HOWTO: 在 Intune 中为 Windows Autopilot 部署创建设备组

回顾：

“HOWTO: 收集 DeviceID 用于测试 Windows Autopilot”

"HOWTO: 将收集的 Windows Autopilot DeviceID 添加到 Intune"

        如果之前跟随 gOxiA 完成了上面的学习和动手操作，可以继续跟随 gOxiA 完成今天的内容，否则建议您从头开始了解。今天的内容将会非常轻松，会了解如何在 Intune 中创建“设备组”，这部分虽然很轻松，但它也是重点之一，因为在实施 Autopilot 部署时配置文件只能分配给组。

        我们可以创建两种类型的设备组，即：动态设备组 和 静态设备组，两者区别在于前者可通过定义规则自动将设备加入到组，或从组删除；而后者则需要由管理员进行分配。

        要为 Windows Autopilot 创建设备组，可登录 Auzre门户，定位到“Intune”，会看到“Group”，如下图所示：

进入 “Group” 后在 “All groups” 下点击 “New group”。

        在 “New Group” 中，会看到一些选项，带有 * 号的是必须填写的信息。其中“Group Type”表示组的类型，在预定义中包括了“Security” 和 “Office 365”。

• Security，它通常用于管理用户和设备的共享资源的访问权限，也可以为特定的策略创建安全组，这样一来我们就不用为每个成员单独设置权限。
• Office 365，主要是提供对共享邮箱，日历，文件以及SharePoint站点等的访问权限。

        本例中，我们要为 Windows Autopilot 创建设备组，所以这里的类型应该是“Security”。“Group name”很好理解，这里命名为了“UserDriven”。“Membership type”便是我们前面提到的静态和动态的组类型，包含了“Assigned”、“Dynanmic User” 和 “Dynamic Device”，是的动态组除了支持设备外，也适用于账户。

        当我们选择“Assigned”后，就可以手动添加账户或设备，这里我将添加之前导入的设备。

        我们也可以使用动态组，利用一些规则自动将设备添加到组中，这样就不需要手动添加那么麻烦。动态成员规则非常强大，提供了多种属性，可利用各种运算符，根据属性的值，创建具有多个表达式的规则。

        来看一个简单的例子“(device.accountEnabled -eq true)”，还是很容易理解的，当设备账户启用状态是“真”时，那么便会设备便会自动加入到这个组，如果组中的设备账户启用状态为“假”时会将设备从组中删除。下图可看到当前动态设备组提供的可用属性。

        有关动态组的详细规则，强烈推荐学习官方文档：https://docs.microsoft.com/zh-cn/azure/active-directory/users-groups-roles/groups-dynamic-membership/?WT.mc_id=WDIT-MVP-4000544，随着准备工作的就绪，我们离正式实施 Windows Autopilot 也越来越近！