Teljesítménnyel kapcsolatos javaslatok nagy Microsoft Intune környezetekben történő csoportosításhoz, célzáshoz és szűréshez
Ez a cikk felsorolja és ismerteti a szabályzatok és alkalmazások Intune-csoportosítására, célzására és szűrésére vonatkozó javaslatokat. A cél az, hogy segítséget nyújtsunk az Intune nagy méretű környezetekben történő üzembe helyezéséhez szükséges architektúra- és tervezési döntések meghozatalában.
Ezek a teljesítménnyel kapcsolatos javaslatok és azok megvalósítása eltérő lehet, és a saját környezetétől & egyéb tényezőktől, többek között a kezelhetőségtől és az egyszerűségtől függenek.
A témakör tartalma
- Áttekintés az Intune csoportosítási és célzási fogalmairól
- Teljesítménnyel kapcsolatos javaslatok lekérése
További információért és a szűrők áttekintéséért lásd: Szűrők használata az alkalmazások, szabályzatok és profilok hozzárendelésekor Microsoft Intune.
A dinamikus csoportokkal kapcsolatos útmutatásért tekintse meg a Dinamikus csoportok egyszerűbb és hatékonyabb szabályainak létrehozása Microsoft Entra azonosítóban című témakört.
Az Intune csoportosítási és célzási fogalmainak áttekintése
Mielőtt belevágunk a javaslatokba, tekintsük át az Intune-ban elérhető csoportosítási, célzási és szűrési funkciókat.
Microsoft Entra csoportok
Az Intune szinte kizárólag Microsoft Entra csoportokat használ csoportosításhoz és célzáshoz. Amikor a Microsoft Intune Felügyeleti központban a Csoportok lehetőséget választja, Microsoft Entra csoportokat tekinthet meg.
Microsoft Entra csoportok az Intune fontos részét képezik, mivel ezek a csoportok a következők:
- Az alkalmazások, szabályzatok és egyéb számítási feladatok felhasználókhoz és eszközökhöz való hozzárendeléséhez használt objektumok.
- Az Intune Felügyeleti központban a rendszergazdák által megtekinthető és felügyelhető eszközök meghatározására szolgál, például a hatókörcsoportok szerepköralapú hozzáférés-vezérlésben (RBAC).
Virtuális csoportok
A Minden felhasználó és a Minden eszköz hozzárendelés "virtuális" Intune-csoportok. Ezek a virtuális csoportok alapértelmezés szerint minden Intune-bérlőben elérhetők, és nem járnak felügyeleti többletterheléssel. Nem kell például Microsoft Entra azonosító szabályokat létrehoznia vagy módosítania a tagok feltöltésének megtartásához.
A Minden felhasználó és a Minden eszköz csoport is nagy mértékben méretezhető és optimalizált, főként azért, mert nem kell szinkronizálni őket Microsoft Entra azonosítóból ugyanúgy, mint más csoportok.
Szűrők
Miután hozzárendelte az alkalmazást vagy a szabályzatot egy Microsoft Entra-azonosítóhoz vagy virtuális csoporthoz, szűrőkkel szűkítheti ezeknek az alkalmazásoknak és szabályzatoknak a hozzárendelési hatókörét adott felhasználói vagy eszközcsoportokra.
A szűrő az eszköztulajdonságok alapján szűri az eszközöket a hozzárendelésben (vagy azon kívül).
A szűrés nagy teljesítményű, kis késésű alkalmazhatóság-kiértékelés az eszközbeadáskor anélkül, hogy előre meg kellene adni a csoporttagságot.
Teljesítménnyel kapcsolatos javaslatok
Ez a szakasz néhány olyan javaslatot tartalmaz, amelyek javíthatják a teljesítményt a szabályzatok Microsoft Intune való hozzárendelésekor.
Ezek a javaslatok a teljesítmény javítására és a számítási feladatok hozzárendelésének késésének csökkentésére összpontosítanak. A legnagyobb hatással vannak a nagy Intune-környezetekben, például a 100 000 eszközzel rendelkező >környezetekben végzett munka során. Ezeket a javaslatokat más tervezési szempontokkal is figyelembe kell venni, mint például a kezelhetőség, a könnyű használat, a szerepköralapú adminisztráció és az egyszerűség.
Virtuális csoportok használata
| DO | NEM |
|---|---|
| ✔️ Használja a Minden felhasználó és a Minden eszköz virtuális csoportot ahelyett, hogy az összes felhasználó/minden eszköz saját verzióját hoz létre Microsoft Entra dinamikus csoportokkal. | ❌ Ne hozzon létre saját "Minden felhasználó" vagy "Minden eszköz" dinamikus csoportot szabályzat- és alkalmazáscélzáshoz az Intune-ban. |
A nagyobb csoportoknak tovább tart a tagsági frissítések szinkronizálása Microsoft Entra id és az Intune között. A "Minden felhasználó" és a "Minden eszköz" általában a legnagyobb csoport. Ha az Intune számítási feladatait nagy Microsoft Entra csoportokhoz rendeli, amelyek sok felhasználóval vagy eszközzel rendelkeznek, akkor a szinkronizálási teendőlisták az Intune-környezetben is előfordulhatnak. Ez a teendőlista hatással van a szabályzatok és az alkalmazások üzembe helyezésére, amelyek hosszabb időt vesznek igénybe a felügyelt eszközök eléréséhez.
A beépített Minden felhasználó és Minden eszköz csoport csak intune-beli csoportosítási objektumok, amelyek nem léteznek Microsoft Entra azonosítóban. Nincs folyamatos szinkronizálás Microsoft Entra id és az Intune között. A csoporttagság tehát azonnali.
Megjegyzés:
Az Intune bejelentkezési szabályzat frissítési időközéről az Intune-szabályzat frissítési időközei című témakörben talál további információt.
Ezt az optimalizálást más nagy és gyakran változó csoportokra is alkalmazhatja, például "Minden Windows-eszköz" vagy "minden iOS-eszköz". A csoportok létrehozása és megcélzása helyett használhatja a meglévő "Minden felhasználó" vagy "Minden eszköz" virtuális csoportot, mivel az Intune-szabályzatok és -alkalmazások hatóköre már platform szerint van korlátozva.
Ha nagyon nagy csoportokat használ az Intune-ban (több mint 100 000 tagot), a célzás kezdeti késése várható. Először történik beállítási folyamat Microsoft Entra id és az Intune között. Az első teljes szinkronizálás mindig tovább tart, mint a későbbi növekményes szinkronizálások.
Csoportok újrafelhasználása
| DO | NEM |
|---|---|
| ✔️ Ugyanazokat a csoportobjektumokat több szabályzat hozzárendeléséhez is felhasználhatja. | ❌ Ne hozzon létre duplikált másolatokat ugyanabból a csoportból a különböző szabályzatok megcélzásához. ❌ Ne hozzon létre dedikált "alkalmazáscsoportokat" vagy "Szabályzatcsoportokat". |
A színfalak mögött az Intune Microsoft Entra csoporttagokat az egyes felhasználókra és eszközökre vonatkozó célüzenetekké alakítja. Ez a folyamat nagy mértékben optimalizált, ha a csoportobjektumok azonosak.
Az Intune csoportosítása és célzása például akkor működik a legjobban, ha a "Mérnöki" felhasználói csoport 10 szabályzattal van megcélzva. Nem működik a legjobban, ha a mérnöki felhasználók 10 különböző csoport tagjai, amelyek mindegyike egy másik szabályzathoz van hozzárendelve.
Láttunk néhány olyan tervet, amely ellentétes ezzel az útmutatóval. Az informatikai rendszergazdák például létrehoznak egy "Install_Edge" csoportot, létrehoznak egy "Deploy_Edge_Config_Policy" csoportot, majd minden csoportban ugyanazokat az eszközöket helyezik el.
Hasonló és nem ajánlott minta az "alkalmazáscsoportok" létrehozása. Az alkalmazáscsoport akkor van, ha mindegyik alkalmazáshoz több Microsoft Entra csoport van létrehozva. Az Edge-alkalmazás kezeléséhez például egy rendszergazda a következő csoportokat hozza létre:
- Edge_Required
- Edge_Available
- Edge_Uninstall
A rendszergazda egyéni felhasználókat vagy eszközöket ad hozzá ezekhez a csoportokhoz. Ezek az alkalmazáscsoportok jelentősen növelik azon Microsoft Entra csoportok számát, amelyekre az Intune-nak elő kell fizetnie, és figyelnie kell a tagsági frissítéseket, ami kevésbé hatékony. A nem hatékony csoportszinkronizálási tervezés hatással van az új hozzárendelések gyors létrehozására és az eszközökre való kézbesítésére.
Növekményes csoportmódosítások végrehajtása
| DO | NEM |
|---|---|
| ✔️ Ügyeljen arra, hogy a nagy méretű csoportok beágyazása megváltozik Microsoft Entra azonosítóban. | ❌ Ne hajtsa végre egyszerre a nagy méretű csoportbe ágyazási módosításokat. |
A Microsoft Entra id nagy csoporttagság-változása az Intune-ban a célzási módosítások hirtelen növekedéséhez vezethet. Ezek az adatcsúcsok késleltethetik a környezet más hozzárendeléseinek megcélzását.
Ha a csoportokat más rendszergazdák kezelik, mint az Microsoft Entra-azonosítót kezelő rendszergazdák, akkor közölnie kell, hogy milyen hatással lehetnek Microsoft Entra id-módosítások az Intune-célzásra.
Ha például egy Microsoft Entra rendszergazda új nagy csoportokat ágyaz be egy meglévő csoportba, amelyet az Intune a célzáshoz használ, akkor az Intune megkezdi az összes csoport és csoporttagság szinkronizálását. Az összes tagság feldolgozásához szükséges idő az Microsoft Entra azonosítóban végrehajtott csoportmódosítások számától és méretétől függ.
Ez a javaslat akkor is érvényes, ha a csoportok "nincsenek betöltve". A beágyazott csoportokkal kapcsolatos további információkért tekintse meg a Microsoft Entra csoportok és csoporttagságok kezelése című témakört.
Szűrők használata belefoglaláshoz és kizáráshoz
| DO | NEM |
|---|---|
| ✔️ Használjon szűrőket a felhasználó és eszköz megfelelő kombinációjának eléréséhez a célzáshoz. | ❌ Ne keverje a felhasználói csoportokat és az eszközcsoportokat a Belefoglalás és a Kizárás csoport használatakor. |
Ez a javaslat egyben egy támogatási nyilatkozat is. Nem javasoljuk vagy támogatjuk a hozzárendelések létrehozását a felhasználói csoportokhoz, és nem zárunk ki egy eszközcsoportot a hozzárendelésből, vagy fordítva.
Ez a javaslat a dinamikus csoportok időzítési/késési jellemzői miatt létezik. A kizárt csoportok tagsága nem azonnali, ami olyan eseteket eredményezhet, amikor az eszközök helytelenül kapják meg az alkalmazás- vagy szabályzat-hozzárendeléseket. További információ: Szabályzatok és profilok hozzárendelése – támogatási mátrix.
A vegyes kizárások helyett azt javasoljuk, hogy rendeljen hozzá egy felhasználói csoporthoz. Ezután használjon szűrőket a megfelelő eszközök dinamikus belefoglalásához vagy kizárásához.
Összefoglalás
Amikor feladatokat hoz létre és kezel az Intune-ban, építsen be néhányat ezekből a javaslatokból. Használjon csoportokat vagy virtuális csoportokat, és alkalmazzon szűrőket a cél hatókörének finomításához. Tartsa szem előtt az ajánlott eljárásokat:
- Ne hozza létre a "Minden felhasználó" vagy a "Minden eszköz" csoport saját verzióját. Használja az Intune-beli virtuális csoportokat, mivel nincs szükségük Microsoft Entra azonosító szinkronizálására, amikor új felhasználót vagy eszközt adnak hozzá a környezethez.
- A célzás optimalizálásához használja fel a csoportokat a lehető legnagyobb mértékben.
- Ügyeljen arra, hogy az Intune-csoportok nagy méretű beágyazási módosításokat hajtanak végre. Az Intune-nak fel kell dolgoznia ezeket a módosításokat, és ki kell számítania a változás által érintett csoportok összes tagjának tényleges módosításait.
- Az Intune nem támogatja a vegyes csoportkizárásokat. A szűrőkkel tehát dinamikusan belefoglalhatja és kizárhatja az eszközöket a csoport- vagy virtuáliscsoport-hozzárendelések mellett.
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: