了解以群組為基礎的原則管理

您可以根據使用者或裝置群組來管理裝置、應用程式和原則的指派。

您可以新增下列類型的群組：

裝置

若要讓裝置管理起來更便利，可使用 Microsoft Intune 裝置類別，自動根據所定義的類別將裝置新增至群組。

裝置類別會採取下列工作流程：

建立可供使用者在註冊裝置時選擇的類別。
當 iOS/iPadOS 和 Android 裝置的使用者註冊裝置時，他們必須從您設定的類別清單中選擇一個類別。若要為 Windows 裝置指派類別，使用者必須使用公司入口網站。
接下來便可將原則和應用程式部署至這些群組。

您可以建立任何想要的裝置類別。例如：

您的裝置註冊之後，就會變成「受控裝置」。您的組織可以透過行動裝置管理 (MDM) 提供者 (例如 Intune) 將原則和應用程式指派給裝置。

將應用程式新增至 Microsoft Intune 之後，就可以將該應用程式指派給使用者和裝置。請務必注意，不論裝置是否由 Intune 管理，您都可以將應用程式指派給裝置。

在 Intune 中，您可以指派使用者群組來包含和排除有權存取應用程式的人員。將群組指派給應用程式之前，必須先設定應用程式的指派類型。指派類型可讓應用程式變為「可用」或「必要」，或者解除安裝應用程式。

若要設定應用程式的可用性，可以將包含和排除的群組指派搭配使用，針對使用者或裝置群組來包含和排除應用程式的指派。像是要包含大型群組讓應用程式可供使用，再排除較小的群組來限縮選取的使用者時，這項功能就十分有用。較小的群組可以是測試群組或執行群組。

最佳做法是，特別為使用者群組建立和指派應用程式，然後另外為裝置群組建立和指派應用程式。

例如，當您為使用者加上「管理員」頭銜時，使用者就會自動新增至所有管理員使用者群組中。當某部裝置是 iOS/iPadOS 裝置的 OS 類型時，該裝置就會自動新增至所有 iOS/iPadOS 裝置群組。

將應用程式指派給 Intune 中的群組之後，您可以將應用程式的原則指派給使用者或裝置。

您可以使用 Intune 將原則指派給群組。當您指派原則時，您可以選擇要包含和要排除的人員。

許多使用者會想知道使用者群組該在何時使用，何時又該使用裝置群組。答案取決於您的目標。以下指南可以幫助您快速上手：

如果想要在裝置上套用設定 (不論登入者是誰)，請將設定檔指派給裝置群組。套用至裝置群組的設定一律跟隨裝置，而非使用者。裝置群組通常用於共用裝置和特殊化裝置。

例如：

裝置群組適合用來管理沒有專用使用者的裝置。舉例來說，您擁有用來列印票據、掃描庫存目錄、由輪班員工共用、指派給特定倉儲等的裝置。請將這些裝置加入裝置群組，然後將設定檔指派給此裝置群組。
您建立了一個裝置韌體設定介面（DFCI） Intune 設定檔，可用於更新 BIOS 中的設定。舉例來說，可將此設定檔設為停用裝置的相機，或鎖定開機選項以防止使用者啟動另一個作業系統。此設定檔是指派給裝置群組的好例子。
在特定的 Windows 裝置上，無論使用裝置的對象是誰，您想要一律控制 Microsoft Edge 的某些設定。例如禁止所有下載、將所有 Cookie 限制在目前的瀏覽工作階段，以及刪除瀏覽歷程記錄。針對此案例，將這些特定 Windows 裝置加入裝置群組，接著在 Intune 中建立系統管理範本、新增這些裝置設定，然後將此設定檔指派給裝置群組。

簡而言之，如果不在乎裝置登入人員的身分或是否有人登入，請使用裝置群組。您希望設定一直保留在裝置上。

套用至使用者群組的設定檔設定會與使用者形影不離，隨著使用者一起登入諸多裝置。使用者通常擁有許多裝置，例如一台工作用的 Surface Pro 和一台個人的 iOS/iPadOS 裝置。使用者通常也會利用這些裝置來存取電子郵件和其他組織資源。使用者群組通常用於資訊工作和知識工作者。

例如：

您想要將在所有使用者的全部裝置上放一個技術支援中心的圖示。在此案例中，請將這些使用者放在使用者群組中，並將您的 [技術支援中心] 圖示設定檔指派給此使用者群組。
使用者會收到新的組織持有裝置。使用者利用其網域帳戶登入該裝置。裝置會自動在 Microsoft Entra ID 中註冊，並由 Intune 自動管理。此設定檔是指派給使用者群組的好案例。
每當使用者登入裝置時，您都想要控制應用程式的功能，例如 OneDrive 或 Office。在此案例中，請將您的 OneDrive 或 Office 設定檔設定指派給使用者群組。

例如，您想要封鎖 Office 應用程式中不受信任的 ActiveX 控制項。您可以在 Intune 中建立系統管理範本、設定此設定，然後將此設定檔指派給使用者群組。

簡而言之，如果希望設定和規則能一直跟隨使用者 (無論使用何種裝置)，請使用使用者群組。