Freigeben über


Geräteprofile

Sie können sich Geräteprofile als Teil einer Hierarchie von Gerätekonfigurationsoptionen vorstellen.

Gerätekonfigurationen, die als Pyramide angezeigt werden. Es folgt eine Beschreibung.

Gerätekonfigurationsoptionen Beschreibung
Ihre Konfigurationen Im oberen Bereich befinden sich Ihre eigenen Konfigurationen, z. B. Netzwerkdetails oder Anwendungen. Ein Gerät kann über eine beliebige Anzahl dieser Konfigurationen verfügen, die nicht von Microsoft Managed Desktop verwaltet oder blockiert werden.
Anpassungen Die nächsthöhere Ebene sind weitere Anpassungen. Jedes Gerät kann über eine oder mehrere (oder keine) Anpassungen verfügen. Die Anpassungen können entweder:
  • Ändern einer ebeneren Ebene (Geräteprofile oder grundlegende Konfiguration) oder
  • Eine völlig neue Anforderung, die über die Standardkonfiguration verfügt.
Geräteprofile Jedem Microsoft Managed Desktop-Gerät darf nur ein Profil zugewiesen sein. Administratoren können auswählen, welches Profil einem Gerät zugewiesen wird.

Sie können Geräten verschiedene vorab festgelegte Profile zuweisen. Jedes Profil ist für die Anforderungen bestimmter Benutzertypen optimiert. Drei Geräteprofile sind verfügbar:
  • Standard
  • Vertrauliche Daten
  • Power-Benutzer
  • Kiosk
Foundation Grundsätzlich verfügt jedes Microsoft Managed Desktop-Gerät über eine Grundlage, die Folgendes umfasst:
  • Standard-Sicherheitsbaseline
  • Compliancerichtlinien
  • Windows Update-Einstellungen
  • Gruppen

Um mit Microsoft Managed Desktop arbeiten zu können, muss jedes Gerät alle diese Elemente enthalten. Diese Elemente können von Administratoren nicht geändert werden. Sie müssen eine Anforderung an Microsoft Managed Desktop senden.

Geräteprofildetails

In der folgenden Tabelle sind die Einstellungen und deren Standardwerte für jede von Geräteprofilen konfigurierte Einstellung zusammengefasst. Im Hintergrund werden diese Einstellungen mit OMA-URIs mithilfe von benutzerdefinierten Konfigurationsprofilen im Microsoft Intune Admin Center konfiguriert.



Feature Vertrauliche Daten Power-Benutzer Standard Kiosk
Externen Speicher blockieren Ja Ja Nein Ja
Cloudblockebene Hoch Hoch Hoch Hoch
Microsoft-Konten deaktivieren Ja Ja Nein Ja
Persönliches OneDrive deaktivieren Ja Ja Nein Ja
Zur Erhöhung der Rechte auf sicheren Desktop umstellen Nein Ja Nein Nein
Microsoft Defender für Endpoint-Gerätetag M365Managed-SensitiveData M365Managed-PowerUser M365Managed-Standard M365Managed-Kiosk
Administrator auf dem Gerät? Nein Ja Nein Nein
Autopilot-Profil Modern Workplace Autopilot-Profil Modern Workplace Autopilot Profile Power User Modern Workplace Autopilot-Profil Modern Workplace Autopilot Profile Kiosk
AppLocker Ja Nein Nein Nein
Öffentlichen Store blockieren Ja Ja Nein Ja

Jedes Geräteprofil umfasst auch folgende Elemente:

  • Eine dynamische Microsoft Entra-Gerätegruppe.
  • Eine statische Microsoft Entra-Gerätegruppe.
  • Ein Microsoft Intune-Konfigurationsprofil.

Wichtig

Ändern Sie die Mitgliedschaft dieser Gruppen nicht direkt. Verwenden Sie die Schnittstelle wie unter Neuzuweisen von Profilenbeschrieben.

Hinweis

Um das Power User-Profil auf einem Windows 365-Gerät vollständig zu aktivieren, müssen Sie den lokalen Administrator aktivieren in den Windows 365-Benutzereinstellungen festlegen und den Benutzer der zugewiesenen Gruppe hinzufügen. Weitere Informationen finden Sie unter Festlegen eines Benutzers zum lokalen Administrator.

Einschränkungen

Sie können Ausnahmen für die Geräteprofile und deren Details wie bei jeder anderen Richtlinie anfordern.

Sie können nur eines jedes Geräteprofils in Ihrer Microsoft Entra-Organisation ("Mandant") verwenden. Sie können beispielsweise nicht anfordern, dass das Geräteprofil für vertrauliche Daten AppLocker nur für einige Ihrer Benutzer deaktiviert. Alle Geräte mit dem Geräteprofil für vertrauliche Daten müssen die gleiche Konfiguration aufweisen.

Jedes Gerät kann nur über ein Profil verfügen. Wenn ein bestimmtes Gerät von mehreren Benutzern verwendet wird, verfügen alle Benutzer auf diesem Gerät über die gleiche Konfiguration.

Exportieren einer Administrator-CSV-Datei

Geräte, denen das Power user-Geräteprofil zugewiesen ist, enthalten auch Benutzer in der Administratorgruppe. Als IT-Administrator können Sie alle Benutzer und Gruppen herunterladen und anzeigen, die der lokalen Administratorgruppe zugewiesen sind.

So exportieren Sie die CSV-Datei:

  1. Wählen Sie im Microsoft Intune Admin Center im linken Bereich Die Option Geräte aus.
  2. Wählen Sie im Abschnitt Microsoft Managed DesktopGeräte aus.
  3. Wählen Sie die Menüoption Exportieren und dann Administratoren exportieren aus. Eine CSV-Datei wird heruntergeladen.

Die CSV-Datei enthält Folgendes:

  • Informationen, die von allen Geräten abgerufen wurden, die in den letzten 28 Tagen aktiv waren.
  • Daten, die einmal täglich um Mitternacht aktualisiert werden. Der Inhalt wird alle 24 Stunden aktualisiert.
  • Die Geräteprofilnamen und können nach Power-Benutzer-Geräteprofilen gefiltert werden.
  • Als Mitglieder der lokalen Administratorgruppe, die Microsoft Entra-Gruppen enthält, enthält die Gruppe ein (G)-Suffix. Deaktivierte Konten enthalten ein (D)-Suffix.
  • Einige Daten, die als GUIDs angezeigt werden. Daten, die als GUIDs angezeigt werden, sind darauf zurückzuführen, dass wir die Benutzernamen nicht ermitteln können. Wir erfassen nur die Benutzernamen, die auf dem lokalen Gerät angezeigt werden.