Teilen über


Importieren und Analysieren Ihrer lokalen Gruppenrichtlinienobjekte mithilfe von Gruppenrichtlinienanalysen in Microsoft Intune

Tipp

Suchen Sie nach einer lokalen GPO-Analyse? Im Microsoft Security Compliance Toolkit sind Tools verfügbar.

Microsoft Intune hat viele der gleichen Einstellungen wie Ihre lokalen GPOs. Die Gruppenrichtlinienanalyse ist ein Tool in Microsoft Intune, das:

  • Importiert und analysiert Ihre lokalen Gruppenrichtlinienobjekte.
  • Zeigt die Einstellungen an, die cloudbasierte MDM-Anbieter unterstützen, einschließlich Microsoft Intune.
  • Zeigt veraltete oder nicht verfügbare Einstellungen an.
  • Kann Ihre importierten GPOs zu einer Einstellungskatalogrichtlinie migrieren, die auf Ihren Geräten bereitgestellt werden kann.

Wenn Ihre Organisation lokale Gruppenrichtlinienobjekte zum Verwalten von Windows 10/11-Geräten verwendet, kann die Analyse von Gruppenrichtlinien hilfreich sein. Mit Analysen von Gruppenrichtlinien ist es möglich, dass Intune Ihre lokalen GPOs ersetzen kann. Windows 10/11-Geräte sind grundsätzlich cloudnativ. Je nach Konfiguration benötigen diese Geräte möglicherweise keinen Zugriff auf eine lokales Active Directory.

Wenn Sie bereit sind, die Abhängigkeit von lokalem AD zu entfernen, ist die Analyse Ihrer Gruppenrichtlinienobjekte mit Analysen von Gruppenrichtlinien ein guter erster Schritt. Einige ältere Einstellungen werden nicht unterstützt oder gelten nicht für cloudeigene Windows-Geräte. Nachdem Sie Ihre Gruppenrichtlinienobjekte analysiert haben, wissen Sie, welche Einstellungen noch gültig sind.

Diese Funktion gilt für:

  • Windows 11
  • Windows 10

In diesem Artikel erfahren Sie, wie Sie Ihre lokalen Gruppenrichtlinienobjekte exportieren, die Gruppenrichtlinienobjekte in Intune importieren und die Analyse und Ergebnisse überprüfen. Um Ihre importierten Gruppenrichtlinienobjekte zu einer Intune-Richtlinie zu migrieren oder zu übertragen, wechseln Sie zu Erstellen einer Einstellungskatalogrichtlinie mit Ihren importierten Gruppenrichtlinienobjekten in Microsoft Intune.

Bevor Sie beginnen

Melden Sie sich im Microsoft Intune Admin Center als Intune-Administrator oder mit einer Rolle an, die über die Berechtigungen Sicherheitsbaselines und Gerätekonfiguration verfügt. Weitere Informationen zu integrierten Rollen finden Sie unter Rollenbasierte Zugriffssteuerung für Microsoft Intune.

Exportieren eines Gruppenrichtlinienobjekts als XML-Datei

Die folgenden Schritte können auf Ihrem Server je nach verwendeter GPMC-Version unterschiedlich sein. Wenn Sie das Gruppenrichtlinienobjekt exportieren, stellen Sie sicher, dass Sie als XML-Datei exportieren.

  1. Öffnen Sie auf dem lokalen Computer die Group Policy Management-Konsole (GPMC.msc).

  2. Erweitern Sie in der Verwaltungskonsole Ihren Domänennamen.

  3. Erweitern Sie Gruppenrichtlinienobjekte, um alle verfügbaren Gruppenrichtlinienobjekte anzuzeigen.

  4. Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, das Sie migrieren möchten, und wählen Sie Bericht speichern aus:

    Screenshot: Öffnen der Gruppenrichtlinienverwaltung und Speichern eines Gruppenrichtlinienobjekts als XML-Dateibericht

  5. Wählen Sie einen leicht zugänglichen Ordner für Ihren Export aus. Wählen Sie im Dateityp die Option XML-Datei aus. In einem anderen Schritt fügen Sie diese Datei der Gruppenrichtlinienanalyse in Intune hinzu.

Stellen Sie sicher, dass die Datei kleiner als 4 MB ist und über eine ordnungsgemäße Unicode-Codierung verfügt. Wenn die exportierte Datei größer als 4 MB ist, verringern Sie die Anzahl der Einstellungen im Gruppenrichtlinienobjekt.

Importieren von Gruppenrichtlinienobjekten und Ausführen von Analysen

  1. Wählen Sie im Microsoft Intune Admin CenterGeräte>verwaltenGruppenrichtlinienanalysen> aus.

  2. Wählen Sie Importieren aus, und wählen Sie Ihre gespeicherte XML-Datei >Weiter aus.

    Sie können mehrere Dateien gleichzeitig auswählen.

    Überprüfen Sie die Größe der XML-Dateien der einzelnen Gruppenrichtlinienobjekte. Ein einzelnes Gruppenrichtlinienobjekt darf nicht größer als 4 MB sein. Wenn ein einzelnes Gruppenrichtlinienobjekt größer als 4 MB ist, schlägt der Import fehl. XML-Dateien ohne die entsprechende Unicode-Endung schlagen ebenfalls fehl.

  3. Wählen Sie unter Bereichstags das vorhandene Bereichstag aus, das Sie auf das importierte Gruppenrichtlinienobjekt anwenden möchten. Wenn Sie kein vorhandenes Bereichstag auswählen, wird automatisch das Standardbereichstag verwendet:

    Screenshot: Importieren eines Gruppenrichtlinienobjekts (GPO) und Auswählen eines Bereichstags in Microsoft Intune und Intune Admin Center

    Nur Administratoren, die in den ausgewählten Bereichstags enthalten sind, können das importierte Gruppenrichtlinienobjekt sehen. Weitere Informationen zu Bereichstags für Importierte Gruppenrichtlinienobjekte findest du unter Auswählen eines Bereichstags beim Importieren (in diesem Artikel).

  4. Wählen Sie Weiter>Erstellen aus.

    Wenn Sie Erstellen auswählen, analysiert Intune automatisch das Gruppenrichtlinienobjekt in der XML-Datei.

  5. Nach Abschluss der Analyse wird das von Ihnen importierte Gruppenrichtlinienobjekt mit den folgenden Informationen aufgelistet:

    • Group Policy name: Der Name wird automatisch mithilfe der Informationen im Gruppenrichtlinienobjekt generiert.

    • Active Directory-Ziel: Das Ziel wird automatisch mithilfe der Zielinformationen der Organisationseinheit im Gruppenrichtlinienobjekt generiert.

    • MDM Support: Zeigt den Prozentsatz der Gruppenrichtlinieneinstellungen im Gruppenrichtlinienobjekt, für die in Intune dieselbe Einstellung vorhanden ist.

      Hinweis

      Sobald das Microsoft Intune-Produktteam Änderungen an der Zuordnung in Intune vornimmt, wird der Prozentsatz unter MDM-Support automatisch aktualisiert, um diese Änderungen widerzuspiegeln.

    • Unbekannte Einstellungen: Es gibt einige CSPs, die nicht analysiert werden können. Unbekannt Einstellungen listet die Gruppenrichtlinienobjekte auf, die nicht analysiert werden können.

    • Ziel in AD: Ja bedeutet, dass das Gruppenrichtlinienobjekt mit einer Organisationseinheit in der lokalen Gruppenrichtlinie verknüpft ist. Nein bedeutet, dass das Gruppenrichtlinienobjekt nicht mit einer lokalen Organisationseinheit verknüpft ist.

    • Zuletzt importiert: Zeigt das Datum des letzten Imports an.

    Sie können weitere Gruppenrichtlinienobjekte zur Analyse importieren, die Seite aktualisieren und die Ausgabe filtern. Sie können diese Ansicht auch in eine .csv-Datei exportieren:

    Screenshot: Importieren, Aktualisieren, Filtern oder Exportieren eines Gruppenrichtlinienobjekts (GPO) in eine CSV-Datei in Microsoft Intune und Intune Admin Center

  6. Wählen Sie für ein aufgeführtes Gruppenrichtlinienobjekt den Prozentsatz für MDM-Unterstützung aus. Ausführlichere Informationen zum Gruppenrichtlinienobjekt werden angezeigt:

    • Einstellungsname: Der Name wird automatisch mithilfe der Informationen in der Einstellung des Gruppenrichtlinienobjekts generiert.

    • Gruppenrichtlinieneinstellungskategorie: Zeigt die Einstellungskategorie für ADMX-Einstellungen an, z. B. Internet Explorer und Microsoft Edge. Nicht alle Einstellungen haben eine Einstellungskategorie.

    • MDM-Unterstützung:

      • Ja bedeutet, dass eine übereinstimmende Einstellung in Intune verfügbar ist. Sie können diese Einstellung im Einstellungskatalog konfigurieren.
      • Nein bedeutet, dass es keine übereinstimmende Einstellung für MDM-Anbieter einschließlich Intune gibt.
      • Weitere Werte: Wenn Sie ältere Einstellungen importieren, die nicht mehr unterstützt werden, schlägt das Tool vor, zu einer neueren unterstützten Version zu migrieren. Weitere Informationen zu Migrationsszenarien findest du unter Importierte Gruppenrichtlinienobjekte in Intune – Was du wissen musst.
    • Wert: Enthält den aus dem Gruppenrichtlinienobjekt importierten Wert. Unterschiedliche Werte wie true, 900, Enabled, false usw. sind möglich.

    • Bereich: Zeigt, ob das importierte Gruppenrichtlinienobjekt für Benutzer oder Geräte vorgesehen ist.

    • Mindestversion für Betriebssystem: Zeigt die Buildnummern der Mindestversion des Windows-Betriebssystems, für die die Gruppenrichtlinienobjekt-Einstellung gilt. Es können (1903), 17130 (1803) und andere Windows-Clientversionen angezeigt 18362 werden.

      Wenn beispielsweise eine Richtlinieneinstellung 18362 enthält, unterstützt die Einstellung den Build 18362 und neuere Builds.

    • CSP Name: Ein Konfigurationsdienstanbieter (Configuration Service Provider, CSP) macht Gerätekonfigurationseinstellungen im Windows-Client verfügbar. In dieser Spalte ist der CSP mit der Einstellung enthalten. Sie können z. B. Richtlinien, BitLocker, PassportforWork usw. sehen.

      Die CSP-Referenz listet die verfügbaren CSPs auf, zeigt die unterstützten Betriebssystem-Editionen an und mehr.

    • CSP-Zuordnung: Zeigt den OMA-URI-Pfad für die lokale Richtlinie. Sie können den OMA-URI in einem benutzerdefinierten Gerätekonfigurationsprofil verwenden. Sie können z. B. sehen ./Device/Vendor/MSFT/BitLocker/RequireDeviceEnryption.

  7. Für die Einstellungen mit MDM-Unterstützung können Sie eine Einstellungen Katalogrichtlinie mit diesen Einstellungen erstellen. Die spezifischen Schritte finden Sie unter Erstellen einer Einstellungskatalogrichtlinie mit Ihren importierten Gruppenrichtlinienobjekten in Microsoft Intune.

Auswählen eines Bereichstags beim Importieren

Wenn Sie ein Gruppenrichtlinienobjekt importieren, können Sie vorhandene Bereichstags auswählen. Wenn Sie kein Bereichstag auswählen, wird automatisch das Standardbereichstag verwendet. Nur Administratoren, die auf das Standardbereichstag festgelegt sind, können das importierte Gruppenrichtlinienobjekt sehen. Administratoren, die nicht auf das Standardbereichstag festgelegt sind, sehen das importierte Gruppenrichtlinienobjekt nicht.

Dieses Verhalten gilt für alle Bereichstags, die Sie beim Importieren eines Gruppenrichtlinienobjekts auswählen. Administratoren werden die importierten Gruppenrichtlinienobjekte nur angezeigt, wenn sie während des Imports über eines der gleichen Bereichstags verfügen. Wenn ein Administrator nicht über das Bereichstag verfügt, wird das importierte Gruppenrichtlinienobjekt nicht in der Berichterstellung oder in der Liste der Gruppenrichtlinienobjekte angezeigt.

Administratoren verfügen Charlottebeispielsweise über bereichsbezogene Tags , Londonoder Boston , die ihrer Rolle zugewiesen sind:

  • Ein Administrator mit dem Bereichstag "Charlotte" importiert ein Gruppenrichtlinienobjekt.
  • Während des Imports wählen sie das Bereichstag "Charlotte" aus. Das Bereichstag "Charlotte" wird auf das importierte Gruppenrichtlinienobjekt angewendet.
  • Alle Administratoren mit dem Bereichstag "Charlotte" können das importierte Objekt sehen.
  • Administratoren mit nur den Bereichstags "London" oder nur "Boston" können das importierte Objekt vom "Charlotte"-Administrator nicht sehen.

Damit Administratoren die Analysen anzeigen oder das importierte Gruppenrichtlinienobjekt zu einer Intune-Richtlinie migrieren können, muss für diese Administratoren während des Imports eines der gleichen Bereichstags ausgewählt sein.

Weitere Informationen zu Bereichstags findest du unter RBAC und Bereichstags für verteilte IT.

Unterstützte CSPs und Gruppenrichtlinien

Gruppenrichtlinienanalysen können die folgenden CSPs für MDM-Unterstützung analysieren:

Wenn Ihr importiertes Gruppenrichtlinienobjekt Über Einstellungen verfügt, die nicht in den unterstützten CSPs und Gruppenrichtlinien enthalten sind, werden die Einstellungen möglicherweise in der Spalte Unbekannte Einstellungen aufgeführt. Dieses Verhalten bedeutet, dass die Einstellungen in Ihrem Gruppenrichtlinienobjekt identifiziert wurden.

Obwohl gruppenrichtlinienanalysen die CSPs analysieren können, gibt es einige Dinge, die Sie beim Migrieren Ihrer importierten Gruppenrichtlinienobjekte beachten sollten. Weitere Informationen findest du unter Migrieren deines importierten Gruppenrichtlinienobjekts zu einer Einstellungskatalogrichtlinie – Was du wissen musst.

Bericht „Gruppenrichtlinien-Migrationsbereitschaft“

  1. Wählen Sie im Microsoft Intune Admin CenterBerichte>Geräteverwaltung>Gruppenrichtlinienanalysen aus:

    Screenshot: Überprüfen des Berichts und der Ausgabe importierter Gruppenrichtlinienobjekte mithilfe von Gruppenrichtlinienanalysen in Microsoft Intune und Intune Admin Center

  2. Auf der Registerkarte Zusammenfassung wird eine Zusammenfassung des Gruppenrichtlinienobjekts und seiner Richtlinien gezeigt. Anhand dieser Informationen können Sie den Status der Richtlinien in Ihrem Gruppenrichtlinienobjekt ermitteln:

    • Bereit für Migration: Die Richtlinie verfügt über eine übereinstimmende Einstellung in Intune und ist für die Migration zu Intune bereit.

    • Nicht unterstützt: Für die Richtlinie gibt es keine übereinstimmende Einstellung. Normalerweise werden Richtlinieneinstellungen mit diesem Status MDM-Anbietern, einschließlich Intune, nicht verfügbar gemacht.

    • Veraltet: Die Richtlinie kann für ältere Windows-Versionen, ältere Microsoft Edge-Versionen und weitere Richtlinien gelten, die nicht mehr verwendet werden.

      Hinweis

      Wenn das Microsoft Intune-Produktteam die Zuordnungslogik aktualisiert, werden die importierten Gruppenrichtlinienobjekte automatisch aktualisiert. Sie müssen Ihre Gruppenrichtlinienobjekte nicht erneut importieren.

  3. Wählen Sie die Registerkarte >BerichteGruppenrichtlinienmigrationsbereitschaft aus. Dieser Bericht ermöglicht Folgendes:

    • Sehen Sie sich die Anzahl der Einstellungen in Ihrem Gruppenrichtlinienobjekt an, die in einem Gerätekonfigurationsprofil konfiguriert werden können. Außerdem wird angezeigt, ob sich die Einstellungen in einem benutzerdefinierten Profil befinden können, nicht unterstützt werden oder veraltet sind.
    • Filtern der Berichtsausgabe mit den Filtern Migrationsbereitschaft, Profiltyp und CSP-Name
    • Auswählen von Bericht generieren oder Erneut generieren, um aktuelle Daten zu erhalten
    • Einsehen der Liste der Einstellungen in Ihrem Gruppenrichtlinienobjekt
    • Suchen bestimmter Einstellungen über die Suchleiste
    • Abrufen des Zeitstempels der letzten Generierung des Berichts

    Hinweis

    Nachdem Sie Ihre importierten Gruppenrichtlinienobjekte hinzugefügt oder entfernt haben, kann die Aktualisierung der Berichtsdaten zur Migrationsbereitschaft etwa 20 Minuten dauern.

Bekannte Probleme

Derzeit unterstützt das Analysetool für Gruppenrichtlinien nur Nicht-ADMX-Einstellungen in englischer Sprache. Wenn Sie ein Gruppenrichtlinienobjekt mit Einstellungen in anderen Sprachen als Englisch importieren, ist Der Prozentsatz der MDM-Unterstützung ungenau.

Senden von Produktfeedback

Sie können Feedback zur Gruppenrichtlinienanalyse geben. Wählen Sie im Microsoft Intune Admin CenterGeräte>verwalten Geräte> verwaltenGruppenrichtlinienanalysen>Feedback erhalten aus.

Feedbackbeispiele:

  • Beim Import oder der Analyse sind Fehler aufgetreten, für die Sie spezifischere Informationen benötigen.
  • Wie einfach ist es, Gruppenrichtlinienanalysen zu verwenden, um die in Microsoft Intune unterstützten Gruppenrichtlinien zu finden?
  • Hilft Ihnen dieses Tool beim Verschieben einiger Workloads nach Intune? Wenn ja, welche Workloads ziehen Sie dafür in Betracht?

Das Feedback wird aggregiert und an Microsoft gesendet, um Informationen über die Servicequalität zu erhalten. Die Eingabe einer E-Mail ist optional und kann verwendet werden, um weitere Informationen zu erhalten.

Datenschutz und Sicherheit

Jede Verwendung von Kundendaten, z. B. der von Ihrer Organisation verwendeten Gruppenrichtlinienobjekte, wird aggregiert. Diese Daten werden nicht an Dritte verkauft. Sie können genutzt werden, um innerhalb von Microsoft Geschäftsentscheidungen zu treffen. Ihre Kundendaten sind sicher gespeichert.

Sie können importierte Gruppenrichtlinienobjekte jederzeit löschen:

  1. Wechseln Sie zu Geräte>Geräte> verwaltenGruppenrichtlinienanalysen.

  2. Wählen Sie das Kontextmenü >Löschen aus:

    Screenshot: Löschen oder Entfernen des Gruppenrichtlinienobjekts (GPO), das Sie im Gruppenrichtlinienanalysetool in Microsoft Intune und Intune Admin Center importiert haben

Nächste Schritte

Weitere Informationen

Erfahren Sie mehr über Konfigurationsdienstanbieter (Configuration Service Providers, CSPs).