Verwenden des Einstellungskatalogs zum Konfigurieren von Einstellungen auf Windows-, iOS-/iPadOS- und macOS-Geräten

Im Einstellungskatalog sind alle Einstellungen, die Sie konfigurieren können, zentral zusammengefasst. Der Katalog vereinfacht das Erstellen einer Richtlinie und Anzeigen aller verfügbaren Einstellungen. Beispielsweise können Sie den Einstellungskatalog verwenden, um eine BitLocker-Richtlinie mit allen BitLocker-Einstellungen zu erstellen.

Sie können Microsoft Copilot auch in Intune verwenden. Wenn Sie die Copilot-Features mit dem Einstellungskatalog verwenden, können Sie Copilot für Folgendes verwenden:

• Erfahren Sie mehr über die einzelnen Einstellungen, erhalten Sie Auswirkungen auf die Was-wäre-wenn-Analyse, und finden Sie potenzielle Konflikte.
• Fassen Sie vorhandene Richtlinien zusammen, und erhalten Sie Eine Auswirkungsanalyse für Benutzer und Sicherheit.

Wenn Sie Einstellungen auf einer granularen Ebene konfigurieren möchten, ähnlich wie bei lokalen Gruppenrichtlinie Objects (GPOs), ist der Einstellungskatalog ein natürlicher Übergang zur cloudbasierten Richtlinie.

Wenn Sie die Richtlinie erstellen, beginnen Sie ganz von vorne. Sie fügen nur die Einstellungen hinzu, die Sie steuern und verwalten möchten.

Um Geräte in Ihrem organization zu verwalten und zu schützen, verwenden Sie den Einstellungskatalog als Teil Ihrer MDM-Lösung (Mobile Device Management). Dem Einstellungskatalog werden ständig weitere Einstellungen hinzugefügt. Eine Liste der Einstellungen findest du im GitHub-Repository IntunePMFiles/DeviceConfig.

Diese Funktion gilt für:

• iOS/iPadOS

  Enthält Geräteeinstellungen, die direkt aus Apple-profilspezifischen Nutzlastschlüsseln generiert werden. Es werden ständig weitere Einstellungen und Schlüssel hinzugefügt. Weitere Informationen zu profilspezifischen Nutzlastschlüsseln finden Sie unter Profilspezifische Nutzlastschlüssel (öffnet die Apple-Website).

  Apples deklarative Geräteverwaltung (Deklarative Geräteverwaltung, DDM) ist in den Einstellungskatalog integriert. Wenn Sie Einstellungen aus dem Einstellungskatalog auf iOS/iPadOS 15+ Geräten konfigurieren, die über die Benutzerregistrierung registriert wurden, verwenden Sie DDM automatisch. Wenn DDM aus irgendeinem Grund nicht funktioniert, verwenden diese Geräte das standardmäßige MDM-Protokoll von Apple. Alle anderen iOS-/iPadOS-Geräte verwenden weiterhin das standardmäßige MDM-Protokoll von Apple.

• macOS

  Enthält Geräteeinstellungen, die direkt aus Apple-profilspezifischen Nutzlastschlüsseln generiert werden. Es werden ständig weitere Einstellungen und Schlüssel hinzugefügt. Weitere Informationen zu profilspezifischen Nutzlastschlüsseln finden Sie unter Profilspezifische Nutzlastschlüssel (öffnet die Apple-Website).

  Die deklarative Geräteverwaltung (Deklarative Geräteverwaltung, DDM) von Apple ist im Einstellungskatalog verfügbar. Sie können DDM verwenden, um Softwareupdates, Kennungseinschränkungen und vieles mehr zu verwalten.

• Windows 10/11

  Es gibt Tausende von Einstellungen, einschließlich Einstellungen, die zuvor nicht verfügbar waren. Diese Einstellungen werden direkt mithilfe der Windows-Konfigurationsdienstanbieter (Configuration Service Providers, CSPs) generiert. Sie können auch administrative Vorlagen konfigurieren und mehr Einstellungen für administrative Vorlagen zur Verfügung stellen. Wenn unter Windows weitere Einstellungen hinzufügt oder für MDM-Anbieter verfügbar gemacht werden, werden diese Einstellungen Microsoft Intune schneller hinzugefügt, damit Sie sie konfigurieren können.

Tipp

• Eine Liste der Einstellungen im Einstellungskatalog findest du im GitHub-Repository IntunePMFiles/DeviceConfig.
• Öffnen Sie Microsoft Edge, und navigieren Sie zu edge://policy, um die Microsoft Edge-Richtlinien anzuzeigen, die Sie konfiguriert haben.

In diesem Artikel werden die Schritte zum Erstellen einer Richtlinie aufgeführt, das Suchen und Filtern der Einstellungen in Intune sowie die Verwendung von Copilot erläutert.

Wenn Sie die Richtlinie erstellen, wird ein Gerätekonfigurationsprofil erstellt. Sie können dieses Profil dann Geräten in Ihrer Organisation zuweisen oder für diese bereitstellen.

Informationen zu einigen Features, die Sie mithilfe des Einstellungskatalogs konfigurieren können, finden Sie unter Aufgaben, die Sie mithilfe des Einstellungenkatalogs in Intune ausführen können.

Erstellen der Richtlinie

Sie können die Richtlinie mithilfe des Profiltyps des Einstellungskatalogs erstellen.

1. Melden Sie sich beim Microsoft Intune Admin Center an.

2. Wählen SieGerätekonfiguration>>aus Create.

3. Geben Sie die folgenden Eigenschaften ein:

   • Plattform: Wählen Sie iOS/iPadOS, macOS oder Windows 10 und höher aus.
   • Profiltyp: Wählen Sie Einstellungskatalog aus.

4. Wählen Sie Erstellen aus.

5. Geben Sie in Grundlagen die folgenden Eigenschaften ein:

   • Name: Geben Sie einen aussagekräftigen Namen für das Profil ein. Benennen Sie Ihre Profile, damit Sie diese später leicht wiedererkennen. Ein guter Profilname ist beispielsweise macOS: MSFT Edge Einstellungen oder Win10: BitLocker Einstellungen für alle Win10-Geräte.
   • Beschreibung: Geben Sie eine Beschreibung für das Profil ein. Diese Einstellung ist optional, wird jedoch empfohlen.

6. Wählen Sie Weiter aus.

7. Wählen Sie unter Konfigurationseinstellungen die Option Einstellungen hinzufügen aus. Wählen Sie in der Einstellungsauswahl eine Kategorie aus, um alle verfügbaren Einstellungen anzuzeigen.

   Beispielsweise Windows 10 und höher und dann Authentifizierung auswählen, um alle Einstellungen in dieser Kategorie anzuzeigen:

   

   Beispielsweise macOS auswählen. In der Kategorie Microsoft Edge – Alle werden alle Einstellungen aufgelistet, die Sie konfigurieren können, einschließlich aller neuen Einstellungen. Zu den weiteren Kategorien gehören veraltete Einstellungen oder Einstellungen, die sich auf ältere Versionen beziehen:

   

   Tipp

   • Unter macOS wurden die Kategorien vorübergehend entfernt. Verwenden Sie zum Suchen einer bestimmten Einstellung die Kategorie Microsoft Edge – Alle, oder suchen Sie nach dem Namen der Einstellung. Eine Liste der Einstellungsnamen finden Sie unter Microsoft Edge – Richtlinien.

   • Verwenden Sie den Link Weitere Informationen in der QuickInfo, um festzustellen, ob eine Einstellung veraltet ist, und um die unterstützten Versionen anzuzeigen.

8. Wählen Sie eine Einstellung aus, die Sie konfigurieren möchten. Oder wählen Sie Alle diese Einstellungen auswählen aus:

   

   Nachdem Sie die Einstellungen hinzugefügt haben, schließen Sie die Einstellungsauswahl. Alle Einstellungen werden angezeigt und mit einem Standardwert konfiguriert, z. B. Sperren oder Zulassen. Diese Standardwerte entsprechen den Standardwerten des Betriebssystems. Wenn Sie eine Einstellung nicht konfigurieren möchten, wählen Sie das Minuszeichen aus:

   

   Wenn Sie das Minuszeichen auswählen (-):

   • Diese Einstellung wird von Intune nicht geändert oder aktualisiert. Das Minuszeichen bedeutet Nicht konfiguriert. Beim Wert Nicht konfiguriert wird die Einstellung nicht mehr verwaltet.
   • Die Einstellung wird aus der Richtlinie entfernt. Wenn Sie die Richtlinie das nächste Mal öffnen, wird die Einstellung nicht gezeigt. Sie können sie erneut hinzufügen.
   • Bei der nächsten Anmeldung von Geräten ist die Einstellung nicht mehr gesperrt. Ein anderer Richtlinien- oder Gerätebenutzer kann die Richtlinie ändern.

   Tipp

   • In den QuickInfos für Windows-Einstellungen, führt der Weitere Informationen-Link zum CSP.

   • Wenn eine Einstellung mehrere Werte zulässt, wird empfohlen, jeden Wert separat hinzuzufügen.

     Beispielsweise können Sie mehrere Werte in die EinstellungListe zulässiger Bluetooth-Dienste> eingeben. Geben Sie jeden Wert in einer separaten Zeile ein:

     Sie können mehrere Werte in einem einzelnen Feld hinzufügen, es kann jedoch zu einer Zeichenbeschränkung kommen.

9. Wählen Sie Weiter aus.

10. Weisen Sie in Bereichstags (optional) ein Tag zu, um das Profil nach bestimmten IT-Gruppen wie US-NC IT Team oder JohnGlenn_ITDepartment zu filtern. Weitere Informationen zu Bereichstags finden Sie unter Verwenden der RBAC und von Bereichstags für verteilte IT.

    Wählen Sie Weiter aus.

11. Wählen Sie unter Zuweisungen die Benutzer oder Gruppen aus, denen Ihr Profil zugewiesen werden soll. Weitere Informationen zum Zuweisen von Profilen finden Sie unter Zuweisen von Benutzer- und Geräteprofilen.

    Wählen Sie Weiter aus.

12. Überprüfen Sie die Einstellungen unter Überprüfen + erstellen. Wenn Sie auf Erstellen klicken, werden die Änderungen gespeichert, und das Profil wird zugewiesen. Die Richtlinie wird auch in der Profilliste angezeigt.

Wenn das Gerät das nächste Mal nach Konfigurationsupdates sucht, werden die von Ihnen konfigurierten Einstellungen angewendet.

Finden Sie einige Einstellungen, und erfahren Sie mehr über die einzelnen Einstellungen.

Im Einstellungskatalog sind Tausende von Einstellungen verfügbar. Um die gewünschten Einstellungen zu finden, können Sie die Such- und Filterfunktionen im Einstellungskatalog verwenden.

Wenn Sie Copilot verwenden, können Sie KI-generierte Informationen zu jeder Einstellung abrufen.

Suchen und Filtern

Wenn Sie eine neue Richtlinie erstellen oder eine vorhandene Richtlinie aktualisieren, gibt es integrierte Such- und Filterfunktionen, mit denen Sie Einstellungen finden können.

• Um bestimmte Einstellungen in Ihrer Richtlinie zu finden, können Sie Einstellungen> hinzufügen Search verwenden. Sie können nach Kategorie suchen, z. B. browser, nach einem Schlüsselwort suchen, z. B. office oder google, und nach bestimmten Einstellungen suchen.

  Suchen Sie beispielsweise nach internet explorer. Alle Einstellungen mit internet explorer werden angezeigt. Wählen Sie eine Kategorie aus, um die verfügbaren Einstellungen anzuzeigen:

  

• Wählen Sie für Ihre Richtlinie Einstellungen hinzufügen>Filter hinzufügen aus. Wählen Sie den Schlüssel, Operator und Wert aus.

  Wenn Sie nach Betriebssystemedition filtern, können Sie die Einstellungen filtern, die für bestimmte Windows-Editionen gelten:

  

  Hinweis

  Bei den Einstellungen von Edge, Office und OneDrive bestimmt nicht die Version oder Edition des Betriebssystems, ob die Einstellungen gelten. Wenn Sie also nach einer bestimmten Edition wie Windows Professional filtern, werden die Einstellungen für Edge, Office und OneDrive nicht angezeigt.

  Sie können die Einstellungen auch nach Gerät oder Benutzerbereich filtern. Weitere Informationen zum Benutzer- und Gerätebereich findest du unter Gerätebereichs- und Benutzerbereichseinstellungen (in diesem Artikel):

  

Copilot

Wenn Sie Einstellungskatalogrichtlinien verwenden, können Sie Copilot verwenden, um weitere Informationen zu einer bestimmten Einstellung und deren Auswirkungen zu erhalten.

1. Wählen Sie in Ihrer Richtlinie Einstellungen hinzufügen aus. Wählen Sie in der Einstellungsauswahl einige Einstellungen aus. Erweitern Sie beispielsweise in einer macOS-Richtlinie deklarative Geräteverwaltung>Softwareupdate>Alle diese Einstellungen auswählen. Schließen Sie die Einstellungsauswahl.

2. Beachten Sie für die Einstellungen die Copilot-QuickInfo:

   

3. Wenn Sie eine Copilot-QuickInfo auswählen, werden automatisch weitere Informationen zur Einstellung angezeigt:

   

4. In der Eingabeaufforderung gibt es weitere Eingabeaufforderungen, die Sie verwenden können. Sie können auch die Eingabeaufforderungsanleitung auswählen und aus einer vorhandenen Liste von Eingabeaufforderungen auswählen:

   

Kopieren eines Profils

Wählen Sie Duplizieren aus, um eine Kopie eines vorhandenen Profils zu erstellen. Das Duplizieren ist nützlich, wenn Sie ein Profil benötigen, das ähnlich ist, sich jedoch vom ursprünglichen unterscheidet.

Die Kopie enthält dieselben Einstellungskonfigurationen und Bereichstags wie das ursprüngliche Profil, verfügt jedoch über keine Zuweisungen. Nachdem Sie dem neuen Profil einen Namen gegeben haben, können Sie das Profil bearbeiten, um die Einstellungen anzupassen und Zuweisungen hinzuzufügen.

1. Wechseln Sie zu Gerätekonfiguration>.
2. Suchen Sie das Profil, das Sie kopieren möchten. Klicken Sie mit der rechten Maustaste auf das Profil, oder wählen Sie das Kontextmenü (…) aus.
3. Wählen Sie Duplizieren.
4. Geben Sie eine neue Bezeichnung und eine Beschreibung für die Richtlinie ein.
5. Speichern Sie die Änderungen.

Importieren und Exportieren eines Profils

Diese Funktion gilt für:

• Windows 10 und höher

Wenn Sie eine Einstellungskatalogrichtlinie erstellen, können Sie die Richtlinie in eine .json Datei exportieren. Anschließend können Sie diese Datei importieren, um eine neue Richtlinie zu erstellen. Dieses Feature ist nützlich, wenn Sie eine Richtlinie erstellen möchten, die einer vorhandenen Richtlinie ähnelt. Beispielsweise exportieren Sie eine Richtlinie, importieren sie, um eine neue Richtlinie zu erstellen, und nehmen dann Änderungen an der neuen Richtlinie vor.

1. Wechseln Sie zu Gerätekonfiguration>.

2. Um eine vorhandene Richtlinie zu exportieren, wählen Sie das Profil > aus, und wählen Sie das Kontextmenü mit den Auslassungspunkten (…) >JSON exportieren aus:

   

3. Um eine zuvor exportierte Einstellungskatalogrichtlinie zu importieren, wählen Sie Create>Richtlinie importieren aus:

   

   Wählen Sie die JSON-Datei aus, die Sie exportiert haben, und benennen Sie die neue Richtlinie. Speichern Sie die Änderungen.

Konflikte und Berichterstellung

Konflikte treten auf, wenn dieselbe Einstellung mit unterschiedlichen Werten aktualisiert wird, einschließlich Richtlinien, die mithilfe des Einstellungskatalogs konfiguriert wurden. Im Intune Admin Center können Sie die status Ihrer vorhandenen Richtlinien überprüfen. Die Daten werden automatisch aktualisiert, und der Betrieb erfolgt nahezu in Echtzeit.

Es gibt integrierte Features, mit denen Sie Konflikte beheben können, einschließlich einstellungsbezogener status Berichterstellung.

Wenn Sie Copilot verwenden, können Sie einige integrierte Eingabeaufforderungen verwenden, um weitere Informationen zu vorhandenen Richtlinien zu erhalten, einschließlich deren Auswirkungen.

Berichterstellung und Problembehandlung

Im Intune Admin Center können Sie die integrierten Berichterstellungsfeatures verwenden, um Konflikte zu finden und zu lösen.

1. Wählen Sie im Intune Admin Centerdie Option Gerätekonfiguration> aus. Wählen Sie in der Liste die Richtlinie aus, die Sie mithilfe des Einstellungskatalogs erstellt haben. In der Spalte Profiltyp wird der Einstellungskatalog angezeigt:

   

2. Wenn Sie die Richtlinie auswählen, wird der Gerätestatus angezeigt. Dieser zeigt eine Zusammenfassung Ihres Richtlinienstatus und der Richtlinieneigenschaften an. Darüber hinaus können Sie im Abschnitt Konfigurationseinstellungen Ihre Richtlinie ändern oder aktualisieren:

   

3. Wählen Sie Bericht anzeigen aus. Der Bericht zeigt detaillierte Informationen, einschließlich des Gerätenamens, des Richtlinienstatus und mehr. Sie können auch nach dem Bereitstellungsstatus filtern und den Bericht in eine .csv-Datei exportieren:

   

4. Mit Status pro Einstellung können Sie sich auch den Status der einzelnen Einstellungen anzeigen lassen. Dieser Status zeigt die Gesamtzahl der Geräte an, auf die sich die jeweiligen Einstellungen in der Richtlinie auswirken.

   Sie können:

   • Sehen Sie sich die Anzahl der Geräte an, bei denen die Einstellung erfolgreich angewendet wurde, in Konflikt steht oder einen Fehler aufweist.
   • Wählen Sie die Anzahl der Geräte aus, auf die die Einstellung erfolgreich angewendet wurde, bei denen ein Konflikt aufgetreten ist und die einen Fehler aufweisen. Sehen Sie sich außerdem eine Liste der Benutzer oder Geräte in dem jeweiligen Status an.
   • Suchen, sortieren, filtern, exportieren und wechseln Sie zur nächsten bzw. vorherigen Seite.

5. Wählen Sie im Admin Center Geräte>Überwachung>Zuweisungsfehler aus. Wenn ihre Einstellungskatalogrichtlinie aufgrund eines Fehlers oder Konflikts nicht bereitgestellt werden konnte, wird sie in dieser Liste angezeigt. Sie können sie auch in eine .csv-Datei exportieren.

6. Wählen Sie die Richtlinie aus, um die Geräte anzuzeigen. Wählen Sie dann ein bestimmtes Gerät aus, um die fehlerhafte Einstellung und einen möglichen Fehlercode anzuzeigen.

Tipp

Intune-Berichte sind eine hervorragende Ressource. Sie beschreiben alle Funktionen der Berichterstellung, die Sie verwenden können. Informationen zu allen Berichterstellungsdaten, die sich anzeigen lassen, finden Sie unter Intune-Berichte.

Weitere Informationen zur Konfliktlösung finden Sie unter:

• Überwachen von Geräteprofilen
• Häufige Fragen und Antworten zu Geräterichtlinien

Copilot

Copilot kann Ihnen helfen, die status Ihrer vorhandenen Richtlinien zu finden, die status einer bestimmten Einstellung in Ihrer Richtlinie zu finden und potenzielle Konflikte anzuzeigen.

1. Wählen Sie im Intune Admin Centerdie Option Gerätekonfiguration> aus. Wählen Sie in der Richtlinienliste die Richtlinie aus, die Sie mit Copilot auswerten möchten.

2. Wenn Sie die Richtlinie auswählen, wird der Gerätestatus angezeigt. Wählen Sie Summarize with Copilot (Mit Copilot zusammenfassen) aus:

   

   Eine Zusammenfassung wird automatisch angezeigt und enthält die Einstellungen in der Richtlinie & deren Werte.

3. In der Eingabeaufforderung gibt es weitere Eingabeaufforderungen, die Sie auswählen können. Sie können auch die Eingabeaufforderungsanleitung auswählen und aus einer vorhandenen Liste von Eingabeaufforderungen auswählen:

   

Einstellungskatalog im Vergleich zu Vorlagen

Beim Erstellen der Richtlinie haben Sie die Wahl zwischen zwei Richtlinientypen: Einstellungskatalog und Vorlagen:

Die Vorlagen enthalten eine logische Gruppe von Einstellungen, z. B. Kiosk, VPN, WLAN und mehr. Verwenden Sie diese Option, wenn Sie diese Gruppierungen zum Konfigurieren Ihrer Einstellungen verwenden möchten.

ImEinstellungskatalog werden alle verfügbaren Einstellungen aufgelistet. Wenn Sie alle die verfügbaren Firewall-Einstellungen oder alle verfügbaren BitLocker-Einstellungen anzeigen möchten, verwenden Sie diese Option. Verwenden Sie diese Option außerdem, wenn Sie nach bestimmten Einstellungen suchen.

Einstellungen für den Gerätebereich vs. den Benutzerbereich

Wenn Sie Einstellungen auswählen, weisen einige Einstellungen ein (User) Tag oder (Device) Tag im Einstellungsnamen auf, z. B. Allow EAP Cert SSO (User) oder Grouping (Device). Wenn diese Tags angezeigt werden, wirkt sich die Richtlinie nur auf den Benutzerbereich oder den Gerätebereich aus.

Weitere Informationen zum Benutzer- und Gerätebereich finden Sie in derRichtlinie CSP.

Geräte- und Benutzergruppen werden verwendet, wenn Sie Ihre Richtlinien zuweisen. Geräte- und Benutzerbereiche beschreiben, wie eine Richtlinie erzwungen wird.

Verhalten der Bereichszuweisung

Beim Bereitstellen von Richtlinien über Intune können Sie jedem Typ von Zielgruppe einen Benutzer- oder Gerätebereich zuweisen. Das Verhalten der Richtlinie pro Benutzer hängt vom Bereich der Einstellung ab:

• Benutzerdefinierte Richtlinie schreibt nach HKEY_CURRENT_USER (HKCU).
• Die geräteabhängige Richtlinie schreibt in HKEY_LOCAL_MACHINE (HKLM).

Wenn ein Gerät bei Intune eincheckt, zeigt es immer eine deviceIDan. Das Gerät kann abhängig vom Zeitpunkt des Eincheckens und dem Angemeldeten eines Benutzers einen -Wert haben userIDoder nicht.

Dies sind einige mögliche Kombinationen aus Bereich, Zuweisung und dem erwarteten Verhalten:

• Wenn einem Gerät eine Richtlinie für den Gerätebereich zugewiesen wird, gilt diese Einstellung für alle Benutzer dieses Geräts.
• Wenn einem Benutzer eine gerätebezogene Richtlinie zugewiesen wird, gelten die Einstellungen für den Gerätebereich für alle Benutzer auf dem Gerät, sobald sich dieser Benutzer anmeldet und eine Intune-Synchronisierung erfolgt.
• Wenn einem Gerät eine Benutzerbereichsrichtlinie zugewiesen wird, gilt diese Einstellung für alle Benutzer auf diesem Gerät. Dieses Verhalten ist wie ein Loopback, der auf Zusammenführen eingestellt ist.
• Wenn einem Benutzer eine benutzerbezogene Richtlinie zugewiesen wird, wird diese Einstellung nur auf diesen Benutzer angewendet.
• Es gibt einige Einstellungen, die im Benutzerbereich und im Gerätebereich verfügbar sind. Wenn eine dieser Einstellungen sowohl dem Benutzer- als auch dem Gerätebereich zugewiesen ist, hat der Benutzerbereich Vorrang vor dem Gerätebereich.

Wenn während der ersten Eincheckvorgänge keine Benutzerstruktur vorhanden ist, werden einige Benutzerbereichseinstellungen als nicht zutreffend gekennzeichnet. Dieses Verhalten tritt in den frühen Momenten eines Geräts auf, bevor ein Benutzer anwesend ist.

Nächste Schritte

• Aufgaben, die Sie mithilfe des Einstellungenkatalogs in Intune ausführen können
• Erstellen einer Richtlinie für universelles Drucken in Microsoft Intune
• Weisen Sie das Profil zu, und überwachen Sie dessen Status.
• Übersicht über Microsoft Copilot für Intune