Teilen über


Verwenden des Einstellungskatalogs zum Konfigurieren von Einstellungen auf Windows-, iOS-/iPadOS- und macOS-Geräten

Der Einstellungskatalog listet alle Einstellungen auf, die Sie alle an einem Ort konfigurieren können. Dieses Feature vereinfacht die Erstellung einer Richtlinie und die Darstellung aller verfügbaren Einstellungen. Beispielsweise können Sie den Einstellungskatalog verwenden, um eine BitLocker-Richtlinie mit allen BitLocker-Einstellungen zu erstellen.

Sie können Microsoft Copilot auch in Intune verwenden. Wenn Sie die Copilot-Features mit dem Einstellungskatalog verwenden, können Sie Copilot für Folgendes verwenden:

  • Erfahren Sie mehr über die einzelnen Einstellungen, erhalten Sie Auswirkungen auf was-wenn-Analysen , und finden Sie potenzielle Konflikte.
  • Fassen Sie vorhandene Richtlinien zusammen, und erhalten Sie Eine Auswirkungsanalyse für Benutzer und Sicherheit.

Wenn Sie Einstellungen auf einer präzisen Ebene konfigurieren möchten, ähnlich wie bei der Verwendung von lokalen Gruppenrichtlinienobjekten (GpOs), ist der Einstellungskatalog ein natürlicher Übergang zur cloudbasierten Richtlinie.

Wenn Sie die Richtlinie erstellen, beginnen Sie ganz von vorne. Sie fügen nur die Einstellungen hinzu, die Sie steuern und verwalten möchten.

Um Geräte in Ihrer Organisation zu verwalten und zu schützen, verwenden Sie den Einstellungskatalog als Teil Ihrer Mdm-Lösung (Mobile Device Management). Dem Einstellungskatalog werden ständig weitere Einstellungen hinzugefügt. Eine aktuelle Liste der Einstellungen finden Sie im GitHub-Repository IntunePMFiles/DeviceConfig.

Diese Funktion gilt für:

  • iOS/iPadOS

    Enthält Geräteeinstellungen, die direkt aus Apple-profilspezifischen Nutzlastschlüsseln generiert werden. Es werden ständig weitere Einstellungen und Schlüssel hinzugefügt. Weitere Informationen finden Sie auf der Apple-Website unter Profilspezifische Nutzlastschlüssel .

    Apples deklarative Geräteverwaltung (Deklarative Geräteverwaltung, DDM) ist in den Einstellungskatalog integriert. Wenn Sie Einstellungen aus dem Einstellungskatalog auf iOS/iPadOS 15+ Geräten konfigurieren, die über die Benutzerregistrierung registriert wurden, verwenden Sie DDM automatisch. Wenn DDM nicht funktioniert, verwenden diese Geräte das standardmäßige MDM-Protokoll von Apple. Alle anderen iOS-/iPadOS-Geräte verwenden weiterhin das standardmäßige MDM-Protokoll von Apple.

  • macOS

    Enthält Geräteeinstellungen, die direkt aus Apple-profilspezifischen Nutzlastschlüsseln generiert werden. Es werden ständig weitere Einstellungen und Schlüssel hinzugefügt. Weitere Informationen zu profilspezifischen Nutzlastschlüsseln finden Sie auf der Apple-Website unter Profilspezifische Nutzlastschlüssel .

    Die deklarative Geräteverwaltung (Deklarative Geräteverwaltung, DDM) von Apple ist im Einstellungskatalog verfügbar. Sie können DDM verwenden, um Softwareupdates, Kennungseinschränkungen und vieles mehr zu verwalten.

    Sie können den Einstellungskatalog auch verwenden, um neuere Versionen von Microsoft Edge und anderen Features anstelle von Eigenschaftenlistendateien (plist) zu konfigurieren. Weitere Informationen finden Sie unter:

    Sie können die Einstellungsdatei weiterhin für Folgendes verwenden:

    • Konfigurieren Sie frühere Versionen von Microsoft Edge.
    • Konfigurieren Sie Microsoft Edge-Browsereinstellungen, die nicht im Einstellungskatalog enthalten sind.
  • Windows 10/11

    Es gibt Tausende von Einstellungen, einschließlich Einstellungen, die zuvor nicht verfügbar waren. Diese Einstellungen werden direkt mithilfe der Windows-Konfigurationsdienstanbieter (Configuration Service Providers, CSPs) generiert. Sie können auch administrative Vorlagen konfigurieren und weitere Administrative Vorlageneinstellungen zur Verfügung stellen. Wenn Windows weitere Einstellungen für MDM-Anbieter hinzufügt oder verfügbar macht, werden diese Einstellungen Microsoft Intune zur Konfiguration hinzugefügt.

Tipp

  • Eine Liste der Einstellungen im Einstellungskatalog finden Sie im GitHub-Repository IntunePMFiles/DeviceConfig.
  • Um die konfigurierten Microsoft Edge-Richtlinien anzuzeigen, öffnen Sie Microsoft Edge, und wechseln Sie zu edge://policy.

In diesem Artikel werden die Schritte zum Erstellen einer Richtlinie beschrieben, das Durchsuchen und Filtern der Einstellungen in Intune sowie die Verwendung von Copilot erläutert.

Wenn Sie die Richtlinie erstellen, wird ein Gerätekonfigurationsprofil erstellt. Sie können dieses Profil dann Geräten in Ihrer Organisation zuweisen oder für diese bereitstellen.

Informationen zu Features, die Sie mithilfe des Einstellungskatalogs konfigurieren können, finden Sie unter Aufgaben, die Sie mit dem Einstellungskatalog in Intune ausführen können.

Erstellen der Richtlinie

Sie erstellen die Richtlinie mithilfe des Profiltyps des Einstellungskatalogs.

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wählen Sie Geräte>Geräte verwalten>Konfiguration>Erstellen>Neue Richtlinie aus.

  3. Geben Sie die folgenden Eigenschaften ein:

    • Plattform: Wählen Sie iOS/iPadOS, macOS oder Windows 10 und höher aus.
    • Profiltyp: Wählen Sie Einstellungskatalog aus.
  4. Wählen Sie Erstellen aus.

  5. Geben Sie in Grundlagen die folgenden Eigenschaften ein:

    • Name: Benennen Sie Ihre Profile, damit Sie sie später leicht identifizieren können. Ein guter Profilname ist beispielsweise macOS: Microsoft Edge-Einstellungen oder Win10: BitLocker-Einstellungen für alle Win10-Geräte.
    • Beschreibung: Geben Sie eine Beschreibung für das Profil ein. Diese Einstellung ist optional, wird jedoch empfohlen.
  6. Wählen Sie Weiter aus.

  7. Wählen Sie unter Konfigurationseinstellungen die Option Einstellungen hinzufügen aus. Wählen Sie in der Einstellungsauswahl eine Kategorie aus, um alle verfügbaren Einstellungen anzuzeigen.

    Wählen Sie beispielsweise Windows 10 und höher und dann Authentifizierung aus, um alle Einstellungen in dieser Kategorie anzuzeigen:

    Screenshot: Einstellungskatalog bei Auswahl von Windows und Authentifizierung in Microsoft Intune und Intune Admin Center

    Beispielsweise macOS auswählen. In der Kategorie Microsoft Edge – Alle werden alle Einstellungen aufgelistet, die Sie konfigurieren können. Die anderen Kategorien umfassen Einstellungen, die veraltet sind oder für ältere Versionen gelten:

    Screenshot, der den Einstellungskatalog zeigt, wenn Sie macOS auswählen und ein Feature oder eine Kategorie in Microsoft Intune und Intune Admin Center auswählen.

    Tipp

    • Unter macOS wurden die Kategorien vorübergehend entfernt. Verwenden Sie zum Suchen einer bestimmten Einstellung die Kategorie Microsoft Edge – Alle, oder suchen Sie nach dem Namen der Einstellung. Eine Liste der Einstellungsnamen finden Sie unter Microsoft Edge – Richtlinien.

    • Verwenden Sie den Link Weitere Informationen in der QuickInfo, um festzustellen, ob eine Einstellung veraltet ist, und um die unterstützten Versionen anzuzeigen.

  8. Wählen Sie eine Einstellung aus, die Sie konfigurieren möchten. Oder wählen Sie Alle diese Einstellungen auswählen aus:

    Screenshot, der die Einstellungen zeigt, wenn Sie alle diese Einstellungen in Microsoft Intune und Intune Admin Center auswählen.

    Nachdem Sie die Einstellungen hinzugefügt haben, schließen Sie die Einstellungsauswahl. Alle Einstellungen werden angezeigt und mit einem Standardwert konfiguriert, z. B. Blockieren oder Zulassen. Diese Standardwerte entsprechen den Standardwerten des Betriebssystems. Wenn Sie keine Einstellung konfigurieren möchten, wählen Sie das Minuszeichen (-) aus:

    Screenshot, der den Einstellungskatalog zeigt und dass die Standardwerte in Microsoft Intune und Intune Admin Center mit den Standardwerten des Betriebssystems identisch sind.

    Wenn Sie das Minuszeichen auswählen:

    • Diese Einstellung wird von Intune nicht geändert oder aktualisiert. Das Minuszeichen bedeutet Nicht konfiguriert. Beim Wert Nicht konfiguriert wird die Einstellung nicht mehr verwaltet.
    • Die Einstellung wird aus der Richtlinie entfernt. Wenn Sie die Richtlinie das nächste Mal öffnen, wird die Einstellung nicht gezeigt. Sie können es jedoch erneut hinzufügen.
    • Bei der nächsten Anmeldung von Geräten ist die Einstellung nicht mehr gesperrt. Ein anderer Richtlinien- oder Gerätebenutzer kann die Richtlinie ändern.

    Tipp

    • In den QuickInfos für Windows-Einstellungen, führt der Weitere Informationen-Link zum CSP.

    • Wenn eine Einstellung mehrere Werte zulässt, empfiehlt es sich, jeden Wert separat hinzuzufügen. Beispielsweise können Sie mehrere Werte in die EinstellungListe zulässiger Bluetooth-Dienste> eingeben. Geben Sie jeden Wert in einer separaten Zeile ein: Screenshot, der eine Einstellung mit mehreren Werten in einer separaten Zeile im Einstellungskatalog in Microsoft Intune und im Intune Admin Center zeigt.

      Sie können mehrere Werte in einem einzelnen Feld hinzufügen, es kann jedoch zu einer Zeichenbeschränkung kommen.

  9. Wählen Sie Weiter aus.

  10. Weisen Sie in Bereichstags (optional) ein Tag zu, um das Profil nach bestimmten IT-Gruppen wie US-NC IT Team oder JohnGlenn_ITDepartment zu filtern. Weitere Informationen zu Bereichstags finden Sie unter Verwenden der RBAC und von Bereichstags für verteilte IT.

    Wählen Sie Weiter aus.

  11. Wählen Sie unter Zuweisungen die Benutzer oder Gruppen aus, denen Ihr Profil zugewiesen werden soll. Weitere Informationen finden Sie unter Zuweisen von Benutzer- und Geräteprofilen.

    Wählen Sie Weiter aus.

  12. Überprüfen Sie die Einstellungen unter Überprüfen + erstellen. Wenn Sie auf Erstellen klicken, werden die Änderungen gespeichert, und das Profil wird zugewiesen. Die Richtlinie wird auch in der Profilliste angezeigt.

Wenn das Gerät das nächste Mal nach Konfigurationsupdates sucht, werden die von Ihnen konfigurierten Einstellungen angewendet.

Finden Sie einige Einstellungen, und erfahren Sie mehr über die einzelnen Einstellungen.

Im Einstellungskatalog sind Tausende von Einstellungen verfügbar. Verwenden Sie die Such- und Filterfunktionen, um die gewünschten Einstellungen zu finden.

Wenn Sie Copilot verwenden, können Sie KI-generierte Informationen zu jeder Einstellung abrufen.

Wenn Sie eine neue Richtlinie erstellen oder eine vorhandene Richtlinie aktualisieren, gibt es integrierte Such- und Filterfunktionen, mit denen Sie Einstellungen finden können.

  • Um bestimmte Einstellungen in Ihrer Richtlinie zu finden, können Sie Einstellungen> hinzufügenSuchen verwenden. Sie können nach Kategorie suchen, z browser. B. nach einem Schlüsselwort wie office oder googlesuchen und nach bestimmten Einstellungen suchen.

    Suchen Sie beispielsweise nach internet explorer. Alle Einstellungen mit internet explorer werden angezeigt. Wählen Sie eine Kategorie aus, um die verfügbaren Einstellungen anzuzeigen:

    Screenshot, der den Einstellungskatalog zeigt, wenn Sie nach Internet Explorer suchen, um alle Internet Explorer-Einstellungen in Microsoft Intune und Intune Admin Center anzuzeigen.

  • Wählen Sie für Ihre Richtlinie Einstellungen hinzufügen>Filter hinzufügen aus. Wählen Sie den Schlüssel, Operator und Wert aus.

    Wenn Sie nach Betriebssystemedition filtern, können Sie die Einstellungen filtern, die für bestimmte Windows-Editionen gelten:

    Screenshot: Einstellungskatalog beim Filtern der Einstellungsliste nach Windows Edition in Microsoft Intune und Intune Admin Center

    Hinweis

    Bei den Einstellungen von Edge, Office und OneDrive bestimmt nicht die Version oder Edition des Betriebssystems, ob die Einstellungen gelten. Wenn Sie also nach einer bestimmten Edition wie Windows Professional filtern, werden die Edge-, Office- und OneDrive-Einstellungen nicht angezeigt.

    Sie können die Einstellungen auch nach Gerät oder Benutzerbereich filtern. Weitere Informationen finden Sie unter Gerätebereichs- und Benutzerbereichseinstellungen (in diesem Artikel):

    Screenshot: Filter für Benutzer- und Gerätebereich im Einstellungskatalog in Microsoft Intune und Intune Admin Center

Kopieren eines Profils

Wählen Sie Duplizieren aus, um eine Kopie eines vorhandenen Profils zu erstellen. Duplizieren ist nützlich, wenn Sie ein Profil benötigen, das dem ursprünglichen profil ähnelt. Die Kopie enthält die gleichen Einstellungskonfigurationen und Bereichstags wie das ursprüngliche Profil, verfügt aber nicht über angefügte Zuweisungen.

Nachdem Sie dem neuen Profil einen Namen gegeben haben, können Sie das Profil bearbeiten, um die Einstellungen anzupassen und Zuweisungen hinzuzufügen.

  1. Navigieren Sie zu Geräte>Geräte verwalten>Konfiguration.
  2. Suchen Sie das Profil, das Sie kopieren möchten. Klicken Sie mit der rechten Maustaste auf das Profil, oder wählen Sie das Kontextmenü () aus.
  3. Wählen Sie Duplizieren.
  4. Geben Sie eine neue Bezeichnung und eine Beschreibung für die Richtlinie ein.
  5. Speichern Sie die Änderungen.

Importieren und Exportieren eines Profils

Diese Funktion gilt für:

  • Windows 11
  • Windows 10

Wenn Sie eine Einstellungskatalogrichtlinie erstellen, können Sie die Richtlinie in eine .json Datei exportieren. Anschließend können Sie diese Datei importieren, um eine neue Richtlinie zu erstellen. Dieses Feature ist nützlich, wenn Sie eine Richtlinie erstellen möchten, die einer vorhandenen Richtlinie ähnelt. Beispielsweise exportieren Sie eine Richtlinie, importieren sie, um eine neue Richtlinie zu erstellen, und nehmen dann Änderungen an der neuen Richtlinie vor.

  1. Navigieren Sie zu Geräte>Geräte verwalten>Konfiguration.

  2. Um eine vorhandene Richtlinie zu exportieren, wählen Sie die Katalogrichtlinie für Windows-Einstellungen und dann die Auslassungspunkte/das Kontextmenü () > JSON exportieren aus:

    Screenshot: Exportieren einer Einstellungskatalogrichtlinie als JSON in Microsoft Intune und Intune Admin Center

  3. Um eine zuvor exportierte Einstellungskatalogrichtlinie zu importieren, wählen Sie Importrichtlinie erstellen> aus:

    Screenshot: Importieren einer vorhandenen Einstellungskatalogrichtlinie in Microsoft Intune und Intune Admin Center

    Wählen Sie die JSON-Datei aus, die Sie exportiert haben, und benennen Sie die neue Richtlinie. Speichern Sie die Änderungen.

Konflikte und Berichterstellung

Konflikte treten auf, wenn dieselbe Einstellung mit unterschiedlichen Werten aktualisiert wird, einschließlich Richtlinien, die mithilfe des Einstellungskatalogs konfiguriert wurden. Im Intune Admin Center können Sie den Status Ihrer vorhandenen Richtlinien überprüfen. Die Daten werden automatisch und nahezu in Echtzeit aktualisiert.

Es gibt integrierte Features, die Ihnen bei der Problembehandlung von Konflikten helfen können, einschließlich der Statusberichterstellung pro Einstellung.

Wenn Sie Copilot verwenden, können Sie integrierte Eingabeaufforderungen verwenden, um weitere Informationen zu vorhandenen Richtlinien zu erhalten, einschließlich deren Auswirkungen.

Im Intune Admin Center können Sie die integrierten Berichterstellungsfeatures verwenden, um Konflikte zu finden und zu lösen.

  1. Wählen Sie im Intune Admin CenterGeräte>verwalten Konfiguration> aus. Wählen Sie in der Liste die Richtlinie aus, die Sie mithilfe des Einstellungskatalogs erstellt haben. In der Spalte Profiltyp wird der Einstellungskatalog angezeigt:

    Screenshot: Öffnen des Einstellungskatalogs in Microsoft Intune und Intune Admin Center

  2. Wenn Sie die Richtlinie auswählen, wird der Gerätestatus angezeigt. Dieser zeigt eine Zusammenfassung Ihres Richtlinienstatus und der Richtlinieneigenschaften an. Darüber hinaus können Sie im Abschnitt Konfigurationseinstellungen Ihre Richtlinie ändern oder aktualisieren:

    Screenshot, der zeigt, wie Sie die Einstellungskatalogrichtlinie auswählen, um den Gerätestatus, den Richtlinienstatus und die Eigenschaften in Microsoft Intune und Intune Admin Center anzuzeigen.

  3. Wählen Sie Bericht anzeigen aus. Der Bericht zeigt detaillierte Informationen, einschließlich des Gerätenamens, des Richtlinienstatus und mehr. Sie können auch nach dem Bereitstellungsstatus filtern und den Bericht in eine .csv Datei exportieren:

    Screenshot: Anzeigen detaillierter Berichtsinformationen im Microsoft Intune und Intune Admin Center, einschließlich Gerätename, Richtlinienstatus und mehr.

  4. Sie können den Status jeder Einstellung auch anhand des Einstellungsstatus anzeigen, der die Anzahl der Geräte darstellt, die von den einzelnen Einstellungen in der Richtlinie betroffen sind.

    Sie können:

    • Sehen Sie sich die Anzahl der Geräte an, bei denen die Einstellung erfolgreich angewendet wurde, in Konflikt steht oder einen Fehler aufweist.
    • Wählen Sie die Anzahl der Geräte aus, auf die die Einstellung erfolgreich angewendet wurde, bei denen ein Konflikt aufgetreten ist und die einen Fehler aufweisen. Sehen Sie sich eine Liste der Benutzer oder Geräte in diesem Zustand an.
    • Suchen, sortieren, filtern, exportieren und wechseln Sie zur nächsten bzw. vorherigen Seite.
  5. Wählen Sie im Admin Center Geräte>Überwachung>Zuweisungsfehler aus. Wenn ihre Einstellungskatalogrichtlinie aufgrund eines Fehlers oder Konflikts nicht bereitgestellt werden konnte, wird sie in dieser Liste angezeigt. Sie können sie auch in eine .csv-Datei exportieren.

  6. Wählen Sie die Richtlinie aus, um die Geräte anzuzeigen. Wählen Sie dann ein bestimmtes Gerät aus, um die fehlgeschlagene Einstellung und möglicherweise einen Fehlercode anzuzeigen.

Tipp

Intune-Berichte sind eine hervorragende Ressource. Informationen zu allen Berichtsdaten, die Sie anzeigen können, finden Sie unter Intune-Berichte.

Weitere Informationen zur Konfliktlösung finden Sie unter:

Einstellungskatalog im Vergleich zu Vorlagen

Wenn Sie die Richtlinie erstellen, stehen Ihnen zwei Richtlinientypen zur Auswahl: Einstellungskatalog und Vorlagen:

Screenshot: Auswählen eines Einstellungskatalogs oder von Vorlagen im Microsoft Intune und Intune Admin Center beim Erstellen einer Windows- oder macOS-Richtlinie

Die Vorlagen enthalten eine logische Gruppe von Einstellungen, z. B. Kiosk, VPN, WLAN und mehr. Verwenden Sie diese Option, wenn Sie diese Gruppierungen zum Konfigurieren Ihrer Einstellungen verwenden möchten.

ImEinstellungskatalog werden alle verfügbaren Einstellungen aufgelistet. Wenn Sie alle verfügbaren Firewalleinstellungen oder alle verfügbaren BitLocker-Einstellungen anzeigen möchten, verwenden Sie diese Option. Verwenden Sie diese Option außerdem, wenn Sie nach bestimmten Einstellungen suchen.

Einstellungen für den Gerätebereich vs. den Benutzerbereich

Wenn Sie eine Einstellung auswählen, verfügen einige Einstellungen über ein (User) - oder (Device) -Tag im Einstellungsnamen, z Allow EAP Cert SSO (User) . B. oder Grouping (Device). Wenn diese Tags angezeigt werden, wirkt sich die Richtlinie nur auf den Benutzerbereich oder den Gerätebereich aus.

Weitere Informationen zum Benutzer- und Gerätebereich finden Sie unter Richtlinien-CSP.

Geräte- und Benutzergruppen werden verwendet, wenn Sie Ihre Richtlinien zuweisen. Geräte- und Benutzerbereiche beschreiben, wie eine Richtlinie erzwungen wird.

Verhalten der Bereichszuweisung

Wenn Sie eine Richtlinie aus Intune bereitstellen, können Sie den Benutzer- oder Gerätebereich einer beliebigen Zielgruppe zuweisen. Das Verhalten der Richtlinie pro Benutzer hängt vom Bereich der Einstellung ab:

  • Benutzerdefinierte Richtlinie schreibt nach HKEY_CURRENT_USER (HKCU).
  • Die geräteabhängige Richtlinie schreibt in HKEY_LOCAL_MACHINE (HKLM).

Wenn ein Gerät bei Intune eincheckt, zeigt es immer eine deviceIDan. Das Gerät kann abhängig vom Zeitpunkt des Eincheckens und davon, ob ein Benutzer angemeldet ist, ein userID-Objekt darstellen oder nicht.

Dies sind einige mögliche Kombinationen aus Bereich, Zuweisung und dem erwarteten Verhalten:

  • Wenn einem Gerät eine Gerätebereichsrichtlinie zugewiesen ist, wird diese Einstellung auf alle Benutzer auf diesem Gerät angewendet.
  • Wenn einem Benutzer eine gerätebezogene Richtlinie zugewiesen wird, gelten die Gerätebereichseinstellungen für alle Benutzer auf dem Gerät, sobald sich dieser Benutzer anmeldet und eine Intune-Synchronisierung erfolgt.
  • Wenn einem Gerät eine Benutzerbereichsrichtlinie zugewiesen ist, wird diese Einstellung für alle Benutzer auf diesem Gerät angewendet. Dieses Verhalten ist wie ein Loopback, der auf Zusammenführen eingestellt ist.
  • Wenn einem Benutzer eine richtlinie mit Benutzerbereich zugewiesen wird, wird diese Einstellung nur für diesen Benutzer angewendet.
  • Es gibt einige Einstellungen, die im Benutzerbereich und im Gerätebereich verfügbar sind. Wenn eine dieser Einstellungen sowohl dem Benutzer- als auch dem Gerätebereich zugewiesen ist, hat der Benutzerbereich Vorrang vor dem Gerätebereich.

Wenn während der ersten Eincheckvorgänge keine Benutzerstruktur vorhanden ist, werden einige Benutzerbereichseinstellungen als nicht zutreffend gekennzeichnet. Dieses Verhalten tritt in den frühen Momenten der Geräteaktivität auf, bevor ein Benutzer anwesend ist.

Nächste Schritte