Recomendaciones de rendimiento para agrupación, selección de destino y filtrado en entornos de Microsoft Intune grandes
En este artículo se enumeran y describen las recomendaciones para la agrupación, la segmentación y el filtrado de Intune para las directivas y aplicaciones. El objetivo es ayudarle a tomar decisiones de arquitectura y diseño para implementaciones de Intune en entornos grandes.
Estas recomendaciones de rendimiento y su implementación pueden ser diferentes y dependen de su propio entorno & otros factores, como la facilidad de administración y la simplicidad.
En este artículo:
- Obtenga información general sobre los conceptos de agrupación y destino de Intune
- Obtener algunas recomendaciones de rendimiento
Para obtener más información y obtener información general sobre los filtros, vaya a Usar filtros al asignar aplicaciones, directivas y perfiles en Microsoft Intune.
Para obtener instrucciones sobre los grupos dinámicos, vaya a Creación de reglas más sencillas y eficaces para grupos dinámicos en Microsoft Entra id.
Introducción a los conceptos de agrupación y destino de Intune
Antes de entrar en las recomendaciones, vamos a revisar las características de agrupación, selección de destino y filtrado disponibles en Intune.
grupos de Microsoft Entra
Intune usa casi exclusivamente grupos de Microsoft Entra para la agrupación y el destino. Al seleccionar Grupos en el centro de administración de Microsoft Intune, se examinan Microsoft Entra grupos.
Microsoft Entra grupos son una parte importante de Intune, ya que estos grupos son:
- Objetos que se usan para asignar aplicaciones, directivas y otras cargas de trabajo a usuarios y dispositivos.
- Se usa para definir los dispositivos que los administradores pueden ver y administrar en el Centro de administración de Intune, como grupos de ámbito en el control de acceso basado en rol (RBAC).
Grupos virtuales
Las asignaciones Todos los usuarios y Todos los dispositivos son grupos "virtuales" de Intune. Estos grupos virtuales están disponibles de forma predeterminada en todos los inquilinos de Intune y no incluyen ninguna sobrecarga de administración. Por ejemplo, no es necesario crear ni ajustar ninguna regla de identificador de Microsoft Entra para mantener rellenados sus miembros.
Los grupos Todos los usuarios y Todos los dispositivos también son altamente escalables y optimizados, principalmente porque no es necesario sincronizarlos desde Microsoft Entra identificador de la misma manera que lo hacen otros grupos.
Filtros
Después de asignar la aplicación o la directiva a un identificador de Microsoft Entra o grupo virtual, puede usar filtros para restringir el ámbito de asignación de estas aplicaciones y directivas a grupos de usuarios o dispositivos específicos.
El filtro filtra los dispositivos dentro (o fuera) de esa asignación en función de las propiedades del dispositivo.
El filtrado es una evaluación de aplicabilidad de alto rendimiento y baja latencia en la protección del dispositivo sin necesidad de calcular previamente la pertenencia a grupos.
Recomendaciones de rendimiento
En esta sección se incluyen algunas recomendaciones que pueden mejorar el rendimiento al asignar las directivas en Microsoft Intune.
Estas recomendaciones se centran en mejorar el rendimiento y reducir la latencia en la asignación de cargas de trabajo. Tienen el mayor impacto al trabajar en entornos grandes de Intune, como entornos con >100 000 dispositivos. Estas recomendaciones deben tenerse en cuenta con otros aspectos de diseño, como la facilidad de administración, la facilidad de uso, la administración basada en roles y la simplicidad.
Uso de grupos virtuales
| HACER | NO |
|---|---|
| ✔️ Use los grupos virtuales Todos los usuarios y Todos los dispositivos en lugar de crear su propia versión de todos los usuarios o todos los dispositivos mediante Microsoft Entra grupos dinámicos. | ❌ No cree sus propios grupos dinámicos "Todos los usuarios" o "Todos los dispositivos" para la segmentación de directivas y aplicaciones en Intune. |
Los grupos más grandes tardan más en sincronizar las actualizaciones de pertenencia entre Microsoft Entra id. e Intune. Los grupos "Todos los usuarios" y "Todos los dispositivos" suelen ser los grupos más grandes que tiene. Si asigna cargas de trabajo de Intune a grupos de Microsoft Entra grandes que tienen muchos usuarios o dispositivos, los trabajos pendientes de sincronización pueden producirse en el entorno de Intune. Este trabajo pendiente afecta a las implementaciones de directivas y aplicaciones, que tardan más en llegar a los dispositivos administrados.
Los grupos integrados Todos los usuarios y Todos los dispositivos son objetos de agrupación solo de Intune que no existen en Microsoft Entra identificador. No hay una sincronización continua entre Microsoft Entra id. e Intune. Por lo tanto, la pertenencia a grupos es instantánea.
Nota:
Para obtener información sobre los intervalos de actualización de directivas de protección de Intune, vaya a Intervalos de actualización de directivas de Intune.
También puede aplicar esta optimización a otros grupos grandes y con cambios frecuentes que pueda tener, como "Todos los dispositivos Windows" o "todos los dispositivos iOS". En lugar de crear y dirigirse a estos grupos, puede usar los grupos virtuales "Todos los usuarios" o "Todos los dispositivos" existentes, ya que las directivas y aplicaciones de Intune ya tienen el ámbito de la plataforma.
Cuando se usan grupos muy grandes en Intune (más de 100 000 miembros), se espera un retraso inicial en la selección de destino. Hay un proceso de configuración por primera vez que se produce entre Microsoft Entra id. e Intune. La primera sincronización completa siempre tarda más que las sincronizaciones incrementales posteriores.
Reutilización de grupos
| HACER | NO |
|---|---|
| ✔️ Reutilice los mismos objetos de grupo para asignar varias directivas. | ❌ No cree copias duplicadas del mismo grupo para tener como destino directivas diferentes. ❌ No cree "Grupos de aplicaciones" ni "Grupos de directivas" dedicados. |
En segundo plano, Intune convierte Microsoft Entra miembros del grupo en mensajes de destino de asignación para cada usuario y dispositivo. Este proceso está altamente optimizado cuando los objetos de grupo son iguales.
Por ejemplo, la agrupación y la segmentación de Intune funcionan mejor cuando el grupo de usuarios "Ingeniería" tiene como destino 10 directivas. No funciona mejor cuando los usuarios de ingeniería son miembros de 10 grupos diferentes, cada uno asignado a una directiva diferente.
Hemos visto algunos diseños en contra de esta guía. Por ejemplo, los administradores de TI crean un grupo de "Install_Edge", crean un grupo de "Deploy_Edge_Config_Policy" y, a continuación, colocan los mismos dispositivos en cada grupo.
Un patrón similar y no recomendado es crear "Grupos de aplicaciones". Un grupo de aplicaciones es cuando cada aplicación tiene varios grupos de Microsoft Entra creados para él. Por ejemplo, para administrar la aplicación Perimetral, un administrador crea los siguientes grupos:
- Edge_Required
- Edge_Available
- Edge_Uninstall
El administrador agrega usuarios o dispositivos individuales a estos grupos. Estos grupos de aplicaciones aumentan considerablemente el número de grupos de Microsoft Entra a los que Intune debe suscribirse y supervisar las actualizaciones de pertenencia, lo que es menos eficaz. Un diseño de sincronización de grupo ineficaz afecta a la rapidez con la que se crean y entregan nuevas asignaciones a los dispositivos.
Realizar cambios incrementales en el grupo
| HACER | NO |
|---|---|
| ✔️ Tenga cuidado con los cambios de anidamiento de grupos grandes en Microsoft Entra identificador. | ❌ No realice cambios de anidamiento de grupos grandes a la vez. |
Un cambio de pertenencia a grupos grandes en Microsoft Entra identificador puede generar ráfagas de cambios de destino en Intune. Estas ráfagas pueden retrasar el destino de otras asignaciones en el entorno.
Si los grupos se administran mediante un conjunto diferente de administradores que los administradores que administran Microsoft Entra id., debe comunicar el impacto Microsoft Entra los cambios de identificador pueden tener en la segmentación de Intune.
Por ejemplo, si un administrador de Microsoft Entra anida nuevos grupos grandes dentro de un grupo existente que Intune usa para la selección de destino, Intune comienza a sincronizar todos los grupos y pertenencias a grupos. El tiempo que se tarda en procesar todas las pertenencias depende del número y el tamaño de los cambios de grupo realizados en Microsoft Entra identificador.
Esta recomendación también se aplica cuando los grupos están "sin asignar". Para obtener más información sobre los grupos anidados, vaya a Administrar grupos Microsoft Entra y pertenencia a grupos.
Uso de filtros para incluir y excluir
| HACER | NO |
|---|---|
| ✔️ Use filtros para lograr la combinación correcta de usuario y dispositivo para la selección de destino. | ❌ No mezcle grupos de usuarios y grupos de dispositivos al usar incluir y excluir grupos. |
Esta recomendación también es una instrucción de soporte técnico. No se recomienda ni se admite la creación de asignaciones a grupos de usuarios y la exclusión de un grupo de dispositivos de esa asignación, ni viceversa.
Esta recomendación existe debido a la característica de tiempo y latencia de los grupos dinámicos. La pertenencia a grupos excluidos no es instantánea, lo que puede dar lugar a casos en los que los dispositivos reciben asignaciones de directivas o aplicaciones de forma incorrecta. Para obtener más información, vaya a la matriz Asignar directivas y perfiles: compatibilidad.
En lugar de exclusiones mixtas, se recomienda asignar a un grupo de usuarios. A continuación, use filtros para incluir o excluir dinámicamente los dispositivos adecuados.
Resumen
Al crear y administrar asignaciones en Intune, incorpore algunas de estas recomendaciones. Use grupos o grupos virtuales y aplique filtros para ayudar a refinar el ámbito de destino. Tenga en cuenta los procedimientos recomendados:
- No cree su propia versión de los grupos "Todos los usuarios" o "Todos los dispositivos". Use los grupos virtuales de Intune, ya que no requieren Microsoft Entra sincronización de identificadores cuando se agrega un nuevo usuario o dispositivo al entorno.
- Para optimizar el destino, reutilice los grupos tanto como sea posible.
- Tenga cuidado al realizar cambios de anidamiento grandes en grupos de Intune. Intune debe procesar todos estos cambios y calcular los cambios efectivos para todos los miembros de todos los grupos afectados por ese cambio.
- Intune no admite exclusiones de grupos mixtos. Por lo tanto, use filtros para incluir y excluir dispositivos dinámicamente, además de las asignaciones de grupos o grupos virtuales.
Siguientes pasos
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de