Prestandarekommendationer för gruppering, inriktning och filtrering i stora Microsoft Intune miljöer
Den här artikeln listar och beskriver rekommendationer för Intune-gruppering, inriktning och filtrering för dina principer och appar. Målet är att hjälpa dig att fatta arkitektur- och designbeslut för Intune-distributioner i stora miljöer.
Dessa prestandarekommendationer och deras implementering kan vara olika och beror på din egen miljö & andra faktorer, inklusive hanterbarhet och enkelhet.
I den här artikeln:
- Få en översikt över intune-gruppering och inriktningsbegrepp
- Få några prestandarekommendationer
Mer information och en översikt över filter finns i Använda filter när du tilldelar appar, principer och profiler i Microsoft Intune.
Vägledning om dynamiska grupper finns i Skapa enklare och effektivare regler för dynamiska grupper i Microsoft Entra-ID.
Översikt över begrepp för gruppering och inriktning i Intune
Innan vi går in på rekommendationerna ska vi granska de grupperings-, mål- och filtreringsfunktioner som är tillgängliga i Intune.
Microsoft Entra grupper
Intune använder nästan uteslutande Microsoft Entra grupper för gruppering och inriktning. När du väljer Grupper i Microsoft Intune administrationscenter tittar du på Microsoft Entra grupper.
Microsoft Entra grupper är en viktig del av Intune eftersom dessa grupper är:
- De objekt som används för att tilldela appar, principer och andra arbetsbelastningar till användare och enheter.
- Används för att definiera de enheter som administratörer kan visa och hantera i Intune-administrationscentret, till exempel Omfångsgrupper i rollbaserad åtkomstkontroll (RBAC).
Virtuella grupper
Tilldelningarna Alla användare och Alla enheter är "virtuella" Intune-grupper. Dessa virtuella grupper är tillgängliga som standard i alla Intune-klientorganisationer och har inga hanteringskostnader. Du behöver till exempel inte skapa eller justera några Microsoft Entra ID-regler för att hålla medlemmarna ifyllda.
Grupperna Alla användare och Alla enheter är också mycket skalbara och optimerade, främst för att de inte behöver synkroniseras från Microsoft Entra ID på samma sätt som andra grupper gör.
Filter
När appen eller principen har tilldelats till en Microsoft Entra-ID eller virtuell grupp kan du använda filter för att begränsa tilldelningsomfånget för dessa appar och principer till specifika användar- eller enhetsgrupper.
Filtret filtrerar enheter in (eller ut) från tilldelningen baserat på enhetsegenskaper.
Filtrering är högpresterande, utvärdering med låg latens vid enhetsincheckning utan att du behöver förberäkna gruppmedlemskap.
Prestandarekommendationer
Det här avsnittet innehåller några rekommendationer som kan förbättra prestanda när du tilldelar dina principer i Microsoft Intune.
De här rekommendationerna fokuserar på att förbättra prestanda och minska svarstiden i tilldelning av arbetsbelastningar. De har störst inverkan när de arbetar i stora Intune-miljöer, till exempel miljöer med >100 000 enheter. Dessa rekommendationer bör övervägas med andra designaspekter, till exempel hanterbarhet, användarvänlighet, rollbaserad administration och enkelhet.
Använda virtuella grupper
| GÖRA | GÖR INTE |
|---|---|
| ✔️ Använd de virtuella grupperna Alla användare och Alla enheter i stället för att skapa din egen version av alla användare/alla enheter med hjälp av Microsoft Entra dynamiska grupper. | ❌ Skapa inte dina egna dynamiska grupper "Alla användare" eller "Alla enheter" för princip- och appinriktning i Intune. |
Större grupper tar längre tid att synkronisera medlemskapsuppdateringar mellan Microsoft Entra-ID och Intune. "Alla användare" och "Alla enheter" är vanligtvis de största grupperna du har. Om du tilldelar Intune-arbetsbelastningar till stora Microsoft Entra grupper som har många användare eller enheter kan synkroniseringsloggar inträffa i Intune-miljön. Den här kvarvarande informationen påverkar princip- och appdistributioner, vilket tar längre tid att nå hanterade enheter.
De inbyggda grupperna Alla användare och Alla enheter är grupperingsobjekt med endast Intune som inte finns i Microsoft Entra-ID. Det finns ingen kontinuerlig synkronisering mellan Microsoft Entra-ID och Intune. Gruppmedlemskap är alltså omedelbart.
Obs!
Information om uppdateringsintervall för Intune-incheckningsprinciper finns i Uppdateringsintervall för Intune-princip.
Du kan också tillämpa den här optimeringen på andra stora och ofta föränderliga grupper som du kan ha, till exempel "Alla Windows-enheter" eller "alla iOS-enheter". I stället för att skapa och rikta in dig på dessa grupper kan du använda de befintliga virtuella grupperna "Alla användare" eller "Alla enheter", eftersom Intune-principer och -program redan är begränsade efter plattform.
När du använder mycket stora grupper i Intune (över 100 000 medlemmar) förväntar du dig en viss inledande fördröjning i målinriktningen. Det finns en första konfigurationsprocess som sker mellan Microsoft Entra-ID och Intune. Den första fullständiga synkroniseringen tar alltid längre tid än efterföljande inkrementella synkroniseringar.
Återanvänd grupper
| GÖRA | GÖR INTE |
|---|---|
| ✔️ Återanvänd samma gruppobjekt för att tilldela flera principer. | ❌ Skapa inte duplicerade kopior av samma grupp för att rikta in dig på olika principer. ❌ Skapa inte dedikerade "appgrupper" eller "principgrupper". |
I bakgrunden konverterar Intune Microsoft Entra gruppmedlemmar till tilldelningsinriktningsmeddelanden för varje användare och enhet. Den här processen är mycket optimerad när gruppobjekten är desamma.
Intune-gruppering och -inriktning fungerar till exempel bäst när användargruppen "Teknik" är riktad mot 10 principer. Det fungerar inte bäst när teknikanvändare är medlemmar i 10 olika grupper, var och en tilldelas till en annan princip.
Vi har sett några mönster som motverkar den här vägledningen. IT-administratörer skapar till exempel en "Install_Edge"-grupp, skapar en "Deploy_Edge_Config_Policy"-grupp och placerar sedan samma enheter i varje grupp.
Ett liknande och inte rekommenderat mönster är att skapa "Appgrupper". En appgrupp är när varje app har flera Microsoft Entra grupper som skapats för den. Om du till exempel vill hantera Edge-programmet skapar en administratör följande grupper:
- Edge_Required
- Edge_Available
- Edge_Uninstall
Administratören lägger till enskilda användare eller enheter i dessa grupper. Dessa appgrupper ökar dramatiskt antalet Microsoft Entra grupper som Intune måste prenumerera på och övervaka för medlemskapsuppdateringar, vilket är mindre effektivt. Ineffektiv design för gruppsynkronisering påverkar hur snabbt nya tilldelningar skapas och levereras till enheter.
Göra inkrementella gruppändringar
| GÖRA | GÖR INTE |
|---|---|
| ✔️ Var försiktig med stora gruppkapslingsändringar i Microsoft Entra-ID. | ❌ Gör inte stora gruppkapslingsändringar samtidigt. |
En stor gruppmedlemskapsändring i Microsoft Entra ID kan generera ökningar av måländringar i Intune. Dessa ökningar kan fördröja målinriktningen för andra tilldelningar i din miljö.
Om dina grupper hanteras av en annan uppsättning administratörer än de administratörer som hanterar Microsoft Entra-ID bör du informera om vilken inverkan Microsoft Entra ID-ändringar kan ha på Intune-inriktningen.
Om en Microsoft Entra administratör till exempel kapslar nya stora grupper i en befintlig grupp som Intune använder för att rikta in sig på, börjar Intune synkronisera alla grupper och gruppmedlemskap. Den tid det tar att bearbeta alla medlemskap beror på antalet och storleken på gruppändringar som görs i Microsoft Entra ID.
Den här rekommendationen gäller även när grupper är "oregistrerade". Mer information om kapslade grupper finns i Hantera Microsoft Entra grupper och gruppmedlemskap.
Använda filter för att inkludera och exkludera
| GÖRA | GÖR INTE |
|---|---|
| ✔️ Använd filter för att uppnå rätt kombination av användare och enhet för målinriktning. | ❌ Blanda inte användargrupper och enhetsgrupper när du använder grupperna Inkludera och Exkludera. |
Den här rekommendationen är också en support-instruktion. Vi rekommenderar eller stöder inte att du skapar tilldelningar till användargrupper och exkluderar en enhetsgrupp från den tilldelningen, eller tvärtom.
Den här rekommendationen finns på grund av tids- och svarstidsegenskaperna för dynamiska grupper. Medlemskap i exkluderade grupper är inte omedelbart, vilket kan resultera i fall där enheter felaktigt tar emot app- eller principtilldelningar. Mer information finns i matrisen Tilldela principer och profiler – support.
I stället för blandade undantag rekommenderar vi att du tilldelar till en användargrupp. Använd sedan filter för att dynamiskt inkludera eller exkludera lämpliga enheter.
Sammanfattning
När du skapar och hanterar tilldelningar i Intune bör du inkludera några av dessa rekommendationer. Använd grupper eller virtuella grupper och använd filter för att förfina målomfånget. Tänk på metodtipsen:
- Skapa inte din egen version av grupperna "Alla användare" eller "Alla enheter". Använd de virtuella Intune-grupperna eftersom de inte kräver Microsoft Entra ID-synkronisering när en ny användare eller enhet läggs till i miljön.
- Om du vill optimera din inriktning återanvänder du grupper så mycket som möjligt.
- Var försiktig när du gör stora kapslingsändringar i Intune-grupper. Intune måste bearbeta alla dessa ändringar och beräkna effektiva ändringar för alla medlemmar i alla grupper som påverkas av ändringen.
- Intune stöder inte undantag för blandade grupper. Använd därför filter för att dynamiskt inkludera och exkludera enheter utöver grupp- eller virtuell grupptilldelningar.
Nästa steg
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för