Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Intune verwendet Sicherheitsgruppen von Microsoft Entra ID für verschiedene Organisationsanforderungen. Zu diesen Anforderungen gehören die Gruppierung von Benutzern oder Geräten nach geografischem Standort, Abteilung, Hardwaremerkmalen und mehr. Um die Verwendung von Entra-Gruppen durch Intune zu unterstützen, enthält das Intune Admin Center die Entra Groups-Benutzeroberfläche mit all ihren Funktionen. Alle Gruppen, die in Entra angezeigt werden, und neue Gruppen, die ein Intune-Administrator möglicherweise erstellt, sind in Intune, Entra und anderen Produkten sichtbar, die die Entra Groups-Benutzeroberfläche verwenden, z. B. Microsoft 365.
Intune Administratoren bei der Bereitstellung von Richtlinien, beim Bereitstellen von Apps und beim Zuweisen der Berechtigungen anderer Administratorbenutzer klar definierte Gruppen verwenden, damit diese bei der Verwaltung verschiedener Aspekte des Intune-Abonnements helfen können.
Dieser Artikel konzentriert sich auf die Verwendung des Intune Admin Centers zum Erstellen von Gruppen für die Verwendung mit Intune, einschließlich Details zu den Berechtigungen, die zum Verwalten und Verwenden dieser Gruppen innerhalb des Admin Centers erforderlich sind.
Weitere Informationen zu Microsoft Entra Gruppen finden Sie in der Entra-Dokumentation.
Rollenbasierte Zugriffssteuerungen für die Arbeit mit Gruppen
Standardmäßig verfügen alle Microsoft Entra Benutzerkonten über Berechtigungen zum Erstellen und Konfigurieren neuer Gruppen, ohne dass eine Rolle für die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) für Entra zugewiesen wird. Diese Berechtigungen erstrecken sich auf die Verwendung des Knotens Gruppen im Intune Admin Center.
Nur der Benutzer, der die Gruppe erstellt hat, Benutzer, die als Besitzer zugewiesen sind, und Benutzer, die über ausreichende Entra RBAC-Berechtigungen zum Verwalten von Entra-Gruppen verfügen, können die Eigenschaften einer Gruppe bearbeiten. Andere Benutzer ohne Rechte zum Bearbeiten einer Gruppe können deren Mitgliedschaft anzeigen und wenn sie Intune verwalten, der Gruppe Intune Richtlinien, Apps und Rollenzuweisungen zuweisen.
Die folgende Microsoft Entra integrierte RBAC-Rolle ist die integrierte Rolle mit den geringsten Berechtigungen, die ausreichende Berechtigungen zum Bearbeiten und Verwalten von Entra-Gruppen enthält, die von anderen Benutzern erstellt wurden:
- Gruppenadministrator: Diese Rolle bietet ausreichende Berechtigungen zum Hinzufügen und Bearbeiten von Gruppen aus den Admin Centers für Microsoft Intune, Microsoft Entra und Microsoft 365.
Wenn Sie mit RBAC arbeiten, empfiehlt Microsoft, dem Prinzip der geringsten Berechtigungen zu folgen, indem nur Konten verwendet werden, die über die mindestens erforderlichen Berechtigungen für eine Aufgabe verfügen, und die Verwendung und Zuweisung privilegierter Administratorrollen wie dem Intune Administrator einschränken.
Weitere Informationen zu Microsoft Entra Gruppen und gruppenzugriff finden Sie unter Informationen zu Gruppen und Zugriffsrechten in der Entra-Dokumentation.
Anforderungen von Gruppen, die Sie mit Intune
Intune Administratoren sollten die folgenden Aspekte der Microsoft Entra Gruppen beachten, wenn sie neue Gruppen erstellen oder sie für Richtlinienbereitstellungs- oder Administratorrollen zuweisen.
Sicherheit: Die Gruppen, die Sie mit Intune verwenden, müssen Aus Sicherheitsgründen aktiviert sein. Dies erfordert in der Regel, dass der Gruppengruppentyp beim Erstellen der Gruppe auf Sicherheit festgelegt wird. Eine Sicherheitsgruppe unterstützt sowohl Benutzer als auch Geräte als Mitglieder.
Standardmäßig sind Microsoft 365-Gruppen in Microsoft Entra nicht sicherheitsaktiv, unterstützen nur Benutzer als Mitglieder und werden von Intune nicht unterstützt. Sie können zwar Microsoft Graph PowerShell verwenden, um sicherheitsfähige Microsoft 365-Gruppen zu erstellen, die Intune unterstützen, aber wie die Microsoft 365-Standardgruppen können sie nur Benutzer und keine Geräte enthalten.
Mitgliedschaft: Intune unterstützt zugewiesene und dynamische Gruppenmitgliedschaften. Wählen Sie den Mitgliedschaftstyp basierend darauf aus, wie Sie die Gruppenmitgliedschaft verwalten möchten – manuell oder automatisch basierend auf Regeln. Wenn Sie beispielsweise Administratoren eine integrierte Intune RBAC-Rolle wie Endpoint Security Manager zuweisen möchten, verwenden Sie eine Gruppe mit manuell zugewiesenen Mitgliedern, um einzuschränken, wer diese privilegierte Rolle erhält. Umgekehrt können Sie zum Bereitstellen eines Standardsatzes von Gerätekonfigurationsrichtlinien für alle Windows 11 Geräte eine Gruppe verwenden, die dynamisch Mitglieder basierend auf einer Betriebssystemversion des Geräts hinzufügt. Mithilfe einer dynamischen Gruppe können Sie sicherstellen, dass Geräte, die sich mit Intune registrieren, automatisch die beabsichtigte Standardrichtlinie erhalten, ohne dass das Gerät manuell zu einer Gruppe hinzugefügt werden muss.
Die Gruppen Intune Alle Benutzer und Alle Geräte
Zusätzlich zu den Microsoft Entra Gruppen, die Sie mit Intune erstellen und verwenden können, enthält Intune zwei virtuelle Gruppen, die nur im Kontext von Intune und im Intune Admin Center verfügbar sind:
- Alle Benutzer: Diese Gruppe schließt automatisch jeden Benutzer ein, der über eine Lizenz für Intune verfügt.
- Alle Geräte: Diese Gruppe schließt automatisch jedes Gerät ein, das sich mit Intune registriert.
Diese virtuellen Gruppen bieten eine einfache Möglichkeit, alle anwendbaren Benutzer oder Geräte mit Intune Richtlinien und Zuweisungen anzusprechen, die allgemein gelten sollten.
Sie können beispielsweise eine Intune Konformitätsrichtlinie für die Gruppe "Alle Geräte" bereitstellen, um eine Mindeststufe an Konformitätsanforderungen festzulegen, die alle Geräte in Ihrer organization erfüllen müssen. Später können Sie weitere Anforderungen für bestimmte Entra-Gruppen bereitstellen, um zusätzliche Anforderungen anzuwenden, die möglicherweise für bestimmte Gruppen von Geräten oder Benutzern gelten.
Tipp
Erwägen Sie die Verwendung von Filtern für Gruppen innerhalb Intune. Sie können Filter in Intune verwenden, wenn Sie Apps, Richtlinien und Profile in Microsoft Intune großen Gruppen wie Alle Benutzer und Alle Geräte zuweisen. Mithilfe von Filtern können Sie dynamisch steuern, welche Geräte oder Benutzer die Bereitstellung erhalten. Informationen zur Verwendung von Filtern finden Sie unter:
Hinzufügen von Gruppen zu Intune
Wenn Sie eine Gruppe im Microsoft Intune Admin Center erstellen, erstellen Sie tatsächlich eine Gruppe in Microsoft Entra ID. Das folgende Verfahren enthält grundlegende Anleitungen zum Erstellen von Gruppen im Intune Admin Center. Ausführlichere Informationen finden Sie in den folgenden Microsoft Entra Artikeln:
- Verwalten von Microsoft Entra Gruppen und Gruppenmitgliedschaften
- Erstellen einer einfachen Gruppe und Hinzufügen von Mitgliedern mithilfe von Microsoft Entra ID
- Dynamische Mitgliedschaftsregeln für Gruppen in Microsoft Entra ID
So erstellen Sie Gruppen im Microsoft Intune Admin Center:
Melden Sie sich beim Microsoft Intune Admin Center an, und wählen Sie dann Gruppen>Neue Gruppe aus:
Der Bereich Neue Gruppe wird geöffnet. Dabei handelt es sich um die gleiche Schnittstelle wie in Microsoft Entra:
Konfigurieren Sie die folgenden Optionen für die neue Gruppe:
Legen Sie Gruppentyp auf Sicherheit fest.
Geben Sie für Gruppenname einen aussagekräftigen Namen an, der die Gruppe eindeutig identifiziert. Dieser Name ist für Benutzer sichtbar, die mit Gruppen im Admin Center arbeiten.
Geben Sie unter Gruppenbeschreibung (optional) andere Details zur Gruppe an, wie die beabsichtigte Verwendung.
Wählen Sie unter Mitgliedschaftstyp eine der folgenden Optionen aus:
Zugewiesen : Bei diesem Mitgliedschaftstyp müssen Sie benutzer manuell zur Gruppe hinzufügen. Dies kann jetzt oder später nach dem Erstellen der Gruppe erfolgen.
Um Benutzer zu diesem Zeitpunkt hinzuzufügen, suchen Und wählen Sie Keine Mitglieder ausgewählt aus , um den Bereich Mitglieder hinzufügen zu öffnen.
Verwenden Sie im Bereich die Registerkarte Benutzer oder Geräte , auf der Sie das Kontrollkästchen neben jedem Objekt aktivieren können, das Sie dieser Gruppe hinzufügen möchten.
Sie können auch die Registerkarte Gruppen auswählen, wenn Sie eine Gruppe innerhalb dieser Gruppe schachteln möchten. Eine Gruppe, die eine Gruppe als Mitglied enthält, wird als übergeordnete Gruppe bezeichnet. Seien Sie beim Schachteln von Gruppen vorsichtig, da die Mitgliedschaftsbeziehungen für Administratoren, die später die übergeordnete Gruppe für eine Zuweisung verwenden, möglicherweise nicht klar sind. Alle An einer geschachtelten Gruppe vorgenommenen Mitgliedschaftsänderungen werden automatisch auf die effektive Mitgliedschaft der übergeordneten Gruppe angewendet.
Wichtig
Vermeiden Sie das Erstellen von Gruppen, die sowohl Benutzer als auch Geräte enthalten, da dies während Intune Bereitstellungen zu Richtlinienkonflikten und unvorhersehbarem Verhalten führen kann.
Tipp
Zum Erstellen von Gerätegruppen können Sie Gerätekategorien verwenden, um Geräte automatisch zu einer Gruppe zu verbinden, wenn sie sich bei Intune registrieren.
Dynamischer Benutzer : Wählen Sie bei diesem Mitgliedschaftstyp dynamische Abfrage hinzufügen aus, und konfigurieren Sie dann die Regeln für die dynamische Mitgliedschaft. Eine Anleitung finden Sie unter Verwalten von Regeln für dynamische Mitgliedschaftsgruppen in Microsoft Entra ID.
Wichtig
Um dynamische Benutzergruppen verwenden zu können, benötigen Sie eine Microsoft Entra ID P1-Lizenz für jeden Benutzer, der Mitglied der dynamischen Gruppe ist.
Dynamisches Gerät : Wählen Sie bei diesem Mitgliedschaftstyp dynamische Abfrage hinzufügen aus, und konfigurieren Sie dann die Regeln für die dynamische Mitgliedschaft. Eine Anleitung finden Sie unter Verwalten von Regeln für dynamische Mitgliedschaftsgruppen in Microsoft Entra ID.
Tipp
Für Mitglieder dynamischer Gerätegruppen ist keine bestimmte Entra ID Lizenz erforderlich.
Die Konfiguration Besitzer ist optional. Standardmäßig ist der Benutzer, der eine Gruppe erstellt, ein Besitzer. Um weitere Besitzer hinzuzufügen, wählen Sie Keine Besitzer ausgewählt und dann die Registerkarte Benutzer aus, auf der Sie dann einen oder mehrere Benutzer auswählen können, die als Besitzer dieser Gruppe hinzugefügt werden sollen.
Wählen Sie Erstellen aus, um die neue Gruppe hinzuzufügen. Dann sollte Ihre Gruppe in der Liste angezeigt werden.
Bearbeiten einer Gruppe
Als Intune-Administrator können Sie Gruppen bearbeiten, z. B. die Gruppenmitglieder, den Besitzer und die Eigenschaften ändern.
Gehen Sie wie folgt vor, um eine vorhandene Gruppe zu bearbeiten:
- Melden Sie sich beim Microsoft Intune Admin Center an.
- Wählen Sie Gruppen>Alle Gruppen>aus, um den Namen einer Gruppe auszuwählen, die bearbeitet werden soll.
- Wählen Sie in der Menügruppe Verwalten einen Bereich der Gruppe aus, der bearbeitet werden soll, z. B. Eigenschaften, Mitglieder oder Besitzer. Intune zeigt die Benutzeroberfläche im Zusammenhang mit dieser Konfigurationsoption an.
Löschen einer Gruppe
Als Intune Administrator können Sie nicht mehr benötigte Gruppen löschen.
Führen Sie die folgenden Schritte aus, um eine vorhandene Gruppe zu löschen:
- Melden Sie sich beim Microsoft Intune Admin Center an.
- Wählen Sie Gruppen>Alle Gruppen aus.
- Aktivieren Sie das Kontrollkästchen für jede Gruppe, die Sie löschen möchten, und wählen Sie dann oben in der Ansicht Alle Gruppen die Option Löschen aus den Optionen aus. Alternativ können Sie den Namen einer Gruppe auswählen, um die Seite Übersicht einer einzelnen Gruppe zu öffnen, und dann oben in dieser Ansicht Löschen* auswählen.
Tipp
Nachdem eine Gruppe gelöscht wurde, kann es einige Zeit dauern, bis sie in der Liste Gelöschte Gruppen angezeigt wird.