了解以群組為基礎的原則管理
您可以根據使用者或裝置群組來管理裝置、應用程式和原則的指派。
您可以新增下列類型的群組:
- 指派群組:手動將使用者或裝置新增至靜態群組。
- 動態群組 (需要 Microsoft Entra ID P1 或 P2):根據您建立的運算式,將使用者或裝置自動新增至使用者群組或裝置群組。
裝置
若要讓裝置管理起來更便利,可使用 Microsoft Intune 裝置類別,自動根據所定義的類別將裝置新增至群組。
裝置類別會採取下列工作流程:
- 建立可供使用者在註冊裝置時選擇的類別。
- 當 iOS/iPadOS 和 Android 裝置的使用者註冊裝置時,他們必須從您設定的類別清單中選擇一個類別。 若要為 Windows 裝置指派類別,使用者必須使用公司入口網站。
- 接下來便可將原則和應用程式部署至這些群組。
您可以建立任何想要的裝置類別。 例如:
- 銷售點裝置
- 示範裝置
- Sales
- 會計
- 經理
您的裝置註冊之後,就會變成「受控裝置」。 您的組織可以透過行動裝置管理 (MDM) 提供者 (例如 Intune) 將原則和應用程式指派給裝置。
應用程式
將應用程式新增至 Microsoft Intune 之後,就可以將該應用程式指派給使用者和裝置。 請務必注意,無論裝置是否由 Intune 管理,您都可以將應用程式指派給裝置。
在 Intune 中,您可以指派使用者群組來包含和排除有權存取應用程式的人員。 將群組指派給應用程式之前,必須先設定應用程式的指派類型。 指派類型可讓應用程式變為「可用」或「必要」,或者解除安裝應用程式。
若要設定應用程式的可用性,您可以包含和排除對使用者或裝置群組的應用程式指派。 您可以使用包含和排除群組指派的組合來完成這項作業。 當您藉由包含大型群組讓應用程式可供使用時,此功能可能有其效用。 然後,藉由排除較小的群組,縮小選取的使用者範圍。 較小的群組可以是測試群組或執行群組。
最佳做法是,特別為使用者群組建立和指派應用程式,然後另外為裝置群組建立和指派應用程式。
例如,當您為使用者加上「管理員」頭銜時,使用者就會自動新增至所有管理員使用者群組中。 當某部裝置是 iOS/iPadOS 裝置的 OS 類型時,該裝置就會自動新增至所有 iOS/iPadOS 裝置群組。
將應用程式指派給 Intune 中的群組之後,您可以將應用程式的原則指派給使用者或裝置。
原則
您可以使用 Intune 將原則指派給群組。 當您指派原則時,您可以選擇要包含和要排除的人員。
使用者群組與裝置群組
許多使用者都會想知道使用者群組該在何時使用,何時又該使用裝置群組。 答案取決於您的目標。 以下指南可以幫助您快速上手:
裝置群組
如果想要在裝置上套用設定 (不論登入者是誰),請將設定檔指派給裝置群組。 套用至裝置群組的設定一律跟隨裝置,而非使用者。 裝置群組通常用於共用裝置和特殊化裝置。
例如:
- 裝置群組適合用來管理沒有專用使用者的裝置。 例如,假設您的某些裝置可以列印票據、掃描庫存、在輪班員工間共用資訊、將票據指派給特定倉儲,及執行其他作業。 請將這些裝置加入裝置群組,然後將設定檔指派給此裝置群組。
- 您建立了一個裝置韌體設定介面 (DFCI) Intune 設定檔,可用於更新 BIOS 中的設定。 舉例來說,可將此設定檔設為停用裝置的相機,或鎖定開機選項以防止使用者啟動另一個作業系統。 此設定檔是指派給裝置群組的好例子。
- 在特定的 Windows 裝置上,無論使用裝置的對象是誰,您想要一律控制 Microsoft Edge 的某些設定。 例如禁止所有下載、將所有 Cookie 限制在目前的瀏覽工作階段,以及刪除瀏覽歷程記錄。 在此案例中,請將這些 Windows 裝置放在同一個裝置群組中。 接著,在 Intune 中建立系統管理範本、新增這些裝置的設定,然後將此設定檔指派給裝置群組。
簡而言之,如果不在乎裝置登入人員的身分或是否有人登入,請使用裝置群組。 您希望設定一直保留在裝置上。
使用者群組
套用至使用者群組的設定檔設定會與使用者形影不離,隨著使用者一起登入諸多裝置。 使用者通常擁有許多裝置,例如一台工作用的 Surface Pro 和一台個人的 iOS/iPadOS 裝置。 使用者通常也會利用這些裝置來存取電子郵件和其他組織資源。 使用者群組通常用於資訊工作和知識工作者。
例如:
您想要將在所有使用者的全部裝置上放一個技術支援中心的圖示。 在此案例中,請將這些使用者放在使用者群組中,並將您的 [技術支援中心] 圖示設定檔指派給此使用者群組。
使用者會收到新的組織持有裝置。 使用者利用其網域帳戶登入該裝置。 裝置會自動在 Microsoft Entra ID 中註冊,並由 Intune 自動管理。 此設定檔是指派給使用者群組的好案例。
每當使用者登入裝置時,您都想要控制應用程式的功能,例如 OneDrive 或 Office。 在此案例中,請將您的 OneDrive 或 Office 設定檔設定指派給使用者群組。
例如,您想要封鎖 Office 應用程式中不受信任的 ActiveX 控制項。 您可以在 Intune 中建立系統管理範本、設定此設定,然後將此設定檔指派給使用者群組。
簡而言之,如果希望設定和規則能一直跟隨使用者 (無論使用何種裝置),請利用使用者群組。