Prestatieaanbevelingen voor groeperen, targeten en filteren in grote Microsoft Intune omgevingen
In dit artikel worden aanbevelingen beschreven voor het groeperen, targeten en filteren van uw beleid en apps in Intune. Het doel is om u te helpen bij het nemen van architectuur- en ontwerpbeslissingen voor Intune-implementaties in grote omgevingen.
Deze prestatieaanbeveling en de implementatie ervan kunnen verschillen en afhankelijk zijn van uw eigen omgeving & andere factoren, waaronder beheerbaarheid en eenvoud.
In dit artikel:
- Een overzicht van intune-concepten voor groeperen en targeten
- Prestatieaanbeveling ophalen
Ga voor meer informatie en een overzicht van filters naar Filters gebruiken bij het toewijzen van uw apps, beleid en profielen in Microsoft Intune.
Voor hulp bij dynamische groepen gaat u naar Eenvoudigere, efficiëntere regels maken voor dynamische groepen in Microsoft Entra-id.
Overzicht van intune-concepten voor groeperen en targeten
Voordat we verdergaan met de aanbevelingen, bekijken we de functies voor groeperen, targeten filteren en filteren die beschikbaar zijn in Intune.
Microsoft Entra groepen
Intune maakt bijna uitsluitend gebruik van Microsoft Entra groepen voor groepering en targeting. Wanneer u Groepen selecteert in het Microsoft Intune-beheercentrum, bekijkt u Microsoft Entra groepen.
Microsoft Entra groepen zijn een belangrijk onderdeel van Intune, omdat deze groepen:
- De objecten die worden gebruikt voor het toewijzen van apps, beleidsregels en andere workloads aan gebruikers en apparaten.
- Wordt gebruikt om de apparaten te definiëren die beheerders kunnen weergeven en beheren in het Intune-beheercentrum, zoals Bereikgroepen in op rollen gebaseerd toegangsbeheer (RBAC).
Virtuele groepen
De toewijzingen Alle gebruikers en Alle apparaten zijn virtuele Intune-groepen. Deze virtuele groepen zijn standaard beschikbaar in alle Intune-tenants en hebben geen beheeroverhead. U hoeft bijvoorbeeld geen Microsoft Entra id-regels te maken of aan te passen om hun leden gevuld te houden.
De groepen Alle gebruikers en Alle apparaten zijn ook zeer schaalbaar en geoptimaliseerd, vooral omdat ze niet op dezelfde manier vanuit Microsoft Entra id hoeven te worden gesynchroniseerd als andere groepen.
Filters
Nadat de app of het beleid is toegewezen aan een Microsoft Entra-id of virtuele groep, kunt u filters gebruiken om het toewijzingsbereik van deze apps en beleidsregels te beperken tot specifieke gebruikers- of apparaatgroepen.
Uw filter filtert apparaten in of uit die toewijzing op basis van apparaateigenschappen.
Filteren is een evaluatie van de toepasselijkheid met hoge prestaties en lage latentie bij het inchecken van het apparaat, zonder dat u het groepslidmaatschap vooraf hoeft te berekenen.
Prestatieaanbeveling
Deze sectie bevat enkele aanbevelingen die de prestaties kunnen verbeteren bij het toewijzen van uw beleid in Microsoft Intune.
Deze aanbevelingen zijn gericht op het verbeteren van de prestaties en het verminderen van latentie bij de toewijzing van workloads. Ze hebben de meeste impact bij het werken in grote Intune-omgevingen, zoals omgevingen met >100.000 apparaten. Deze aanbevelingen moeten worden overwogen met andere ontwerpaspecten, zoals beheerbaarheid, gebruiksgemak, op rollen gebaseerd beheer en eenvoud.
Virtuele groepen gebruiken
| DOEN | NIET DOEN |
|---|---|
| ✔️ Gebruik de virtuele groepen Alle gebruikers en Alle apparaten in plaats van uw eigen versie van alle gebruikers/alle apparaten te maken met behulp van Microsoft Entra dynamische groepen. | ❌ Maak niet uw eigen dynamische groepen 'Alle gebruikers' of 'Alle apparaten' voor beleid en app-targeting in Intune. |
Het duurt langer voordat grotere groepen lidmaatschapsupdates synchroniseren tussen Microsoft Entra-id en Intune. De 'Alle gebruikers' en 'Alle apparaten' zijn meestal de grootste groepen die u hebt. Als u Intune-workloads toewijst aan grote Microsoft Entra groepen met veel gebruikers of apparaten, kunnen synchronisatieachterstanden optreden in uw Intune-omgeving. Deze achterstand is van invloed op beleid en app-implementaties, die langer duren om beheerde apparaten te bereiken.
De ingebouwde groepen Alle gebruikers en Alle apparaten zijn alleen Intune-groeperingsobjecten die niet bestaan in Microsoft Entra-id. Er is geen continue synchronisatie tussen Microsoft Entra-id en Intune. Het groepslidmaatschap is dus direct.
Opmerking
Ga naar Vernieuwingsintervallen voor Intune-beleid voor informatie over vernieuwingsintervallen voor Intune-check-inbeleid.
U kunt deze optimalisatie ook toepassen op andere grote en vaak veranderende groepen die u mogelijk hebt, zoals 'Alle Windows-apparaten' of 'alle iOS-apparaten'. In plaats van deze groepen te maken en te richten, kunt u de bestaande virtuele groepen 'Alle gebruikers' of 'Alle apparaten' gebruiken, omdat Intune-beleid en -toepassingen al zijn afgestemd op platform.
Wanneer u zeer grote groepen in Intune gebruikt (meer dan 100.000 leden), verwacht u enige vertraging bij het richten. Er is een eerste keer dat het installatieproces plaatsvindt tussen Microsoft Entra ID en Intune. De eerste volledige synchronisatie duurt altijd langer dan volgende incrementele synchronisaties.
Groepen opnieuw gebruiken
| DOEN | NIET DOEN |
|---|---|
| ✔️ Gebruik dezelfde groepsobjecten opnieuw voor het toewijzen van meerdere beleidsregels. | ❌ Maak geen dubbele kopieën van dezelfde groep om verschillende beleidsregels te gebruiken. ❌ Maak geen toegewezen app-groepen of beleidsgroepen. |
Achter de schermen converteert Intune Microsoft Entra groepsleden naar toewijzingsberichten voor elke gebruiker en elk apparaat. Dit proces is sterk geoptimaliseerd wanneer de groepsobjecten hetzelfde zijn.
Groeperen en targeten in Intune werkt bijvoorbeeld het beste wanneer de gebruikersgroep 'Engineering' is gericht op 10 beleidsregels. Dit werkt niet het beste wanneer de technische gebruikers lid zijn van tien verschillende groepen, die elk zijn toegewezen aan een ander beleid.
We hebben een aantal ontwerpen gezien die tegen deze richtlijnen in gaan. IT-beheerders maken bijvoorbeeld een 'Install_Edge'-groep, maken een 'Deploy_Edge_Config_Policy'-groep en plaatsen vervolgens dezelfde apparaten in elke groep.
Een vergelijkbaar en niet aanbevolen patroon is het maken van 'App-groepen'. Een app-groep is wanneer voor elke app meerdere Microsoft Entra groepen zijn gemaakt. Als u bijvoorbeeld de Edge-toepassing wilt beheren, maakt een beheerder de volgende groepen:
- Edge_Required
- Edge_Available
- Edge_Uninstall
De beheerder voegt afzonderlijke gebruikers of apparaten toe aan deze groepen. Deze app-groepen verhogen het aantal Microsoft Entra groepen waarop Intune zich moet abonneren en controleren op lidmaatschapsupdates, wat minder efficiënt is. Inefficiënt ontwerp voor groepssynchronisatie is van invloed op hoe snel nieuwe toewijzingen worden gemaakt en geleverd aan apparaten.
Incrementele groepswijzigingen aanbrengen
| DOEN | NIET DOEN |
|---|---|
| ✔️ Wees voorzichtig met wijzigingen in het nesten van grote groepen in Microsoft Entra-id. | ❌ Breng niet allemaal wijzigingen aan in het nesten van grote groepen. |
Een grote wijziging van groepslidmaatschap in Microsoft Entra-id kan bursts van doelwijzigingen in Intune genereren. Deze bursts kunnen het targeten van andere toewijzingen in uw omgeving vertragen.
Als uw groepen worden beheerd door een andere set beheerders dan de beheerders die Microsoft Entra id beheren, moet u communiceren wat de impact Microsoft Entra id-wijzigingen kunnen hebben op Intune-targeting.
Als een Microsoft Entra-beheerder bijvoorbeeld nieuwe grote groepen nest binnen een bestaande groep die Intune gebruikt voor targeting, begint Intune met het synchroniseren van alle groepen en groepslidmaatschappen. De tijd die nodig is om alle lidmaatschappen te verwerken, is afhankelijk van het aantal en de grootte van groepswijzigingen die zijn aangebracht in Microsoft Entra-id.
Deze aanbeveling is ook van toepassing wanneer groepen 'niet-toegewezen' zijn. Ga naar Microsoft Entra groepen en groepslidmaatschap beheren voor meer informatie over geneste groepen.
Filters gebruiken om op te nemen en uit te sluiten
| DOEN | NIET DOEN |
|---|---|
| ✔️ Gebruik filters om de juiste combinatie van gebruiker en apparaat te bereiken voor targeting. | ❌ Gebruik geen gebruikersgroepen en apparaatgroepen wanneer u groepen opnemen en Uitsluiten gebruikt. |
Deze aanbeveling is ook een ondersteuningsverklaring. Het maken van toewijzingen voor gebruikersgroepen en het uitsluiten van een apparaatgroep van die toewijzing wordt niet aanbevolen of ondersteund, of omgekeerd.
Deze aanbeveling bestaat vanwege de timing/latentiekenmerken van dynamische groepen. Uitgesloten groepslidmaatschap is niet direct, wat kan leiden tot gevallen waarin apparaten ten onrechte app- of beleidstoewijzingen ontvangen. Ga voor meer informatie naar de matrix Beleid en profielen toewijzen - ondersteuning.
In plaats van gemengde uitsluitingen wordt u aangeraden aan een gebruikersgroep toe te wijzen. Gebruik vervolgens filters om de juiste apparaten dynamisch op te nemen of uit te sluiten.
Samenvatting
Neem enkele van deze aanbevelingen op bij het maken en beheren van toewijzingen in Intune. Gebruik groepen of virtuele groepen en pas filters toe om het doelbereik te verfijnen. Houd rekening met de aanbevolen procedures:
- Maak niet uw eigen versie van groepen 'Alle gebruikers' of 'Alle apparaten'. Gebruik de virtuele Intune-groepen, omdat ze geen Microsoft Entra id hoeven te synchroniseren wanneer een nieuwe gebruiker of een nieuw apparaat aan de omgeving wordt toegevoegd.
- Als u uw doelen wilt optimaliseren, gebruikt u groepen zoveel mogelijk opnieuw.
- Let op bij het aanbrengen van grote nestingswijzigingen in Intune-groepen. Intune moet al deze wijzigingen verwerken en effectieve wijzigingen berekenen voor alle leden van alle groepen die door die wijziging worden beïnvloed.
- Intune biedt geen ondersteuning voor gemengde groepsuitsluitingen. Gebruik daarom filters om naast groeps- of virtuele groepstoewijzingen dynamisch apparaten op te nemen en uit te sluiten.
Volgende stappen
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor