Planowanie grup użytkowników i urządzeńPlan your user and device groups

Dotyczy: usługa Intune w portalu klasycznymApplies to: Intune in the classic portal
Szukasz dokumentacji dotyczącej usługi Intune w witrynie Azure Portal?Looking for documentation about Intune in the Azure portal? Przejdź tutaj.Go here.

Grupy w usłudze Intune zapewniają dużą elastyczność zarządzania urządzeniami i użytkownikami.Groups in Intune give you great flexibility when you're managing your devices and users. Grupy można skonfigurować zgodnie z potrzebami organizacji na podstawie:You can set up groups to suit your organizational needs according to:

  • położenia geograficznego,geographic location
  • działu,department
  • właściwości sprzętu,hardware characteristics
  • systemu operacyjnego,operating system
  • przynależności urządzeń do użytkowników lub firmy.whether the device is user-owned or company-owned

Jak działają grupy usługi IntuneHow Intune groups work

To jest domyślny widok węzła Grupy w konsoli administracyjnej usługi Intune:This is the default view of the Groups node in the Intune admin console:

Zrzut ekranu przedstawiający widok domyślny węzła Grupy w konsoli usługi Intune

Zasady są wdrażane w grupach, dlatego hierarchia grup jest jednym z najważniejszych zagadnień projektowych.Policies are deployed to groups, so group hierarchy is one of your key design considerations. Należy zwrócić uwagę na to, że nie można zmienić grupy nadrzędnej danej grupy po jej utworzeniu.It's important to know that you cannot change a group’s parent group after you've created the group. Projektowanie grup ma zasadnicze znaczenie od momentu rozpoczęcia korzystania z usługi Intune.How you design your groups is critically important from the moment you start using the Intune service. Niektóre zalecane praktyki projektowania hierarchii grup odpowiednio do potrzeb organizacji są opisane poniżej.Some recommended practices for designing a group hierarchy based on your organizational needs are described here.

Reguły członkostwa w grupachGroup membership rules

  • Grupa może zawierać użytkowników lub urządzenia, ale nie oba te elementy jednocześnie.A group can contain either users or devices, but not both.

    • Grupy urządzeń.Device groups. Dotyczy zarówno komputerów, jak i urządzeń przenośnych.This includes computers and mobile devices. Aby można było dodać komputer do grupy, musi być on zarejestrowany.Before you can add a computer to a group, it must be enrolled. Aby można było dodać urządzenie przenośne do grupy, środowisko musi być skonfigurowane do obsługi urządzeń przenośnych i urządzenie musi być zarejestrowane lub odnalezione za pomocą programu Exchange ActiveSync.Before you can add a mobile device to a group, your environment must be configured to support mobile devices, and the device must be enrolled or discovered in Exchange ActiveSync.

    • Grupy użytkowników.User groups. Grupa może zawierać użytkowników z grup zabezpieczeń.A group can have users from security groups. Grupy zabezpieczeń są synchronizowane z wystąpieniem usługi Active Directory.Security groups sync with your instance of Active Directory. Jeśli nie używasz do synchronizacji usługi Active Directory, możesz utworzyć te grupy ręcznie.If you do not sync with Active Directory, you can manually create these groups.

  • Urządzenie lub użytkownik może należeć do więcej niż jednej grupy.A device or a user can belong to more than one group.

  • Elementy członkowskie mogą być dołączane do grupy lub wykluczane z niej na podstawie następujących reguł członkostwa:A group can include and exclude members based on the following membership rules:

    • Kryteria członkostwa.Criteria Membership. Są to dynamiczne reguły, których usługa Intune używa do dołączania lub wykluczania elementów członkowskich.These are dynamic rules that Intune runs to include or exclude members. W tych kryteriach są używane grupy zabezpieczeń i inne informacje synchronizowane z lokalnym wystąpieniem usługi Active Directory.These criteria use security groups and other information synced with your local instance of Active Directory. Jeśli grupa zabezpieczeń lub dane zostaną zmienione, członkostwo w grupie ulega zmianie po synchronizacji z usługą Active Directory.When the security group or data changes, the group membership changes when you sync with Active Directory.

    • Członkostwo bezpośrednie.Direct Membership. Są to statyczne reguły, które jawnie dodają lub wykluczają elementy członkowskie.These are static rules that explicitly add or exclude members. Lista członkostwa jest statyczna.The membership list is static.

  • Podczas tworzenia grup użytkowników lub grup urządzeń, które zawierają użytkowników lub komputery, nie są wymagane usługi domenowe Active Directory (AD DS).Active Directory Domain Services (AD DS) is not required when you create user groups or device groups that include users or computers. Jednak aby umożliwić dołączenie do grup urządzeń przenośnych, środowisko musi być skonfigurowane pod kątem obsługi urządzeń przenośnych.But, for device groups to include mobile devices, your environment must be configured to support mobile devices.

    Ponadto urządzenia muszą zostać wykryte i dodane do usługi Intune.Additionally, the devices must be discovered and added to Intune.

Reguły relacji grupGroup relationship rules

  • Każda utworzona grupa musi mieć grupę nadrzędną.Each group you create must have a parent group. Nie można zmienić grupy nadrzędnej danej grupy po jej utworzeniu.You cannot change a group’s parent group after you've created the group.

  • W przypadku dodawania użytkowników lub urządzeń do grupy podrzędnej:When you add users or devices to a child group:

    • Grupa podrzędna jest zawsze podzbiorem grupy nadrzędnej.The child group is always a subset of the parent group.

    • Nowe elementy członkowskie dodane do grupy podrzędnej są automatycznie dodawane do jej grupy nadrzędnej.New members you add to a child group are automatically added to that group’s parent group.

    • Nie można dodać elementu członkowskiego do grupy podrzędnej, jeśli jest on wykluczony z grupy nadrzędnej.You cannot add a member to a child group when that member is excluded from the parent group.

  • Członkostwo grupy nadrzędnej definiuje dostępne członkostwa dla grupy podrzędnej.The membership of a parent group defines the available membership for the child group.

  • Usunięcie grupy nadrzędnej spowoduje usunięcie wszystkich grup podrzędnych.When you delete a parent group, all child groups are deleted.

  • Zawartość i zasady możesz wdrożyć w grupie nadrzędnej bez jednoczesnego wdrażania ich w grupach podrzędnych.You can deploy content and policies to a parent group but exclude the deployment to child groups.

  • Określonego użytkownika lub urządzenie możesz dodać do grupy podrzędnej, jeśli dodawany element nie jest już elementem członkowskim grupy nadrzędnej.You can add a specific user or device to a child group if the user or device is not already a member of the parent group. W takim przypadku nowy element członkowski grupy podrzędnej zostanie dodany do grupy nadrzędnej.If you do this, the new member of the child group will be added to the parent group.

    Jednak nie można dodać do grupy podrzędnej takiego elementu członkowskiego, który jest wykluczony z grupy nadrzędnej.However, you cannot add a member to a child group if the member is excluded from the parent group.

  • Członkostwo w grupie jest rekursywne.Group membership is recursive. Na przykład:For example:

    • Paweł jest elementem członkowskim tylko jednej grupy — grupy zabezpieczeń Użytkownicy laptopów .Pat is a member of only one group, the Laptop Users security group.

    • Grupa Użytkownicy laptopów jest elementem członkowskim grupy zabezpieczeń Zatwierdzeni użytkownicy .The Laptop Users group is a member of the Approved Users security group.

    • Tworzysz grupę w usłudze Intune używającą dynamicznego zapytania o członkostwo, które obejmuje członków grupy Zatwierdzeni użytkownicy.You create a group in Intune that uses a dynamic membership query that includes the members of the Approved Users group. W rezultacie grupa użytkowników usługi Intune będzie zawierać użytkownika Paweł.The result is that your Intune user group includes Pat.

Porada

Podczas tworzenia grup należy wziąć pod uwagę, jak będą stosowane zasady.When you create groups, think about how you will apply policy. Na przykład mogą istnieć zasady przeznaczone dla systemów operacyjnych urządzeń i zasady przeznaczone dla różnych ról w organizacji lub jednostek organizacyjnych zdefiniowanych już w usłudze Active Directory.For example, you might have policies that are specific to device operating systems, or policies that are specific to different roles or organizational units you've already defined in your Active Directory service. Niektórzy administratorzy uważają za przydatne tworzenie grup urządzeń specyficznych dla systemów iOS, Android i Windows.Some admins find it useful to create device groups that are specific to iOS, Android, and Windows. Ten proces jest uzupełnieniem procesu tworzenia grup użytkowników dla każdej roli organizacyjnej.This is in addition to creating user groups for each organizational role.

Grupy wbudowaneBuilt-in groups

Usługa Intune udostępnia dziewięć wbudowanych grup, których nie można edytować ani usunąć: Intune has nine built-in groups that you cannot edit or delete:

  • Wszyscy użytkownicyAll Users
    • Użytkownicy niezgrupowaniUngrouped Users
  • Wszystkie urządzeniaAll Devices
    • Wszystkie komputeryAll Computers
    • Wszystkie urządzenia przenośneAll Mobile Devices
      • Wszystkie urządzenia zarządzane bezpośrednioAll Direct Managed Devices
      • Wszystkie urządzenia zarządzane za pośrednictwem programu Exchange ActiveSyncAll Exchange ActiveSync Managed Devices
    • Wszystkie urządzenia należące do firmyAll Corporate-owned Devices
    • Urządzenia niezgrupowaneUngrouped Devices

Uwaga

Kieruj się zasadą: należy zachować prostotę.Let your motto be: keep it simple. Jeśli Twoja organizacja nie ma specyficznych potrzeb, takich jak opisane w kolejnych sekcjach, użyj domyślnej struktury i zasad grup.If your organization does not have specific needs like those described in the following sections, keep it simple and go with the default group structure and policies. Ułatwi to zarządzanie usługą w długoterminowej perspektywie.This will make the service more manageable in the long term. Konserwacja będzie łatwiejsza, jeśli możesz traktować użytkowników jednolicie.Maintenance will be easier if you can treat your users uniformly. Przy małym zróżnicowaniu grup będzie trzeba utrzymywać mniejszą liczbę zasad.With little differentiation by group, you'll have fewer policies to maintain.

Wszyscy użytkownicy i wszystkie urządzenia w Twojej organizacjiAll users and devices in your organization

Zdefiniuj grupę nadrzędną dla wszystkich użytkowników i urządzeń w Twojej organizacji.Define a parent group for all users and devices in your organization. Prawdopodobnie będziesz używać zasad dotyczących wszystkich elementów.You are likely to have policies that will apply to all. Do tego celu możesz użyć grup domyślnych usługi Intune Wszyscy użytkownicy i Wszystkie urządzenia.You can use the Intune default All Users and All devices groups for this purpose. Podgrupy pozwalające organizować urządzenia według określonych kryteriów, takie jak grupa „Przynieś własne urządzenie” (BYOD, Bring Your Own Device) i grupa urządzeń należących do firmy, mogą być grupami podrzędnymi grup nadrzędnych Wszyscy użytkownicy i Wszystkie urządzenia.Sub-groups that organize devices by specifics, like a group for bring your own device (BYOD) and one for corporate-owned (CO) devices, can be child groups of the All Users and All devices parent groups.

Dostosowywanie grup na potrzeby organizacjiCustomize groups for your organization

Urządzenia BYOD i należące do firmyBYOD and corporate-owned devices

Jeśli Twoja organizacja pozwala pracownikom korzystać w pracy z własnych urządzeń lub dostarcza urządzenia należące do firmy bądź stosuje oba te modele, zalecamy stosowanie odrębnych zasad dla wymienionych kategorii urządzeń.If your organization allows employees to use their own devices, provides company-owned devices, or has a combination of both, we recommend that you apply separate policies for these categories of devices.

W przypadku modelu BYOD lub stosowania obu modeli należy dokładnie zaplanować zasady, tak aby nie naruszały lokalnych przepisów dotyczących zachowania poufności.In the case of BYOD or a mix, be careful to plan policies that do not infringe on local privacy regulations. Utwórz grupę nadrzędną dla wszystkich użytkowników, którzy będą przynosili własne urządzenia.Create a parent group for all users who will be bringing their own devices. Tej grupy możesz użyć do stosowania zasad dotyczących wszystkich użytkowników należących do tej kategorii.You can use this group to apply policies that are applicable to all users in this category.

Tworzenie grupy nadrzędnej BYOD

Podobnie można utworzyć w organizacji grupę dla użytkowników urządzeń należących do firmy:Similarly, you can create a group for the CO device users in your organization:

Równorzędne grupy użytkowników (grupa BYOD i grupa dla urządzeń należących do firmy)

Grupy dla regionów geograficznychGroups for geographic regions

Jeśli Twoja organizacja potrzebuje zasad dla konkretnych regionów geograficznych, istnieje możliwość utworzenia grup na podstawie tego kryterium.If your organization needs policies for specific regions, you can create groups based on geographic region. Możesz oprzeć je na grupach regionalnych, które być może już utworzono w ramach Twojego wystąpienia usługi Active Directory, i synchronizować za pomocą usługi Azure Active Directory.You can base them on regional groups that you might have already created in your instance of Active Directory, and sync them with your Azure Active Directory service. Możesz również utworzyć grupy regionalne bezpośrednio w usłudze Azure Active Directory.You also can create regional groups directly in Azure Active Directory.

Kolejne zrzuty ekranu pokazują tworzenie grup usługi Intune opartych na grupach zsynchronizowanych z lokalnym wystąpieniem usługi Active Directory.The next screenshots show you how to create Intune groups based on groups synced with your on-premises Active Directory instance. Na potrzeby tych przykładów przyjęto, że istnieje grupa zabezpieczeń usługi Active Directory o nazwie US Users Group.These examples assume that you have an Active Directory security group called US Users Group.

Najpierw podaj informacje ogólne.First, provide general information.

Zrzut ekranu przedstawiający obszar Edytowanie grupy

W obszarze Kryteria członkostwa wybierz grupę US Users Group zsynchronizowaną z usługą Active Directory jako grupę zabezpieczeń do użycia w ramach reguł członkostwa.Under Membership criteria, select US Users Group, synced with Active Directory, as the security group to use under membership rules.

Zrzut ekranu przedstawiający okno dialogowe Edytowanie grupy

Przejrzyj wpisy, a następnie wybierz pozycję Zakończ, aby utworzyć grupę.Review your entries, and then choose Finish to create the group.

Zrzut ekranu przedstawiający okno dialogowe Edytowanie grupy

W przykładzie utworzono również grupę o nazwie MEA (Środkowy Wschód i Azja).In our example, we’ve also created a group called MEA, for the Middle East and Asia.

Uwaga

Jeśli członkostwo w grupie nie zostanie wypełnione na podstawie przynależności do grupy zabezpieczeń, upewnij się, że do tych elementów członkowskich grupy zostały przypisane licencje usługi Intune.If group membership is not populated based on security group membership, make sure that you have assigned Intune licenses to group members.

Grupy dla konkretnego sprzętuGroups for specific hardware

Jeśli w Twojej organizacji są wymagane zasady dotyczące konkretnych typów sprzętu, możesz tworzyć grupy na podstawie tego kryterium.If your organization requires policies that apply to specific hardware types, you can create groups based on this requirement. Zasady możesz oprzeć na konkretnych grupach, które już utworzono w ramach lokalnego wystąpienia usługi Active Directory, a następnie synchronizować je za pomocą usługi Azure Active Directory.You can base the policies on specific groups that you have already created in your on-premises instance of Active Directory, and then sync them with Azure Active Directory. Możesz również utworzyć grupy bezpośrednio w usłudze Azure Active Directory.You also can create groups directly in Azure Active Directory. W tym przykładzie użyto grupy US Users Group jako grupy nadrzędnej względem grupy Laptop Users.In this example, we use US Users Group as the parent group for the Laptop Users group.

Okno dialogowe Wybieranie grupy zabezpieczeń

W tym momencie hierarchia grupy powinna wyglądać podobnie do przedstawionej na następnym zrzucie ekranu.At this point, your group's hierarchy should look similar to the next screenshot. Jak widać, grupa Laptop Users usługi Intune ma teraz członków.You can see that there are now members in the Intune group Laptop Users. Wszystkie zasady zastosowane dla tej grupy będą dotyczyć użytkowników laptopów BYOD z regionu Stanów Zjednoczonych.Any policies applied to this group will be applied to BYOD laptop users from the U.S. region.

Reprezentacja graficzna grupy użytkowników laptopów

Grupy dla poszczególnych systemów operacyjnychGroups for specific operating systems

Jeśli w Twojej organizacji są wymagane zasady dotyczące konkretnych systemów operacyjnych, takich jak Android, iOS i Windows, możesz utworzyć grupy na podstawie tego wymagania.If your organization requires policies that apply to specific operating systems like Android, iOS, or Windows, you can create groups based on this requirement. Podobnie jak w przypadku wcześniejszych przykładów, możesz oprzeć grupy na konkretnych grupach przeznaczonych dla systemów operacyjnych, które już utworzono w ramach lokalnego wystąpienia usługi Active Directory, i synchronizować je za pomocą usługi Azure Active Directory.As in earlier examples, you can base them on OS-specific groups that you have already created in your on-premises instance of Active Directory, and sync them with Azure Active Directory. Możesz także utworzyć je bezpośrednio w używanym wystąpieniu usługi Azure Active Directory.You also can create them directly in your instance of Azure Active Directory.

Za pomocą tej samej metody co we wcześniejszych przykładach można utworzyć grupy na podstawie użytkowników, którzy używają konkretnych platform systemu operacyjnego.By using the same method from earlier examples, you can create groups based on users who use specific operating system platforms.

Uwaga

Jeśli istnieją użytkownicy używający wielu platform mobilnych lub systemów operacyjnych, a nie istnieje sposób automatycznej klasyfikacji użytkowników jako użytkowników systemu Android, iOS lub Windows, należy rozważyć stosowanie zasad na poziomie urządzeń.If you have users who use multiple mobile platforms or operating systems and you do not have an automated way to categorize users as Android users, iOS users, or Windows users, consider applying policies at the device level. Zapewni to większą elastyczność stosowania zasad dla konkretnych systemów operacyjnych.This will give you more flexibility to apply policies that are specific to an operating system.

Nie można dynamicznie aprowizować grup na podstawie systemu operacyjnego urządzenia.You cannot provision groups dynamically based on the operating system of the device. Zamiast tego należy to zrobić przy użyciu grup zabezpieczeń usługi Active Directory lub Azure Active Directory.Instead, do this by using Active Directory or Azure Active Directory security groups.

Grupa użytkowników laptopów

Gdy wszystkie grupy użytkowników zostaną wypełnione na podstawie wymagań organizacyjnych, hierarchia grup powinna przypominać następującą:After all of your user groups are populated based on your organizational requirements, your group hierarchy should look something like this:

Widok hierarchii grup

Ta hierarchia może służyć do stosowania zasad organizacji.You can use this hierarchy to apply the organization's policies.

Grupy urządzeńDevice groups

Możesz również tworzyć podobne grupy urządzeń na potrzeby scenariusza BYOD w sposób przedstawiony tutaj, rozpoczynając od szerokiej grupy, która obejmuje wszystkie urządzenia należące do pracowników.You also can create similar groups for devices as shown here, starting with a broad group that includes all employee-owned devices, for the BYOD scenario.

Okno dialogowe Tworzenie grupy

Upewnij się, że wybrano opcję Wszystkie urządzenia (komputery i urządzenia przenośne), aby grupa zawierała wszystkie urządzenia typu „Przynieś własne urządzenie”:Make sure that you select All devices (computers and mobile) so that the group will include all BYO devices:

Strona Definiowanie kryteriów członkostwa

Przejrzyj wpisy, a następnie wybierz pozycję Zakończ, aby utworzyć grupę BYOD.Review your entries, and then choose Finish to create the BYOD group.

Okno dialogowe Tworzenie grupy

Kontynuuj tworzenie grup urządzeń aż do uzyskania hierarchii grup urządzeń podobnej do hierarchii grup użytkowników.Continue to create device groups until you have a device group hierarchy that is similar to the user group hierarchy. Węzeł grup w konsoli usługi Intune będzie wyglądać podobnie do następującego:Your group node in the Intune console will look similar to this:

Widok hierarchii grup usługi Intune

Hierarchie grup i konwencje nazewnictwaGroup hierarchies and naming conventions

Aby ułatwić zarządzanie zasadami, zalecamy nadanie każdej zasadzie nazwy zgodnie z przeznaczeniem, platformą i zakresem, których dotyczy.To make policy management easier, we recommend that you name each policy according to the purpose, platform, and scope to which you apply it. Użyj standardu nazewnictwa odpowiadającego strukturze grup utworzonej podczas przygotowań do zastosowania zasad.Use a naming standard that follows the group structure that you created when you prepared to apply your policies.

Na przykład w przypadku zasad systemu Android, które są stosowane do wszystkich firmowych urządzeń przenośnych z systemem Android na poziomie regionalnym Stany Zjednoczone, zasady mogą mieć nazwę CO_US_Mob_Android_General.For instance, for an Android policy that applies to all corporate, Android, mobile devices at the U.S. regional level, you might name the policy CO_US_Mob_Android_General.

Tworzenie zasad dla systemu Android

Nadawanie zasadom nazw w ten sposób umożliwi szybkie identyfikowanie zasad, ich przeznaczenia i zakresu z poziomu węzła Zasady, co przedstawiono poniżej:When you name your policies this way, you can quickly identify policies and their intended use and scope in the Policies node, like this:

Lista zasad usługi Intune

Następne krokiNext steps

Tworzenie grupCreate groups