Freigeben über


Zuweisen von Richtlinien in Microsoft Intune.

Wenn Sie eine Intune-Richtlinie erstellen, enthält sie alle Einstellungen, die Sie innerhalb der Richtlinie hinzugefügt und konfiguriert haben. Wenn die Richtlinie bereit für die Bereitstellung ist, besteht der nächste Schritt darin, die Richtlinie Ihren Benutzern oder Gerätegruppen „zuzuweisen“. Wenn Sie eine Richtlinie zuweisen, erhalten Benutzer und Geräte Ihre Richtlinie, und die von Ihnen angegebenen Einstellungen werden angewendet.

In Intune können Sie die folgenden Richtlinien erstellen und zuweisen:

  • App-Schutzrichtlinien
  • App-Konfigurationsrichtlinien
  • Compliancerichtlinien
  • Richtlinien für bedingten Zugriff
  • Gerätekonfigurierungsprofile
  • Registrierungsrichtlinien

In diesem Artikel erfahren Sie, wie Sie eine Richtlinie zuweisen. Der Artikel enthält einige Informationen zur Verwendung von Bereichstags, beschreibt, wann Sie Benutzergruppen oder Gerätegruppen Richtlinien zuweisen sollten und vieles mehr.

Diese Funktion gilt für:

  • Android
  • iOS/iPadOS
  • macOS
  • Linux
  • Windows

Bevor Sie beginnen

  • Stellen Sie sicher, dass Sie über die richtige Rolle verfügen, die Richtlinien und Profile zuweisen kann. Weitere Informationen finden Sie unter Rollenbasierte Zugriffssteuerung (RBAC) mit Microsoft Intune.

  • Erwägen Sie die Verwendung von Microsoft Copilot in Intune. Einige Vorteile sind:

    • Wenn Sie eine Richtlinie erstellen und Einstellungen konfigurieren, stellt Copilot weitere Informationen zu jeder Einstellung bereit, kann einen Wert empfehlen und potenzielle Konflikte finden.
    • Wenn Sie eine Richtlinie zuweisen, kann Copilot Ihnen die Gruppen mitteilen, denen die Richtlinie zugewiesen ist, und Ihnen helfen, die Auswirkungen der Richtlinie zu verstehen.

    Weitere Informationen finden Sie unter Microsoft Copilot in Intune.

Zuweisen einer Richtlinie zu Benutzern oder Gruppen

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wählen Sie Geräte>Geräte verwalten>Konfiguration aus. Dort sind alle Profile aufgelistet.

  3. Wählen Sie das Profil aus, das Sie zuweisen möchten: >Eigenschaften>Zuweisungen>Bearbeiten:

    So weisen Sie beispielsweise ein Gerätekonfigurationsprofil zu:

    1. Navigieren Sie zu Geräte>Geräte verwalten>Konfiguration. Dort sind alle Profile aufgelistet.

    2. Wählen Sie die Richtlinie aus, die Sie zuweisen möchten: >Eigenschaften>Zuweisungen>Bearbeiten:

      Screenshot: Auswählen von Zuweisungen zum Bereitstellen des Profils für Benutzer und Gruppen in Microsoft Intune

  4. Wählen Sie unter Eingeschlossene Gruppen oder Ausgeschlossene Gruppen die Option Gruppen hinzufügen aus, um eine oder mehrere Microsoft Entra-Gruppen auszuwählen. Wenn Sie beabsichtigen, die Richtlinie allgemein auf allen anwendbaren Geräten bereitzustellen, wählen Sie Alle Benutzer hinzufügen oder Alle Geräte hinzufügen aus.

    Hinweis

    Wenn Sie „Alle Geräte“ und „Alle Benutzer“ auswählen, wird die Option zum Hinzufügen weiterer Microsoft Entra-Gruppen deaktiviert.

  5. Klicken Sie auf Überprüfen und speichern. Diese Schritt weist die Richtlinie nicht zu.

  6. Klicken Sie auf Speichern. Wenn Sie die Einstellungen speichern, wird die Richtlinie zugewiesen. Ihre Gruppen empfangen die Richtlinieneinstellungen, wenn die Geräte beim Intune-Dienst eingecheckt werden.

Zuweisungsfeatures, die Sie kennen und verwenden sollten

Benutzer- und Gerätegruppen im Vergleich

Viele Benutzer fragen sich, ob sie besser Benutzergruppen oder Gerätegruppen verwenden sollen. Bei der Beantwortung dieser Frage spielt Ihr Ziel eine entscheidende Rolle. Nachfolgend finden Sie Informationen für den Einstieg.

Gerätegruppen

Wenn Sie Einstellungen auf ein Gerät anwenden möchten und es für Sie keine Rolle spielt, wer auf dem Gerät angemeldet ist, weisen Sie Ihre Richtlinien einer Benutzergruppe zu. Einstellungen, die auf Gerätegruppen angewendet werden, gelten immer für das jeweilige Gerät und nicht für den Benutzer.

Beispiel:

  • Gerätegruppen sind nützlich für die Verwaltung von Geräten ohne dedizierten Benutzer. Geräte zum Drucken von Tickets oder zum Einscannen von Warenbeständen werden beispielsweise gemeinsam von Mitarbeitern in unterschiedlichen Schichten verwendet und sind einem bestimmten Lager zugewiesen. Ordnen Sie diese Geräte einer Gerätegruppe zu, und weisen Sie dieser Ihre Richtlinien zu.

  • Sie erstellen ein Intune-Profil für die Schnittstelle zur Konfiguration der Gerätefirmware, das die Einstellungen im BIOS aktualisiert. Beispielsweise können Sie diese Richtlinie so konfigurieren, dass die Kamera des Geräts deaktiviert wird, oder die Startoptionen sperren, um zu verhindern, dass Benutzer ein anderes Betriebssystem starten. Es bietet sich hierbei an, diese Richtlinie einer Gerätegruppe zuzuweisen.

  • Auf manchen Windows-Geräten sollten Sie immer einige Einstellungen für Microsoft Edge steuern – unabhängig davon, wer das Gerät verwendet. Möglicherweise möchten Sie alle Downloads blockieren, sämtliche Cookies auf die aktuelle Browsersitzung einschränken und den Browserverlauf löschen. Dafür bietet es sich an, diese Windows-Geräte einer Gerätegruppe zuzuordnen. Erstellen Sie anschließend eine administrative Vorlage in Intune, fügen Sie diese Geräteeinstellungen hinzu, und weisen Sie diese Richtlinie anschließend der Gerätegruppe zu.

Fazit: Verwenden Sie Gerätegruppen immer dann, wenn es keine Rolle spielt, wer bei dem jeweiligen Gerät angemeldet ist oder ob überhaupt jemand sich anmeldet. Damit sind Ihre Einstellungen immer auf dem Gerät gespeichert.

Benutzergruppen

Richtlinieneinstellungen, die auf Benutzergruppen angewendet werden, gelten immer für den jeweiligen Benutzer, auch wenn er mehrere Geräte verwendet. Es ist normal, dass Benutzer mehrere Geräte verwenden, z. B. ein Surface Pro für die Arbeit und ein iOS/iPadOS-Gerät für den Privatgebrauch. In der Regel greifen diese Benutzer dann auch über die verschiedenen Geräte auf E-Mails und andere Unternehmensressourcen zu.

Wenn ein Benutzer über mehrere Geräte auf derselben Plattform verfügt, können Sie Filter für die Gruppenzuweisung verwenden. Beispielsweise verfügt ein Benutzer über ein persönliches iOS-/iPadOS-Gerät und ein unternehmenseigenes iOS/iPadOS. Wenn Sie diesem Benutzer eine Richtlinie zuweisen, können Sie Filter verwenden, um nur das organisationseigene Gerät als Ziel festzulegen.

Befolgen Sie diese allgemeine Regel: Wenn ein Feature zu einem Benutzer gehört, z. B. E-Mail oder Benutzerzertifikate, weisen Sie dieses Benutzergruppen zu.

Beispiel:

  • Sie möchten ein Helpdesksymbol für alle Benutzer auf all ihren Geräten einrichten. Fügen Sie dafür diese Benutzer einer Benutzergruppe hinzu, und weisen Sie dieser Benutzergruppe die Helpdesksymbol-Richtlinie zu.

  • Ein Benutzer erhält ein neues Gerät, das der Organisation gehört. Er meldet sich mit seinem Domänenkonto bei dem Gerät an. Das Gerät wird automatisch in Microsoft Entra ID registriert und von Intune verwaltet. Es bietet sich hierbei an, diese Richtlinie einer Benutzergruppe zuzuweisen.

  • Wenn ein Benutzer sich bei einem Gerät anmeldet, sollten Sie Features über Apps wie OneDrive oder Office steuern. Weisen Sie in diesem Fall die Richtlinieneinstellungen für OneDrive oder Office einer Benutzergruppe zu.

    Angenommen, Sie möchten nicht vertrauenswürdige ActiveX-Steuerelemente in Ihren Office-Apps blockieren. Dann können Sie in Intune eine administrative Vorlage erstellen, Einstellungen konfigurieren und anschließend diese Richtlinie einer Benutzergruppe zuweisen.

Fazit: Verwenden Sie Benutzergruppen immer dann, wenn Sie Ihre Einstellungen und Regeln mit dem Benutzer verknüpfen möchten – unabhängig davon, welches Gerät er verwendet.

Azure Virtual Desktop mit mehreren Sitzungen

Sie können Intune verwenden, um mit Azure Virtual Desktop erstellte Windows-Remotedesktops mit mehreren Sitzungen genau wie jedes andere freigegebene Windows-Clientgerät zu verwalten. Wenn Sie Benutzergruppen oder Geräten Richtlinien zuweisen, ist Azure Virtual Desktop mit mehreren Sitzungen ein besonderes Szenario. Bei virtuellen Computern müssen Geräte-CSPs auf Gerätegruppen ausgerichtet sein. Benutzer-CSPs müssen auf Benutzergruppen abzielen.

Weitere Informationen finden Sie unter Verwenden von Azure Virtual Desktop mit mehreren Sitzungen mit Microsoft Intune.

Windows-CSPs und ihr Verhalten

Die Richtlinieneinstellungen für Windows-Geräte basieren auf den Konfigurationsdienstanbietern (Configuration Service Providers, CSPs). Diese Einstellungen werden Registrierungsschlüsseln oder Dateien auf den Geräten zugeordnet.

Im Folgenden wird erörtert, was Sie über Windows-CSPs wissen müssen:

  • Intune macht diese CSPs verfügbar, damit Sie diese Einstellungen konfigurieren und Ihren Windows-Geräten zuweisen können. Diese Einstellungen können mithilfe der integrierten Vorlagen und des Einstellungskatalogs konfiguriert werden. Im Einstellungskatalog sehen Sie, dass einige Einstellungen für den Benutzerbereich und einige Einstellungen für den Gerätebereich gelten.

    Informationen dazu, wie auf Benutzer bezogene und auf Geräte bezogene Einstellungen auf Windows-Geräte angewendet werden, finden Sie unter Einstellungskatalog: Einstellungen für Gerätebereich im Vergleich zu Benutzerbereich.

  • Wenn eine Richtlinie entfernt wird oder nicht mehr einem Gerät zugewiesen ist, kann dies je nach den Einstellungen in der Richtlinie verschiedene Folgen haben. Jeder CSP kann die Richtlinienentfernung unterschiedlich behandeln.

    Eine Einstellung könnte z. B. den vorhandenen Wert beibehalten und nicht auf einen Standardwert zurücksetzen. Jeder CSP steuert das Verhalten. Eine Liste der Windows-CSPs finden Sie in der Referenz des Konfigurationsdienstanbieters (Configuration Service Provider, CSP).

    Wenn Sie den Wert einer Einstellung ändern möchten, erstellen Sie eine neue Richtlinie, legen Sie die Einstellung auf Nicht konfiguriert fest, und weisen Sie die Richtlinie zu. Nachdem die Richtlinie auf das Gerät angewendet wurde, sollten Benutzer die Einstellung auf ihren bevorzugten Wert ändern können.

  • Zum Konfigurieren dieser Einstellungen empfehlen wir die Bereitstellung für eine Pilotgruppe. Weitere Hinweise zum Intune-Rollout finden Sie unter Entwickeln eines Rolloutplans.

Ausschließen von Gruppen aus einer Richtlinienzuweisung

Mit Intune-Gerätekonfigurationsrichtlinien können Sie Gruppen in die Richtlinienzuweisung einschließen und von dieser ausschließen.

Als bewährte Methode:

  • Erstellen und Zuweisen von Richtlinien, insbesondere für Ihre Benutzergruppen. Verwenden von Filtern zum Ein- oder Ausschließen der Geräte dieser Benutzer
  • Erstellen und Zuweisen unterschiedlicher Richtlinien für einzelne Gerätegruppen.

Weitere Informationen zu Gruppen finden Sie unter Hinzufügen von Gruppen zum Organisieren von Benutzern und Geräten.

Grundsätze des Ein- und Ausschließens von Gruppen

Wenn Sie Ihre Richtlinien und Richtlinien zuweisen, wenden Sie die folgenden allgemeinen Prinzipien an:

  • Stellen Sie sich eingeschlossene Gruppen bzw. ausgeschlossene Gruppen als Startpunkt für die Benutzer und Geräte vor, die Ihre Richtlinien erhalten sollen. Die Microsoft Entra-Gruppe ist die einschränkende Gruppe. Verwenden Sie daher den kleinstmöglichen Gruppenbereich. Verwenden Sie Filter, um Ihre Richtlinienzuweisung einzuschränken oder zu verfeinern.

  • Zugewiesene Microsoft Entra-Gruppen, auch als statische Gruppen bezeichnet, können eingeschlossenen Gruppen oder ausgeschlossenen Gruppen hinzugefügt werden.

    In der Regel weisen Sie Geräte statisch einer Microsoft Entra-Gruppe zu, wenn sie in Microsoft Entra ID bereits registriert sind, z. B. bei Windows Autopilot. Das ist auch der Fall, wenn Sie beispielsweise Geräte für eine einmalige Bereitstellung oder Ad-hoc-Bereitstellung kombinieren. Andernfalls ist es möglicherweise nicht praktikabel, Geräte einer Microsoft Entra-Gruppe statisch zuzuweisen.

  • Dynamische Microsoft Entra-Benutzergruppen können eingeschlossenen Gruppen oder ausgeschlossenen Gruppen hinzugefügt werden.

  • Ausgeschlossene Gruppen können Gruppen mit Benutzern oder Gruppen mit Geräten sein.

  • Dynamische Microsoft Entra-Gerätegruppen können eingeschlossenen Gruppen hinzugefügt werden. Beim Auffüllen der dynamischen Gruppenmitgliedschaft kann es jedoch zu Wartezeiten kommen. Verwenden Sie in Latenzszenarios Filter, um bestimmte Geräte als Ziel zu verwenden, und weisen Sie Ihre Richtlinien den Benutzergruppen zu.

    Beispielsweise möchten Sie, dass Richtlinien Geräten zugewiesen werden, sobald sie registriert sind. Erstellen Sie in dieser latenzempfindlichen Situation einen Filter für die Zielgeräte, und weisen Sie die Richtlinie Benutzergruppen mithilfe dieses Filters zu. Weisen Sie es keinen Gerätegruppen zu.

    Erstellen Sie in einem benutzerlosen Szenario einen Filter für die Geräte, die Sie verwenden möchten, und weisen Sie die Richtlinie mit dem Filter der Gruppe „Alle Geräte“ zu.

  • Vermeiden Sie es, dynamische Microsoft Entra-Gerätegruppen zu ausgeschlossenen Gruppen hinzuzufügen. Wartezeit bei der Berechnung dynamischer Gerätegruppen bei der Registrierung kann zu unerwünschten Ergebnissen führen. Beispielsweise können unerwünschte Apps und Richtlinien bereitgestellt werden, bevor die ausgeschlossene Gruppenmitgliedschaft aufgefüllt wird.

Unterstützungsmatrix

Verwenden Sie die folgende Matrix, um die Unterstützung für das Ausschließen von Gruppen zu verstehen:

  • ✅:Abgestützt
  • ❌: Nicht unterstützt
  • ❕: Teilweise unterstützt

Screenshot: Unterstützte Optionen zum Ein- oder Ausschließen von Gruppen aus einer Richtlinienzuweisung

Szenario Support
1 ❕ Teilweise unterstützt

Das Zuweisen von Richtlinien zu einer dynamischen Gerätegruppe, während eine andere dynamische Gerätegruppe ausgeschlossen wird, wird unterstützt. Diese Vorgehensweise wird jedoch nicht in Szenarios empfohlen, die zu Wartezeiten tendieren. Jede Verzögerung bei der Berechnung einer Ausschlussgruppenmitgliedschaft kann dazu führen, dass Geräten Richtlinien angeboten werden. In diesem Szenario empfehlen wir die Verwendung von Filtern anstelle von dynamischen Gerätegruppen zum Ausschließen von Geräten.

Sie verfügen beispielsweise über eine Geräterichtlinie, die Allen Geräten zugewiesen ist. Später ist es erforderlich, dass neue Marketinggeräte diese Richtlinie nicht erhalten. Daher erstellen Sie eine dynamische Gerätegruppe namens Marketinggeräte auf Basis der enrollmentProfilename-Eigenschaft (device.enrollmentProfileName -eq "Marketing_devices"). In der Richtlinie fügen Sie die dynamische Gruppe Marketinggeräte als ausgeschlossene Gruppe hinzu.

Ein neues Marketinggerät wird zum ersten Mal bei Intune registriert, und ein neues Microsoft Entra-Geräteobjekt wird erstellt. Beim Einfügen in eine dynamischen Gruppe wird das Gerät mit einer möglichen verzögerten Berechnung in der Gruppe Marketinggeräte abgelegt. Gleichzeitig wird das Gerät bei Intune registriert und empfängt ab jetzt alle anwendbaren Richtlinien. Die Intune-Richtlinie kann bereitgestellt werden, bevor das Gerät in die Ausschlussgruppe aufgenommen wird. Dieses Verhalten führt dazu, dass eine unerwünschte Richtlinie (oder App) für die Gruppe Marketinggeräte bereitgestellt wird.

Darum sollten Sie dynamische Gerätegruppen in latenzempfindlichen Szenarios nicht für Ausschlüsse verwenden. Verwenden Sie stattdessen Filter.
2 ✅ Unterstützt

Das Zuweisen einer Richtlinie zu einer dynamischen Gerätegruppe beim Ausschließen einer statischen Gerätegruppe wird unterstützt.
3 ❌ Nicht unterstützt

Das Zuweisen von Richtlinien zu einer dynamischen Gerätegruppe, während Benutzergruppen (sowohl statische als auch dynamische) ausgeschlossen werden, wird nicht unterstützt. Intune wertet keine Benutzer-zu-Gerät-Gruppenbeziehungen aus, und Geräte der einbezogenen Benutzer werden nicht ausgeschlossen.
4 ❌ Nicht unterstützt

Das Zuweisen von Richtlinien zu einer dynamischen Gerätegruppe, während Benutzergruppen (sowohl statische als auch dynamische) ausgeschlossen werden, wird nicht unterstützt. Intune wertet keine Benutzer-zu-Gerät-Gruppenbeziehungen aus, und Geräte der einbezogenen Benutzer werden nicht ausgeschlossen.
5 ❕ Teilweise unterstützt

Das Zuweisen von Richtlinien zu einer statischen Gerätegruppe, während eine dynamische Gerätegruppe ausgeschlossen wird, wird unterstützt. Diese Vorgehensweise wird jedoch nicht in Szenarios empfohlen, die zu Wartezeiten tendieren. Jede Verzögerung bei der Berechnung einer Ausschlussgruppenmitgliedschaft kann dazu führen, dass Geräten Richtlinien angeboten werden. In diesem Szenario empfehlen wir die Verwendung von Filtern anstelle von dynamischen Gerätegruppen zum Ausschließen von Geräten.
6 ✅ Unterstützt

Das Zuweisen einer Richtlinie zu einer statischen Gerätegruppe und das Ausschließen einer anderen statischen Gerätegruppe wird unterstützt.
7 ❌ Nicht unterstützt

Das Zuweisen von Richtlinien zu einer statischen Gerätegruppe, während Benutzergruppen (sowohl statische als auch dynamische) ausgeschlossen werden, wird nicht unterstützt. Intune wertet keine Benutzer-zu-Gerät-Gruppenbeziehungen aus, und Geräte der einbezogenen Benutzer werden nicht ausgeschlossen.
8 ❌ Nicht unterstützt

Das Zuweisen von Richtlinien zu einer statischen Gerätegruppe, während Benutzergruppen (sowohl statische als auch dynamische) ausgeschlossen werden, wird nicht unterstützt. Intune wertet keine Benutzer-zu-Gerät-Gruppenbeziehungen aus, und Geräte der einbezogenen Benutzer werden nicht ausgeschlossen.
9 ❌ Nicht unterstützt

Das Zuweisen von Richtlinien zu einer dynamischen Benutzergruppe, während Gerätegruppen (sowohl statische als auch dynamische) ausgeschlossen werden, wird nicht unterstützt.
10 ❌ Nicht unterstützt

Das Zuweisen von Richtlinien zu einer dynamischen Benutzergruppe, während Gerätegruppen (sowohl statische als auch dynamische) ausgeschlossen werden, wird nicht unterstützt.
11 ✅ Unterstützt

Das Zuweisen einer Richtlinie zu einer dynamischen Benutzergruppe beim Ausschließen anderer Benutzergruppen (sowohl dynamisch als auch statisch) wird unterstützt.
12 ✅ Unterstützt

Das Zuweisen einer Richtlinie zu einer dynamischen Benutzergruppe beim Ausschließen anderer Benutzergruppen (sowohl dynamisch als auch statisch) wird unterstützt.
13 ❌ Nicht unterstützt

Das Zuweisen von Richtlinien zu einer statischen Benutzergruppe, während Gerätegruppen (sowohl statische als auch dynamische) ausgeschlossen werden, wird nicht unterstützt.
14 ❌ Nicht unterstützt

Das Zuweisen von Richtlinien zu einer statischen Benutzergruppe, während Gerätegruppen (sowohl statische als auch dynamische) ausgeschlossen werden, wird nicht unterstützt.
15 ✅ Unterstützt

Das Zuweisen einer Richtlinie zu einer statischen Benutzergruppe beim Ausschließen anderer Benutzergruppen (sowohl dynamisch als auch statisch) wird unterstützt.
16 ✅ Unterstützt

Das Zuweisen einer Richtlinie zu einer statischen Benutzergruppe beim Ausschließen anderer Benutzergruppen (sowohl dynamisch als auch statisch) wird unterstützt.

Unter Überwachen von Geräteprofilen finden Sie weitere Informationen zum Überwachen Ihrer Richtlinien und der Geräte, auf denen Ihre Richtlinien ausgeführt werden.