Consigli sulle prestazioni per il raggruppamento, la destinazione e il filtro in ambienti di Microsoft Intune di grandi dimensioni
Quando si crea un criterio, è possibile usare i filtri per assegnare un criterio in base alle regole create. È possibile applicare filtri ai dispositivi registrati in Intune e alle app gestite da Intune. Per una panoramica dei filtri, vedere Usare i filtri durante l'assegnazione di app, criteri e profili in Microsoft Intune.
Quando si creano filtri, è necessario prendere in considerazione alcune raccomandazioni sulle prestazioni.
Questo articolo elenca e descrive le raccomandazioni per il raggruppamento, la destinazione e il filtro di Intune per i criteri e le app. L'obiettivo è aiutare a prendere decisioni di architettura e progettazione per le distribuzioni di Intune in ambienti di grandi dimensioni.
Queste raccomandazioni sulle prestazioni e la relativa implementazione possono essere diverse e dipendono dal proprio ambiente & altri fattori, tra cui gestibilità e semplicità.
Contenuto dell'articolo:
- Panoramica dei concetti relativi al raggruppamento e alla destinazione di Intune
- Ottenere alcuni consigli sulle prestazioni
Per indicazioni sui gruppi dinamici, vedere Creare regole più semplici ed efficienti per i gruppi dinamici in Microsoft Entra ID.
Panoramica dei concetti relativi al raggruppamento e alla destinazione di Intune
Verranno ora esaminate le funzionalità di raggruppamento, destinazione e filtro disponibili in Intune.
Gruppi di Microsoft Entra
Intune usa quasi esclusivamente i gruppi di Microsoft Entra per il raggruppamento e la destinazione. Quando si seleziona Gruppi nell'interfaccia di amministrazione di Microsoft Intune, si esaminano i gruppi di Microsoft Entra.
I gruppi di Microsoft Entra sono una parte importante di Intune perché questi gruppi sono:
- Oggetti usati per assegnare app, criteri e altri carichi di lavoro a utenti e dispositivi
- Usato per definire i dispositivi che gli amministratori possono visualizzare e gestire nell'interfaccia di amministrazione di Intune, ad esempio i gruppi di ambito nel controllo degli accessi in base al ruolo
Gruppi virtuali
Le assegnazioni Tutti gli utenti e Tutti i dispositivi sono gruppi "virtuali" di Intune. Questi gruppi virtuali sono disponibili per impostazione predefinita in tutti i tenant di Intune e non presentano alcun sovraccarico di gestione. Ad esempio, non è necessario creare o modificare le regole dell'ID Microsoft Entra per mantenere popolati i membri.
Anche i gruppi Tutti gli utenti e Tutti i dispositivi sono altamente scalabili e ottimizzati, soprattutto perché non devono essere sincronizzati da Microsoft Entra ID nello stesso modo degli altri gruppi.
Filtri
Dopo che l'app o i criteri sono stati assegnati a un ID o a un gruppo virtuale Microsoft Entra, è possibile usare i filtri per limitare l'ambito di assegnazione di queste app e criteri a gruppi di utenti o dispositivi specifici.
Il filtro filtra i dispositivi in (o fuori) di tale assegnazione in base alle proprietà del dispositivo.
Il filtro è una valutazione delle prestazioni elevate e dell'applicabilità a bassa latenza al momento del check-in del dispositivo senza la necessità di precomputare l'appartenenza al gruppo.
Consigli sulle prestazioni
Questa sezione include alcune raccomandazioni che possono migliorare le prestazioni durante l'assegnazione dei criteri in Microsoft Intune.
Queste raccomandazioni sono incentrate sul miglioramento delle prestazioni e sulla riduzione della latenza nell'assegnazione del carico di lavoro. Hanno l'impatto maggiore quando si lavora in ambienti di Intune di grandi dimensioni, ad esempio ambienti con >100.000 dispositivi. Queste raccomandazioni devono essere considerate con altri aspetti di progettazione, ad esempio gestibilità, facilità d'uso, amministrazione basata sui ruoli e semplicità.
Usare i gruppi virtuali predefiniti
FARE | NON |
---|---|
✅ Usare i gruppi virtuali Tutti gli utenti e Tutti i dispositivi invece di creare una versione personalizzata di tutti gli utenti/tutti i dispositivi usando i gruppi dinamici di Microsoft Entra. | ❌ Non creare gruppi dinamici "Tutti gli utenti" o "Tutti i dispositivi" per criteri e app destinati a Intune. |
I gruppi più grandi richiedono più tempo per sincronizzare gli aggiornamenti dell'appartenenza tra Microsoft Entra ID e Intune. Tutti gli utenti e Tutti i dispositivi sono in genere i gruppi più grandi disponibili. Se si assegnano carichi di lavoro di Intune a gruppi di Microsoft Entra di grandi dimensioni con molti utenti o dispositivi, i backlog di sincronizzazione possono verificarsi nell'ambiente di Intune. Questo backlog influisce sulle distribuzioni di criteri e app, che richiedono più tempo per raggiungere i dispositivi gestiti.
I gruppi predefiniti Tutti gli utenti e Tutti i dispositivi sono oggetti di raggruppamento solo in Intune che non esistono nell'ID Di Microsoft Entra. Non esiste una sincronizzazione continua tra Microsoft Entra ID e Intune. Quindi, l'appartenenza ai gruppi è immediata.
Nota
Per informazioni sugli intervalli di aggiornamento dei criteri di archiviazione di Intune, passare a Intervalli di aggiornamento dei criteri di Intune.
È anche possibile applicare questa ottimizzazione ad altri gruppi di grandi dimensioni e che cambiano di frequente, ad esempio "Tutti i dispositivi Windows" o "tutti i dispositivi iOS". Anziché creare e impostare come destinazione questi gruppi, usare i gruppi virtuali "Tutti gli utenti" o "Tutti i dispositivi" esistenti, poiché i criteri e le applicazioni di Intune sono automaticamente interessati dalla piattaforma.
Quando si usano gruppi molto grandi in Intune (oltre 100.000 membri), si prevede un ritardo iniziale nella destinazione. Esiste un processo di configurazione per la prima volta che si verifica tra Microsoft Entra ID e Intune. La prima sincronizzazione completa richiede sempre più tempo rispetto alle sincronizzazioni incrementali successive.
Riutilizzare i gruppi
FARE | NON |
---|---|
✅ Riutilizzare gli stessi oggetti gruppo per l'assegnazione di più criteri. |
❌ Non creare copie duplicate dello stesso gruppo per definire criteri diversi. ❌ Non creare "gruppi di app" o "gruppi di criteri" dedicati. |
Dietro le quinte, Intune converte i membri del gruppo Microsoft Entra in messaggi di assegnazione destinati a ogni utente e dispositivo. Questo processo è altamente ottimizzato quando gli oggetti gruppo sono uguali.
Ad esempio, il raggruppamento e la destinazione di Intune funzionano meglio quando il gruppo di utenti "Engineering" è destinato a 10 criteri. Non funziona meglio quando gli utenti di Progettazione sono membri di 10 gruppi diversi, con ogni gruppo assegnato a un criterio diverso.
Sono stati visualizzati alcuni progetti che non usano queste linee guida. Ad esempio, gli amministratori IT creano un gruppo "Install_Edge", creano un gruppo "Deploy_Edge_Config_Policy" e quindi inseriscono gli stessi dispositivi in ogni gruppo, operazione non consigliata per le prestazioni.
Un modello simile e non consigliato è la creazione di "gruppi di app". Un gruppo di app è quando per ogni app sono stati creati diversi gruppi di Microsoft Entra. Ad esempio, per gestire l'applicazione Microsoft Edge, un amministratore crea i gruppi seguenti:
- Edge_Required
- Edge_Available
- Edge_Uninstall
L'amministratore aggiunge singoli utenti o dispositivi a questi gruppi. Questi gruppi di app aumentano notevolmente il numero di gruppi di Microsoft Entra che Intune deve sottoscrivere e monitorare per gli aggiornamenti dell'appartenenza, il che è meno efficiente. La progettazione inefficiente della sincronizzazione dei gruppi influisce sulla velocità con cui vengono create e recapitate nuove assegnazioni ai dispositivi.
Apportare modifiche incrementali ai gruppi
FARE | NON |
---|---|
✅ Prestare attenzione alle modifiche di annidamento di gruppi di grandi dimensioni in Microsoft Entra ID. | ❌ Non apportare modifiche all'annidamento di gruppi di grandi dimensioni contemporaneamente. |
Una modifica di appartenenza a gruppi di grandi dimensioni nell'ID Di ingresso Microsoft può generare picchi di modifiche di destinazione in Intune. Questi burst possono ritardare la destinazione di altre assegnazioni nell'ambiente.
Se un set di amministratori gestisce i gruppi e un altro set gestisce l'ID Microsoft Entra, è necessario comunicare l'impatto che le modifiche all'ID di Microsoft Entra possono avere sulla destinazione di Intune.
Ad esempio, se un amministratore di Microsoft Entra annida nuovi gruppi di grandi dimensioni all'interno di un gruppo esistente usato da Intune per la destinazione, Intune inizia a sincronizzare tutti i gruppi e le appartenenze ai gruppi. Il tempo necessario per elaborare tutte le appartenenze dipende dal numero e dalle dimensioni delle modifiche apportate al gruppo in Microsoft Entra ID.
Questa raccomandazione si applica anche quando i gruppi sono "non annidati". Per altre informazioni sui gruppi annidati, vedere Gestire i gruppi di Microsoft Entra e l'appartenenza ai gruppi.
Usare i filtri per includere ed escludere
FARE | NON |
---|---|
✅ Usare i filtri per ottenere la combinazione utente e dispositivo corretta per la destinazione. | ❌ Non combinare gruppi di utenti e gruppi di dispositivi quando si usano i gruppi di inclusione ed esclusione. |
Questa raccomandazione è anche un'istruzione di supporto. Non è consigliabile o supportare la creazione di assegnazioni ai gruppi di utenti ed esclusione di un gruppo di dispositivi da tale assegnazione o viceversa.
Questa raccomandazione esiste a causa della caratteristica di intervallo/latenza dei gruppi dinamici. L'appartenenza ai gruppi esclusi non è immediata, il che può comportare casi in cui i dispositivi ricevono erroneamente assegnazioni di app o criteri. Per altre informazioni, vedere Assegnare criteri e profili - matrice di supporto.
Anziché esclusioni miste, è consigliabile assegnare a un gruppo di utenti. Usare quindi i filtri per includere o escludere dinamicamente i dispositivi appropriati.
Riepilogo
Quando si creano e si gestiscono le assegnazioni in Intune, incorporare alcuni di questi consigli. Usare gruppi o gruppi virtuali e applicare filtri per ottimizzare l'ambito di destinazione. Tenere presenti le procedure consigliate:
- Non creare una versione personalizzata dei gruppi "Tutti gli utenti" o "Tutti i dispositivi". Usare i gruppi virtuali di Intune, in quanto non richiedono la sincronizzazione dell'ID di Microsoft Entra quando un nuovo utente o dispositivo viene aggiunto all'ambiente.
- Per ottimizzare la destinazione, riutilizzare il più possibile i gruppi.
- Prestare attenzione quando si apportano modifiche di annidamento di grandi dimensioni ai gruppi di Intune. Intune deve elaborare tutte queste modifiche e calcolare le modifiche effettive per tutti i membri di tutti i gruppi interessati da tale modifica.
- Intune non supporta le esclusioni di gruppi misti. Usare quindi i filtri per includere ed escludere in modo dinamico i dispositivi oltre alle assegnazioni di gruppi o gruppi virtuali.