Recomendações de desempenho para agrupamento, filtragem e filtragem em ambientes grandes do Microsoft Intune

Quando cria uma política, pode utilizar filtros para atribuir uma política com base nas regras que criar. Pode aplicar filtros a dispositivos inscritos no Intune e a aplicações geridas pelo Intune. Para obter uma descrição geral dos filtros, aceda a Utilizar filtros ao atribuir as suas aplicações, políticas e perfis no Microsoft Intune.

Quando cria filtros, existem algumas recomendações de desempenho que deve considerar.

Este artigo lista e descreve recomendações para agrupamento, filtragem e filtragem do Intune para as suas políticas e aplicações. O objetivo é ajudá-lo a tomar decisões de arquitetura e conceção para implementações do Intune em ambientes grandes.

Estas recomendações de desempenho e a respetiva implementação podem ser diferentes e depender do seu próprio ambiente & outros fatores, incluindo capacidade de gestão e simplicidade.

Neste artigo:

  • Obter uma descrição geral dos conceitos de agrupamento e filtragem do Intune
  • Obter algumas recomendações de desempenho

Para obter orientações sobre grupos dinâmicos, aceda a Criar regras mais simples e eficientes para grupos dinâmicos no Microsoft Entra ID.

Descrição geral dos conceitos de agrupamento e filtragem do Intune

Vamos rever as funcionalidades de agrupamento, filtragem e filtragem disponíveis no Intune.

Grupos do Microsoft Entra

O Intune utiliza quase exclusivamente grupos do Microsoft Entra para agrupamento e filtragem. Quando seleciona Grupos no centro de administração do Microsoft Intune, está a ver os grupos do Microsoft Entra.

Captura de ecrã que mostra o centro de administração, grupos e todos os grupos do Intune no Microsoft Intune.

Os grupos do Microsoft Entra são uma parte importante do Intune porque estes grupos são:

  • Os objetos utilizados para atribuir aplicações, políticas e outras cargas de trabalho a utilizadores e dispositivos
  • Utilizado para definir os dispositivos que os administradores podem ver e gerir no centro de administração do Intune, como grupos de âmbito no controlo de acesso baseado em funções (RBAC)

Grupos virtuais

Todas as atribuições de todos os utilizadores e todos os dispositivos são grupos "virtuais" do Intune. Estes grupos virtuais estão disponíveis por predefinição em todos os inquilinos do Intune e não têm qualquer sobrecarga de gestão. Por exemplo, não precisa de criar ou ajustar quaisquer regras de ID do Microsoft Entra para manter os membros preenchidos.

Os grupos Todos os utilizadores e Todos os dispositivos também são altamente dimensionáveis e otimizados, principalmente porque não precisam de ser sincronizados a partir do Microsoft Entra ID da mesma forma que os outros grupos.

Filtros

Depois de a aplicação ou política ser atribuída a um ID do Microsoft Entra ou grupo virtual, pode utilizar filtros para restringir o âmbito de atribuição destas aplicações e políticas a grupos de utilizadores ou dispositivos específicos.

O filtro filtra os dispositivos dentro (ou fora) dessa atribuição com base nas propriedades do dispositivo.

Captura de ecrã que mostra o centro de administração do Intune, os grupos do Microsoft Entra, os grupos virtuais e algumas propriedades de filtro no Microsoft Intune.

A filtragem é de elevado desempenho, avaliação de baixa latência de aplicabilidade no check-in do dispositivo sem necessidade de pré-conclusão da associação ao grupo.

Recomendações de desempenho

Esta secção inclui algumas recomendações que podem melhorar o desempenho ao atribuir as suas políticas no Microsoft Intune.

Estas recomendações focam-se em melhorar o desempenho e reduzir a latência na atribuição de cargas de trabalho. Têm mais impacto ao trabalhar em grandes ambientes do Intune, como ambientes com >100 000 dispositivos. Estas recomendações devem ser consideradas com outros aspetos de design, como capacidade de gestão, facilidade de utilização, administração baseada em funções e simplicidade.

Utilizar os grupos virtuais incorporados

DO NÃO
✅ Utilize os grupos virtuais Todos os utilizadores e Todos os dispositivos em vez de criar a sua própria versão de todos os utilizadores/todos os dispositivos através de grupos dinâmicos do Microsoft Entra. ❌ Não crie os seus próprios grupos dinâmicos "Todos os utilizadores" ou "Todos os dispositivos" para filtragem de políticas e aplicações no Intune.

Os grupos maiores demoram mais tempo a sincronizar as atualizações de associação entre o Microsoft Entra ID e o Intune. Normalmente, todos os utilizadores e todos os dispositivos são os maiores grupos que tem. Se atribuir cargas de trabalho do Intune a grandes grupos do Microsoft Entra que têm muitos utilizadores ou dispositivos, os registos de tarefas pendentes de sincronização podem ocorrer no seu ambiente do Intune. Este registo de tarefas pendentes afeta as implementações de políticas e aplicações, que demoram mais tempo a chegar aos dispositivos geridos.

Os grupos Todos os utilizadores e Todos os dispositivos incorporados são objetos de agrupamento apenas do Intune que não existem no Microsoft Entra ID. Não existe uma sincronização contínua entre o Microsoft Entra ID e o Intune. Assim, a associação a grupos é instantânea.

Observação

Para obter informações sobre os intervalos de atualização da política de entrada do Intune, aceda a Intervalos de atualização da Política do Intune.

Também pode aplicar esta otimização a outros grupos grandes e frequentemente alterados que possa ter, como "Todos os dispositivos Windows" ou "todos os dispositivos iOS". Em vez de criar e filtrar estes grupos, utilize os grupos virtuais "Todos os utilizadores" ou "Todos os dispositivos" existentes, uma vez que as políticas e aplicações do Intune são automaticamente confinadas pela plataforma.

Ao utilizar grupos muito grandes no Intune (mais de 100 000 membros), espere algum atraso inicial na segmentação. Há um processo de configuração pela primeira vez que ocorre entre o Microsoft Entra ID e o Intune. A primeira sincronização completa demora sempre mais tempo do que as sincronizações incrementais subsequentes.

Reutilizar grupos

DO NÃO
✅ Reutilize os mesmos objetos de grupo para atribuir várias políticas. ❌ Não crie cópias duplicadas do mesmo grupo para direcionar políticas diferentes.

❌ Não crie "Grupos de aplicações" ou "Grupos de políticas" dedicados.

Nos bastidores, o Intune converte membros do grupo Microsoft Entra em mensagens direcionadas para cada utilizador e dispositivo. Este processo é altamente otimizado quando os objetos de grupo são os mesmos.

Por exemplo, o agrupamento e a segmentação do Intune funcionam melhor quando o grupo de utilizadores "Engenharia" é direcionado com 10 políticas. Não funciona melhor quando os utilizadores de Engenharia são membros de 10 grupos diferentes, com cada grupo atribuído a uma política diferente.

Vimos alguns designs não utilizarem esta documentação de orientação. Por exemplo, os administradores de TI criam um grupo "Install_Edge", criam um grupo "Deploy_Edge_Config_Policy" e, em seguida, colocam os mesmos dispositivos em cada grupo, o que não é recomendado para o desempenho.

Um padrão semelhante e não recomendado é a criação de "Grupos de aplicações". Um grupo de aplicações é quando cada aplicação tem vários grupos do Microsoft Entra criados para o mesmo. Por exemplo, para gerir a aplicação Microsoft Edge, um administrador cria os seguintes grupos:

  • Edge_Required
  • Edge_Available
  • Edge_Uninstall

O administrador adiciona utilizadores ou dispositivos individuais a estes grupos. Estes grupos de aplicações aumentam significativamente o número de grupos do Microsoft Entra que o Intune tem de subscrever e monitorizar para atualizações de associação, o que é menos eficiente. O design de sincronização de grupo ineficiente afeta a rapidez com que as novas atribuições são criadas e entregues aos dispositivos.

Efetuar alterações incrementais ao grupo

DO NÃO
✅ Tenha cuidado com as grandes alterações de aninhamento de grupos no ID do Microsoft Entra. ❌ Não faça alterações de aninhamento de grupos grandes de uma só vez.

Uma grande alteração de associação a grupos no ID do Microsoft Entra pode gerar picos de segmentação de alterações no Intune. Estas rajadas podem atrasar a filtragem de outras atribuições no seu ambiente.

Se um conjunto de administradores gerir os seus grupos e outro conjunto gerir o Microsoft Entra ID, deverá comunicar o impacto que as alterações do ID do Microsoft Entra podem ter na segmentação do Intune.

Por exemplo, se um administrador do Microsoft Entra aninhar novos grupos grandes dentro de um grupo existente que o Intune utiliza para filtragem, o Intune começa a sincronizar todos os grupos e associações a grupos. O tempo necessário para processar todas as associações depende do número e tamanho das alterações de grupo efetuadas no ID do Microsoft Entra.

Esta recomendação também se aplica quando os grupos são "unnested". Para obter mais informações sobre grupos aninhados, aceda a Gerir grupos do Microsoft Entra e associação a grupos.

Utilizar filtros para incluir e excluir

DO NÃO
✅ Utilize filtros para obter a combinação de utilizador+dispositivo correta para filtragem. ❌ Não misture grupos de utilizadores e grupos de dispositivos ao utilizar grupos Incluir e Excluir.

Esta recomendação também é uma declaração de suporte. Não recomendamos nem suportamos a criação de atribuições para grupos de utilizadores e a exclusão de um grupo de dispositivos dessa atribuição ou vice-versa.

Esta recomendação existe devido à característica de temporização/latência dos grupos dinâmicos. A associação a grupos excluídos não é instantânea, o que pode resultar em casos em que os dispositivos recebem atribuições de aplicações ou políticas incorretamente. Para compreender melhor, aceda a Atribuir políticas e perfis – matriz de suporte.

Em vez de exclusões mistas, recomendamos atribuir a um grupo de utilizadores. Em seguida, utilize filtros para incluir ou excluir dinamicamente os dispositivos adequados.

Resumo

Ao criar e gerir atribuições no Intune, incorpore algumas destas recomendações. Utilize grupos ou grupos virtuais e aplique filtros para ajudar a refinar o âmbito de filtragem. Tenha em atenção as melhores práticas:

  • Não crie a sua própria versão dos grupos "Todos os utilizadores" ou "Todos os dispositivos". Utilize os grupos virtuais do Intune, uma vez que não necessitam da sincronização do Microsoft Entra ID quando um novo utilizador ou dispositivo é adicionado ao ambiente.
  • Para otimizar a sua filtragem, reutilize os grupos o máximo possível.
  • Tenha cuidado ao fazer grandes alterações de aninhamento aos grupos do Intune. O Intune tem de processar todas estas alterações e calcular as alterações efetivas para todos os membros de todos os grupos afetados por essa alteração.
  • O Intune não suporta exclusões de grupos mistos. Por isso, utilize filtros para incluir e excluir dinamicamente dispositivos para além de atribuições de grupo ou grupo virtual.