Zalecenia dotyczące wydajności grupowania, określania wartości docelowej i filtrowania w dużych środowiskach usługi Microsoft Intune
Podczas tworzenia zasad można użyć filtrów do przypisania zasad na podstawie utworzonych reguł. Filtry można stosować do urządzeń zarejestrowanych w usłudze Intune i aplikacji zarządzanych przez usługę Intune. Aby zapoznać się z omówieniem filtrów, zobacz Używanie filtrów podczas przypisywania aplikacji, zasad i profilów w usłudze Microsoft Intune.
Podczas tworzenia filtrów należy wziąć pod uwagę pewne zalecenia dotyczące wydajności.
W tym artykule wymieniono i opisano zalecenia dotyczące grupowania, określania wartości docelowych i filtrowania w usłudze Intune dla zasad i aplikacji. Celem jest ułatwienie podejmowania decyzji dotyczących architektury i projektowania wdrożeń usługi Intune w dużych środowiskach.
Te zalecenia dotyczące wydajności i ich implementacja mogą być różne i zależą od własnego środowiska & innych czynników, w tym możliwości zarządzania i prostoty.
W tym artykule:
- Omówienie pojęć związanych z grupowaniem i określaniem wartości docelowej usługi Intune
- Uzyskiwanie pewnych zaleceń dotyczących wydajności
Aby uzyskać wskazówki dotyczące grup dynamicznych, zobacz Tworzenie prostszych i wydajniejszych reguł dla grup dynamicznych w identyfikatorze Microsoft Entra.
Omówienie pojęć dotyczących grupowania i określania wartości docelowej usługi Intune
Przejrzyjmy funkcje grupowania, określania wartości docelowej i filtrowania dostępne w usłudze Intune.
Grupy Microsoft Entra
Usługa Intune prawie wyłącznie używa grup Microsoft Entra do grupowania i określania wartości docelowej. Po wybraniu pozycji Grupy w centrum administracyjnym usługi Microsoft Intune przyjrzysz się grupom Entra firmy Microsoft.
Grupy Microsoft Entra są ważną częścią usługi Intune, ponieważ są to następujące grupy:
- Obiekty używane do przypisywania aplikacji, zasad i innych obciążeń do użytkowników i urządzeń
- Służy do definiowania urządzeń, które administratorzy mogą wyświetlać i zarządzać w centrum administracyjnym usługi Intune, takich jak grupy zakresów w kontroli dostępu opartej na rolach (RBAC)
Grupy wirtualne
Przypisania Wszyscy użytkownicy i Wszystkie urządzenia to grupy "wirtualne" usługi Intune. Te grupy wirtualne są domyślnie dostępne we wszystkich dzierżawach usługi Intune i nie mają żadnego obciążenia związanego z zarządzaniem. Na przykład nie trzeba tworzyć ani dostosowywać żadnych reguł identyfikatorów Entra firmy Microsoft, aby ich członkowie mogli być wypełniani.
Grupy Wszyscy użytkownicy i Wszystkie urządzenia są również wysoce skalowalne i zoptymalizowane, głównie dlatego, że nie muszą być synchronizowane z identyfikatorem Entra firmy Microsoft w taki sam sposób, jak inne grupy.
Filtry
Po przypisaniu aplikacji lub zasad do identyfikatora Entra firmy Microsoft lub grupy wirtualnej można użyć filtrów , aby zawęzić zakres przypisań tych aplikacji i zasad do określonych grup użytkowników lub urządzeń.
Filtr filtruje urządzenia w (lub na zewnątrz) tego przypisania na podstawie właściwości urządzenia.
Filtrowanie to ocena stosowania o wysokiej wydajności i małych opóźnieniach podczas ewidencjonowania urządzenia bez konieczności wstępnego kompilowania członkostwa w grupie.
Zalecenia dotyczące wydajności
Ta sekcja zawiera kilka zaleceń, które mogą zwiększyć wydajność podczas przypisywania zasad w usłudze Microsoft Intune.
Te zalecenia koncentrują się na poprawie wydajności i zmniejszeniu opóźnienia w przypisywaniu obciążenia. Mają one największy wpływ podczas pracy w dużych środowiskach usługi Intune, takich jak środowiska z >100 000 urządzeń. Zalecenia te powinny być uwzględniane w innych aspektach projektowania, takich jak łatwość zarządzania, łatwość użycia, administracja oparta na rolach i prostota.
Korzystanie z wbudowanych grup wirtualnych
| ROBIĆ | NIE |
|---|---|
| ✅ Użyj grup wirtualnych Wszyscy użytkownicy i Wszystkie urządzenia zamiast tworzyć własną wersję wszystkich użytkowników/wszystkich urządzeń przy użyciu grup dynamicznych Microsoft Entra. | ❌ Nie twórz własnych grup dynamicznych "Wszyscy użytkownicy" ani "Wszystkie urządzenia" dla zasad i aplikacji docelowych w usłudze Intune. |
Synchronizacja aktualizacji członkostwa między identyfikatorem Entra firmy Microsoft a usługą Intune trwa dłużej. Wszystkie użytkownicy i wszystkie urządzenia są zwykle największymi grupami, które masz. Jeśli przypiszesz obciążenia usługi Intune do dużych grup usługi Microsoft Entra, które mają wielu użytkowników lub urządzenia, w środowisku usługi Intune mogą wystąpić listy prac synchronizacji. Ta listę prac ma wpływ na wdrożenia zasad i aplikacji, które mogą trwać dłużej, aby dotrzeć do zarządzanych urządzeń.
Wbudowane grupy Wszyscy użytkownicy i Wszystkie urządzenia to obiekty grupujące tylko w usłudze Intune, które nie istnieją w identyfikatorze Microsoft Entra. Nie ma ciągłej synchronizacji między identyfikatorem Entra firmy Microsoft a usługą Intune. Dlatego członkostwo w grupie jest natychmiastowe.
Uwaga
Aby uzyskać informacje na temat interwałów odświeżania zasad ewidencjonowania w usłudze Intune, przejdź do tematu Interwały odświeżania zasad usługi Intune.
Tę optymalizację można również zastosować do innych dużych i często zmieniających się grup, takich jak "Wszystkie urządzenia z systemem Windows" lub "wszystkie urządzenia z systemem iOS". Zamiast tworzyć i kierować te grupy, użyj istniejących grup wirtualnych "Wszyscy użytkownicy" lub "Wszystkie urządzenia", ponieważ zasady i aplikacje usługi Intune są automatycznie objęte zakresem według platformy.
W przypadku korzystania z bardzo dużych grup w usłudze Intune (ponad 100 000 członków) należy spodziewać się początkowego opóźnienia w określaniu wartości docelowej. Proces konfiguracji odbywa się po raz pierwszy między identyfikatorem Entra firmy Microsoft a usługą Intune. Pierwsza pełna synchronizacja zawsze trwa dłużej niż kolejne synchronizacje przyrostowe.
Ponowne używanie grup
| ROBIĆ | NIE |
|---|---|
| ✅ Użyj ponownie tych samych obiektów grupy, aby przypisać wiele zasad. |
❌ Nie twórz zduplikowanych kopii tej samej grupy w celu kierowania różnych zasad. ❌ Nie twórz dedykowanych "grup aplikacji" ani "grup zasad". |
W tle usługa Intune konwertuje członków grupy Microsoft Entra na komunikaty dotyczące przypisywania dla każdego użytkownika i urządzenia. Ten proces jest wysoce zoptymalizowany, gdy obiekty grupy są takie same.
Na przykład grupowanie i określanie wartości docelowej usługi Intune działa najlepiej, gdy grupa użytkowników "Engineering" jest objęta 10 zasadami. Nie działa to najlepiej, gdy użytkownicy inżynieryjni są członkami 10 różnych grup, przy czym każda grupa jest przypisana do innych zasad.
Widzieliśmy kilka projektów, które nie korzystają z tych wskazówek. Na przykład administratorzy IT tworzą grupę "Install_Edge", tworzą grupę "Deploy_Edge_Config_Policy", a następnie umieszczają te same urządzenia w każdej grupie, co nie jest zalecane pod kątem wydajności.
Podobny i niezalecany wzorzec to tworzenie "grup aplikacji". Grupa aplikacji polega na tym, że każda aplikacja ma kilka utworzonych dla niej grup Microsoft Entra. Aby na przykład zarządzać aplikacją microsoft edge, administrator tworzy następujące grupy:
- Edge_Required
- Edge_Available
- Edge_Uninstall
Administrator dodaje poszczególnych użytkowników lub urządzenia do tych grup. Te grupy aplikacji znacznie zwiększają liczbę grup usługi Microsoft Entra, które usługa Intune musi subskrybować i monitorować pod kątem aktualizacji członkostwa, co jest mniej wydajne. Nieefektywny projekt synchronizacji grup wpływa na szybkość tworzenia i dostarczania nowych przypisań do urządzeń.
Wprowadzanie zmian w grupie przyrostowej
| ROBIĆ | NIE |
|---|---|
| ✅ Zachowaj ostrożność w przypadku dużych zmian zagnieżdżania grup w identyfikatorze Microsoft Entra. | ❌ Nie wprowadzaj zmian zagnieżdżania dużych grup jednocześnie. |
Duża zmiana członkostwa w grupie w identyfikatorze Entra firmy Microsoft może generować wzrosty wartości docelowych zmian w usłudze Intune. Te wybuchy mogą opóźnić określanie wartości docelowej innych przypisań w środowisku.
Jeśli zestaw administratorów zarządza twoimi grupami, a inny zestaw zarządza identyfikatorem Entra firmy Microsoft, należy przekazać wpływ zmian identyfikatora Entra firmy Microsoft na określanie wartości docelowej usługi Intune.
Jeśli na przykład administrator usługi Microsoft Entra zagnieżdża nowe duże grupy w istniejącej grupie używanej przez usługę Intune do określania wartości docelowej, usługa Intune rozpocznie synchronizowanie wszystkich grup i członkostwa w grupach. Czas potrzebny do przetworzenia wszystkich członkostw zależy od liczby i rozmiaru zmian w grupie wprowadzonych w identyfikatorze Entra firmy Microsoft.
To zalecenie ma również zastosowanie, gdy grupy są "niepotrzebne". Aby uzyskać więcej informacji na temat grup zagnieżdżonych, przejdź do tematu Zarządzanie grupami entra firmy Microsoft i członkostwem w grupach.
Używanie filtrów do dołączania i wykluczania
| ROBIĆ | NIE |
|---|---|
| ✅ Użyj filtrów, aby uzyskać poprawną kombinację użytkowników i urządzeń do określania wartości docelowej. | ❌ Nie mieszaj grup użytkowników i grup urządzeń podczas korzystania z grup Dołączanie i wykluczanie. |
To zalecenie jest również instrukcją pomocy technicznej. Nie zalecamy ani nie obsługujemy tworzenia przypisań do grup użytkowników i wykluczania grupy urządzeń z tego przypisania lub odwrotnie.
To zalecenie istnieje ze względu na charakterystykę chronometrażu/opóźnienia grup dynamicznych. Wykluczone członkostwo w grupach nie jest natychmiastowe, co może spowodować, że urządzenia niepoprawnie odbierają przypisania aplikacji lub zasad. Aby dowiedzieć się więcej, przejdź do tematu Przypisywanie zasad i profilów — macierz obsługi.
Zamiast mieszanych wykluczeń zalecamy przypisanie do grupy użytkowników. Następnie użyj filtrów, aby dynamicznie dołączać lub wykluczać odpowiednie urządzenia.
Podsumowanie
Podczas tworzenia przypisań i zarządzania nimi w usłudze Intune należy uwzględnić niektóre z tych zaleceń. Użyj grup lub grup wirtualnych i zastosuj filtry, aby ułatwić uściślanie zakresu określania wartości docelowej. Należy pamiętać o najlepszych rozwiązaniach:
- Nie twórz własnej wersji grup "Wszyscy użytkownicy" ani "Wszystkie urządzenia". Użyj grup wirtualnych usługi Intune, ponieważ nie wymagają one synchronizacji identyfikatora Entra firmy Microsoft po dodaniu nowego użytkownika lub urządzenia do środowiska.
- Aby zoptymalizować określanie wartości docelowej, należy jak najwięcej użyć grup ponownie.
- Należy zachować ostrożność podczas wprowadzania dużych zmian zagnieżdżania w grupach usługi Intune. Usługa Intune musi przetworzyć wszystkie te zmiany i obliczyć obowiązujące zmiany dla wszystkich członków wszystkich grup, których dotyczy ta zmiana.
- Usługa Intune nie obsługuje wykluczeń grup mieszanych. Dlatego użyj filtrów, aby dynamicznie dołączać i wykluczać urządzenia oprócz przypisań grup lub grup wirtualnych.