Zuweisen von Richtlinien in Microsoft Intune

  • Artikel

Wenn Sie eine Intune-Richtlinie erstellen, enthält diese alle Einstellungen, die Sie innerhalb der Richtlinie hinzugefügt und konfiguriert haben. Wenn die Richtlinie bereit für die Bereitstellung ist, besteht der nächste Schritt darin, die Richtlinie Ihren Benutzern oder Gerätegruppen zuzuweisen. Wenn sie zugewiesen wird, erhalten die Benutzer und Geräte Ihre Richtlinie, und die von Ihnen eingegebenen Einstellungen werden angewendet.

In Intune können Sie die folgenden Richtlinien erstellen und zuweisen:

  • App-Schutzrichtlinien
  • App-Konfigurationsrichtlinien
  • Compliancerichtlinien
  • Richtlinien für bedingten Zugriff
  • Gerätekonfigurierungsprofile
  • Registrierungsrichtlinien

In diesem Artikel erfahren Sie, wie Sie eine Richtlinie zuweisen, enthält einige Informationen zur Verwendung von Bereichstags, beschreibt, wann Sie Benutzergruppen oder Gerätegruppen Richtlinien zuweisen sollten und vieles mehr.

Bevor Sie beginnen:

Stellen Sie sicher, dass Sie über die richtige Rolle verfügen, um Richtlinien und Profile zuzuweisen. Weitere Informationen findest du unter Rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) mit Microsoft Intune.

Zuweisen einer Richtlinie zu Benutzern oder Gruppen

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wählen Sie Gerätekonfiguration> aus. Dort sind alle Profile aufgelistet.

  3. Wählen Sie das Profil aus, das Sie Eigenschaften>Zuweisungen>Bearbeiten zuweisen > möchten:

    So weisen Sie beispielsweise ein Gerätekonfigurationsprofil zu:

    1. Wechseln Sie zu Gerätekonfiguration>. Dort sind alle Profile aufgelistet.

    2. Wählen Sie die Richtlinie aus, die Sie Eigenschaften>Zuweisungen>Bearbeiten zuweisen > möchten:

      Screenshot: Auswählen von Zuweisungen zum Bereitstellen des Profils für Benutzer und Gruppen in Microsoft Intune

  4. Wählen Sie unter Eingeschlossene Gruppen oder Ausgeschlossene Gruppendie Option Gruppen hinzufügen aus, um eine oder mehrere Microsoft Entra Gruppen auszuwählen. Wenn Sie beabsichtigen, die Richtlinie allgemein auf allen anwendbaren Geräten bereitzustellen, wählen Sie Alle Benutzer hinzufügen oder Alle Geräte hinzufügen aus.

    Hinweis

    Wenn Sie "Alle Geräte" und "Alle Benutzer" auswählen, wird die Option zum Hinzufügen zusätzlicher Microsoft Entra Gruppen deaktiviert.

  5. Klicken Sie auf Überprüfen und speichern. In diesem Schritt wird Ihre Richtlinie nicht zugewiesen.

  6. Klicken Sie auf Speichern. Wenn Sie speichern, wird Ihre Richtlinie zugewiesen. Ihre Gruppen erhalten Ihre Richtlinieneinstellungen, wenn die Geräte beim Intune-Dienst einchecken.

Zuweisungsfeatures, die Sie kennen und verwenden sollten

Benutzer- und Gerätegruppen im Vergleich

Viele Benutzer fragen sich, ob sie besser Benutzergruppen oder Gerätegruppen verwenden sollen. Bei der Beantwortung dieser Frage spielt Ihr Ziel eine entscheidende Rolle. Nachfolgend finden Sie Informationen für den Einstieg.

Gerätegruppen

Wenn Sie Einstellungen auf einem Gerät anwenden möchten, unabhängig davon, wer angemeldet ist, weisen Sie Ihre Richtlinien einer Gerätegruppe zu. Einstellungen, die auf Gerätegruppen angewendet werden, gelten immer für das jeweilige Gerät und nicht für den Benutzer.

Beispiel:

  • Gerätegruppen sind nützlich für die Verwaltung von Geräten ohne dedizierten Benutzer. Geräte zum Drucken von Tickets oder zum Einscannen von Warenbeständen werden beispielsweise gemeinsam von Mitarbeitern in unterschiedlichen Schichten verwendet und sind einem bestimmten Lager zugewiesen. Platzieren Sie diese Geräte in einer Gerätegruppe, und weisen Sie Ihre Richtlinien dieser Gerätegruppe zu.

  • Sie erstellen ein Intune-Profil für die Schnittstelle zur Konfiguration der Gerätefirmware, das die Einstellungen im BIOS aktualisiert. Sie konfigurieren diese Richtlinie beispielsweise so, dass die Gerätekamera deaktiviert wird, oder sperren Sie die Startoptionen, um zu verhindern, dass Benutzer ein anderes Betriebssystem starten. Diese Richtlinie ist ein gutes Szenario zum Zuweisen zu einer Gerätegruppe.

  • Auf manchen Windows-Geräten sollten Sie immer einige Einstellungen für Microsoft Edge steuern – unabhängig davon, wer das Gerät verwendet. Möglicherweise möchten Sie alle Downloads blockieren, sämtliche Cookies auf die aktuelle Browsersitzung einschränken und den Browserverlauf löschen. Dafür bietet es sich an, diese Windows-Geräte einer Gerätegruppe zuzuordnen. Erstellen Sie dann eine administrative Vorlage in Intune, fügen Sie diese Geräteeinstellungen hinzu, und weisen Sie diese Richtlinie dann der Gerätegruppe zu.

Fazit: Verwenden Sie Gerätegruppen immer dann, wenn es keine Rolle spielt, wer bei dem jeweiligen Gerät angemeldet ist oder ob überhaupt jemand sich anmeldet. Damit sind Ihre Einstellungen immer auf dem Gerät gespeichert.

Benutzergruppen

Richtlinieneinstellungen, die auf Benutzergruppen angewendet werden, werden immer mit dem Benutzer und dem Benutzer verwendet, wenn er auf seinen vielen Geräten angemeldet ist. Es ist normal, dass Benutzer mehrere Geräte verwenden, z. B. ein Surface Pro für die Arbeit und ein iOS/iPadOS-Gerät für den Privatgebrauch. In der Regel greifen diese Benutzer dann auch über die verschiedenen Geräte auf E-Mails und andere Unternehmensressourcen zu.

Wenn ein Benutzer über mehrere Geräte auf derselben Plattform verfügt, können Sie Filter für die Gruppenzuweisung verwenden. Beispielsweise verfügt ein Benutzer über ein persönliches iOS-/iPadOS-Gerät und ein unternehmenseigenes iOS/iPadOS. Wenn Sie diesem Benutzer eine Richtlinie zuweisen, können Sie Filter verwenden, um nur das organisationseigene Gerät als Ziel festzulegen.

Befolgen Sie diese allgemeine Regel: Wenn ein Feature zu einem Benutzer gehört, z. B. E-Mail oder Benutzerzertifikate, weisen Sie dieses Benutzergruppen zu.

Beispiel:

  • Sie möchten ein Helpdesksymbol für alle Benutzer auf all ihren Geräten einrichten. Ordnen Sie in diesem Szenario diese Benutzer in eine Benutzergruppe ein, und weisen Sie ihrer Helpdesk-Symbolrichtlinie diese Benutzergruppe zu.

  • Ein Benutzer erhält ein neues Gerät, das der Organisation gehört. Er meldet sich mit seinem Domänenkonto bei dem Gerät an. Das Gerät wird automatisch in Microsoft Entra ID registriert und automatisch von Intune verwaltet. Diese Richtlinie ist ein gutes Szenario zum Zuweisen zu einer Benutzergruppe.

  • Wenn ein Benutzer sich bei einem Gerät anmeldet, sollten Sie Features über Apps wie OneDrive oder Office steuern. Weisen Sie in diesem Szenario Ihre OneDrive- oder Office-Richtlinieneinstellungen einer Benutzergruppe zu.

    Angenommen, Sie möchten nicht vertrauenswürdige ActiveX-Steuerelemente in Ihren Office-Apps blockieren. Sie können eine administrative Vorlage in Intune erstellen, diese Einstellung konfigurieren und diese Richtlinie dann einer Benutzergruppe zuweisen.

Fazit: Verwenden Sie Benutzergruppen immer dann, wenn Sie Ihre Einstellungen und Regeln mit dem Benutzer verknüpfen möchten – unabhängig davon, welches Gerät er verwendet.

Azure Virtual Desktop mit mehreren Sitzungen

Sie können Intune verwenden, um Windows-Remotedesktops mit mehreren Sitzungen zu verwalten, die mit Azure Virtual Desktop erstellt wurden, genau wie jedes andere freigegebene Windows-Clientgerät. Wenn Sie Benutzergruppen oder Geräten Richtlinien zuweisen, ist Azure Virtual Desktop mit mehreren Sitzungen ein besonderes Szenario. Wenn Sie diese virtuellen Computer verwenden, müssen Geräte-CSPs auf Gerätegruppen ausgerichtet sein. Benutzer-CSPs müssen auf Benutzergruppen abzielen.

Weitere Informationen findest du unter Verwenden von Azure Virtual Desktop mit mehreren Sitzungen mit Microsoft Intune.

Windows-CSPs und ihr Verhalten

Die Richtlinieneinstellungen für Windows-Geräte basieren auf den Konfigurationsdienstanbietern (Configuration Service Providers, CSPs). Diese Einstellungen werden Registrierungsschlüsseln oder Dateien auf den Geräten zugeordnet.

Folgendes müssen Sie über Windows CSPs wissen:

  • Intune macht diese CSPs verfügbar, sodass Sie diese Einstellungen konfigurieren und Ihren Windows-Geräten zuweisen können. Diese Einstellungen können mithilfe der integrierten Vorlagen und des Einstellungskatalogs konfiguriert werden. Im Einstellungskatalog sehen Sie, dass einige Einstellungen für den Benutzerbereich und einige Einstellungen für den Gerätebereich gelten.

    Informationen dazu, wie auf Benutzer bezogene und auf Geräte bezogene Einstellungen auf Windows-Geräte angewendet werden, finden Sie unter Einstellungskatalog: Einstellungen für Gerätebereich im Vergleich zu Benutzerbereich.

  • Wenn eine Richtlinie entfernt oder einem Gerät nicht mehr zugewiesen wird, können je nach den Einstellungen in der Richtlinie verschiedene Dinge passieren. Jeder CSP kann die Richtlinienentfernung unterschiedlich behandeln.

    Eine Einstellung könnte z. B. den vorhandenen Wert beibehalten und nicht auf einen Standardwert zurücksetzen. Das Verhalten wird von jedem CSP im Betriebssystem gesteuert. Eine Liste der Windows-CSPs finden Sie in der Referenz des Konfigurationsdienstanbieters (Configuration Service Provider, CSP).

    Um eine Einstellung in einen anderen Wert zu ändern, erstellen Sie eine neue Richtlinie, konfigurieren Sie die Einstellung auf Nicht konfiguriert, und weisen Sie die Richtlinie zu. Wenn die Richtlinie auf das Gerät angewendet wird, sollten Benutzer die Möglichkeit haben, die Einstellung in ihren bevorzugten Wert zu ändern.

  • Zum Konfigurieren dieser Einstellungen empfehlen wir die Bereitstellung für eine Pilotgruppe. Weitere Hinweise zum Intune-Rollout finden Sie unter Entwickeln eines Rolloutplans.

Ausschließen von Gruppen aus einer Richtlinienzuweisung

Intune Gerätekonfigurationsrichtlinien können Sie Gruppen in die Richtlinienzuweisung ein- und ausschließen.

Als bewährte Methode:

  • Erstellen und Zuweisen von Richtlinien speziell für Ihre Benutzergruppen. Verwenden von Filtern zum Ein- oder Ausschließen der Geräte dieser Benutzer
  • Erstellen und Zuweisen verschiedener Richtlinien speziell für Ihre Gerätegruppen.

Weitere Informationen zu Gruppen finden Sie unter Hinzufügen von Gruppen zum Organisieren von Benutzern und Geräten.

Prinzipien des Ein- und Ausschließens von Gruppen

Wenn Sie Ihre Richtlinien und Richtlinien zuweisen, wenden Sie die folgenden allgemeinen Prinzipien an:

  • Stellen Sie sich eingeschlossene Gruppen bzw. ausgeschlossene Gruppen als Startpunkt für die Benutzer und Geräte vor, die Ihre Richtlinien erhalten sollen. Die Microsoft Entra Gruppe ist die einschränkende Gruppe. Verwenden Sie daher den kleinstmöglichen Gruppenbereich. Verwenden Sie Filter, um Ihre Richtlinienzuweisung einzuschränken oder zu verfeinern.

  • Zugewiesene Microsoft Entra Gruppen, die auch als statische Gruppen bezeichnet werden, können eingeschlossenen gruppen oder ausgeschlossenen Gruppen hinzugefügt werden.

    In der Regel weisen Sie Geräte statisch einer Microsoft Entra-Gruppe zu, wenn sie in Microsoft Entra ID vorab registriert sind, z. B. bei Windows Autopilot. Das ist auch der Fall, wenn Sie beispielsweise Geräte für eine einmalige Bereitstellung oder Ad-hoc-Bereitstellung kombinieren. Andernfalls ist es möglicherweise nicht praktikabel, Geräte statisch einer Microsoft Entra-Gruppe zuzuweisen.

  • Dynamische Microsoft Entra Benutzergruppen können zu Eingeschlossenen Oder ausgeschlossenen Gruppen hinzugefügt werden.

  • Ausgeschlossene Gruppen können Gruppen mit Benutzern oder Gruppen mit Geräten sein.

  • Dynamische Microsoft Entra Gerätegruppen können zu Eingeschlossenen Gruppen hinzugefügt werden. Beim Auffüllen der dynamischen Gruppenmitgliedschaft kann es jedoch zu Wartezeiten kommen. Verwenden Sie in Latenzszenarios Filter, um bestimmte Geräte als Ziel zu verwenden, und weisen Sie Ihre Richtlinien den Benutzergruppen zu.

    Beispielsweise möchten Sie, dass Richtlinien Geräten zugewiesen werden, sobald sie registriert sind. Erstellen Sie in dieser latenzempfindlichen Situation einen Filter für die Zielgeräte, und weisen Sie die Richtlinie Benutzergruppen mithilfe dieses Filters zu. Weisen Sie es keinen Gerätegruppen zu.

    Erstellen Sie in einem Szenario ohne Benutzer einen Filter für die gewünschten Geräte, und weisen Sie die Richtlinie mit dem Filter der Gruppe "Alle Geräte" zu.

  • Vermeiden Sie das Hinzufügen dynamischer Microsoft Entra Gerätegruppen zu ausgeschlossenen Gruppen. Wartezeit bei der Berechnung dynamischer Gerätegruppen bei der Registrierung kann zu unerwünschten Ergebnissen führen. Beispielsweise können unerwünschte Apps und Richtlinien bereitgestellt werden, bevor die ausgeschlossene Gruppenmitgliedschaft aufgefüllt wird.

Unterstützungsmatrix

Verwenden Sie die folgende Matrix, um die Unterstützung für das Ausschließen von Gruppen zu verstehen:

  • ✔️: Unterstützt
  • ❌: Nicht unterstützt
  • ❕: Teilweise unterstützt

Screenshot: Unterstützte Optionen zum Ein- oder Ausschließen von Gruppen aus einer Richtlinienzuweisung

Szenario Support
1 ❕ Das teilweise unterstützte

Zuweisen von Richtlinien zu einer dynamischen Gerätegruppe beim Ausschließen einer anderen dynamischen Gerätegruppe wird unterstützt. Diese Vorgehensweise wird jedoch nicht in Szenarios empfohlen, die zu Wartezeiten tendieren. Jede Verzögerung bei der Berechnung einer Ausschlussgruppenmitgliedschaft kann dazu führen, dass Geräten Richtlinien angeboten werden. In diesem Szenario empfehlen wir die Verwendung von Filtern anstelle von dynamischen Gerätegruppen zum Ausschließen von Geräten.

Beispielsweise verfügen Sie über eine Geräterichtlinie, die Allen Geräten zugewiesen ist. Später ist es erforderlich, dass neue Marketinggeräte diese Richtlinie nicht erhalten. Daher erstellen Sie eine dynamische Gerätegruppe namens Marketinggeräte auf Basis der enrollmentProfilename-Eigenschaft (device.enrollmentProfileName -eq "Marketing_devices"). In der Richtlinie fügen Sie die dynamische Gruppe Marketinggeräte als ausgeschlossene Gruppe hinzu.

Ein neues Marketinggerät wird zum ersten Mal bei Intune registriert, und ein neues Microsoft Entra Geräteobjekt wird erstellt. Beim Einfügen in eine dynamischen Gruppe wird das Gerät mit einer möglichen verzögerten Berechnung in der Gruppe Marketinggeräte abgelegt. Gleichzeitig wird das Gerät bei Intune registriert und empfängt ab jetzt alle anwendbaren Richtlinien. Die Intune-Richtlinie kann bereitgestellt werden, bevor das Gerät in die Ausschlussgruppe aufgenommen wird. Dieses Verhalten führt dazu, dass eine unerwünschte Richtlinie (oder App) für die Gruppe Marketinggeräte bereitgestellt wird.

Daher wird davon abgeraten, dynamische Gerätegruppen für Ausschlüsse in Latenzszenarien zu verwenden. Verwenden Sie stattdessen Filter.
2 ✔️ Unterstützt

Das Zuweisen einer Richtlinie zu einer dynamischen Gerätegruppe beim Ausschließen einer statischen Gerätegruppe wird unterstützt.
3 ❌ Nicht unterstützt

Das Zuweisen einer Richtlinie zu einer dynamischen Gerätegruppe beim Ausschließen von Benutzergruppen (sowohl dynamisch als auch statisch) wird nicht unterstützt. Intune wertet keine Benutzer-zu-Gerät-Gruppenbeziehungen aus, und Geräte der einbezogenen Benutzer werden nicht ausgeschlossen.
4

Das Zuweisen einer Richtlinie zu einer dynamischen Gerätegruppe und das Ausschließen von Benutzergruppen (sowohl dynamisch als auch statisch) wird nicht unterstützt. Intune wertet keine Benutzer-zu-Gerät-Gruppenbeziehungen aus, und Geräte der einbezogenen Benutzer werden nicht ausgeschlossen.
5 ❕ Teilweise unterstützt

wird das Zuweisen einer Richtlinie zu einer statischen Gerätegruppe beim Ausschließen einer dynamischen Gerätegruppe. Diese Vorgehensweise wird jedoch nicht in Szenarios empfohlen, die zu Wartezeiten tendieren. Jede Verzögerung bei der Berechnung einer Ausschlussgruppenmitgliedschaft kann dazu führen, dass Geräten Richtlinien angeboten werden. In diesem Szenario empfehlen wir die Verwendung von Filtern anstelle von dynamischen Gerätegruppen zum Ausschließen von Geräten.
6 ✔️ Unterstützt

Das Zuweisen einer Richtlinie zu einer statischen Gerätegruppe und das Ausschließen einer anderen statischen Gerätegruppe wird unterstützt.
7

Das Zuweisen einer Richtlinie zu einer statischen Gerätegruppe und das Ausschließen von Benutzergruppen (dynamisch und statisch) wird nicht unterstützt. Intune wertet keine Benutzer-zu-Gerät-Gruppenbeziehungen aus, und Geräte der einbezogenen Benutzer werden nicht ausgeschlossen.
8

Das Zuweisen einer Richtlinie zu einer statischen Gerätegruppe und das Ausschließen von Benutzergruppen (dynamisch und statisch) wird nicht unterstützt. Intune wertet keine Benutzer-zu-Gerät-Gruppenbeziehungen aus, und Geräte der einbezogenen Benutzer werden nicht ausgeschlossen.
9

Das Zuweisen einer Richtlinie zu einer dynamischen Benutzergruppe und das Ausschließen von Gerätegruppen (dynamisch und statisch) wird nicht unterstützt.
10

Das Zuweisen einer Richtlinie zu einer dynamischen Benutzergruppe und das Ausschließen von Gerätegruppen (dynamisch und statisch) wird nicht unterstützt.
11 ✔️ Unterstützt

Das Zuweisen einer Richtlinie zu einer dynamischen Benutzergruppe beim Ausschließen anderer Benutzergruppen (sowohl dynamisch als auch statisch) wird unterstützt.
12 ✔️ Unterstützt

Das Zuweisen einer Richtlinie zu einer dynamischen Benutzergruppe beim Ausschließen anderer Benutzergruppen (sowohl dynamisch als auch statisch) wird unterstützt.
13

Das Zuweisen einer Richtlinie zu einer statischen Benutzergruppe beim Ausschließen von Gerätegruppen (dynamisch und statisch) wird nicht unterstützt.
14

Das Zuweisen einer Richtlinie zu einer statischen Benutzergruppe beim Ausschließen von Gerätegruppen (dynamisch und statisch) wird nicht unterstützt.
15 ✔️ Unterstützt

Das Zuweisen einer Richtlinie zu einer statischen Benutzergruppe beim Ausschließen anderer Benutzergruppen (sowohl dynamisch als auch statisch) wird unterstützt.
16 ✔️ Unterstützt

Das Zuweisen einer Richtlinie zu einer statischen Benutzergruppe beim Ausschließen anderer Benutzergruppen (sowohl dynamisch als auch statisch) wird unterstützt.

Nächste Schritte

Informationen zur Überwachung Ihrer Richtlinien und der Geräte, auf denen Ihre Richtlinien ausgeführt werden, finden Sie unter Überwachen von Geräteprofilen .