Exemplarische Vorgehensweise: Verwenden der Cloud zum Konfigurieren von Gruppenrichtlinien auf Windows 10/11-Geräten mit ADMX-Vorlagen und Microsoft Intune

  • Artikel

Hinweis

Diese exemplarische Vorgehensweise wurde als technischer Workshop für die Microsoft Ignite erstellt. Es hat mehr Voraussetzungen als typische exemplarische Vorgehensweisen, da die Verwendung und Konfiguration von ADMX-Richtlinien in Intune und lokal verglichen wird.

Administrative Gruppenrichtlinienvorlagen, auch als ADMX-Vorlagen bezeichnet, enthalten Einstellungen, die Sie auf Windows-Clientgeräten konfigurieren können, einschließlich PCs. Die ADMX-Vorlageneinstellungen sind von verschiedenen Diensten verfügbar. Diese Einstellungen werden von Mobile Geräteverwaltung(MDM)-Anbietern verwendet, einschließlich Microsoft Intune. Sie können beispielsweise Designideen in PowerPoint aktivieren, eine Startseite in Microsoft Edge festlegen und vieles mehr.

Tipp

Eine Übersicht über ADMX-Vorlagen in Intune, einschließlich der in Intune integrierten ADMX-Vorlagen, erfahren Sie unter Verwenden Windows 10/11 ADMX-Vorlagen in Microsoft Intune.

Weitere Informationen zu ADMX-Richtlinien findest du unter Grundlegendes zu ADMX-gestützten Richtlinien.

Diese Vorlagen sind in Microsoft Intune integriert und als Profile für administrative Vorlagen verfügbar. In diesem Profil konfigurieren Sie die Einstellungen, die Sie einschließen möchten, und "weisen" dieses Profil dann Ihren Geräten zu.

In dieser exemplarischen Vorgehensweise gehen Sie folgendermaßen vor:

  • Einführung in das Microsoft Intune Admin Center.
  • Erstellen sie Benutzergruppen und Gerätegruppen.
  • Vergleichen Sie die Einstellungen in Intune mit lokalen ADMX-Einstellungen.
  • Erstellen Sie verschiedene administrative Vorlagen, und konfigurieren Sie die Einstellungen, die auf die verschiedenen Gruppen ausgerichtet sind.

Am Ende dieses Labs können Sie Intune und Microsoft 365 verwenden, um Ihre Benutzer zu verwalten und administrative Vorlagen bereitzustellen.

Diese Funktion gilt für:

  • Windows 11
  • Windows 10 Version 1709 und höher

Tipp

Es gibt zwei Möglichkeiten zum Erstellen einer administrativen Vorlage: mit einer Vorlage oder mit dem Einstellungskatalog. Dieser Artikel befasst sich mit der Verwendung der Vorlage für administrative Vorlagen. Im Einstellungskatalog sind mehr Einstellungen für administrative Vorlagen verfügbar. Die spezifischen Schritte zur Verwendung des Einstellungskatalogs finden Sie unter Verwenden des Einstellungskatalogs zum Konfigurieren von Einstellungen.

Voraussetzungen

  • Ein Microsoft 365 E3- oder E5-Abonnement, das Intune und Microsoft Entra ID P1 oder P2 umfasst. Wenn Sie nicht über ein E3- oder E5-Abonnement verfügen, können Sie es kostenlos testen.

    Weitere Informationen dazu, was Sie mit den verschiedenen Microsoft 365-Lizenzen erhalten, finden Sie unter Transformieren Ihres Unternehmens mit Microsoft 365.

  • Microsoft Intune wird als Intune MDM-Autorität konfiguriert. Weitere Informationen findest du unter Festlegen der Autorität für die Verwaltung mobiler Geräte.

    Screenshot: Festlegen der MDM-Autorität auf Microsoft Intune in Ihrem Mandanten status

  • Auf einem lokales Active Directory Domänencontroller (DC):

    1. Kopieren Sie die folgenden Office- und Microsoft Edge-Vorlagen in den zentralen Speicher (Sysvol-Ordner):

    2. Erstellen Sie eine Gruppenrichtlinie, um diese Vorlagen auf einen Windows 10/11 Enterprise-Administratorcomputer in derselben Domäne wie der Domänencontroller zu pushen. In dieser exemplarischen Vorgehensweise:

      • Die Gruppenrichtlinie, die wir mit diesen Vorlagen erstellt haben, heißt OfficeandEdge. Dieser Name wird in den Bildern angezeigt.
      • Der Windows 10/11 Enterprise-Administratorcomputer, den wir verwenden, wird als Admin Computer bezeichnet.

      In einigen Organisationen verfügt ein Domänenadministrator über zwei Konten:

      • Ein typisches Domänenarbeitskonto
      • Ein anderes Domänenadministratorkonto, das nur für Domänenadministratoraufgaben verwendet wird, z. B. Gruppenrichtlinien

      Der Zweck dieses Admin Computers besteht darin, dass sich Administratoren mit ihrem Domänenadministratorkonto anmelden und auf Tools zum Verwalten von Gruppenrichtlinien zugreifen können.

  • Auf diesem Admin Computer:

    • Melden Sie sich mit einem Domänenadministratorkonto an.

    • Fügen Sie rsat: Gruppenrichtlinie Management Tools hinzu:

      1. Öffnen Sie die Einstellungs-App>System>Optionale Features>Feature hinzufügen.

        Wenn Sie eine ältere Version als Windows 10 22H2 verwenden, wechseln Sie zu Einstellungen>Apps>Apps Apps & Features>Optionale Features>Feature hinzufügen.

      2. Wählen Sie RSAT: Gruppenrichtlinie Verwaltungstools>Hinzufügen aus.

        Warten Sie, während Windows das Feature hinzufügt. Wenn der Vorgang abgeschlossen ist, wird es schließlich in der Windows-Verwaltungstools-App angezeigt.

        Screenshot der Windows-Verwaltungstools-Apps, einschließlich der App

    • Stellen Sie sicher, dass Sie über Internetzugriff und Administratorrechte für das Microsoft 365-Abonnement verfügen, das das Intune Admin Center umfasst.

Öffnen des Intune Admin Centers

  1. Öffnen Sie einen Chromium-Webbrowser, z. B. Microsoft Edge Version 77 und höher.

  2. Wechseln Sie zum Microsoft Intune Admin Center. Melden Sie sich mit dem folgenden Konto an:

    Benutzer: Geben Sie das Administratorkonto Ihres Microsoft 365-Mandantenabonnements ein.
    Kennwort: Geben Sie das zugehörige Kennwort ein.

Dieses Admin Center konzentriert sich auf die Geräteverwaltung und umfasst Azure-Dienste wie Microsoft Entra ID und Intune. Möglicherweise werden die Microsoft Entra ID und Intune Brandings nicht angezeigt, aber Sie verwenden sie.

Sie können das Intune Admin Center auch über die Microsoft 365 Admin Center öffnen:

  1. Gehen Sie zu https://admin.microsoft.com.

  2. Melden Sie sich mit dem Administratorkonto Ihres Microsoft 365-Mandantenabonnements an.

  3. Wählen Sie Alle>Admin Center> anzeigenEndpunktverwaltung aus. Das Intune Admin Center wird geöffnet.

    Screenshot: Alle Admin Center im Microsoft 365 Admin Center

Erstellen von Gruppen und Hinzufügen von Benutzern

Lokale Richtlinien werden in der LSDOU-Reihenfolge angewendet: lokal, Standort, Domäne und Organisationseinheit (OE). In dieser Hierarchie überschreiben Oe-Richtlinien lokale Richtlinien, Domänenrichtlinien überschreiben Standortrichtlinien usw.

In Intune werden Richtlinien auf Benutzer und von Ihnen erstellte Gruppen angewendet. Es gibt keine Hierarchie. Beispiel:

  • Wenn in zwei Richtlinien dieselbe Einstellung aktualisiert wird, wird diese Einstellung als Konflikt angezeigt.
  • Wenn zwei Konformitätsrichtlinien in Konflikt stehen, gilt die restriktivste Richtlinie.
  • Wenn zwei Konfigurationsprofile in Konflikt stehen, wird die Einstellung nicht angewendet.

Weitere Informationen finden Sie unter Allgemeine Fragen, Probleme und Lösungen für Geräterichtlinien und -profile.

In den nächsten Schritten erstellen Sie Sicherheitsgruppen und fügen diesen Gruppen Benutzer hinzu. Sie können einen Benutzer mehreren Gruppen hinzufügen. Beispielsweise ist es normal, dass ein Benutzer über mehrere Geräte verfügt, z. B. ein Surface Pro für die Arbeit und ein android mobiles Gerät für persönliche Geräte. Und es ist normal, dass eine Person von diesen mehreren Geräten aus auf Organisationsressourcen zugreift.

  1. Wählen Sie im Intune Admin Center Gruppen>Neue Gruppe aus.

  2. Legen Sie folgende Einstellungen fest:

    • Gruppentyp: Wählen Sie Sicherheit aus.
    • Gruppenname: Geben Sie Alle Windows 10 Studentengeräte ein.
    • Mitgliedschaftstyp: Wählen Sie Zugewiesen aus.

  3. Wählen Sie Mitglieder aus, und fügen Sie einige Geräte hinzu.

    Das Hinzufügen von Geräten ist optional. Das Ziel besteht darin, das Erstellen von Gruppen zu üben und zu wissen, wie Geräte hinzugefügt werden. Wenn Sie diese exemplarische Vorgehensweise in einer Produktionsumgebung verwenden, beachten Sie, was Sie tun.

  4. Auswählen>Erstellen Sie , um Ihre Änderungen zu speichern.

    Wird Ihre Gruppe nicht angezeigt? Wählen Sie Aktualisieren aus.

  5. Wählen Sie Neue Gruppe aus, und geben Sie die folgenden Einstellungen ein:

    • Gruppentyp: Wählen Sie Sicherheit aus.

    • Gruppenname: Geben Sie Alle Windows-Geräte ein.

    • Mitgliedschaftstyp: Wählen Sie Dynamisches Gerät aus.

    • Dynamische Gerätemitglieder: Wählen Sie Dynamische Abfrage hinzufügen aus, und konfigurieren Sie Ihre Abfrage:

      • Eigenschaft: Wählen Sie deviceOSType aus.
      • Operator: Wählen Sie Gleich aus.
      • Wert: Geben Sie Windows ein.

      1. Wählen Sie Ausdruck hinzufügen aus. Ihr Ausdruck wird in der Regelsyntax angezeigt:

        Screenshot: Erstellen einer dynamischen Abfrage und Hinzufügen von Ausdrücken in einer Microsoft Intune administrativen Vorlage

        Wenn Benutzer oder Geräte die von Ihnen eingegebenen Kriterien erfüllen, werden sie automatisch den dynamischen Gruppen hinzugefügt. In diesem Beispiel werden Geräte automatisch zu dieser Gruppe hinzugefügt, wenn das Betriebssystem Windows ist. Wenn Sie diese exemplarische Vorgehensweise in einer Produktionsumgebung verwenden, sollten Sie vorsichtig sein. Das Ziel besteht darin, das Erstellen dynamischer Gruppen zu üben.

      2. Speichern>Erstellen Sie , um Ihre Änderungen zu speichern.

  6. Erstellen Sie die Gruppe Alle Lehrer mit den folgenden Einstellungen:

    • Gruppentyp: Wählen Sie Sicherheit aus.

    • Gruppenname: Geben Sie Alle Lehrer ein.

    • Mitgliedschaftstyp: Wählen Sie Dynamischer Benutzer aus.

    • Dynamische Benutzermitglieder: Wählen Sie Dynamische Abfrage hinzufügen aus, und konfigurieren Sie Ihre Abfrage:

      • Eigenschaft: Wählen Sie Abteilung aus.

      • Operator: Wählen Sie Gleich aus.

      • Wert: Geben Sie Lehrer ein.

        1. Wählen Sie Ausdruck hinzufügen aus. Ihr Ausdruck wird in der Regelsyntax angezeigt.

          Wenn Benutzer oder Geräte die von Ihnen eingegebenen Kriterien erfüllen, werden sie automatisch den dynamischen Gruppen hinzugefügt. In diesem Beispiel werden Benutzer automatisch zu dieser Gruppe hinzugefügt, wenn ihre Abteilung Lehrer ist. Sie können die Abteilung und andere Eigenschaften eingeben, wenn Benutzer Ihrem organization hinzugefügt werden. Wenn Sie diese exemplarische Vorgehensweise in einer Produktionsumgebung verwenden, sollten Sie vorsichtig sein. Das Ziel besteht darin, das Erstellen dynamischer Gruppen zu üben.

        2. Speichern>Erstellen Sie , um Ihre Änderungen zu speichern.

Gesprächspunkte

  • Dynamische Gruppen sind ein Feature in Microsoft Entra ID P1 oder P2. Wenn Sie nicht über Microsoft Entra ID P1 oder P2 verfügen, sind Sie berechtigt, nur zugewiesene Gruppen zu erstellen. Weitere Informationen zu dynamischen Gruppen findest du unter:

  • Microsoft Entra ID P1 oder P2 umfasst andere Dienste, die häufig bei der Verwaltung von Apps und Geräten verwendet werden, einschließlich mehrstufiger Authentifizierung (MFA) und bedingter Zugriff.

  • Viele Administratoren fragen, wann Benutzergruppen und wann Gerätegruppen verwendet werden sollen. Eine Anleitung finden Sie unter Benutzergruppen im Vergleich zu Gerätegruppen.

  • Denken Sie daran, dass ein Benutzer zu mehreren Gruppen gehören kann. Im Folgenden finden Sie einige weitere Beispiele für Gruppen, die Sie für dynamische Benutzer und Geräte erstellen können:

    • Alle Kursteilnehmer
    • Alle Android-Geräte
    • Alle iOS/iPadOS-Geräte
    • Marketing
    • Personalwesen
    • Alle Mitarbeiter in Charlotte
    • Alle Mitarbeiter in Redmond
    • IT-Administratoren an der Westküste
    • IT-Administratoren an der Ostküste

Die erstellten Benutzer und Gruppen werden auch im Microsoft 365 Admin Center, im Azure-Portal Microsoft Entra ID und im Azure-Portal Microsoft Intune angezeigt. Sie können Gruppen in all diesen Bereichen für Ihr Mandantenabonnement erstellen und verwalten. Wenn Ihr Ziel die Geräteverwaltung ist, verwenden Sie das Microsoft Intune Admin Center.

Überprüfen der Gruppenmitgliedschaft

  1. Wählen Sie im Intune Admin Center Benutzer>Alle Benutzer> wählen den Namen eines vorhandenen Benutzers aus.
  2. Überprüfen Sie einige der Informationen, die Sie hinzufügen oder ändern können. Sehen Sie sich beispielsweise die Eigenschaften an, die Sie konfigurieren können, z. B. Position, Abteilung, Stadt, Bürostandort und vieles mehr. Sie können diese Eigenschaften in Ihren dynamischen Abfragen verwenden, wenn Sie dynamische Gruppen erstellen.
  3. Wählen Sie Gruppen aus, um die Mitgliedschaft dieses Benutzers anzuzeigen. Sie können den Benutzer auch aus einer Gruppe entfernen.
  4. Wählen Sie einige der anderen Optionen aus, um weitere Informationen und ihre Möglichkeiten anzuzeigen. Sehen Sie sich beispielsweise die zugewiesene Lizenz, die Geräte des Benutzers und vieles mehr an.

Was habe ich gerade getan?

Im Intune Admin Center haben Sie neue Sicherheitsgruppen erstellt und vorhandene Benutzer und Geräte zu diesen Gruppen hinzugefügt. Wir verwenden diese Gruppen in späteren Schritten in diesem Tutorial.

Erstellen einer Vorlage in Intune

In diesem Abschnitt erstellen wir eine administrative Vorlage in Intune, sehen uns einige Einstellungen in Gruppenrichtlinie-Verwaltung an und vergleichen dieselbe Einstellung in Intune. Das Ziel besteht darin, eine Einstellung in der Gruppenrichtlinie anzuzeigen und dieselbe Einstellung in Intune anzuzeigen.

  1. Wählen Sie im Intune Admin Centergerätekonfiguration>>Erstellen aus.

  2. Geben Sie die folgenden Eigenschaften ein:

    • Plattform: Wählen Sie Windows 10 und höher aus.
    • Profiltyp: Wählen Sie Administrative Vorlagen aus.

  3. Wählen Sie Erstellen aus.

  4. Geben Sie in Grundlagen die folgenden Eigenschaften ein:

    • Name: Geben Sie einen aussagekräftigen Namen für das Profil ein. Benennen Sie Ihre Profile, damit Sie diese später leicht wiedererkennen. Geben Sie z. B. Admin Vorlage ein– Windows 10 Kursteilnehmergeräte.
    • Beschreibung: Geben Sie eine Beschreibung für das Profil ein. Diese Einstellung ist optional, wird jedoch empfohlen.

  5. Wählen Sie Weiter aus.

  6. Unter Konfigurationseinstellungen wird unter Alle Einstellungen eine alphabetische Liste aller Einstellungen angezeigt. Sie können auch Einstellungen filtern, die für Geräte gelten (Computerkonfiguration) und Einstellungen, die für Benutzer gelten (Benutzerkonfiguration):

    Screenshot: Anwenden von ADMX-Vorlageneinstellungen auf Benutzer und Geräte in Microsoft Intune

  7. Erweitern Sie Computerkonfiguration>Microsoft Edge> wählen Sie SmartScreen-Einstellungen aus. Beachten Sie den Pfad zur Richtlinie und alle verfügbaren Einstellungen:

    Screenshot: Anzeigen der Microsoft Edge SmartScreen-Richtlinieneinstellungen in ADMX-Vorlagen in Microsoft Intune

  8. Geben Sie in der Suche download ein. Beachten Sie, dass die Richtlinieneinstellungen gefiltert sind:

    Screenshot: Filtern der Microsoft Edge SmartScreen-Richtlinieneinstellungen in einer Microsoft Intune ADMX-Vorlage

Open Gruppenrichtlinie Management

In diesem Abschnitt werden eine Richtlinie in Intune und die entsprechende Richtlinie in Gruppenrichtlinie Management Editor angezeigt.

Vergleichen einer Geräterichtlinie

  1. Öffnen Sie auf dem Admin Computer die App Gruppenrichtlinie Verwaltung.

    Diese App wird mit RSAT: Gruppenrichtlinie Management Tools installiert. Dies ist ein optionales Feature, das Sie unter Windows hinzufügen. Voraussetzungen (in diesem Artikel) listet die Schritte zum Installieren auf.

  2. Erweitern Sie Domänen> wählen Sie Ihre Domäne aus. Wählen Sie z. B. aus contoso.net.

  3. Klicken Sie mit der rechten Maustaste auf die OfficeundEdge-Richtlinie>Bearbeiten. Die app Gruppenrichtlinie Management Editor wird geöffnet.

    Screenshot, der zeigt, wie Sie mit der rechten Maustaste auf die lokale Office- und Microsoft Edge ADMX-Gruppenrichtlinie klicken und Bearbeiten auswählen.

    OfficeandEdge ist eine Gruppenrichtlinie, die die Office- und Microsoft Edge ADMX-Vorlagen enthält. Diese Richtlinie wird unter Voraussetzungen (in diesem Artikel) beschrieben.

  4. Erweitern Sie Computerkonfigurationsrichtlinien>>Administrative Vorlagen>Systemsteuerung>Personalisierung. Beachten Sie die verfügbaren Einstellungen.

    Screenshot: Erweitern der Computerkonfiguration in lokalen Gruppenrichtlinie Management Editor und Wechseln zu Personalisierung

    Doppelklicken Sie auf Aktivieren der Sperrbildschirmkamera verhindern, und sehen Sie sich die verfügbaren Optionen an:

    Screenshot, der zeigt, wie die Optionen für die Lokale Computerkonfiguration in der Gruppenrichtlinie angezeigt werden.

  5. Wechseln Sie im Intune Admin Center zu Ihrer Admin-Vorlage – Windows 10 Vorlage für Schülergeräte.

  6. Wählen Sie Computerkonfiguration>Systemsteuerung>Personalisierung aus. Beachten Sie die verfügbaren Einstellungen:

    Screenshot: Einstellungspfad für Personalisierungsrichtlinien in Microsoft Intune

    Der Einstellungstyp ist Device, und der Pfad ist /Control Panel/Personalization. Dieser Pfad ähnelt dem, was Sie gerade in Gruppenrichtlinie Management Editor gesehen haben. Wenn Sie die Einstellung Aktivieren der Sperrbildschirmkamera verhindern öffnen, werden die gleichen Optionen Nicht konfiguriert, Aktiviert und Deaktiviert angezeigt, die auch in Gruppenrichtlinie Management Editor angezeigt werden.

Vergleichen einer Benutzerrichtlinie

  1. Wählen Sie in Ihrer Administratorvorlage Computerkonfiguration>Alle Einstellungen aus, und suchen Sie nach inprivate browsing. Beachten Sie den Pfad.

    Führen Sie die gleichen Schritte für die Benutzerkonfiguration aus. Wählen Sie Alle Einstellungen aus, und suchen Sie nach inprivate browsing.

  2. Suchen Sie in Gruppenrichtlinie Management Editor die entsprechenden Benutzer- und Geräteeinstellungen:

    • Gerät: Erweitern Sie Computerkonfigurationsrichtlinien>>Administrative Vorlagen>Windows-Komponenten>Internet Explorer> DatenschutzDeaktivieren Des InPrivate-Browsens>.
    • Benutzer: Erweitern Sie Benutzerkonfigurationsrichtlinien>>Administrative Vorlagen>Windows-Komponenten>Internet Explorer> DatenschutzDeaktivieren Des InPrivate-Browsens>.

    Screenshot: Deaktivieren des InPrivate-Browsens in Internet Explorer mithilfe einer ADMX-Vorlage

Tipp

Um die integrierten Windows-Richtlinien anzuzeigen, können Sie auch GPEdit (Gruppenrichtlinien-App bearbeiten ) verwenden.

Vergleichen einer Microsoft Edge-Richtlinie

  1. Wechseln Sie im Intune Admin Center zu Ihrer Admin-Vorlage – Windows 10 Vorlage für Schülergeräte.

  2. Erweitern Sie Computerkonfiguration>Microsoft Edge-Start>, Startseite und neue Registerkartenseite. Beachten Sie die verfügbaren Einstellungen.

    Führen Sie die gleichen Schritte für die Benutzerkonfiguration aus.

  3. Suchen Sie in Gruppenrichtlinie management Editor die folgenden Einstellungen:

    • Gerät: Erweitern Sie Computerkonfigurationsrichtlinien>>Administrative Vorlagen>Microsoft Edge-Start>, Startseite und neue Registerkartenseite.
    • Benutzer: Erweitern Sie Benutzerkonfigurationsrichtlinien>>Administrative Vorlagen>Microsoft Edge-Start>, Startseite und neue Registerkartenseite.

Was habe ich gerade getan?

Sie haben eine administrative Vorlage in Intune erstellt. In dieser Vorlage haben wir einige ADMX-Einstellungen und die gleichen ADMX-Einstellungen in Gruppenrichtlinie Management untersucht.

Hinzufügen von Einstellungen zur Administratorvorlage "Studenten"

In dieser Vorlage konfigurieren wir einige Internet-Explorer-Einstellungen, um Geräte zu sperren, die von mehreren Kursteilnehmern gemeinsam genutzt werden.

  1. Erweitern Sie in Ihrer Admin-Vorlage – Windows 10 Kursteilnehmergerätencomputerkonfiguration, wählen Sie Alle Einstellungen aus, und suchen Sie nach InPrivate-Browsen deaktivieren:

    Screenshot: Deaktivieren der Geräterichtlinie

  2. Wählen Sie die Einstellung InPrivate-Browsen deaktivieren aus. Beachten Sie in diesem Fenster die Beschreibung und die Werte, die Sie festlegen können. Diese Optionen ähneln denen in der Gruppenrichtlinie.

  3. Wählen Sie Aktiviert>OK aus, um Ihre Änderungen zu speichern.

  4. Konfigurieren Sie außerdem die folgenden Einstellungen für internet Explorer. Achten Sie darauf, dass Sie OK auswählen, um Ihre Änderungen zu speichern.

    • Ziehen und Ablegen oder Kopieren und Einfügen von Dateien zulassen

      • Typ: Gerät
      • Pfad: \Windows Components\Internet Explorer\Internet Systemsteuerung\Security Page\Internet Zone
      • Wert: Deaktiviert

    • Verhindern des Ignorierens von Zertifikatfehlern

      • Typ: Gerät
      • Pfad: \Windows-Komponenten\Internet Explorer\Internet Systemsteuerung
      • Wert: Aktiviert

    • Ändern der Startseiteneinstellungen deaktivieren

      • Typ: Benutzer
      • Pfad: \Windows-Komponenten\Internet Explorer
      • Wert: Aktiviert
      • Startseite: Geben Sie eine URL ein, z contoso.com. B. .

  5. Löschen Sie den Suchfilter. Beachten Sie, dass die von Ihnen konfigurierten Einstellungen oben aufgeführt sind:

    Screenshot, der zeigt, dass die konfigurierten ADMX-Einstellungen oben in Microsoft Intune aufgeführt sind.

Zuweisen Ihrer Vorlage

  1. Wählen Sie in Ihrer Vorlage Weiter aus, bis Sie zu Zuweisungen gelangen. Wählen Sie Gruppen auswählen aus, die eingeschlossen werden sollen:

    Screenshot, der zeigt, wie Sie Ihr administratorbasiertes Vorlagenprofil aus der Liste Gerätekonfigurationsprofile in Microsoft Intune auswählen.

  2. Eine Liste vorhandener Benutzer und Gruppen wird angezeigt. Wählen Sie die Gruppe Alle Windows 10 Kursteilnehmergeräte aus, die Sie zuvor > erstellt haben Auswählen.

    Wenn Sie diese exemplarische Vorgehensweise in einer Produktionsumgebung verwenden, sollten Sie erwägen, leere Gruppen hinzuzufügen. Das Ziel besteht darin, die Zuweisung Ihrer Vorlage zu üben.

  3. Wählen Sie Weiter aus. Wählen Sie unter Überprüfen + erstellendie Option Erstellen aus, um Ihre Änderungen zu speichern.

Sobald das Profil gespeichert ist, gilt es für die Geräte, wenn sie mit Intune einchecken. Wenn die Geräte mit dem Internet verbunden sind, kann dies sofort geschehen. Weitere Informationen zu Den Aktualisierungszeiten für Richtlinien finden Sie unter Wie lange dauert es, bis Geräte eine Richtlinie, ein Profil oder eine App erhalten?

Wenn Sie strenge oder restriktive Richtlinien und Profile zuweisen, sperren Sie sich nicht aus. Erwägen Sie das Erstellen einer Gruppe, die von Ihren Richtlinien und Profilen ausgeschlossen ist. Die Idee besteht darin, Zugriff auf die Problembehandlung zu haben. Überwachen Sie diese Gruppe, um zu bestätigen, dass sie wie beabsichtigt verwendet wird.

Was habe ich gerade getan?

Im Intune Admin Center haben Sie ein Administratorvorlagen-Gerätekonfigurationsprofil erstellt und dieses Profil einer von Ihnen erstellten Gruppe zugewiesen.

Erstellen einer OneDrive-Vorlage

In diesem Abschnitt erstellen Sie eine OneDrive-Administratorvorlage in Intune, um einige Einstellungen zu steuern. Diese spezifischen Einstellungen werden ausgewählt, da sie häufig von Organisationen verwendet werden.

  1. Erstellen Sie ein weiteres Profil (Gerätekonfiguration>>erstellen).

  2. Geben Sie die folgenden Eigenschaften ein:

    • Plattform: Wählen Sie Windows 10 und höher aus.
    • Profiltyp: Wählen Sie Administrative Vorlagen aus.

  3. Wählen Sie Erstellen aus.

  4. Geben Sie in Grundlagen die folgenden Eigenschaften ein:

    • Name: Geben Sie Admin Vorlage ein: OneDrive-Richtlinien, die für alle Windows 10 Benutzer gelten.
    • Beschreibung: Geben Sie eine Beschreibung für das Profil ein. Diese Einstellung ist optional, wird jedoch empfohlen.

  5. Wählen Sie Weiter aus.

  6. Konfigurieren Sie unter Konfigurationseinstellungen die folgenden Einstellungen. Achten Sie darauf, dass Sie OK auswählen, um Ihre Änderungen zu speichern:

    • Computerkonfiguration:

      • Benutzer automatisch mit ihren Windows-Anmeldeinformationen beim OneDrive-Synchronisierungsclient anmelden
        • Typ: Gerät
        • Wert: Aktiviert
      • OneDrive-Dateien bei Bedarf verwenden
        • Typ: Gerät
        • Wert: Aktiviert

    • Benutzerkonfiguration:

      • Benutzer an der Synchronisierung persönlicher OneDrive-Konten hindern
        • Typ: Benutzer
        • Wert: Aktiviert

Ihre Einstellungen sehen ähnlich aus wie die folgenden:

Screenshot: Erstellen einer administrativen OneDrive-Vorlage in Microsoft Intune

Weitere Informationen zu Den OneDrive-Clienteinstellungen findest du unter Verwenden von Gruppenrichtlinie zum Steuern OneDrive-Synchronisation Clienteinstellungen.

Zuweisen Ihrer Vorlage

  1. Wählen Sie in Ihrer Vorlage Weiter aus, bis Sie zu Zuweisungen gelangen. Wählen Sie Gruppen auswählen aus, die eingeschlossen werden sollen:

  2. Eine Liste vorhandener Benutzer und Gruppen wird angezeigt. Wählen Sie die Gruppe Alle Windows-Geräte aus, die Sie zuvor > erstellt haben Auswählen.

    Wenn Sie diese exemplarische Vorgehensweise in einer Produktionsumgebung verwenden, sollten Sie erwägen, leere Gruppen hinzuzufügen. Das Ziel besteht darin, die Zuweisung Ihrer Vorlage zu üben.

  3. Wählen Sie Weiter aus. Wählen Sie unter Überprüfen + erstellendie Option Erstellen aus, um Ihre Änderungen zu speichern.

An diesem Punkt haben Sie einige administrative Vorlagen erstellt und den von Ihnen erstellten Gruppen zugewiesen. Der nächste Schritt besteht darin, eine administrative Vorlage mithilfe von Windows PowerShell und dem Microsoft-Graph-API für Intune zu erstellen.

Optional: Erstellen einer Richtlinie mithilfe von PowerShell und Graph-API

In diesem Abschnitt werden die folgenden Ressourcen verwendet. Wir installieren diese Ressourcen in diesem Abschnitt.

  1. Öffnen Sie auf dem Admin ComputerWindows PowerShell als Administrator:

    1. Geben Sie in der Suchleiste powershell ein.
    2. Klicken Sie mit der rechten Maustaste auf Windows PowerShell >Als Administrator ausführen.

    Screenshot: Ausführen von Windows PowerShell als Administrator

  2. Rufen Sie die Ausführungsrichtlinie ab, und legen Sie sie fest.

    1. Eingeben: get-ExecutionPolicy

      Notieren Sie sich, auf was die Richtlinie festgelegt ist, die möglicherweise eingeschränkt sein kann. Wenn Sie mit der exemplarischen Vorgehensweise fertig sind, legen Sie sie wieder auf ihren ursprünglichen Wert fest.

    2. Eingeben: Set-ExecutionPolicy -ExecutionPolicy Unrestricted

    3. Geben Sie ein Y , um sie zu ändern.

    Die Ausführungsrichtlinie von PowerShell verhindert die Ausführung schädlicher Skripts. Weitere Informationen findest du unter Informationen zu Ausführungsrichtlinien.

  3. Eingeben: Install-Module -Name Microsoft.Graph.Intune

    Geben Sie ein Y , wenn:

    • Aufgefordert, den NuGet-Anbieter zu installieren
    • Aufgefordert, die Module aus einem nicht vertrauenswürdigen Repository zu installieren

    Es kann einige Minuten dauern, bis der Vorgang abgeschlossen ist. Wenn Sie fertig sind, wird eine Eingabeaufforderung ähnlich der folgenden Eingabeaufforderung angezeigt:

    Screenshot der Windows PowerShell Eingabeaufforderung nach der Installation eines Moduls.

  4. Navigieren Sie in Ihrem Webbrowser zu https://github.com/Microsoft/Intune-PowerShell-SDK/releases, und wählen Sie die Intune-PowerShell-SDK_v6.1907.00921.0001.zip Datei aus.

    1. Wählen Sie Speichern unter aus, und wählen Sie einen Ordner aus, den Sie sich merken werden. c:\psscripts ist eine gute Wahl.

    2. Öffnen Sie Ihren Ordner, klicken Sie mit der rechten Maustaste auf die .zip Datei >AlleExtrahieren extrahieren>. Ihre Ordnerstruktur sieht in etwa wie der folgende Ordner aus:

      Screenshot: Intune PowerShell SDK-Ordnerstruktur nach dem Extrahieren

  5. Aktivieren Sie auf der Registerkarte Ansicht die Option Dateinamenerweiterungen:

    Screenshot: Auswählen von Dateinamenerweiterungen auf der Registerkarte

  6. Navigieren Sie in Ihrem Ordner zu c:\psscripts\Intune-PowerShell-SDK_v6.1907.00921.0001\drop\outputs\build\Release\net471. Klicken Sie mit der rechten Maustaste auf jedes .dll >Eigenschaften>Blockierung aufheben.

    Screenshot: Aufheben der Blockierung der DLLs

  7. Geben Sie in Ihrer Windows PowerShell-App Folgendes ein:

    Import-Module c:\psscripts\Intune-PowerShell-SDK_v6.1907.00921.0001\drop\outputs\build\Release\net471\Microsoft.Graph.Intune.psd1

    Geben Sie ein R , wenn Sie vom nicht vertrauenswürdigen Herausgeber zur Ausführung aufgefordert werden.

  8. Intune administrativen Vorlagen verwenden die Betaversion von Graph:

    1. Eingeben: Update-MSGraphEnvironment -SchemaVersion 'beta'

    2. Eingeben: Connect-MSGraph -AdminConsent

    3. Melden Sie sich mit demselben Microsoft 365-Administratorkonto an, wenn Sie dazu aufgefordert werden. Diese Cmdlets erstellen die Richtlinie in Ihrem Mandanten organization.

      Benutzer: Geben Sie das Administratorkonto Ihres Microsoft 365-Mandantenabonnements ein.
      Kennwort: Geben Sie das zugehörige Kennwort ein.

    4. Wählen Sie Annehmen aus.

  9. Erstellen Sie das Konfigurationsprofil "Testkonfiguration ". Eingeben:

    $configuration = Invoke-MSGraphRequest -Url https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations -Content '{"displayName":"Test Configuration","description":"A test configuration created through PS"}' -HttpMethod POST

    Wenn diese Cmdlets erfolgreich sind, wird das Profil erstellt. Wechseln Sie zur Bestätigung zum Intune Admin Center >Gerätekonfiguration>. Ihr Testkonfigurationsprofil sollte aufgeführt werden.

  10. Rufen Sie alle SettingDefinitions ab. Eingeben:

    $settingDefinitions = Invoke-MSGraphRequest -Url https://graph.microsoft.com/beta/deviceManagement/groupPolicyDefinitions -HttpMethod GET

  11. Suchen Sie die Definitions-ID mithilfe des Anzeigenamens der Einstellung. Eingeben:

    $desiredSettingDefinition = $settingDefinitions.value | ? {$_.DisplayName -Match "Silently sign in users to the OneDrive sync app with their Windows credentials"}

  12. Konfigurieren Sie eine Einstellung. Eingeben:

    $configuredSetting = Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues" -Content ("{""enabled"":""true"",""configurationType"":""policy"",""definition@odata.bind"":""https://graph.microsoft.com/beta/deviceManagement/groupPolicyDefinitions('$($desiredSettingDefinition.id)')""}") -HttpMethod POST

    Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues('$($configuredSetting.id)')" -Content ("{""enabled"":""false""}") -HttpMethod PATCH

    $configuredSetting = Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues('$($configuredSetting.id)')" -HttpMethod GET

Anzeigen Ihrer Richtlinie

  1. Im Intune Admin Center >Gerätekonfiguration>aktualisieren>.
  2. Wählen Sie Ihre Testkonfigurationsprofileinstellungen>aus.
  3. Wählen Sie in der Dropdownliste Alle Produkte aus.

Sie sehen die Einstellung Benutzer automatisch anmelden beim OneDrive-Synchronisation Client mit ihren Windows-Anmeldeinformationen konfiguriert ist.

Bewährte Methoden für Richtlinien

Wenn Sie Richtlinien und Profile in Intune erstellen, müssen Einige Empfehlungen und bewährte Methoden berücksichtigt werden. Weitere Informationen findest du unter Bewährte Methoden für Richtlinien und Profile.

Ressourcen bereinigen

Wenn Sie nicht mehr benötigt werden, haben Sie folgende Möglichkeiten:

  • Löschen Sie die von Ihnen erstellten Gruppen:

    • Alle Windows 10 Schülergeräte
    • Alle Windows-Geräte
    • Alle Lehrer

  • Löschen Sie die von Ihnen erstellten Administratorvorlagen:

    • Admin-Vorlage – Windows 10 Von Kursteilnehmern
    • Admin-Vorlage: OneDrive-Richtlinien, die für alle Windows 10 Benutzer gelten
    • Testkonfiguration

  • Legen Sie die Windows PowerShell Ausführungsrichtlinie wieder auf ihren ursprünglichen Wert fest. Im folgenden Beispiel wird die Ausführungsrichtlinie auf Restricted festgelegt:

    Set-ExecutionPolicy -ExecutionPolicy Restricted

Nächste Schritte

In diesem Tutorial haben Sie sich mit dem Microsoft Intune Admin Center vertraut, den Abfrage-Generator zum Erstellen dynamischer Gruppen verwendet und administrative Vorlagen in Intune erstellt, um ADMX-Einstellungen zu konfigurieren. Außerdem haben Sie die Verwendung von ADMX-Vorlagen lokal und in der Cloud mit Intune verglichen. Als Bonus haben Sie PowerShell-Cmdlets verwendet, um eine administrative Vorlage zu erstellen.

Weitere Informationen zu administrativen Vorlagen in Intune:

Verwenden von Windows 10/11-Vorlagen zum Konfigurieren von Gruppenrichtlinieneinstellungen in Intune