Udostępnij przez

Organizowanie użytkowników i urządzeń w usłudze Microsoft Intune przy użyciu grup

Usługa Microsoft Intune używa grup zabezpieczeń z Microsoft Entra identyfikatora dla różnych potrzeb organizacji. Te potrzeby obejmują grupowanie użytkowników lub urządzeń według lokalizacji geograficznej, działu, cech sprzętu i innych. Aby obsługiwać korzystanie z grup Entra przez usługę Intune, centrum administracyjne usługi Intune zawiera interfejs użytkownika Entra Groups ze wszystkimi jego funkcjami. Wszystkie grupy wyświetlane w usłudze Entra i nowe grupy, które może utworzyć administrator usługi Intune, są widoczne w usłudze Intune, Entra i innych produktach, które współużytkują interfejs użytkownika Entra Groups, taki jak Microsoft 365.

Administratorzy usługi Intune używają dobrze zdefiniowanych grup podczas wdrażania zasad, wdrażania aplikacji i przypisywania uprawnień innych użytkowników administracyjnych, aby ułatwić administrowanie różnymi aspektami subskrypcji usługi Intune.

Ten artykuł koncentruje się na używaniu centrum administracyjnego usługi Intune do tworzenia grup do użycia z usługą Intune, w tym szczegółów dotyczących uprawnień wymaganych do zarządzania tymi grupami i korzystania z nich w centrum administracyjnym.

Więcej informacji na temat grup Microsoft Entra można znaleźć w dokumentacji entry.

Kontrola dostępu oparta na rolach do pracy z grupami

Domyślnie wszystkie konta użytkowników Microsoft Entra mają uprawnienia do tworzenia i konfigurowania nowych grup bez przypisywania roli kontroli dostępu opartej na rolach (RBAC) entra. Te uprawnienia obejmują korzystanie z węzła Grupy w centrum administracyjnym usługi Intune.

Tylko użytkownik, który utworzył grupę, użytkownicy przypisani jako właściciel, oraz użytkownicy, którzy mają wystarczające uprawnienia rbac entra do zarządzania grupami Entra, mogą edytować właściwości grupy. Inni użytkownicy bez uprawnień do edytowania grupy mogą wyświetlać jej członkostwo, a w przypadku administrowania usługą Intune mogą przypisywać do grupy zasady, aplikacje i przypisania ról usługi Intune.

Następująca Microsoft Entra wbudowana rola RBAC jest najmniej uprzywilejowaną wbudowaną rolą, która zawiera wystarczające uprawnienia do edytowania grup Entra utworzonych przez innych użytkowników i zarządzania nimi:

  • Administrator grup — ta rola zapewnia uprawnienia wystarczające do dodawania i edytowania grup z poziomu centrów administracyjnych dla usług Microsoft Intune, Microsoft Entra i Microsoft 365.

Podczas pracy z funkcją RBAC firma Microsoft zaleca stosowanie zasady najmniejszych uprawnień przy użyciu tylko kont, które mają minimalne wymagane uprawnienia do zadania, oraz ograniczanie użycia i przypisywania uprzywilejowanych ról administracyjnych, takich jak administrator usługi Intune.

Aby dowiedzieć się więcej na temat Microsoft Entra grup i dostępu do grupy, zobacz Informacje o grupach i prawach dostępu w dokumentacji usługi Entra.

Wymagania dotyczące grup używanych w usłudze Intune

Administratorzy usługi Intune powinni pamiętać o następujących aspektach grup Microsoft Entra podczas tworzenia nowych grup lub przypisywania ich do wdrożenia zasad lub ról administracyjnych.

Zabezpieczenia — grupy używane w usłudze Intune muszą być grupami, które są włączone dla zabezpieczeń. Zwykle wymaga to ustawienia typu grupy grup na wartość Zabezpieczenia podczas tworzenia grupy. Grupa zabezpieczeń obsługuje zarówno użytkowników, jak i urządzenia jako członków.

Domyślnie grupy platformy Microsoft 365 w Microsoft Entra nie obsługują zabezpieczeń, obsługują tylko użytkowników jako członków i nie są obsługiwane przez usługę Intune. Program Microsoft Graph PowerShell umożliwia tworzenie grup platformy Microsoft 365 z obsługą zabezpieczeń obsługiwanych przez usługę Intune, takich jak domyślne grupy platformy Microsoft 365, które mogą obejmować tylko użytkowników, a nie urządzenia.

Członkostwo — usługa Intune obsługuje zarówno przypisane, jak i dynamiczne członkostwo w grupach . Wybierz typ członkostwa w oparciu o sposób zarządzania członkostwem w grupie — ręcznie lub automatycznie na podstawie reguł. Aby na przykład przypisać wbudowaną rolę RBAC usługi Intune, taką jak Endpoint Security Manager do użytkowników administracyjnych, użyj grupy z ręcznie przypisanymi członkami, aby ograniczyć liczbę osób, które otrzymują tę uprzywilejowaną rolę. Z drugiej strony, aby wdrożyć domyślny zestaw zasad konfiguracji urządzeń na wszystkich urządzeniach Windows 11, możesz użyć grupy, która dynamicznie dodaje członków na podstawie wersji systemu operacyjnego urządzeń. Użycie grupy dynamicznej może pomóc w zapewnieniu, że urządzenia zarejestrowane w usłudze Intune automatycznie otrzymają zamierzone zasady domyślne bez konieczności ręcznego dodawania urządzenia do grupy.

Grupy Wszyscy użytkownicy i Wszystkie urządzenia usługi Intune

Oprócz grup Microsoft Entra, które można tworzyć i używać z usługą Intune, usługa Intune obejmuje dwie grupy wirtualne, które są dostępne tylko w kontekście usługi Intune i z poziomu centrum administracyjnego usługi Intune:

  • Wszyscy użytkownicy — ta grupa automatycznie obejmuje każdego użytkownika, który ma licencję na usługę Intune.
  • Wszystkie urządzenia — ta grupa automatycznie obejmuje każde urządzenie zarejestrowane w usłudze Intune.

Te grupy wirtualne umożliwiają łatwe kierowanie do wszystkich odpowiednich użytkowników lub urządzeń przy użyciu zasad i przypisań usługi Intune, które powinny być szeroko stosowane.

Na przykład można wdrożyć zasady zgodności usługi Intune we wszystkich grupach urządzeń , aby określić minimalny poziom wymagań dotyczących zgodności, który muszą spełniać wszystkie urządzenia w organizacji. Później można wdrożyć więcej wymagań w określonych grupach Entra, aby zastosować dodatkowe wymagania dotyczące określonych grup urządzeń lub użytkowników.

Porada

Rozważ użycie filtrów dla grup w usłudze Intune. Filtrów w usłudze Intune można używać podczas przypisywania aplikacji, zasad i profilów w usłudze Microsoft Intune do dużych grup, takich jak Wszyscy użytkownicy i Wszystkie urządzenia. Filtry mogą pomóc w dynamicznym kontrolowaniu urządzeń lub użytkowników, którzy otrzymują wdrożenie. Aby uzyskać informacje na temat korzystania z filtrów, zobacz:

Dodawanie grup do usługi Intune

Podczas tworzenia grupy w centrum administracyjnym usługi Microsoft Intune tworzysz grupę w Microsoft Entra identyfikatorze. Poniższa procedura zawiera podstawowe wskazówki dotyczące tworzenia grup w centrum administracyjnym usługi Intune. Aby uzyskać bardziej szczegółowe informacje, zobacz następujące artykuły Microsoft Entra:

Aby utworzyć grupy w centrum administracyjnym usługi Microsoft Intune:

  1. Zaloguj się do centrum administracyjnego usługi Microsoft Intune, a następnie wybierz pozycję Grupy>Nowa grupa:

    Zrzut ekranu przedstawiający okienko Grupy centrum administracyjnego usługi Intune.

  2. Zostanie otwarte okienko Nowa grupa, które jest tym samym interfejsem, co w Microsoft Entra:

    Zrzut ekranu przedstawiający okienko Nowa grupa z witryny Entra w centrum administracyjnym usługi Intune.

    Skonfiguruj następujące opcje dla nowej grupy:

    1. Ustaw wartość Typ grupy na Wartość zabezpieczeń.

    2. W polu Nazwa grupy określ znaczącą nazwę, która wyraźnie identyfikuje grupę. Ta nazwa jest widoczna dla użytkowników, którzy pracują z grupami w centrum administracyjnym.

    3. W polu Opis grupy, który jest opcjonalny, określ inne szczegóły dotyczące grupy, takie jak jej zamierzone użycie.

    4. W polu Typ członkostwa wybierz jedną z następujących opcji:

      • Przypisano — w przypadku tego typu członkostwa należy ręcznie dodać użytkowników do grupy, co można zrobić teraz lub później po utworzeniu grupy.

        Aby dodać użytkowników w tej chwili, znajdź i wybierz pozycję Brak wybranych członków , aby otworzyć okienko Dodaj członków .

        W okienku użyj karty Użytkownicy lub Urządzenia , gdzie możesz zaznaczyć pole wyboru obok każdego obiektu, który chcesz dodać do tej grupy.

        Możesz również wybrać kartę Grupy , jeśli chcesz zagnieżdżać grupę w tej grupie. Grupa, która zawiera grupę jako element członkowski, jest nazywana grupą nadrzędną. Zachowaj ostrożność podczas zagnieżdżania grup, ponieważ relacje członkostwa mogą nie być jasne dla administratorów, którzy później używają grupy nadrzędnej do przypisania. Wszelkie zmiany członkostwa wprowadzone w grupie zagnieżdżonej są automatycznie stosowane do efektywnego członkostwa w grupie nadrzędnej.

        Ważna

        Unikaj tworzenia grup obejmujących zarówno użytkowników, jak i urządzenia, ponieważ może to prowadzić do konfliktów zasad i nieprzewidywalnego zachowania podczas wdrożeń usługi Intune.

        Porada

        Aby utworzyć grupy urządzeń, możesz użyć kategorii urządzeń do automatycznego dołączania urządzeń do grupy w momencie ich rejestracji w usłudze Intune.

      • Użytkownik dynamiczny — w przypadku tego typu członkostwa wybierz pozycję Dodaj zapytanie dynamiczne , a następnie skonfiguruj reguły członkostwa dynamicznego. Aby uzyskać wskazówki, zobacz Zarządzanie regułami dynamicznych grup członkostwa w Microsoft Entra identyfikatorze.

        Ważna

        Aby korzystać z dynamicznych grup użytkowników, musisz mieć licencję Microsoft Entra identyfikatorA P1 dla każdego użytkownika, który jest członkiem grupy dynamicznej.

      • Urządzenie dynamiczne — w przypadku tego typu członkostwa wybierz pozycję Dodaj zapytanie dynamiczne , a następnie skonfiguruj reguły członkostwa dynamicznego. Aby uzyskać wskazówki, zobacz Zarządzanie regułami dynamicznych grup członkostwa w Microsoft Entra identyfikatorze.

        Porada

        Dla członków dynamicznych grup urządzeń nie jest wymagana żadna określona licencja Tożsamość Entra.

    5. Konfiguracja Właściciele jest opcjonalna. Domyślnie użytkownik tworzący grupę jest właścicielem. Aby dodać innych właścicieli, wybierz pozycję Nie wybrano właścicieli , a następnie kartę Użytkownicy , na której można wybrać co najmniej jednego użytkownika do dodania jako właścicieli tej grupy.

  3. Wybierz pozycję Utwórz , aby dodać nową grupę. Grupa jest wyświetlana na liście.

Edytowanie grupy

Jako administrator usługi Intune możesz edytować grupy, takie jak zmiana członków grupy, właściciela i właściwości.

Aby edytować istniejącą grupę, wykonaj następujące kroki:

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.
  2. Wybierz pozycję Grupy>Wszystkie grupy>wybierz nazwę grupy do edycji.
  3. W obszarze Zarządzaj grupą menu wybierz obszar grupy do edycji, na przykład Właściwości, Członkowie lub Właściciele. Usługa Intune wyświetla interfejs użytkownika związany z tą opcją konfiguracji.

Usuwanie grupy

Jako administrator usługi Intune możesz usuwać grupy, które nie są już potrzebne.

Aby usunąć istniejącą grupę, wykonaj następujące kroki:

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.
  2. Wybierz pozycję Grupy>Wszystkie grupy.
  3. Zaznacz pole wyboru dla każdej grupy, którą chcesz usunąć, a następnie wybierz pozycję Usuń z opcji w górnej części widoku Wszystkie grupy . Alternatywnie możesz wybrać nazwę grupy, aby otworzyć stronę Przegląd pojedynczej grupy, a następnie wybrać pozycję Usuń* w górnej części tego widoku.

Porada

Po usunięciu grupy może upłynąć trochę czasu, zanim zostanie wyświetlona na liście Usunięte grupy .

Zawartość pokrewna

  • Last updated on