Gruppenbasierte Richtlinienverwaltung

  • 4 Minuten

Sie können die Zuweisung von Geräten, Apps und Richtlinien auf der Grundlage von Benutzer- oder Gerätegruppen verwalten.

Sie können die folgenden Gruppentypen hinzufügen:

  • Zugewiesene Gruppen: Fügen Sie manuell Benutzer*innen oder Geräte zu einer statischen Gruppe hinzu.
  • Dynamische Gruppen (erfordert Microsoft Entra ID P1 oder P2): Fügen Sie Benutzern oder Geräten automatisch Benutzergruppen oder Gerätegruppen basierend auf einem von Ihnen erstellten Ausdruck hinzu.

Geräte

Zur einfacheren Geräteverwaltung können Sie Microsoft Intune-Gerätekategorien verwenden, um Geräte automatisch zu Gruppen hinzuzufügen, die auf von Ihnen definierten Kategorien basieren.

Gerätekategorien verwenden den folgenden Workflow:

  1. Erstellen Sie Kategorien, aus denen Benutzer*innen beim Registrieren ihrer Geräte auswählen können.
  2. Wenn iOS-, iPadOS- oder Android-Benutzer ein Gerät registrieren, müssen sie eine Kategorie aus der von Ihnen konfigurierten Kategorieliste auswählen. Benutzer müssen die Unternehmensportalwebsite verwenden, um einem Windows-Gerät eine Kategorie zuzuweisen.
  3. Dann können Sie Richtlinien und Apps für diese Gruppen bereitstellen.

Sie können beliebige Gerätekategorien erstellen. Zum Beispiel:

  • Point-of-Sale-Gerät
  • Demogerät
  • Sales
  • Buchhaltung
  • Manager

Sobald Ihr Gerät registriert ist, gilt es als verwaltet. Ihre Organisation kann dem Gerät über einen MDM-Anbieter (Mobile Device Management, Verwaltung mobiler Geräte) wie Intune Richtlinien und Anwendungen zuweisen.

Apps

Nachdem Sie eine App Microsoft Intune hinzugefügt haben, können Sie diese Benutzern und Geräten zuweisen. Beachten Sie unbedingt, dass Sie, unabhängig davon, ob das Gerät von Intune verwaltet wird oder nicht, eine App einem Gerät zuweisen können.

In Intune können Sie bestimmen, wer Zugriff auf eine App hat, indem Sie sowohl die ein- als auch auszuschließenden Gruppen von Benutzern zuweisen. Bevor Sie der App Gruppen zuweisen, müssen Sie den Zuweisungstyp einer App festlegen. Der Zuweisungstyp macht die App verfügbar, erforderlich oder deinstalliert diese.

Um die Verfügbarkeit einer App festzulegen, schließen Sie mithilfe einer Kombination von Ein- und Ausschlussgruppenzuweisungen App-Zuweisungen für eine Gruppe von Benutzern oder Geräten ein bzw. aus. Diese Funktion kann nützlich sein, wenn Sie die App verfügbar machen, indem Sie eine große Gruppe einschließen und dann die ausgewählten Benutzer*innen auch durch Ausschluss einer kleineren Gruppe einschränken. Die kleinere Gruppe könnte eine Testgruppe oder ausführende Gruppe sein.

Es wird empfohlen, Apps speziell für Ihre Benutzergruppen und separat für Ihre Gerätegruppen zu erstellen und zuzuweisen.

Wenn Sie beispielsweise eine*n Benutzer*in mit der Bezeichnung „Manager“ hinzufügen, wird diese*r automatisch der Benutzergruppe Alle Manager hinzugefügt. Wenn ein Gerät das Betriebssystem iOS oder iPadOS aufweist, wird es automatisch der Gerätegruppe Alle iOS-/iPadOS-Geräte hinzugefügt.

Nachdem Sie eine App über Intune einer Gruppe zugewiesen haben, können Sie Benutzern oder Geräten Richtlinien für diese App zuweisen.

Richtlinien

Sie können Intune verwenden, um Gruppen Richtlinien zuzuweisen. Wenn Sie Richtlinien zuweisen, können Sie festlegen, für wen diese gelten oder nicht gelten.

Benutzer- und Gerätegruppen im Vergleich

Viele Benutzer fragen sich, ob sie besser Benutzergruppen oder Gerätegruppen verwenden sollen. Bei der Beantwortung dieser Frage spielt Ihr Ziel eine entscheidende Rolle. Nachfolgend finden Sie Informationen für den Einstieg:

Gerätegruppen

Wenn Sie Einstellungen auf einem Gerät unabhängig davon anwenden möchten, wer angemeldet ist, weisen Sie Ihre Profile einer Gerätegruppe zu. Einstellungen, die auf Gerätegruppen angewendet werden, gelten immer für das jeweilige Gerät und nicht für den Benutzer. Gerätegruppen werden häufig für freigegebene und spezialisierte Geräte verwendet.

Beispiel:

  • Gerätegruppen sind nützlich für die Verwaltung von Geräten ohne dedizierten Benutzer. Geräte zum Drucken von Tickets oder zum Einscannen von Warenbeständen werden beispielsweise gemeinsam von Mitarbeitern in unterschiedlichen Schichten verwendet und sind einem bestimmten Lager zugewiesen. Platzieren Sie diese Geräte in einer Gerätegruppe, und weisen Sie Ihre Profile dieser Gerätegruppe zu.
  • Sie erstellen ein Intune-Profil für die Schnittstelle zur Konfiguration der Gerätefirmware, das die Einstellungen im BIOS aktualisiert. Beispielsweise können Sie dieses Profil so konfigurieren, dass die Kamera des Geräts deaktiviert wird, oder die Startoptionen sperren, um zu verhindern, dass Benutzer*innen ein anderes Betriebssystem starten. Dieses Profil ist ein gutes Szenario für die Zuweisung zu einer Gerätegruppe.
  • Auf manchen Windows-Geräten sollten Sie immer einige Einstellungen für Microsoft Edge steuern – unabhängig davon, wer das Gerät verwendet. Möglicherweise möchten Sie alle Downloads blockieren, sämtliche Cookies auf die aktuelle Browsersitzung einschränken und den Browserverlauf löschen. Fügen Sie für dieses Szenario diese spezifischen Windows-Geräte einer Gerätegruppe hinzu, erstellen Sie dann eine administrative Vorlage in Intune, fügen Sie diese Geräteeinstellungen hinzu, und weisen Sie dieses Profil der Gerätegruppe zu.

Fazit: Verwenden Sie Gerätegruppen immer dann, wenn es keine Rolle spielt, wer oder ob überhaupt jemand bei dem jeweiligen Gerät angemeldet ist. Damit sind Ihre Einstellungen immer auf dem Gerät gespeichert.

Benutzergruppen

Profileinstellungen, die auf Benutzergruppen angewendet werden, gelten immer für den jeweiligen Benutzer – auch wenn er mehrere Geräte verwendet. Es ist normal, dass Benutzer*innen mehrere Geräte verwenden, z. B. ein Surface Pro für die Arbeit und ein iOS/iPadOS-Gerät für den Privatgebrauch. In der Regel greifen diese Benutzer*innen dann auch über ihre verschiedenen Geräte auf ihre E-Mails und andere Unternehmensressourcen zu. Benutzergruppen werden üblicherweise für Mitarbeiter verwendet, die mit Informationen und Wissen arbeiten.

Beispiel:

  • Sie möchten ein Helpdesksymbol für alle Benutzer auf all ihren Geräten einrichten. In diesem Szenario fügen Sie diese Benutzer*innen einer Benutzergruppe hinzu. Dann weisen Sie dieser Benutzergruppe das Profil für das Helpdesksymbol zu.

  • Ein Benutzer erhält ein neues Gerät, das der Organisation gehört. Er meldet sich mit seinem Domänenkonto bei dem Gerät an. Das Gerät wird automatisch in der Microsoft Entra ID registriert und von Intune automatisch verwaltet. Dieses Profil ist ein gutes Beispiel für die Zuweisung zu einer Benutzergruppe.

  • Wenn ein Benutzer sich bei einem Gerät anmeldet, sollten Sie Features über Apps wie OneDrive oder Office steuern. In diesem Szenario weisen Sie Ihre OneDrive- oder Office-Profileinstellungen einer Benutzergruppe zu.

    Angenommen, Sie möchten nicht vertrauenswürdige ActiveX-Steuerelemente in Ihren Office-Apps blockieren. Sie können eine Verwaltungsvorlage in Intune erstellen, diese Einstellung konfigurieren und dieses Profil anschließend einer Benutzergruppe zuweisen.

Fazit: Verwenden Sie Benutzergruppen immer dann, wenn Sie Ihre Einstellungen und Regeln mit dem Benutzer verknüpfen möchten – unabhängig davon, welches Gerät er verwendet.