Przypisywanie profili użytkowników i urządzeń w usłudze Microsoft IntuneAssign user and device profiles in Microsoft Intune

Tworzony przez Ciebie profil obejmuje wszystkie wprowadzone ustawienia.You create a profile, and it includes all the settings you entered. Następnym krokiem jest wdrożenie lub „przypisanie” profilu do grup użytkowników lub urządzeń.The next step is to deploy or "assign" the profile to your user or device groups. Po przypisaniu użytkownicy i urządzenia otrzymują swój profil, a wprowadzone ustawienia są stosowane.When it's assigned, the users and devices receive your profile, and the settings you entered are applied.

W tym artykule pokazano, jak przypisać profil, i przedstawiono niektóre informacje na temat używania tagów zakresu w profilach.This article shows you how to assign a profile, and includes some information on using scope tags on your profiles.

Uwaga

Gdy profil zostanie usunięty lub nie jest już przypisany do urządzenia, w zależności od ustawień w profilu mogą wystąpić różne sytuacje.When a profile is removed or no longer assigned to a device, different things can happen, depending on the settings in the profile. Ustawienia są oparte na dostawcach CSP, a każdy dostawca CSP może inaczej obsługiwać usuwanie profilu.The settings are based on CSPs, and each CSP can handle the profile removal differently. Na przykład ustawienie może powodować zachowanie istniejącej wartość i nieprzywracanie wartości domyślnej.For example, a setting might keep the existing value, and not revert back to a default value. Zachowanie jest kontrolowane przez każdego dostawcę CSP w systemie operacyjnym.The behavior is controlled by each CSP in the operating system. Listę dostawców CSP dla systemu Windows można znaleźć w dokumentacji dotyczącej dostawcy usług konfiguracji (CSP).For a list of Windows CSPs, see configuration service provider (CSP) reference.

Aby zmienić ustawienie na inną wartość, należy utworzyć nowy profil, skonfigurować ustawienie jako Nieskonfigurowane i przypisać profil.To change a setting to a different value, create a new profile, configure the setting to Not configured , and assign the profile. Po zastosowaniu ustawienia na urządzeniu użytkownicy powinni mieć kontrolę umożliwiającą zmianę ustawienia na ich preferowaną wartość.Once applied to the device, users should have control to change the setting to their preferred value.

W przypadku konfigurowania tych ustawień sugerujemy wdrażanie do grupy pilotażowej.When configuring these settings, we suggest deploying to a pilot group. Aby uzyskać więcej porad dotyczących wprowadzania usługi Intune, zobacz temat dotyczący tworzenia planu wdrożenia.For more Intune rollout advice, see create a rollout plan.

Przed rozpoczęciemBefore you begin

Upewnij się, że masz prawidłową rolę umożliwiającą przypisywanie profilów.Be sure you have the correct role to assign profiles. Aby uzyskać więcej informacji, zobacz Kontrola dostępu oparta na rolach (RBAC) w usłudze Microsoft Intune.For more information, see Role-based access control (RBAC) with Microsoft Intune.

Przypisywanie profilu urządzeniaAssign a device profile

  1. Zaloguj się do centrum administracyjnego programu Microsoft Endpoint Manager.Sign in to the Microsoft Endpoint Manager admin center.

  2. Wybierz pozycję Urządzenia > Profile konfiguracji .Select Devices > Configuration profiles . Zostanie wyświetlona lista wszystkich profilów.All the profiles are listed.

  3. Wybierz profil do przypisania > Właściwości > Przypisania > Edytuj :Select the profile you want to assign > Properties > Assignments > Edit :

    Wybieranie przypisań w celu wdrożenia profilu dla użytkowników i grup w usłudze Microsoft Intune i rozwiązaniu Endpoint Manager

  4. Wybierz pozycję Objęte grupy lub Wykluczone grupy , a następnie pozycję Wybierz grupy do uwzględnienia .Select Included groups or Excluded groups , and then choose Select groups to include . Wybierane grupy są grupami usługi Azure AD.When you select your groups, you're choosing an Azure AD group. Aby wybrać wiele grup, możesz nacisnąć i przytrzymać klawisz Ctrl , a następnie wybrać grupy.To select multiple groups, hold down the Ctrl key, and select your groups.

    Uwzględnianie lub wykluczanie użytkowników i grup podczas przypisywania lub wdrażania profilu w usłudze Microsoft Intune i rozwiązaniu Endpoint Manager.

  5. Wybierz pozycję Przejrzyj i zapisz .Select Review + Save . Ten krok nie powoduje przypisania profilu.This step doesn't assign your profile.

  6. Wybierz pozycję Zapisz .Select Save . Po zapisaniu profil zostanie przypisany.When you save, your profile is assigned. Grupy będą otrzymywać ustawienia profilu, gdy urządzenia zostaną zaewidencjonowane przez usługę Intune.Your groups will receive your profile settings when the devices check in with the Intune service.

Używanie tagów zakresu lub reguł stosowaniaUse scope tags or applicability rules

Podczas tworzenia lub aktualizacji profilu możesz dodać do niego tagi zakresu i reguły stosowania.When you create or update a profile, you can also add scope tags and applicability rules to the profile.

Tagi zakresu to doskonały sposób filtrowania profilów w celu zdefiniowania grup takich jak US-NC IT Team lub JohnGlenn_ITDepartment.Scope tags are a great way to filter profiles to specific groups, such as US-NC IT Team or JohnGlenn_ITDepartment. Więcej informacji można znaleźć w artykule Use RBAC and scope tags for distributed IT (Używanie kontroli RBAC i tagów zakresu w rozproszonej infrastrukturze informatycznej).Use RBAC and scope tags for distributed IT has more information.

Na urządzeniach z systemem Windows 10 możesz dodać reguły stosowania , aby profil był stosowany tylko do określonej wersji systemu operacyjnego lub określonego wydania systemu Windows.On Windows 10 devices, you can add applicability rules so the profile only applies to a specific OS version or a specific Windows edition. Reguły stosowania zawierają więcej informacji.Applicability rules has more information.

Grupy użytkowników a grupy urządzeńUser groups vs. device groups

Wielu użytkowników pyta, kiedy używać grup użytkowników, a kiedy grup urządzeń.Many users ask when to use user groups and when to use device groups. Odpowiedź zależy od tego, co jest nam potrzebne.The answer depends on your goal. Oto kilka wskazówek na początek.Here's some guidance to get you started.

Grupy urządzeńDevice groups

Jeśli chcesz stosować ustawienia do urządzenia niezależnie od tego, kto się do niego zalogował, przypisz profil do grupy urządzeń.If you want to apply settings on a device, regardless of who's signed in, then assign your profiles to a devices group. Ustawienia przypisane do grupy urządzeń są zawsze związane z urządzeniem, nie z użytkownikiem.Settings applied to device groups always go with the device, not the user.

Przykład:For example:

  • Grupy urządzeń nadają się do zarządzania urządzeniami niemającymi dedykowanych użytkowników.Device groups are useful for managing devices that don't have a dedicated user. Na przykład metkownice i urządzenia skanujące zapasy magazynowe są używane przez wielu zmieniających się użytkowników i przypisane do konkretnego magazynu.For example, you have devices that print tickets, scan inventory, are shared by shift workers, are assigned to a specific warehouse, and so on. Należy je zebrać w grupę urządzeń i przypisać profil do tej grupy.Put these devices in a devices group, and assign your profiles to this devices group.

  • Tworzysz profil interfejsu komunikacji oprogramowania układowego urządzenia (DFCI) usługi Intune uaktualniający ustawienia systemu BIOS.You create a Device Firmware Configuration Interface (DFCI) Intune profile that updates settings in the BIOS. Na przykład konfigurujesz ten profil do wyłączenia kamery urządzenia lub opcji rozruchu umożliwiających użytkownikom uruchomienie innego systemu operacyjnego.For example, you configure this profile to disable the device camera, or lock down the boot options to prevent users from booting up another OS. To dobry przykład profilu do przypisania do grupy urządzeń.This profile is a good scenario to assign to a devices group.

  • Na pewnych konkretnych urządzeniach z systemem Windows chcesz zawsze sprawować kontrolę nad niektórymi ustawieniami programu Microsoft Edge — niezależnie od tego, kto używa urządzenia.On some specific Windows devices, you always want to control some Microsoft Edge settings, regardless of who's using the device. Na przykład chcesz zablokować możliwość pobierania, ograniczyć pliki cookie do bieżącej sesji przeglądania i usunąć historię przeglądania.For example, you want to block all downloads, limit all cookies to the current browsing session, and delete the browsing history. Określone urządzenia z systemem Windows należy w ramach tego scenariusza umieścić w grupie urządzeń.For this scenario, put these specific Windows devices in a devices group. Następnie utwórz szablon administracyjny usługi Intune, dodaj powyższe ustawienia urządzenia, po czym przypisz profil do grupy urządzeń.Then, create an Administrative Template in Intune, add these device settings, and then assign this profile to the devices group.

Podsumowując: z grup urządzeń należy korzystać wtedy, gdy nie ma znaczenia, kto (i czy w ogóle ktokolwiek) zalogował się na urządzeniu.To summarize, use device groups when you don't care who's signed in on the device, or if anyone signs in. Chcesz, aby ustawienia zawsze były obecne na urządzeniu.You want your settings to always be on the device.

Grupy użytkownikówUser groups

Ustawienia profilu stosowane do grup użytkowników są zawsze powiązane z użytkownikiem i przechodzą wraz z nim na kolejne urządzenia, na których się loguje.Profile settings applied to user groups always go with the user, and go with the user when signed in to their many devices. Użytkownicy często mają kilka urządzeń — np. służbowy notebook Surface Pro i prywatne urządzenie z systemem iOS/iPadOS.It's normal for users to have many devices, such as a Surface Pro for work, and a personal iOS/iPadOS device. Jest też zrozumiałe, że uzyskują dostęp do poczty e-mail i innych zasobów organizacji na wszystkich tych urządzeniach.And, it's normal for a person to access email and other organization resources from these devices.

Postępuj zgodnie z następującą ogólną regułą: Jeśli funkcja należy do użytkownika, na przykład certyfikaty poczty e-mail lub użytkowników, przypisz ją do grup użytkowników.Follow this general rule: If a feature belongs to a user, such as email or user certificates, then assign to user groups.

Przykład:For example:

  • Chcesz umieścić ikonę pomocy technicznej dla wszystkich użytkowników na wszystkich ich urządzeniach.You want to put a Help Desk icon for all users on all their devices. W tym scenariuszu należy umieścić tych użytkowników w grupie użytkowników i przypisać profil ikony pomocy technicznej do tej grupy.In this scenario, put these users in a users group, and assign your Help Desk icon profile to this users group.

  • Użytkownik otrzymuje nowe urządzenie należące do organizacji.A user receives a new organization-owned device. Użytkownik loguje się na urządzeniu przy użyciu konta domeny.The user signs in to the device with their domain account. Urządzenie jest automatycznie rejestrowane w usłudze Azure AD i automatycznie zarządzane przez usługę Intune.The device is automatically registered in Azure AD, and automatically managed by Intune. To dobry przykład profilu do przypisania do grupy użytkowników.This profile is a good scenario to assign to a users group.

  • Za każdym razem, gdy użytkownik loguje się do urządzenia, chcemy kontrolować funkcje w aplikacjach, takich jak OneDrive lub Office.Whenever a user signs in to a device, you want to control features in apps, such as OneDrive or Office. W tym scenariuszu należy przypisać ustawienia profilu usługi OneDrive lub pakietu Office do grupy użytkowników.In this scenario, assign your OneDrive or Office profile settings to a users group.

    Na przykład chcesz zablokować niezaufane kontrolki ActiveX w aplikacjach pakietu Office.For example, you want to block untrusted ActiveX controls in your Office apps. Możesz utworzyć szablon administracyjny usługi Intune, dodać to ustawienie urządzenia, po czym przypisać profil do grupy urządzeń.You can create an Administrative Template in Intune, configure this setting, and then assign this profile to a users group.

Podsumowując: z grup użytkowników należy korzystać wówczas, gdy ustawienia i reguły mają zawsze być związane z użytkownikiem, niezależnie od używanego przezeń urządzenia.To summarize, use user groups when you want your settings and rules to always go with the user, whatever device they use.

Wykluczanie grup z przypisania profiluExclude groups from a profile assignment

Profile konfiguracji urządzeń w usłudze Intune umożliwiają dołączanie i wykluczanie grup z przypisania profilów.Intune device configuration profiles let you include and exclude groups from profile assignment.

Najlepszym rozwiązaniem jest utworzenie i przypisanie profilów przeznaczonych specjalnie dla grup użytkowników.As a best practice, create and assign profiles specifically for your user groups. Ponadto należy utworzyć i przypisać różne profile przeznaczone specjalnie dla grup urządzeń.And, create and assign different profiles specifically for your device groups. Aby uzyskać więcej informacji na temat grup, zobacz Dodawanie grup w celu organizowania użytkowników i urządzeń.For more information on groups, see Add groups to organize users and devices.

W przypadku przypisywania profilów skorzystaj z poniższej tabeli podczas dołączania i wykluczania grup.When you assign your profiles, use the following table when including and excluding groups. Znacznik wyboru oznacza, że przypisanie jest obsługiwane:A checkmark means that assignment is supported:

Obsługiwane opcje dołączają grupy do przypisania profilu lub wykluczają grupy z przypisania profilu

Co należy wiedziećWhat you should know

  • Wykluczenie ma pierwszeństwo przed dołączeniem w następujących scenariuszach tego samego typu grupy:Exclusion takes precedence over inclusion in the following same group type scenarios:

    • Dołączanie grup użytkowników i wykluczanie grup użytkownikówIncluding user groups and excluding user groups
    • Dołączanie grup urządzeń i wykluczanie grup urządzeńIncluding device groups and excluding device group

    Załóżmy na przykład, że przypisano profil urządzenia do grupy użytkowników Wszyscy użytkownicy firmowi , ale z wykluczeniem członków grupy użytkowników Wyższa kadra kierownicza .For example, you assign a device profile to the All corporate users user group, but exclude members in the Senior Management Staff user group. Ponieważ obie grupy są grupami użytkowników, zasady otrzymają wszyscy użytkownicy firmowi z wyjątkiem wyższej kadry kierowniczej .Since both groups are user groups, All corporate users except the Senior Management staff get the profile.

  • Usługa Intune nie ocenia relacji między użytkownikami i grupami urządzeń.Intune doesn't evaluate user-to-device group relationships. Jeśli przypiszesz profile do grup mieszanych, wyniki mogą być niezgodne z oczekiwaniami.If you assign profiles to mixed groups, the results may not be what you want or expect.

    Przypiszesz na przykład profil urządzenia do grupy użytkowników Wszyscy użytkownicy , ale wykluczysz grupę urządzeń Wszystkie urządzenia osobiste .For example, you assign a device profile to the All Users user group, but exclude an All personal devices device group. W przypadku tego przypisania profilu do grupy mieszanej profil otrzyma grupa Wszyscy użytkownicy .In this mixed group profile assignment, All users get the profile. Wykluczenie nie ma zastosowania.The exclusion does not apply.

    W związku z tym nie zaleca się przypisywania profilów do grup mieszanych.As a result, it's not recommended to assign profiles to mixed groups.

Następne krokiNext steps

Zobacz artykuł dotyczący monitorowania profilów urządzeń, aby uzyskać wskazówki dotyczące monitorowania profilów i urządzeń z uruchomionymi profilami.See monitor device profiles for guidance on monitoring your profiles, and the devices running your profiles.