Использование фильтров при назначении приложений, политик и профилей в Microsoft Endpoint Manager

При создании политик можно назначать их с использованием фильтров, основанных на созданных вами правилах. Фильтр позволяет ограничить область назначения политики. Например, в фильтрах можно задать целевые устройства с определенной версией ОС или устройства определенного производителя, только личные или только корпоративные устройства и т. д.

Фильтры позволяют реализовать следующие примеры сценариев:

  • Развертывание политики ограниченного использования устройств с Windows только на корпоративных устройствах, принадлежащих отделу маркетинга (за исключением личных устройств).
  • Развертывание приложения iOS/iPadOS только на устройствах iPad в группе пользователей из финансового отдела.
  • Развертывание политики соответствия мобильных телефонов Android для всех пользователей в компании, за исключением устройств Android в комнате переговоров, которые не поддерживают параметры политики соответствия для мобильных телефонов.

Фильтры предоставят вам следующие возможности и преимущества:

  • Дополнительная гибкость и детализация при назначении политик и приложений в Intune.
  • Возможность использования при назначении приложений, политик и профилей. Динамическое нацеливание на устройства согласно их указанным свойствам.
  • Возможность включать или исключать устройства в определенной группе согласно указанным критериям.
  • Создание запроса по свойствам устройства на основе платформы устройств, включая Android, iOS/iPadOS, macOS и клиент Windows.
  • Возможность многократно использовать фильтры в разных сценариях как для включения, так и для исключения устройств.

Эта функция применяется к:

  • Администратор устройств Android
  • Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 10/11

В этой статье описывается архитектура фильтров и действия, позволяющие создать, обновить или удалить фильтр.

Как работают фильтры

Администратор создает фильтр и включает его в политику Microsoft Endpoint Manager и Microsoft Intune.

Перед применением политики к какому-либо устройству фильтры динамически оценивают ее применимость. На этом изображении представлена обобщенная схема работы.

  1. Вы создаете многократно используемый фильтр для любой платформы, основанный на указанных свойствах устройства. В нашем примере представлен фильтр по личным устройствам.

  2. Вы назначаете политику или приложение группе. Вы добавляете фильтр в режиме включения или исключения в это назначение. Например, можно включить личные устройства в политику или исключить их из нее.

  3. Оценка фильтра происходит при каждой регистрации устройства, синхронизации со службой Intune и в любой другой ситуации, когда политика выполняет оценку.

  4. Здесь показаны результаты оценки фильтра. Например, приложение или политика применяются или не применяются.

Предварительные требования

Создание фильтра

  1. Войдите в центр администрирования Endpoint Manager.

  2. Выберите Администрирование клиента > Фильтры > Создать.

    Кроме того, можно создавать собственные фильтры в следующих разделах:

    • Устройства > Фильтры
    • Приложения > Фильтры
  3. В разделе Основные укажите следующие свойства.

    • Filter name (Имя фильтра). Введите описательное имя для фильтра. Назначьте имена фильтрам, чтобы потом их можно было легко идентифицировать. Пример хорошего имени для фильтра: Фильтр по версии ОС Windows.
    • Description (Описание). Введите описание фильтра. Этот необязательный параметр, но мы рекомендуем его использовать.
    • Platform (Платформа). Выберите платформу. Доступны следующие варианты:
      • Администратор устройств Android
      • Android Enterprise
      • iOS/iPadOS
      • macOS
      • Windows 10 и более поздние версии
  4. Нажмите кнопку Далее.

  5. В разделе Rules (Правила) поддерживаются два способа создания правил: построитель правил и синтаксис правил.

    Rule builder (Построитель правил):

    • And/Or (И/Или). Добавив в фильтр выражение, вы можете объединить его с другим с помощью операторов and и or.

    • Property (Свойство). Выберите свойство для правила, например ценовую категорию устройства или ОС.

    • Operator (Оператор). Выберите из списка нужный оператор, например equals или contains.

    • Value (Значение). Введите значение для выражения. Например, в качестве версии ОС можно указать значение 10.0.18362, а в качестве производителя — Microsoft.

    • Add expression (Добавить выражение). Завершив ввод свойства, оператора и значения, щелкните Add expression (Добавить выражение):

      Использование построителя правил в Microsoft Endpoint Manager и Microsoft Intune для создания фильтра выражений и его назначения политикам.

      Созданное вами выражение автоматически добавляется в редактор синтаксиса правил.

    Rule syntax (Синтаксис правил).

    Можно также вручную ввести выражение правила и создать собственные правила сразу в редакторе синтаксиса правил. В разделе Rule syntax (Синтаксис правил) выберите Edit (Изменить).

    Выбор режима редактирования синтаксиса правил, чтобы применить построитель правил в Microsoft Endpoint Manager и Microsoft Intune.

    Откроется построитель выражений. Вручную введите нужные выражения, например (device.osVersion -eq "10.0.18362") and (device.manufacturer -eq "Microsoft"):

    Использование построителя выражения для ввода синтаксиса правил в Microsoft Endpoint Manager и Microsoft Intune.

    Дополнительные сведения о создании собственных выражений см. в статье Свойства устройств, операторы и редактирование правил при создании фильтров.

    Щелкните ОК, чтобы сохранить выражение.

    Совет

    • При создании правила выполняется проверка правильности синтаксиса и отображаются найденные ошибки.
    • Если введенный синтаксис не поддерживается построителем простых правил, то построитель правил отключается. Например, использование вложенных скобок отключает построитель простых правил.
  6. Выберите Предварительный просмотр устройств. Отображается список зарегистрированных устройств, соответствующих заданным условиям фильтра.

    В этом списке также можно искать устройства по следующим свойствам: имя устройства, версия ОС, модель устройства, производитель устройства, имя субъекта-пользователя основного пользователя и идентификатор устройства.

    В окне "Предварительный просмотр устройств" можно искать устройства при создании фильтров в Microsoft Endpoint Manager и Microsoft Intune.

  7. Нажмите кнопку Далее.

  8. В поле Теги области (необязательно) назначьте тег для фильтрации профиля по конкретным ИТ-группам, например US-NC IT Team или JohnGlenn_ITDepartment. Дополнительные сведения о тегах области см. в разделе Использование RBAC и тегов области для распределенных ИТ-групп.

    Нажмите кнопку Далее.

  9. Проверьте параметры в окне Проверка и создание. Щелкните Create (Создать), чтобы сохранить изменения. Это действие создает готовый к использованию фильтр. Он также появляется в списке фильтров.

Использование фильтра

После создания фильтр сразу готов к добавлению в назначения приложений или политик.

  1. Войдите в центр администрирования Endpoint Manager.

  2. Перейдите к нужным приложениям, политикам соответствия или профилям конфигурации. Список поддерживаемых элементов см. в статье Поддерживаемые рабочие нагрузки при создании фильтров. Выберите существующую политику или создайте новую.

    Например, щелкните Устройства > Политики соответствия и выберите существующую политику. Выберите Свойства > Назначения > Изменить:

    Выбор политики или профиля для изменения назначения в Microsoft Endpoint Manager и Microsoft Intune.

  3. Назначьте политику группе пользователей или группе устройств.

  4. Выберите Изменить фильтр. Доступны следующие параметры:

    • Не применять фильтр. Все целевые пользователи или устройства получат приложение или политику без фильтрации.

    • Включить отфильтрованные устройства в назначение. Устройства, соответствующие условиям фильтра, получат приложение или политику. Устройства, которые не соответствуют условиям фильтра, не получат приложение или политику.

      Появится список фильтров, соответствующих платформе политики.

    • Исключить отфильтрованные устройства из назначения. Устройства, соответствующие условиям фильтра, не получат приложение или политику. Устройства, которые не соответствуют условиям фильтра, получат приложение или политику.

      Появится список фильтров, соответствующих платформе политики.

  5. Выберите нужный фильтр и щелкните Select (Выбрать).

    Например, установите флажок Включить отфильтрованные устройства в назначение и выберите фильтр:

    Включение фильтра в назначение политики в Microsoft Endpoint Manager и Microsoft Intune.

  6. Чтобы сохранить изменения, щелкните Review + save (Проверка и сохранение) > Save (Сохранить).

Когда устройство выполняет синхронизацию со службой Intune, оцениваются определенные в фильтре свойства и определяется, нужно ли применять приложение или политику.

Изменение существующего фильтра

После создания фильтра его можно изменить или обновить.

  1. Войдите в центр администрирования Endpoint Manager.

  2. Выберите Администрирование клиента > Фильтры. Отобразится полный список фильтров.

    Вы также можете обновить фильтры в разделах Устройства > Фильтры или Приложения > Фильтры.

  3. Выберите фильтр, который нужно изменить. Щелкните Rules (Правила) > Edit (Изменить) и внесите изменения:

    Изменение или обновление существующего фильтра в Microsoft Endpoint Manager и Microsoft Intune.

  4. Чтобы сохранить изменения, щелкните Review + save (Проверка и сохранение) > Save (Сохранить).

Удаление фильтра

  1. Войдите в центр администрирования Endpoint Manager.

  2. Выберите Администрирование клиента > Фильтры. Отобразится полный список фильтров.

    Вы также можете удалить фильтры в разделах Устройства > Фильтры или Приложения > Фильтры.

  3. Рядом с фильтром щелкните многоточие (...) и выберите Delete (Удалить):

    Удаление фильтра в Microsoft Endpoint Manager и Microsoft Intune.

Чтобы удалить фильтр, его сначала необходимо удалить изо всех назначений политик. В противном случае при попытке удалить фильтр возникнет следующая ошибка:

Unable to delete assignment filter – An assignment filter is associated with existing assignments. Delete all the assignments for the filter and try again.

Дальнейшие действия