnete s Microsoft Intune.For details, see What to know before you start Microsoft Intune.

Jakmile pro správce služby nastavíte filtrovaná zobrazení skupin, bude daný správce při nasazování softwaru či zásad nebo spouštění sestav moci zobrazit a vybrat pouze skupiny, které jste určili.After you set up filtered group views for a service admin, when the admin deploys software or policies, or runs reports, the admin can view and select only the groups that you specified. Správce také neuvidí informace o stavu na následujících stránkách konzoly pro správu:The admin also doesn't see status information on these pages of the admin console:

  • Přehled systémuSystem Overview
  • Přehled skupinGroups Overview
  • Přehled produktu Endpoint ProtectionEndpoint Protection Overview
  • Přehled výstrahAlerts Overview
  • Přehled softwaruSoftware Overview
  • Přehled zásadPolicy Overview

Vytvoření filtrovaného zobrazení skupinyTo create a filtered group view

  1. V konzole pro správu Intune zvolte Správce > Správa správců > Správci služeb.In the Intune admin console, choose Admin > Administrator Management > Service Administrators.

  2. Vyberte správce služeb, pro kterého chcete vytvořit filtrované zobrazení skupiny, a klikněte na Spravovat skupiny.Select the service admin who you want to create a filtered group view for, and then choose Manage Groups.

  3. V dialogu Vyberte skupiny, které budou viditelné pro tohoto správce služeb přidejte skupiny, ke kterým bude moct správce služeb přistupovat, a pak klikněte na OK.In the Select the groups that will be visible to this service administrator dialog box, add the groups that the service admin will be able to access, and then choose OK.

Jakmile filtrovaná zobrazení skupiny nastavíte, bude tento správce IT moct zobrazit a vybrat jenom vámi označené skupiny.After you've set up the filtered group views, the IT admin will be able to view and select only the groups you've indicated.

Správa skupinManage your groups

Po vytvoření vlastních skupin je budete moct dále spravovat podle potřeb vaší organizace.After you create your groups, you can continue to manage them according to the needs of your organization.

Skupinu můžete upravit tak, že změníte její název či popis nebo členy, kteří do ní patří.You can edit your group to change its name or description, or who belongs to the group.

Skupinu, která už neslouží potřebám vaší organizace, můžete odstranit.You can delete a group that no longer serves the needs of your organization. Odstraněním skupiny nedojde k odstranění uživatelů, kteří do této skupiny patří.Deleting a group does not delete the users that belong to that group.

Další krokyNext steps

Po nastavení skupin a zásad ověřte praktický dopad vytvořeného návrhu kontrolou položek Zamýšlená hodnota a Stav.After you set up your groups and policies, review Intended Value and Status to check the practical implications of your design.

Kontrola návrhuTo check your design

  1. Vyberte jakékoli zařízení ze skupiny zařízení a projděte kategorie informací v horní části stránky.Select any device from a device group and browse through the categories of information at the top of the page.
  2. Vyberte Zásady.Choose Policy. Zobrazí se snímek obrazovky nastavení zásady zařízení Android podobný následujícímu.You'll see something like this screenshot of an Android device's policy settings.

Příklad zásad nastavení pro Android

U každé zásady je Zamýšlená hodnota a Stav.Each policy has an Intended Value and a Status. Zamýšlená hodnota je to, čeho jste při přiřazování zásady chtěli dosáhnout.The intended value is what you intended to achieve when you assigned the policy. Stav označuje to, čeho skutečně dosáhnete, když se zohlední všechny zásady použité u zařízení a všechna omezení a požadavky na hardware a operační systém.The status is what you achieve when all of the policies that apply to the device, as well as the restrictions and requirements of the hardware and operating system are considered together. Tento snímek obrazovky ukazuje dva jasné příklady:In this screenshot you can see two clear examples:

  • Možnost Povolit jednoduchá hesla je nastavená na Ano, jak ukazuje sloupec Zamýšlená hodnota, ale její Stav je Nepoužívá se.Allow simple passwords is set to Yes, as shown in the Intended Value column, but its Status is Not applicable. Důvodem je, že se na zařízeních s Androidem nepodporují jednoduchá hesla.This is because simple passwords are not supported for Android devices.
  • Podobně pak u tohoto zařízení není použitá rozšířená položka zásad Nastavení e-mailu pro zařízení se systémem iOS, protože se jedná o zařízení s Androidem.Similarly, the expanded policy item Email settings for iOS devices is not applied to this device because it is an Android device.
Poznámka

Mějte na paměti, že když použijete na stejné zařízení nebo uživatele dvě zásady s různými úrovněmi omezení, v praxi se uplatní víc omezující zásada.Remember that when two policies that have different levels of restriction apply to the same device or user, the more restrictive policy applies in practice.

Pokud chcete odeslat svůj názor na produkt, navštivte Intune Feedback