Planen der Gerätegruppierung und Zielgruppenadressierung für Bildungseinrichtungen
✅ Organisieren von Geräten und Benutzern
Durch das Organisieren von Geräten, Kursteilnehmern, Kursräumen oder Lernlehrplänen in Gruppen können Sie den Kursteilnehmern die benötigten Ressourcen und Konfigurationen bereitstellen.
Übersicht über Gruppierung und Zielgruppenadressierung
Intune verfügt über vier Zielmethoden:
| Gruppierungstyp | Beschreibung | Vorteile | Nachteile |
|---|---|---|---|
| Virtuelle Gruppen | Erstellt von Intune und ermöglichen Ihnen das Festlegen von "Alle Geräte" und "Alle Benutzer". | Automatisch immer auf dem neuesten Stand | Kann nur mithilfe von Filtern festgelegt werden |
| Zugewiesene Gruppen | Wird verwendet, wenn Sie Benutzer oder Geräte manuell zu einer Gruppe hinzufügen möchten. | Einfaches Verwalten eindeutiger Gruppenmitgliedschaften | Die Mitgliedschaft wird manuell verwaltet. |
| Dynamische Gruppen | Gruppen basierend auf Regeln, die Sie zum Zuweisen von Kursteilnehmern oder Geräten zu Gruppen erstellen. | Automatisiert die Mitgliedschaftsverwaltung dieser Gruppen | Die Aktualisierung kann zwischen einigen Minuten und 24 Stunden dauern. |
| Filter | Ermöglicht es Ihnen, den Zuweisungsbereich einer Richtlinie oder App beim Festlegen einer Gruppe weiter einzugrenzen. | Intune wertet Filter bei jedem Check-In schnell aus | Muss auf virtuelle, zugewiesene oder dynamische Gruppen angewendet werden |
Organisationen verwenden in der Regel eine Kombination dieser Zielmethoden.
Hinweis
Auf Filter kann nicht in der Intune für Bildungseinrichtungen-Verwaltungskonsole zugegriffen werden, aber in der Intune-Verwaltungskonsole.
Wenn Sie Microsoft School Data Sync (SDS) verwenden, werden zwei zusätzliche Gruppen erstellt: Alle Lehrer und Alle Schüler. SDS kann auch so konfiguriert werden, dass gruppen von Schülern und Lehrern für jede Schule automatisch erstellt und verwaltet werden.
Über die Standardeinstellungen hinaus können Gruppen an verschiedene Anforderungen angepasst werden. Wenn Sie beispielsweise sowohl Windows 10 als auch Windows 11 Geräte in Ihrer Bildungseinrichtung haben, können Sie Gruppen wie Windows 10 Geräte und Windows 11 Geräte erstellen, um ihnen unterschiedliche Richtlinien und Anwendungen zuzuweisen.
Tipp
Weitere Informationen zu Gruppierungs- und Zieloptionen finden Sie unter Leistungsempfehlungen für Gruppierung, Zielgruppenadressierung und Filterung in großen Microsoft Intune Umgebungen.
Tipps zum Vermeiden von Richtlinienkonflikten finden Sie unter Vermeiden von Richtlinienkonflikten.
Auswählen von Gruppierungsmethoden
✅ Wählen Sie die beste Option für die Gruppierung aus.
Die Art und Weise, wie Sie Die Konfiguration und Apps als Ziel verwenden, kann von vielen Faktoren und dem Registrierungstyp abhängen.
Die folgende Tabelle enthält Anleitungen dazu, welche Windows-Gerätegruppierungsoptionen basierend auf der Registrierungsmethode und dem gewünschten Verhalten verwendet werden sollen.
| Registrierungstyp | Verhalten | Beste Gruppierungsoptionen |
|---|---|---|
| Benutzergesteuerter Autopilot | Schnellste Anwendung während der Registrierung | ✔️ Dynamische Gerätegruppe basierend auf einem Autopilot Group Tag, Hersteller oder Modell ✔️ Benutzer dynamische Gruppe✔️ Zugewiesene Gruppen |
| Autopilot-Selbstbereitstellungsmodus | Schnellste Anwendung während der Registrierung | ✔️ Dynamische Gerätegruppe basierend auf einem Autopilot Group Tag, Hersteller oder Modell ✔️ Zugewiesene Gruppen |
| Alle Registrierungstypen | Schnellste Anwendung während der Registrierung | ✔️ Alle Geräte gruppieren ✔️ Alle Gerätegruppe mit einem Filter |
| Alle Registrierungstypen | Gilt nach der Registrierung | ✔️ Dynamische Gerätegruppe basierend auf anderen Attributen |
Die folgende Tabelle enthält Anleitungen dazu, welche iOS-Gerätegruppierungsoptionen basierend auf der Registrierungsmethode und dem gewünschten Verhalten verwendet werden sollen.
| Registrierungstyp | Verhalten | Beste Gruppierungsoptionen |
|---|---|---|
| Automatisierte Geräteregistrierung | Schnellste Anwendung während der Registrierung | ✔️ Alle Geräte gruppieren ✔️ Alle Gerätegruppe mit einem Filter |
| Automatisierte Geräteregistrierung mit Benutzeraffinität | Schnellste Anwendung während der Registrierung | ✔️ Zugewiesene oder dynamische Benutzergruppen |
| Unternehmensportal | Schnellste Anwendung während der Registrierung | ✔️ Zugewiesene oder dynamische Benutzergruppen |
| Alle Registrierungstypen | Gilt nach der Registrierung | ✔️ Dynamische Gerätegruppe ✔️ Zugewiesene Gerätegruppen |
Tipp
Weitere Informationen zu Gruppierungs- und Zieloptionen finden Sie unter Leistungsempfehlungen für Gruppierung, Zielgruppenadressierung und Filterung in großen Microsoft Intune Umgebungen.
Erstellen von Gruppen und Filtern
✅Erstellen ihrer organization-Gruppen
Wenn Sie Ihren Registrierungs- und Gruppierungsplan eingerichtet haben, können Sie Ihre Gruppen erstellen.
- Erstellen von Gruppen in Entra
- Verwenden von Filtern beim Zuweisen von Apps, Richtlinien und Profilen in Microsoft Intune
- Erstellen oder Aktualisieren einer dynamischen Gruppe in Microsoft Entra ID
- Dynamische Mitgliedschaftsregeln für Gruppen in Microsoft Entra ID
- Erstellen einfacherer und effizienterer Regeln für dynamische Gruppen in Microsoft Entra ID
Beispielgruppen
✅ Beispiele für allgemeine Gruppierung nach Registrierungstyp
Dieser Abschnitt enthält Zielgruppenadressierungsmethoden, die häufig in Bildungseinrichtungen verwendet werden.
Autopilot
Wenn Geräte in Autopilot importiert werden, enthalten sie den Hersteller und das Modell des Geräts. Jedem importierten Gerät kann auch ein Gruppentag hinzugefügt werden. Das Gruppentag kann verwendet werden, um Gruppen für die Zielgruppenadressierung zu erstellen. Einige Kunden verwenden Gruppentags, um Gruppen für verschiedene Autopilot-Profile zu erstellen, um verschiedene Apps oder Profile als Ziel zu verwenden und um Bereichstags für die rollenbasierte Zugriffssteuerung zuzuweisen.
Diese Tabelle enthält allgemeine Gruppen, die für Geräte verwendet werden, die mit Autopilot registriert sind.
| Name | Typ | Abfrage |
|---|---|---|
| Alle Windows-Geräte | Regeln für dynamische Mitgliedschaften | (device.deviceOSType -startsWith "Windows") |
| Alle Autopilot-Geräte | Regeln für dynamische Mitgliedschaften | (device.devicePhysicalIDs -any _ -startsWith "[ZTDId]") |
| Alle Nicht-Autopilot-Geräte | Regeln für dynamische Mitgliedschaften | (device.deviceOSType -startsWith "Windows") -and (device.deviceOwnership -eq "Company") -and -not(device.devicePhysicalIds -any (_ -startsWith "[ZTDId]")) |
| Alle Autopilot Student-Geräte | Regeln für dynamische Mitgliedschaften | (device.devicePhysicalIds -any (_ -eq "[OrderID]:Student")) |
Hinweis
Im Gruppenbeispiel "Alle Autopilot Student-Geräte" wird davon ausgegangen, dass das Autopilot-Gruppentag auf "Student" festgelegt ist. Sie können ein anderes Gruppentag verwenden und die Mitgliedschaftsregel entsprechend aktualisieren.
Hinweis
- Wenn Sie planen, Gruppen oder Filter basierend auf enrollmentProfileName zu erstellen, stellen Sie sicher, dass Sie das Registrierungsprofil mit dem Namen erstellen, der den Regeln entspricht.
- Wenn Sie Autopilot-Gruppentags zum Gruppieren von Geräten verwenden, stellen Sie sicher, dass die Gruppentags, die Geräteobjekten hinzugefügt wurden, den dynamischen Gruppenregeln entsprechen.
- Unter Windows können Apps und Richtlinien auch auf Benutzergruppen ausgerichtet werden. Die meisten Apps und Richtlinien auf Windows-Geräten sind jedoch gerätebasiert. Daher erhält jeder Benutzer eines Windows-Geräts gerätebasierte Apps und Richtlinien, die jedem vorherigen Benutzer des Geräts zugewiesen sind– es sei denn, der neue Benutzer hat zuvor unterschiedliche Konfigurationen für Einstellungen angewendet.
Bereitstellungspakete
Diese Tabelle enthält allgemeine Gruppen, die für Geräte verwendet werden, die mithilfe von Bereitstellungspaketen registriert werden.
| Name | Typ | Abfrage |
|---|---|---|
| Alle Windows-Geräte | Regeln für dynamische Mitgliedschaften | (device.deviceOSType -startsWith "Windows") |
| Alle Schülergeräte | Regeln für dynamische Mitgliedschaften | (device.displayName -startsWith "STU-") |
Hinweis
Das Gruppenbeispiel "Alle Schülergeräte" geht davon aus, dass das Gerätenamenpräfix im Bereitstellungspaket auf "STU-" festgelegt ist. Sie können ein anderes Präfix verwenden und die Mitgliedschaftsregel entsprechend aktualisieren.
Alle Registrierungstypen
Filter können verwendet werden, um Geräte weiter ein- oder auszuschließen. Zum Beispiel:
- Geräte mit Windows 10 (osVersion beginnt mit 10.0.1)
- Geräte mit Windows 11 (osVersion beginnt mit 10.0.2)
Automatisierte Geräteregistrierung
Wenn Geräte mit automatisierter Geräteregistrierung registriert werden, werden die Geräte mit dem Registrierungsprofilnamen gestempelt, der bei der Registrierung verwendet wird. Geräte können verschiedenen Registrierungsprofilen im Abschnitt Automatisierte Geräteregistrierungstoken unter Registrierung zugeordnet werden. Einige Kunden verwenden Registrierungsprofilnamen, um Gruppen oder Filter für verschiedene Registrierungseinstellungen zu erstellen, um verschiedene Apps oder Profile als Ziel zu verwenden und um Bereichstags für die rollenbasierte Zugriffssteuerung zuzuweisen.
Im Folgenden finden Sie Beispiele für Abfragen, die häufig für dynamische Sicherheitsgruppen verwendet werden.
| Name | Typ | Abfrage |
|---|---|---|
| Alle iOS-Geräte | Regeln für dynamische Mitgliedschaften | (device.deviceOSType -startsWith "iOS") |
| Alle Anwendungsfallgeräte | Regeln für dynamische Mitgliedschaften | (device.enrollmentProfileName -eq "'use case'") |
Um Einstellungen während der Registrierung so schnell wie möglich anzuwenden, ohne auf dynamische Gruppenupdates zu warten, verwenden einige Kunden einen Filter, der auf enrollmentProfileName und der Zielkonfiguration in der virtuellen Gruppe Alle Geräte basiert.
- Geräte mit einem bestimmten enrollmentProfileName (enrollmentProfileName equals'usecase')
Hinweis
Wenn Sie planen, Gruppen oder Filter basierend auf enrollmentProfileName zu erstellen, stellen Sie sicher, dass Sie das Registrierungsprofil mit dem Namen erstellen, der den Regeln entspricht.
Warnung
Jedes Mal, wenn ein iOS-Gerät registriert wird, wird ein neues Entra-Geräteobjekt erstellt, sodass zugewiesene Gruppenmitgliedschaften nicht beibehalten werden, wenn ein Gerät zurückgesetzt wird.