Przypisywanie zasad w Microsoft Intune
Podczas tworzenia zasad Intune obejmują one wszystkie ustawienia dodane i skonfigurowane w ramach zasad. Gdy zasady są gotowe do wdrożenia, następnym krokiem jest "przypisanie" zasad do grup użytkowników lub urządzeń. Po przypisaniu użytkownicy i urządzenia otrzymają twoje zasady, a wprowadzone ustawienia zostaną zastosowane.
W Intune można utworzyć i przypisać następujące zasady:
- zasady Ochrona aplikacji
- Zasady konfiguracji aplikacji
- Zasady zgodności
- Zasady dostępu warunkowego
- Profile konfiguracji urządzeń
- Zasady rejestracji
W tym artykule przedstawiono sposób przypisywania zasad, zawiera pewne informacje dotyczące używania tagów zakresu, opisano, kiedy należy przypisywać zasady do grup użytkowników lub grup urządzeń i nie tylko.
Przed rozpoczęciem
Upewnij się, że masz poprawną rolę do przypisywania zasad i profilów. Aby uzyskać więcej informacji, przejdź do obszaru Kontrola dostępu oparta na rolach (RBAC) z Microsoft Intune.
Przypisywanie zasad do użytkowników lub grup
Zaloguj się do centrum administracyjnego Microsoft Intune.
Wybierz pozycję Konfiguracja urządzeń>. Wszystkie profile są wyświetlane na liście.
Wybierz profil, do których chcesz przypisać > przypisania właściwości>Edytuj>:
Aby na przykład przypisać profil konfiguracji urządzenia:
Przejdź dopozycji Konfiguracjaurządzeń>. Wszystkie profile są wyświetlane na liście.
Wybierz zasady, do których chcesz przypisać > przypisanie właściwości>Edytuj>:
W obszarze Uwzględnione grupy lub Wykluczone grupy wybierz pozycję Dodaj grupy, aby wybrać co najmniej jedną grupę Microsoft Entra. Jeśli zamierzasz szeroko wdrażać zasady na wszystkich odpowiednich urządzeniach, wybierz pozycję Dodaj wszystkich użytkowników lub Dodaj wszystkie urządzenia.
Uwaga
Jeśli wybierzesz opcje "Wszystkie urządzenia" i "Wszyscy użytkownicy", opcja dodawania dodatkowych grup Microsoft Entra zostanie wyłączona.
Wybierz pozycję Przejrzyj i zapisz. Ten krok nie powoduje przypisania zasad.
Wybierz Zapisz. Podczas zapisywania zasady są przypisywane. Grupy będą otrzymywać ustawienia zasad, gdy urządzenia zaewidencjonują usługę Intune.
Funkcje przypisania, które należy znać i których należy używać
Użyj filtrów , aby przypisać zasady na podstawie utworzonych reguł. Można tworzyć filtry dla:
- Zasady konfiguracji aplikacji
- zasady Ochrona aplikacji
- Przypisania aplikacji
- Zasady zgodności
- Profile konfiguracji urządzeń
Aby uzyskać więcej informacji, zobacz:
Zestawy zasad tworzą grupę lub kolekcję istniejących aplikacji i zasad. Po utworzeniu zestawu zasad można przypisać zestaw zasad z jednego miejsca w centrum administracyjnym Microsoft Intune.
Aby uzyskać więcej informacji, przejdź do tematu Używanie zestawów zasad do grupowania kolekcji obiektów zarządzania w Microsoft Intune.
Tagi zakresu to doskonały sposób filtrowania zasad do określonych grup, takich jak
US-NC IT TeamlubJohnGlenn_ITDepartment. Aby uzyskać więcej informacji, przejdź do tematu Używanie kontroli dostępu opartej na rolach i tagów zakresu dla rozproszonej infrastruktury IT.Na urządzeniach Windows 10/11 można dodać reguły stosowania, aby zasady miały zastosowanie tylko do określonej wersji systemu operacyjnego lub określonej wersji systemu Windows. Aby uzyskać więcej informacji, przejdź do tematu Reguły stosowania.
Grupy użytkowników a grupy urządzeń
Wielu użytkowników pyta, kiedy używać grup użytkowników i kiedy używać grup urządzeń. Odpowiedź zależy od twojego celu. Poniżej przedstawiono wskazówki ułatwiające rozpoczęcie pracy.
Grupy urządzeń
Jeśli chcesz zastosować ustawienia na urządzeniu, niezależnie od tego, kto jest zalogowany, przypisz zasady do grupy urządzeń. Ustawienia stosowane do grup urządzeń zawsze są stosowane do urządzenia, a nie do użytkownika.
Przykład:
Grupy urządzeń są przydatne do zarządzania urządzeniami, które nie mają dedykowanego użytkownika. Na przykład masz urządzenia, które drukują bilety, skanują spis, są współużytkowane przez pracowników zmianowych, są przypisane do określonego magazynu itd. Umieść te urządzenia w grupie urządzeń i przypisz zasady do tej grupy urządzeń.
Tworzysz profil Intune Device Firmware Configuration Interface (DFCI), który aktualizuje ustawienia w systemie BIOS. Na przykład te zasady można skonfigurować tak, aby wyłączyć aparat urządzenia, lub zablokować opcje rozruchu, aby uniemożliwić użytkownikom uruchamianie innego systemu operacyjnego. Te zasady są dobrym scenariuszem przypisywania do grupy urządzeń.
Na niektórych określonych urządzeniach z systemem Windows zawsze chcesz kontrolować niektóre ustawienia przeglądarki Microsoft Edge, niezależnie od tego, kto korzysta z urządzenia. Na przykład chcesz zablokować wszystkie pliki do pobrania, ograniczyć wszystkie pliki cookie do bieżącej sesji przeglądania i usunąć historię przeglądania. W tym scenariuszu umieść te konkretne urządzenia z systemem Windows w grupie urządzeń. Następnie utwórz szablon administracyjny w Intune, dodaj te ustawienia urządzenia, a następnie przypisz te zasady do grupy urządzeń.
Aby podsumować, użyj grup urządzeń, gdy nie obchodzi Cię, kto jest zalogowany na urządzeniu lub czy ktoś się loguje. Chcesz, aby ustawienia były zawsze na urządzeniu.
Grupy użytkowników
Ustawienia zasad stosowane do grup użytkowników zawsze idą z użytkownikiem i przechodzą z użytkownikiem po zalogowaniu się do wielu urządzeń. To normalne, że użytkownicy mają wiele urządzeń, takich jak Surface Pro do pracy i osobiste urządzenie z systemem iOS/iPadOS. I jest to normalne, że osoba uzyskuje dostęp do poczty e-mail i innych zasobów organizacji z tych urządzeń.
Jeśli użytkownik ma wiele urządzeń na tej samej platformie, możesz użyć filtrów przy przypisaniu grupy. Na przykład użytkownik ma osobiste urządzenie z systemem iOS/iPadOS i należący do organizacji system iOS/iPadOS. Po przypisaniu zasad dla tego użytkownika można użyć filtrów do kierowania tylko do urządzenia należącego do organizacji.
Postępuj zgodnie z tą ogólną regułą: jeśli funkcja należy do użytkownika, na przykład certyfikaty poczty e-mail lub użytkownika, a następnie przypisz ją do grup użytkowników.
Przykład:
Chcesz umieścić ikonę pomocy technicznej dla wszystkich użytkowników na wszystkich urządzeniach. W tym scenariuszu umieść tych użytkowników w grupie użytkowników i przypisz zasady ikon pomocy technicznej do tej grupy użytkowników.
Użytkownik otrzymuje nowe urządzenie należące do organizacji. Użytkownik loguje się do urządzenia przy użyciu konta domeny. Urządzenie jest automatycznie rejestrowane w Tożsamość Microsoft Entra i automatycznie zarządzane przez Intune. Te zasady są dobrym scenariuszem do przypisania do grupy użytkowników.
Za każdym razem, gdy użytkownik loguje się na urządzeniu, chcesz kontrolować funkcje w aplikacjach, takich jak OneDrive lub Office. W tym scenariuszu przypisz ustawienia zasad usługi OneDrive lub Pakietu Office do grupy użytkowników.
Na przykład chcesz zablokować niezaufane kontrolki ActiveX w aplikacjach pakietu Office. Szablon administracyjny można utworzyć w Intune, skonfigurować to ustawienie, a następnie przypisać te zasady do grupy użytkowników.
Aby podsumować, użyj grup użytkowników, jeśli chcesz, aby ustawienia i reguły zawsze przechodziły z użytkownikiem niezależnie od używanego urządzenia.
Wiele sesji usługi Azure Virtual Desktop
Za pomocą Intune można zarządzać pulpitami zdalnymi z wieloma sesjami systemu Windows utworzonymi za pomocą usługi Azure Virtual Desktop, podobnie jak w przypadku innych udostępnionych urządzeń klienckich z systemem Windows. W przypadku przypisywania zasad do grup użytkowników lub urządzeń wielosesyjna usługi Azure Virtual Desktop jest specjalnym scenariuszem. W przypadku korzystania z tych maszyn wirtualnych dostawcy CSP urządzeń muszą być docelowymi grupami urządzeń. Dostawcy CSP użytkowników muszą być docelowymi grupami użytkowników.
Aby uzyskać więcej informacji, zobacz Korzystanie z wielu sesji usługi Azure Virtual Desktop z Microsoft Intune.
Dostawcy CSP systemu Windows i ich zachowanie
Ustawienia zasad dla urządzeń z systemem Windows są oparte na dostawcach usług konfiguracji (CSP). Te ustawienia są mapowane na klucze rejestru lub pliki na urządzeniach.
Oto, co musisz wiedzieć na temat dostawców CSP systemu Windows:
Intune uwidacznia tych dostawców CSP, aby można było skonfigurować te ustawienia i przypisać je do urządzeń z systemem Windows. Te ustawienia można skonfigurować przy użyciu wbudowanych szablonów i przy użyciu katalogu ustawień. W katalogu ustawień zobaczysz, że niektóre ustawienia mają zastosowanie do zakresu użytkownika, a niektóre ustawienia mają zastosowanie do zakresu urządzenia.
Aby uzyskać informacje na temat sposobu stosowania ustawień zakresu użytkownika i urządzenia do urządzeń z systemem Windows, przejdź do pozycji Katalog ustawień: Zakres urządzenia a ustawienia zakresu użytkownika.
Gdy zasady zostaną usunięte lub nie zostaną już przypisane do urządzenia, mogą wystąpić różne rzeczy, w zależności od ustawień w zasadach. Każdy dostawca CSP może obsługiwać usuwanie zasad inaczej.
Na przykład ustawienie może zachować istniejącą wartość i nie wrócić do wartości domyślnej. Zachowanie jest kontrolowane przez każdego dostawcy CSP w systemie operacyjnym. Aby uzyskać listę dostawców CSP systemu Windows, zobacz dokumentację dostawcy usług konfiguracji (CSP).
Aby zmienić ustawienie na inną wartość, utwórz nowe zasady, skonfiguruj ustawienie nieskonfigurowane i przypisz zasady. Gdy zasady mają zastosowanie do urządzenia, użytkownicy powinni mieć kontrolę nad zmianą ustawienia na preferowaną wartość.
Podczas konfigurowania tych ustawień zalecamy wdrożenie w grupie pilotażowej. Aby uzyskać więcej Intune porad dotyczących wdrażania, zobacz tworzenie planu wdrożenia.
Wykluczanie grup z przypisania zasad
Intune zasady konfiguracji urządzeń umożliwiają dołączanie i wykluczanie grup z przypisywania zasad.
Najlepszym rozwiązaniem jest:
- Tworzenie i przypisywanie zasad specjalnie dla grup użytkowników. Filtry umożliwiają dołączanie lub wykluczanie urządzeń tych użytkowników.
- Tworzenie i przypisywanie różnych zasad specjalnie dla grup urządzeń.
Aby uzyskać więcej informacji na temat grup, zobacz Dodawanie grup w celu organizowania użytkowników i urządzeń.
Zasady włączania i wykluczania grup
Po przypisaniu zasad i zasad zastosuj następujące ogólne zasady:
Uwzględnij grupy lub wykluczone grupy jako punkt wyjścia dla użytkowników i urządzeń, którzy otrzymają twoje zasady. Grupa Microsoft Entra jest grupą ograniczającą, więc użyj najmniejszego możliwego zakresu grupy. Użyj filtrów , aby ograniczyć lub uściślić przypisanie zasad.
Przypisane grupy Microsoft Entra, znane również jako grupy statyczne, można dodać do grup dołączonych lub wykluczonych.
Zazwyczaj urządzenia są statycznie przypisywane do grupy Microsoft Entra, jeśli są one wstępnie zarejestrowane w Tożsamość Microsoft Entra, na przykład w przypadku rozwiązania Windows Autopilot. Lub, jeśli chcesz połączyć urządzenia w celu jednorazowego wdrożenia ad hoc. W przeciwnym razie statyczne przypisywanie urządzeń do grupy Microsoft Entra może nie być praktyczne.
Grupy użytkowników dynamicznych Microsoft Entra można dodać do grup uwzględnionych lub wykluczonych.
Wykluczone grupy mogą być grupami z użytkownikami lub grupami z urządzeniami.
Grupy urządzeń dynamicznych Microsoft Entra można dodać do dołączonych grup. Jednak podczas wypełniania dynamicznego członkostwa w grupie może wystąpić opóźnienie. W scenariuszach wrażliwych na opóźnienia użyj filtrów do celów określonych urządzeń i przypisz zasady do grup użytkowników.
Na przykład chcesz, aby zasady były przypisywane do urządzeń natychmiast po ich zarejestrowaniu. W tej sytuacji wrażliwej na opóźnienia utwórz filtr przeznaczony dla wybranych urządzeń i przypisz zasady z tym filtrem do grup użytkowników. Nie przypisuj do grup urządzeń.
W scenariuszu bez użycia utwórz filtr przeznaczony dla odpowiednich urządzeń i przypisz zasady z filtrem do grupy "Wszystkie urządzenia".
Unikaj dodawania grup urządzeń Microsoft Entra dynamicznych do grup wykluczonych. Opóźnienie w dynamicznym obliczaniu grupy urządzeń podczas rejestracji może powodować niepożądane wyniki. Na przykład niechciane aplikacje i zasady mogą zostać wdrożone przed wypełnieniem wykluczonego członkostwa w grupie.
Macierz obsługi
Użyj następującej macierzy, aby zrozumieć obsługę wykluczania grup:
- ✔️:Obsługiwane
- ❌: Nieobsługiwane
- ❕ : Częściowo obsługiwane
| Scenariusz | Pomoc techniczna |
|---|---|
| 1 | ❕ Obsługiwane jest częściowe przypisywanie zasad do dynamicznej grupy urządzeń z wyłączeniem innej dynamicznej grupy urządzeń. Nie jest to jednak zalecane w scenariuszach, które są wrażliwe na opóźnienia. Każde opóźnienie w obliczaniu wykluczania członkostwa w grupie może powodować oferowanie zasad urządzeniom. W tym scenariuszu zalecamy używanie filtrów zamiast dynamicznych grup urządzeń do wykluczania urządzeń. Na przykład masz zasady urządzenia przypisane do wszystkich urządzeń. Później musisz wymagać, aby nowe urządzenia marketingowe nie otrzymywały tych zasad. Dlatego należy utworzyć dynamiczną grupę urządzeń o nazwie Marketing devices na enrollmentProfilename podstawie właściwości (device.enrollmentProfileName -eq "Marketing_devices"). W zasadach należy dodać grupę dynamiczną Urządzenia marketingowe jako wykluczoną grupę. Nowe urządzenie marketingowe zostanie zarejestrowane w Intune po raz pierwszy i zostanie utworzony nowy obiekt urządzenia Microsoft Entra. Proces grupowania dynamicznego umieszcza urządzenie w grupie Urządzenia marketingowe z możliwym opóźnionym obliczeniem. Jednocześnie urządzenie jest rejestrowane w Intune i rozpoczyna odbieranie wszystkich odpowiednich zasad. Zasady Intune mogą zostać wdrożone przed umieszczeniem urządzenia w grupie wykluczeń. To zachowanie powoduje wdrożenie niechcianych zasad (lub aplikacji) w grupie Urządzenia marketingowe . W związku z tym nie zaleca się używania dynamicznych grup urządzeń w przypadku wykluczeń w scenariuszach wrażliwych na opóźnienia. Zamiast tego użyj filtrów. |
| 2 | ✔️ Obsługiwane jest przypisywanie zasad do dynamicznej grupy urządzeń z wyłączeniem statycznej grupy urządzeń. |
| 3 | ❌ Nieobsługiwane Przypisywanie zasad do dynamicznej grupy urządzeń z wyłączeniem grup użytkowników (zarówno dynamicznych, jak i statycznych) nie jest obsługiwane. Intune nie ocenia relacji między użytkownikami i grupami urządzeń, a urządzenia uwzględnionych użytkowników nie zostaną wykluczone. |
| 4 | ❌ Nieobsługiwane Przypisywanie zasad do dynamicznej grupy urządzeń i wykluczanie grup użytkowników (zarówno dynamicznych, jak i statycznych) nie jest obsługiwane. Intune nie ocenia relacji między użytkownikami i grupami urządzeń, a urządzenia uwzględnionych użytkowników nie zostaną wykluczone. |
| 5 | ❕ Częściowo obsługiwane jest przypisywanie zasad do statycznej grupy urządzeń z wyłączeniem dynamicznej grupy urządzeń. Nie jest to jednak zalecane w scenariuszach, które są wrażliwe na opóźnienia. Każde opóźnienie w obliczaniu wykluczania członkostwa w grupie może powodować oferowanie zasad urządzeniom. W tym scenariuszu zalecamy używanie filtrów zamiast dynamicznych grup urządzeń do wykluczania urządzeń. |
| 6 | ✔️ Obsługiwane jest przypisywanie zasad do statycznej grupy urządzeń i wykluczanie innej statycznej grupy urządzeń. |
| 7 | ❌ Nieobsługiwane Przypisywanie zasad do statycznej grupy urządzeń i wykluczanie grup użytkowników (zarówno dynamicznych, jak i statycznych) nie jest obsługiwane. Intune nie ocenia relacji między użytkownikami i grupami urządzeń, a urządzenia uwzględnionych użytkowników nie zostaną wykluczone. |
| 8 | ❌ Nieobsługiwane Przypisywanie zasad do statycznej grupy urządzeń i wykluczanie grup użytkowników (zarówno dynamicznych, jak i statycznych) nie jest obsługiwane. Intune nie ocenia relacji między użytkownikami i grupami urządzeń, a urządzenia uwzględnionych użytkowników nie zostaną wykluczone. |
| 9 | ❌ Nieobsługiwane Przypisywanie zasad do dynamicznej grupy użytkowników i wykluczanie grup urządzeń (zarówno dynamicznych, jak i statycznych) nie jest obsługiwane. |
| 10 | ❌ Nieobsługiwane Przypisywanie zasad do dynamicznej grupy użytkowników i wykluczanie grup urządzeń (zarówno dynamicznych, jak i statycznych) nie jest obsługiwane. |
| 11 | ✔️ Obsługiwane jest przypisywanie zasad do dynamicznej grupy użytkowników z wyłączeniem innych grup użytkowników (zarówno dynamicznych, jak i statycznych). |
| 12 | ✔️ Obsługiwane jest przypisywanie zasad do dynamicznej grupy użytkowników z wyłączeniem innych grup użytkowników (zarówno dynamicznych, jak i statycznych). |
| 13 | ❌ Nieobsługiwane Przypisywanie zasad do statycznej grupy użytkowników z wyłączeniem grup urządzeń (zarówno dynamicznych, jak i statycznych) nie jest obsługiwane. |
| 14 | ❌ Nieobsługiwane Przypisywanie zasad do statycznej grupy użytkowników z wyłączeniem grup urządzeń (zarówno dynamicznych, jak i statycznych) nie jest obsługiwane. |
| 15 | ✔️ Obsługiwane jest przypisywanie zasad do statycznej grupy użytkowników z wyłączeniem innych grup użytkowników (zarówno dynamicznych, jak i statycznych). |
| 16 | ✔️ Obsługiwane jest przypisywanie zasad do statycznej grupy użytkowników z wyłączeniem innych grup użytkowników (zarówno dynamicznych, jak i statycznych). |
Następne kroki
Zobacz monitorowanie profilów urządzeń , aby uzyskać wskazówki dotyczące monitorowania zasad i urządzeń z uruchomionymi zasadami.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla