Назначение профилей конфигурации устройств и пользователей в Microsoft Intune

При создании профиля конфигурации устройства он содержит все настройки, которые вы ввели. Следующим шагом является развертывание или "назначение" профиля для групп пользователей или устройств. Когда он назначен, пользователи и устройства получают ваш профиль, и применяются введенные вами параметры.

В этой статье показано, как назначить профиль, и приведена некоторая информация об использовании тегов области в ваших профилях конфигурации устройств.

Сведения о профилях конфигурации устройств и о том, что можно настроить, см. в разделе Применение параметров и функций на устройствах с помощью профилей устройств в Microsoft Intune.

Примечание

При удалении профиля или если его больше не назначают устройству, в зависимости от параметров профиля могут возникнуть различные действия. Эти параметры основаны на CSP, и каждый CSP может обрабатывать удаление профиля по-разному. Например, параметр может сохранить существующее значение и не вернуться к значению по умолчанию. Поведение управляется каждым CSP в операционной системе. Список CSP для Windows см. в статье Configuration service provider reference (Справочник по CSP).

Чтобы изменить значение параметра на другое, создайте новый профиль, задайте для параметра значение Не настроено и назначьте профиль. После применения к устройству пользователи должны иметь контроль над изменением параметра на предпочтительное значение.

При настройке этих параметров мы рекомендуем выполнить развертывание в пилотной группе. Дополнительные советы по планах развертывания Intune см. в статье Разработка плана внедрения.

Прежде чем начать

Убедитесь, что у вас есть нужная роль для назначения профилей. Дополнительные сведения см. в разделе Управление доступом на основе ролей (RBAC) с помощью Microsoft Intune.

Назначение профиля устройства

  1. Войдите в Центр администрирования Microsoft Endpoint Manager.

  2. Выберите Устройства > Профили конфигурации. Перечисляются все профили.

  3. Выберите профиль, который вы хотите назначить, и щелкните Свойства > Назначение > Изменить:

    Выбор назначений для развертывания профилей для пользователей и групп в Microsoft Intune и Endpoint Manager

  4. Выберите Включенные группы или Исключенные группы, а затем щелкните Выбрать группы для включения. При выборе групп вы выбираете группу Azure AD. Чтобы выбрать сразу несколько групп, удерживайте нажатой клавишу CTRL и выберите группы.

    Включение или исключение пользователей и групп при назначении или развертывании профиля в Microsoft Intune и Endpoint Manager

  5. Выберите Проверить и сохранить. Этот шаг не назначает ваш профиль.

  6. Нажмите Сохранить. При сохранении профиль будет назначен. Ваши группы получат параметры профиля, когда устройства будут зарегистрированы в службе Intune.

Использование тегов области или правил применимости

При создании или обновлении профиля в него также можно добавить теги области и правила применимости.

Теги областей — это отличный способ фильтрации профилей для конкретных групп, таких как US-NC IT Team или JohnGlenn_ITDepartment. Дополнительные сведения см. в статье Использование управления доступом на основе ролей (RBAC) и тегов области для распределенной ИТ-разработки.

В устройствах с Windows 10/11 можно добавить правила применимости, чтобы профиль применялся только к определенной версии ОС или определенному выпуску Windows. Дополнительные сведения см. в разделе Правила применимости.

Группы пользователей и группы устройств

Многие пользователи спрашивают, когда использовать группы пользователей, а когда — группы устройств. Ответ зависит от цели. Вот несколько советов для начала работы.

Группы устройств

Если вы хотите применять параметры на устройстве, независимо от того, кто вошел в систему, назначьте свои профили группе устройств. Параметры, применяемые к группам устройств, всегда относятся к устройству, а не к пользователю.

Например:

  • Группы устройств используются для управления устройствами, у которых нет выделенного пользователя. Например, у вас есть устройства, которые печатают билеты, сканируют товары, совместно используются сотрудниками разных смен, назначаются определенному хранилищу и т. д. Поместите эти устройства в группу устройств и назначьте свои профили этой группе.

  • Вы создали профиль Intune интерфейса настройки встроенного ПО устройства (DFCI), который обновляет параметры в BIOS. Например, настройте этот профиль для отключения камеры устройства или блокирования параметров загрузки, чтобы пользователи не могли загружать другую ОС. Этот профиль подходит для назначения группе устройств.

  • На некоторых определенных устройствах Windows вы хотите всегда управлять некоторыми параметрами Microsoft Edge независимо от того, кто использует устройство. Например, вам нужно заблокировать все загрузки, ограничить все файлы cookie до текущего сеанса просмотра и удалить историю просмотров. Для этого поместите эти устройства Windows в группу устройств. Затем создайте административный шаблон в Intune, добавьте эти параметры устройства и назначьте этот профиль группе устройств.

Подытоживая вышесказанное: используйте группы устройств, если не важно, кто вошел в систему устройства и вошел ли хоть кто-нибудь. Параметры всегда должны быть на устройстве.

Группы пользователей

Параметры профиля, применяемые к группам пользователей, всегда связаны с пользователем, даже если они выполняют вход на многочисленных устройствах. У пользователей может быть много устройств, таких как Surface Pro для выполнения рабочих задач и личное устройство iOS или iPadOS. И это нормально, когда пользователь получает доступ к электронной почте и другим ресурсам организации с этих устройств.

Если у пользователя несколько устройств на одной платформе, можно использовать фильтры для назначения группы. Например, у пользователя есть личное устройство iOS/iPadOS и принадлежащее организации устройство iOS/iPadOS. При назначении политики для этого пользователя можно использовать фильтры для выбора в качестве цели только устройства, которое принадлежит организации.

Следуйте общему правилу: если компонент принадлежит пользователю, например электронная почта или сертификат пользователя, назначайте его группам пользователей.

Например:

  • Вы хотите разместить значок службы технической поддержки для всех пользователей на всех их устройствах. В этом случае поместите этих пользователей в группу пользователей и назначьте ей свой профиль значка службы технической поддержки.

  • Пользователь получает новое устройство, принадлежащее организации. Пользователь входит в устройство с использованием своей учетной записи домена. Устройство автоматически регистрируется в Azure AD и автоматически управляется службой Intune. Этот профиль подходит для назначения группе пользователей.

  • Вы хотите управлять функциями в приложениях, таких как OneDrive или Office, когда пользователь входит в систему устройства. В этом случае присвойте параметры профиля OneDrive или Office группе пользователей.

    Например, вы хотите заблокировать недоверенные элементы ActiveX в своих приложениях Office. Вы можете создать административный шаблон в Intune, настроить этот параметр, а затем назначить этот профиль группе пользователей.

Подытоживая вышесказанное: используйте группы пользователей, чтобы параметры и правила всегда применялись к пользователю, независимо от используемого им устройства.

Поставщики служб конфигурации Windows

Параметры политики для устройств с Windows основаны на поставщиках служб конфигурации (CSP). Эти параметры сопоставляются с разделами реестра или файлами на устройствах.

Endpoint Manager предоставляет доступ к этим CSP, поэтому можно настроить эти параметры и назначить их своим устройствам с Windows. Эти параметры настраиваются с помощью встроенных шаблонов и каталога параметров. В каталоге параметров вы увидите, что некоторые параметры применяются к области пользователя, а некоторые параметры — к области устройства.

Сведения о том, как параметры области пользователя и области устройства применяются к устройствам Windows, см. в статье Каталог параметров: параметры области устройства и области пользователя.

Исключение групп в назначении профиля

Профили конфигурации устройств Intune позволяют включать группы в назначения профилей и исключать их оттуда.

Рекомендации:

  • Создавайте и назначайте специальные профили для разных групп пользователей. Используйте фильтры, чтобы добавить или исключить устройства этих пользователей.
  • Создавайте и назначайте разные профили для групп устройств.

См. сведения о добавлении групп для упорядочивания пользователей и устройств.

Основы

При назначении политик и профилей применяйте следующие общие принципы.

  • Рассматривайте Включенные группы или Исключенные группы в качестве отправной точки для пользователей и устройств, к которым будут применяться ваши политики. Группа Azure AD является ограничивающей группой, поэтому используйте минимально возможную область группы. Используйте фильтры, чтобы ограничить или обновить назначение политики.

  • Назначенные группы Azure AD, также называемые статическими группами, можно добавить во включенные или исключенные группы.

    Как правило, вы можете статически назначать устройства в группе Azure AD, если они предварительно зарегистрированы в Azure AD, например с помощью Автопилота Windows. Или, если требуется объединить устройства для одноразового, автоматизированного развертывания. В противном случае статическое назначение устройств в группе Azure AD могут оказаться непрактичным.

  • Динамические группы пользователей Azure AD можно добавить во включенные или исключенные группы.

  • Динамические группы устройств Azure AD можно добавить во включенные группы. Но при заполнении динамического членства в группе может возникнуть задержка. В сценариях, зависящих от длительности задержки, используйте фильтры для назначения конкретных устройств и назначьте политики группам пользователей.

    Например, вы хотите назначать политики устройствам сразу после их регистрации. В этой ситуации с учетом задержки создайте фильтр для нужных устройств и назначьте политику с этим фильтром группам пользователей. Не назначайте его группам устройств.

    В сценарии без пользователей создайте фильтр для целевых устройств и назначьте политику с фильтром группе "Все устройства".

  • Избегайте добавления динамических групп устройств Azure AD в исключенные группы. Задержка при вычислении динамической группы устройств при регистрации может привести к нежелательным результатам. Например, нежелательные приложения и политики могут быть развернуты до распространения исключенного членства в группе.

Таблица поддержки

Используйте следующую матрицу, чтобы получить основные сведения о поддержке для исключения групп:

  • ✔️: поддерживается
  • ❌: не поддерживается
  • ❕ : частично поддерживается

Поддерживаемые варианты включения и исключения групп в назначении профиля

Сценарий Поддержка
1 ❕ частично поддерживается

Назначение политик в группу динамических устройств при исключении другой динамической группы устройств поддерживается. Но не рекомендуется использовать его в сценариях, зависящих от задержки. Любая задержка при вычислении членства в группе может привести к тому, что политики будут предлагаться устройствам. В этом сценарии для исключения устройств рекомендуется использовать фильтры вместо динамических групп устройств.

Допустим, у вас есть политика, назначенная всем устройствам. В последующем у вас появляется требование, чтобы устройства маркетингового отдела не получали эту политику. Для этого вы создаете динамическую группу устройств с именем Устройства маркетингового отдела на основе свойства enrollmentProfilename (device.enrollmentProfileName -eq "Marketing_devices"). В политике вы добавляете динамическую группу Устройства маркетингового отдела как исключенную.

В Intune регистрируется новое устройство для маркетингового отдела, и в Azure AD создается новый объект устройства. В процессе динамического группирования это устройство добавляется в группу Устройства маркетингового отдела с возможной задержкой при вычислении. В то же время устройство регистрируется в Intune и начинает получать все применимые политики. Политика Intune может быть развернута до того, как устройство будет помещено в группу исключений. Это приведет к развертыванию нежелательной политики (или приложения) для группы Устройства маркетингового отдела.

Поэтому в сценариях, чувствительных к задержкам, не рекомендуется использовать динамические группы устройств для исключений. Вместо этого используйте фильтры.
2 ✔️ Поддерживается

Назначение политики группе динамических устройств при исключении статической группы устройств поддерживается.
3 ❌ Не поддерживается

Назначение политики группе динамических устройств при исключении групп пользователей (как динамических, так и статических) не поддерживается. Intune не оценивает групповые отношения между пользователем и устройством, а устройства включенных пользователей не будут исключены.
4 ❌ Не поддерживается

Назначение политики группе динамических устройств и исключение групп пользователей (как динамических, так и статических) не поддерживается. Intune не оценивает групповые отношения между пользователем и устройством, а устройства включенных пользователей не будут исключены.
5 ❕ частично поддерживается

Назначение политики для статической группы устройств при исключении поддержки динамической группы устройств поддерживается. Но не рекомендуется использовать его в сценариях, зависящих от задержки. Любая задержка при вычислении членства в группе может привести к тому, что политики будут предлагаться устройствам. В этом сценарии для исключения устройств рекомендуется использовать фильтры вместо динамических групп устройств.
6 ✔️ Поддерживается

Назначение политики для статической группы устройств и исключение другой статической группы устройств поддерживается.
7 ❌ Не поддерживается

Назначение политики для статической группы устройств и исключение групп пользователей (как динамических, так и статических) не поддерживается. Intune не оценивает групповые отношения между пользователем и устройством, а устройства включенных пользователей не будут исключены.
8 ❌ Не поддерживается

Назначение политики для статической группы устройств и исключение групп пользователей (как динамических, так и статических) не поддерживается. Intune не оценивает групповые отношения между пользователем и устройством, а устройства включенных пользователей не будут исключены.
9 ❌ Не поддерживается

Назначение политики для динамической группы пользователей и исключение групп устройств (как динамических, так и статических) не поддерживается.
10 ❌ Не поддерживается

Назначение политики для динамической группы пользователей и исключение групп устройств (как динамических, так и статических) не поддерживается.
11 ✔️ Поддерживается

Назначение политики для динамической группы пользователей других групп пользователей (как динамических, так и статических) поддерживается.
12 ✔️ Поддерживается

Назначение политики для динамической группы пользователей других групп пользователей (как динамических, так и статических) поддерживается.
13 ❌ Не поддерживается

Назначение политики статической группе пользователей при исключении групп устройств (как динамических, так и статических) не поддерживается.
14 ❌ Не поддерживается

Назначение политики статической группе пользователей при исключении групп устройств (как динамических, так и статических) не поддерживается.
15 ✔️ Поддерживается

Назначение политики для статической группы пользователей других групп пользователей (как динамических, так и статических) поддерживается.
16 ✔️ Поддерживается

Назначение политики для статической группы пользователей других групп пользователей (как динамических, так и статических) поддерживается.

Дальнейшие действия

Дополнительные инструкции по мониторингу профилей и устройств, на которых выполняются ваши профили, см. в статье Мониторинг профилей устройств в Microsoft Intune.