Filterberichte und Problembehandlung in Microsoft Intune
Wenn Sie eine App, eine Konformitätsrichtlinie oder ein Konfigurationsprofil erstellen, weisen Sie die Richtlinie Gruppen (Benutzern oder Geräten) zu. Beim Zuweisen der App oder Richtlinie können Sie auch Filter verwenden. Beispielsweise können Sie Windows 10/11-Geräten, auf denen eine bestimmte Betriebssystemversion ausgeführt wird, Richtlinien zuweisen.
Sie können Filter auf verwalteten Geräten (bei Intune registrierten Geräten) und verwalteten Apps (apps managed by Intune) verwenden. Weitere Informationen findest du unter Verwenden von Filtern beim Zuweisen von Apps, Richtlinien und Profilen.
Verwaltete Apps und verwaltete Geräte werden anhand dieser Filter ausgewertet, um die von Ihnen konfigurierten Regeln zu erfüllen. Die Ergebnisse der Filterauswertungen werden protokolliert und im Microsoft Intune Admin Center gemeldet.
Erfahren Sie in diesem Artikel Näheres über die Berichterstellungsfeatures sowie die Problembehandlung von Filtern und Konflikten.
Wichtig
Ab der Auswertungszeit kann es bis zu 30 Minuten dauern, bis die Ergebnisse der Filterauswertung im Intune Admin Center angezeigt werden.
Berichte für verwaltete Geräte
Das Intune Admin Center enthält Geräte- und App-bezogene Berichtsinformationen. Verwenden Sie diese Informationen, um Probleme bei der Filterauswertung zu beheben und zu ermitteln, warum eine Richtlinie angewendet wurde oder nicht angewendet wurde.
Sie können die folgenden Berichte verwenden, um weitere Informationen zu Ihren Filtern abzurufen:
- Filterauswertungsbericht für Geräte (in diesem Artikel)
- Workloadfilter-Auswertungsberichte (in diesem Artikel)
Filterauswertungsbericht für Geräte
Dieser Bericht zeigt jede App oder Richtlinie mit einem angewendeten Filter an. Für jede ausgewertete App oder Richtlinie können Sie die angewendeten Filter anzeigen und ausführlichere Informationen abrufen.
Führen Sie die folgenden Schritte aus, um diesen Bericht anzuzeigen:
Melden Sie sich beim Microsoft Intune Admin Center an.
Wählen Sie Geräte>Alle Geräte> wählen Sie eine Gerätefilterauswertung> aus. Die folgenden Informationen werden angezeigt:
- Die Filter, die ausgewertet wurden
- Das Datum und die Uhrzeit der Auswertung
- Die Auswertungsergebnisse: Übereinstimmung oder Keine Übereinstimmung
- Wenn der Filter den Einschluss- oder Ausschlussmodus verwendet
- Filtername, Beschreibung und Regeln
- Die Eigenschaften, die ausgewertet wurden, z. B.
deviceName
. - Die verfügbaren Apps, die dem Gerät zugewiesen werden können.
Der Abschnitt Filterinformationen wird mit dem derzeit konfigurierten Filternamen, der Beschreibung und den Regeln aufgefüllt. Die Informationen werden nicht aus Protokolldaten entnommen. Der Filtername, die Syntax und alle anderen Metadaten können sich seit dem zeitpunkt der letzten Auswertung ändern. Achten Sie bei der Problembehandlung auf die Zeitstempel Evaluation time (Auswertungszeit) und Letzte Änderung.
Im folgenden Beispiel können Sie diese Informationen für TestDevice anzeigen:
Wichtig
Filterauswertungsberichte für Geräte zeigen keine Ergebnisse Microsoft Entra Auswertungen für bedingten Zugriff an. Verwenden Sie zum Beheben von Problemen mit bedingtem Zugriff die Microsoft Entra Anmeldeprotokolle. Weitere Informationen findest du unter Microsoft Entra Übersicht über Anmeldeprotokolle.
Workloadfilter-Auswertungsberichte
Diese Berichte zeigen Filterinformationen für jedes Gerät an, das in einer App oder Richtlinienzuweisung ausgewertet wird. Sie können zu jedem Gerät dessen allgemeine Anwendbarkeit für einen Workload anzeigen und ausführlichere Informationen zur Filterauswertung abrufen.
Führen Sie die folgenden Schritte aus, um diese Berichte anzuzeigen:
Melden Sie sich beim Microsoft Intune Admin Center an.
Wählen Sie Apps>Alle Apps> eine App > aus Geräteinstallation status aus.
Wählen Sie die Spalte >Filterausgewertet aus. Die folgenden Informationen werden angezeigt:
- Die Filter, die ausgewertet wurden
- Das Datum und die Uhrzeit der Auswertung
- Die Auswertungsergebnisse: Übereinstimmung oder Keine Übereinstimmung sowie App assignment applied(App-Zuweisung angewendet) oder App assignment not applied (App-Zuweisung nicht angewendet)
- Ob für den Filter der Modus „Einschließen“ oder „Ausschließen“ verwendet wurde
- Filtername, Beschreibung und Regeln
- Die Eigenschaften, die ausgewertet wurden, z. B.
deviceCategory
Im folgenden Beispiel können Sie diese Informationen für die Microsoft Word Store-App anzeigen:
Wichtig
- Im Geräteinstallationsstatus-Bericht werden Apps, die als "Verfügbar" bereitgestellt werden, nicht angezeigt. Verwenden Sie den Filterauswertungsbericht für Geräte, um eine Problembehandlung durchzuführen, wenn ein Benutzer/Gerät in eine verfügbare Zuweisung gefiltert oder aus dieser herausgefiltert wird. Um Filterauswertungsergebnisse zu generieren, muss der Endbenutzer zur Liste der Apps in der Unternehmensportal-App oder -Website wechseln.
- Wenn Sie eine Richtlinie zuweisen, können Sie "ausgeschlossenen Gruppen" Geräte hinzufügen. Diese ausgeschlossenen Geräte werden in den Workload-Gerätestatusberichten nicht angezeigt.
- In den Gerätestatusberichten der Apps und des Einstellungskatalogs gibt es eine Spalte, in der eine Filterauswertung angezeigt wird. Derzeit sind die Filterauswertungsinformationen nicht für alle Intune-Workloads verfügbar.
Berichte für verwaltete Apps
Das Intune Admin Center verfügt über Geräte- und Plattformberichtsinformationen für verwaltete Apps. Verwenden Sie diese Informationen, um Probleme bei der Filterauswertung zu beheben und zu ermitteln, warum eine Richtlinie angewendet wurde oder nicht angewendet wurde.
Sie können die folgenden Berichte verwenden, um weitere Informationen zu eigenschaften zu erhalten, die für den Zuweisungsfilter verwendet werden:
App Configuration status Bericht
Weitere Informationen zu App-Konfigurationsrichtlinien findest du unter:
Einschließen vs. Ausschließen
Wenn Sie einen Filter erstellen, schließen Sie Geräte basierend auf Eigenschaften wie device.model -equals "Surface pro"
oder device.model -notEquals "Surface pro"
aus. Die Auswertungsergebnisse können schwer zu verstehen sein, insbesondere wenn Geräte eingeschlossen oder ausgeschlossen werden.
Verwenden Sie die folgende Tabelle, um zu verstehen, wann Geräte ein- oder ausgeschlossen werden:
Filtermodus | Filterergebnis | Gesamtergebnis |
---|---|---|
Include | Übereinstimmung | Richtlinien- oder App-Zuweisung anwenden |
Include | Nicht übereinstimmend | Keine Richtlinie oder App-Zuweisung anwenden |
Ausschließen | Übereinstimmung | Keine Richtlinie oder App-Zuweisung anwenden |
Ausschließen | Nicht übereinstimmend | Richtlinien- oder App-Zuweisung anwenden |
Was Sie wissen müssen
Ein Filterergebnis nicht ausgewertet kann angezeigt werden, wenn eine Richtlinie eine in Konflikt stehende Zuweisung auf dem Gerät aufweist. Weitere Informationen finden Sie unter Filter und Zuweisungskonfliktlösung (in diesem Artikel).
Filter werden bei der Registrierung und beim Einchecken des Geräts beim Intune-Dienst ausgewertet. Die Auswertung kann auch zu anderen Zeiten ausgeführt werden, z. B. bei einer Konformitätsprüfung. In einigen Szenarien können Sie Racebedingungen erleben.
Betrachten Sie beispielsweise die folgende Abfolge von Ereignissen, wobei jedes Mal ein anderer Zeitpunkt ist:
Time1: Sie weisen einer Benutzergruppe eine App zu. Diese Gruppe verwendet einen Filter, der auf der Eigenschaft "Category" basiert.
Time2: Ein Zielbenutzer registriert ein neues Gerät und checkt beim Intune-Dienst ein. Während des Eincheckens wird der Kategoriefilter ausgewertet. Da auf dem Gerät noch keine Kategorie festgelegt ist, wird der Filter als NULL-Kategorie ausgewertet, und die App wird installiert.
Wenn ein Filter im Ausschlussmodus funktionierte, könnte die App installiert werden, da sie möglicherweise nicht mit den Ausschlusskriterien übereinstimmt.
Time3: In der Unternehmensportal-App wird der Benutzer aufgefordert, eine Gerätekategorie auszuwählen. Denken Sie daran, dass die Registrierung und der Check-In bereits abgeschlossen sind.
Time4: Beim nächsten Gerätecheckvorgang wird die Kategorieeigenschaft aktualisiert und gibt nun ein anderes Filterauswertungsergebnis zurück. Denken Sie daran, dass die App bereits installiert war. Und sie wird nicht automatisch entfernt.
Ungefähre Check-in-Zeiten finden Sie unter Intune Aktualisierungsintervalle für Richtlinien.
Die neuesten Filterauswertungsergebnisse werden 30 Tage lang gespeichert. Wenn die Protokolle abgelaufen sind, wird eine
We were not able to retrieve any filter evaluation results
Meldung angezeigt.
Lösen von Filter- und Zuweisungskonflikten
Wenn Sie einer Gruppe (Benutzer oder Geräte) eine Richtlinie zuweisen, ist es möglich, Zuweisungen zu überlappen. In diesem Abschnitt wird das Verhalten beschrieben, das Sie bei überlappenden Zuweisungen erwarten können.
Verwaltete Apps
Verwaltete Geräte und Filter für verwaltete Apps sind auf verschiedene Workloads ausgerichtet. Sie können verwalteten Geräten und verwalteten Apps nicht dieselbe Filterrichtlinie zuweisen. Daher gibt es keine Konfliktlösung oder Zuordnungsüberlappung.
Wenn Sie zwei Verwaltete App-Filterrichtlinien erstellen und diese in Konflikt stehen, wird die Filterrichtlinie nicht angewendet.
Verwaltete Geräte
Überlappungen können Konflikte verursachen, und Intune hilft, Konflikte zu vermeiden.
Intune verhindert, dass Sie mehrere Zuweisungen für dieselbe Microsoft Entra Gruppe erstellen. Es wird nicht empfohlen, demselben Zielbenutzer oder -gerät Apps oder Richtlinien mit mehr als einer Absicht zuzuweisen. Wenn Sie beispielsweise eine App bereitstellen, können Sie nicht ein und dieselbe Gruppe für eine Verfügbar-Zuweisung und anschließend für eine Erforderlich-Zuweisung auswählen.
Eine Überlappung kann auftreten, wenn sich ein Benutzer oder ein Gerät in mehreren Zielgruppen befindet. In Konflikt stehende Zuweisungen werden nicht empfohlen. Weitere Informationen findest du unter Konflikte zwischen App-Absichten.
Wenn Sie Filter verwenden, werden Konflikte mit folgenden Methoden gelöst:
- Filtermodus (in diesem Artikel)
- Verwenden von OR-Logik bei identischen Filtermodi (in diesem Artikel)
- App-Absicht (in diesem Artikel)
Filtermodus
Wenn ein Gerät mit in Konflikt stehenden Zuweisungen für dieselbe Richtlinie vorhanden ist, gilt die folgende Rangfolge:
- Der Modus Ausschließen wird angewendet. Ausschließen hat gegenüber den Modi Kein Filter und Einschließen Vorrang.
- Der Modus Kein Filter wird angewendet. Kein Filter hat gegenüber dem Modus Einschließen Vorrang.
- Der Modus Einschließen wird angewendet.
Wenn Sie die App oder Richtlinie zuweisen, können Sie einen Filter anwenden:
Beispiel:
- PolicyA wird drei Gerätegruppen zugewiesen: GroupA, GroupB und GroupC.
- Die GroupA-Zuweisung verwendet FilterA. FilterA verwendet den Modus „Einschließen“.
- Die GroupB-Zuweisung verwendet FilterB. FilterB verwendet den Modus „Ausschließen“.
- Die GroupC-Zuweisung verwendet keine Filter.
- DeviceA ist Mitglied aller drei Gruppen: GroupA, GroupB und GroupC.
In diesem Szenario hat die Ausschlusszuweisung aufgrund der Rangfolge der Filtermodi Vorrang. DeviceA wertet FilterB aus. Wenn DeviceA den Regeln entspricht, wird DeviceA von PolicyA ausgeschlossen. Wenn DeviceA nicht mit FilterB übereinstimmt, wird PolicyA angewendet. DeviceA nimmt keine weiteren Auswertungen für GroupB- und GroupC-Zuweisungen und -Filter vor.
Verwenden von OR-Logik bei identischen Filtermodi
Wenn mehrere Filter im gleichen Modus angewendet werden (z. B. „Einschließen“), wird OR-Logik verwendet. Das Gerät muss nur mit den Regeln in einem der Filter übereinstimmen, die in die Richtlinienzuweisung eingeschlossen (oder von ihr ausgeschlossen) werden sollen.
Beispiel:
- PolicyA wird zwei Gruppen zugewiesen: GroupA und GroupB.
- Die GroupA-Zuweisung verwendet FilterA. FilterA verwendet den Modus „Einschließen“.
- Die GroupB-Zuweisung verwendet FilterB. FilterB verwendet den Modus „Einschließen“.
- DeviceA ist Mitglied beider Gruppen: GroupA und GroupB.
In diesem Szenario verwenden beide Filter denselben Modus. Daher lösen die Filter den Konflikt mit OR-Logik. DeviceA wertet FilterA und FilterB aus. Wenn DeviceA den Regeln in beiden Filtern entspricht, empfängt DeviceA PolicyA. Wenn DeviceA mit keinem der beiden Filter übereinstimmt, wird PolicyA nicht angewendet.
App-Absicht
Bei Apps werden Konflikte basierend auf der „Absicht“ gelöst. Die Absicht wird ausgewertet, bevor eine Auswertung der Filter erfolgt. Apps bewerten beispielsweise, ob für ein Gerät die Zuweisungsabsicht Verfügbar,Erforderlich oder Deinstallieren vorgegeben wird. Die Absicht, die Vorrang hat, wird dann an das Filtermodul übergeben, um die Anwendbarkeit zu bestimmen.
Beispiel:
- AppA wird zwei Gruppen zugewiesen: GroupA und GroupB.
- Die GroupA-Zuweisung verwendet die Absicht Erforderlich. Die GroupA-Zuweisung verwendet FilterA, der den Modus „Einschließen“ verwendet.
- Die GroupB-Zuweisung verwendet die Absicht Deinstallieren. Die GroupB-Zuweisung verwendet FilterB, der den Modus „Einschließen“ verwendet.
- DeviceA ist Mitglied beider Gruppen: GroupA und GroupB.
In diesem Szenario erhält die App-Absicht Erforderlich Vorrang. Weitere Informationen findest du unter Konflikte zwischen App-Absichten. DeviceA muss also nur FilterA auswerten. Wenn DeviceA den Regeln in FilterA entspricht, empfängt DeviceA AppA als erforderliche App.
Apps verwenden beim Lösen von Konflikten zwischen Erforderlich- und Verfügbar-Zuweisungen ein besonderes Verhalten. Wenn für einen Benutzer oder ein Gerät sowohl die Verfügbar- als auch die Erforderlich-Zuweisung vorgegeben wird, empfängt er/es eine zusammengeführte Absicht namens Erforderlich und Verfügbar. Das Gerät muss die in beiden Zuweisungen verwendeten Filter auswerten. Wenn beide Filter ausgewertet werden, implementiert das Gerät dieselbe Konfliktlösung: Filtermodus und "OR"-Logik, wenn die Filtermodi identisch sind.
Konfliktlösungsmatrix
Im folgenden Beispiel besteht ein Konflikt zwischen Zuweisungen, da beide Zuweisungen denselben Benutzer bzw. dasselbe Gerät enthalten:
In der folgenden Matrix wird die Auswirkung je nach Konfliktszenario erläutert: