Gruppenbasierte Richtlinienverwaltung

  • 4 Minuten

Sie können die Zuweisung von Geräten, Apps und Richtlinien auf der Grundlage von Benutzer- oder Gerätegruppen verwalten.

Sie können die folgenden Gruppentypen hinzufügen:

  • Zugewiesene Gruppen: Fügen Sie manuell Benutzer*innen oder Geräte zu einer statischen Gruppe hinzu.
  • Dynamische Gruppen (erfordert Microsoft Entra ID P1 oder P2): Fügen Sie Benutzern oder Geräten automatisch Benutzergruppen oder Gerätegruppen basierend auf einem von Ihnen erstellten Ausdruck hinzu.

Geräte

Zur einfacheren Geräteverwaltung können Sie Microsoft Intune-Gerätekategorien verwenden, um Geräte automatisch zu Gruppen hinzuzufügen, die auf von Ihnen definierten Kategorien basieren.

Gerätekategorien verwenden den folgenden Workflow:

  1. Erstellen Sie Kategorien, aus denen Benutzer*innen beim Registrieren ihrer Geräte auswählen können.
  2. Wenn iOS-, iPadOS- oder Android-Benutzer ein Gerät registrieren, müssen sie eine Kategorie aus der von Ihnen konfigurierten Kategorieliste auswählen. Benutzer müssen die Unternehmensportalwebsite verwenden, um einem Windows-Gerät eine Kategorie zuzuweisen.
  3. Dann können Sie Richtlinien und Apps für diese Gruppen bereitstellen.

Sie können beliebige Gerätekategorien erstellen. Zum Beispiel:

  • Point-of-Sale-Gerät
  • Demogerät
  • Sales
  • Buchhaltung
  • Manager

Sobald Ihr Gerät registriert ist, gilt es als verwaltet. Ihre Organisation kann dem Gerät über einen MDM-Anbieter (Mobile Device Management, Verwaltung mobiler Geräte) wie Intune Richtlinien und Anwendungen zuweisen.

Apps

Nachdem Sie eine App Microsoft Intune hinzugefügt haben, können Sie diese Benutzern und Geräten zuweisen. Es ist wichtig zu beachten, dass Sie eine App einem Gerät zuweisen können, unabhängig davon, ob Intune sie verwaltet oder nicht.

In Intune können Sie bestimmen, wer Zugriff auf eine App hat, indem Sie sowohl die ein- als auch auszuschließenden Gruppen von Benutzern zuweisen. Bevor Sie der App Gruppen zuweisen, müssen Sie den Zuweisungstyp einer App festlegen. Der Zuweisungstyp macht die App verfügbar, erforderlich oder deinstalliert diese.

Um die Verfügbarkeit einer App festzulegen, schließen Sie App-Zuweisungen zu einer Gruppe von Benutzer/-innen oder Geräten ein oder aus. Dazu können Sie eine Kombination aus Einschluss- und Ausschluss-Gruppenzuweisungen verwenden. Diese Funktion kann nützlich sein, wenn Sie die App verfügbar machen, indem Sie eine große Gruppe einschließen. Schränken Sie dann die ausgewählten Benutzer/-innen ein, indem Sie auch eine kleinere Gruppe ausschließen. Die kleinere Gruppe könnte eine Testgruppe oder ausführende Gruppe sein.

Es wird empfohlen, Apps speziell für Ihre Benutzergruppen und separat für Ihre Gerätegruppen zu erstellen und zuzuweisen.

Wenn Sie beispielsweise eine*n Benutzer*in mit der Bezeichnung „Manager“ hinzufügen, wird diese*r automatisch der Benutzergruppe Alle Manager hinzugefügt. Wenn ein Gerät das Betriebssystem iOS oder iPadOS aufweist, wird es automatisch der Gerätegruppe Alle iOS-/iPadOS-Geräte hinzugefügt.

Nachdem Sie eine App über Intune einer Gruppe zugewiesen haben, können Sie Benutzern oder Geräten Richtlinien für diese App zuweisen.

Richtlinien

Sie können Intune verwenden, um Gruppen Richtlinien zuzuweisen. Wenn Sie Richtlinien zuweisen, können Sie festlegen, für wen diese gelten oder nicht gelten.

Benutzer- und Gerätegruppen im Vergleich

Viele Benutzer/-innen fragen, wann Benutzergruppen im Vergleich zu Gerätegruppen verwendet werden sollen. Bei der Beantwortung dieser Frage spielt Ihr Ziel eine entscheidende Rolle. Nachfolgend finden Sie Informationen für den Einstieg:

Gerätegruppen

Wenn Sie Einstellungen auf einem Gerät unabhängig davon anwenden möchten, wer angemeldet ist, weisen Sie Ihre Profile einer Gerätegruppe zu. Einstellungen, die auf Gerätegruppen angewendet werden, gelten immer für das jeweilige Gerät und nicht für den Benutzer. Gerätegruppen werden häufig für freigegebene und spezialisierte Geräte verwendet.

Beispiel:

  • Gerätegruppen sind nützlich für die Verwaltung von Geräten ohne dedizierten Benutzer. Beispielsweise verfügen Sie über Geräte, die Tickets drucken, inventarisieren, Informationen innerhalb von Schichtarbeiter/-innen teilen, Tickets für bestimmte Lagerhäuser zuweisen usw. Platzieren Sie diese Geräte in einer Gerätegruppe, und weisen Sie Ihre Profile dieser Gerätegruppe zu.
  • Sie erstellen ein Intune-Profil für die Schnittstelle zur Konfiguration der Gerätefirmware, das die Einstellungen im BIOS aktualisiert. Beispielsweise können Sie dieses Profil so konfigurieren, dass die Kamera des Geräts deaktiviert wird, oder die Startoptionen sperren, um zu verhindern, dass Benutzer*innen ein anderes Betriebssystem starten. Dieses Profil ist ein gutes Szenario für die Zuweisung zu einer Gerätegruppe.
  • Auf manchen Windows-Geräten sollten Sie immer einige Einstellungen für Microsoft Edge steuern – unabhängig davon, wer das Gerät verwendet. Möglicherweise möchten Sie alle Downloads blockieren, sämtliche Cookies auf die aktuelle Browsersitzung einschränken und den Browserverlauf löschen. Dafür bietet es sich an, diese Windows-Geräte einer Gerätegruppe zuzuordnen. Erstellen Sie dann eine administrative Vorlage in Intune, fügen Sie diese Geräteeinstellungen hinzu, und weisen Sie dieses Profil der Gerätegruppe zu.

Fazit: Verwenden Sie Gerätegruppen immer dann, wenn es keine Rolle spielt, wer oder ob überhaupt jemand bei dem jeweiligen Gerät angemeldet ist. Damit sind Ihre Einstellungen immer auf dem Gerät gespeichert.

Benutzergruppen

Profileinstellungen, die auf Benutzergruppen angewendet werden, gelten immer für den jeweiligen Benutzer – auch wenn er mehrere Geräte verwendet. Es ist normal, dass Benutzer*innen mehrere Geräte verwenden, z. B. ein Surface Pro für die Arbeit und ein iOS/iPadOS-Gerät für den Privatgebrauch. In der Regel greifen diese Benutzer*innen dann auch über ihre verschiedenen Geräte auf ihre E-Mails und andere Unternehmensressourcen zu. Benutzergruppen werden üblicherweise für Mitarbeiter verwendet, die mit Informationen und Wissen arbeiten.

Beispiel:

  • Sie möchten ein Helpdesksymbol für alle Benutzer auf all ihren Geräten einrichten. In diesem Szenario fügen Sie diese Benutzer*innen einer Benutzergruppe hinzu. Dann weisen Sie dieser Benutzergruppe das Profil für das Helpdesksymbol zu.

  • Ein Benutzer erhält ein neues Gerät, das der Organisation gehört. Er meldet sich mit seinem Domänenkonto bei dem Gerät an. Das Gerät wird automatisch in der Microsoft Entra ID registriert und von Intune automatisch verwaltet. Dieses Profil ist ein gutes Beispiel für die Zuweisung zu einer Benutzergruppe.

  • Wenn ein Benutzer sich bei einem Gerät anmeldet, sollten Sie Features über Apps wie OneDrive oder Office steuern. In diesem Szenario weisen Sie Ihre OneDrive- oder Office-Profileinstellungen einer Benutzergruppe zu.

    Angenommen, Sie möchten nicht vertrauenswürdige ActiveX-Steuerelemente in Ihren Office-Apps blockieren. Sie können eine Verwaltungsvorlage in Intune erstellen, diese Einstellung konfigurieren und dieses Profil anschließend einer Benutzergruppe zuweisen.

Fazit: Verwenden Sie Benutzergruppen immer dann, wenn Sie Ihre Einstellungen und Regeln mit dem Benutzer/der Benutzerin verknüpfen möchten – unabhängig davon, welches Gerät er oder sie verwendet.