Erstellen eines Geräteprofils in Microsoft Intune

Mit Geräteprofilen können Sie Einstellungen hinzufügen und konfigurieren und diese anschließend per Push an Geräte in Ihrer Organisation übertragen. Beim Erstellen von Richtlinien haben Sie verschiedene Optionen:

  • Administrative Vorlagen: Auf Windows 10/11-Geräten sind diese Vorlagen ADMX-Einstellungen, die Sie konfigurieren. Wenn Sie mit ADMX-Richtlinien oder Gruppenrichtlinienobjekten vertraut sind, ist die Verwendung administrativer Vorlagen ein natürlicher Schritt zu Microsoft Intune und Endpoint Manager.

    Weitere Informationen finden Sie unter Administrative Vorlagen.

  • Baselines: Auf Windows 10/11-Geräten enthalten diese Baselines vorkonfigurierte Sicherheitseinstellungen. Wenn Sie Sicherheitsrichtlinien anhand von Empfehlungen der Microsoft-Sicherheitsteams erstellen möchten, sind Sicherheitsbaselines das Richtige für Sie.

    Weitere Informationen finden Sie unter Sicherheitsbaselines.

  • Einstellungenkatalog: Verwenden Sie auf Windows 10/11-Geräten den Einstellungenkatalog, um alle verfügbaren Einstellungen an einem Ort anzuzeigen. Sie können z. B. alle Einstellungen anzeigen, die für BitLocker gelten, und eine Richtlinie erstellen, die sich nur auf BitLocker konzentriert. Verwenden Sie auf macOS-Geräten den Einstellungskatalog, um Microsoft Edge-Version 77 und die zugehörigen Einstellungen zu konfigurieren.

    Weitere Informationen finden Sie unter Einstellungskatalog.

    Nutzen Sie unter macOS weiterhin die Einstellungsdatei für Folgendes:

    • Konfigurieren früherer Versionen von Microsoft Edge
    • Konfigurieren von Microsoft Edge-Browsereinstellungen, die nicht im Einstellungskatalog enthalten sind
  • Vorlagen: Auf Geräten mit Android, iOS/iPadOS, macOS und Windows enthalten die Vorlagen eine logische Gruppierung von Einstellungen zum Konfigurieren einer Funktion oder eines Konzepts, wie z. B. VPN, E-Mail, Kioskgeräte und mehr. Wenn Sie mit der Erstellung von Richtlinien zur Konfiguration von Geräten in Microsoft Intune vertraut sind, nutzen Sie bereits diese Vorlagen.

    Weitere Informationen, auch zu den verfügbaren Vorlagen, finden Sie unter Anwenden von Einstellungen und Funktionen auf Ihren Geräten mit Geräteprofilen in Microsoft Intune.

Inhalt dieses Artikels:

  • Schritte zum Erstellen eines Profils
  • Erläutert das Hinzufügen einer Bereichsmarkierung zum „Filtern“ Ihrer Richtlinien.
  • Beschreibt Anwendbarkeitsregeln auf Windows-Clientgeräten und zeigt Ihnen, wie Sie eine Regel erstellen.
  • Listet die Check-In-Aktualisierungszykluszeiten auf, wenn Geräte Profile und Profilupdates erhalten.

Erstellen des Profils

Profile werden im Microsoft Endpoint Manager Admin Center erstellt. Klicken Sie in diesem Admin Center auf Geräte. Sie haben folgende Optionen:

Wählen Sie in Endpoint Manager und Microsoft Intune Geräte aus, um zu prüfen, was Sie konfigurieren und verwalten können.

  • Übersicht: Hier werden die Status Ihrer Profile sowie weitere Details zu den Profilen angezeigt, die Sie Benutzern und Geräten zugewiesen haben.
  • Überwachen: Überprüfen Sie den Status Ihrer Profile auf Erfolg oder Fehler, und zeigen Sie Protokolle zu Ihren Profilen an.
  • Nach Plattform: Erstellen Sie Richtlinien und Profile und zeigen Sie diese für Ihre Plattform an. In dieser Ansicht werden möglicherweise auch plattformspezifische Features angezeigt. Klicken Sie zum Beispiel auf Windows. Ihnen werden spezifische Features für Windows angezeigt, z. B. Windows-Updateringe und PowerShell-Skripts.
  • Richtlinien: Erstellen Sie Geräteprofile, und laden Sie benutzerdefinierte PowerShell-Skripts zur Ausführung auf Geräten hoch. Fügen Sie mit eSIM Datenpläne zu Geräten hinzu.

Wählen Sie Ihre Plattform aus, wenn Sie ein Profil erstellen (Konfigurationsprofile > Profil erstellen):

  • Android-Geräteadministrator
  • Android für Unternehmen
  • iOS/iPadOS
  • macOS
  • Windows 10 und höher
  • Windows 8.1 und höher

Wählen Sie dann das Profil aus. Die konfigurierbaren Einstellungen variieren je nach ausgewählter Plattform. In den folgenden Artikeln werden die verschiedenen Profile beschrieben:

Wenn Sie beispielsweise iOS/iPadOS als Plattform auswählen, werden Ihnen Optionen ähnlich dem folgenden Profil angezeigt:

Erstellen Sie eine Gerätekonfigurationsrichtlinie für iOS/iPadOS und ein Profil in Endpoint Manager und Microsoft Intune.

Wenn Sie beispielsweise Windows 10 und höher als Plattform auswählen, werden Ihnen Optionen ähnlich dem folgenden Profil angezeigt:

Erstellen Sie eine Windows-Gerätekonfigurationsrichtlinie und ein Profil in Endpoint Manager und Microsoft Intune.

Bereichstags

Nachdem Sie die Einstellungen hinzugefügt haben, können Sie dem Profil ebenfalls einen Bereichstag hinzufügen. Bereichstags filtern Profile für bestimmte IT-Gruppen, z. B. US-NC IT Team oder JohnGlenn_ITDepartment. Außerdem werden sie bei verteilter IT verwendet.

Weitere Informationen zu Bereichstags und Ihren Möglichkeiten finden Sie unter Verwenden von RBAC (rollenbasierte Zugriffssteuerung) und Bereichstags für verteilte IT.

Anwendbarkeitsregeln

Gilt für:

  • Windows 11
  • Windows 10

Anwendbarkeitsregeln ermöglichen es Administratoren, Geräte in einer Gruppe als Ziel zu verwenden, die bestimmte Kriterien erfüllt. Sie erstellen beispielsweise ein Geräteeinschränkungsprofil, das für die Gruppe Alle Windows 10/11-Geräte gilt. Außerdem soll das Profil nur Geräten zugewiesen werden, auf denen Windows Enterprise ausgeführt wird.

Hierfür erstellen Sie eine Anwendbarkeitsregel. Diese Regeln eignen sich hervorragend für folgende Szenarien:

  • Sie verwenden Windows 10 Education (EDU). Für das Bellows College möchten Sie alle Windows 10 EDU-Geräte zwischen RS3 und RS4 einbeziehen.
  • Sie möchten alle Benutzer in der Personalabteilung bei Contoso als Zielgruppe einbeziehen, aber nur Geräte unter Windows 10 Professional oder Enterprise berücksichtigen.

Gehen Sie für diese Szenarien folgendermaßen vor:

  • Erstellen Sie eine Gerätegruppe, die alle Geräte im Bellows College enthält. Fügen Sie im Profil eine Anwendbarkeitsregel hinzu, die angewendet wird, wenn die Mindestversion des Betriebssystems 16299 und die Höchstversion 17134 lautet. Weisen Sie dieses Profil der Gerätegruppe im Bellows College zu.

    Nach der Zuweisung wird dieses Profil auf Geräte angewendet, deren Betriebssystemversion zwischen der von Ihnen angegebenen Mindest- und Höchstversion liegt. Bei Geräten, deren Betriebssystemversion zwischen der von Ihnen angegebenen Mindest- und Höchstversion liegt, wird der Status Nicht zutreffend angezeigt.

  • Erstellen Sie eine Benutzergruppe, die alle Benutzer in der Personalabteilung bei Contoso umfasst. Fügen Sie im Profil eine Anwendbarkeitsregel hin, die auf Geräte unter Windows 10 Professional oder Enterprise angewendet wird. Weisen Sie dieses Profil der Benutzergruppe in der Personalabteilung zu.

    Wenn dieses Profil zugewiesen ist, wird es auf Geräte unter Windows 10 Professional oder Enterprise angewendet. Bei Geräten, auf denen diese Editionen nicht ausgeführt werden, wird der Status Nicht zutreffend angezeigt.

  • Wenn zwei Profile mit exakt den gleichen Einstellungen vorhanden sind, wird das Profil angewendet, das keine Anwendbarkeitsregel enthält.

    Ein Beispiel: Profil A ist auf die Windows 10-Gerätegruppe ausgerichtet, aktiviert BitLocker und enthält keine Anwendbarkeitsregel. Profil B gilt für die gleiche Windows 10-Gerätegruppe, aktiviert BitLocker und enthält eine Anwendbarkeitsregel, mit der das Profil nur auf Geräte unter Windows 10 Enterprise angewendet wird.

    Wenn beide Profile zugewiesen werden, wird Profil A angewendet, weil es keine Anwendbarkeitsregel enthält.

Beim Zuweisen von Profilen zu Gruppen fungieren die Anwendbarkeitsregeln als Filter, sodass nur die Geräte einbezogen werden, die Ihre Kriterien erfüllen.

Hinzufügen einer Regel

  1. Wählen Sie Anwendbarkeitsregeln aus. Sie können die Regel und Eigenschaft auswählen:

    Hinzufügen einer Anwendbarkeitsregel zu einem Windows 10-Gerätekonfigurationsprofil in Endpoint Manager und Microsoft Intune

  2. Wählen Sie unter Regel aus, ob Sie Benutzer oder Gruppen ein- oder ausschließen möchten. Ihre Optionen:

    • Profil zuweisen, wenn: Schließt Benutzer oder Gruppen ein, die die von Ihnen angegebenen Kriterien erfüllen.
    • Kein Profil zuweisen, wenn: Schließt Benutzer oder Gruppen aus, die die von Ihnen angegebenen Kriterien erfüllen.
  3. Wählen Sie unter Eigenschaft den gewünschten Filter aus. Ihre Optionen:

    • Betriebssystemedition: Überprüfen Sie in der Liste die Windows-Clienteditionen, die Sie in Ihre Regel aufnehmen (oder ausschließen) möchten.

    • Betriebssystemversion: Geben Sie die min. und max. Windows-Clientversionsnummern ein, die Sie in Ihre Regel einschließen (oder ausschließen) möchten. Beide Werte sind erforderlich.

      Sie können z. B. 10.0.16299.0 (RS3 oder 1709) als Mindestversion und 10.0.17134.0 (RS4 oder 1803) als höchste zulässige Version eingeben. Sie können die Werte auch genauer definieren und 10.0.16299.001 als Mindestversion und 10.0.17134.319 als höchste zulässige Version eingeben.

      Weitere Versionsnummern finden Sie unter Informationen über Windows-Clientreleases.

  4. Klicken Sie auf Hinzufügen, um die Änderungen zu speichern.

Aktualisierungszykluszeit

Intune verwendet verschiedene Aktualisierungszyklen zur Suche nach Updates für Konfigurationsprofile. Wenn ein Gerät vor Kurzem registriert wurde, wird der Check-In häufiger durchgeführt. Unter Richtlinien- und Profilaktualisierungszyklen werden die geschätzten Aktualisierungszeiten aufgeführt.

Benutzer können jederzeit die Unternehmensportal-App öffnen und das Gerät synchronisieren, um sofort zu prüfen, ob neue Profilupdates verfügbar sind.

Empfehlungen

Erstellen Sie Profile unter Berücksichtigung folgender Empfehlungen:

  • Benennen Sie Ihre Richtlinien, damit Sie wissen, wofür diese vorgesehen sind. Alle Konformitätsrichtlinien und Konfigurationsprofile verfügen über eine optionale Eigenschaft namens Beschreibung. Sie sollten in der Beschreibung spezifisch sein und Informationen angeben, damit andere Benutzer wissen, wofür die Richtlinie vorgesehen ist.

    Einige Beispiele für Konfigurationsprofile sind:

    Profilname: Administratorvorlage – OneDrive-Konfigurationsprofil für alle Windows 10-Benutzer
    Profilbeschreibung: OneDrive-Profil der Administratorvorlage, das die Mindest- und Basiseinstellungen für alle Windows 10-Benutzer enthält. Dieses wurde von user@contoso.com erstellt, um zu verhindern, dass Benutzer Organisationsdaten für persönliche Konten freigeben.

    Profilname: VPN-Profil für alle iOS/iPadOS-Benutzer
    Profilbeschreibung: VPN-Profil, das die Mindest- und Basiseinstellungen für alle iOS/iPadOS-Benutzer enthält, um eine Verbindung mit Contoso-VPN zu erstellen. Dieses wurde von user@contoso.com erstellt, sodass Benutzer sich automatisch bei VPN authentifizieren, anstatt dass der Benutzernamen und das Kennwort der Benutzer angefordert wird.

  • Erstellen Sie Ihr Profil anhand seiner Aufgabe, z. B. dem Konfigurieren von Microsoft Edge-Einstellungen, dem Aktivieren von Microsoft Defender-Antivireneinstellungen oder dem Blockieren von iOS/iPadOS-Geräten mit Jailbreak.

  • Erstellen Sie Profile, die für bestimmte Gruppen wie Marketing, Vertrieb, IT oder Administratoren gelten, oder nach Standort oder Schulsystem.

  • Trennen Sie Benutzerrichtlinien von Geräterichtlinien.

    Beispielsweise gibt es für Administrative Vorlagen in Intune Tausende ADMX-Einstellungen. Diese Vorlagen zeigen, ob eine Einstellung für Benutzer oder Geräte gilt. Weisen Sie bei der Erstellung von Administratorvorlagen Ihre Benutzereinstellungen einer Benutzergruppe und Ihre Geräteeinstellungen einer Gerätegruppe zu.

    Die folgende Abbildung zeigt ein Beispiel einer Einstellung, die für Benutzer und/oder Geräte gelten kann:

    Intune-Verwaltungsvorlage, die für Benutzer und Geräte in Endpoint Manager und Microsoft Intune gilt.

  • Jedes Mal, wenn Sie eine einschränkende Richtlinie erstellen, sollten Sie diese Änderung Ihren Benutzern mitteilen. Wenn Sie z. B. die Passcodeanforderung von vier (4) auf sechs (6) Zeichen ändern, informieren Sie Ihre Benutzer, bevor Sie die Richtlinie zuweisen.

Nächste Schritte

Weisen Sie das Profil zu, und überwachen Sie seinen Status.