Freigeben über

Erstellen eines Gerätekonfigurationsprofils in Microsoft Intune

Mit Gerätekonfigurationsprofilen können Sie Geräteeinstellungen hinzufügen und konfigurieren und diese Einstellungen dann auf Geräte in Ihrer organization pushen. Beim Erstellen von Richtlinien haben Sie verschiedene Optionen:

  • Baselines: Auf Windows-Geräten enthalten diese Baselines vorkonfigurierte Sicherheitseinstellungen. Wenn Sie Sicherheitsrichtlinien mithilfe von Empfehlungen von Microsoft-Sicherheitsteams erstellen möchten, verwenden Sie Sicherheitsbaselines.

    Weitere Informationen finden Sie unter Sicherheitsbaselines.

  • Einstellungskatalog: Auf Ihren Apple-, Android- und Windows-Geräten können Sie den Einstellungskatalog verwenden, um Gerätefeatures und -einstellungen zu konfigurieren. Der Einstellungskatalog enthält alle verfügbaren Einstellungen und an einem Speicherort. Sie können z. B. alle Einstellungen anzeigen, die für BitLocker gelten, und eine Richtlinie erstellen, die sich nur auf BitLocker konzentriert. Verwenden Sie auf macOS-Geräten den Einstellungskatalog, um Microsoft Edge-Version 77 und die zugehörigen Einstellungen zu konfigurieren.

    Dem Einstellungskatalog werden ständig weitere Einstellungen hinzugefügt. Weitere Informationen finden Sie unter Einstellungskatalog.

  • Vorlagen: Auf Ihren Geräten können Sie die integrierten Vorlagen verwenden. Jede Vorlage enthält eine logische Gruppierung von Einstellungen, die ein Feature oder Konzept konfigurieren, z. B. VPN, E-Mail, Kioskgeräte usw. Wenn Sie mit der Erstellung von Richtlinien zur Konfiguration von Geräten in Microsoft Intune vertraut sind, nutzen Sie bereits diese Vorlagen.

    Weitere Informationen, einschließlich der verfügbaren Vorlagen, finden Sie unter Anwenden von Features und Einstellungen auf Ihren Geräten mithilfe von Geräteprofilen.

Inhalt dieses Artikels:

  • Schritte zum Erstellen eines Profils
  • Erläutert das Hinzufügen einer Bereichsmarkierung zum „Filtern“ Ihrer Richtlinien.
  • Beschreibt Anwendbarkeitsregeln auf Windows-Clientgeräten und zeigt Ihnen, wie Sie eine Regel erstellen.
  • Enthält weitere Informationen zu den Check-in-Aktualisierungszykluszeiten, wenn Geräte Profile und Profilaktualisierungen empfangen.

Diese Funktion gilt für:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows

Voraussetzungen

Erstellen des Profils

Wählen Sie im Intune Admin Centerdie Option Geräte aus. Sie haben folgende Optionen:

Screenshot, der zeigt, wie Sie Geräte auswählen, um zu sehen, was Sie in Microsoft Intune konfigurieren und verwalten können.

  • Übersicht: Listen die status einiger Ihrer Profile und enthält weitere Details zu den Profilen, die Sie Benutzern und Geräten zugewiesen haben.

  • Überwachen: Listen alle Geräteüberwachungsberichte. Verwenden Sie diese Berichte, um Fehler bei der Zuweisung von Konfigurationsrichtlinien, unvollständige Benutzerregistrierungen, nicht kompatible Geräte, Updateinstallationsfehler und vieles mehr zu überprüfen.

  • Nach Plattform: Erweitern Sie diese Option, um eine Liste der unterstützten Plattformen wie Android und Linux abzurufen. Wenn Sie eine Plattform auswählen, können Sie Richtlinien und Profile für die von Ihnen ausgewählte Plattform erstellen und anzeigen.

    In dieser Ansicht werden möglicherweise auch plattformspezifische Features angezeigt. Klicken Sie zum Beispiel auf Windows. Es werden Windows-spezifische Features wie Skripts und Korrekturen und Gruppenrichtlinienanalysen angezeigt.

  • Geräte verwalten: Erweitern Sie diese Option, um die Richtlinien anzuzeigen, die Sie erstellen können, z. B. Konformitäts- und Konfigurationsrichtlinien.

Wenn Sie ein Profil erstellen (Geräte>verwalten Geräte>verwalten Konfiguration>Neue Richtlinieerstellen>), wählen Sie Ihre Plattform aus:

  • Android-Geräteadministrator
  • Android (AOSP)
  • Android für Unternehmen
  • iOS/iPadOS
  • macOS
  • Windows 10 und höher
  • Windows 8.1 und höher

Wählen Sie dann Ihren Profiltyp aus. Je nach ausgewählter Plattform unterscheiden sich die Profiltypen. In den folgenden Artikeln werden die verschiedenen Profile beschrieben:

Wenn Sie z. B. Windows für die Plattform auswählen, sehen Ihre Optionen in etwa wie das folgende Profil aus:

Screenshot, der zeigt, wie eine Windows-Gerätekonfigurationsrichtlinie und ein Profil in Microsoft Intune erstellt werden.

Bereichstags

Nachdem Sie die Einstellungen hinzugefügt haben, können Sie dem Profil ebenfalls einen Bereichstag hinzufügen. Bereichstags filtern Profile für bestimmte IT-Gruppen, z. B. US-NC IT Team oder JohnGlenn_ITDepartment. Außerdem werden sie bei verteilter IT verwendet.

Weitere Informationen zu Bereichskategorien und den Möglichkeiten, die Sie ergreifen können, finden Sie unter Verwenden von RBAC und Bereichkategorien für verteilte IT.

Anwendbarkeitsregeln

Gilt für:

  • Windows

Anwendbarkeitsregeln ermöglichen es Administratoren, Geräte in einer Gruppe als Ziel zu verwenden, die bestimmte Kriterien erfüllt. Beispielsweise erstellen Sie ein Geräteeinschränkungsprofil, das für die Gruppe Alle Windows-Geräte gilt. Außerdem soll das Profil nur Geräten zugewiesen werden, auf denen Windows Enterprise ausgeführt wird.

Hierfür erstellen Sie eine Anwendbarkeitsregel. Diese Regeln eignen sich hervorragend für folgende Szenarien:

  • Bei Bellows College möchten Sie alle Windows-Geräte mit Windows 11 Version 24H2 als Ziel verwenden.
  • Sie möchten alle Benutzer in der Personalabteilung bei Contoso ansprechen, aber nur Windows Professional- oder Enterprise-Geräte.

Gehen Sie für diese Szenarien folgendermaßen vor:

  • Erstellen Sie eine Gerätegruppe, die alle Geräte im Bellows College enthält. Fügen Sie im Profil eine Anwendbarkeitsregel hinzu, die angewendet wird, wenn die Mindestversion des Betriebssystems 10.0.26100 und die Höchstversion 10.0.26200 lautet. Weisen Sie dieses Profil der Gerätegruppe im Bellows College zu.

    Wenn das Profil zugewiesen wird, gilt es für Geräte zwischen der von Ihnen eingegebenen Mindest- und Höchstversion. Bei Geräten, deren Betriebssystemversion zwischen der von Ihnen angegebenen Mindest- und Höchstversion liegt, wird der Status Nicht zutreffend angezeigt.

  • Erstellen Sie eine Benutzergruppe, die alle Benutzer in der Personalabteilung bei Contoso umfasst. Fügen Sie im Profil eine Anwendbarkeitsregel hinzu, die für Geräte gilt, auf denen Windows Professional oder Enterprise ausgeführt wird. Weisen Sie dieses Profil der Benutzergruppe in der Personalabteilung zu.

    Wenn das Profil zugewiesen ist, gilt es für Geräte, auf denen Windows Professional oder Enterprise ausgeführt wird. Bei Geräten, auf denen diese Editionen nicht ausgeführt werden, wird der Status Nicht zutreffend angezeigt.

  • Wenn zwei Profile mit exakt den gleichen Einstellungen vorhanden sind, wird das Profil angewendet, das keine Anwendbarkeitsregel enthält.

    ProfileA ist beispielsweise auf die Windows-Gerätegruppe ausgerichtet, aktiviert BitLocker und verfügt nicht über eine Anwendbarkeitsregel. ProfileB zielt auf dieselbe Windows-Gerätegruppe ab, aktiviert BitLocker und verfügt über eine Anwendbarkeitsregel, um das Profil nur auf die Windows Enterprise Edition anzuwenden.

    Wenn beide Profile zugewiesen werden, wird Profil A angewendet, weil es keine Anwendbarkeitsregel enthält.

Beim Zuweisen von Profilen zu Gruppen fungieren die Anwendbarkeitsregeln als Filter, sodass nur die Geräte einbezogen werden, die Ihre Kriterien erfüllen.

Hinzufügen einer Regel

Führen Sie die folgenden Schritte aus, um eine Anwendbarkeitsregel zu erstellen.

  1. Wählen Sie in Ihrer Richtlinie Anwendbarkeitsregeln aus. Sie können die Regel und Eigenschaft auswählen:

    Screenshot: Hinzufügen einer Anwendbarkeitsregel zu einem Windows-Gerätekonfigurationsprofil in Microsoft Intune

  2. Wählen Sie unter Regel aus, ob Sie Benutzer oder Gruppen ein- oder ausschließen möchten. Ihre Optionen:

    • Profil zuweisen, wenn: Schließt Benutzer oder Gruppen ein, die die von Ihnen angegebenen Kriterien erfüllen.
    • Kein Profil zuweisen, wenn: Schließt Benutzer oder Gruppen aus, die die von Ihnen angegebenen Kriterien erfüllen.

  3. Wählen Sie unter Eigenschaft den gewünschten Filter aus. Ihre Optionen:

    • Betriebssystemedition: Überprüfen Sie in der Liste die Windows-Clienteditionen, die Sie in Ihre Regel aufnehmen (oder ausschließen) möchten.

    • Betriebssystemversion: Geben Sie die min. und max. Windows-Clientversionsnummern ein, die Sie in Ihre Regel einschließen (oder ausschließen) möchten. Beide Werte sind erforderlich.

      Sie können z. B. 10.0.16299.0 (RS3 oder 1709) als Mindestversion und 10.0.17134.0 (RS4 oder 1803) als höchste zulässige Version eingeben. Sie können die Werte auch genauer definieren und 10.0.16299.001 als Mindestversion und 10.0.17134.319 als höchste zulässige Version eingeben.

      Weitere Versionsnummern finden Sie unter Informationen über Windows-Clientreleases.

  4. Klicken Sie auf Hinzufügen, um die Änderungen zu speichern.

Zykluszeiten für die Richtlinienaktualisierung

Intune verwendet verschiedene Aktualisierungszyklen zur Suche nach Updates für Konfigurationsprofile. Wenn ein Gerät vor Kurzem registriert wurde, wird der Check-In häufiger durchgeführt. Unter Richtlinien- und Profilaktualisierungszyklen werden die geschätzten Aktualisierungszeiten aufgeführt.

Benutzer können jederzeit die Unternehmensportal-App öffnen und das Gerät synchronisieren, um sofort zu prüfen, ob neue Profilupdates verfügbar sind.

Empfehlungen

Erstellen Sie Profile unter Berücksichtigung folgender Empfehlungen:

  • Benennen Sie Ihre Richtlinien, damit Sie wissen, wofür diese vorgesehen sind. Alle Konformitätsrichtlinien und Konfigurationsprofile verfügen über eine optionale Eigenschaft namens Beschreibung. Sie sollten in der Beschreibung spezifisch sein und Informationen angeben, damit andere Benutzer wissen, wofür die Richtlinie vorgesehen ist.

    Einige Beispiele für Konfigurationsprofile sind:

    Profilname: OneDrive-Konfigurationsprofil für alle Windows-Benutzer
    Profilbeschreibung: OneDrive-Profil, das die Mindest- und Basiseinstellungen für alle Windows-Benutzer enthält. Erstellt von user@contoso.com, um zu verhindern, dass Benutzer Organisationsdaten für persönliche OneDrive-Konten freigeben.

    Profilname: VPN-Profil für alle iOS/iPadOS-Benutzer
    Profilbeschreibung: VPN-Profil, das die Mindest- und Basiseinstellungen für alle iOS/iPadOS-Benutzer enthält, um eine Verbindung mit Contoso-VPN zu erstellen. Erstellt von user@contoso.com, sodass sich Benutzer automatisch bei VPN authentifizieren, anstatt Benutzer zur Eingabe ihres Benutzernamens und Kennworts aufzufordern.

  • Erstellen Sie Ihr Profil anhand seiner Aufgabe, z. B. dem Konfigurieren von Microsoft Edge-Einstellungen, dem Aktivieren von Microsoft Defender-Antivireneinstellungen oder dem Blockieren von iOS/iPadOS-Geräten mit Jailbreak.

  • Erstellen Sie Profile, die für bestimmte Gruppen wie Marketing, Vertrieb, IT oder Administratoren gelten, oder nach Standort oder Schulsystem. Verwenden Sie die integrierten Features, einschließlich:

  • Trennen Sie Benutzerrichtlinien von Geräterichtlinien.

    Der Intune-Einstellungskatalog enthält beispielsweise Tausende von Einstellungen. Diese Einstellungen zeigen an, ob eine Einstellung für Benutzer oder Geräte gilt. Weisen Sie beim Erstellen der Richtlinie Ihre Benutzereinstellungen einer Benutzergruppe zu, und weisen Sie Ihre Geräteeinstellungen einer Gerätegruppe zu.

    Die folgende Abbildung zeigt ein Beispiel für einige Einstellungen, die für Benutzer gelten, für Geräte oder für beides gelten können:

    Screenshot, der eine Intune-Administratorvorlage zeigt, die für Benutzer und Geräte in Microsoft Intune gilt.

  • Verwenden Sie Microsoft Copilot in Intune, um Ihre Richtlinien auszuwerten, mehr über eine Richtlinieneinstellung & deren Auswirkungen auf Ihre Benutzer & Sicherheit zu erfahren und Richtlinien zwischen zwei Geräten zu vergleichen.

    Weitere Informationen finden Sie unter Microsoft Copilot in Intune.

  • Jedes Mal, wenn Sie eine einschränkende Richtlinie erstellen, sollten Sie diese Änderung Ihren Benutzern mitteilen. Wenn Sie z. B. die Passcodeanforderung von vier (4) auf sechs (6) Zeichen ändern, informieren Sie Ihre Benutzer, bevor Sie die Richtlinie zuweisen.

Verwandte Inhalte