大規模なMicrosoft Intune環境でのグループ化、ターゲット設定、フィルター処理のパフォーマンスに関する推奨事項
ポリシーを作成するときに、 フィルター を使用して、作成したルールに基づいてポリシーを割り当てることができます。 Intune登録済みデバイスとIntuneマネージド アプリにフィルターを適用できます。 フィルターの概要については、「Microsoft Intuneでアプリ、ポリシー、プロファイルを割り当てるときにフィルターを使用する」を参照してください。
フィルターを作成するときは、いくつかのパフォーマンスに関する推奨事項を考慮する必要があります。
この記事では、ポリシーとアプリのIntuneグループ化、ターゲット設定、フィルター処理に関する推奨事項の一覧と説明を行います。 目標は、大規模な環境でのIntuneデプロイのアーキテクチャと設計に関する意思決定を支援することです。
これらのパフォーマンスに関する推奨事項とその実装は異なる場合があり、管理性やシンプルさなど、独自の環境 & 他の要因に依存します。
この記事の内容:
- Intuneグループ化とターゲット設定の概念の概要を確認する
- パフォーマンスに関するいくつかの推奨事項を取得する
動的グループに関するガイダンスについては、「Microsoft Entra IDでの動的グループのよりシンプルで効率的なルールの作成」を参照してください。
Intuneグループ化とターゲット設定の概念の概要
Intuneで使用できるグループ化、ターゲット設定、フィルター処理機能を確認しましょう。
Microsoft Entra グループ
Intuneグループ化とターゲット設定にMicrosoft Entraグループをほぼ排他的に使用します。 Microsoft Intune管理センターで [グループ] を選択すると、Microsoft Entra グループが表示されます。
Microsoft Entra グループは、Intuneの重要な部分です。これらのグループは次のとおりです。
- アプリ、ポリシー、およびその他のワークロードをユーザーとデバイスに割り当てるために使用されるオブジェクト
- 役割ベースのアクセス制御 (RBAC) のスコープ グループなど、管理者がIntune管理センターで表示および管理できるデバイスを定義するために使用されます
仮想グループ
すべてのユーザーとすべてのデバイスの割り当ては、"仮想" グループIntuneされます。 これらの仮想グループは、すべてのIntuneテナントで既定で使用でき、管理オーバーヘッドはありません。 たとえば、メンバーの設定を維持するために、Microsoft Entra IDルールを作成または調整する必要はありません。
[すべてのユーザー] グループと [すべてのデバイス] グループも、他のグループと同じ方法でMicrosoft Entra IDから同期する必要がないため、非常にスケーラブルで最適化されています。
フィルター
アプリまたはポリシーがMicrosoft Entra IDまたは仮想グループに割り当てられた後、フィルターを使用して、これらのアプリとポリシーの割り当てスコープを特定のユーザーまたはデバイス グループに絞り込むことができます。
フィルターは、デバイスのプロパティに基づいて、その割り当てのデバイスをフィルター処理 (または除外) します。
フィルター処理は、グループ メンバーシップを事前に計算することなく、デバイス チェックインでの高パフォーマンス、低待機時間の適用性評価です。
パフォーマンスに関する推奨事項
このセクションには、Microsoft Intuneでポリシーを割り当てるときにパフォーマンスを向上させる推奨事項がいくつか含まれています。
これらの推奨事項は、パフォーマンスの向上とワークロード割り当ての待機時間の短縮に焦点を当てています。 >100,000 台のデバイスを持つ環境など、大規模なIntune環境で作業する場合に最も影響を与えます。 これらの推奨事項は、管理容易性、使いやすさ、ロールベースの管理、シンプルさなど、他の設計面で考慮する必要があります。
組み込みの仮想グループを使用する
| する | できません |
|---|---|
| ✅動的グループを使用して、すべてのユーザー/すべてのデバイスの独自のバージョンを作成する代わりに、[すべてのユーザー] と [すべてのデバイス] 仮想グループMicrosoft Entra使用します。 | ❌Intuneでポリシーとアプリのターゲット設定を行う独自の "すべてのユーザー" または "すべてのデバイス" 動的グループを作成しないでください。 |
グループが大きくなると、Microsoft Entra IDとIntuneの間でメンバーシップの更新が同期されるまでに時間がかかります。 [すべてのユーザー] と [すべてのデバイス] は、通常、持っている最大のグループです。 多数のユーザーまたはデバイスを持つ大規模なMicrosoft Entra グループにIntuneワークロードを割り当てると、Intune環境で同期バックログが発生する可能性があります。 このバックログは、ポリシーとアプリのデプロイに影響します。これは、マネージド デバイスに到達するまでに時間がかかります。
Microsoft EntraからIntuneへの更新は、通常、5 分以内に行われます。 インスタントではありません。 この時間は、登録の割り当てに影響する可能性があります。 管理者は、登録ユーザーをグループに追加した直後ではなく、数分後にデバイスを登録する必要があります。
組み込みの [すべてのユーザー] グループと [すべてのデバイス] グループは、Microsoft Entra IDに存在しないIntuneのみのグループ化オブジェクトです。 Microsoft Entra IDとIntuneの間に継続的な同期はありません。 そのため、グループ メンバーシップは即座に行えます。
注:
Intune チェックポリシー更新間隔の詳細については、「ポリシー更新間隔のIntune」を参照してください。
この最適化は、"すべての Windows デバイス" や "すべての iOS デバイス" など、頻繁に変化する他のグループにも適用できます。 これらのグループを作成して対象にするのではなく、既存の "すべてのユーザー" または "すべてのデバイス" 仮想グループを使用します。Intuneポリシーとアプリケーションのスコープはプラットフォームによって自動的に設定されるためです。
Intuneで非常に大きなグループ (100,000 人以上のメンバー) を使用する場合、ターゲット設定に初期遅延が発生する可能性があります。 Microsoft Entra IDとIntuneの間で初めてセットアップ プロセスが行われます。 最初の完全同期は、常に後続の増分同期よりも長くかかります。
グループを再利用する
| する | できません |
|---|---|
| ✅ 複数のポリシーを割り当てるために同じグループ オブジェクトを再利用します。 |
❌ 同じグループの重複コピーを作成して、異なるポリシーをターゲットにしないでください。 ❌ 専用の "アプリ グループ" または "ポリシー グループ" を作成しないでください。 |
バックグラウンドでは、Intune Microsoft Entraグループ メンバーを各ユーザーとデバイスの割り当て対象メッセージに変換します。 このプロセスは、グループ オブジェクトが同じ場合に高度に最適化されます。
たとえば、Intuneグループ化とターゲット設定は、"エンジニアリング" ユーザー グループが 10 個のポリシーを対象としている場合に最適です。 エンジニアリング ユーザーが 10 個の異なるグループのメンバーであり、各グループが異なるポリシーに割り当てられている場合は、最適に機能しません。
このガイダンスを使用していないデザインがいくつか見られました。 たとえば、IT 管理者は "Install_Edge" グループを作成し、"Deploy_Edge_Config_Policy" グループを作成してから、各グループに同じデバイスを配置します。これはパフォーマンスには推奨されません。
同様で推奨されないパターンは、"アプリ グループ" を作成することです。 アプリ グループは、各アプリに複数のMicrosoft Entra グループが作成されている場合です。 たとえば、Microsoft Edge アプリケーションを管理するために、管理者は次のグループを作成します。
- Edge_Required
- Edge_Available
- Edge_Uninstall
管理者は、これらのグループに個々のユーザーまたはデバイスを追加します。 これらのアプリ グループは、メンバーシップの更新をサブスクライブして監視Intune必要があるMicrosoft Entra グループの数を大幅に増やします。これは効率が低くなります。 非効率的なグループ同期設計は、新しい割り当てを作成してデバイスに配信する速度に影響します。
グループの増分変更を行う
| する | できません |
|---|---|
| ✅Microsoft Entra IDでの大きなグループの入れ子の変更には注意してください。 | ❌ 大規模なグループの入れ子に変更を一度に加えないでください。 |
Microsoft Entra IDでの大規模なグループ メンバーシップの変更により、Intuneでターゲット設定の変更がバーストされる可能性があります。 これらのバーストにより、環境内の他の割り当てのターゲット設定が遅延する可能性があります。
一連の管理者がグループを管理し、別のセットがMicrosoft Entra IDを管理する場合は、Intuneターゲットに対する変更Microsoft Entra ID影響を伝える必要があります。
たとえば、Microsoft Entra管理者が、ターゲット設定に使用Intune既存のグループ内の新しい大きなグループを入れ子にした場合、Intuneはすべてのグループとグループ メンバーシップの同期を開始します。 すべてのメンバーシップの処理にかかる時間は、Microsoft Entra IDで行われたグループの変更の数とサイズによって異なります。
この推奨事項は、グループが "未承認" である場合にも適用されます。 入れ子になったグループの詳細については、「Microsoft Entra グループとグループ メンバーシップの管理」を参照してください。
フィルターを使用して含める/除外する
| する | できません |
|---|---|
| ✅ フィルターを使用して、ターゲット設定に適したユーザーとデバイスの組み合わせを実現します。 | ❌ [グループを含める] と [除外] を使用する場合は、ユーザー グループとデバイス グループを混在させないでください。 |
この推奨事項は、サポート ステートメントでもあります。 ユーザー グループへの割り当ての作成と、その割り当てからのデバイス グループの除外、またはその逆の作成は推奨またはサポートされていません。
この推奨事項は、動的グループのタイミング/待機時間特性が原因で存在します。 除外されたグループ のメンバーシップがすぐには発生しないため、デバイスがアプリまたはポリシーの割り当てを誤って受け取る場合があります。 詳細については、「 ポリシーとプロファイルの割り当て - サポート マトリックス」を参照してください。
混合除外の代わりに、ユーザー グループに割り当てることをお勧めします。 次に、フィルターを使用して、適切なデバイスを動的に含めるか除外します。
概要
Intuneで割り当てを作成して管理する場合は、これらの推奨事項の一部を組み込みます。 グループまたは仮想グループを使用し、フィルターを適用してターゲット 範囲を絞り込みます。 ベスト プラクティスに留意してください。
- 独自のバージョンの "すべてのユーザー" または "すべてのデバイス" グループを作成しないでください。 Intune仮想グループは、新しいユーザーまたはデバイスが環境に追加されたときに同期Microsoft Entra ID必要がないため、使用します。
- ターゲット設定を最適化するには、グループを可能な限り再利用します。
- Intune グループに大きな入れ子の変更を加える場合は注意してください。 Intuneは、これらすべての変更を処理し、その変更の影響を受けるすべてのグループのすべてのメンバーに対して有効な変更を計算する必要があります。
- Intuneでは、混合グループの除外はサポートされていません。 そのため、フィルターを使用して、グループまたは仮想グループの割り当てに加えて、デバイスを動的に含めたり除外したりします。