在 Microsoft Intune 中分配应用、策略和配置文件时使用筛选器

  • 项目

创建策略时,可以使用筛选器基于创建的规则分配策略。 使用筛选器可以缩小策略的分配范围。 例如,使用筛选器以具有特定 OS 版本或特定制造商的设备为目标,仅以个人设备或组织拥有的设备为目标,等等。

筛选器可用于:

  • 在 Intune 中注册的设备,即托管设备

  • 由 Intune 管理的应用,即托管应用

    托管应用用于移动应用程序管理 (MAM) 方案。 MAM 涉及管理未在 Intune 中注册的设备上的应用,这与个人拥有的设备很常见。 有关 Intune 中的 MAM 的详细信息,请转到什么是Microsoft Intune应用管理?

可以在以下方案中使用筛选器:

  • 仅将 Windows 设备限制策略部署到市场营销部门的公司设备,同时排除个人设备。
  • 仅将 iOS/iPadOS 应用部署到财务用户组中的 iPad 设备。
  • 将 Android 移动电话合规性策略部署到公司中的所有用户,并排除不支持移动电话合规性策略设置的 Android 会议室设备。
  • 在个人拥有的设备上,为特定应用制造商部署应用配置策略或运行特定 OS 版本的应用保护策略。

筛选器包含以下功能和优点:

  • 提高分配 Intune 策略和应用时的灵活性和粒度。
  • 在分配应用、策略和配置文件时使用。 它们基于设备属性动态定位托管设备,并根据输入的应用属性以托管应用为目标。
  • 可以根据输入的条件在特定组中包括或排除设备或应用。
  • 可以根据不同的属性(如设备平台或应用程序版本)创建设备或应用属性查询。
  • 可在“包括”或“排除”模式下的多个方案中使用和重复使用。

此功能适用于:

  • 以下平台上的托管设备

    • Android 设备管理员
    • Android Enterprise
    • Android (AOSP)
    • iOS/iPadOS
    • macOS
    • Windows 10/11

  • 以下平台上的托管应用

    • Android
    • iOS/iPadOS
    • Windows

本文介绍筛选器体系结构,并演示如何创建、更新和删除筛选器。

重要

Microsoft Intune于 2024 年 8 月 30 日终止对有权访问 Google 移动服务的设备上的 Android 设备管理员管理的支持, (GMS) 。 在此日期之后,设备注册、技术支持、bug 修复和安全修复将不可用。 如果当前使用设备管理员管理,建议在支持结束之前切换到 Intune 中的另一个 Android 管理选项。 有关详细信息,请阅读 在 GMS 设备上终止对 Android 设备管理员的支持

筛选器如何工作

显示管理员如何在 Microsoft Intune 的策略中创建筛选器并使用筛选器的屏幕截图。

在将策略应用于应用或设备之前,筛选器会动态评估适用性。 下面是映像的概述:

  1. 基于应用或设备属性创建可重用筛选器。 在此示例中,设备筛选器适用于 iPhone XR 设备。

  2. 将策略分配给组。 在分配中,在“包括”或“排除”模式下添加筛选器。 例如,“包括”iPhone XR 设备,或者从策略中“排除”iPhone XR 设备。

  3. 当设备注册、使用 Intune 服务签入或者在策略评估的其他任何时间,都将评估筛选器。

  4. 显示基于评估的筛选器结果。 例如,应用或策略适用,或者不适用。

限制

创建筛选器时存在一些常规限制:

  • 对于每个租户,最多可以有 200 个筛选器。
  • 每个筛选器限制为 3,072 个字符。
  • 对于托管设备,必须在 Intune 中注册设备。
  • 对于托管应用,筛选器适用于应用保护策略和应用配置策略。 它们不适用于其他策略,例如合规性或设备配置文件。

先决条件

创建筛选器

  1. 登录到Intune管理中心

  2. 选择租户管理>筛选器>创建

    还可以在以下位置中创建筛选器:

    • 设备>筛选器
    • 应用>筛选器

  3. 选择 “托管设备 ”或“ 托管应用”:

    显示当在Microsoft Intune管理中心创建筛选器时选择“托管应用”或“托管设备”的屏幕截图。

    请记住,托管设备是在 Intune 中注册的设备,通常归组织所有。 托管应用适用于未在 Intune 中注册且通常由最终用户拥有的设备。

  4. “基本信息”中,输入以下属性:

    • 筛选器名称:输入筛选器的描述性名称。 为筛选器命名,以便稍后可以轻松地识别它们。 例如,“Windows OS 版本筛选器”就是一个不错的筛选器名称

    • 描述:为筛选器输入描述。 此设置是可选的,但建议进行。

    • 平台:选择平台。 选项包括:

      • 托管设备

        • Android 设备管理员
        • Android Enterprise
        • Android (AOSP)
        • iOS/iPadOS
        • macOS
        • Windows 10 及更高版本

      • 托管应用

        • Android
        • iOS/iPadOS
        • Windows

  5. 选择 下一步

  6. 在“规则”中,有两种创建规则的方法:使用“规则生成器”或使用“规则语法”

    规则生成器

    • And/Or:添加表达式后,可以使用 andor 选项添加到表达式。

    • 属性:选择规则的属性,例如设备或操作系统 SKU。

    • 运算符:从列表中选择运算符,例如 equalscontains

    • :在表达式中输入值。 例如,输入 10.0.18362 作为 OS 版本,或输入 Microsoft 作为制造商。

    • 添加表达式:添加属性、运算符和值后,选择“添加表达式”

      显示如何使用 Microsoft Intune 中的规则生成器创建表达式筛选器并分配给策略的屏幕截图。

      创建的表达式会自动添加到规则语法编辑器中。

    规则语法

    也可以手动输入规则表达式,然后在规则语法编辑器中编写自己的规则。 在“规则语法”中,选择“编辑”

    显示如何选择规则语法编辑器以在Microsoft Intune中使用规则生成器的屏幕截图。

    表达式生成器随即打开。 手动输入表达式,如 (device.osVersion -eq "10.0.18362") and (device.manufacturer -eq "Microsoft")

    显示如何使用表达式生成器在 Microsoft Intune 中输入规则语法的屏幕截图。

    有关编写自己的表达式的详细信息,请转到 创建筛选器时的设备和应用属性、运算符和规则编辑

    选择“确定”以保存表达式

    提示

    • 创建规则时,将验证其语法是否正确,并显示所有错误。
    • 如果输入基本规则生成器不支持的语法,则会禁用规则生成器。 例如,使用嵌套括号将禁用基本规则生成器。

  7. 选择预览设备。 显示与筛选条件匹配的已注册设备的列表。

    在此列表中,还可以按设备名称、OS 版本、设备型号、设备制造商等搜索设备:

    显示如何在 Microsoft Intune 中创建筛选器时搜索设备的屏幕截图。

    注意

    为处于预览状态的属性选择“ 预览设备 ”时,会收到一 You cannot use Filter preview with experimental properties 条消息。 即使无法预览属性,也可以继续使用筛选器中的 属性。

    显示单击“预览设备”时无法使用筛选器预览消息的屏幕截图,该屏幕截图在 Microsoft Intune 中单击具有筛选器规则语法中的预览属性。

  8. 选择 下一步

  9. 在“作用域标记”(可选)中,分配一个标记以将配置文件筛选到特定 IT 组(如 US-NC IT TeamJohnGlenn_ITDepartment。 有关范围标记的详细信息,请转到 使用分布式 IT 的 RBAC 和范围标记

    选择 下一步

  10. “查看并创建”中查看设置。 选择“创建”时,将保存所做的更改。 筛选器已创建且已准备就绪,可供使用。 筛选器列表中也会显示该筛选器。

使用筛选器

创建筛选器后,可以在分配应用或策略时使用该筛选器。

  1. Intune管理中心,转到应用、合规性策略或配置文件。 有关支持内容的列表,请转到 创建筛选器时支持的工作负载。 选择现有策略或创建新策略。

    例如,选择“ 设备>符合性”,然后选择现有策略。 选择“属性”>“分配”>“编辑”

    显示如何选择策略或配置文件,以及如何在 Microsoft Intune 中编辑分配的屏幕截图。

  2. 将策略分配给用户组或设备组。

  3. 选择“编辑筛选器”。 选项包括:

    • 不应用筛选器:所有目标用户或设备都将接收应用或策略,而无需筛选。

    • 在分配中包含已筛选的设备:符合筛选条件的设备将接收应用或策略。 不匹配筛选条件的设备将不接收应用或策略。

      将显示与策略平台匹配的筛选器列表。

    • 在分配中排除已筛选的设备:符合筛选条件的设备将不接收应用或策略。 不匹配筛选条件的设备将接收应用或策略。

      将显示与策略平台匹配的筛选器列表。

  4. 选择现有筛选器 >“选择”。

    例如,选择“在分配中包括已筛选的设备”,然后选择筛选器

    显示如何在 Microsoft Intune 中分配策略时包含筛选器的屏幕截图。

  5. 若要保存更改,请选择“查看 + 保存”>“保存”

当设备使用 Intune 服务签入时,将评估筛选器中定义的属性,并确定是否应用应用或策略。

筛选现有筛选器

创建筛选器后,可以按平台和配置文件类型 (托管设备托管应用) 筛选现有筛选器列表。

  1. Intune管理中心,选择“租户管理>筛选器”。 将显示所有筛选器的列表。

    还可以转到 “设备>筛选器”“应用>筛选器”。

  2. 选择 “添加筛选器”:

    显示如何添加筛选器以筛选Microsoft Intune中的现有筛选器列表的屏幕截图。

  3. 可以按筛选器 类型平台筛选列表:

    显示按Microsoft Intune中的平台和配置文件类型筛选现有筛选器列表的屏幕截图。

  4. 选择 “筛选器类型>”“应用”。 然后选择“托管设备”或“托管应用>应用”。 根据所选内容筛选筛选器列表。

    显示Microsoft Intune中托管设备筛选的筛选器列表的屏幕截图。

  5. 添加另一个筛选器,选择“ 平台>应用”。 从列表中选择平台,例如“Windows 10”和“应用>”。 根据所选内容筛选筛选器列表。

    显示Microsoft Intune中按平台筛选的筛选器列表的屏幕截图。

    显示筛选器的筛选列表以及Microsoft Intune中的所有可用平台选项的屏幕截图。

查看作业

将筛选器分配给策略后,可以看到使用该筛选器的所有策略。

  1. Intune管理中心,选择“租户管理>筛选器”。 将显示所有筛选器的列表。

    还可以转到 “设备>筛选器”“应用>筛选器”。

  2. 选择要查看 >“关联分配 ”选项卡的筛选器。

    该页显示使用该筛选器的所有应用和策略、接收筛选器分配的组,以及筛选模式 (“包括 ”或 “排除 ”) :

    显示Microsoft Intune中现有筛选器的关联分配选项卡的屏幕截图。

更改现有的筛选器

创建筛选器后,还可以对其进行更改或更新。

  1. Intune管理中心,选择“租户管理>筛选器”。 将显示所有筛选器的列表。

    还可以在设备>筛选器,或应用>筛选器中更新筛选器。

  2. 若要更新现有筛选器,请选择要更改的筛选器。 选择“规则”>“编辑”,然后进行更改

    显示如何更改或更新Microsoft Intune中的现有筛选器的屏幕截图。

  3. 若要保存更改,请选择“查看 + 保存”>“保存”

删除筛选器

  1. Intune管理中心,选择“租户管理>筛选器”。 将显示所有筛选器的列表。

    还可以在设备>筛选器,或应用>筛选器中删除筛选器。

  2. 选择筛选器旁边的省略号 (…),然后选择“删除”

    显示如何在 Microsoft Intune 中删除筛选器的屏幕截图。

若要删除筛选器,必须从所有策略分配中删除该筛选器。 否则,尝试删除筛选器时,将显示以下错误:

Unable to delete assignment filter – An assignment filter is associated with existing assignments. Delete all the assignments for the filter and try again.

后续步骤