在大型 Microsoft Intune 環境中分組、設定目標和篩選的效能建議
當您建立原則時,可以使用 篩選 條件,根據您建立的規則來指派原則。 您可以將篩選套用至 Intune 註冊的裝置和 Intune 管理的應用程式。 如需篩選的概觀,請移至在 Microsoft Intune 中指派應用程式、原則和配置檔時使用篩選。
當您建立篩選時,您應該考慮一些效能建議。
本文列出並說明針對您的原則和應用程式 Intune 群組、目標設定和篩選的建議。 目標是協助您針對大型環境中的 Intune 部署做出架構和設計決策。
這些效能建議及其實作可能不同,而且取決於您自己的環境 & 其他因素,包括管理性和簡單性。
本文內容:
- 取得 Intune 群組和目標概念的概觀
- 取得一些效能建議
如需動態群組的指引,請移至在 Microsoft Entra ID 中為動態群組建立更簡單、更有效率的規則。
Intune 群組和目標概念的概觀
讓我們檢閱 Intune 中可用的群組、目標和篩選功能。
Microsoft Entra 群組
Intune 幾乎完全使用 Microsoft Entra 群組來分組和設定目標。 當您在 Microsoft Intune 系統管理中心選取 群組 時,您會看到 Microsoft Entra 群組。
Microsoft Entra 群組是 Intune 的重要部分,因為這些群組包括:
- 物件,用於將應用程式、原則和其他工作負載指派給使用者和裝置
- 用來定義系統管理員可以在 Intune 系統管理中心檢視和管理的裝置,例如角色型訪問控制中的範圍群組 (RBAC)
虛擬群組
[所有使用者] 和 [所有裝置] 指派都 Intune「虛擬」群組。 這些虛擬群組預設會在所有 Intune 租使用者中使用,而且不會產生任何管理額外負荷。 例如,您不需要建立或調整任何 Microsoft Entra ID 規則,即可填入其成員。
[所有使用者] 和 [所有裝置] 群組也具有高度擴充性和優化功能,主要原因是不需要像其他群組一樣,從 Microsoft Entra ID 進行同步處理。
篩選
將應用程式或原則指派給 Microsoft Entra ID 或虛擬群組之後,您可以使用篩選條件將這些應用程式和原則的指派範圍縮小到特定使用者或裝置群組。
您的篩選器會根據裝置屬性,篩選 (或) 該指派的裝置。
在裝置簽入時,篩選是高效能、低延遲的適用性評估,不需要預先計算群組成員資格。
效能建議
本節包含一些建議,可改善在 Microsoft Intune 中指派原則時的效能。
這些建議著重於改善效能並減少工作負載指派的延遲。 在大型 Intune 環境中工作時,它們的影響最大,例如具有>100,000部裝置的環境。 這些建議應該與其他設計層面一起考慮,例如管理性、易用性、角色型系統管理,以及簡單性。
使用內建虛擬群組
做 | 不要 |
---|---|
✅使用 [所有使用者] 和 [所有裝置] 虛擬群組,而不是使用 Microsoft Entra 動態群組建立您自己的所有使用者/所有裝置版本。 | ❌請勿為 Intune 中的原則和應用程式建立您自己的「所有使用者」或「所有裝置」動態群組。 |
較大的群組需要較長的時間來同步處理 Microsoft Entra ID 與 Intune 之間的成員資格更新。 [所有使用者] 和 [所有裝置] 通常是您擁有的最大群組。 如果您將 Intune 工作負載指派給具有許多使用者或裝置的大型 Microsoft Entra 群組,則同步處理待辦專案可能會在您的 Intune 環境中發生。 此待辦專案會影響原則和應用程式部署,需要較長的時間才能連線到受控裝置。
從 Microsoft Entra 到 Intune的更新通常會在 5 分鐘內發生。 它不是立即的。 這次可能會影響註冊指派。 系統管理員應該在幾分鐘后註冊裝置,而不是在將註冊的使用者新增至群組之後立即註冊裝置。
內建的 [所有使用者] 和 [所有裝置] 群組都是 Intune 不存在於 Microsoft Entra ID 中的僅限群組物件。 Microsoft Entra ID 與 Intune 之間沒有連續同步。 因此,群組成員資格是即時的。
注意事項
如需 Intune 簽入原則重新整理間隔的資訊,請移至 Intune 原則重新整理間隔。
您也可以將此優化套用至您可能擁有的其他大型且經常變更的群組,例如「所有 Windows 裝置」或「所有 iOS 裝置」。 請使用現有的「所有使用者」或「所有裝置」虛擬群組,而不是建立和鎖定這些群組,因為 Intune 原則和應用程式會自動依平臺設定範圍。
在 Intune 中使用非常大的群組時, (超過 100,000 個成員) ,預期目標設定會有一些初始延遲。 第一次設定程式會在 Microsoft Entra ID 與 Intune 之間發生。 第一個完整同步處理一律會比後續的累加式同步處理花費更長的時間。
重複使用群組
做 | 不要 |
---|---|
✅ 重複使用相同的群組物件來指派多個原則。 |
❌ 請勿建立相同群組的重複復本,以以不同的原則為目標。 ❌ 請勿建立專用的「應用程式群組」或「原則群組」。 |
在幕後,Intune 將 Microsoft Entra 群組成員轉換為每個使用者和裝置的指派目標訊息。 當群組物件相同時,此程式會高度優化。
例如,當「工程」使用者群組以10個原則為目標時,Intune群組和目標最適合使用。 當工程使用者是 10 個不同群組的成員,且每個群組都指派給不同的原則時,其效果並不最佳。
我們已看到一些設計未使用此指導方針。 例如,IT 系統管理員會建立「Install_Edge」群組、建立「Deploy_Edge_Config_Policy」群組,然後在每個群組中放置相同的裝置,不建議用於效能。
建立「應用程式群組」是類似且不建議的模式。 應用程式群組是在每個應用程式都有數個為其建立 Microsoft Entra 群組時。 例如,若要管理 Microsoft Edge 應用程式,系統管理員會建立下列群組:
- Edge_Required
- Edge_Available
- Edge_Uninstall
系統管理員會將個別使用者或裝置新增至這些群組。 這些應用程式群組會大幅增加 Intune 必須訂閱和監視成員資格更新的 Microsoft Entra 群組數目,這會降低效率。 效率不佳的群組同步設計會影響新指派建立和傳遞至裝置的速度。
進行累加式群組變更
做 | 不要 |
---|---|
✅請小心處理 Microsoft Entra ID 中的大型群組巢狀變更。 | ❌ 請勿一次進行大型群組巢狀變更。 |
Microsoft Entra ID 中的大型群組成員資格變更可能會在 Intune 中產生大量的目標變更。 這些高載可能會延遲您環境中其他指派的目標。
如果一組系統管理員管理您的群組,而另一組管理 Microsoft Entra ID,則您應該傳達變更對目標 Intune Microsoft Entra ID 影響。
例如,如果 Microsoft Entra 系統管理員在 Intune 用於目標的現有群組內巢狀新的大型群組,則 Intune 會開始同步處理所有群組和群組成員資格。 處理所有成員資格所需的時間取決於在 Microsoft Entra ID 中所做的群組變更數目和大小。
此建議也適用於群組「未標示」時。 如需巢狀群組的詳細資訊,請移至管理 Microsoft Entra 群組和群組成員資格。
使用篩選條件來包含和排除
做 | 不要 |
---|---|
✅ 使用篩選條件來達成正確的使用者+裝置組合以進行目標設定。 | ❌ 使用 Include 和 Exclude 群組時,請勿混用使用者群組和裝置群組。 |
此建議也是支持聲明。 我們不建議或支援建立指派給使用者群組,並將裝置群組從該指派中排除,反之亦然。
這項建議是因為動態群組的計時/延遲特性而存在。 排除的群組 成員資格不是即時的,這可能會導致裝置不正確地接收應用程式或原則指派的情況。 若要深入瞭解,請移至 指派原則和配置檔 - 支援矩陣。
建議您指派給使用者群組,而不是混合排除專案。 然後,使用篩選以動態方式包含或排除適當的裝置。
摘要
在 Intune 中建立和管理指派時,請納入其中一些建議。 使用群組或虛擬群組,並套用篩選來協助縮小目標範圍。 請記住最佳做法:
- 請勿建立您自己的「所有使用者」或「所有裝置」群組版本。 使用 Intune 虛擬群組,因為當新使用者或裝置新增至環境時,不需要 Microsoft Entra ID 同步處理。
- 若要將目標優化,請盡可能重複使用群組。
- 對 Intune 群組進行大型巢狀變更時,請小心。 Intune 必須處理所有這些變更,並計算所有受該變更影響之群組成員的有效變更。
- Intune 不支援混合群組排除專案。 因此,除了群組或虛擬群組指派之外,請使用篩選以動態方式包含和排除裝置。