Azure 门户中的 Microsoft Intune 经典组

我们已收到你的反馈，并已更改了你与 Microsoft Intune 中的组协作方式。 如果从Azure 门户使用 Intune，则 Intune 组已迁移到Microsoft Entra安全组。

好处是，你现在在所有企业移动性 + 安全性和Microsoft Entra应用中使用相同的组体验。 此外，可以使用 PowerShell 和图形 API来扩展和自定义此新功能。

Microsoft Entra安全组支持对用户和设备进行所有类型的 Intune 部署。 此外，可以使用Microsoft Entra动态组，这些组会根据提供的属性自动更新。 例如，可以创建一组运行 iOS 9 的设备。 每当运行 iOS 9 的设备注册时，设备都会自动显示在动态组中。

哪些不可用？

以前可能使用过的某些 Intune 组功能在Microsoft Entra ID 中不可用：

• “未组合的用户”和“未组合的设备”Intune 组不再可用。

• Azure 门户中不存在“从组中排除特定成员”选项。 但是，可以使用具有高级规则的Microsoft Entra安全组来复制此行为。 例如，若要创建一个高级规则，该规则将销售部门中的所有人员包含在安全组中，但排除其标题中带有“助手”一词的组，可以使用以下高级规则：

  (user.department -eq "Sales") -and -not (user.jobTitle -contains "Assistant").

• Intune 经典控制台中的“所有Exchange ActiveSync托管设备”组未迁移到Microsoft Entra ID。 但是，你仍然可以从Azure 门户访问有关 EAS 托管设备的信息。

如何开始？

• 阅读以下主题，了解Microsoft Entra安全组及其工作原理：
  • 使用Microsoft Entra组管理对资源的访问。
  • 管理Microsoft Entra ID 中的组。
  • 使用属性创建高级规则。
• 确保需要创建组的管理员已添加到 Intune 服务管理员Microsoft Entra角色。 Microsoft Entra服务管理员角色没有“管理组”权限。
• 如果 Intune 组使用了 “排除特定成员” 选项，请决定是否可以重新设计这些组而不使用排除项，或者是否需要高级规则来满足业务需求。

Intune 组发生了什么情况？

将组从 Azure 门户 中的 Azure 门户 迁移到 Intune 时，将应用以下规则：

Intune 中的组	Microsoft Entra ID 中的组
静态用户组	静态Microsoft Entra安全组
动态用户组	具有Microsoft Entra安全组层次结构的静态Microsoft Entra安全组
静态设备组	静态Microsoft Entra安全组
动态设备组	动态Microsoft Entra安全组
具有包含条件的组	静态Microsoft Entra安全组，其中包含 Intune 中包含条件中的任何静态或动态成员
具有排除条件的组	未迁移
内置组： - 所有用户 - 未组合的用户 - 所有设备 - 未组合的设备 - 所有计算机 - 所有移动设备 - 全 MDM 托管设备 - 所有 EAS 托管的设备	Microsoft Entra安全组

组层次结构

在 Intune 控制台中，所有组都有一个父组。 组只能包含其父组的成员。 在Microsoft Entra ID 中，子组可以包含不在父组中的成员。

组属性

属性是可用于定义组的设备属性。 下表介绍了这些条件如何迁移到Microsoft Entra安全组。

Intune 中的属性	Microsoft Entra ID 中的属性
设备组的组织单位 (OU) 属性	动态组的 OU 属性。
设备组的域名属性	动态组的域名属性。
安全组作为用户组的属性	组不能是Microsoft Entra动态查询中的属性。 动态组只能包含特定于用户或设备的属性。
用户组的 Manager 属性	动态组中 经理 属性的高级规则
父用户组中的所有用户	该组作为成员的静态组
父设备组中的所有移动设备	该组作为成员的静态组
由 Intune 管理的所有移动设备	管理类型属性，将“MDM”作为动态组的值
静态组中的嵌套组	静态组中的嵌套组
动态组中的嵌套组	具有一级嵌套的动态组

之前部署的策略和应用会发生什么情况？

策略和应用将继续部署到组，就像以前一样。 但是，现在从 Azure 门户（而不是 Intune 控制台）管理这些组。