Leistungsempfehlungen für Gruppierung, Zielgruppenadressierung und Filterung in umgebungen mit großen Microsoft Intune
In diesem Artikel werden Empfehlungen zum Gruppieren, Zielen und Filtern von Intune für Ihre Richtlinien und Apps aufgelistet und beschrieben. Das Ziel besteht darin, Architektur- und Entwurfsentscheidungen für Intune-Bereitstellungen in großen Umgebungen zu treffen.
Diese Leistungsempfehlungen und ihre Implementierung können unterschiedlich sein und von Ihrer eigenen Umgebung & anderen Faktoren wie Verwaltbarkeit und Einfachheit abhängen.
Inhalt dieses Artikels:
- Verschaffen Sie sich einen Überblick über die Intune-Gruppierungs- und Zielkonzepte
- Abrufen einiger Leistungsempfehlungen
Weitere Informationen und eine Übersicht über Filter findest du unter Verwenden von Filtern beim Zuweisen von Apps, Richtlinien und Profilen in Microsoft Intune.
Anleitungen zu dynamischen Gruppen finden Sie unter Erstellen einfacherer, effizienterer Regeln für dynamische Gruppen in Microsoft Entra ID.
Übersicht über die Intune-Gruppierungs- und Zielkonzepte
Bevor sie sich mit den Empfehlungen informieren, sehen wir uns die in Intune verfügbaren Gruppierungs-, Ziel- und Filterfeatures an.
Microsoft Entra Gruppen
Intune verwendet fast ausschließlich Microsoft Entra Gruppen zum Gruppieren und Zielen. Wenn Sie im Microsoft Intune Admin Center Gruppen auswählen, sehen Sie sich Microsoft Entra Gruppen an.
Microsoft Entra Gruppen sind ein wichtiger Bestandteil von Intune, da diese Gruppen:
- Die Objekte, die zum Zuweisen von Apps, Richtlinien und anderen Workloads zu Benutzern und Geräten verwendet werden.
- Wird verwendet, um die Geräte zu definieren, die Administratoren im Intune Admin Center anzeigen und verwalten können, z. B. Bereichsgruppen in der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC).
Virtuelle Gruppen
Die Zuweisungen Alle Benutzer und Alle Geräte sind "virtuelle" Intune-Gruppen. Diese virtuellen Gruppen sind standardmäßig in allen Intune-Mandanten verfügbar und enthalten keinen Verwaltungsaufwand. Sie müssen z. B. keine Microsoft Entra ID-Regeln erstellen oder anpassen, um deren Mitglieder aufgefüllt zu halten.
Die Gruppen Alle Benutzer und Alle Geräte sind ebenfalls hochgradig skalierbar und optimiert, vor allem, weil sie nicht auf die gleiche Weise wie andere Gruppen von Microsoft Entra ID synchronisiert werden müssen.
Filter
Nachdem die App oder Richtlinie einer Microsoft Entra-ID oder einer virtuellen Gruppe zugewiesen wurde, können Sie filter verwenden, um den Zuweisungsbereich dieser Apps und Richtlinien auf bestimmte Benutzer- oder Gerätegruppen einzugrenzen.
Ihr Filter filtert Geräte in (oder aus) dieser Zuweisung basierend auf Geräteeigenschaften.
Filterung ist eine hohe Leistung und eine Auswertung der Anwendbarkeit mit geringer Latenz beim Einchecken des Geräts, ohne dass die Gruppenmitgliedschaft vorab berechnet werden muss.
Leistungsempfehlungen
Dieser Abschnitt enthält einige Empfehlungen, die die Leistung beim Zuweisen Ihrer Richtlinien in Microsoft Intune verbessern können.
Diese Empfehlungen konzentrieren sich auf die Verbesserung der Leistung und die Verringerung der Latenz bei der Workloadzuweisung. Sie haben die meisten Auswirkungen auf die Arbeit in großen Intune-Umgebungen, z. B. Umgebungen mit >100.000 Geräten. Diese Empfehlungen sollten mit anderen Entwurfsaspekten wie Verwaltbarkeit, Benutzerfreundlichkeit, rollenbasierter Verwaltung und Einfachheit berücksichtigt werden.
Verwenden virtueller Gruppen
| TUN | TUE NICHT |
|---|---|
| ✔️ Verwenden Sie die virtuellen Gruppen Alle Benutzer und Alle Geräte, anstatt Ihre eigene Version aller Benutzer/alle Geräte mit Microsoft Entra dynamischen Gruppen zu erstellen. | ❌ Erstellen Sie keine eigenen dynamischen Gruppen "Alle Benutzer" oder "Alle Geräte" für Richtlinien und Apps in Intune. |
Größere Gruppen brauchen länger, um Mitgliedschaftsupdates zwischen Microsoft Entra-ID und Intune zu synchronisieren. Die Gruppen "Alle Benutzer" und "Alle Geräte" sind in der Regel die größten Gruppen, die Sie haben. Wenn Sie Intune-Workloads großen Microsoft Entra Gruppen mit vielen Benutzern oder Geräten zuweisen, können Synchronisierungsbacklogs in Ihrer Intune-Umgebung auftreten. Dieses Backlog wirkt sich auf Richtlinien- und App-Bereitstellungen aus, deren Zugriff auf verwaltete Geräte länger dauert.
Die integrierten Gruppen Alle Benutzer und Alle Geräte sind reine Intune-Gruppierungsobjekte, die in Microsoft Entra ID nicht vorhanden sind. Es erfolgt keine kontinuierliche Synchronisierung zwischen Microsoft Entra-ID und Intune. Die Gruppenmitgliedschaft ist also sofort.
Hinweis
Informationen zu Den Aktualisierungsintervallen für Intune-Check-In-Richtlinien finden Sie unter Aktualisierungsintervalle für Intune-Richtlinien.
Sie können diese Optimierung auch auf andere große und sich häufig ändernde Gruppen anwenden, z. B. "Alle Windows-Geräte" oder "alle iOS-Geräte". Anstatt diese Gruppen zu erstellen und als Ziel zu verwenden, können Sie die vorhandenen virtuellen Gruppen "Alle Benutzer" oder "Alle Geräte" verwenden, da Intune-Richtlinien und -Anwendungen bereits nach Plattform unterteilt sind.
Wenn Sie sehr große Gruppen in Intune (über 100.000 Mitglieder) verwenden, erwarten Sie eine anfängliche Verzögerung bei der Zielbestimmung. Es gibt einen ersten Einrichtungsprozess zwischen Microsoft Entra-ID und Intune. Die erste vollständige Synchronisierung dauert immer länger als nachfolgende inkrementelle Synchronisierungen.
Wiederverwenden von Gruppen
| TUN | TUE NICHT |
|---|---|
| ✔️ Verwenden Sie die gleichen Gruppenobjekte wieder, um mehrere Richtlinien zuzuweisen. | ❌ Erstellen Sie keine doppelten Kopien derselben Gruppe, um unterschiedliche Richtlinien als Ziel zu verwenden. ❌ Erstellen Sie keine dedizierten "App-Gruppen" oder "Richtliniengruppen". |
Im Hintergrund konvertiert Intune Microsoft Entra Gruppenmitglieder in Zuweisungsnachrichten für jeden Benutzer und jedes Gerät. Dieser Prozess ist stark optimiert, wenn die Gruppenobjekte identisch sind.
Die Intune-Gruppierung und -zielung funktioniert beispielsweise am besten, wenn die Benutzergruppe "Engineering" auf 10 Richtlinien ausgerichtet ist. Es funktioniert nicht am besten, wenn die Engineering-Benutzer Mitglieder von 10 verschiedenen Gruppen sind, die jeweils einer anderen Richtlinie zugewiesen sind.
Wir haben einige Designs gesehen, die dieser Anleitung entgegenwirken. IT-Administratoren erstellen beispielsweise eine Gruppe "Install_Edge", erstellen eine "Deploy_Edge_Config_Policy"-Gruppe und platzieren dann die gleichen Geräte in jeder Gruppe.
Ein ähnliches und nicht empfohlenes Muster ist das Erstellen von "App-Gruppen". Eine App-Gruppe ist, wenn für jede App mehrere Microsoft Entra Gruppen erstellt wurden. Um beispielsweise die Edge-Anwendung zu verwalten, erstellt ein Administrator die folgenden Gruppen:
- Edge_Required
- Edge_Available
- Edge_Uninstall
Der Administrator fügt diesen Gruppen einzelne Benutzer oder Geräte hinzu. Diese App-Gruppen erhöhen erheblich die Anzahl der Microsoft Entra Gruppen, die Intune abonnieren und auf Mitgliedschaftsupdates überwachen muss, was weniger effizient ist. Ineffizientes Gruppensynchronisierungsdesign wirkt sich darauf aus, wie schnell neue Zuweisungen erstellt und an Geräte übermittelt werden.
Inkrementelle Gruppenänderungen vornehmen
| TUN | TUE NICHT |
|---|---|
| ✔️ Seien Sie vorsichtig bei Änderungen an der Schachtelung großer Gruppen in Microsoft Entra ID. | ❌ Nehmen Sie keine Änderungen an der Schachtelung großer Gruppen auf einmal vor. |
Eine große Änderung der Gruppenmitgliedschaft in Microsoft Entra-ID kann Zuspitzungen von Zieländerungen in Intune führen. Diese Bursts können das Ziel anderer Zuweisungen in Ihrer Umgebung verzögern.
Wenn Ihre Gruppen von einer anderen Gruppe von Administratoren verwaltet werden als die Administratoren, die Microsoft Entra ID verwalten, sollten Sie mitteilen, welche Auswirkungen Microsoft Entra ID-Änderungen auf in Intune haben können.
Wenn beispielsweise ein Microsoft Entra-Administrator neue große Gruppen in einer vorhandenen Gruppe verschachtelt, die Intune für die Zielbestimmung verwendet, beginnt Intune mit der Synchronisierung aller Gruppen und Gruppenmitgliedschaften. Die Zeit, die zum Verarbeiten aller Mitgliedschaften benötigt wird, hängt von der Anzahl und Größe der Gruppenänderungen ab, die in Microsoft Entra ID vorgenommen wurden.
Diese Empfehlung gilt auch, wenn Gruppen "nicht verwendet" werden. Weitere Informationen zu geschachtelten Gruppen findest du unter Verwalten von Microsoft Entra Gruppen und Gruppenmitgliedschaften.
Verwenden von Filtern zum Ein- und Ausschließen
| TUN | TUE NICHT |
|---|---|
| ✔️ Verwenden Sie Filter, um die richtige Kombination aus Benutzer und Gerät für die Zielgruppenadressierung zu erzielen. | ❌ Kombinieren Sie keine Benutzergruppen und Gerätegruppen, wenn Sie Gruppen einschließen und ausschließen verwenden. |
Diese Empfehlung ist auch eine Support-Anweisung. Es wird nicht empfohlen oder unterstützt, Zuweisungen für Benutzergruppen zu erstellen und eine Gerätegruppe von dieser Zuweisung auszuschließen oder umgekehrt.
Diese Empfehlung besteht aufgrund des Zeit-/Latenzmerkmals dynamischer Gruppen. Die Mitgliedschaft ausgeschlossener Gruppen erfolgt nicht sofort, was dazu führen kann, dass Geräte fälschlicherweise App- oder Richtlinienzuweisungen empfangen. Weitere Informationen finden Sie unter Zuweisen von Richtlinien und Profilen – Supportmatrix.
Anstelle von gemischten Ausschlüssen wird empfohlen, eine Benutzergruppe zuzuweisen. Verwenden Sie dann Filter, um die entsprechenden Geräte dynamisch einzu- oder auszuschließen.
Zusammenfassung
Berücksichtigen Sie beim Erstellen und Verwalten von Zuweisungen in Intune einige dieser Empfehlungen. Verwenden Sie Gruppen oder virtuelle Gruppen, und wenden Sie Filter an, um den Zielbereich zu verfeinern. Beachten Sie die bewährten Methoden:
- Erstellen Sie keine eigene Version der Gruppen "Alle Benutzer" oder "Alle Geräte". Verwenden Sie die virtuellen Intune-Gruppen, da sie keine Microsoft Entra ID-Synchronisierung erfordern, wenn der Umgebung ein neuer Benutzer oder ein neues Gerät hinzugefügt wird.
- Um Ihre Zielgruppenadressierung zu optimieren, verwenden Sie Gruppen so weit wie möglich wieder.
- Achten Sie darauf, große Schachtelungsänderungen an Intune-Gruppen vorzunehmen. Intune muss alle diese Änderungen verarbeiten und effektive Änderungen für alle Mitglieder aller Gruppen berechnen, die von dieser Änderung betroffen sind.
- Intune unterstützt keine Ausschlüsse gemischter Gruppen. Verwenden Sie daher Filter, um Geräte zusätzlich zu Gruppen- oder virtuellen Gruppenzuweisungen dynamisch einzu- und auszuschließen.
Nächste Schritte
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für