Zuweisen von Benutzer- und Geräteprofilen in Microsoft Intune

Wenn Sie ein Profil erstellen, enthält es alle Einstellungen, die Sie vorgenommen haben. Als Nächstes stellen Sie das Profil für eine Benutzer- oder Gerätegruppe bereit. Dieser Vorgang wird auch als „Zuweisen“ bezeichnet. Wenn Sie ein Profil zuweisen, erhalten Benutzer und Geräte das Profil, und die von Ihnen angegebenen Einstellungen werden angewendet.

In diesem Artikel wird erklärt, wie Sie ein Profil zuweisen können, und Sie erhalten Informationen zur Verwendung von Bereichsmarkierungen für Ihre Profile.

Hinweis

Wenn ein Profil entfernt wird oder nicht mehr einem Gerät zugewiesen ist, kann dies je nach den Einstellungen im Profil verschiedene Folgen haben. Die Einstellungen basieren auf CSPs, und jeder CSP kann mit der Entfernung des Profils anders umgehen. Eine Einstellung könnte z. B. den vorhandenen Wert beibehalten und nicht auf einen Standardwert zurücksetzen. Das Verhalten wird von jedem CSP im Betriebssystem gesteuert. Eine Liste der Windows-CSPs finden Sie in der Referenz des Konfigurationsdienstanbieters (Configuration Service Provider, CSP).

Wenn Sie den Wert einer Einstellung ändern möchten, erstellen Sie ein neues Profil, konfigurieren Sie die Einstellung Nicht konfiguriert, und weisen Sie das Profil zu. Nach Anwendung auf das Gerät sollten Benutzer die Einstellung auf ihren bevorzugten Wert ändern können.

Zum Konfigurieren dieser Einstellungen empfehlen wir die Bereitstellung für eine Pilotgruppe. Weitere Hinweise zum Intune-Rollout finden Sie unter Entwickeln eines Rolloutplans.

Bevor Sie beginnen

Stellen Sie sicher, dass Sie über die richtige Rolle zum Zuweisen von Profilen verfügen. Weitere Informationen finden Sie unter Rollenbasierte Zugriffssteuerung (RBAC) mit Microsoft Intune.

Zuweisen eines Geräteprofils

  1. Melden Sie sich beim Microsoft Endpoint Manager Admin Center an.

  2. Wählen Sie Geräte > Konfigurationsprofile aus. Dort sind alle Profile aufgelistet.

  3. Wählen Sie das Profil aus, das Sie zuweisen möchten, und klicken Sie auf Eigenschaften > Zuweisungen > Bearbeiten:

    Auswählen von Zuweisungen zum Bereitstellen des Profils für Benutzer und Gruppen in Microsoft Intune und Endpoint Manager

  4. Wählen Sie Eingeschlossene Gruppen oder Ausgeschlossene Gruppen aus, und klicken Sie dann auf Einzuschließende Gruppen auswählen. Wenn Sie die Gruppen auswählen, wählen Sie eine Azure AD-Gruppe aus. Halten Sie die STRG-Taste gedrückt, um mehrere Gruppen auszuwählen, und wählen Sie Ihre Gruppen aus.

    Ein- oder Ausschließen von Benutzern und Gruppen beim Zuweisen oder Bereitstellen eines Profils in Microsoft Intune und Endpoint Manager

  5. Klicken Sie auf Überprüfen und speichern. Diese Schritt weist das Profil nicht zu.

  6. Wählen Sie Speichern. Nach dem Speichern ist das Profil zugewiesen. Ihre Gruppen empfangen die Profileinstellungen, wenn die Geräte beim Intune-Dienst eingecheckt werden.

Verwenden von Bereichsmarkierungen oder Anwendbarkeitsregeln

Wenn Sie ein Profil erstellen oder aktualisieren, können Sie diesem auch Bereichsmarkierungen und Anwendbarkeitsregeln hinzufügen.

Bereichsmarkierungen sind eine gute Möglichkeit, Profile für bestimmte Gruppen wie z. B. US-NC IT Team oder JohnGlenn_ITDepartment zu filtern. Unter Verwenden der RBAC und von Bereichsmarkierungen für eine verteilte IT finden Sie weitere Informationen.

Auf Windows 10/11-Geräten können Sie Anwendbarkeitsregeln hinzufügen, sodass das Profil nur für eine bestimmte Betriebssystemversion oder eine bestimmte Windows-Edition gilt. Unter Anwendbarkeitsregeln finden Sie weitere Informationen.

Benutzer- und Gerätegruppen im Vergleich

Viele Benutzer fragen sich, ob sie besser Benutzergruppen oder Gerätegruppen verwenden sollen. Bei der Beantwortung dieser Frage spielt Ihr Ziel eine entscheidende Rolle. Nachfolgend finden Sie Informationen für den Einstieg.

Gerätegruppen

Wenn Sie Einstellungen auf ein Gerät anwenden möchten und es für Sie keine Rolle spielt, wer auf dem Gerät angemeldet ist, weisen Sie Ihre Profile einer Benutzergruppe zu. Einstellungen, die auf Gerätegruppen angewendet werden, gelten immer für das jeweilige Gerät und nicht für den Benutzer.

Beispiel:

  • Gerätegruppen sind nützlich für die Verwaltung von Geräten ohne dedizierten Benutzer. Geräte zum Drucken von Tickets oder zum Einscannen von Warenbeständen werden beispielsweise gemeinsam von Mitarbeitern in unterschiedlichen Schichten verwendet und sind einem bestimmten Lager zugewiesen. Ordnen Sie diese Geräte einer Gerätegruppe zu, und weisen Sie dieser Ihre Profile zu.

  • Sie erstellen ein Intune-Profil für die Schnittstelle zur Konfiguration der Gerätefirmware, das die Einstellungen im BIOS aktualisiert. Beispielsweise können Sie dieses Profil so konfigurieren, dass die Kamera des Geräts deaktiviert wird, oder die Startoptionen sperren, um zu verhindern, dass Benutzer ein anderes Betriebssystem starten. Es bietet sich hierbei an, dieses Profil einer Gerätegruppe zuzuweisen.

  • Auf manchen Windows-Geräten sollten Sie immer einige Einstellungen für Microsoft Edge steuern – unabhängig davon, wer das Gerät verwendet. Möglicherweise möchten Sie alle Downloads blockieren, sämtliche Cookies auf die aktuelle Browsersitzung einschränken und den Browserverlauf löschen. Dafür bietet es sich an, diese Windows-Geräte einer Gerätegruppe zuzuordnen. Erstellen Sie anschließend eine administrative Vorlage in Intune, fügen Sie diese Geräteeinstellungen hinzu, und weisen Sie dieses Profil anschließend der Gerätegruppe zu.

Fazit: Verwenden Sie Gerätegruppen immer dann, wenn es keine Rolle spielt, wer bei dem jeweiligen Gerät angemeldet ist oder ob überhaupt jemand sich anmeldet. Damit sind Ihre Einstellungen immer auf dem Gerät gespeichert.

Benutzergruppen

Profileinstellungen, die auf Benutzergruppen angewendet werden, gelten immer für den jeweiligen Benutzer, auch wenn er mehrere Geräte verwendet. Es ist normal, dass Benutzer mehrere Geräte verwenden, z. B. ein Surface Pro für die Arbeit und ein iOS/iPadOS-Gerät für den Privatgebrauch. In der Regel greifen diese Benutzer dann auch über die verschiedenen Geräte auf E-Mails und andere Unternehmensressourcen zu.

Wenn ein Benutzer über mehrere Geräte auf derselben Plattform verfügt, können Sie Filter für die Gruppenzuweisung verwenden. Beispielsweise verfügt ein Benutzer über ein persönliches iOS-/iPadOS-Gerät und ein unternehmenseigenes iOS/iPadOS. Wenn Sie diesem Benutzer eine Richtlinie zuweisen, können Sie Filter verwenden, um nur das organisationseigene Gerät als Ziel festzulegen.

Befolgen Sie diese allgemeine Regel: Wenn ein Feature zu einem Benutzer gehört, z. B. E-Mail oder Benutzerzertifikate, weisen Sie dieses Benutzergruppen zu.

Beispiel:

  • Sie möchten ein Helpdesksymbol für alle Benutzer auf all ihren Geräten einrichten. Fügen Sie dafür diese Benutzer einer Benutzergruppe hinzu, und weisen Sie dieser Benutzergruppe das Helpdesksymbol zu.

  • Ein Benutzer erhält ein neues Gerät, das der Organisation gehört. Er meldet sich mit seinem Domänenkonto bei dem Gerät an. Das Gerät wird automatisch in Azure AD registriert und von Intune verwaltet. Es bietet sich hierbei an, dieses Profil einer Benutzergruppe zuzuweisen.

  • Wenn ein Benutzer sich bei einem Gerät anmeldet, sollten Sie Features über Apps wie OneDrive oder Office steuern. Weisen Sie in diesem Fall die Profileinstellungen für OneDrive oder Office einer Benutzergruppe zu.

    Angenommen, Sie möchten nicht vertrauenswürdige ActiveX-Steuerelemente in Ihren Office-Apps blockieren. Dann können Sie in Intune eine administrative Vorlage erstellen, Einstellungen konfigurieren und anschließend dieses Profil einer Benutzergruppe zuweisen.

Fazit: Verwenden Sie Benutzergruppen immer dann, wenn Sie Ihre Einstellungen und Regeln mit dem Benutzer verknüpfen möchten – unabhängig davon, welches Gerät er verwendet.

Ausschließen von Gruppen aus einer Profilzuweisung

Mit Intune-Gerätekonfigurationsprofilen können Sie Gruppen in die Profilzuweisung einschließen und von dieser ausschließen.

Als bewährte Methode:

  • Erstellen und Zuweisen von Profilen, insbesondere für Ihre Benutzergruppen: Verwenden von Filtern zum Ein- oder Ausschließen der Geräte dieser Benutzer
  • Erstellen und Zuweisen unterschiedlicher Profile für einzelne Gerätegruppen

Weitere Informationen zu Gruppen finden Sie unter Hinzufügen von Gruppen zum Organisieren von Benutzern und Geräten.

Grundlagen

Wenn Sie Ihre Richtlinien und Profile zuweisen, wenden Sie die folgenden allgemeinen Prinzipien an:

  • Stellen Sie sich eingeschlossene Gruppen bzw. ausgeschlossene Gruppen als Startpunkt für die Benutzer und Geräte vor, die Ihre Richtlinien erhalten sollen. Die Azure AD-Gruppe ist die einschränkende Gruppe. Verwenden Sie daher den kleinstmöglichen Gruppenbereich. Verwenden Sie Filter, um Ihre Richtlinienzuweisung einzuschränken oder zu verfeinern.

  • Zugewiesene Azure AD-Gruppen, auch als statische Gruppen bezeichnet, können eingeschlossenen Gruppen oder ausgeschlossenen Gruppen hinzugefügt werden.

    In der Regel weisen Sie Geräte statisch einer Azure AD-Gruppe zu, wenn sie in Azure AD vorab registriert sind, z. B. mit Windows Autopilot. Das ist auch der Fall, wenn Sie beispielsweise Geräte für eine einmalige Bereitstellung oder Ad-hoc-Bereitstellung kombinieren. Andernfalls ist es möglicherweise nicht praktikabel, Geräte einer Azure AD-Gruppe statisch zuzuweisen.

  • Dynamische Azure AD-Benutzergruppen können eingeschlossenen Gruppen oder ausgeschlossenen Gruppen hinzugefügt werden.

  • Dynamische Azure AD-Gerätegruppen können eingeschlossenen Gruppen hinzugefügt werden. Beim Auffüllen der dynamischen Gruppenmitgliedschaft kann es jedoch zu Wartezeiten kommen. Verwenden Sie in Latenzszenarios Filter, um bestimmte Geräte als Ziel zu verwenden, und weisen Sie Ihre Richtlinien den Benutzergruppen zu.

    Beispielsweise möchten Sie, dass Richtlinien Geräten zugewiesen werden, sobald sie registriert sind. Erstellen Sie in dieser latenzempfindlichen Situation einen Filter für die Zielgeräte, und weisen Sie die Richtlinie Benutzergruppen mithilfe dieses Filters zu. Weisen Sie es keinen Gerätegruppen zu.

    Erstellen Sie in einem benutzerlosen Szenario einen Filter für die Geräte, die Sie verwenden möchten, und weisen Sie die Richtlinie mit dem Filter der Gruppe „Alle Geräte“ zu.

  • Vermeiden Sie es, dynamische Azure AD-Gerätegruppen zu ausgeschlossenen Gruppen hinzuzufügen. Wartezeit bei der Berechnung dynamischer Gerätegruppen bei der Registrierung kann zu unerwünschten Ergebnissen führen. Beispielsweise können unerwünschte Apps und Richtlinien bereitgestellt werden, bevor die ausgeschlossene Gruppenmitgliedschaft aufgefüllt wird.

Unterstützungsmatrix

Verwenden Sie die folgende Matrix, um die Unterstützung für das Ausschließen von Gruppen zu verstehen:

  • ✔️: Unterstützt
  • ❌: Nicht unterstützt
  • ❕: Teilweise unterstützt

Unterstützte Optionen schließen Gruppen in eine Profilzuweisung ein oder daraus aus

Szenario Support
1 ❕ Teilweise unterstützt

Das Zuweisen von Richtlinien zu einer dynamischen Gerätegruppe, während eine andere dynamische Gerätegruppe ausgeschlossen wird, wird unterstützt. Diese Vorgehensweise wird jedoch nicht in Szenarios empfohlen, die zu Wartezeiten tendieren. Jede Verzögerung bei der Berechnung einer Ausschlussgruppenmitgliedschaft kann dazu führen, dass Geräten Richtlinien angeboten werden. In diesem Szenario empfehlen wir die Verwendung von Filtern anstelle von dynamischen Gerätegruppen zum Ausschließen von Geräten.

Sie verfügen beispielsweise über eine Geräterichtlinie, die Allen Geräten zugewiesen ist. Später ist es erforderlich, dass neue Marketinggeräte diese Richtlinie nicht erhalten. Daher erstellen Sie eine dynamische Gerätegruppe namens Marketinggeräte auf Basis der enrollmentProfilename-Eigenschaft (device.enrollmentProfileName -eq "Marketing_devices"). In der Richtlinie fügen Sie die dynamische Gruppe Marketinggeräte als ausgeschlossene Gruppe hinzu.

Ein neues Marketinggerät wird zum ersten Mal bei Intune registriert, und ein neues Azure AD-Geräteobjekt wird erstellt. Beim Einfügen in eine dynamischen Gruppe wird das Gerät mit einer möglichen verzögerten Berechnung in der Gruppe Marketinggeräte abgelegt. Gleichzeitig wird das Gerät bei Intune registriert und empfängt ab jetzt alle anwendbaren Richtlinien. Die Intune-Richtlinie kann bereitgestellt werden, bevor das Gerät in die Ausschlussgruppe aufgenommen wird. Dieses Verhalten führt dazu, dass eine unerwünschte Richtlinie (oder App) für die Gruppe Marketinggeräte bereitgestellt wird.

Darum sollten Sie dynamische Gerätegruppen in latenzempfindlichen Szenarios nicht für Ausschlüsse verwenden. Verwenden Sie stattdessen Filter.
2 ✔️ Unterstützt

Das Zuweisen von Richtlinien zu einer dynamischen Gerätegruppe, während eine statische Gerätegruppe ausgeschlossen wird, wird unterstützt.
3 ❌ Nicht unterstützt

Das Zuweisen von Richtlinien zu einer dynamischen Gerätegruppe, während Benutzergruppen (sowohl statisch als auch dynamisch) ausgeschlossen werden, wird nicht unterstützt. Intune wertet keine Benutzer-zu-Gerät-Gruppenbeziehungen aus, und Geräte der einbezogenen Benutzer werden nicht ausgeschlossen.
4 ❌ Nicht unterstützt

Das Zuweisen einer Richtlinie zu einer dynamischen Gerätegruppe und das Ausschließen von Benutzergruppen (dynamisch und statisch) wird nicht unterstützt. Intune wertet keine Benutzer-zu-Gerät-Gruppenbeziehungen aus, und Geräte der einbezogenen Benutzer werden nicht ausgeschlossen.
5 ❕ Teilweise unterstützt

Das Zuweisen von Richtlinien zu einer statischen Gerätegruppe, während eine dynamische Gerätegruppe ausgeschlossen wird, wird unterstützt. Diese Vorgehensweise wird jedoch nicht in Szenarios empfohlen, die zu Wartezeiten tendieren. Jede Verzögerung bei der Berechnung einer Ausschlussgruppenmitgliedschaft kann dazu führen, dass Geräten Richtlinien angeboten werden. In diesem Szenario empfehlen wir die Verwendung von Filtern anstelle von dynamischen Gerätegruppen zum Ausschließen von Geräten.
6 ✔️ Unterstützt

Das Zuweisen von Richtlinien zu einer statischen Gerätegruppe und das Ausschließen unterschiedlicher statischer Gerätegruppen wird unterstützt.
7 ❌ Nicht unterstützt

Das Zuweisen einer Richtlinie zu einer statischen Gerätegruppe und das Ausschließen von Benutzergruppen (dynamisch und statisch) wird nicht unterstützt. Intune wertet keine Benutzer-zu-Gerät-Gruppenbeziehungen aus, und Geräte der einbezogenen Benutzer werden nicht ausgeschlossen.
8 ❌ Nicht unterstützt

Das Zuweisen einer Richtlinie zu einer statischen Gerätegruppe und das Ausschließen von Benutzergruppen (dynamisch und statisch) wird nicht unterstützt. Intune wertet keine Benutzer-zu-Gerät-Gruppenbeziehungen aus, und Geräte der einbezogenen Benutzer werden nicht ausgeschlossen.
9 ❌ Nicht unterstützt

Das Zuweisen einer Richtlinie zu einer dynamischen Benutzergruppe und das Ausschließen von Gerätegruppen (dynamisch und statisch) wird nicht unterstützt.
10 ❌ Nicht unterstützt

Das Zuweisen einer Richtlinie zu einer dynamischen Benutzergruppe und das Ausschließen von Gerätegruppen (dynamisch und statisch) wird nicht unterstützt.
11 ✔️ Unterstützt

Das Zuweisen von Richtlinien zu einer dynamischen Benutzergruppe, während andere Benutzergruppen (sowohl statisch als auch dynamisch) ausgeschlossen werden, wird unterstützt.
12 ✔️ Unterstützt

Das Zuweisen von Richtlinien zu einer dynamischen Benutzergruppe, während andere Benutzergruppen (sowohl statisch als auch dynamisch) ausgeschlossen werden, wird unterstützt.
13 ❌ Nicht unterstützt

Das Zuweisen von Richtlinien zu einer statischen Benutzergruppe, während Gerätegruppen (sowohl statisch als auch dynamisch) ausgeschlossen werden, wird nicht unterstützt.
14 ❌ Nicht unterstützt

Das Zuweisen von Richtlinien zu einer statischen Benutzergruppe, während Gerätegruppen (sowohl statisch als auch dynamisch) ausgeschlossen werden, wird nicht unterstützt.
15 ✔️ Unterstützt

Das Zuweisen von Richtlinien zu einer statischen Benutzergruppe, während andere Benutzergruppen (sowohl statisch als auch dynamisch) ausgeschlossen werden, wird unterstützt.
16 ✔️ Unterstützt

Das Zuweisen von Richtlinien zu einer statischen Benutzergruppe, während andere Benutzergruppen (sowohl statisch als auch dynamisch) ausgeschlossen werden, wird unterstützt.

Nächste Schritte

Unter Überwachen von Geräteprofilen in Microsoft Intune finden Sie weitere Informationen zum Überwachen Ihrer Profile und der Geräte, auf denen Ihre Profile ausgeführt werden.