通过

使用分配筛选器在 Microsoft Intune 中分配应用、策略和配置文件

Microsoft Intune中的分配筛选器允许根据创建的规则分配策略。 使用筛选器通过面向具有特定 OS 版本、制造商或所有权类型的设备来缩小策略范围, (个人与组织拥有) 。 此目标功能可帮助你自动将正确的策略应用到正确的设备。

分配筛选器适用于:

  • 在 Intune 中注册的设备,即托管设备

  • 由 Intune 管理的应用,即托管应用

    托管应用用于移动应用程序管理 (MAM) 方案。 MAM 涉及管理未在 Intune 中注册的设备上的应用,这与个人拥有的设备很常见。 有关 Intune 中的 MAM 的详细信息,请转到什么是Microsoft Intune应用管理?

在以下方案中使用分配筛选器:

  • 仅将 Windows 设备限制策略部署到市场营销部门的公司设备,同时排除个人设备。
  • 仅将 iOS/iPadOS 应用部署到财务用户组中的 iPad 设备。
  • 将 Android 移动电话合规性策略部署到公司中的所有用户,并排除不支持移动电话合规性策略设置的 Android 会议室设备。
  • 在个人拥有的设备上,为特定应用制造商部署应用配置策略或运行特定 OS 版本的应用保护策略。

分配筛选器包括以下功能和优势:

  • 提高分配 Intune 策略和应用时的灵活性和粒度。
  • 在分配应用、策略和配置文件时使用。 它们基于设备属性动态定位托管设备,并根据输入的应用属性以托管应用为目标。
  • 可以根据输入的条件在特定组中包括或排除设备或应用。
  • 可以根据不同的属性(如设备平台或应用程序版本)创建设备或应用属性查询。
  • 可在“包括”或“排除”模式下的多个方案中使用和重复使用。

此功能适用于:

  • 以下平台上的托管设备

    • Android 设备管理员
    • Android Enterprise
    • Android (AOSP)
    • iOS/iPadOS
    • macOS
    • Windows

  • 以下平台上的托管应用

    • Android
    • iOS/iPadOS
    • Windows

本文介绍筛选器体系结构,并演示如何创建、更新和删除筛选器。

重要

Android 设备管理员 (DA) 管理已弃用,不再可用于有权访问 Google 移动服务 (GMS) 的设备。 如果当前使用 DA 管理,建议切换到另一个 Android 管理选项。 某些没有 GMS 的 Android 15 及更早版本的设备仍可使用支持和帮助文档。 有关详细信息,请参阅 在 GMS 设备上结束对 Android 设备管理员的支持

分配筛选器的工作原理

显示管理员如何在 Microsoft Intune 的策略中创建筛选器并使用筛选器的屏幕截图。

在将策略应用到应用或设备之前,分配筛选器会动态评估适用性。 下面是映像的概述:

  1. 基于应用或设备属性创建可重用筛选器。 在此示例中,设备筛选器适用于 iPhone XR 设备。

  2. 将策略分配给组。 在分配中,在“包括”或“排除”模式下添加筛选器。 例如,“包括”iPhone XR 设备,或者从策略中“排除”iPhone XR 设备。

  3. 当设备注册、使用 Intune 服务签入或者在策略评估的其他任何时间,都将评估筛选器。

  4. 显示基于评估的筛选器结果。 例如,应用或策略适用,或者不适用。

限制

创建分配筛选器时存在一些常规限制:

  • 每个租户最多可以有 200 个分配筛选器。
  • 每个筛选器限制为 3,072 个字符。
  • 对于托管设备,必须在 Intune 中注册设备。
  • 对于托管应用,分配筛选器适用于应用保护策略和应用配置策略。 它们不适用于其他策略,例如合规性或设备配置文件。

先决条件

创建筛选器

  1. 登录到Intune 管理中心

  2. 选择 “租户管理>分配筛选器>创建”。

    还可以在以下项创建分配筛选器:

    • 设备>组织设备>分配筛选器
    • 应用程序>组织设备>分配筛选器

  3. 选择 “托管设备 ”或“ 托管应用”:

    显示当在Microsoft Intune管理中心创建筛选器时选择“托管应用”或“托管设备”的屏幕截图。

    请记住,托管设备是在 Intune 中注册的设备,通常归组织所有。 托管应用适用于未在 Intune 中注册且通常由最终用户拥有的设备。

  4. “基本信息”中,输入以下属性:

    • 筛选器名称:输入筛选器的描述性名称。 为分配筛选器命名,以便稍后可以轻松识别它们。 例如,“Windows OS 版本筛选器”就是一个不错的筛选器名称

    • 描述:为筛选器输入描述。 此设置是可选的,但建议进行。

    • 平台:选择平台。 选项包括:

      • 托管设备

        • Android 设备管理员
        • Android Enterprise
        • Android (AOSP)
        • iOS/iPadOS
        • macOS
        • Windows 10 及更高版本

      • 托管应用

        • Android
        • iOS/iPadOS
        • Windows

  5. 选择 下一步

  6. 在“规则”中,有两种创建规则的方法:使用“规则生成器”或使用“规则语法”

    规则生成器

    • And/Or:添加表达式后,可以使用 andor 选项添加到表达式。

    • 属性:选择规则的属性,例如设备或作系统 SKU。

    • 运算符:从列表中选择运算符,例如 equalscontains

    • :在表达式中输入值。 例如,输入 10.0.18362 作为 OS 版本,或输入 Microsoft 作为制造商。

    • 添加表达式:添加属性、运算符和值后,选择“添加表达式”

      显示如何使用 Microsoft Intune 中的规则生成器创建表达式筛选器并分配给策略的屏幕截图。

      创建的表达式会自动添加到规则语法编辑器中。

    规则语法

    也可以手动输入规则表达式,然后在规则语法编辑器中编写自己的规则。 在“规则语法”中,选择“编辑”

    显示如何选择规则语法编辑器以在Microsoft Intune中使用规则生成器的屏幕截图。

    表达式生成器随即打开。 手动输入表达式,如 (device.osVersion -eq "10.0.18362") and (device.manufacturer -eq "Microsoft")

    显示如何使用表达式生成器在 Microsoft Intune 中输入规则语法的屏幕截图。

    有关编写自己的表达式的详细信息,请参阅 创建筛选器时的设备和应用属性、运算符和规则编辑

    选择“确定”以保存表达式

    提示

    • 创建规则时,系统会验证其语法是否正确,并显示任何错误。
    • 如果输入基本规则生成器不支持的语法,则会禁用规则生成器。 例如,使用嵌套括号将禁用基本规则生成器。

  7. 选择预览设备。 显示与筛选条件匹配的已注册设备的列表。

    在此列表中,还可以按设备名称、OS 版本、设备型号、设备制造商等搜索设备:

    显示如何在 Microsoft Intune 中创建筛选器时搜索设备的屏幕截图。

    注意

    为处于预览状态的属性选择“ 预览设备 ”时,会收到一 You cannot use Filter preview with experimental properties 条消息。 即使无法预览属性,也可以继续使用分配筛选器中的 属性。

    显示单击“预览设备”时无法使用筛选器预览消息的屏幕截图,该屏幕截图在 Microsoft Intune 中单击具有筛选器规则语法中的预览属性。

  8. 选择 下一步

  9. 在“作用域标记”(可选)中,分配一个标记以将配置文件筛选到特定 IT 组(如 US-NC IT TeamJohnGlenn_ITDepartment。 有关范围标记的详细信息,请参阅将 RBAC 和范围标记用于分布式 IT

    选择 下一步

  10. “查看并创建”中查看设置。 选择“创建”时,将保存所做的更改。 分配筛选器已创建并可供使用。 筛选器也显示在分配筛选器列表中。

使用筛选器

创建筛选器后,可以在分配应用或策略时使用该筛选器。

  1. Intune管理中心,转到应用、合规性策略或配置文件。 有关支持的工作负载的列表,请参阅 创建分配筛选器时支持的工作负载。 选择现有策略或创建新策略。

    例如,选择“ 设备>符合性”,然后选择现有策略。 选择“属性”>“分配”>“编辑”

    显示如何选择策略或配置文件,以及如何在 Microsoft Intune 中编辑分配的屏幕截图。

  2. 将策略分配给用户组或设备组。

  3. 选择“编辑筛选器”。 选项包括:

    • 不应用筛选器:所有目标用户或设备都将接收应用或策略,而无需筛选。

    • 在分配中包含已筛选的设备:符合筛选条件的设备将接收应用或策略。 不匹配筛选条件的设备将不接收应用或策略。

      将显示与策略平台匹配的分配筛选器列表。

    • 在分配中排除已筛选的设备:符合筛选条件的设备将不接收应用或策略。 不匹配筛选条件的设备将接收应用或策略。

      将显示与策略平台匹配的分配筛选器列表。

  4. 选择现有筛选器 >“选择”。

    例如,选择“在分配中包括已筛选的设备”,然后选择筛选器

    显示如何在 Microsoft Intune 中分配策略时包含筛选器的屏幕截图。

  5. 若要保存更改,请选择“查看 + 保存”>“保存”

当设备使用 Intune 服务签入时,将评估筛选器中定义的属性,并确定是否应用应用或策略。

筛选现有分配筛选器

创建分配筛选器后,可以按平台和配置文件类型 (托管设备托管应用) 筛选现有分配筛选器列表。

  1. Intune管理中心,选择“租户管理>分配筛选器”。 你将看到所有分配筛选器的列表。

    还可以转到 “设备>组织设备>分配筛选器”“应用>分配筛选器”。

  2. 选择 “添加筛选器”:

    显示如何添加筛选器以筛选Microsoft Intune中的现有筛选器列表的屏幕截图。

  3. 可以按筛选器 类型平台筛选列表:

    显示按Microsoft Intune中的平台和配置文件类型筛选现有筛选器列表的屏幕截图。

  4. 选择 “筛选器类型>”“应用”。 然后选择“托管设备”或“托管应用>应用”。 根据所选内容筛选分配筛选器列表。

    显示Microsoft Intune中托管设备筛选的分配筛选器列表的屏幕截图。

  5. 添加另一个筛选器,选择“ 平台>应用”。 从列表中选择平台,例如“Windows 10”和“应用>”。 根据所选内容筛选分配筛选器列表。

    显示Microsoft Intune中按平台筛选的分配筛选器列表的屏幕截图。

    显示分配筛选器的筛选列表以及Microsoft Intune中的所有可用平台选项的屏幕截图。

查看作业

将筛选器分配给策略后,可以看到使用该筛选器的所有策略。

  1. Intune管理中心,选择“租户管理>分配筛选器”。 你将看到所有分配筛选器的列表。

    还可以转到 “设备>组织设备>分配筛选器”“应用>分配筛选器”。

  2. 选择要查看 >“关联分配 ”选项卡的筛选器。

    该页显示使用该筛选器的所有应用和策略、接收筛选器分配的组,以及筛选模式 (“包括 ”或 “排除 ”) :

    显示Microsoft Intune中现有筛选器的关联分配选项卡的屏幕截图。

更改现有的筛选器

创建筛选器后,可以更改或更新它。

  1. Intune管理中心,选择“租户管理>分配筛选器”。 你将看到所有分配筛选器的列表。

    还可以更新 “设备>组织设备>分配筛选器”“应用>分配筛选器”中的筛选器

  2. 若要更新现有筛选器,请选择要更改的筛选器。 选择“规则”>“编辑”,然后进行更改

    显示如何更改或更新Microsoft Intune中的现有筛选器的屏幕截图。

  3. 若要保存更改,请选择“查看 + 保存”>“保存”

删除筛选器

  1. Intune管理中心,选择“租户管理>分配筛选器”。 你将看到所有分配筛选器的列表。

    还可以在“设备>”“组织设备>分配筛选器”或“应用分配筛选器”>中删除筛选器

  2. 选择筛选器旁边的省略号 (…),然后选择“删除”

    显示如何在 Microsoft Intune 中删除筛选器的屏幕截图。

    若要删除筛选器,必须从所有策略分配中删除该筛选器。 否则,尝试删除筛选器时,将显示以下错误:

    Unable to delete assignment filter – An assignment filter is associated with existing assignments. Delete all the assignments for the filter and try again.

相关内容

  • Last updated on