A felhasználói és eszközcsoportok megtervezésePlan your user and device groups

A következőkre vonatkozik: Intune a klasszikus portálonApplies to: Intune in the classic portal
Az Intune Azure Portalbeli verziójáról keres dokumentációt?Looking for documentation about Intune in the Azure portal? Lépjen tovább ide.Go here.

Az Intune csoportjai az eszközök és felhasználók rendkívül rugalmas felügyeletét teszik lehetővé.Groups in Intune give you great flexibility when you're managing your devices and users. Csoportokat állíthat be a szervezet igényeinek megfelelően a következő szempontok szerint:You can set up groups to suit your organizational needs according to:

  • Földrajzi helygeographic location
  • Részlegdepartment
  • Hardverjellemzőkhardware characteristics
  • Operációs rendszeroperating system
  • Felhasználói tulajdonú eszköz vagy vállalati tulajdonú eszközwhether the device is user-owned or company-owned

Az Intune-csoportok működéseHow Intune groups work

Az Intune felügyeleti konzoljában a Csoportok csomópont alapértelmezett nézete a következő:This is the default view of the Groups node in the Intune admin console:

Képernyőfelvétel az Intune felügyeleti konzoljában található Csoportok csomópont alapértelmezett nézetéről

A szabályzatok érvénybe léptetése csoportok szerint történik, ezért a csoporthierarchia az egyik fő tervezési szempont.Policies are deployed to groups, so group hierarchy is one of your key design considerations. Fontos megjegyezni, hogy a csoport létrehozása után nem módosítható a létrehozott csoport szülőcsoportja.It's important to know that you cannot change a group’s parent group after you've created the group. A csoportok tervezése az Intune szolgáltatás használatának kezdetétől fogva kritikus fontosságú.How you design your groups is critically important from the moment you start using the Intune service. A következőben néhány ajánlott eljárást ismertetünk a csoporthierarchia szervezeti igények szerinti tervezéséhez.Some recommended practices for designing a group hierarchy based on your organizational needs are described here.

A csoportok tagsági szabályaiGroup membership rules

  • Egy csoport vagy felhasználókból, vagy eszközökből állhat, de a kettő keverékéből nem.A group can contain either users or devices, but not both.

    • Eszközcsoportok.Device groups. Ide tartoznak a számítógépek és a mobileszközök.This includes computers and mobile devices. A számítógépek csoportokba való felvételéhez be kell léptetnie őket.Before you can add a computer to a group, it must be enrolled. Mielőtt hozzáadhatna egy mobileszközt egy csoporthoz, a környezetet úgy kell konfigurálni, hogy támogassa a mobileszközöket, és az eszközt regisztrálni kell, vagy az Exchange ActiveSync szolgáltatásnak észlelnie kell azt.Before you can add a mobile device to a group, your environment must be configured to support mobile devices, and the device must be enrolled or discovered in Exchange ActiveSync.

    • Felhasználói csoportok.User groups. Az egyes csoportokban biztonsági csoportok felhasználói szerepelhetnek.A group can have users from security groups. A biztonsági csoportok az Ön által használt Active Directory-példánnyal szinkronizálódnak.Security groups sync with your instance of Active Directory. Ha nem használ Active Directory-szinkronizálást, manuálisan is létrehozhat ilyen csoportokat.If you do not sync with Active Directory, you can manually create these groups.

  • Egy eszköz vagy felhasználó több csoporthoz is tartozhat.A device or a user can belong to more than one group.

  • Egy csoport a következő tagsági szabályok alapján tartalmazhat vagy zárhat ki tagokat:A group can include and exclude members based on the following membership rules:

    • Tagság feltételei.Criteria Membership. Ezek olyan dinamikus szabályok, amelyeket az Intune a tagok felvételéhez vagy kizárásához futtat.These are dynamic rules that Intune runs to include or exclude members. Ezek a feltételek biztonsági csoportokat és az Active Directory helyi példányából szinkronizált egyéb információkat használnak.These criteria use security groups and other information synced with your local instance of Active Directory. Ha a biztonsági csoport vagy a szinkronizált adatok változnak, akkor a csoport tagsága is megváltozik az Active Directoryval történő szinkronizáláskor.When the security group or data changes, the group membership changes when you sync with Active Directory.

    • Közvetlen tagság.Direct Membership. Ezek olyan statikus szabályok, amelyek kifejezetten felveszik vagy kizárják a tagokat.These are static rules that explicitly add or exclude members. A tagsági lista statikus.The membership list is static.

  • Az Active Directory Domain Servicesre (AD DS) nincs szükség a felhasználókat vagy számítógépeket tartalmazó felhasználói vagy eszközcsoportok létrehozásakor.Active Directory Domain Services (AD DS) is not required when you create user groups or device groups that include users or computers. Ahhoz ugyanakkor, hogy az eszközcsoportok mobileszközöket tartalmazhassanak, a környezetet konfigurálni kell a mobileszközök támogatására.But, for device groups to include mobile devices, your environment must be configured to support mobile devices.

    Az eszközöket ezenkívül észlelni kell, és hozzá kell adni az Intune-hoz.Additionally, the devices must be discovered and added to Intune.

A csoportok kapcsolati szabályaiGroup relationship rules

  • Minden létrehozott csoportnak rendelkeznie kell szülőcsoporttal.Each group you create must have a parent group. A csoport létrehozása után nem módosítható a létrehozott csoport szülőcsoportja.You cannot change a group’s parent group after you've created the group.

  • Amikor felhasználókat vagy eszközöket ad hozzá egy gyermekcsoporthoz, vegye figyelembe a következőket:When you add users or devices to a child group:

    • A gyermekcsoport minden esetben a szülőcsoport részhalmaza.The child group is always a subset of the parent group.

    • A gyermekcsoporthoz hozzáadott új tagok automatikusan tagjává válnak az adott szülőcsoportnak is.New members you add to a child group are automatically added to that group’s parent group.

    • Nem adhat hozzá olyan tagot egy gyermekcsoporthoz, amely ki van zárva a szülőcsoportból.You cannot add a member to a child group when that member is excluded from the parent group.

  • A szülőcsoport tagsága meghatározza a gyermekcsoport rendelkezésre álló tagságát is.The membership of a parent group defines the available membership for the child group.

  • Ha töröl egy szülőcsoportot, annak minden gyermekcsoportja is törlődik.When you delete a parent group, all child groups are deleted.

  • Tartalmakat és szabályzatokat a gyermekcsoportok kihagyásával is telepíthet a szülőcsoportok számára.You can deploy content and policies to a parent group but exclude the deployment to child groups.

  • A gyermekcsoporthoz olyan felhasználót vagy eszközt is hozzáadhat, amely nem tagja a szülőcsoportnak.You can add a specific user or device to a child group if the user or device is not already a member of the parent group. Ilyenkor a gyermekcsoport új tagja hozzáadódik a szülőcsoporthoz.If you do this, the new member of the child group will be added to the parent group.

    Ugyanakkor nem adhat hozzá olyan tagot a gyermekcsoporthoz, amely ki van zárva a szülőcsoportból.However, you cannot add a member to a child group if the member is excluded from the parent group.

  • A csoporttagság rekurzív.Group membership is recursive. Példa:For example:

    • Pat csak egyetlen csoport, a Laptopfelhasználók biztonsági csoport tagja.Pat is a member of only one group, the Laptop Users security group.

    • A Laptopfelhasználók csoport a Jóváhagyott felhasználók biztonsági csoport tagja.The Laptop Users group is a member of the Approved Users security group.

    • Létrehoz egy csoportot az Intune-ban, amely a Jóváhagyott felhasználók csoport tagjait magában foglaló dinamikus tagságlekérdezést használ.You create a group in Intune that uses a dynamic membership query that includes the members of the Approved Users group. Ennek eredményeképpen Pat az Intune felhasználói csoport tagja lesz.The result is that your Intune user group includes Pat.

Tipp

A csoportok létrehozásakor gondolja át, hogyan szeretné alkalmazni a szabályzatokat.When you create groups, think about how you will apply policy. Lehetnek például az eszközök operációs rendszereire szabott, vagy az Active Directoryban már definiált, szervezeten belüli szerepköröknek vagy szervezeti egységeknek megfelelő szabályzatok.For example, you might have policies that are specific to device operating systems, or policies that are specific to different roles or organizational units you've already defined in your Active Directory service. Egyes rendszergazdák hasznosnak tartják külön iOS-, Android- és Windows-eszközcsoportok létrehozását.Some admins find it useful to create device groups that are specific to iOS, Android, and Windows. Ez a különböző szervezeti szerepkörök szerinti felhasználói csoportok létrehozása mellett történik.This is in addition to creating user groups for each organizational role.

Beépített csoportokBuilt-in groups

Az Intune kilenc olyan beépített csoporttal rendelkezik, amely nem módosítható és nem törölhető: Intune has nine built-in groups that you cannot edit or delete:

  • Minden felhasználóAll Users
    • Nem csoportosított felhasználókUngrouped Users
  • Minden eszközAll Devices
    • Minden számítógépAll Computers
    • Minden mobileszközAll Mobile Devices
      • Minden közvetlenül felügyelt eszközAll Direct Managed Devices
      • Minden, az Exchange ActiveSync által felügyelt eszközAll Exchange ActiveSync Managed Devices
    • Minden vállalati tulajdonú eszközAll Corporate-owned Devices
    • Nem csoportosított eszközökUngrouped Devices

Megjegyzés

Mottó: legyen egyszerű.Let your motto be: keep it simple. Ha a szervezetnek nincsenek az alábbi szakaszokban leírtakhoz hasonló speciális igényei, célszerű az egyszerűségre törekedni és az alapértelmezés szerinti csoportstruktúrát és szabályzatokat alkalmazni.If your organization does not have specific needs like those described in the following sections, keep it simple and go with the default group structure and policies. A szolgáltatás így kezelhetőbb lesz hosszú távon.This will make the service more manageable in the long term. A karbantartás is egyszerűbb, ha egységesen kezelheti a felhasználókat.Maintenance will be easier if you can treat your users uniformly. Minél kisebb mértékű a csoportok szerinti differenciálódás, annál kevesebb szabályzatot kell fenntartani.With little differentiation by group, you'll have fewer policies to maintain.

A szervezetben lévő összes felhasználó és eszközAll users and devices in your organization

Definiáljon egy szülőcsoportot a szervezet összes felhasználója és eszköze számára.Define a parent group for all users and devices in your organization. Nagy valószínűséggel lesznek olyan szabályzatai, amelyek valamennyire vonatkoznak.You are likely to have policies that will apply to all. Erre a célra használhatja az Intune alapértelmezett Minden felhasználó és Minden eszköz csoportját.You can use the Intune default All Users and All devices groups for this purpose. A Minden felhasználó és a Minden eszköz szülőcsoport gyermekcsoportjai lehetnek azok az alcsoportok, amelyek a jellemzők szerint rendezik az eszközöket, ilyen lehet például a saját tulajdonú eszközök (BYOD) és a vállalati tulajdonú eszközök (CO) alcsoportja.Sub-groups that organize devices by specifics, like a group for bring your own device (BYOD) and one for corporate-owned (CO) devices, can be child groups of the All Users and All devices parent groups.

A csoportok testreszabása a szervezet sajátosságainak megfelelőenCustomize groups for your organization

BYOD- és vállalati tulajdonú eszközökBYOD and corporate-owned devices

Ha a szervezet engedélyezi a dolgozóknak a saját eszközök használatát a munkahelyen, vállalati tulajdonú eszközöket biztosít a dolgozóknak, vagy a két módszer kombinációját használja, javasoljuk, hogy külön szabályzatokat alkalmazzon e két eszközkategóriára.If your organization allows employees to use their own devices, provides company-owned devices, or has a combination of both, we recommend that you apply separate policies for these categories of devices.

BYOD vagy vegyes használat esetében a házirendek tervezésekor ügyeljen arra, hogy ne sértse meg a helyi adatvédelmi előírásokat.In the case of BYOD or a mix, be careful to plan policies that do not infringe on local privacy regulations. Hozzon létre egy szülőcsoportot minden felhasználóhoz, aki a saját eszközét fogja használni.Create a parent group for all users who will be bringing their own devices. Ezzel a csoporttal azután a kategória összes felhasználójára érvényes szabályzatokat alkalmazhat.You can use this group to apply policies that are applicable to all users in this category.

A BYOD szülőcsoport létrehozása

Hasonlóképpen létrehozhat egy csoportot a szervezet vállalati tulajdonú eszközöket használó felhasználói számára:Similarly, you can create a group for the CO device users in your organization:

A BYOD- és a CO-eszközök felhasználói testvércsoportjai

Csoportok földrajzi régiókhozGroups for geographic regions

Ha a szervezetnél földrajzi egységenként külön szabályzatokra van szükség, létrehozhat csoportokat a különböző földrajzi régiók szerint.If your organization needs policies for specific regions, you can create groups based on geographic region. Ezeket alapozhatja az Active Directory-példányában már létrehozott regionális csoportokra, és szinkronizálhatja őket az Azure Active Directory szolgáltatással.You can base them on regional groups that you might have already created in your instance of Active Directory, and sync them with your Azure Active Directory service. Regionális csoportokat közvetlenül az Azure Active Directoryban is létrehozhat.You also can create regional groups directly in Azure Active Directory.

A következő képernyőfelvételek bemutatják, hogy hogyan hozhat létre Intune-csoportokat az Active Directory helyi példányával szinkronizált csoportok alapján.The next screenshots show you how to create Intune groups based on groups synced with your on-premises Active Directory instance. Ezekben a példákban feltételezzük, hogy rendelkezik egy US Users Group nevű Active Directory-beli biztonsági csoporttal.These examples assume that you have an Active Directory security group called US Users Group.

Először adja meg az általános információkat.First, provide general information.

Képernyőfelvétel a Csoport szerkesztése területről

A Tagsági feltételek területen válassza az Active Directoryval szinkronizált US Users Group csoportot a tagsági szabályok szerint használni kívánt biztonsági csoportként.Under Membership criteria, select US Users Group, synced with Active Directory, as the security group to use under membership rules.

Képernyőfelvétel a Csoport szerkesztése párbeszédpanelről

Tekintse át a bejegyzéseket, majd válassza a Befejezés lehetőséget a csoport létrehozásához.Review your entries, and then choose Finish to create the group.

Képernyőfelvétel a Csoport szerkesztése párbeszédpanelről

A példánkban egy Middle East and Asia (Közel-Kelet és Ázsia) (MEA) csoportot is létrehoztunk.In our example, we’ve also created a group called MEA, for the Middle East and Asia.

Megjegyzés

Ha a csoporttagság nem a biztonságicsoport-tagság alapján lett feltöltve, ellenőrizze, hogy rendelt-e Intune-licenceket ezekhez a tagokhoz.If group membership is not populated based on security group membership, make sure that you have assigned Intune licenses to group members.

Csoportok adott hardverekhezGroups for specific hardware

Ha a szervezetének olyan szabályzatokra van szüksége, amelyek adott hardvertípusokra vonatkoznak, ezen követelmény alapján hozhatja létre a csoportokat.If your organization requires policies that apply to specific hardware types, you can create groups based on this requirement. A szabályzatokat alapozhatja a helyi Active Directory-példányában már létrehozott specifikus csoportokra, és szinkronizálhatja őket az Azure Active Directory szolgáltatással.You can base the policies on specific groups that you have already created in your on-premises instance of Active Directory, and then sync them with Azure Active Directory. Csoportokat közvetlenül az Azure Active Directoryban is létrehozhat.You also can create groups directly in Azure Active Directory. Ebben a példában a US Users Group (USA-felhasználók) csoportot használjuk a Laptop Users (Laptopfelhasználók) csoport szülőjeként.In this example, we use US Users Group as the parent group for the Laptop Users group.

A Biztonsági csoport kiválasztása párbeszédpanel

Ezen a ponton a csoport hierarchiájának a következő képernyőfelvételen láthatókhoz hasonlóan kell kinéznie.At this point, your group's hierarchy should look similar to the next screenshot. Látható, hogy most már vannak tagok a Laptop Users Intune-csoportban.You can see that there are now members in the Intune group Laptop Users. Az erre a csoportra alkalmazott szabályzatok az USA régió BYOD-laptopfelhasználóira érvényesek.Any policies applied to this group will be applied to BYOD laptop users from the U.S. region.

A Laptopfelhasználók csoport

Csoportok adott operációs rendszerekhezGroups for specific operating systems

Ha a szervezetének olyan szabályzatokra van szüksége, amelyek meghatározott operációs rendszerre, például Androidra, iOS-re vagy Windowsra vonatkoznak, létrehozhat csoportokat e követelmény alapján.If your organization requires policies that apply to specific operating systems like Android, iOS, or Windows, you can create groups based on this requirement. A szabályzatokat alapozhatja a helyi Active Directory-példányában már létrehozott operációsrendszer-specifikus csoportokra, és szinkronizálhatja őket az Azure Active Directory szolgáltatással.As in earlier examples, you can base them on OS-specific groups that you have already created in your on-premises instance of Active Directory, and sync them with Azure Active Directory. Közvetlenül is létrehozhatja őket saját Azure Active Directory-példányában.You also can create them directly in your instance of Azure Active Directory.

A korábbi példákban látottakkal azonos módszerrel hozhat létre csoportokat a különböző operációs rendszereket használó felhasználók alapján.By using the same method from earlier examples, you can create groups based on users who use specific operating system platforms.

Megjegyzés

Ha a felhasználók többféle mobilplatformot/operációs rendszert használnak, és nincs automatikus módszer Android-, iOS- vagy Windows-felhasználóként való besorolásukra, akkor érdemes fontolóra venni a szabályzatok eszközszinten történő alkalmazását.If you have users who use multiple mobile platforms or operating systems and you do not have an automated way to categorize users as Android users, iOS users, or Windows users, consider applying policies at the device level. Ez rugalmasabb lehetőséget kínál az operációsrendszer-specifikus szabályzatok alkalmazására.This will give you more flexibility to apply policies that are specific to an operating system.

Az eszköz operációs rendszere alapján nem létesíthetők dinamikusan csoportok.You cannot provision groups dynamically based on the operating system of the device. Ehelyett ezt Active Directory- vagy Azure Active Directory-alapú biztonsági csoportok segítségével hajthatja végre.Instead, do this by using Active Directory or Azure Active Directory security groups.

Laptopfelhasználók csoportja

Ha az összes felhasználói csoport fel van töltve a szervezeti követelmények alapján, a csoporthierarchiának a következőképpen kell kinéznie:After all of your user groups are populated based on your organizational requirements, your group hierarchy should look something like this:

Csoporthierarchia-nézet

Ezt a hierarchiát használhatja a szervezet szabályzatainak alkalmazására.You can use this hierarchy to apply the organization's policies.

EszközcsoportokDevice groups

A BYOD-forgatókönyvhöz az itt láthatókhoz hasonló csoportokat hozhat létre az eszközök számára is, egy szélesebb körű csoporttal kezdve, amelybe beletartozik az összes alkalmazotti tulajdonú eszköz.You also can create similar groups for devices as shown here, starting with a broad group that includes all employee-owned devices, for the BYOD scenario.

Csoport létrehozása párbeszédpanel

Válassza a Minden eszköz (számítógépek és mobileszközök) elemet, hogy a csoport tartalmazza az összes BYOD-eszközt:Make sure that you select All devices (computers and mobile) so that the group will include all BYO devices:

A Tagság feltételeinek meghatározása oldal

Tekintse át a bejegyzéseket, majd válassza a Befejezés lehetőséget a BYOD-csoport létrehozásához.Review your entries, and then choose Finish to create the BYOD group.

Csoport létrehozása párbeszédpanel

Folytassa az eszközcsoportok létrehozását, amíg a felhasználóicsoport-hierarchiához hasonló eszközcsoport-hierarchiával nem rendelkezik.Continue to create device groups until you have a device group hierarchy that is similar to the user group hierarchy. Ezután az Intune-konzolon a csoportcsomópontnak ehhez hasonlóan kell kinéznie:Your group node in the Intune console will look similar to this:

Az Intune-csoportok hierarchikus nézete

Csoporthierarchiák és elnevezési konvenciókGroup hierarchies and naming conventions

A szabályzatok felügyeletének egyszerűsítése érdekében azt javasoljuk, hogy a cél, a platform és az alkalmazási hatókör alapján nevezze el az egyes szabályzatokat.To make policy management easier, we recommend that you name each policy according to the purpose, platform, and scope to which you apply it. Használjon olyan elnevezési konvenciót, amely követi a szabályzatok alkalmazásának előkészítése során létrehozott csoportstruktúrát.Use a naming standard that follows the group structure that you created when you prepared to apply your policies.

Az USA regionális szinten az összes szervezeti, androidos mobileszközre alkalmazott Android-szabályzatok esetén a szabályzat neve például a következő lehet: CO_US_Mob_Android_General.For instance, for an Android policy that applies to all corporate, Android, mobile devices at the U.S. regional level, you might name the policy CO_US_Mob_Android_General.

Android-szabályzat létrehozása

Az ilyen elnevezési gyakorlat segítségével gyorsan azonosíthatja a szabályzatokat és azok kívánt célját és hatókörét a Policies (Szabályzatok) csomópontban, ahogy ezt a következő ábra is szemlélteti:When you name your policies this way, you can quickly identify policies and their intended use and scope in the Policies node, like this:

Intune-szabályzatok listája

További lépésekNext steps

Csoportok létrehozásaCreate groups