Używanie grup do zarządzania użytkownikami i urządzeniami w usłudze Microsoft IntuneUse groups to manage users and devices in Microsoft Intune

Dotyczy: usługa Intune w konsoli klasycznejApplies to: Intune in the classic console
Szukasz dokumentacji dotyczącej usługi Intune na platformie Azure?Looking for documentation about Intune on Azure? Przejdź tutaj.Go here.

W tym temacie opisano sposób tworzenia grup w usłudze Intune.This topic describes how to create groups in Intune. Temat zawiera także informacje o tym, w jaki sposób zarządzanie grupami może zmienić się na przestrzeni nadchodzących miesięcy.It also provides information about how the management of groups is going to change over the coming months.

Ważne

Jeśli otworzysz obszar roboczy Grupy w portalu Intune i będzie widoczny link do portalu usługi Azure Active Directory (Azure AD), oznacza to, że jest używane nowe podejście do grup zabezpieczeń usługi Azure AD służące do zarządzania grupami w usłudze Intune opisane w sekcji Migrowanie grup do usługi Azure Active Directory.If you open the Groups workspace in the Intune portal and see a link to the Azure active directory (Azure AD) portal, then you are using the new Azure AD security groups approach to group management in Intune, described in Migrating groups to Azure Active Directory. Kliknij link do portalu usługi Azure AD, aby utworzyć grupy i zarządzać nimi.Click the link to the Azure AD portal to create and manage your groups.

Zrzut ekranu przedstawiający link do grupy zarządzania platformy Azure

Jeśli nie jest widoczny link do portalu usługi Azure AD, oznacza to, że nadal używane jest bieżące podejście do zarządzania grupami opisane w sekcji Tworzenie grup w tym temacie.If you do not see the link to the Azure AD portal, you are still using the current approach to group management, described in Create groups in this topic.

W tym temacie opisano sposób tworzenia grup w usłudze Intune w konsoli administracyjnej Intune.This topic describes how to create Intune groups in the Intune administration console.

Za pomocą obszaru roboczego Grupy w konsoli administracyjnej usługi Microsoft Intune można tworzyć grupy i zarządzać nimi.You can create and manage groups in the Groups workspace in the Microsoft Intune admin console. Strona Przegląd grup zawiera podsumowania stanów, które ułatwiają zidentyfikowanie i ustalenie priorytetów dla problemów wymagających uwagi.The Groups Overview page shows status summaries that can help you identify and prioritize issues that require your attention. Podsumowania stanów dotyczą następujących zagadnień:Status summaries cover these areas:

  • AlertyAlerts
  • Aktualizacje oprogramowaniaSoftware updates
  • Program Endpoint ProtectionEndpoint Protection
  • ZasadyPolicy
  • Zarządzanie oprogramowaniemSoftware management

Ponadto w hierarchii grup wyświetlane są podsumowania stanów ułatwiające identyfikację i rozwiązywanie problemów dotyczących członków wybranej grupy.Your group hierarchy also shows status summaries to help you identify and resolve problems for members of a selected group.

Tworzenie grupCreate groups

Porada

Podczas tworzenia grup należy wziąć pod uwagę sposób stosowania zasad.When you create groups, consider how you will apply policies. Na przykład mogą istnieć zasady przeznaczone dla systemów operacyjnych urządzeń i zasady przeznaczone dla różnych ról w organizacji lub jednostek organizacyjnych zdefiniowanych już w usłudze Active Directory.For example, you might have policies that are specific to a device operating system, and policies that are specific to different roles in your organization, or to organizational units that you've already defined in Active Directory. Przydatne może być posiadanie oddzielnych grup urządzeń dla systemu iOS, Android i Windows, a także grupy użytkowników dla poszczególnych ról organizacyjnych.It might be useful to have separate device groups for iOS, Android, and Windows, as well as a user group for each organizational role.

Prawdopodobnie warto również utworzyć zasady domyślne dotyczące wszystkich grup i urządzeń w celu ustalenia podstawowych wymagań zgodności w firmie.You'll probably also want to create a default policy that applies to all groups and devices, to establish the basic compliance requirements of your organization. Następnie można utworzyć bardziej szczegółowe zasady dla najszerszych kategorii użytkowników i urządzeń.Then, you can create more specific policies for the broadest categories of users and devices. Można na przykład utworzyć zasady poczty e-mail dla każdego systemu operacyjnego urządzenia.For example, you might create email policies for each of the device operating systems.

Należy nadawać zasadom odpowiednie nazwy, aby można je było później łatwo rozpoznać.Be careful when you name your policies so that you can easily identify them later. Na przykład, właściwą opisową nazwą zasad może być Zasady poczty e-mail WP dla całej firmy.For example, a good descriptive policy name is WP Email Policy for Entire Company.

Za każdym razem, gdy tworzy się zasady ograniczające, należy o nich poinformować użytkowników.Each time you create a restrictive policy, you'll want to communicate it to your users. W związku z tym po utworzeniu bardziej ogólnych grup i zasad należy zwrócić uwagę na sposób tworzenia mniejszych grup, aby ograniczyć zbędny przepływ informacji.After you create the more general groups and policies, pay attention to how you create smaller groups, so that you can reduce unnecessary communication.

Aby utworzyć grupę urządzeńTo create a device group

  1. W konsoli administracyjnej usługi Intune wybierz pozycję Grupy > Przegląd > Utwórz grupę.In the Intune admin console, choose Groups > Overview > Create Group.

  2. Wprowadź nazwę i opcjonalny opis grupy, a następnie wybierz grupę urządzeń jako grupę nadrzędną.Enter a name and a description (optional) for the group, and then select a device group as the parent group. Wybierz pozycję Next (Dalej).Choose Next.

  3. Na stronie Zdefiniuj kryteria członkostwa wybierz typ urządzeń, które mają zostać dołączone do grupy.On the Define Membership Criteria page, select the type of devices to include in the group. Istnieją dodatkowe opcje konfiguracji grupy na podstawie typów urządzeń, które zostaną dołączone:You have additional group configuration options based on the types of devices you choose to include:

    • Komputer.Computer. Wybierz, czy mają zostać dołączone wszystkie elementy członkowskie grupy nadrzędnej, a także podaj jednostki organizacyjne i domeny, które mają zostać dołączone lub wykluczone.Select whether to include all members of the parent group; the organizational units you want to include or exclude; and domains you want to include or exclude. Informacje dotyczące jednostki organizacyjnej i domeny komputera można uzyskać ze spisu.You can get organizational unit and domain information for a computer from inventory.

    • Urządzenia przenośne.Mobile. Wybierz, czy mają zostać dołączone urządzenia przenośne zarządzane przez usługę Intune, urządzenia przenośne zarządzane przez program Exchange ActiveSync, czy oba typy urządzeń.Select whether to include mobile devices that are managed by Intune, mobile devices that are managed by Exchange ActiveSync, or both.

    • Wszystkie urządzenia.All devices. Ta opcja powoduje dołączenie wszystkich urządzeń bez wykluczeń na podstawie wszystkich kryteriów.This option includes all devices, with no exclusions based on any criteria.

  4. Na stronie Zdefiniuj członkostwo bezpośrednie dołącz lub wyklucz poszczególne urządzenia, klikając pozycję Przeglądaj.On the Define Direct Membership page, choose Browse to select individual devices to include or exclude. Jeśli wybierzesz urządzenia, które nie znajdują się w podanej grupie nadrzędnej, zostaną one automatycznie dodane do grupy nadrzędnej za pomocą usługi Intune.If you select devices that are not in the parent group that you specified, Intune automatically adds those devices to the parent group.

  5. Na stronie Podsumowanie przejrzyj wybrane opcje, a następnie kliknij pozycję Zakończ.On the Summary page, review your selections, and then choose Finish.

Nowo utworzona grupa zostanie wyświetlona na liście Grupy w obszarze roboczym Grupy w ramach grupy nadrzędnej.The newly created group is shown in the Groups list, in the Groups workspace, under the parent group. W tym miejscu możesz także edytować lub usunąć grupę.That's also where you can edit or delete the group.

Aby utworzyć grupę użytkownikówTo create a user group

  1. W konsoli administracyjnej usługi Intune wybierz pozycję Grupy > Przegląd > Utwórz grupę.In the Intune admin console, choose Groups > Overview > Create Group.

  2. Wprowadź nazwę i opcjonalny opis grupy, a następnie wybierz grupę użytkowników jako grupę nadrzędną.Enter a name and a description (optional) for the group, and then select a user group as the parent group. Wybierz pozycję Next (Dalej).Choose Next.

  3. Na stronie Zdefiniuj kryteria członkostwa wybierz, czy mają zostać dołączeni wszyscy członkowie grupy nadrzędnej, czy też chcesz rozpocząć od pustej grupy.On the Define Membership Criteria page, choose whether to include all members of the parent group or to start with an empty group. Następnie dołącz lub wyklucz członków na podstawie grup zabezpieczeń użytkowników skonfigurowanych ręcznie w centrum administracyjnym usługi Office 365 lub przeprowadź synchronizację z poziomu usługi Active Directory.Then, include or exclude members based on the security groups of users that you either manually configure in the Office 365 admin center, or sync from Active Directory. Jeśli nastąpi zmiana członkostwa grupy zabezpieczeń, członkostwo grup użytkowników opartych na tej grupie zabezpieczeń może także ulec zmianie.If the membership of a security group changes, the membership of user groups based on that security group also might change.

    Ważne

    Obecnie w przypadku grupy zawierającej członków z określonych grup zabezpieczeń lub grup kierowników oraz wykluczenia członków z określonych grup początkowo dołączeni członkowie zostaną usunięci.Currently, if your group includes members from specific security groups or manager groups and you exclude members from some groups, the members you initially included will be removed. Aby utworzyć grupę, w której będą znajdować się dołączeni i wykluczeni członkowie, zaleca się utworzenie najpierw grupy nadrzędnej, do której będą należeć dołączeni członkowie.To create a group that has both included members and excluded members, we recommend that first you create a parent group that has the included members. Następnie należy utworzyć grupę podrzędną dla tej grupy nadrzędnej.Then, create a child group for that parent group. W nowej grupie podrzędnej należy utworzyć listę wykluczonych członków.In the new child group, list the excluded members. Następnie należy użyć tej grupy podrzędnej do zarządzania zasadami usługi Intune, profilami i dystrybucją aplikacji.Then, use that child group to manage Intune policies, profiles, and app distribution.

    Uwaga

    W usłudze Azure Portal możesz utworzyć grupy oparte na kierownikach będących przełożonymi użytkowników.In the Azure portal, you can create groups based on the managers who users report to. Jest to grupa typu dynamicznego, której członkowie zmieniają się wraz z dodawaniem lub usuwaniem pracowników w zespole danego kierownika w usłudze Azure Active Directory.This type of group is dynamic, and it will change as employees are added to or removed from a manager's team in Azure Active Directory. Sposób tworzenia grupy kierownika na platformie Azure opisano w artykule Using attributes to create advanced rules (Tworzenie zaawansowanych reguł przy użyciu atrybutów) w sekcji To configure a group as a “Manager” group (Aby skonfigurować grupę jako grupę kierownika).How to create an Azure group based on manager name is described in Using attributes to create advanced rules, in the section To configure a group as a “Manager” group.

  4. Na stronie Zdefiniuj członkostwo bezpośrednie dołącz lub wyklucz poszczególnych użytkowników, klikając pozycję Przeglądaj.On the Define Direct Membership page, choose Browse to select individual users to include or exclude. Jeśli wybierzesz użytkowników, którzy nie znajdują się w podanej grupie nadrzędnej, zostaną oni automatycznie dodani do grupy nadrzędnej.If you select users that are not in the parent group that you specified, those devices are automatically added to the parent group. W dolnej części okna dialogowego Wybieranie członków znajduje się opcja ręcznego dodawania użytkownika.The option to manually add a user is at the bottom of the Select Members dialog box. Jest to przydatne, jeśli chcesz dodać użytkownika, który nie ma jeszcze zarejestrowanego urządzenia.This is helpful if you want to add a user who does not yet have an enrolled device.

  5. Na stronie Podsumowanie przejrzyj wybrane opcje, a następnie kliknij pozycję Zakończ.On the Summary page, review your selections, and then choose Finish.

Nowo utworzona grupa zostanie wyświetlona na liście Grupy w obszarze roboczym Grupy w ramach grupy nadrzędnej.The newly created group is shown in the Groups list, in the Groups workspace, under the parent group. W tym miejscu możesz także edytować lub usunąć grupę.That's also where you can edit or delete the group.

Porada

Grupy zabezpieczeń to odpowiedni zasób do użycia podczas wypełniania grup użytkowników.Security groups are a good resource to use when you populate user groups. Grupy zabezpieczeń określają, kto ma dostęp do określonych zasobów, dlatego można je łatwo przekształcić w grupy użytkowników usługi Intune.Because security groups define who can access which resources, security groups can translate well to Intune user groups. Wszystkie grupy zabezpieczeń, które są synchronizowane z usługi Active Directory do usługi Azure Active Directory albo które są tworzone bezpośrednio w usłudze Azure Active Directory za pośrednictwem centrum administracyjnego usługi Office 365 lub usługi Azure Portal, są dostępne w momencie tworzenia grup użytkowników w usłudze Intune.Security groups that are synced from Active Directory to Azure Active Directory, or which you create directly in Azure Active Directory through the Office 365 admin center or the Azure portal are available to you to use when you create user groups in Intune.

Filtrowanie widoków administratora według roliFilter admin views by role

Filtrowane widoki grup umożliwiają dostosowanie elementów, które będą widoczne dla administratora IT na podstawie jego roli.In filtered group views, you can tailor what an IT admin can see based on the admin's role. Można również ograniczyć grupy, którymi mogą zarządzać poszczególni administratorzy IT.You also can restrict which groups each IT admin can manage. Może to być przydatne w następujących przypadkach:This can be useful when:

  • Administratorzy IT mają mieć możliwość wdrażania elementów tylko dla konkretnych użytkowników i urządzeńYou want your IT admins to be able to deploy items only to specific users and devices
  • Dla administratorów IT mają być wyświetlane tylko grupy z nimi związaneYou want your IT admins to see only the groups that are relevant to that admin

Filtrowane widoki grup można skonfigurować dla administratorów usługi w konsoli administracyjnej usługi Intune.You can configure filtered group views for service admins in the Intune admin console. Aby uzyskać szczegółowe informacje, zobacz Co należy wiedzieć przed rozpoczęciem korzystania z usługi Microsoft Intune.For details, see What to know before you start Microsoft Intune.

Po skonfigurowaniu filtrowanych widoków grup dla administratorów usługi podczas wdrażania przez nich oprogramowania lub zasad bądź uruchamiania raportów mogą oni wyświetlać i wybierać tylko określone grupy.After you set up filtered group views for a service admin, when the admin deploys software or policies, or runs reports, the admin can view and select only the groups that you specified. Dla administratorów nie są również widoczne informacje o stanie na tych stronach konsoli administracyjnej:The admin also doesn't see status information on these pages of the admin console:

  • Przegląd systemuSystem Overview
  • Przegląd grupGroups Overview
  • Przegląd programu Endpoint ProtectionEndpoint Protection Overview
  • Przegląd alertówAlerts Overview
  • Przegląd oprogramowaniaSoftware Overview
  • Przegląd zasadPolicy Overview

Aby utworzyć filtrowany widok grupyTo create a filtered group view

  1. W konsoli administracyjnej usługi Intune wybierz pozycję Administracja > Zarządzanie administratorami > Administratorzy usługi.In the Intune admin console, choose Admin > Administrator Management > Service Administrators.

  2. Wybierz administratora usługi, dla którego ma zostać utworzony filtrowany widok grupy, a następnie wybierz pozycję Zarządzaj grupami.Select the service admin who you want to create a filtered group view for, and then choose Manage Groups.

  3. W oknie dialogowym Wybierz grupy, które będą widoczne dla administratora usługi dodaj grupy, do których ma mieć dostęp administrator usługi, a następnie kliknij przycisk OK.In the Select the groups that will be visible to this service administrator dialog box, add the groups that the service admin will be able to access, and then choose OK.

Po skonfigurowaniu filtrowanych widoków grup administrator IT będzie mógł wyświetlać i wybierać tylko wskazane grupy.After you've set up the filtered group views, the IT admin will be able to view and select only the groups you've indicated.

Zarządzanie grupamiManage your groups

Po utworzeniu grup można nimi zarządzać odpowiednio do potrzeb organizacji.After you create your groups, you can continue to manage them according to the needs of your organization.

Można edytować grupę, zmieniając jej nazwę, opis lub należących do niej członków.You can edit your group to change its name or description, or who belongs to the group.

Grupę, która nie spełnia już wymagań organizacji, można usunąć.You can delete a group that no longer serves the needs of your organization. Usunięcie grupy nie powoduje usunięcia użytkowników, którzy do niej należą.Deleting a group does not delete the users that belong to that group.

Następne krokiNext steps

Po skonfigurowaniu grup i zasad sprawdź praktyczne efekty projektu, przeglądając informacje Wartość zamierzona i Stan.After you set up your groups and policies, review Intended Value and Status to check the practical implications of your design.

Aby sprawdzić projektTo check your design

  1. Wybierz dowolne urządzenie z grupy urządzeń i przeglądaj kategorie informacji w górnej części strony.Select any device from a device group and browse through the categories of information at the top of the page.
  2. Wybierz pozycję Zasady.Choose Policy. Zobaczysz ekran podobny do tego zrzutu ekranu przedstawiającego ustawienia zasad dotyczących urządzeń z systemem Android.You'll see something like this screenshot of an Android device's policy settings.

Przykład zasad ustawień systemu Android

Wszystkie zasady mają parametry Wartość zamierzona i Stan.Each policy has an Intended Value and a Status. Wartość zamierzona to wartość, która miała zostać osiągnięta w momencie przypisywania zasad.The intended value is what you intended to achieve when you assigned the policy. Stanem jest to, co się uzyskuje, gdy weźmie się pod uwagę wszystkie zasady dotyczące urządzenia, a także ograniczenia i wymagania sprzętowe oraz system operacyjny.The status is what you achieve when all of the policies that apply to the device, as well as the restrictions and requirements of the hardware and operating system are considered together. Ten zrzut ekranu zawiera dwa proste przykłady:In this screenshot you can see two clear examples:

  • Ustawienie Zezwalaj na proste hasła ma wartość Tak, jak pokazano w kolumnie Wartość zamierzona, ale jego ustawienie Stan ma wartość Nie dotyczy.Allow simple passwords is set to Yes, as shown in the Intended Value column, but its Status is Not applicable. Dzieje się tak, gdyż proste hasła nie są obsługiwane w przypadku urządzeń z systemem Android.This is because simple passwords are not supported for Android devices.
  • Podobnie, rozwinięty element zasad Ustawienia poczty e-mail dla urządzeń z systemem iOS nie ma zastosowania do tego urządzenia, ponieważ jest to urządzenie z systemem Android.Similarly, the expanded policy item Email settings for iOS devices is not applied to this device because it is an Android device.
Uwaga

Należy pamiętać, że jeśli dwie zasady z różnymi poziomami ograniczeń dotyczą tego samego urządzenia lub użytkownika, w praktyce zostaną zastosowane zasady bardziej restrykcyjne.Remember that when two policies that have different levels of restriction apply to the same device or user, the more restrictive policy applies in practice.

Aby przesłać opinię na temat produktu, przejdź na stronę Intune Feedback