Microsoft Intune 會使用 Microsoft Entra ID 中的安全性群組來滿足各種組織需求。 這些需求包括按地理位置、部門、硬體特性等對使用者或裝置進行分組。 為了支援 Intune 使用 Entra 群組,Intune 系統管理中心包含 Entra 群組使用者介面及其所有功能。 出現在 Entra 中的任何群組和 Intune 系統管理員可能建立的新群組都會顯示在 Intune、Entra 和其他共用 Entra 群組使用者介面 (例如 Microsoft 365) 的產品中。
Intune 系統管理員會在部署原則、部署應用程式,以及指派其他系統管理使用者的許可權時,使用定義完善的群組,以協助管理 Intune 訂用帳戶的不同層面。
本文著重於使用 Intune 系統管理中心來建立要與 Intune 搭配使用的群組,包括在系統管理中心內管理和使用這些群組所需許可權的詳細數據。
您可以在 Entra 檔中深入瞭解 Microsoft Entra 群組。
用於使用群組的角色型存取控制
根據預設,所有Microsoft Entra使用者帳戶都有權建立和設定新群組,而不需要指派 Entra 角色型存取控制 (RBAC) 角色。 這些許可權延伸至 Intune 系統管理中心內的 [群組] 節點的使用。
只有建立群組的使用者、指派為 擁有者的使用者,以及具有足夠 Entra RBAC 權限來管理 Entra 群組的使用者,才能編輯群組的屬性。 其他沒有編輯群組許可權的使用者可以檢視其成員資格,如果管理 Intune,則可以將 Intune 原則、應用程式和角色指派指派給群組。
下列 Microsoft Entra 內建 RBAC 角色是最低許可權的內建角色,其中包含足夠的許可權來編輯和管理其他使用者所建立的 Entra 群組:
- 群組系統管理員 – 此角色提供足夠的許可權,可從 Microsoft Intune、Microsoft Entra 和 Microsoft 365 的系統管理中心內新增和編輯群組。
當您使用 RBAC 時,Microsoft 建議遵循最低許可權原則,只使用具有工作最低必要許可權的帳戶,並限制特殊許可權系統管理角色的使用和指派,例如 Intune 系統管理員。
若要深入瞭解 Microsoft Entra 群組和群組存取權,請參閱 Entra 檔中的群組和存取權限。
您與 Intune 搭配使用的群組需求
Intune 系統管理員在建立新群組或指派原則部署或系統管理角色時,應該注意 Microsoft Entra 群組的下列層面。
安全性 - 您搭配 Intune 使用的群組必須是已啟用安全性的群組。 這通常需要在建立群組時將群組 群組類型 設定為 Security 。 安全性群組支援使用者和裝置作為成員。
根據預設,Microsoft Entra 中的 Microsoft 365 群組未啟用安全性、僅支援使用者作為成員,而且 Intune 不支援。 雖然您可以使用 Microsoft Graph PowerShell 來建立 Intune 支援的已啟用安全性的 Microsoft 365 群組,例如預設的 Microsoft 365 群組,但它們只能包含使用者,而不能包含裝置。
成員資格 - Intune 支援 指派 和 動態群組 成員資格。 根據您計劃管理群組成員資格的方式選擇 成員資格類型 - 手動或根據規則自動。 例如,若要將內建的 Intune RBAC 角色 (例如 Endpoint Security Manager) 指派給系統管理使用者,請使用具有手動指派成員的群組來限制接收該特殊許可權角色的人員。 相反地,若要將一組預設裝置設定原則部署至所有 Windows 11 裝置,您可以使用根據裝置作業系統版本動態新增成員的群組。 使用動態群組可協助您確保向 Intune 註冊的裝置會自動收到預期的預設原則,而不需要手動將裝置新增至群組。
Intune [所有使用者] 和 [所有裝置] 群組
除了您可以與 Intune 建立和使用的 Microsoft Entra 群組之外,Intune 還包含兩個虛擬群組,這些群組只能在 Intune 的內容內和 Intune 系統管理中心內使用:
- 所有使用者 - 此群組會自動包含擁有 Intune 授權的每個使用者。
- 所有裝置 - 此群組會自動包含向 Intune 註冊的每個裝置。
這些虛擬群組提供簡單的方式,以所有適用的使用者或裝置為目標,並具有應該廣泛套用的 Intune 原則和指派。
例如,您可以將 Intune 合規性原則部署至 [所有裝置 ] 群組,以建立組織中所有裝置都必須符合的最低合規性需求層級。 稍後,您可以將更多需求部署至特定 Entra 群組,以套用特定裝置或使用者群組的額外需求。
提示
請考慮在 Intune 內針對群組使用 篩選 。 在 Microsoft Intune 中將應用程式、原則和配置檔指派給大型群組,例如 所有使用者 和 所有裝置時,您可以使用 Intune 內的篩選。 篩選器可協助您動態控制哪些裝置或使用者接收部署。 如需使用篩選器的相關資訊,請參閱:
將群組新增至 Intune
當您在 Microsoft Intune 系統管理中心內建立群組時,您實際上是在 Microsoft Entra ID 中建立群組。 下列程式提供在 Intune 系統管理中心建立群組的基本指引。 如需詳細資訊,請參閱下列 Microsoft Entra 文章:
若要在 Microsoft Intune 系統管理中心建立群組:
登入 Microsoft Intune 系統管理中心,然後選取 [群組新增群組]>:
![螢幕擷取畫面,顯示 Intune 系統管理中心的 [群組] 窗格。](media/groups-add/groups-add-new.png)
[新增群組] 窗格隨即開啟,其介面與 Microsoft Entra 中的介面相同:
![螢幕擷取畫面,顯示 Intune 系統管理中心內 Entra 的 [新增群組] 窗格。](media/groups-add/groups-add-properties.png)
為「新群組」設定下列選項:
將 群組類型 設定為 安全性。
針對 [群組名稱],指定清楚識別群組的有意義的名稱。 此名稱對在系統管理中心使用群組的使用者可見。
針對 群組描述 (選用),請指定群組的其他詳細資料,例如其預期用途。
針對 [成員資格類型],從下列選項中選取:
已指派 – 使用此成員資格類型,您需要手動將使用者新增至群組,這可以立即完成,也可以在建立群組後稍後完成。
若要此時新增使用者,請找出並選取 [未選取任何成員 ] 以開啟 [新增成員 ] 窗格。
在窗格中,使用 [ 使用者 ] 或 [裝置] 索引標籤,您可以在其中選取要新增至此群組的每個物件旁邊的核取方塊。
如果您想要在此群組內巢狀群組,您也可以選取 [群組] 索引標籤。 包含群組作為成員的群組稱為父群組。 巢狀群組時要小心,因為稍後使用父群組進行指派的系統管理員可能不清楚成員資格關聯性。 對巢狀群組所做的任何成員資格變更都會自動套用至父群組的有效成員資格。
重要事項
避免建立同時包含使用者和裝置的群組,因為這可能會導致 Intune 部署期間發生原則衝突和不可預測的行為。
提示
若要建立裝置群組,您可以使用 裝置類別 ,在裝置註冊 Intune 時自動將裝置加入群組。
動態使用者 - 使用此成員資格類型,選取 [新增動態查詢 ],然後設定動態成員資格規則。 如需指引,請參閱 在 Microsoft Entra ID 中管理動態成員資格群組的規則。
重要事項
若要使用動態使用者群組,您必須為屬於動態群組成員的每個使用者擁有 Microsoft Entra ID P1 授權。
動態裝置 - 使用此成員資格類型,選取 [ 新增動態查詢 ],然後設定動態成員資格規則。 如需指引,請參閱 在 Microsoft Entra ID 中管理動態成員資格群組的規則。
提示
動態裝置群組的成員不需要特定的 Entra ID 授權。
擁有者組態是選擇性的。 依預設,建立群組的使用者是擁有者。 若要新增其他擁有者,請選取 [ 未選取擁有者 ],然後選取 [ 使用者 ] 索引標籤,然後您可以在其中選取一或多個使用者以新增為此群組的擁有者。
選取 建立 以新增群組。 您的群組會顯示在清單中。
![螢幕擷取畫面,顯示 Intune 系統管理中心的 [群組] 窗格。](media/groups-add/groups-add-new.png#lightbox)
編輯群組
身為 Intune 系統管理員,您可以編輯群組,例如變更群組成員、擁有者和屬性。
使用下列步驟來編輯現有群組:
- 登入 Microsoft Intune 系統管理中心。
- 選取 群組 [>所有群組>]:選取要編輯的群組名稱。
- 在 管理 功能表群組下,選取要編輯的群組區域,例如 屬性、 成員或 擁有者。 Intune 會顯示與該組態選項相關的使用者介面。
刪除群組
身為 Intune 系統管理員,您可以刪除不再需要的群組。
使用下列步驟刪除現有群組:
- 登入 Microsoft Intune 系統管理中心。
- 選取 群組 [>所有群組]。
- 選取您要刪除的每個群組的核取方塊,然後選取 [所有群組] 檢視頂端的 [從選項刪除]。 或者,您可以選取群組的名稱以開啟單一群組的 [ 概觀 ] 頁面,然後從該檢視頂端選取 [刪除*]。
提示
刪除群組之後,可能需要一些時間才能顯示在 [已刪除的群組] 清單中。