Назначение политик в Microsoft Intune

При создании политики Intune она включает все параметры, добавленные и настроенные в ней. Когда политика будет готова к развертыванию, следующим шагом является "назначение" политики группам пользователей или устройств. Когда она назначена, пользователи и устройства получают вашу политику, а введенные параметры применяются.

В Intune можно создать и назначить следующие политики:

• Политики защиты приложений
• Политики конфигурации приложений
• Политики соответствия
• Политики условного доступа
• Профили конфигурации устройства
• Политики регистрации

В этой статье показано, как назначить политику, содержатся некоторые сведения об использовании тегов область, описывается назначение политик группам пользователей или группам устройств и многое другое.

Перед началом работы

Убедитесь, что у вас есть правильная роль для назначения политик и профилей. Дополнительные сведения см. в статье Управление доступом на основе ролей (RBAC) с помощью Microsoft Intune.

Назначение политики пользователям или группам

1. Войдите в Центр администрирования Microsoft Intune.

2. Выберите Конфигурация устройств>. Перечисляются все профили.

3. Выберите профиль, который вы хотите назначить >Свойства>Назначения>Изменить:

   Например, чтобы назначить профиль конфигурации устройства, выполните приведенные ниже действия.

   1. Перейдите враздел Конфигурацияустройств>. Перечисляются все профили.

   2. Выберите политику, которую вы хотите назначить>>Свойства Назначения>Изменить:

      

4. В разделе Включенные группы или Исключенные группы выберите Добавить группы, чтобы выбрать одну или несколько Microsoft Entra групп. Если вы планируете развернуть политику на всех применимых устройствах, выберите Добавить всех пользователей или Добавить все устройства.

   Примечание.

   Если выбрать "Все устройства" и "Все пользователи", параметр добавления дополнительных Microsoft Entra групп отключается.

5. Выберите Проверить и сохранить. Этот шаг не назначает политику.

6. Нажмите кнопку Сохранить. При сохранении политика назначается. Ваши группы получат параметры политики, когда устройства проверка в службу Intune.

Функции назначения, которые следует знать и использовать

• Используйте фильтры для назначения политики на основе создаваемых правил. Вы можете создать фильтры для:

  • Политики конфигурации приложений
  • Политики защиты приложений
  • Назначения приложений
  • Политики соответствия
  • Профили конфигурации устройства

  Дополнительные сведения см. в статьях:

  • Используйте фильтры при назначении приложений, политик и профилей в Microsoft Intune
  • Платформы, политики и типы приложений, поддерживаемые фильтрами в Microsoft Intune

• Наборы политик создают группу или коллекцию существующих приложений и политик. При создании набора политик его можно назначить из одного места в центре администрирования Microsoft Intune.

  Дополнительные сведения см. в статье Использование наборов политик для группирования коллекций управляющих объектов в Microsoft Intune.

• Теги области — это отличный способ фильтрации политик по определенным группам, таким как US-NC IT Team или JohnGlenn_ITDepartment. Дополнительные сведения см. в статье Использование тегов RBAC и область для распределенной ИТ-службы.

• На устройствах Windows 10/11 можно добавить правила применимости, чтобы политика применялось только к определенной версии ОС или определенному выпуску Windows. Дополнительные сведения см. в статье Правила применимости.

Группы пользователей и группы устройств

Многие пользователи спрашивают, когда использовать группы пользователей, а когда — группы устройств. Ответ зависит от цели. Вот несколько советов для начала работы.

Группы устройств

Если вы хотите применить параметры к устройству, независимо от того, кто вошел в систему, назначьте политики группе устройств. Параметры, применяемые к группам устройств, всегда относятся к устройству, а не к пользователю.

Например:

• Группы устройств используются для управления устройствами, у которых нет выделенного пользователя. Например, у вас есть устройства, которые печатают билеты, сканируют товары, совместно используются сотрудниками разных смен, назначаются определенному хранилищу и т. д. Поместите эти устройства в группу устройств и назначьте политики этой группе устройств.

• Вы создали профиль Intune интерфейса настройки встроенного ПО устройства (DFCI), который обновляет параметры в BIOS. Например, эта политика настраивается для отключения камеры устройства или блокировки параметров загрузки, чтобы запретить пользователям загружать другую ОС. Эта политика является хорошим сценарием для назначения группе устройств.

• На некоторых определенных устройствах Windows вы хотите всегда управлять некоторыми параметрами Microsoft Edge независимо от того, кто использует устройство. Например, вам нужно заблокировать все загрузки, ограничить все файлы cookie до текущего сеанса просмотра и удалить историю просмотров. Для этого поместите эти устройства Windows в группу устройств. Затем создайте административный шаблон в Intune, добавьте эти параметры устройства, а затем назначьте эту политику группе устройств.

Подытоживая вышесказанное: используйте группы устройств, если не важно, кто вошел в систему устройства и вошел ли хоть кто-нибудь. Параметры всегда должны быть на устройстве.

Группы пользователей

Параметры политики, применяемые к группам пользователей, всегда используются вместе с пользователем, а при входе в систему на нескольких устройствах. У пользователей может быть много устройств, таких как Surface Pro для выполнения рабочих задач и личное устройство iOS или iPadOS. И это нормально, когда пользователь получает доступ к электронной почте и другим ресурсам организации с этих устройств.

Если у пользователя несколько устройств на одной платформе, можно использовать фильтры для назначения группы. Например, у пользователя есть личное устройство iOS/iPadOS и принадлежащее организации устройство iOS/iPadOS. При назначении политики для этого пользователя можно использовать фильтры для выбора в качестве цели только устройства, которое принадлежит организации.

Следуйте общему правилу: если компонент принадлежит пользователю, например электронная почта или сертификат пользователя, назначайте его группам пользователей.

Например:

• Вы хотите разместить значок службы технической поддержки для всех пользователей на всех их устройствах. В этом сценарии поместите этих пользователей в группу пользователей и назначьте этой группе пользователей политику значков службы поддержки.

• Пользователь получает новое устройство, принадлежащее организации. Пользователь входит в устройство с использованием своей учетной записи домена. Устройство автоматически регистрируется в Microsoft Entra ID и автоматически управляется Intune. Эта политика является хорошим сценарием для назначения группе пользователей.

• Вы хотите управлять функциями в приложениях, таких как OneDrive или Office, когда пользователь входит в систему устройства. В этом сценарии назначьте параметры политики OneDrive или Office группе пользователей.

  Например, вы хотите заблокировать недоверенные элементы ActiveX в своих приложениях Office. Вы можете создать административный шаблон в Intune, настроить этот параметр, а затем назначить эту политику группе пользователей.

Подытоживая вышесказанное: используйте группы пользователей, чтобы параметры и правила всегда применялись к пользователю, независимо от используемого им устройства.

Многосеансовый виртуальный рабочий стол Azure

Вы можете использовать Intune для управления удаленными рабочими столами Windows с несколькими сеансами, созданными с помощью Виртуального рабочего стола Azure, так же, как и любым другим общим клиентским устройством Windows. При назначении политик группам пользователей или устройствам виртуальный рабочий стол Azure с несколькими сеансами является особым сценарием. При использовании этих виртуальных машин поставщики служб конфигурации устройств должны ориентироваться на группы устройств. Поставщики служб конфигурации пользователей должны быть ориентированы на группы пользователей.

Дополнительные сведения см. в статье Использование нескольких сеансов Виртуального рабочего стола Azure с Microsoft Intune.

Поставщики служб конфигурации Windows и их поведение

Параметры политики для устройств с Windows основаны на поставщиках служб конфигурации (CSP). Эти параметры сопоставляются с разделами реестра или файлами на устройствах.

Вот что вам нужно знать о поставщиках облачных служб Windows:

• Intune предоставляет эти поставщики служб конфигурации, чтобы вы могли настроить эти параметры и назначить их своим устройствам Windows. Эти параметры настраиваются с помощью встроенных шаблонов и каталога параметров. В каталоге параметров вы увидите, что некоторые параметры применяются к области пользователя, а некоторые параметры — к области устройства.

  Сведения о том, как параметры области пользователя и области устройства применяются к устройствам Windows, см. в статье Каталог параметров: параметры области устройства и области пользователя.

• Когда политика удаляется или больше не назначается устройству, могут происходить разные вещи в зависимости от параметров в политике. Каждый поставщик служб CSP может обрабатывать удаление политики по-разному.

  Например, параметр может сохранить существующее значение и не вернуться к значению по умолчанию. Поведение управляется каждым CSP в операционной системе. Список CSP для Windows см. в статье Configuration service provider reference (Справочник по CSP).

  Чтобы изменить значение параметра на другое, создайте новую политику, задайте для параметра значение Не настроено и назначьте политику. Когда политика применяется к устройству, пользователи должны иметь контроль над изменением параметра на предпочитаемое значение.

• При настройке этих параметров мы рекомендуем выполнить развертывание в пилотной группе. Дополнительные советы по планах развертывания Intune см. в статье Разработка плана внедрения.

Исключение групп из назначения политики

Intune политики конфигурации устройств позволяют включать и исключать группы из назначения политик.

Рекомендации:

• Создавайте и назначайте политики специально для групп пользователей. Используйте фильтры, чтобы добавить или исключить устройства этих пользователей.
• Создавайте и назначайте различные политики специально для групп устройств.

См. сведения о добавлении групп для упорядочивания пользователей и устройств.

Принципы включения и исключения групп

При назначении политик и политик примените следующие общие принципы:

• Рассматривайте Включенные группы или Исключенные группы в качестве отправной точки для пользователей и устройств, к которым будут применяться ваши политики. Группа Microsoft Entra является ограничивающей группой, поэтому используйте наименьшую группу, область возможно. Используйте фильтры, чтобы ограничить или обновить назначение политики.

• Назначенные Microsoft Entra группы, также известные как статические группы, могут быть добавлены в включенные группы или исключенные группы.

  Как правило, вы статически назначаете устройства в группу Microsoft Entra, если они предварительно зарегистрированы в Microsoft Entra ID, например в Windows Autopilot. Или, если требуется объединить устройства для одноразового, автоматизированного развертывания. В противном случае статически назначать устройства в группу Microsoft Entra может оказаться нецелесообразно.

• Динамические Microsoft Entra группы пользователей можно добавить в включенные группы или исключенные группы.

• Исключенные группы могут быть группами с пользователями или группами с устройствами.

• Динамические группы устройств Microsoft Entra можно добавить в включенные группы. Но при заполнении динамического членства в группе может возникнуть задержка. В сценариях, зависящих от длительности задержки, используйте фильтры для назначения конкретных устройств и назначьте политики группам пользователей.

  Например, вы хотите назначать политики устройствам сразу после их регистрации. В этой ситуации с учетом задержки создайте фильтр для нужных устройств и назначьте политику с этим фильтром группам пользователей. Не назначайте его группам устройств.

  В сценарии без пользователей создайте фильтр , предназначенный для нужных устройств, и назначьте политику с фильтром группе "Все устройства".

• Избегайте добавления динамических Microsoft Entra групп устройств в исключенные группы. Задержка при вычислении динамической группы устройств при регистрации может привести к нежелательным результатам. Например, нежелательные приложения и политики могут быть развернуты до распространения исключенного членства в группе.

Таблица поддержки

Используйте следующую матрицу, чтобы получить основные сведения о поддержке для исключения групп:

• ✔️: поддерживается
• ❌: не поддерживается
• ❕ : частично поддерживается

Сценарий	Поддержка
1	❕ Поддерживается частичное назначение политик динамической группе устройств при исключении другой динамической группы устройств. Но не рекомендуется использовать его в сценариях, зависящих от задержки. Любая задержка при вычислении членства в группе может привести к тому, что политики будут предлагаться устройствам. В этом сценарии для исключения устройств рекомендуется использовать фильтры вместо динамических групп устройств. Например, у вас есть политика устройств, назначенная всем устройствам. В последующем у вас появляется требование, чтобы устройства маркетингового отдела не получали эту политику. Для этого вы создаете динамическую группу устройств с именем Устройства маркетингового отдела на основе свойства enrollmentProfilename (device.enrollmentProfileName -eq "Marketing_devices"). В политике вы добавляете динамическую группу Устройства маркетингового отдела как исключенную. Новое маркетинговое устройство регистрируется в Intune впервые, и создается новый объект устройства Microsoft Entra. В процессе динамического группирования это устройство добавляется в группу Устройства маркетингового отдела с возможной задержкой при вычислении. В то же время устройство регистрируется в Intune и начинает получать все применимые политики. Политика Intune может быть развернута до того, как устройство будет помещено в группу исключений. Это приведет к развертыванию нежелательной политики (или приложения) для группы Устройства маркетингового отдела. В результате не рекомендуется использовать динамические группы устройств для исключений в сценариях с учетом задержки. Вместо этого используйте фильтры.
2	✔️ Поддерживается назначение политики динамической группе устройств при исключении статической группы устройств.
3	❌ Не поддерживается назначение политики динамической группе устройств при исключении групп пользователей (как динамических, так и статических). Intune не оценивает групповые отношения между пользователем и устройством, а устройства включенных пользователей не будут исключены.
4	❌ Не поддерживается назначение политики динамической группе устройств и исключение групп пользователей (как динамических, так и статических). Intune не оценивает групповые отношения между пользователем и устройством, а устройства включенных пользователей не будут исключены.
5	❕ Поддерживается частичное назначение политики статической группе устройств при исключении динамической группы устройств. Но не рекомендуется использовать его в сценариях, зависящих от задержки. Любая задержка при вычислении членства в группе может привести к тому, что политики будут предлагаться устройствам. В этом сценарии для исключения устройств рекомендуется использовать фильтры вместо динамических групп устройств.
6	✔️ Поддерживается назначение политики статической группе устройств и исключение другой статической группы устройств.
7	❌ Не поддерживается назначение политики статической группе устройств и исключение групп пользователей (как динамических, так и статических). Intune не оценивает групповые отношения между пользователем и устройством, а устройства включенных пользователей не будут исключены.
8	❌ Не поддерживается назначение политики статической группе устройств и исключение групп пользователей (как динамических, так и статических). Intune не оценивает групповые отношения между пользователем и устройством, а устройства включенных пользователей не будут исключены.
9	❌ Не поддерживается назначение политики динамической группе пользователей и исключение групп устройств (как динамических, так и статических).
10	❌ Не поддерживается назначение политики динамической группе пользователей и исключение групп устройств (как динамических, так и статических).
11	✔️ Поддерживается назначение политики динамической группе пользователей при исключении других групп пользователей (как динамических, так и статических).
12	✔️ Поддерживается назначение политики динамической группе пользователей при исключении других групп пользователей (как динамических, так и статических).
13	❌ Не поддерживается назначение политики статической группе пользователей при исключении групп устройств (как динамических, так и статических).
14	❌ Не поддерживается назначение политики статической группе пользователей при исключении групп устройств (как динамических, так и статических).
15	✔️ Поддерживается назначение политики статической группе пользователей при исключении других групп пользователей (как динамических, так и статических).
16	✔️ Поддерживается назначение политики статической группе пользователей при исключении других групп пользователей (как динамических, так и статических).

Дальнейшие действия

Рекомендации по мониторингу политик и устройств, на которых выполняются политики, см. в разделе Мониторинг профилей устройств.