Analysieren von lokalen Gruppenrichtlinienobjekten mithilfe des Tools „Analyse von Gruppenrichtlinien“ in Microsoft Endpoint Manager (Vorschau)

Gruppenrichtlinienobjekte werden lokal zum Konfigurieren von Einstellungen auf PCs und anderen lokalen Geräten verwendet. Bei der Geräteverwaltung helfen Gruppenrichtlinienobjekte bei der Kontrolle von Sicherheit und Features u. a. im Windows-Betriebssystem, Internet Explorer und Office-Apps.

Viele Organisationen beschäftigen sich mit Cloudlösungen, um die wachsende Zahl von Mitarbeitern an Remotestandorten zu unterstützen. Analyse von Gruppenrichtlinien ist ein Tool und Feature in Microsoft Endpoint Manager zum Analysieren Ihrer lokalen Gruppenrichtlinienobjekte. Sie können damit bestimmen, wie Ihre Gruppenrichtlinienobjekte in die Cloud übertragen werden. Die Ausgabe zeigt, welche Einstellungen von MDM-Anbietern (Mobile Device Management, Verwaltung mobiler Geräte) unterstützt werden, einschließlich Microsoft Intune. Sie enthält außerdem veraltete Einstellungen bzw. Einstellungen, die für MDM-Anbieter nicht verfügbar sind.

Wenn Ihre Organisation Gruppenrichtlinienobjekte nutzt und einige Workloads zu Microsoft Endpoint Manager und Intune migrieren möchten, ist Ihnen das Tool „Analyse von Gruppenrichtlinien“ eine Hilfe.

Diese Funktion gilt für:

  • Windows 10 und höher

In diesem Artikel erfahren Sie, wie Sie Ihre Gruppenrichtlinienobjekte exportieren, sie in Endpoint Manager importieren und die Analyse und Ergebnisse prüfen.

Voraussetzungen

Melden Sie sich als Intune-Administrator mit einer Rolle an, die über die Berechtigung Sicherheitsbaselines verfügt. Beispielsweise verfügt die Rolle Endpunktsicherheits-Manager über die Berechtigung Sicherheitsbaseline. Weitere Informationen zu integrierten Rollen finden Sie unter Rollenbasierte Zugriffssteuerung für Microsoft Intune.

Exportieren von Gruppenrichtlinienobjekten als XML-Datei

  1. Öffnen Sie auf dem lokalen Computer die App Group Policy Management (GPMC.msc).

  2. Erweitern Sie Ihre Domäne, um alle Gruppenrichtlinienobjekte anzuzeigen.

  3. Klicken Sie mit der rechten Maustaste auf ein Gruppenrichtlinienobjekt und dann auf Bericht speichern:

    Öffnen Sie die Gruppenrichtlinienverwaltung, und speichern Sie ein Gruppenrichtlinienobjekt als Bericht in Form einer XML-Datei.

  4. Speichern Sie die Datei in einem leicht zugänglichen Ordner als XML-Datei. Sie fügen diese Datei Endpoint Manager hinzu.

Stellen Sie sicher, dass die Datei kleiner als 4 MB ist und über eine ordnungsgemäße Unicode-Codierung verfügt. Wenn die exportierte Datei größer als 4 MB ist, verringern Sie vor dem Speichern des Berichts die Anzahl der Gruppenrichtlinienobjekte über das GPMC.msc-Tool.

Verwenden von „Analyse von Gruppenrichtlinien“

  1. Wählen Sie im Admin Center von Microsoft Endpoint Manager die Option Geräte > Analyse von Gruppenrichtlinien (Vorschau) aus.

  2. Wählen Sie Importieren und dann Ihre gespeicherte XML-Datei aus. Wenn Sie die XML-Datei auswählen, analysiert Intune automatisch das Gruppenrichtlinienobjekt in der XML-Datei.

    Überprüfen Sie die Größe der XML-Dateien der einzelnen Gruppenrichtlinienobjekte. Ein einzelnes Gruppenrichtlinienobjekt darf nicht größer als 4 MB sein. Wenn ein einzelnes Gruppenrichtlinienobjekt größer als 4 MB ist, schlägt der Import fehl. XML-Dateien ohne das entsprechende Unicode-Ende können ebenfalls nicht ausgeführt werden.

  3. Nach Abschluss der Analyse wird das von Ihnen importierte Gruppenrichtlinienobjekt mit den folgenden Informationen aufgelistet:

    • Group Policy name: Der Name wird automatisch mithilfe der Informationen im Gruppenrichtlinienobjekt generiert.

    • Active Directory-Ziel: Das Ziel wird automatisch mithilfe der Zielinformationen der Organisationseinheit im Gruppenrichtlinienobjekt generiert.

    • MDM Support: Zeigt den Prozentsatz der Gruppenrichtlinieneinstellungen im Gruppenrichtlinienobjekt, für die in Intune dieselbe Einstellung vorhanden ist.

      Hinweis

      Sobald das Microsoft Intune-Produktteam Änderungen an der Zuordnung in Intune vornimmt, wird der Prozentsatz unter MDM-Support automatisch aktualisiert, um diese Änderungen widerzuspiegeln.

    • Unbekannt Einstellungen: Zeigt GPO-Einstellungen an, die außerhalb der Liste der Konfigurationsdienstanbieter (Configuration Service Providers, CSPs) liegen, die dieses Tool analysieren kann.

    • Ziel in AD: Ja bedeutet, dass das Gruppenrichtlinienobjekt mit einer Organisationseinheit in der lokalen Gruppenrichtlinie verknüpft ist. Nein bedeutet, dass das Gruppenrichtlinienobjekt nicht mit einer lokalen Organisationseinheit verknüpft ist.

    • Zuletzt importiert: Zeigt das Datum des letzten Imports an.

    Sie können weitere Gruppenrichtlinienobjekte zur Analyse importieren, die Seite aktualisieren und die Ausgabe filtern. Sie können diese Ansicht auch in eine .csv-Datei exportieren:

    Importieren, Aktualisieren, Filtern oder Exportieren eines Gruppenrichtlinienobjekts in eine CSV-Datei in Microsoft Intune und das Admin Center von Endpoint Manager.

  4. Wählen Sie für ein aufgeführtes Gruppenrichtlinienobjekt den Prozentsatz für MDM-Unterstützung aus. Ausführlichere Informationen zum Gruppenrichtlinienobjekt werden angezeigt:

    • Einstellungsname: Der Name wird automatisch mithilfe der Informationen in der Einstellung des Gruppenrichtlinienobjekts generiert.

    • Gruppenrichtlinieneinstellungskategorie: Zeigt die Einstellungskategorie für ADMX-Einstellungen an, z. B. Internet Explorer und Microsoft Edge. Nicht alle Einstellungen haben eine Einstellungskategorie.

    • MDM-Unterstützung:

      Ja bedeutet, dass eine entsprechende Einstellung in Endpoint Manager verfügbar ist. Sie können diese Einstellung im Einstellungskatalog konfigurieren.

      Nein bedeutet, dass es keine übereinstimmende Einstellung für MDM-Anbieter einschließlich Intune gibt.

      Weitere Informationen zu Gerätekonfigurationsprofilen finden Sie unter Anwenden von Einstellungen und Funktionen auf Ihren Geräten mit Geräteprofilen in Microsoft Intune.

    • Wert: Enthält den aus dem Gruppenrichtlinienobjekt importierten Wert. Unterschiedliche Werte wie true, 900, Enabled, false usw. sind möglich.

    • Bereich: Zeigt, ob das importierte Gruppenrichtlinienobjekt für Benutzer oder Geräte vorgesehen ist.

    • Mindestversion für Betriebssystem: Zeigt die Buildnummern der Mindestversion des Windows-Betriebssystems, für die die Gruppenrichtlinienobjekt-Einstellung gilt. Es können 18362 (1903), 17130 (1803) und andere Windows 10-Versionen angezeigt werden.

      Wenn beispielsweise eine Richtlinieneinstellung 18362 enthält, unterstützt die Einstellung den Build 18362 und neuere Builds.

    • CSP-Name: Ein Konfigurationsdienstanbieter (Configuration Service Provider, CSP) macht unter Windows 10 Gerätekonfigurationseinstellungen verfügbar. In dieser Spalte ist der CSP mit der Einstellung enthalten. Einträge können Policy, BitLocker, PassportforWork usw. lauten.

      Weitere Informationen zu Konfigurationsdienstanbietern finden Sie in der Referenz zu Konfigurationsdienstanbietern.

    • CSP-Zuordnung: Zeigt den OMA-URI-Pfad für die lokale Richtlinie. Sie können den OMA-URI in einem benutzerdefinierten Gerätekonfigurationsprofil verwenden. Beispielsweise wird ./Device/Vendor/MSFT/BitLocker/RequireDeviceEnryption angezeigt.

Unterstützte CSPs und Gruppenrichtlinien

Das Tool „Analyse von Gruppenrichtlinien“ kann die folgenden Konfigurationsdienstanbieter analysieren:

Wenn Ihr importiertes Gruppenrichtlinienobjekt Einstellungen enthält, die nicht in den unterstützten CSPs und Gruppenrichtlinien enthalten sind, werden die Einstellungen möglicherweise in der Spalte Unbekannte Einstellungen aufgeführt. Dieses Verhalten bedeutet, dass die Einstellungen in Ihrem Gruppenrichtlinienobjekt identifiziert wurden.

Bekannte Probleme

Derzeit unterstützt das Tool für die Gruppenrichtlinienanalyse (Vorschau) nur Nicht-ADMX-Einstellungen in englischer Sprache. Wenn Sie ein Gruppenrichtlinienobjekt mit Einstellungen in anderen Sprachen als Englisch importieren, ist der Wert für MDM-Support % ungenau.

Bericht „Gruppenrichtlinien-Migrationsbereitschaft“

  1. Wählen Sie im Admin Center von Microsoft Endpoint Manager die Option Berichte > Analyse von Gruppenrichtlinien (Vorschau) aus.

    Überprüfen des Berichts und der Ausgabe importierter Gruppenrichtlinienobjekte mithilfe von „Analyse von Gruppenrichtlinien“ in Microsoft Intune und im Admin Center von Endpoint Manager.

  2. Auf der Registerkarte Zusammenfassung wird eine Zusammenfassung des Gruppenrichtlinienobjekts und seiner Richtlinien gezeigt. Anhand dieser Informationen können Sie den Status der Richtlinien in Ihrem Gruppenrichtlinienobjekt ermitteln:

    • Bereit für Migration: Die Richtlinie verfügt über eine übereinstimmende Einstellung in Intune und ist für die Migration zu Intune bereit.
    • Nicht unterstützt: Für die Richtlinie gibt es keine übereinstimmende Einstellung. Normalerweise werden Richtlinieneinstellungen mit diesem Status MDM-Anbietern, einschließlich Intune, nicht verfügbar gemacht.
    • Veraltet: Die Richtlinie gilt möglicherweise für ältere Windows-Versionen und wird in Windows 10 und höher nicht mehr verwendet.
  3. Wählen Sie die Registerkarte Berichte und dann Gruppenrichtlinien-Migrationsbereitschaft aus. Dieser Bericht ermöglicht Folgendes:

    • Anzeigen der Anzahl von Einstellungen in Ihrem Gruppenrichtlinienobjekt, die in einem Gerätekonfigurationsprofil verfügbar sind und ob sie in einem benutzerdefinierten Profil enthalten sein können, nicht unterstützt werden oder veraltet sind
    • Filtern der Berichtsausgabe mit den Filtern Migrationsbereitschaft, Profiltyp und CSP-Name
    • Auswählen von Bericht generieren oder Erneut generieren, um aktuelle Daten zu erhalten
    • Einsehen der Liste der Einstellungen in Ihrem Gruppenrichtlinienobjekt
    • Suchen bestimmter Einstellungen über die Suchleiste
    • Abrufen des Zeitstempels der letzten Generierung des Berichts

    Hinweis

    Nachdem Sie Ihre importierten Gruppenrichtlinienobjekte hinzugefügt oder entfernt haben, kann die Aktualisierung der Berichtsdaten zur Migrationsbereitschaft etwa 20 Minuten dauern.

Senden von Produktfeedback

Sie können Feedback zu Analysen von Gruppenrichtlinien übermitteln, indem Sie auf Haben Sie Feedback für uns? klicken. Feedbackbeispiele:

  • Beim Import oder der Analyse sind Fehler aufgetreten, für die Sie spezifischere Informationen benötigen.
  • Wie einfach ist es, Gruppenrichtlinienanalysen zu verwenden, um die in Microsoft Intune unterstützten Gruppenrichtlinien zu finden?
  • Unterstützt das Tool Sie bei der Migration einiger Workloads zu Endpoint Manager? Wenn ja, welche Workloads ziehen Sie dafür in Betracht?

Das Feedback wird aggregiert und an Microsoft gesendet, um Informationen über die Servicequalität zu erhalten. Das Eingeben einer E-Mail-Adresse ist optional und wird möglicherweise dazu verwendet, weitere Informationen zu erhalten.

Datenschutz und Sicherheit

Jegliche Nutzung von Kundendaten, z. B. welche Gruppenrichtlinienobjekte in Ihrer Organisation verwendet werden, wird aggregiert. Diese Daten werden nicht an Dritte verkauft. Sie können genutzt werden, um innerhalb von Microsoft Geschäftsentscheidungen zu treffen. Ihre Kundendaten sind sicher gespeichert.

Sie können importierte Gruppenrichtlinienobjekte jederzeit löschen:

  1. Wechseln Sie zu Geräte > Analyse von Gruppenrichtlinien (Vorschau).

  2. Wählen Sie das Kontextmenü und anschließend Löschen aus:

    Löschen oder Entfernen des Gruppenrichtlinienobjekts, das Sie in „Analyse von Gruppenrichtlinien“ in Microsoft Intune und das Admin Center von Endpoint Manager importiert haben.

Nächste Schritte

Weitere Informationen

Erfahren Sie mehr über Konfigurationsdienstanbieter (Configuration Service Providers, CSPs).