Verwenden wiederverwendbarer Einstellungsgruppen mit Intune Richtlinien
Dieses Feature befindet sich in der öffentlichen Vorschau.
Intune unterstützt wiederverwendbare Einstellungsgruppen, die Sie Konfigurationsrichtlinien und Profilen hinzufügen können, um die Verwaltung allgemeiner Einstellungen zu vereinfachen. Ein guter Zeitpunkt für die Verwendung wiederverwendbarer Gruppen ist, wenn Sie die Einstellungen mit derselben Konfiguration in mehr als einem einzelnen Profil verwenden müssen.
Wenn Sie die Einstellungen in einer wiederverwendbaren Gruppe bearbeiten, gelten die von Ihnen vorgenommenen Änderungen automatisch für jedes Profil, das die Gruppe enthält. Wenn Sie Ihre Änderungen an der wiederverwendbaren Einstellungsgruppe speichern, aktualisiert Intune die Profile mit diesen neuen Konfigurationen und stellt das aktualisierte Profil basierend auf den Zuweisungen des Profils auf Geräten bereit.
Die folgenden Profile unterstützen wiederverwendbare Gruppen:
- Gerätesteuerung, verfügbar über die Richtlinie zur Verringerung der Angriffsfläche für Endpunktsicherheit.
- Windows-Firewallregeln, verfügbar über die Firewallrichtlinie für Endpunktsicherheit.
Übersicht über wiederverwendbare Einstellungsgruppen
Jede wiederverwendbare Einstellungsgruppe ist ein einzelnes Objekt, das mehrere Einstellungen enthalten kann. Nachdem Sie eine oder mehrere wiederverwendbare Gruppen für die Verwendung mit einem bestimmten Profiltyp konfiguriert haben, erstellen oder bearbeiten Sie ein Profil, um die Gruppen hinzuzufügen. Profile können mehrere Gruppen unterstützen.
Zum Verwalten von Gruppen wiederverwendbarer Einstellungen verwenden Sie im Microsoft Intune Admin Center die Registerkarte Wiederverwendbare Einstellungen, die der Richtlinie und den Profilen zugeordnet ist, mit denen Sie eine Gruppe verwenden möchten. Auf der Registerkarte können Sie eine Gruppe erstellen, die Einstellungen in einer Gruppe bearbeiten und die Anzahl der Richtlinien anzeigen, die Einstellungen von jeder Gruppe erben. Jede wiederverwendbare Einstellungsgruppe wird nur mit ihrem zugehörigen Profiltyp verwendet.
Die folgende Abbildung zeigt z. B. die Registerkarte Wiederverwendbare Einstellungen, die Sie zum Verwalten wiederverwendbarer Gruppen für das Profil Windows-Firewall-Firewallregeln verwenden würden:
Nachdem Sie wiederverwendbare Gruppen erstellt haben, verwenden Sie eine Option auf einer Seite mit den Konfigurationseinstellungen für Profile, um diesem Profil Gruppen hinzuzufügen. Profile, die eine oder mehrere wiederverwendbare Gruppen enthalten, verwenden jede Einstellung aus jeder enthaltenen Gruppe, als ob die Einstellungen direkt im Profil konfiguriert wären.
Voraussetzungen
Die folgenden Profile unterstützen die Verwendung von wiederverwendbaren Einstellungsgruppen:
Sicherheitsrichtlinieneinstellungen für Endpunkt
Firewall>Windows-Firewallregeln:
- Plattformen: Windows
- Windows-Versionen: Geräte müssen Windows 10 20H2 oder höher oder Windows 11
Verringerung der> AngriffsflächeGerätesteuerung:
- Plattformen: Windows
Verwaltung von Endpunktberechtigungen
- Windows-Richtlinie für Rechteerweiterungsregeln
Hinweis
Wiederverwendbare Einstellungsgruppen werden derzeit nicht für die Verwendung mit der Sicherheitsverwaltung für Microsoft Defender for Endpoint unterstützt.
Erstellen einer wiederverwendbaren Gruppe
Jede wiederverwendbare Einstellungsgruppe enthält eine Teilmenge der Einstellungen aus dem vollständigen Profil, für das Sie die Gruppe erstellen. Verwenden Sie die folgenden Links, um die Einstellungen anzuzeigen, die Sie in einer Einstellungsgruppe für jedes Profil konfigurieren können:
So erstellen Sie eine wiederverwendbare Einstellungsgruppe:
Öffnen Sie das Microsoft Intune Admin Center, navigieren Sie zu der Richtlinie, für die Sie eine wiederverwendbare Gruppe erstellen möchten, und wählen Sie dann die Registerkarte Wiederverwendbare Einstellungen (Vorschau) aus.
Wählen Sie Hinzufügen aus, um den Workflow Wiederverwendbare Einstellungen konfigurieren (Vorschau) zu öffnen.
Konfigurieren Sie auf der Seite Grundlagen einen Namen. Die Beschreibung ist optional.
Wählen Sie auf der Seite Konfigurationseinstellungendie Option Hinzufügen aus, und konfigurieren Sie dann Einstellungen für diese Gruppe, als ob Einstellungen direkt im unterstützten Profil konfiguriert würden.
Wenn Sie für Gerätesteuerung auf Hinzufügen klicken, müssen Sie den Typ der zu konfigurierenden Gruppeneinstellungen auswählen und dann instance bearbeiten auswählen, um fortzufahren. Wenn Sie mehrere instance hinzufügen, überprüfen Sie die Konfiguration des Übereinstimmungstyps für die Gruppe.
Es gibt einen Grenzwert von 100 Instanzen pro Gruppe. Verwenden Sie den Informationstext im Admin Center für jede Einstellung in der Gruppe wiederverwendbarer Einstellungen als Leitfaden. Folgen Sie dem Link Weitere Informationen , um eine Einstellung anzuzeigen, um Details zur Einstellung aus dieser Inhaltsquelle für Einstellungen anzuzeigen.
Tipp
Benennen Sie jede wiederverwendbare Gruppe, die Sie erstellen, sorgfältig, um sicherzustellen, dass Sie sie später identifizieren können. Dies ist wichtig, da jede wiederverwendbare Gruppe, die Sie für jeden Richtlinientyp erstellen, beim Hinzufügen wiederverwendbarer Gruppen zu einer Richtlinie sichtbar ist, auch wenn die Gruppe Einstellungen enthält, die normalerweise nicht für die richtlinie gelten, die Sie konfigurieren. Wenn Sie beispielsweise eine wiederverwendbare Gruppe für Windows-Firewallregeln erstellt haben, ist diese Gruppe sichtbar und kann ausgewählt werden, wenn wiederverwendbare Gruppen zu Gerätesteuerungsrichtlinien hinzugefügt werden.
Wählen Sie auf der Seite Überprüfen + hinzufügendie Option Hinzufügen aus, um Ihre wiederverwendbare Einstellungsgruppe zu speichern.
Ändern einer wiederverwendbaren Gruppe
Wenn Sie die Konfiguration einer wiederverwendbaren Gruppe bearbeiten, wird jedes Profil, das diese Gruppe verwendet, automatisch aktualisiert, um die neue Konfiguration auf Geräte anzuwenden.
Öffnen Sie das Microsoft Intune Admin Center, navigieren Sie zu der Richtlinie, für die Sie eine wiederverwendbare Gruppe erstellen möchten, und wählen Sie dann die Registerkarte Wiederverwendbare Einstellungen (Vorschau) aus.
Wählen Sie die wiederverwendbare Einstellungsgruppe aus, die Sie bearbeiten möchten. Dadurch wird der Konfigurationsworkflow geöffnet, der dem Workflow zum Erstellen einer neuen wiederverwendbaren Gruppe ähnelt.
Auf der Seite Grundlagen können Sie die Gruppe umbenennen, und auf der Seite Konfigurationseinstellungen können Sie Einstellungen neu konfigurieren. Wählen Sie auf der letzten Seite Speichern aus, um Ihre Konfiguration zu speichern und die Profile zu aktualisieren, die die Einstellungsgruppe verwenden.
Hinzufügen wiederverwendbarer Gruppen zu einem Windows-Firewallregelprofil
Fügen Sie wiederverwendbare Einstellungsgruppen zu Profilen hinzu, während Sie das Profil bearbeiten oder erstellen. Verwenden Sie auf der Seite Profile Konfigurationseinstellungen eine Option, die das Hinzufügen einer oder mehrerer zuvor erstellter Gruppen unterstützt.
Hinweis
Eingehende FQDN-Regeln werden nicht nativ unterstützt. Es ist jedoch möglich, Pre-Hydration-Skripts zu verwenden, um eingehende IP-Einträge für die Regel zu generieren. Weitere Informationen finden Sie unter Dynamische Schlüsselwörter der Windows-Firewall in der Dokumentation zur Windows-Firewall.
Erstellen Sie im Microsoft Intune Admin Center ein neues Profil, oder wählen Sie ein vorhandenes Profil aus, und bearbeiten Sie es.
Wählen Sie auf der Seite Konfigurationseinstellungendie Option Hinzufügen aus, um eine neue Regel hinzuzufügen, oder Regel bearbeiten , um eine zuvor erstellte Regel zu verwalten.
Konfigurieren Sie im Bereich instance konfigurieren für die Regel Aktion, um zu bestimmen, wie diese Regel Einstellungen wie IP-Adressen oder FQDNs verwaltet. Beispielsweise können Sie Aktion auf Zulassen oder Blockieren festlegen. Diese Konfiguration gilt sowohl für die Einstellungen, die Sie dieser Regel direkt hinzufügen, als auch für die Einstellungen, die sich in jeder wiederverwendbaren Gruppe befinden, die dieser Regel hinzugefügt wird.
Speichern Sie die Regelkonfiguration.
Wählen Sie für die gespeicherte Regel wiederverwendbare Einstellungen festlegen aus, um den Bereich Wiederverwendbare Einstellungen auswählen zu öffnen.
Wählen Sie eine oder mehrere der verfügbaren Gruppen aus, um sie dieser Regel hinzuzufügen, und speichern Sie dann Ihre Auswahl.
Nachdem Sie einem Profil wiederverwendbare Gruppen hinzugefügt haben, speichern Sie Ihre Konfiguration. Beim Speichern enthält Intune die Einstellungen aus den wiederverwendbaren Gruppen und stellt das Profil basierend auf den Zuweisungen des Profils auf Geräten bereit.
Hinzufügen wiederverwendbarer Gruppen zu einem Gerätesteuerungsprofil
Fügen Sie wiederverwendbare Einstellungsgruppen zu Profilen hinzu, während Sie das Profil bearbeiten oder erstellen. Wiederverwendbare Gruppen für Gerätesteuerungsprofile unterstützen die folgenden Einstellungstypen:
- Druckergerät
- Wechselmedien
Verwenden Sie auf der Seite Profile Konfigurationseinstellungen eine Option, die das Hinzufügen einer oder mehrerer zuvor erstellter Gruppen unterstützt.
Erstellen Sie im Microsoft Intune Admin Center ein neues Profil, oder wählen Sie ein vorhandenes Profil aus, und bearbeiten Sie es.
Erweitern Sie auf der Seite Konfigurationseinstellungen die Kategorie Gerätesteuerung, und wählen Sie Hinzufügen aus, um eine neue Regel hinzuzufügen, oder Eintrag bearbeiten , um eine zuvor erstellte Regel zu verwalten.
- Wählen Sie Hinzufügen aus, um weitere Regeln hinzuzufügen.
- Wählen Sie Eintrag bearbeiten aus, um den Bereich Eintrag konfigurieren zu öffnen, um die Verwendung der Gruppe weiter zu konfigurieren.
Geben Sie im Bereich Eintrag konfigurieren einen Namen ein, konfigurieren Sie dann Folgendes, und wählen Sie dann OK aus, um die Regel zu speichern:
- Typ: Definiert die Aktion für die Wechseldatenträgergruppen. Wenn es Konflikte für Type für dasselbe Medium gibt, wird der erste Typ angewendet, der in der Richtlinie definiert ist.
- Optionen: Definiert, ob dem Gerätebenutzer eine Benachrichtigung angezeigt werden soll. Welche Optionen verfügbar sind, hängt vom ausgewählten Typ ab.
- Zugriffsmaske: Wählen Sie eine oder mehrere aus Lesen, Schreiben, Ausführen aus.
- Sid: Lokale Benutzer-Sid oder Benutzer-Sid-Gruppe oder die Sid des AD-Objekts, definiert, ob diese Richtlinie auf einen bestimmten Benutzer oder eine bestimmte Benutzergruppe angewendet werden soll; Ein Eintrag kann maximal eine Sid enthalten, und ein Eintrag ohne Sid bedeutet, dass die Richtlinie auf den Computer angewendet wird.
- Computer-Sid: Lokale Computer-Sid- oder Computer-Sid-Gruppe oder die Sid des AD-Objekts, definiert, ob diese Richtlinie auf einen bestimmten Computer oder eine bestimmte Computergruppe angewendet werden soll; Ein Eintrag kann maximal eine ComputerSid enthalten, und ein Eintrag ohne ComputerSid bedeutet, dass die Richtlinie auf den Computer angewendet wird. Wenn Sie einen Eintrag auf einen bestimmten Benutzer und einen bestimmten Computer anwenden möchten, fügen Sie demselben Eintrag sowohl Sid als auch ComputerSid hinzu.
Weitere Informationen zu diesen Optionen finden Sie in den folgenden Artikeln in der Microsoft Defender for Endpoint-Dokumentation:
Wählen Sie für die Regel, die Sie gespeichert haben, wiederverwendbare Einstellungen für eingeschlossene ID und ausgeschlossene ID festlegen aus, um Ihre Anforderungen zu erfüllen. Beide Optionen öffnen den Bereich Wiederverwendbare Einstellungen auswählen .
Wählen Sie eine oder mehrere der verfügbaren Gruppen aus, um sie dieser Regel hinzuzufügen, und speichern Sie dann Ihre Auswahl. Im Folgenden wird eine Konfiguration mit nur einer Gruppe gezeigt, die für ausgeschlossene ID ausgewählt ist:
Nachdem Sie einem Profil wiederverwendbare Gruppen hinzugefügt haben, schließen Sie die Richtlinienkonfiguration ab. Beim Speichern enthält Intune die Einstellungen aus den wiederverwendbaren Gruppen und stellt das Profil basierend auf den Zuweisungen des Profils auf Geräten bereit. Pro Profil können maximal 100 wiederverwendbare Gruppen hinzugefügt werden.
Wenn Sie über eine E5-Lizenz verfügen, können Sie Microsoft Defender for Endpoint verwenden, um Gerätesteuerungsereignisse im Bericht "Gerätesteuerung" und "Erweiterte Suche" anzuzeigen. Weitere Informationen finden Sie unter Schützen der Daten Ihrer organization mit der Gerätesteuerung | Microsoft-Dokumentation in der Defender für Endpunkt-Dokumentation.
Verwenden wiederverwendbarer Gruppen für Endpoint Privilege Manager
Informationen zur Unterstützung für die Verwendung wiederverwendbarer Gruppen für Endpoint Privilege Manager finden Sie unter Richtlinien für Endpoint Privilege Manager.
Informationen zu Richtlinienkonflikten
Die Geräteeinstellungen, die Sie über wiederverwendbare Einstellungsgruppen verwalten können, werden von Intune genauso angewendet wie Einstellungen, die direkt in einem Profil konfiguriert werden. Wenn Konflikte oder Überlappungen durch Einstellungen aus Ihren wiederverwendbaren Gruppen verursacht werden, können Sie den gleichen Problembehandlungsprozess verwenden, um diese Konflikte zu identifizieren und zu lösen.
Weitere Informationen finden Sie in der Anleitung, die für die von Ihnen verwendeten Profiltypen spezifisch sein kann. Allgemeine Anleitungen finden Sie unter Problembehandlung für Richtlinien und Profile in Microsoft Intune und allgemeine Fragen und Antworten zu Geräterichtlinien und -profilen in Microsoft Intune.