Teilen über

Exemplarische Vorgehensweise: Verwenden der Cloud zum Konfigurieren von Gruppenrichtlinien auf Windows 10/11-Geräten mit ADMX-Vorlagen und Microsoft Intune

  • Artikel

Hinweis

Diese exemplarische Vorgehensweise wurde als technischer Workshop für die Microsoft Ignite erstellt. Es hat mehr Voraussetzungen als typische exemplarische Vorgehensweisen, da die Verwendung und Konfiguration von ADMX-Richtlinien in Intune und lokal verglichen wird.

Administrative Gruppenrichtlinienvorlagen, auch als ADMX-Vorlagen bezeichnet, enthalten Einstellungen, die Sie auf Windows-Clientgeräten konfigurieren können, einschließlich PCs. Die ADMX-Vorlageneinstellungen sind von verschiedenen Diensten verfügbar. Diese Einstellungen werden von MDM-Anbietern (Mobile Device Management, Verwaltung mobiler Geräte) verwendet, einschließlich Microsoft Intune. Sie können beispielsweise Designideen in PowerPoint aktivieren, eine Startseite in Microsoft Edge festlegen und vieles mehr.

Tipp

Eine Übersicht über ADMX-Vorlagen in Intune, einschließlich der in Intune integrierten ADMX-Vorlagen, erfahren Sie unter Verwenden von ADMX-Vorlagen für Windows 10/11 in Microsoft Intune.

Weitere Informationen zu ADMX-Richtlinien findest du unter Grundlegendes zu ADMX-gestützten Richtlinien.

Diese Vorlagen sind in Microsoft Intune integriert und als Profile für administrative Vorlagen verfügbar. In diesem Profil konfigurieren Sie die Einstellungen, die Sie einschließen möchten, und "weisen" dieses Profil dann Ihren Geräten zu.

In dieser exemplarischen Vorgehensweise gehen Sie folgendermaßen vor:

  • Erhalten Sie eine Einführung in das Microsoft Intune Admin Center.
  • Erstellen sie Benutzergruppen und Gerätegruppen.
  • Vergleichen Sie die Einstellungen in Intune mit lokalen ADMX-Einstellungen.
  • Erstellen Sie verschiedene administrative Vorlagen, und konfigurieren Sie die Einstellungen, die auf die verschiedenen Gruppen ausgerichtet sind.

Am Ende dieses Labs können Sie Intune und Microsoft 365 verwenden, um Ihre Benutzer zu verwalten und administrative Vorlagen bereitzustellen.

Diese Funktion gilt für:

  • Windows 11
  • Windows 10, Version 1709 und höher

Tipp

Es gibt zwei Möglichkeiten zum Erstellen einer administrativen Vorlage: mit einer Vorlage oder mit dem Einstellungskatalog. Dieser Artikel befasst sich mit der Verwendung der Vorlage für administrative Vorlagen. Im Einstellungskatalog sind mehr Einstellungen für administrative Vorlagen verfügbar. Die spezifischen Schritte zur Verwendung des Einstellungskatalogs finden Sie unter Verwenden des Einstellungskatalogs zum Konfigurieren von Einstellungen.

Voraussetzungen

  • Ein Microsoft 365 E3- oder E5-Abonnement, das Intune und Microsoft Entra ID P1 oder P2 enthält. Wenn Sie nicht über ein E3- oder E5-Abonnement verfügen, können Sie es kostenlos testen.

    Weitere Informationen dazu, was Sie mit den verschiedenen Microsoft 365-Lizenzen erhalten, finden Sie unter Transformieren Ihres Unternehmens mit Microsoft 365.

  • Microsoft Intune ist als Intune-MDM-Autorität konfiguriert. Weitere Informationen findest du unter Festlegen der Autorität für die Verwaltung mobiler Geräte.

    Screenshot: Festlegen der MDM-Autorität auf Microsoft Intune in Ihrem Mandantenstatus

  • Auf einem lokalen Active Directory-Domänencontroller (DC):

    1. Kopieren Sie die folgenden Office- und Microsoft Edge-Vorlagen in den zentralen Speicher (Sysvol-Ordner):

    2. Erstellen Sie eine Gruppenrichtlinie, um diese Vorlagen auf einen Windows 10/11 Enterprise-Administratorcomputer in derselben Domäne wie der Domänencontroller zu pushen. In dieser exemplarischen Vorgehensweise:

      • Die Gruppenrichtlinie, die wir mit diesen Vorlagen erstellt haben, heißt OfficeandEdge. Dieser Name wird in den Bildern angezeigt.
      • Der von uns verwendete Windows 10/11 Enterprise-Administratorcomputer wird als Administratorcomputer bezeichnet.

      In einigen Organisationen verfügt ein Domänenadministrator über zwei Konten:

      • Ein typisches Domänenarbeitskonto
      • Ein anderes Domänenadministratorkonto, das nur für Domänenadministratoraufgaben verwendet wird, z. B. Gruppenrichtlinien

      Der Zweck dieses Administratorcomputers besteht darin, dass sich Administratoren mit ihrem Domänenadministratorkonto anmelden und auf Tools zum Verwalten von Gruppenrichtlinien zugreifen können.

  • Auf diesem Administratorcomputer:

    • Melden Sie sich mit einem Domänenadministratorkonto an.

    • Fügen Sie RSAT: Gruppenrichtlinienverwaltungstools hinzu:

      1. Öffnen Sie die Einstellungs-App>System>Optionale Features>Feature hinzufügen.

        Wenn Sie eine ältere Version als Windows 10 22H2 verwenden, wechseln Sie zu Einstellungen>Apps Apps>apps & Features>Optionale Features>Feature hinzufügen.

      2. Wählen Sie RSAT: Gruppenrichtlinienverwaltungstools>Hinzufügen aus.

        Warten Sie, während Windows das Feature hinzufügt. Wenn der Vorgang abgeschlossen ist, wird es schließlich in der Windows-Verwaltungstools-App angezeigt.

        Screenshot: Windows-Verwaltungstools-Apps, einschließlich der App für die Gruppenrichtlinienverwaltung

    • Stellen Sie sicher, dass Sie über Internetzugriff und Administratorrechte für das Microsoft 365-Abonnement verfügen, das das Intune Admin Center umfasst.

Öffnen des Intune Admin Centers

  1. Öffnen Sie einen Chromium-Webbrowser, z. B. Microsoft Edge Version 77 und höher.

  2. Wechseln Sie zum Microsoft Intune Admin Center. Melden Sie sich mit dem folgenden Konto an:

    Benutzer: Geben Sie das Administratorkonto Ihres Microsoft 365-Mandantenabonnements ein.
    Kennwort: Geben Sie das zugehörige Kennwort ein.

Dieses Admin Center konzentriert sich auf die Geräteverwaltung und umfasst Azure-Dienste wie Microsoft Entra ID und Intune. Möglicherweise werden die Microsoft Entra-ID und das Intune-Branding nicht angezeigt, aber Sie verwenden sie.

Sie können das Intune Admin Center auch über das Microsoft 365 Admin Center öffnen:

  1. Gehen Sie zu https://admin.microsoft.com.

  2. Melden Sie sich mit dem Administratorkonto Ihres Microsoft 365-Mandantenabonnements an.

  3. Wählen Sie Alle>Admin Center> anzeigenEndpunktverwaltung aus. Das Intune Admin Center wird geöffnet.

    Screenshot: Alle Admin Center im Microsoft 365 Admin Center

Erstellen von Gruppen und Hinzufügen von Benutzern

Lokale Richtlinien werden in der LSDOU-Reihenfolge angewendet: lokal, Standort, Domäne und Organisationseinheit (OE). In dieser Hierarchie überschreiben Oe-Richtlinien lokale Richtlinien, Domänenrichtlinien überschreiben Standortrichtlinien usw.

In Intune werden Richtlinien auf Benutzer und von Ihnen erstellte Gruppen angewendet. Es gibt keine Hierarchie. Beispiel:

  • Wenn in zwei Richtlinien dieselbe Einstellung aktualisiert wird, wird diese Einstellung als Konflikt angezeigt.
  • Wenn zwei Konformitätsrichtlinien in Konflikt stehen, gilt die restriktivste Richtlinie.
  • Wenn zwei Konfigurationsprofile in Konflikt stehen, wird die Einstellung nicht angewendet.

Weitere Informationen finden Sie unter Allgemeine Fragen, Probleme und Lösungen für Geräterichtlinien und -profile.

In den nächsten Schritten erstellen Sie Sicherheitsgruppen und fügen diesen Gruppen Benutzer hinzu. Sie können einen Benutzer mehreren Gruppen hinzufügen. Beispielsweise ist es normal, dass ein Benutzer über mehrere Geräte verfügt, z. B. ein Surface Pro für die Arbeit und ein android mobiles Gerät für persönliche Geräte. Und es ist normal, dass eine Person von diesen mehreren Geräten aus auf Organisationsressourcen zugreift.

  1. Wählen Sie im Intune Admin Center Gruppen>Neue Gruppe aus.

  2. Legen Sie folgende Einstellungen fest:

    • Gruppentyp: Wählen Sie Sicherheit aus.
    • Gruppenname: Geben Sie Alle Windows 10-Schülergeräte ein.
    • Mitgliedschaftstyp: Wählen Sie Zugewiesen aus.

  3. Wählen Sie Mitglieder aus, und fügen Sie einige Geräte hinzu.

    Das Hinzufügen von Geräten ist optional. Das Ziel besteht darin, das Erstellen von Gruppen zu üben und zu wissen, wie Geräte hinzugefügt werden. Wenn Sie diese exemplarische Vorgehensweise in einer Produktionsumgebung verwenden, beachten Sie, was Sie tun.

  4. Auswählen>Erstellen Sie , um Ihre Änderungen zu speichern.

    Wird Ihre Gruppe nicht angezeigt? Wählen Sie Aktualisieren aus.

  5. Wählen Sie Neue Gruppe aus, und geben Sie die folgenden Einstellungen ein:

    • Gruppentyp: Wählen Sie Sicherheit aus.

    • Gruppenname: Geben Sie Alle Windows-Geräte ein.

    • Mitgliedschaftstyp: Wählen Sie Dynamisches Gerät aus.

    • Dynamische Gerätemitglieder: Wählen Sie Dynamische Abfrage hinzufügen aus, und konfigurieren Sie Ihre Abfrage:

      • Eigenschaft: Wählen Sie deviceOSType aus.
      • Operator: Wählen Sie Gleich aus.
      • Wert: Geben Sie Windows ein.

      1. Wählen Sie Ausdruck hinzufügen aus. Ihr Ausdruck wird in der Regelsyntax angezeigt:

        Screenshot: Erstellen einer dynamischen Abfrage und Hinzufügen von Ausdrücken in einer administrativen Microsoft Intune-Vorlage

        Wenn Benutzer oder Geräte die von Ihnen eingegebenen Kriterien erfüllen, werden sie automatisch den dynamischen Gruppen hinzugefügt. In diesem Beispiel werden Geräte automatisch zu dieser Gruppe hinzugefügt, wenn das Betriebssystem Windows ist. Wenn Sie diese exemplarische Vorgehensweise in einer Produktionsumgebung verwenden, sollten Sie vorsichtig sein. Das Ziel besteht darin, das Erstellen dynamischer Gruppen zu üben.

      2. Retten>Erstellen Sie , um Ihre Änderungen zu speichern.

  6. Erstellen Sie die Gruppe Alle Lehrer mit den folgenden Einstellungen:

    • Gruppentyp: Wählen Sie Sicherheit aus.

    • Gruppenname: Geben Sie Alle Lehrer ein.

    • Mitgliedschaftstyp: Wählen Sie Dynamischer Benutzer aus.

    • Dynamische Benutzermitglieder: Wählen Sie Dynamische Abfrage hinzufügen aus, und konfigurieren Sie Ihre Abfrage:

      • Eigenschaft: Wählen Sie Abteilung aus.

      • Operator: Wählen Sie Gleich aus.

      • Wert: Geben Sie Lehrer ein.

        1. Wählen Sie Ausdruck hinzufügen aus. Ihr Ausdruck wird in der Regelsyntax angezeigt.

          Wenn Benutzer oder Geräte die von Ihnen eingegebenen Kriterien erfüllen, werden sie automatisch den dynamischen Gruppen hinzugefügt. In diesem Beispiel werden Benutzer automatisch zu dieser Gruppe hinzugefügt, wenn ihre Abteilung Lehrer ist. Sie können die Abteilung und andere Eigenschaften eingeben, wenn Benutzer Zu Ihrer Organisation hinzugefügt werden. Wenn Sie diese exemplarische Vorgehensweise in einer Produktionsumgebung verwenden, sollten Sie vorsichtig sein. Das Ziel besteht darin, das Erstellen dynamischer Gruppen zu üben.

        2. Retten>Erstellen Sie , um Ihre Änderungen zu speichern.

Gesprächspunkte

  • Dynamische Gruppen sind ein Feature in Microsoft Entra ID P1 oder P2. Wenn Sie nicht über die Microsoft Entra-ID P1 oder P2 verfügen, sind Sie berechtigt, nur zugewiesene Gruppen zu erstellen. Weitere Informationen zu dynamischen Gruppen findest du unter:

  • Microsoft Entra ID P1 oder P2 umfasst andere Dienste, die häufig bei der Verwaltung von Apps und Geräten verwendet werden, einschließlich mehrstufiger Authentifizierung (MFA) und bedingter Zugriff.

  • Viele Administratoren fragen, wann Benutzergruppen und wann Gerätegruppen verwendet werden sollen. Eine Anleitung finden Sie unter Benutzergruppen im Vergleich zu Gerätegruppen.

  • Denken Sie daran, dass ein Benutzer zu mehreren Gruppen gehören kann. Im Folgenden finden Sie einige weitere Beispiele für Gruppen, die Sie für dynamische Benutzer und Geräte erstellen können:

    • Alle Kursteilnehmer
    • Alle Android-Geräte
    • Alle iOS/iPadOS-Geräte
    • Marketing
    • Personalwesen
    • Alle Mitarbeiter in Charlotte
    • Alle Mitarbeiter in Redmond
    • IT-Administratoren an der Westküste
    • IT-Administratoren an der Ostküste

Die erstellten Benutzer und Gruppen werden auch im Microsoft 365 Admin Center, microsoft Entra ID im Azure-Portal und Microsoft Intune im Azure-Portal angezeigt. Sie können Gruppen in all diesen Bereichen für Ihr Mandantenabonnement erstellen und verwalten. Wenn Ihr Ziel die Geräteverwaltung ist, verwenden Sie das Microsoft Intune Admin Center.

Überprüfen der Gruppenmitgliedschaft

  1. Wählen Sie im Intune Admin Center Benutzer>Alle Benutzer> wählen den Namen eines vorhandenen Benutzers aus.
  2. Überprüfen Sie einige der Informationen, die Sie hinzufügen oder ändern können. Sehen Sie sich beispielsweise die Eigenschaften an, die Sie konfigurieren können, z. B. Position, Abteilung, Stadt, Bürostandort und vieles mehr. Sie können diese Eigenschaften in Ihren dynamischen Abfragen verwenden, wenn Sie dynamische Gruppen erstellen.
  3. Wählen Sie Gruppen aus, um die Mitgliedschaft dieses Benutzers anzuzeigen. Sie können den Benutzer auch aus einer Gruppe entfernen.
  4. Wählen Sie einige der anderen Optionen aus, um weitere Informationen und ihre Möglichkeiten anzuzeigen. Sehen Sie sich beispielsweise die zugewiesene Lizenz, die Geräte des Benutzers und vieles mehr an.

Was habe ich gerade getan?

Im Intune Admin Center haben Sie neue Sicherheitsgruppen erstellt und diesen Gruppen vorhandene Benutzer und Geräte hinzugefügt. Wir verwenden diese Gruppen in späteren Schritten in diesem Tutorial.

Erstellen einer Vorlage in Intune

In diesem Abschnitt erstellen wir eine administrative Vorlage in Intune, betrachten einige Einstellungen in der Gruppenrichtlinienverwaltung und vergleichen dieselbe Einstellung in Intune. Das Ziel besteht darin, eine Einstellung in der Gruppenrichtlinie anzuzeigen und dieselbe Einstellung in Intune anzuzeigen.

  1. Wählen Sie im Intune Admin Center Geräte>verwalten Konfiguration>>Neue Richtlinieerstellen> aus.

  2. Geben Sie die folgenden Eigenschaften ein:

    • Plattform: Wählen Sie Windows 10 und höher aus.
    • Profiltyp: Wählen Sie Vorlagen>Administrative Vorlagenaus.

  3. Wählen Sie Erstellen aus.

  4. Geben Sie in Grundlagen die folgenden Eigenschaften ein:

    • Name: Geben Sie einen aussagekräftigen Namen für das Profil ein. Benennen Sie Ihre Profile, damit Sie diese später leicht wiedererkennen. Geben Sie z. B. Admin template – Windows 10 student devices (Administratorvorlage – Windows 10-Schülergeräte) ein.
    • Beschreibung: Geben Sie eine Beschreibung für das Profil ein. Diese Einstellung ist optional, wird jedoch empfohlen.

  5. Wählen Sie Weiter aus.

  6. Unter Konfigurationseinstellungen wird unter Alle Einstellungen eine alphabetische Liste aller Einstellungen angezeigt. Sie können auch Einstellungen filtern, die für Geräte gelten (Computerkonfiguration) und Einstellungen, die für Benutzer gelten (Benutzerkonfiguration):

    Screenshot: Anwenden von ADMX-Vorlageneinstellungen auf Benutzer und Geräte in Microsoft Intune

  7. Erweitern Sie Computerkonfiguration>Microsoft Edge> wählen Sie SmartScreen-Einstellungen aus. Beachten Sie den Pfad zur Richtlinie und alle verfügbaren Einstellungen:

    Screenshot: Anzeigen der Microsoft Edge SmartScreen-Richtlinieneinstellungen in ADMX-Vorlagen in Microsoft Intune

  8. Geben Sie in der Suche download ein. Beachten Sie, dass die Richtlinieneinstellungen gefiltert sind:

    Screenshot: Filtern der Microsoft Edge SmartScreen-Richtlinieneinstellungen in einer Microsoft Intune ADMX-Vorlage

Gruppenrichtlinienverwaltung öffnen

In diesem Abschnitt zeigen wir eine Richtlinie in Intune und die zugehörige Richtlinie im Gruppenrichtlinienverwaltungs-Editor an.

Vergleichen einer Geräterichtlinie

  1. Öffnen Sie auf dem Administratorcomputer die App Für die Gruppenrichtlinienverwaltung .

    Diese App wird mit RSAT installiert: Gruppenrichtlinien-Verwaltungstools, einem optionalen Feature, das Sie unter Windows hinzufügen. Voraussetzungen (in diesem Artikel) listet die Schritte zum Installieren auf.

  2. Erweitern Sie Domänen> wählen Sie Ihre Domäne aus. Wählen Sie z. B. aus contoso.net.

  3. Klicken Sie mit der rechten Maustaste auf die OfficeundEdge-Richtlinie>Bearbeiten. Die App Gruppenrichtlinienverwaltungs-Editor wird geöffnet.

    Screenshot, der zeigt, wie Sie mit der rechten Maustaste auf die lokale Office- und Microsoft Edge ADMX-Gruppenrichtlinie klicken und Bearbeiten auswählen.

    OfficeandEdge ist eine Gruppenrichtlinie, die die Office- und Microsoft Edge ADMX-Vorlagen enthält. Diese Richtlinie wird unter Voraussetzungen (in diesem Artikel) beschrieben.

  4. Erweitern Sie Computerkonfigurationsrichtlinien>>Administrative Vorlagen>Systemsteuerung>Personalisierung. Beachten Sie die verfügbaren Einstellungen.

    Screenshot: Erweitern der Computerkonfiguration im lokalen Gruppenrichtlinienverwaltungs-Editor und Wechseln zu Personalisierung

    Doppelklicken Sie auf Aktivieren der Sperrbildschirmkamera verhindern, und sehen Sie sich die verfügbaren Optionen an:

    Screenshot, der zeigt, wie die Optionen für die Lokale Computerkonfiguration in der Gruppenrichtlinie angezeigt werden.

  5. Wechseln Sie im Intune Admin Center zu Ihrer Vorlage Administrator – Windows 10-Schülergerätevorlage .

  6. Wählen Sie Computerkonfiguration>Systemsteuerung>Personalisierung aus. Beachten Sie die verfügbaren Einstellungen:

    Screenshot: Einstellungspfad für Personalisierungsrichtlinien in Microsoft Intune

    Der Einstellungstyp ist Device, und der Pfad ist /Control Panel/Personalization. Dieser Pfad ähnelt dem, was Sie gerade im Gruppenrichtlinienverwaltungs-Editor gesehen haben. Wenn Sie die Kameraeinstellung Sperrbildschirm verhindern öffnen, werden die gleichen Optionen Nicht konfiguriert, Aktiviert und Deaktiviert angezeigt, die auch im Gruppenrichtlinienverwaltungs-Editor angezeigt werden.

Vergleichen einer Benutzerrichtlinie

  1. Wählen Sie in Ihrer Administratorvorlage Computerkonfiguration>Alle Einstellungen aus, und suchen Sie nach inprivate browsing. Beachten Sie den Pfad.

    Führen Sie die gleichen Schritte für die Benutzerkonfiguration aus. Wählen Sie Alle Einstellungen aus, und suchen Sie nach inprivate browsing.

  2. Suchen Sie im Gruppenrichtlinienverwaltungs-Editor nach den entsprechenden Benutzer- und Geräteeinstellungen:

    • Gerät: Erweitern Sie Computerkonfigurationsrichtlinien>>Administrative Vorlagen>Windows-Komponenten>Internet Explorer>Datenschutz>InPrivate-Browsen deaktivieren.
    • Benutzer: Erweitern Sie Benutzerkonfigurationsrichtlinien>>Administrative Vorlagen>Windows-Komponenten>Internet Explorer>Datenschutz>InPrivate-Browsen deaktivieren.

    Screenshot: Deaktivieren des InPrivate-Browsens in Internet Explorer mithilfe einer ADMX-Vorlage

Tipp

Um die integrierten Windows-Richtlinien anzuzeigen, können Sie auch GPEdit (Gruppenrichtlinien-App bearbeiten ) verwenden.

Vergleichen einer Microsoft Edge-Richtlinie

  1. Wechseln Sie im Intune Admin Center zu Ihrer Vorlage Administrator – Windows 10-Schülergerätevorlage .

  2. Erweitern Sie Computerkonfiguration>Microsoft Edge-Start>, Startseite und neue Registerkartenseite. Beachten Sie die verfügbaren Einstellungen.

    Führen Sie die gleichen Schritte für die Benutzerkonfiguration aus.

  3. Suchen Sie im Gruppenrichtlinienverwaltungs-Editor nach den folgenden Einstellungen:

    • Gerät: Erweitern Sie Computerkonfigurationsrichtlinien>>Administrative Vorlagen>Microsoft Edge-Start>, Startseite und neue Registerkartenseite.
    • Benutzer: Erweitern Sie Benutzerkonfigurationsrichtlinien>>Administrative Vorlagen>Microsoft Edge-Start>, Startseite und neue Registerkartenseite.

Was habe ich gerade getan?

Sie haben eine administrative Vorlage in Intune erstellt. In dieser Vorlage haben wir einige ADMX-Einstellungen und die gleichen ADMX-Einstellungen in der Gruppenrichtlinienverwaltung untersucht.

Hinzufügen von Einstellungen zur Administratorvorlage "Studenten"

In dieser Vorlage konfigurieren wir einige Internet Explorer-Einstellungen, um Geräte zu sperren, die von mehreren Kursteilnehmern gemeinsam genutzt werden.

  1. Erweitern Sie in Ihrer Administratorvorlage – Windows 10-Kursteilnehmergerätedie Option Computerkonfiguration, wählen Sie Alle Einstellungen aus, und suchen Sie nach InPrivate-Browsen deaktivieren:

    Screenshot: Deaktivieren der Geräterichtlinie

  2. Wählen Sie die Einstellung InPrivate-Browsen deaktivieren aus. Beachten Sie in diesem Fenster die Beschreibung und die Werte, die Sie festlegen können. Diese Optionen ähneln denen in der Gruppenrichtlinie.

  3. Wählen Sie Aktiviert>OK aus, um Ihre Änderungen zu speichern.

  4. Konfigurieren Sie außerdem die folgenden Internet Explorer-Einstellungen. Achten Sie darauf, dass Sie OK auswählen, um Ihre Änderungen zu speichern.

    • Ziehen und Ablegen oder Kopieren und Einfügen von Dateien zulassen

      • Typ: Gerät
      • Pfad: \Windows-Komponenten\Internet Explorer\Internetsteuerung\Sicherheitsseite\Internetzone
      • Wert: Deaktiviert

    • Verhindern des Ignorierens von Zertifikatfehlern

      • Typ: Gerät
      • Pfad: \Windows-Komponenten\Internet Explorer\Internet-Systemsteuerung
      • Wert: Aktiviert

    • Ändern der Startseiteneinstellungen deaktivieren

      • Typ: Benutzer
      • Pfad: \Windows-Komponenten\Internet Explorer
      • Wert: Aktiviert
      • Startseite: Geben Sie eine URL ein, z contoso.com. B. .

  5. Löschen Sie den Suchfilter. Beachten Sie, dass die von Ihnen konfigurierten Einstellungen oben aufgeführt sind:

    Screenshot, der zeigt, dass die konfigurierten ADMX-Einstellungen oben in Microsoft Intune aufgeführt sind.

Zuweisen Ihrer Vorlage

  1. Wählen Sie in Ihrer Vorlage Weiter aus, bis Sie zu Zuweisungen gelangen. Wählen Sie Gruppen auswählen aus, die eingeschlossen werden sollen:

    Screenshot, der zeigt, wie Sie Ihr administratorbasiertes Vorlagenprofil aus der Liste gerätekonfigurationsprofile in Microsoft Intune auswählen.

  2. Eine Liste vorhandener Benutzer und Gruppen wird angezeigt. Wählen Sie die Gruppe Alle Windows 10-Schülergeräte aus, die Sie zuvor > erstellt haben Auswählen.

    Wenn Sie diese exemplarische Vorgehensweise in einer Produktionsumgebung verwenden, sollten Sie erwägen, leere Gruppen hinzuzufügen. Das Ziel besteht darin, die Zuweisung Ihrer Vorlage zu üben.

  3. Wählen Sie Weiter aus. Wählen Sie unter Überprüfen + erstellendie Option Erstellen aus, um Ihre Änderungen zu speichern.

Sobald das Profil gespeichert ist, gilt es für die Geräte, wenn sie bei Intune einchecken. Wenn die Geräte mit dem Internet verbunden sind, kann dies sofort geschehen. Weitere Informationen zu Den Aktualisierungszeiten für Richtlinien finden Sie unter Wie lange dauert es, bis Geräte eine Richtlinie, ein Profil oder eine App erhalten?

Wenn Sie strenge oder restriktive Richtlinien und Profile zuweisen, sperren Sie sich nicht aus. Erwägen Sie das Erstellen einer Gruppe, die von Ihren Richtlinien und Profilen ausgeschlossen ist. Die Idee besteht darin, Zugriff auf die Problembehandlung zu haben. Überwachen Sie diese Gruppe, um zu bestätigen, dass sie wie beabsichtigt verwendet wird.

Was habe ich gerade getan?

Im Intune Admin Center haben Sie ein Administratorvorlagen-Gerätekonfigurationsprofil erstellt und dieses Profil einer von Ihnen erstellten Gruppe zugewiesen.

Erstellen einer OneDrive-Vorlage

In diesem Abschnitt erstellen Sie eine OneDrive-Administratorvorlage in Intune, um einige Einstellungen zu steuern. Diese spezifischen Einstellungen werden ausgewählt, da sie häufig von Organisationen verwendet werden.

  1. Erstellen Sie ein weiteres Profil (Geräte>Verwalten von Geräten>Konfiguration>Neue Richtlinieerstellen>).

  2. Geben Sie die folgenden Eigenschaften ein:

    • Plattform: Wählen Sie Windows 10 und höher aus.
    • Profiltyp: Wählen Sie Vorlagen>Administrative Vorlagen aus.

  3. Wählen Sie Erstellen aus.

  4. Geben Sie in Grundlagen die folgenden Eigenschaften ein:

    • Name: Geben Sie Administratorvorlage ein: OneDrive-Richtlinien, die für alle Windows 10-Benutzer gelten.
    • Beschreibung: Geben Sie eine Beschreibung für das Profil ein. Diese Einstellung ist optional, wird jedoch empfohlen.

  5. Wählen Sie Weiter aus.

  6. Konfigurieren Sie unter Konfigurationseinstellungen die folgenden Einstellungen. Achten Sie darauf, dass Sie OK auswählen, um Ihre Änderungen zu speichern:

    • Computerkonfiguration:

      • Benutzer automatisch mit ihren Windows-Anmeldeinformationen beim OneDrive-Synchronisierungsclient anmelden
        • Typ: Gerät
        • Wert: Aktiviert
      • OneDrive-Dateien bei Bedarf verwenden
        • Typ: Gerät
        • Wert: Aktiviert

    • Benutzerkonfiguration:

      • Benutzer an der Synchronisierung persönlicher OneDrive-Konten hindern
        • Typ: Benutzer
        • Wert: Aktiviert

Ihre Einstellungen sehen ähnlich aus wie die folgenden:

Screenshot: Erstellen einer administrativen OneDrive-Vorlage in Microsoft Intune

Weitere Informationen zu Den OneDrive-Clienteinstellungen findest du unter Verwenden von Gruppenrichtlinien zum Steuern von OneDrive-Synchronisierungsclienteinstellungen.

Zuweisen Ihrer Vorlage

  1. Wählen Sie in Ihrer Vorlage Weiter aus, bis Sie zu Zuweisungen gelangen. Wählen Sie Gruppen auswählen aus, die eingeschlossen werden sollen:

  2. Eine Liste vorhandener Benutzer und Gruppen wird angezeigt. Wählen Sie die Gruppe Alle Windows-Geräte aus, die Sie zuvor > erstellt haben Auswählen.

    Wenn Sie diese exemplarische Vorgehensweise in einer Produktionsumgebung verwenden, sollten Sie erwägen, leere Gruppen hinzuzufügen. Das Ziel besteht darin, die Zuweisung Ihrer Vorlage zu üben.

  3. Wählen Sie Weiter aus. Wählen Sie unter Überprüfen + erstellendie Option Erstellen aus, um Ihre Änderungen zu speichern.

An diesem Punkt haben Sie einige administrative Vorlagen erstellt und den von Ihnen erstellten Gruppen zugewiesen. Der nächste Schritt besteht darin, mithilfe von Windows PowerShell und der Microsoft Graph-API für Intune eine administrative Vorlage zu erstellen.

Optional: Erstellen einer Richtlinie mithilfe von PowerShell und der Graph-API

In diesem Abschnitt werden die folgenden Ressourcen verwendet. Wir installieren diese Ressourcen in diesem Abschnitt.

  1. Öffnen Sie windows PowerShell auf dem Administratorcomputer als Administrator:

    1. Geben Sie in der Suchleiste powershell ein.
    2. Klicken Sie mit der rechten Maustaste auf Windows PowerShell>Als Administrator ausführen.

    Screenshot: Ausführen von Windows PowerShell als Administrator

  2. Rufen Sie die Ausführungsrichtlinie ab, und legen Sie sie fest.

    1. Eintreten: get-ExecutionPolicy

      Notieren Sie sich, auf was die Richtlinie festgelegt ist, die möglicherweise eingeschränkt sein kann. Wenn Sie mit der exemplarischen Vorgehensweise fertig sind, legen Sie sie wieder auf ihren ursprünglichen Wert fest.

    2. Eintreten: Set-ExecutionPolicy -ExecutionPolicy Unrestricted

    3. Geben Sie ein Y , um sie zu ändern.

    Die Ausführungsrichtlinie von PowerShell verhindert die Ausführung schädlicher Skripts. Weitere Informationen findest du unter Informationen zu Ausführungsrichtlinien.

  3. Eintreten: Install-Module -Name Microsoft.Graph.Intune

    Geben Sie ein Y , wenn:

    • Aufgefordert, den NuGet-Anbieter zu installieren
    • Aufgefordert, die Module aus einem nicht vertrauenswürdigen Repository zu installieren

    Es kann einige Minuten dauern, bis der Vorgang abgeschlossen ist. Wenn Sie fertig sind, wird eine Eingabeaufforderung ähnlich der folgenden Eingabeaufforderung angezeigt:

    Screenshot: Windows PowerShell-Eingabeaufforderung nach der Installation eines Moduls

  4. Navigieren Sie in Ihrem Webbrowser zu https://github.com/Microsoft/Intune-PowerShell-SDK/releases, und wählen Sie die Intune-PowerShell-SDK_v6.1907.00921.0001.zip Datei aus.

    1. Wählen Sie Speichern unter aus, und wählen Sie einen Ordner aus, den Sie sich merken werden. c:\psscripts ist eine gute Wahl.

    2. Öffnen Sie Ihren Ordner, klicken Sie mit der rechten Maustaste auf die .zip Datei >AlleExtrahieren extrahieren>. Ihre Ordnerstruktur sieht in etwa wie der folgende Ordner aus:

      Screenshot: Ordnerstruktur des Intune PowerShell SDK nach dem Extrahieren

  5. Aktivieren Sie auf der Registerkarte Ansicht die Option Dateinamenerweiterungen:

    Screenshot: Auswählen von Dateinamenerweiterungen auf der Registerkarte

  6. Navigieren Sie in Ihrem Ordner zu c:\psscripts\Intune-PowerShell-SDK_v6.1907.00921.0001\drop\outputs\build\Release\net471. Klicken Sie mit der rechten Maustaste auf jedes .dll >Eigenschaften>Blockierung aufheben.

    Screenshot: Aufheben der Blockierung der DLLs

  7. Geben Sie in Ihrer Windows PowerShell-App Folgendes ein:

    Import-Module c:\psscripts\Intune-PowerShell-SDK_v6.1907.00921.0001\drop\outputs\build\Release\net471\Microsoft.Graph.Intune.psd1

    Geben Sie ein R , wenn Sie vom nicht vertrauenswürdigen Herausgeber zur Ausführung aufgefordert werden.

  8. Administrative Intune-Vorlagen verwenden die Betaversion von Graph:

    1. Eintreten: Update-MSGraphEnvironment -SchemaVersion 'beta'

    2. Eintreten: Connect-MSGraph -AdminConsent

    3. Melden Sie sich mit demselben Microsoft 365-Administratorkonto an, wenn Sie dazu aufgefordert werden. Diese Cmdlets erstellen die Richtlinie in Ihrer Mandantenorganisation.

      Benutzer: Geben Sie das Administratorkonto Ihres Microsoft 365-Mandantenabonnements ein.
      Kennwort: Geben Sie das zugehörige Kennwort ein.

    4. Wählen Sie Annehmen aus.

  9. Erstellen Sie das Konfigurationsprofil "Testkonfiguration ". Eintreten:

    $configuration = Invoke-MSGraphRequest -Url https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations -Content '{"displayName":"Test Configuration","description":"A test configuration created through PS"}' -HttpMethod POST

    Wenn diese Cmdlets erfolgreich sind, wird das Profil erstellt. Wechseln Sie zur Bestätigung zum Intune Admin Center >Geräte>Verwalten von Geräten>Konfiguration. Ihr Testkonfigurationsprofil sollte aufgeführt werden.

  10. Rufen Sie alle SettingDefinitions ab. Eintreten:

    $settingDefinitions = Invoke-MSGraphRequest -Url https://graph.microsoft.com/beta/deviceManagement/groupPolicyDefinitions -HttpMethod GET

  11. Suchen Sie die Definitions-ID mithilfe des Anzeigenamens der Einstellung. Eintreten:

    $desiredSettingDefinition = $settingDefinitions.value | ? {$_.DisplayName -Match "Silently sign in users to the OneDrive sync app with their Windows credentials"}

  12. Konfigurieren Sie eine Einstellung. Eintreten:

    $configuredSetting = Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues" -Content ("{""enabled"":""true"",""configurationType"":""policy"",""definition@odata.bind"":""https://graph.microsoft.com/beta/deviceManagement/groupPolicyDefinitions('$($desiredSettingDefinition.id)')""}") -HttpMethod POST

    Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues('$($configuredSetting.id)')" -Content ("{""enabled"":""false""}") -HttpMethod PATCH

    $configuredSetting = Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues('$($configuredSetting.id)')" -HttpMethod GET

Anzeigen Ihrer Richtlinie

  1. Im Intune Admin Center >Geräte>Verwalten von Geräten>Konfigurationsaktualisierung>.
  2. Wählen Sie Ihre Testkonfigurationsprofileinstellungen>aus.
  3. Wählen Sie in der Dropdownliste Alle Produkte aus.

Sie sehen, dass die Einstellung Benutzer automatisch beim OneDrive-Synchronisierungsclient anmelden mit ihren Windows-Anmeldeinformationen konfiguriert ist.

Bewährte Methoden für Richtlinien

Beim Erstellen von Richtlinien und Profilen in Intune sind einige Empfehlungen und bewährte Methoden zu berücksichtigen. Weitere Informationen findest du unter Bewährte Methoden für Richtlinien und Profile.

Ressourcen bereinigen

Wenn Sie nicht mehr benötigt werden, haben Sie folgende Möglichkeiten:

  • Löschen Sie die von Ihnen erstellten Gruppen:

    • Alle Windows 10-Schülergeräte
    • Alle Windows-Geräte
    • Alle Lehrer

  • Löschen Sie die von Ihnen erstellten Administratorvorlagen:

    • Administratorvorlage – Windows 10-Schülergeräte
    • Administratorvorlage: OneDrive-Richtlinien, die für alle Windows 10-Benutzer gelten
    • Testkonfiguration

  • Legen Sie die Windows PowerShell-Ausführungsrichtlinie wieder auf ihren ursprünglichen Wert fest. Im folgenden Beispiel wird die Ausführungsrichtlinie auf Restricted festgelegt:

    Set-ExecutionPolicy -ExecutionPolicy Restricted

Nächste Schritte

In diesem Tutorial haben Sie sich mit dem Microsoft Intune Admin Center vertraut machen, den Abfrage-Generator zum Erstellen dynamischer Gruppen verwendet und administrative Vorlagen in Intune erstellt, um ADMX-Einstellungen zu konfigurieren. Außerdem haben Sie die Verwendung von ADMX-Vorlagen lokal und in der Cloud mit Intune verglichen. Als Bonus haben Sie PowerShell-Cmdlets verwendet, um eine administrative Vorlage zu erstellen.

Weitere Informationen zu administrativen Vorlagen in Intune findest du unter:

Verwenden von Windows 10/11-Vorlagen zum Konfigurieren von Gruppenrichtlinieneinstellungen in Intune