Delen via

Gedistribueerde IT-omgeving met veel beheerders in dezelfde Microsoft Intune tenant

  • Artikel

Veel organisaties gebruiken een gedistribueerde IT-omgeving waar ze één Microsoft Intune tenant hebben met meerdere lokale beheerders. In dit artikel wordt een manier beschreven om Microsoft Intune te schalen ter ondersteuning van meerdere lokale beheerders die hun eigen gebruikers en apparaten beheren en hun eigen beleid maken, allemaal binnen één Microsoft Intune tenant. Er is geen goed of fout antwoord op het aantal beheerders dat u in uw tenant kunt hebben. Het artikel is gericht op tenants met veel lokale beheerders.

Gedistribueerde IT is nodig in systemen waar een groot aantal lokale beheerders verbinding maakt met één Intune-tenant. Sommige schoolsystemen zijn bijvoorbeeld zo georganiseerd dat u een lokale beheerder hebt voor elke school in het systeem of de regio. Soms kan deze gedistribueerde omgeving 15 of meer verschillende lokale beheerders zijn die zich op hetzelfde centrale systeem of Microsoft Intune tenant bevinden.

Elke lokale beheerder kan groepen instellen om aan de behoeften van de organisatie te voldoen. De lokale beheerder maakt doorgaans groepen en organiseert meerdere gebruikers of apparaten op geografische locatie, afdeling of hardwarekenmerken. De lokale beheerders gebruiken deze groepen ook om taken op schaal te beheren. De lokale beheerders kunnen bijvoorbeeld beleidsregels instellen voor veel gebruikers of apps implementeren op een set apparaten.

Rollen die u moet kennen

  • Centraal team: het centrale team of de groep bevat de globale beheerders of primaire beheerders in uw tenant. Deze beheerders kunnen alle lokale beheerders overzien en kunnen de lokale beheerders richtlijnen geven.

  • Lokale beheerders: de lokale beheerders zijn lokaal en richten zich op beleid en profielen voor hun specifieke locaties; scholen, ziekenhuizen, enzovoort.

Op rollen gebaseerd toegangsbeheer

In deze sectie worden de verschillende modellen kort beschreven en worden onder elk model richtlijnen voorgesteld voor het beheren van beleid, profielen en apps tussen het centrale team en de lokale beheerders. De modellen zijn:

  • Model voor gedeeltelijke delegering
  • Model voor volledige delegering
  • Centraal model
  • Gedevolveerd model
  • Hybride model

Model voor gedeeltelijke delegering

Het model voor gedeeltelijke delegering bevat de volgende richtlijnen voor beleidsbeheer tussen het centrale team en de lokale beheerders.

✔️ Machtigingen

  • Machtigingen voor het maken, bijwerken en verwijderen van beleidsregels, inschrijvingsprofielen en apps moeten worden bewaard door het centrale team.
  • Verlenen alleen leesmachtigingen en wijs machtigingen toe aan de lokale beheerders.

✔️ Hergebruik

  • Vaak geconfigureerde beleidsregels, inschrijvingsprofielen en apps moeten beschikbaar worden gesteld aan de lokale beheerders om zoveel mogelijk opnieuw te gebruiken.
  • Microsoft Intune maakt gebruik van veel algemene configuraties die in een paar categorieën vallen. Bekijk de aanbevelingen voor app-beveiligingsbeleid.
  • Als lokale beheerders onboarden, moeten ze het bestaande beleid controleren en deze indien nodig opnieuw gebruiken.

✔️ Uitzonderingen

  • Het centrale team kan bepaalde nieuwe beleidsregels, inschrijvingsprofielen en apps maken als uitzonderingen, indien nodig, namens de lokale beheerders. Deze uitzonderingen omvatten meestal elk type profiel waarvoor unieke parameters zijn vereist.

Op deze twee gebieden wordt een model voor gedeeltelijke delegering voorgesteld:

Richtlijnen voor groepen en toewijzingen voor lokale beheerders: wat zijn enkele aanbevolen procedures voor lokale beheerders om groepen te organiseren voor apparaatbeheer via Microsoft Intune? Lees het artikel Intune groeperen, targeten en filteren: Aanbevelingen voor de beste prestaties - Microsoft Tech Community

Functiespecifieke richtlijnen: Hoe worden beleidsregels/profielen/apps beheerd tussen een centrale instantie en de lokale beheerders met specifieke machtigingen voor de verschillende functies. Ga voor meer informatie naar de sectie Functiespecifieke richtlijnen.

Model voor volledige delegering

In het model voor volledige delegering worden de volgende richtlijnen voorgesteld voor beleidsbeheer tussen het centrale team en de lokale beheerders.

  • Elke lokale beheerder moet een eigen bereiktag hebben om elk object te scheiden dat ze volledig beheren.
  • Wanneer de lokale beheerder niet hoeft te maken, bij te werken of te verwijderen, verleent u de lokale beheerder een rol met lees- en toewijzingsmachtigingen en vermijdt u het toewijzen van een andere rol met volledige machtiging aan de beheerder. Met deze aanpak kunt u voorkomen dat machtigingen voor bereiktags worden gecombineerd.
  • Soms moeten de lokale beheerders mogelijk hun eigen beleid, profielen en apps maken terwijl ze algemene beleidsregels, profielen en apps delen. Maak in dergelijke gevallen een speciale groep en wijs de algemene beleidsregels, profielen en apps toe aan deze groep. Deze groep mag niet worden opgenomen in de bereikgroep voor een lokale beheerder. Bereikgroep. Deze benadering voorkomt dat de machtigingen voor maken, bijwerken en verwijderen die zijn toegewezen aan de lokale beheerders, worden toegepast op deze algemene beleidsregels, profielen en apps.

Centraal model

In het centrale model beheert één lokaal beheerdersteam (bovenliggend) meerdere onderliggende organisaties. Factoren zoals geografie, bedrijfseenheid of grootte kunnen onderliggende organisaties met elkaar in verband brengen.

  • Er wordt slechts één bereiktag gebruikt om alle beheerde lokale beheerders te dekken.

  • Indien mogelijk moet het lokale beheerdersteam toewijzingen standaardiseren voor lokale beheerders en al hun apparaten in één Microsoft Entra groep plaatsen voor toewijzing. Wanneer het niet mogelijk is om één Microsoft Entra groep te maken, kan het lokale beheerdersteam verschillende Microsoft Entra groepen maken om verschillende toewijzingen te maken.

  • Als een ander lokaal beheerdersteam een organisatie beheert of verplaatst, moeten de volgende stappen worden uitgevoerd:

    • Alle apparaten en gebruikers van de organisatie moeten worden geëxtraheerd uit algemene Microsoft Entra groepen binnen het bereik van het oorspronkelijke lokale beheerdersteam.

    • Voor alle beleidsregels/apps/profielen die uniek voor die organisatie zijn toegewezen, moet de bereiktag worden bijgewerkt voor het nieuwe lokale beheerdersteam.

Gedevolveerd model

In het gevolmachtigde model worden meerdere lokale beheerders (kinderen) beheerd door zowel hun toegewezen lokale beheerder als onder toezicht van een tussenliggend lokaal beheerdersteam. Zowel de bovenliggende als de onderliggende beheerders hebben hun eigen bereiktags om beheergrenzen aan te geven.

  • Als er minder dan 50 beheerders voor kinderen zijn, kan het tussenliggende lokale beheerdersteam toegang krijgen door alle bereiktags van de kinderen toe te wijzen aan de RBAC-roltoewijzing van de tussenliggende lokale beheerdersteams.
  • Als er meer dan 50 kinderbeheerders zijn, moet het tussenliggende lokale beheerdersteam een eigen bereiktag krijgen om de volledige verzameling onderliggende beheerders te vertegenwoordigen die ze controleren.
  • Nieuw gemaakt beleid onder de bereiktags van de onderliggende beheerder moet de tussenliggende tag hebben toegevoegd door een globale beheerdersrol om te voorkomen dat het tussenliggende lokale beheerdersteam zichtbaarheid verliest.

Hybride model

In het hybride model wordt dezelfde bovenliggende beheerder gebruikt in zowel centraal als gedevolveerd model op hetzelfde moment. Er zijn geen speciale aanbevelingen voor dit model.

Functiespecifieke richtlijnen

Afhankelijk van de bedrijfsvereisten voor elke functie, kunnen de richtlijnen in deze sectie u aanbevelen om per lokale beheerder beleidsregels te maken en/of de machtigingen die nodig zijn voor het maken van objecten te delegeren aan de lokale beheerders.

Opmerking

De richtlijnen in deze sectie hebben niet betrekking op elke functie, maar hebben alleen betrekking op die gebieden waarvoor we speciale instructies hebben.

App-beveiliging-beleid

App-beveiliging beleid zijn regels die ervoor zorgen dat de gegevens van een organisatie veilig blijven of in een beheerde app zijn opgenomen. Ga naar App-beveiliging beleid voor meer informatie.

De richtlijnen voor App-beveiliging-beleid zijn als volgt verdeeld over het centrale team en de lokale beheerders:

Centraal team - Taken

  • Bekijk de beveiligings- en bedrijfsbehoeften in de organisatie en genereer een set algemene App-beveiliging beleidsregels voor lokale beheerders.
  • Bekijk de vermelde aanbevelingen om te bepalen welke beveiligingscontroles geschikt zijn voordat u een App-beveiliging-beleid maakt.
  • Zorg voor een vastgestelde methode voor lokale beheerders om aangepaste App-beveiliging-beleidsregels aan te vragen, indien nodig, voor specifieke bedrijfsbehoeften waarbij de bedrijfsvereisten niet kunnen worden bereikt met het bestaande algemene beleid.
  • Voor specifieke aanbevelingen over elk configuratieniveau en de minimale apps die moeten worden beveiligd, raadpleegt u Het gegevensbeschermingsframework met behulp van App-beveiliging-beleid, gaat u naar App-beveiliging-beleid

Lokale beheerders - Machtigingen en taken

  • Geef lees- en toewijzingsmachtigingen op, maar geen machtigingen voor het maken, bijwerken of verwijderen van beheerde apps, zodat ze geen eigen App-beveiliging-beleid kunnen maken.
  • Geef lees- en toewijzingsmachtigingen op voor de toewijzing van toepassingsconfiguratiebeleid aan hun apps.
  • Geef alleen lees- en toewijzingsmachtigingen op wanneer er verschillende beveiligingsbeleidsregels zijn voor beheerde apparaten en niet-beheerde apparaten. Als het centrale team ervoor kiest om slechts één beleid voor beide aan te bieden, is toepassingsconfiguratiebeleid niet nodig.
  • Als toepassingsconfiguratiebeleid wordt gebruikt, wordt u aangeraden het toepassingsconfiguratiebeleid zonder uitzondering toe te wijzen aan alle app-exemplaren.
  • Kies een van de algemene App-beveiliging beleidsregels. Lokale beheerders kunnen het centrale team vragen om aangepast app-beveiligingsbeleid te maken als uitzondering, en alleen indien nodig.
  • Ga voor meer informatie naar App-beveiliging-beleid

Nalevingsbeleid

Nalevingsbeleid in Intune definieert de regels en instellingen waaraan gebruikers en apparaten moeten voldoen om compatibel te zijn. Ga naar Nalevingsbeleid voor meer informatie over nalevingsbeleid.

Centraal team

Het centrale team moet algemene nalevingsbeleidsregels maken waaruit lokale beheerders kunnen kiezen en alleen, indien nodig, uitzonderingsbeleid maken. Ga naar Nalevingsbeleid voor meer informatie. Het maken van beleidsregels omvat het maken van aangepaste nalevingsbeleidsscripts, omdat ze onderworpen zijn aan dezelfde schaal als normaal nalevingsbeleid.

Ga naar Nalevingsbeleid voor meer informatie over het maken van een nalevingsbeleid.

Lokale beheerders

Geef lokale beheerders lees- en toewijzingsmachtigingen, maar geen machtigingen voor het maken, bijwerken of verwijderen van nalevingsbeleid. Met de lees- en toewijzingsmachtigingen kunnen ze kiezen uit het algemene nalevingsbeleid dat door het centrale team is gemaakt en deze toewijzen aan hun gebruikers en apparaten.

Apparaatconfiguratie

In deze sectie:

  • Apparaatbeperkingen en algemene configuratie
  • Toegang tot resources
  • Windows Update-ringen
  • Functie-updates
  • Kwaliteitsupdates

Apparaatbeperkingen en algemene configuratie

  • Lokale beheerders toestemming geven om binnen hun eigen bereik te maken, bij te werken en te verwijderen.

  • Gebruik de instellingencatalogus en beveiligingsbasislijnen maximaal, in plaats van profielen die zijn gemaakt in de lijst Configuratieprofielen, om de schaal in het Microsoft Intune beheercentrum te beperken.

  • Over het algemeen moet het centrale team proberen de inhoud van configuraties centraal te bewaken en waar mogelijk veel dubbele profielen te vervangen door een gedeeld profiel.

Toegang tot resources

Het model Volledige delegering wordt aanbevolen.

Windows Update-ringen

  • We raden u aan dat Windows Update-ringen centraal worden beheerd. Het centrale team moet zoveel algemene Beleidsregels voor Windows-updatering maken als nodig is om de afwijking van de lokale beheerders te ondersteunen.
  • De lokale beheerders mogen geen eigen Windows-update-ringen maken. Wanneer u delegeert aan een groot aantal beheerders, kan het totale aantal objecten groot worden en moeilijk te beheren. Aanbevolen procedures variëren voor elke functie. Ga naar Windows Update-ringen voor meer informatie.

Functie-updates

Het model Volledige delegering wordt aanbevolen.

Kwaliteitsupdates

Het model Volledige delegering wordt aanbevolen.

Certificaten

  • We raden u aan machtigingen via het centrale team te gebruiken om zo nodig connectors te onboarden/offboarden. Onboard-connectors voor elke lokale beheerder ter ondersteuning van certificaatuitgifte.

  • Geef de lokale beheerders geen toestemming om connectors bij te werken of te verwijderen.

Toepassingen

Lokale beheerders volledige machtigingen verlenen om apps te beheren in de mate van hun bereik.

In deze sectie:

  • Apple Volume Purchase Program

  • Windows

  • Android

Ga naar Apps beheren voor meer informatie.

Apple Volume Purchase Program

Momenteel zijn er geen problemen met de schaal van het ondersteunde aantal volume-aankoopprogrammatokens. Ga voor meer informatie naar Hoeveel tokens kan ik uploaden.

Windows

Android

  • Lokale beheerders moeten kiezen uit bestaande Store-apps of het centrale team vragen om nieuwe Android Store-apps toe te voegen. Lokale beheerders mogen geen nieuwe Android Store-apps maken. Het totale aantal objecten kan groot worden en moeilijk te beheren.

  • Lokale beheerders kunnen, indien nodig, Android Line-Of-Business-apps maken binnen de limiet voor platformoverschrijdende, Line-Of-Business-apps en webkoppelingen.

  • Het centrale team moet beheerde Google Play-apps toevoegen.

    • Het centrale team kan alleen beheerde Google Play-apps zien die beschikbaar zijn in het land/de regio van de tenant. Als het centrale team een beheerde Google Play-app nodig heeft die alleen beschikbaar is in bepaalde landen/regio's, moeten ze mogelijk samenwerken met de app-ontwikkelaar om deze correct weer te geven.
    • Het centrale team moet alle inhoud beheren met betrekking tot beheerde Google Play-apps, inclusief privé-apps, web-apps en verzamelingen. Als een klant bijvoorbeeld van plan is om het beheerde Google Play-iframe te gebruiken om privé-apps te publiceren, moet deze dat doen met één ontwikkelaarsaccount dat eigendom is van het centrale team.
    • Het centrale team kan één bereiktag selecteren als de beheerde Google Play-bereiktag. Deze heeft een speciale vervolgkeuzelijst op de pagina Beheerde Google Play-connector. De bereiktag is van toepassing op alle beheerde Google Play-apps nadat het centrale team ze aan de console heeft toegevoegd, maar wordt niet met terugwerkende kracht toegepast op apps die al zijn toegevoegd. Het wordt ten zeerste aanbevolen dat het centrale team de bereiktag instelt voordat ze apps toevoegen en vervolgens elk regionaal team die bereiktag toewijst. Anders kunnen regionale beheerders hun beheerde Google Play-apps mogelijk niet zien.

  • Er wordt slechts één OEMConfig-beleid per apparaat ondersteund, met uitzondering van Zebra-apparaten. Met Zebra-apparaten wordt u ten zeerste aangeraden zo weinig mogelijk beleidsregels te hebben, omdat de tijd voor het afdwingen van het beleid additief is. Als u bijvoorbeeld zes beleidsregels toewijst met de veronderstelling dat ze over elkaar heen worden gelaagd, duurt het ongeveer 6x langer om op het apparaat te werken dan één beleid.

Opmerking

Wees uiterst voorzichtig bij het instellen van de updatemodus met hoge prioriteit voor veel verschillende apps en groepen. Dit heeft meerdere redenen:

  • Hoewel veel apps kunnen worden ingesteld op de modus met hoge prioriteit, kan slechts één app-update tegelijk worden geïnstalleerd. Eén grote app-update kan mogelijk veel kleinere updates blokkeren totdat de installatie van de grote app is voltooid.
  • Afhankelijk van wanneer apps nieuwe updates uitbrengen, kan er een plotselinge piek in uw netwerkgebruik optreden als app-releases samenvallen. Als Wi-Fi niet beschikbaar is op sommige apparaten, kan er ook een piek in het mobiele gebruik zijn.
  • Hoewel er al sprake is van verstorende gebruikerservaringen, neemt het probleem toe naarmate meer apps worden ingesteld op de updatemodus met hoge prioriteit.

Ga naar dit Techcommunity-artikel voor meer informatie over problemen met de schaal van beheerde Google Play-app-updates met behulp van de updatemodus met hoge prioriteit.

Inschrijvingsprofielen

In deze sectie:

  • AutoPilot
  • Pagina Status van inschrijving (ESP)
  • Apple Business Manager (ABM)
  • Android Enterprise-profielen
  • Inschrijvingsbeperkingen
  • Apparaatcategorieën

AutoPilot

  • Lokale beheerders de machtigingen verlenen om Autopilot-apparaten te lezen en nieuwe Autopilot-apparaten te uploaden.
  • Lokale beheerders mogen geen Autopilot-profielen maken. Wanneer u delegeert aan een groot aantal beheerders, kan het totale aantal objecten groot worden en moeilijk te beheren. De aanbevolen procedure verschilt per functiegebied. Ga naar Autopilot gebruiken om Windows-apparaten in te schrijven bij Intune voor meer informatie over Autopilot.

Pagina Status van inschrijving

  • Lokale beheerders moeten profielen voor de statuspagina van de inschrijving selecteren om toe te wijzen, of ze moeten het centrale team vragen om een uitzonderingsprofiel te maken, alleen als dat nodig is.
  • Lokale beheerders moeten geen profielen voor de pagina Inschrijvingsstatus maken. Wanneer u delegeert aan een groot aantal beheerders, kan het totale aantal objecten groot worden en moeilijk te beheren. De aanbevolen procedure verschilt per functiegebied. Ga naar De pagina Status van inschrijving instellen voor informatie over de pagina Status van inschrijving.

Apple Business Manager

Indien mogelijk mogen lokale beheerders geen machtigingen voor het maken, bijwerken of verwijderen van inschrijvingsprofielen krijgen. Als lokale beheerders machtigingen krijgen om Apple Business Manager-profielen te maken, geeft dit hen ook machtigingen voor maken, bijwerken en verwijderen in Autopilot. Lokale beheerders mogen echter geen Autopilot-profielen maken.

Wanneer u delegeert aan een groot aantal beheerders, kan het totale aantal objecten groot worden en moeilijk te beheren. De aanbevolen procedure verschilt per functiegebied. Ga voor meer informatie naar Apple Business Manager gebruiken om Apple-apparaten in intune in te schrijven.

Android Enterprise-profielen

  • Het centrale team moet inschrijvingsprofielen voor toegewezen Android Enterprise-apparaten in bedrijfseigendom maken voor elke lokale beheerder voor apparaatgroepering.
  • Indien mogelijk mogen lokale beheerders geen machtigingen voor maken, bijwerken of verwijderen krijgen op Android Enterprise-apparaten. Deze beperkingen verhinderen dat lokale beheerders de tenantbrede Android Enterprise-instellingen en het globale volledig beheerde inschrijvingsprofiel kunnen wijzigen.

Inschrijvingsbeperkingen

  • Dezelfde set machtigingen is van toepassing op zowel apparaatconfiguratie- als inschrijvingsbeperkingen. Wanneer u machtigingen verleent om te maken voor apparaatconfiguratie, verleent u ook machtigingen om te maken voor inschrijvingsbeperkingen. Lokale beheerders mogen echter geen toestemming krijgen om inschrijvingsbeperkingsprofielen te maken. Ze moeten dus worden geïnstrueerd om geen nieuwe profielen voor inschrijvingsbeperkingen te maken.

  • Beperkingen voor apparaatlimieten voor inschrijving bepalen hoeveel apparaten elke gebruiker kan inschrijven. De limietbeperkingen voor inschrijvingsapparaten moeten alle mogelijke apparaatlimieten omvatten die lokale beheerders kunnen delen. Ga voor meer informatie naar Wat zijn inschrijvingsbeperkingen?

  • Het centrale team moet beperkingen voor apparaattypen zoveel mogelijk standaardiseren en nieuwe beperkingen toevoegen, maar alleen als speciale uitzonderingen nadat een lokale beheerder bestaande beperkingen heeft gecontroleerd.

Apparaatcategorieën

De functie Apparaatcategorieën (Apparaatcategorieën> apparaten) heeft geen eigen machtigingenfamilie. In plaats daarvan worden de machtigingen beheerd door de machtigingen die zijn ingesteld onder Organisatie. Ga naar Tenantbeheerrollen>. Selecteer een aangepaste of ingebouwde rol en selecteer Eigenschappen. Hier kunt u machtigingen toewijzen, een daarvan is Organisatie. Als u dus leesmachtigingen nodig hebt voor Apparaatcategorieën, stelt u leesmachtigingen in Organisatie in.

Centrale teams kunnen apparaatcategorieën maken. Lokale beheerders mogen echter geen apparaatcategorieën maken, bijwerken of verwijderen, omdat hiervoor machtigingen voor organisatie moeten worden verleend, zodat ze toegang hebben tot andere functies op tenantniveau die worden beheerd door organisatiemachtigingen.

Ga naar Apparaatcategorieën voor meer informatie.

Eindpuntanalyse

  • Het centrale team moet zoveel algemene Endpoint Analytics-basislijnen maken als ze nodig hebben om de variantie van de lokale beheerders te ondersteunen.
  • Indien mogelijk moeten lokale beheerders geen eigen Endpoint Analytics-basislijnen maken. Wanneer u delegeert aan een groot aantal beheerders, kan het totale aantal objecten groot worden en moeilijk te beheren. De aanbevolen procedure verschilt per functiegebied.
  • Ga voor meer informatie naar Instellingen configureren in Eindpuntanalyse.