Erstellen eines Geräteprofils in Microsoft IntuneCreate a device profile in Microsoft Intune

Mit Geräteprofilen können Sie Einstellungen hinzufügen und konfigurieren und diese anschließend per Push an Geräte in Ihrer Organisation übertragen.Device profiles allow you to add and configure settings, and then push these settings to devices in your organization. Beim Erstellen von Richtlinien haben Sie verschiedene Optionen:You have some options when creating policies:

  • Administrative Vorlagen: Auf Geräten mit Windows 10 und höher sind diese Vorlagen von Ihnen konfigurierte ADMX-Einstellungen.Administrative templates: On Windows 10 and newer devices, these templates are ADMX settings that you configure. Wenn Sie mit ADMX-Richtlinien oder Gruppenrichtlinienobjekten vertraut sind, ist die Verwendung administrativer Vorlagen ein natürlicher Schritt zu Microsoft Intune und Endpoint Manager.If you're familiar with ADMX policies or group policy objects (GPO), then using administrative templates is a natural step to Microsoft Intune and Endpoint Manager.

    Weitere Informationen finden Sie unter Administrative Vorlagen.For more information, see Administrative Templates

  • Baselines: Auf Geräten mit Windows 10 und höher enthalten diese Baselines vorkonfigurierte Sicherheitseinstellungen.Baselines: On Windows 10 and newer devices, these baselines include preconfigured security settings. Wenn Sie Sicherheitsrichtlinien anhand von Empfehlungen der Microsoft-Sicherheitsteams erstellen möchten, sind Sicherheitsbaselines das Richtige für Sie.If you want to create security policy using recommendations by Microsoft security teams, then security baselines are for you.

    Weitere Informationen finden Sie unter Sicherheitsbaselines.For more information, see Security baselines.

  • Einstellungskatalog: Auf Geräten mit Windows 10 und höher finden Sie im Einstellungskatalog alle verfügbaren Einstellungen an zentraler Stelle.Settings catalog: On Windows 10 and newer devices, use the settings catalog to see all the available settings, and in one location. Sie können z. B. alle Einstellungen anzeigen, die für BitLocker gelten, und eine Richtlinie erstellen, die sich nur auf BitLocker konzentriert.For example, you can see all the settings that apply to BitLocker, and create a policy that just focuses on BitLocker. Verwenden Sie auf macOS-Geräten den Einstellungskatalog, um die Einstellungen für die Microsoft Edge-Version 77 und höher zu konfigurieren.On macOS devices, use the settings catalog to configure Microsoft Edge version 77 and newer settings.

    Weitere Informationen finden Sie unter Einstellungskatalog.For more information, see Settings catalog.

    Nutzen Sie unter macOS weiterhin die Einstellungsdatei für Folgendes:On macOS, continue using the preference file to:

    • Konfigurieren früherer Versionen von Microsoft EdgeConfigure earlier versions of Microsoft Edge
    • Konfigurieren von Microsoft Edge-Browsereinstellungen, die nicht im Einstellungskatalog enthalten sindConfigure Edge browser settings that aren't in settings catalog
  • Vorlagen: Auf Geräten mit Android, iOS/iPadOS, macOS und Windows enthalten die Vorlagen eine logische Gruppierung von Einstellungen zum Konfigurieren einer Funktion oder eines Konzepts, wie z. B. VPN, E-Mail, Kioskgeräte und mehr.Templates: On Android, iOS/iPadOS, macOS, and Windows devices, the templates include a logical grouping of settings that configure a feature or concept, such as VPN, email, kiosk devices, and more. Wenn Sie mit der Erstellung von Richtlinien zur Konfiguration von Geräten in Microsoft Intune vertraut sind, nutzen Sie bereits diese Vorlagen.If you're familiar with creating device configuration policies in Microsoft Intune, then you're already using these templates.

    Weitere Informationen, auch zu den verfügbaren Vorlagen, finden Sie unter Anwenden von Einstellungen und Funktionen auf Ihren Geräten mit Geräteprofilen in Microsoft Intune.For more information, including the available templates, see Apply features and settings on your devices using device profiles.

Inhalt dieses ArtikelsThis article:

  • Schritte zum Erstellen eines ProfilsLists the steps to create a profile.
  • Erläutert das Hinzufügen einer Bereichsmarkierung zum „Filtern“ Ihrer Richtlinien.Shows you how to add a scope tag to "filter" your policies.
  • Beschreibung von Anwendbarkeitsregeln auf Windows 10-Geräten und Erläuterung, wie eine Regel erstellt wirdDescribes applicability rules on Windows 10 devices, and shows you how to create a rule.
  • Check-In-Aktualisierungszykluszeiten, wenn Geräte Profile und Profilupdates erhaltenLists the check-in refresh cycle times when devices receive profiles and any profile updates.

Erstellen des ProfilsCreate the profile

Profile werden im Microsoft Endpoint Manager Admin Center erstellt.Profiles are created in the Microsoft Endpoint Manager admin center. Klicken Sie in diesem Admin Center auf Geräte.In this admin center, select Devices. Hierzu stehen Ihnen folgende Optionen zur Verfügung:You have the following options:

Wählen Sie in Endpoint Manager und Microsoft Intune Geräte aus, um zu prüfen, was Sie konfigurieren und verwalten können.

  • Übersicht: Hier werden die Status Ihrer Profile sowie weitere Details zu den Profilen angezeigt, die Sie Benutzern und Geräten zugewiesen haben.Overview: Lists the status of your profiles, and provides more details on the profiles you assigned to users and devices.
  • Überwachen: Überprüfen Sie den Status Ihrer Profile auf Erfolg oder Fehler, und zeigen Sie Protokolle zu Ihren Profilen an.Monitor: Check the status of your profiles for success or failure, and also view logs on your profiles.
  • Nach Plattform: Erstellen Sie Richtlinien und Profile und zeigen Sie diese für Ihre Plattform an.By platform: Create and view policies and profiles by your platform. In dieser Ansicht werden möglicherweise auch plattformspezifische Features angezeigt.This view may also show features specific to the platform. Klicken Sie zum Beispiel auf Windows.For example, select Windows. Ihnen werden spezifische Features für Windows angezeigt, z. B. Windows 10-Updateringe und PowerShell-Skripts.You'll see Windows-specific features, such as Windows 10 Update Rings and PowerShell scripts.
  • Richtlinie: Erstellen Sie Geräteprofile, und laden Sie benutzerdefinierte PowerShell-Skripts zur Ausführung auf Geräten hoch. Fügen Sie mit eSIM Datenpläne zu Geräten hinzu.Policy: Create device profiles, upload custom PowerShell scripts to run on devices, and add data plans to devices using eSIM.

Wählen Sie Ihre Plattform aus, wenn Sie ein Profil erstellen (Konfigurationsprofile > Profil erstellen):When you create a profile (Configuration profiles > Create profile), choose your platform:

  • Android-GeräteadministratorAndroid device administrator
  • Android EnterpriseAndroid Enterprise
  • iOS/iPadOSiOS/iPadOS
  • macOSmacOS
  • Windows 10 und höherWindows 10 and later
  • Windows 8.1 und höherWindows 8.1 and later

Wählen Sie dann das Profil aus.Then, choose the profile. Die konfigurierbaren Einstellungen variieren je nach ausgewählter Plattform.Depending on the platform you choose, the settings you can configure are different. In den folgenden Artikeln werden die verschiedenen Profile beschrieben:The following articles describe the different profiles:

Wenn Sie beispielsweise iOS/iPadOS als Plattform auswählen, werden Ihnen Optionen ähnlich dem folgenden Profil angezeigt:For example, if you select iOS/iPadOS for the platform, your options look similar to the following profile:

Erstellen Sie eine Gerätekonfigurationsrichtlinie für iOS/iPadOS und ein Profil in Endpoint Manager und Microsoft Intune.

Wenn Sie beispielsweise Windows 10 und höher als Plattform auswählen, werden Ihnen Optionen ähnlich dem folgenden Profil angezeigt:If you select Windows 10 and later for the platform, your options look similar to the following profile:

Erstellen Sie eine Windows-Gerätekonfigurationsrichtlinie und ein Profil in Endpoint Manager und Microsoft Intune.

Festlegen von TagsScope tags

Nachdem Sie die Einstellungen hinzugefügt haben, können Sie dem Profil ebenfalls eine Bereichsmarkierung hinzufügen.After you add the settings, you can also add a scope tag to the profile. Bereichsmarkierungen filtern Profile für bestimmte IT-Gruppen, z. B. US-NC IT Team oder JohnGlenn_ITDepartment.Scope tags filter profiles to specific IT groups, such as US-NC IT Team or JohnGlenn_ITDepartment. Außerdem werden sie bei verteilter IT verwendet.And, are used in distributed IT.

Weitere Informationen zu Bereichsmarkierungen und Ihren Möglichkeiten finden Sie unter Use role-based access control (RBAC) and scope tags for distributed IT (Verwenden der rollenbasierten Zugriffssteuerung sowie Bereichsmarkierungen für verteilte IT).For more information about scope tags, and what you can do, see Use RBAC and scope tags for distributed IT.

AnwendbarkeitsregelnApplicability rules

Gilt für:Applies to:

  • Windows 10 und höherWindows 10 and later

Anwendbarkeitsregeln ermöglichen es Administratoren, Geräte in einer Gruppe als Ziel zu verwenden, die bestimmte Kriterien erfüllt.Applicability rules allow administrators to target devices in a group that meet specific criteria. Sie können z. B. ein Geräteinschränkungsprofil erstellen, das auf die Gruppe Alle Windows 10-Geräte angewendet wird.For example, you create a device restrictions profile that applies to the All Windows 10 devices group. Zusätzlich soll dieses Profil nur Geräten zugewiesen werden, auf denen Windows 10 Enterprise ausgeführt wird.And, you only want the profile assigned to devices running Windows 10 Enterprise.

Hierfür erstellen Sie eine Anwendbarkeitsregel.To do this task, create an applicability rule. Diese Regeln eignen sich hervorragend für folgende Szenarien:These rules are great for the following scenarios:

  • Sie verwenden Windows 10 Education (EDU).You use Windows 10 Education (EDU). Für das Bellows College möchten Sie alle Windows 10 EDU-Geräte zwischen RS3 und RS4 einbeziehen.At Bellows College, you want to target all Windows 10 EDU devices between RS3 and RS4.
  • Sie möchten alle Benutzer in der Personalabteilung bei Contoso als Zielgruppe einbeziehen, aber nur Geräte unter Windows 10 Professional oder Enterprise berücksichtigen.You want to target all users in Human Resources at Contoso, but only want Windows 10 Professional or Enterprise devices.

Gehen Sie für diese Szenarien folgendermaßen vor:To approach these scenarios, you:

  • Erstellen Sie eine Gerätegruppe, die alle Geräte im Bellows College enthält.Create a devices group that includes all devices at Bellows College. Fügen Sie im Profil eine Anwendbarkeitsregel hinzu, die angewendet wird, wenn die Mindestversion des Betriebssystems 16299 und die Höchstversion 17134 lautet.In the profile, add an applicability rule so it applies if the OS minimum version is 16299 and the maximum version is 17134. Weisen Sie dieses Profil der Gerätegruppe im Bellows College zu.Assign this profile to the Bellows College devices group.

    Nach der Zuweisung wird dieses Profil auf Geräte angewendet, deren Betriebssystemversion zwischen der von Ihnen angegebenen Mindest- und Höchstversion liegt.When it's assigned, the profile applies to devices between the minimum and maximum versions you enter. Bei Geräten, deren Betriebssystemversion zwischen der von Ihnen angegebenen Mindest- und Höchstversion liegt, wird der Status Nicht zutreffend angezeigt.For devices that aren't between the minimum and maximum versions you enter, their status shows as Not applicable.

  • Erstellen Sie eine Benutzergruppe, die alle Benutzer in der Personalabteilung bei Contoso umfasst.Create a users group that includes all users in Human Resources (HR) at Contoso. Fügen Sie im Profil eine Anwendbarkeitsregel hin, die auf Geräte unter Windows 10 Professional oder Enterprise angewendet wird.In the profile, add an applicability rule so it applies to devices running Windows 10 Professional or Enterprise. Weisen Sie dieses Profil der Benutzergruppe in der Personalabteilung zu.Assign this profile to the HR users group.

    Wenn dieses Profil zugewiesen ist, wird es auf Geräte unter Windows 10 Professional oder Enterprise angewendet.When it's assigned, the profile applies to devices running Windows 10 Professional or Enterprise. Bei Geräten, auf denen diese Editionen nicht ausgeführt werden, wird der Status Nicht zutreffend angezeigt.For devices that aren't running these editions, their status shows as Not applicable.

  • Wenn zwei Profile mit exakt den gleichen Einstellungen vorhanden sind, wird das Profil angewendet, das keine Anwendbarkeitsregel enthält.If there are two profiles with the exact same settings, then the profile without an applicability rule is applied.

    Ein Beispiel: Profil A ist auf die Windows 10-Gerätegruppe ausgerichtet, aktiviert BitLocker und enthält keine Anwendbarkeitsregel.For example, ProfileA targets the Windows 10 devices group, enables BitLocker, and doesn't have an applicability rule. Profil B gilt für die gleiche Windows 10-Gerätegruppe, aktiviert BitLocker und enthält eine Anwendbarkeitsregel, mit der das Profil nur auf Geräte unter Windows 10 Enterprise angewendet wird.ProfileB targets the same Windows 10 devices group, enables BitLocker, and has an applicability rule to only apply the profile to Windows 10 Enterprise.

    Wenn beide Profile zugewiesen werden, wird Profil A angewendet, weil es keine Anwendbarkeitsregel enthält.When both profiles are assigned, ProfileA is applied because it doesn't have an applicability rule.

Beim Zuweisen von Profilen zu Gruppen fungieren die Anwendbarkeitsregeln als Filter, sodass nur die Geräte einbezogen werden, die Ihre Kriterien erfüllen.When you assign the profile to the groups, the applicability rules act as a filter, and only target the devices that meet your criteria.

Hinzufügen einer RegelAdd a rule

  1. Wählen Sie Anwendbarkeitsregeln aus.Select Applicability Rules. Sie können die Regel und Eigenschaft auswählen:You can choose the Rule, and Property:

    Hinzufügen einer Anwendbarkeitsregel zu einem Windows 10-Gerätekonfigurationsprofil in Endpoint Manager und Microsoft Intune

  2. Wählen Sie unter Regel aus, ob Sie Benutzer oder Gruppen einschließen oder ausschließen möchten.In Rule, choose if you want to include or exclude users or groups. Folgende Optionen sind verfügbar:Your options:

    • Profil in folgenden Fällen zuweisen: Schließt Benutzer oder Gruppen ein, die die von Ihnen angegebenen Kriterien erfüllen.Assign profile if: Includes users or groups that meet the criteria you enter.
    • Profil in folgenden Fällen nicht zuweisen: Schließt Benutzer oder Gruppen aus, die die von Ihnen angegebenen Kriterien erfüllen.Don't assign profile if: Excludes users or groups that meet the criteria you enter.
  3. Wählen Sie unter Eigenschaft den gewünschten Filter aus.In Property, choose your filter. Folgende Optionen sind verfügbar:Your options:

    • Betriebssystemedition: Markieren Sie in der Liste die Windows 10-Editionen, die Sie in Ihrer Regel einschließen (bzw. ausschließen) möchten.OS edition: In the list, check the Windows 10 editions you want to include (or exclude) in your rule.

    • Betriebssystemversion: Geben Sie die Mindestversion und die Höchste zulässige Version von Windows 10 ein, die Sie in Ihrer Regel einschließen (bzw. ausschließen) möchten.OS version: Enter the min and max Windows 10 version numbers of you want to include (or exclude) in your rule. Beide Werte sind erforderlich.Both values are required.

      Sie können z. B. 10.0.16299.0 (RS3 oder 1709) als Mindestversion und 10.0.17134.0 (RS4 oder 1803) als höchste zulässige Version eingeben.For example, you can enter 10.0.16299.0 (RS3 or 1709) for minimum version and 10.0.17134.0 (RS4 or 1803) for maximum version. Sie können die Werte auch genauer definieren und 10.0.16299.001 als Mindestversion und 10.0.17134.319 als höchste zulässige Version eingeben.Or, you can be more granular and enter 10.0.16299.001 for minimum version and 10.0.17134.319 for maximum version.

      Weitere Versionsnummern finden Sie in den Releaseinformationen zu Windows 10.For more version numbers, see Windows 10 release information.

  4. Klicken Sie auf Hinzufügen, um die Änderungen zu speichern.Select Add to save your changes.

AktualisierungszykluszeitRefresh cycle times

Intune verwendet verschiedene Aktualisierungszyklen zur Suche nach Updates für Konfigurationsprofile.Intune uses different refresh cycles to check for updates to configuration profiles. Wenn ein Gerät vor Kurzem registriert wurde, wird der Check-In häufiger durchgeführt.If the device recently enrolled, the check-in runs more frequently. Unter Richtlinien- und Profilaktualisierungszyklen werden die geschätzten Aktualisierungszeiten aufgeführt.Policy and profile refresh cycles lists the estimated refresh times.

Benutzer können jederzeit die Unternehmensportal-App öffnen und das Gerät synchronisieren, um sofort zu prüfen, ob neue Profilupdates verfügbar sind.At any time, users can open the Company Portal app, and sync the device to immediately check for profile updates.

EmpfehlungenRecommendations

Erstellen Sie Profile unter Berücksichtigung folgender Empfehlungen:When creating profiles, consider the following recommendations:

  • Benennen Sie Ihre Richtlinien, damit Sie wissen, wofür diese vorgesehen sind.Name your policies so you know what they are, and what they do. Alle Konformitätsrichtlinien und Konfigurationsprofile verfügen über eine optionale Eigenschaft namens Beschreibung.All compliance policies and configuration profiles have an optional Description property. Sie sollten in der Beschreibung spezifisch sein und Informationen angeben, damit andere Benutzer wissen, wofür die Richtlinie vorgesehen ist.In Description, be specific and include information so others know what the policy does.

    Einige Beispiele für Konfigurationsprofile sind:Some configuration profile examples include:

    Profilname: Administratorvorlage – OneDrive-Konfigurationsprofil für alle Windows 10-BenutzerProfile name: Admin template - OneDrive configuration profile for all Windows 10 users
    Profilbeschreibung: OneDrive-Profil der Administratorvorlage, das die Mindest- und Basiseinstellungen für alle Windows 10-Benutzer enthält.Profile description: OneDrive admin template profile that includes the minimum and base settings for all Windows 10 users. Dieses wurde von user@contoso.com erstellt, um zu verhindern, dass Benutzer Organisationsdaten für persönliche Konten freigeben.Created by user@contoso.com to prevent users from sharing organizational data to personal OneDrive accounts.

    Profilname: VPN-Profil für alle iOS/iPadOS-BenutzerProfile name: VPN profile for all iOS/iPadOS users
    Profilbeschreibung: VPN-Profil, das die Mindest- und Basiseinstellungen für alle iOS/iPadOS-Benutzer enthält, um eine Verbindung mit Contoso-VPN zu erstellen.Profile description: VPN profile that includes the minimum and base settings for all iOS/iPadOS users to connect to Contoso VPN. Dieses wurde von user@contoso.com erstellt, sodass Benutzer sich automatisch bei VPN authentifizieren, anstatt dass der Benutzernamen und das Kennwort der Benutzer angefordert wird.Created by user@contoso.com so users automatically authenticate to VPN, instead of prompting users for their username and password.

  • Erstellen Sie Ihr Profil anhand der Aufgabe, z. B. dem Konfigurieren von Microsoft Edge-Einstellungen, dem Aktivieren von Microsoft Defender-Antivireneinstellungen oder dem Blockieren von iOS/iPadOS-Geräten mit Jailbreak.Create your profile by its task, such as configure Microsoft Edge settings, enable Microsoft Defender anti-virus settings, block iOS/iPadOS jailbroken devices, and so on.

  • Erstellen Sie Profile, die für bestimmte Gruppen wie Marketing, Vertrieb, IT oder Administratoren gelten, oder nach Standort oder Schulsystem.Create profiles that apply to specific groups, such as Marketing, Sales, IT Administrators, or by location or school system.

  • Trennen Sie Benutzerrichtlinien von Geräterichtlinien.Separate user policies from device policies.

    Beispielsweise gibt es für Administrative Vorlagen in Intune Tausende ADMX-Einstellungen.For example, Administrative Templates in Intune have thousands of ADMX settings. Diese Vorlagen zeigen, ob eine Einstellung für Benutzer oder Geräte gilt.These templates show if a setting applies to users or devices. Weisen Sie bei der Erstellung von Administratorvorlagen Ihre Benutzereinstellungen einer Benutzergruppe und Ihre Geräteeinstellungen einer Gerätegruppe zu.When creating admin templates, assign your users settings to a users group, and assign your device settings to a devices group.

    Die folgende Abbildung zeigt ein Beispiel einer Einstellung, die für Benutzer und/oder Geräte gelten kann:The following image shows an example of a setting that can apply to users, apply to devices, or apply to both:

    Intune-Verwaltungsvorlage, die für Benutzer und Geräte in Endpoint Manager und Microsoft Intune gilt.

  • Jedes Mal, wenn Sie eine einschränkende Richtlinie erstellen, sollten Sie diese Änderung Ihren Benutzern mitteilen.Every time you create a restrictive policy, communicate this change to your users. Wenn Sie z. B. die Passcodeanforderung von vier (4) auf sechs (6) Zeichen ändern, informieren Sie Ihre Benutzer, bevor Sie die Richtlinie zuweisen.For example, if you're changing the passcode requirement from four (4) characters to six (6) characters, let your users know before your assign the policy.

Nächste SchritteNext steps

Zuweisen von Profilen und Überwachen von ProfilenAssign the profile and monitor its status.