Microsoft Intune

Version 1.1 by Dimitri Rupp on 2026/06/11 11:00
Warning
For security reasons, the document is displayed in restricted mode as it is not the current version. There may be differences and errors due to this.

Allgemeines:

Verwaltet wird Intune über die M365 Console und dort den Enpoint Manager auswählen.

Aktuell werden Android Geräte, IOs Geräte und Windows 10 Geräte mit Intune verwaltet. Damit ein Gerät in Intune aufgenommen werden kann müssen bestimme Bedinungen erfüllt sein.

- Passende OU (Alles unter 01_Office)

- Notebooks müssen in der Domain sein und mit einem User angemeldet werden

- Passende M365 Lizenz beim User (Basic + EMS, Standard + EMS oder Premium)

- Mitglied der passenden EPM Gruppe (EPM Productive für alle, für Smartphone EPM_Android oder EPM_IOs zusätzlich)

- Alle Geräte müssen der Compliance Richtlinie entsprechen (Up2date, kein Jailbreak etc.)

- Es muss beim Benutzer MFA über Office365 deaktiviert werden (wird in Intune wieder aktiviert)

EPM Gruppen:

Folgende EPM Gruppen für folgenden zweck gibt es aktuell (Stand 5.12.2023):

EPM_TestingTestgruppe für Intune
EPM_Test_extended_friendlyEtwas erweiterte Testgruppe mit Personen welcher der IT eher gut gesonnen sind 🙃
EPM_WinHelloMitglieder dieser Gruppe bekommen WinHello freigeschalten (Funktioniert aktuell nicht, Stand 14.12.2021)
EPM_M365Apps

Dynamische Gruppe, dieser sind die Office 365 Apps zur Installation zugewiesen welche eine Premium oder Standard

Office Lizenz besitzen

EPM_LAPSIn dieser Gruppe muss ein Benutzer sein, das auf dem eigenen Gerät der LAPSUser angelegt wird.
(Configuration Policie CP_create-LAPSAdmin)
Zusätzlich liegt aktuell die Confuguration Policy User_LAPS_Long auf der Gruppe, welche eine 14 Tägige Passwort Rotation hat und nicht nach der Verwendung abrennt.
EPM_Allow_CMD_PSWer in dieser Gruppe ist darf wieder CMD, Regedit und Powershell ausführen
(Configuration Policy:CP_Disable CMD/Powershell für nonAdmins)
EPM_CrowdstrikeWer in dieser Gruppe ist, bekommt den Crowdstrike installiert.
(App: FalconSensor)
EPM_Productive

Gruppe für alle Benutzer die Bereits mit Intune ausgerollt wurden

EPM_UsersDynamische Gruppe für alle User mit Intune Lizenz
EPM_Android_PersonalDieser Gruppe sind alle Android Apps und Configuration Policies zugeordnet, welche Android for Work nutzen
(Configuration Policy: Android_DeviceRestriction_forwork)
EPM_Android_Enterprise

Dieser Gruppe sind alle Android Apps und Configuration Policies zugeordnet, welche Android Enterprise nutzen

(Configuration Policy: Android_DeviceRestriction_Enterprise)

EPM_Whatsapp_allow

Diese Gruppe erlaubt die Installation und Nutzung von Whatsapp im Arbeitsbereich

(App: WhatsApp Messenger)

EPM_Win10

Dieser Gruppe sind alle Win10 Apps zugeordnet

EPM_iOs_Apps

Dieser Gruppe sind alle IOs Apps zugewiesen.
EPM_Win10_DeviceDynamische Gruppe für alle Windows 10 Geräte
EPM_Update_PilotDiese Gruppe ist Pilotgruppe für Microsoft Updates und bekommt diese als erstes
(Update Ring:Update_Pilot)
EPM_Update_Users

Diese Gruppe bekommen Microsoft Updates erst 7 Tage nach release Angeboten

(Update Ring: Update_user)

EPM_UAC_Disable_SwitchSecureDesktopPersonen in dieser Gruppe können den Copy Lock in der UAC umgehen und so Passwörter durch die UAC kopieren
(Configuration Policy: SEC_UAC_Disable_SwitchSecureDesktop)
EPM_Universal_PrintWer in dieser Gruppe ist kann Universalprint nutzen, und findet auch alle als Universal Print angelegten Drucker. (ist derzeit auf EIs gelegt, hat nicht gut funktioniert)
(Configuration Policy: User Universal Print policy)
EPM_DMA_activatedWürde DMA + Kernisolierung aktivieren, was jedoch nicht geht solange wir keine Enterprise Lizenzen haben
(Script: DMA_aktivieren)
EPM_Business_BasicAlle User mit Basic Lizenz. Muss per Hand gefüllt werden. Auf diese Gruppe greift eine MFA aktivierung.
EPM_AllowAdminrightsWer in dieser Gruppe ist, bekommt die Möglichkeit Dateien mit erhöhten Rechten aus zu führen. Außerdem ist die Gruppe mit den Intune EPM Lizenzen verknüpft.
(Configuration Policy: User_AllowAllAdminRequests)
EPM_AllowAfterApprovalWer in dieser Gruppe ist, kann Programme mit erhöhten Rechten ausführen nachdem ein Admin die Anfrage bestätigt hat.
(Configuration Policy: User_AllowwithAdminApproval)
EPM_electrify_screensaferPersonen in dieser Gruppe bekommen den Electrify Bildschirmschoner
(Configuration Policy: User_Screensaver_Electrify + APP: Electrify Screensaver)
EPM_SPL_ScreensaverDiese Grupp beinhaltet alle Mitglieder von EPM_Productive, und exkludiert die Personen aus der EPM_electrify
(Configuration Policy: User_Screensaver_SPL + APP:  SPL Screensaver)
EPM_always_MFAPersonen in dieser Gruppe müssen immer MFA machen.
EPM_Field_TechnicianGruppe für Field Techniker für spezielle Apps
EPM_block_unmanaged_phoneWer in dieser Gruppe ist kann kein Privathandy mehr für SPL Anwendungen nutzen
(Conditional Access: CA018 - BLOCK_Office_UnmanagedSmartPhone)
EPM_Conditional_Access_Collaboration_ToolsPersonen in dieser Gruppe können die SPL Anwendungen nur noch auf Firmengeräten nutzen
(Conditional Access: CA017 - ALLOW_CollabTools_hybridDevice)
EPM_Android_APK_allow_PersonalWer in dieser Gruppe ist, darf Googleplay fremde APKs am Handy installieren (Fusion Solar, Huawai App etc.), wenn diese ein For Work Profile haben.
(Configuration Policy: Android_Device_Restrictions_forwork_APK_Allow)
EPM_Android_APK_allow_EnterpriseWer in dieser Gruppe ist, darf Googleplay fremde APKs am Handy installieren (Fusion Solar, Huawai App etc.), wenn diese ein Enterprise Profile haben.
(Configuration Policy: Android_Device_Restrictions_Enterprise_APK_Allow)
EPM_IoT_SupportGruppe für Apps die nur Personen von Connectify oder Personen die mit ihnen zusammenarbeiten bekommen
EPM_ASR_noFileblockWer in dieser Gruppe ist bekommt ein "mildere" ASR Rule. Potentill unsichere Apps werden beim Ausfhren geblockt und der User wird gefragt ob er die Anwendung zulassen will. Kann somit die Anwendung selber Whitelisten. 
(Aktuell keine Funktion, da diese nur bei Defender for Endpoint funktioniert)
EPM_Deny_disable_local_FW_MergePersonen in dieser Gruppe können wieder eigene Firewallregeln am Client definieren
(Configuration Policy: SEC_disable_local_FW_Merge)

1642576729932-953.png

Configuration Policies:

Es gibt etliche configuration Policies. Die meißten wurden nach den Microsoft recommandations aus dem Security Center angelegt. Klickt man eine an kann man bei Descriptions die Details sehen wofür diese da ist. 

Zusätzlich gibt es allgemeine Configuration Policies welches jedes Endgerät bei der SPL bekommt:

- Android_Device_Restriction

- Android_Device_Restriction_APK_Allow  (1:1 die normale Configuration Policy, mit dem einzigen unterschied das hier APKs Installieren erlaubt ist)

- Win10_Device_Restrictions

In diesen werden die Grundlegenden Settings der Geräte definiert.

Compliance Policies:

Außerdem gibt es 4 Compliance Policies welche die in der Configuration Policy eingestellten Settings abfragt und ein Gerät dementsprechend als Compliant oder NonCompliant einstuft. Auch hier gibt es 3 Policies für die 3 unterschiedlichen bei SPL eingesetzten Endgeräte. Sowie eine extra Richtlinie für Android wenn diese Full Managed installiert werden.

Android, iOS, Win10

In diesem Bereich


Verwandte Themen

Kuratiert — kann direkt im Editor ergänzt werden://

Failed to execute the [velocity] macro. Cause: [The execution of the [velocity] script macro is not allowed in [xwiki:IT-Wiki.Makros.Verwandte-Themen.WebHome]. Check the rights of its last author or the parameters if it's rendered from another script.]. Click on this message for details.


Status: Migriert — Team-Review ausstehend · Owner: (festlegen) · Letzter Review: 2026-06-11