Verwenden von Filtern beim Zuweisen von Apps, Richtlinien und Profilen in Microsoft Endpoint Manager

Wenn Sie eine Richtlinie erstellen, können Sie Filter verwenden, um eine Richtlinie basierend auf erstellten Regeln zuzuweisen. Mit einem Filter können Sie den Zuweisungsbereich einer Richtlinie eingrenzen. Verwenden Sie Filter, um beispielsweise Geräte mit einer bestimmten Betriebssystemversion oder einem bestimmten Hersteller, nur persönliche Geräte oder nur organisationseigene Geräte als Ziel festzulegen.

Sie können Filter in den folgenden Szenarios verwenden:

  • Stellen Sie eine Windows-Geräteeinschränkungsrichtlinie nur für die Unternehmensgeräte in der Marketingabteilung bereit, mit Ausschluss persönlicher Geräte.
  • Bereitstellen einer iOS-/iPadOS-App nur für die iPad-Geräte in der Benutzergruppe „Finance“
  • Bereitstellen einer Compliancerichtlinie für Android-Mobiltelefone für alle Benutzer im Unternehmen und Ausschließen der Android-Besprechungsraumgeräte, die die Compliancerichtlinieneinstellungen für Mobiltelefone nicht unterstützen

Filter umfassen die folgenden Features und Vorteile:

  • Die Flexibilität und Granularität beim Zuweisen von Intune-Richtlinien und -Apps wird erhöht.
  • Sie werden beim Zuweisen von Apps, Richtlinien und Profilen verwendet. Sie sind basierend auf den eingegebenen Geräteeigenschaften dynamisch auf Geräte ausgerichtet.
  • Geräte in einer bestimmten Gruppe können basierend auf eingegebenen Kriterien ein- oder ausgeschlossen werden.
  • Erstellen Sie eine Abfrage von Geräteeigenschaften basierend auf der Geräteplattform, einschließlich Android, iOS/iPadOS, macOS und Windows-Client.
  • Filter können in zahlreichen Szenarios in den Modi „Einschließen“ oder „Ausschließen“ mehrfach verwendet werden.

Diese Funktion gilt für:

  • Android-Geräteadministrator
  • Android für Unternehmen
  • iOS/iPadOS
  • macOS
  • Windows 10/11

In diesem Artikel wird die Filterarchitektur beschrieben und gezeigt, wie Sie einen Filter erstellen, aktualisieren und löschen.

Funktionsweise von Filtern

Administrator erstellt einen Filter und verwendet diesen in einer Richtlinie im Microsoft Endpoint Manager und in Microsoft Intune

Bevor eine Richtlinie auf ein Gerät angewendet wird, werten Filter die Anwendbarkeit dynamisch aus. Im Folgenden finden Sie eine Übersicht über die Abbildung:

  1. Sie erstellen einen wiederverwendbaren Filter für jede Plattform basierend auf einigen Geräteeigenschaften. In diesem Beispiel gilt der Filter für persönliche Geräte.

  2. Sie weisen der Gruppe eine Richtlinie oder App zu. In der Zuweisung fügen Sie den Filter entweder im Ein- oder Ausschlussmodus hinzu. Sie können beispielsweise persönliche Geräte von der Richtlinie einschließen oder ausschließen.

  3. Der Filter wird ausgewertet, wenn sich das Gerät registriert, beim Intune-Dienst eincheckt oder wenn zu einem anderen Zeitpunkt eine Richtlinie ausgewertet wird.

  4. Die Filterergebnisse werden basierend auf der Auswertung angezeigt. Die App oder die Richtlinien werden beispielsweise angewendet oder nicht angewendet.

Voraussetzungen

Erstellen eines Filters

  1. Melden Sie sich beim Microsoft Endpoint Manager Admin Center an.

  2. Wählen Sie Mandantenverwaltung > Filter > Erstellen aus.

    Sie können Filter auch in Geräte > Filter oder Apps > Filter erstellen.

  3. Geben Sie in Grundlagen die folgenden Eigenschaften ein:

    • Filtername: Geben Sie einen aussagekräftigen Namen für den Filter ein. Benennen Sie Ihre Filter so, dass Sie diese später leicht wiedererkennen. Ein guter Filtername ist beispielsweise Windows OS version filter (Filter für Windows-Betriebssystemversion).
    • Beschreibung: Geben Sie eine Beschreibung für den Filter ein. Diese Einstellung ist optional, wird jedoch empfohlen.
    • Plattform: Wählen Sie Ihre Plattform aus. Folgende Optionen sind verfügbar:
      • Android-Geräteadministrator
      • Android für Unternehmen
      • iOS/iPadOS
      • macOS
      • Windows 10 und höher
  4. Wählen Sie Weiter aus.

  5. Unter Regeln gibt es zwei Möglichkeiten, eine Regel zu erstellen: Sie können den Regel-Generator oder die Regelsyntax verwenden.

    Regel-Generator:

    • Und/Oder: Nachdem Sie einen Ausdruck hinzugefügt haben, können Sie diesem mithilfe der Optionen and oder or den Operator hinzufügen.

    • Eigenschaft: Wählen Sie eine Eigenschaft für Ihre Regel aus (z. B. ein Gerät oder eine Betriebssystem-SKU).

    • Operator: Wählen Sie den Operator aus der Liste aus (z. B. equals oder contains).

    • Wert: Geben Sie den Wert in Ihren Ausdruck ein. Geben Sie beispielsweise 10.0.18362 für die Betriebssystemversion oder Microsoft für den Hersteller ein.

    • Ausdruck hinzufügen: Nachdem Sie die Eigenschaft, den Operator und den Wert hinzugefügt haben, klicken Sie auf Ausdruck hinzufügen:

      Verwenden des Regel-Generators im Microsoft Endpoint Manager und in Microsoft Intune zum Erstellen eines Ausdrucksfilters und Zuweisen zu Richtlinien

      Der von Ihnen erstellte Ausdruck wird dem Regelsyntax-Editor automatisch hinzugefügt.

    Regelsyntax:

    Sie können Ihren Regelausdruck auch manuell eingeben und eigene Regeln im Regelsyntax-Editor schreiben. Klicken Sie unter Regelsyntax auf Bearbeiten:

    Klicken auf die Option „Bearbeiten“, um den Regel-Generator zum Bearbeiten der Regelsyntax im Microsoft Endpoint Manager und in Microsoft Intune zu verwenden

    Der Ausdrucks-Generator wird geöffnet. Geben Sie manuell Ausdrücke ein (z. B. (device.osVersion -eq "10.0.18362") and (device.manufacturer -eq "Microsoft")):

    Verwenden des Ausdrucks-Generators zum Eingeben der Regelsyntax im Microsoft Endpoint Manager und in Microsoft Intune

    Weitere Informationen zum Schreiben eigener Ausdrücke finden Sie unter Geräteeigenschaften, Operatoren und Regelbearbeitung beim Erstellen von Filtern.

    Klicken Sie auf OK, um Ihren Ausdruck zu speichern.

    Tipp

    • Wenn Sie eine Regel erstellen, wird sie auf die richtige Syntax überprüft, und alle Fehler werden angezeigt.
    • Wenn Sie eine Syntax eingeben, die vom Basisregel-Generator nicht unterstützt wird, ist der Regel-Generator deaktiviert. Wenn Sie z. B. geschachtelte Klammern verwenden, wird der Basisregel-Generator deaktiviert.
  6. Wählen Sie Gerätevorschau aus. Eine Liste der registrierten Geräte, die den von Ihnen definierten Filterkriterien entsprechen, wird angezeigt.

  7. Wählen Sie Weiter aus.

  8. Weisen Sie in Bereichstags (optional) ein Tag zu, um das Profil nach bestimmten IT-Gruppen wie US-NC IT Team oder JohnGlenn_ITDepartment zu filtern. Weitere Informationen zu Bereichstags finden Sie unter Verwenden der RBAC und von Bereichstags für verteilte IT.

    Wählen Sie Weiter aus.

  9. Überprüfen Sie die Einstellungen unter Überprüfen + erstellen. Wenn Sie auf Erstellen klicken, werden die Änderungen gespeichert. Der Filter wird erstellt und kann verwendet werden. Außerdem wird der Filter in der Filterliste angezeigt.

Verwenden eines Filters

Nachdem der Filter erstellt wurde, kann er beim Zuweisen Ihrer Apps oder Richtlinien verwendet werden.

  1. Melden Sie sich beim Microsoft Endpoint Manager Admin Center an.

  2. Navigieren Sie zu Ihren Apps, Compliancerichtlinien oder Konfigurationsprofilen. Eine Liste zu den unterstützten Workloads finden Sie unter Unterstützte Workloads beim Erstellen von Filtern. Wählen Sie eine vorhandene Richtlinie aus, oder erstellen Sie eine neue Richtlinie.

    Klicken Sie beispielsweise auf Geräte > Richtlinien zur Konformität, und wählen Sie eine vorhandene Richtlinie aus. Klicken Sie auf Eigenschaften > Zuweisungen > Bearbeiten:

    Auswählen einer Richtlinie oder eines Profils und Bearbeiten der Zuweisung im Microsoft Endpoint Manager und in Intune

  3. Weisen Sie Ihre Richtlinie einer Benutzergruppe oder einer Gerätegruppe zu.

  4. Klicken Sie auf Filter bearbeiten. Folgende Optionen sind verfügbar:

    • Keinen Filter anwenden: Alle Zielbenutzer oder -geräte erhalten die App oder Richtlinie ohne Filterung.

    • Gefilterte Geräte in Zuweisung einschließen: Geräte, die den Filterbedingungen entsprechen, erhalten die App oder Richtlinie. Geräte, die nicht den Filterbedingungen entsprechen, erhalten die App oder Richtlinie nicht.

      Eine Liste der mit der Richtlinienplattform übereinstimmenden Filter wird angezeigt.

    • Gefilterte Geräte in Zuweisung ausschließen: Geräte, die den Filterbedingungen entsprechen, erhalten die App oder Richtlinie nicht. Geräte, die nicht den Filterbedingungen entsprechen, erhalten die App oder Richtlinie.

      Eine Liste der mit der Richtlinienplattform übereinstimmenden Filter wird angezeigt.

  5. Wählen Sie Ihren Filter aus, und klicken Sie auf Auswählen.

    Klicken Sie beispielsweise auf Gefilterte Geräte in Zuweisung einbeziehen, und wählen Sie den Filter aus:

    Einschließen des Filters beim Zuweisen einer Richtlinie im Microsoft Endpoint Manager und in Microsoft Intune

  6. Klicken Sie auf Überprüfen und speichern > Speichern, um Ihre Änderungen zu speichern.

Wenn das Gerät beim Intune-Dienst eingecheckt wird, werden die im Filter definierten Eigenschaften ausgewertet, und es wird ermittelt, ob die App oder Richtlinie angewendet werden soll.

Ändern eines vorhandenen Filters

Nachdem ein Filter erstellt wurde, kann er geändert oder aktualisiert werden.

  1. Melden Sie sich beim Microsoft Endpoint Manager Admin Center an.

  2. Wählen Sie Mandantenverwaltung > Filter aus. Eine Liste aller Filter wird angezeigt.

    Sie können Filter auch in Geräte > Filter oder Apps > Filter aktualisieren.

  3. Wählen Sie den Filter aus, den Sie ändern möchten. Klicken Sie auf Regeln > Bearbeiten, und nehmen Sie die Änderungen vor:

    Ändern oder Aktualisieren eines vorhandenen Filters im Microsoft Endpoint Manager und in Microsoft Intune

  4. Klicken Sie auf Überprüfen und speichern > Speichern, um Ihre Änderungen zu speichern.

Löschen eines Filters

  1. Melden Sie sich beim Microsoft Endpoint Manager Admin Center an.

  2. Wählen Sie Mandantenverwaltung > Filter aus. Eine Liste aller Filter wird angezeigt.

    Sie können Filter auch in Geräte > Filter oder Apps > Filter löschen.

  3. Klicken Sie neben dem Filter auf die Auslassungspunkte (...) und dann auf Löschen:

    Löschen eines Filters im Microsoft Endpoint Manager und in Microsoft Intune

Sie müssen den Filter aus allen Richtlinienzuweisungen löschen, um ihn entfernen zu können. Andernfalls wird beim Versuch, den Filter zu löschen, der folgende Fehler angezeigt:

Unable to delete assignment filter – An assignment filter is associated with existing assignments. Delete all the assignments for the filter and try again.

Nächste Schritte