Wiki source code of Microsoft Intune
Version 2.1 by Dimitri Rupp on 2026/06/11 11:00
Show last authors
| author | version | line-number | content |
|---|---|---|---|
| 1 | === Allgemeines: === | ||
| 2 | |||
| 3 | |||
| 4 | Verwaltet wird Intune über die M365 Console und dort den Enpoint Manager auswählen. | ||
| 5 | |||
| 6 | |||
| 7 | Aktuell werden Android Geräte, IOs Geräte und Windows 10 Geräte mit Intune verwaltet. Damit ein Gerät in Intune aufgenommen werden kann müssen bestimme Bedinungen erfüllt sein. | ||
| 8 | |||
| 9 | - Passende OU (Alles unter 01_Office) | ||
| 10 | |||
| 11 | - Notebooks müssen in der Domain sein und mit einem User angemeldet werden | ||
| 12 | |||
| 13 | - Passende M365 Lizenz beim User (Basic + EMS, Standard + EMS oder Premium) | ||
| 14 | |||
| 15 | - Mitglied der passenden EPM Gruppe (EPM Productive für alle, für Smartphone EPM_Android oder EPM_IOs zusätzlich) | ||
| 16 | |||
| 17 | - Alle Geräte müssen der Compliance Richtlinie entsprechen (Up2date, kein Jailbreak etc.) | ||
| 18 | |||
| 19 | - Es muss beim Benutzer MFA über Office365 deaktiviert werden (wird in Intune wieder aktiviert) | ||
| 20 | |||
| 21 | |||
| 22 | === EPM Gruppen: === | ||
| 23 | |||
| 24 | Folgende EPM Gruppen für folgenden zweck gibt es aktuell (Stand 5.12.2023): | ||
| 25 | |||
| 26 | |EPM_Testing|Testgruppe für Intune | ||
| 27 | |EPM_Test_extended_friendly|Etwas erweiterte Testgruppe mit Personen welcher der IT eher gut gesonnen sind 🙃 | ||
| 28 | |EPM_WinHello|Mitglieder dieser Gruppe bekommen WinHello freigeschalten (Funktioniert aktuell nicht, Stand 14.12.2021) | ||
| 29 | |EPM_M365Apps|((( | ||
| 30 | Dynamische Gruppe, dieser sind die Office 365 Apps zur Installation zugewiesen welche eine Premium oder Standard | ||
| 31 | |||
| 32 | Office Lizenz besitzen | ||
| 33 | ))) | ||
| 34 | |EPM_LAPS|In dieser Gruppe muss ein Benutzer sein, das auf dem eigenen Gerät der LAPSUser angelegt wird. | ||
| 35 | (Configuration Policie [[CP_create-LAPSAdmin>>url:https://intune.microsoft.com/#blade/Microsoft_Intune_DeviceSettings/PolicySummaryReportBlade/policyId/f7b0f610-7cc2-4749-a1e6-67073dd60713/policyName/CP_create-LAPSAdmin/policyJourneyState/0/policyType/74/isAssigned/true]]) | ||
| 36 | Zusätzlich liegt aktuell die Confuguration Policy User_LAPS_Long auf der Gruppe, welche eine 14 Tägige Passwort Rotation hat und nicht nach der Verwendung abrennt. | ||
| 37 | |EPM_Allow_CMD_PS|Wer in dieser Gruppe ist darf wieder CMD, Regedit und Powershell ausführen | ||
| 38 | (Configuration Policy:[[CP_Disable CMD/Powershell für nonAdmins>>url:https://intune.microsoft.com/#blade/Microsoft_Intune_Workflows/PolicySummaryBlade/policyId/c1f4a6fd-0064-44e4-8abb-9fdc7a76a4c5/isAssigned/true/technology/mdm/templateId//platformName/windows10]](% style="background-color:transparent" %)) | ||
| 39 | |EPM_Crowdstrike|Wer in dieser Gruppe ist, bekommt den Crowdstrike installiert. | ||
| 40 | (App: [[FalconSensor>>url:https://intune.microsoft.com/#blade/Microsoft_Intune_Apps/SettingsMenu/appId/78e998ab-ed48-48cb-bfe1-e5253c859198]](% style="background-color:transparent" %)) | ||
| 41 | |EPM_Productive|((( | ||
| 42 | Gruppe für alle Benutzer die Bereits mit Intune ausgerollt wurden | ||
| 43 | ))) | ||
| 44 | |EPM_Users|Dynamische Gruppe für alle User mit Intune Lizenz | ||
| 45 | |EPM_Android_Personal|Dieser Gruppe sind alle Android Apps und Configuration Policies zugeordnet, welche Android for Work nutzen | ||
| 46 | (Configuration Policy: [[Android_DeviceRestriction_forwork>>url:https://intune.microsoft.com/#blade/Microsoft_Intune_DeviceSettings/PolicySummaryReportBlade/policyId/5c8c6c37-8f56-4d20-970e-98be6318f2e9/policyName/Android_DeviceRestriction_forwork/policyJourneyState/0/policyType/13/isAssigned/true]]) | ||
| 47 | |EPM_Android_Enterprise|((( | ||
| 48 | Dieser Gruppe sind alle Android Apps und Configuration Policies zugeordnet, welche Android Enterprise nutzen | ||
| 49 | |||
| 50 | (Configuration Policy: [[Android_DeviceRestriction_Enterprise>>url:https://intune.microsoft.com/#blade/Microsoft_Intune_DeviceSettings/PolicySummaryReportBlade/policyId/ca322c60-0f63-4747-9495-931c56a2f7de/policyName/Android_DeviceRestriction_Enterprise/policyJourneyState/0/policyType/2/isAssigned/true]]) | ||
| 51 | ))) | ||
| 52 | |EPM_Whatsapp_allow|((( | ||
| 53 | Diese Gruppe erlaubt die Installation und Nutzung von Whatsapp im Arbeitsbereich | ||
| 54 | |||
| 55 | (App: [[WhatsApp Messenger>>url:https://intune.microsoft.com/#blade/Microsoft_Intune_Apps/SettingsMenu/appId/b9c4114b-2e9b-4d0b-96e4-57176374b6d5]]) | ||
| 56 | ))) | ||
| 57 | |EPM_Win10|((( | ||
| 58 | Dieser Gruppe sind alle Win10 Apps zugeordnet | ||
| 59 | ))) | ||
| 60 | |((( | ||
| 61 | EPM_iOs_Apps | ||
| 62 | )))|Dieser Gruppe sind alle IOs Apps zugewiesen. | ||
| 63 | |EPM_Win10_Device|Dynamische Gruppe für alle Windows 10 Geräte | ||
| 64 | |EPM_Update_Pilot|Diese Gruppe ist Pilotgruppe für Microsoft Updates und bekommt diese als erstes | ||
| 65 | (Update Ring:Update_Pilot) | ||
| 66 | |EPM_Update_Users|((( | ||
| 67 | Diese Gruppe bekommen Microsoft Updates erst 7 Tage nach release Angeboten | ||
| 68 | |||
| 69 | (Update Ring: Update_user) | ||
| 70 | ))) | ||
| 71 | |EPM_UAC_Disable_SwitchSecureDesktop|Personen in dieser Gruppe können den Copy Lock in der UAC umgehen und so Passwörter durch die UAC kopieren | ||
| 72 | (Configuration Policy: [[SEC_UAC_Disable_SwitchSecureDesktop>>url:https://intune.microsoft.com/#blade/Microsoft_Intune_Workflows/PolicySummaryBlade/policyId/1169f17a-2bc0-461a-b677-5ebb3a41494d/isAssigned/true/technology/mdm/templateId//platformName/windows10]]) | ||
| 73 | |EPM_Universal_Print|Wer in dieser Gruppe ist kann Universalprint nutzen, und findet auch alle als Universal Print angelegten Drucker. (ist derzeit auf EIs gelegt, hat nicht gut funktioniert) | ||
| 74 | (Configuration Policy: [[User Universal Print policy>>url:https://intune.microsoft.com/#blade/Microsoft_Intune_Workflows/PolicySummaryBlade/policyId/db42189b-3023-4d55-b409-5f88e571b674/isAssigned/true/technology/mdm/templateId//platformName/windows10]]) | ||
| 75 | |EPM_DMA_activated|Würde DMA + Kernisolierung aktivieren, was jedoch nicht geht solange wir keine Enterprise Lizenzen haben | ||
| 76 | (Script: DMA_aktivieren) | ||
| 77 | |EPM_Business_Basic|Alle User mit Basic Lizenz. Muss per Hand gefüllt werden. Auf diese Gruppe greift eine MFA aktivierung. | ||
| 78 | |EPM_AllowAdminrights|Wer in dieser Gruppe ist, bekommt die Möglichkeit Dateien mit erhöhten Rechten aus zu führen. Außerdem ist die Gruppe mit den Intune EPM Lizenzen verknüpft. | ||
| 79 | (Configuration Policy: [[User_AllowAllAdminRequests>>url:https://intune.microsoft.com/#blade/Microsoft_Intune_Workflows/PolicySummaryBlade/policyId/0bf6dea4-33ec-461a-aa82-7f7f9ece6a38/isAssigned/true/technology/mdm%2CendpointPrivilegeManagement/templateId/e7dcaba4-959b-46ed-88f0-16ba39b14fd8_1/platformName/windows10]]) | ||
| 80 | |EPM_AllowAfterApproval|Wer in dieser Gruppe ist, kann Programme mit erhöhten Rechten ausführen nachdem ein Admin die Anfrage bestätigt hat. | ||
| 81 | (Configuration Policy: [[User_AllowwithAdminApproval>>url:https://intune.microsoft.com/#blade/Microsoft_Intune_Workflows/PolicySummaryBlade/policyId/f717fc3e-5b73-4e96-b145-6d844347e5e8/isAssigned/true/technology/mdm%2CendpointPrivilegeManagement/templateId/e7dcaba4-959b-46ed-88f0-16ba39b14fd8_1/platformName/windows10]]) | ||
| 82 | |EPM_electrify_screensafer|Personen in dieser Gruppe bekommen den Electrify Bildschirmschoner | ||
| 83 | (Configuration Policy: [[User_Screensaver_Electrify>>url:https://intune.microsoft.com/#blade/Microsoft_Intune_DeviceSettings/PolicySummaryReportBlade/policyId/00758ddf-6a15-4f92-83bb-9818c9d45e33/showReporting/true/policyType/71/isAssigned/true/policyJourneyState/7/policyName/User_Screensaver_Electrify]] + APP: [[Electrify Screensaver>>url:https://intune.microsoft.com/#blade/Microsoft_Intune_Apps/SettingsMenu/appId/02c61365-2053-457c-ad97-64627fbb9aec]]) | ||
| 84 | |EPM_SPL_Screensaver|Diese Grupp beinhaltet alle Mitglieder von EPM_Productive, und exkludiert die Personen aus der EPM_electrify | ||
| 85 | (Configuration Policy: [[User_Screensaver_SPL>>url:https://intune.microsoft.com/#blade/Microsoft_Intune_DeviceSettings/PolicySummaryReportBlade/policyId/a20f7744-7de1-4dce-a3ed-699edf8f28af/showReporting/true/policyType/71/isAssigned/true/policyJourneyState/7/policyName/User_Screensaver_SPL]] + APP: [[SPL Screensaver>>url:https://intune.microsoft.com/#blade/Microsoft_Intune_Apps/SettingsMenu/appId/a9869aa8-ebc3-4907-b70b-f1163ea407b1]](% style="background-color:transparent" %)) | ||
| 86 | |EPM_always_MFA|Personen in dieser Gruppe müssen immer MFA machen. | ||
| 87 | |EPM_Field_Technician|Gruppe für Field Techniker für spezielle Apps | ||
| 88 | |EPM_block_unmanaged_phone|Wer in dieser Gruppe ist kann kein Privathandy mehr für SPL Anwendungen nutzen | ||
| 89 | (Conditional Access: [[CA018 - BLOCK_Office_UnmanagedSmartPhone>>url:https://intune.microsoft.com/#blade/Microsoft_AAD_ConditionalAccess/PolicyBlade/policyId/e95dc839-41d4-4e27-8392-e8fa5276def2]]) | ||
| 90 | |EPM_Conditional_Access_Collaboration_Tools|Personen in dieser Gruppe können die SPL Anwendungen nur noch auf Firmengeräten nutzen | ||
| 91 | (Conditional Access: [[CA017 - ALLOW_CollabTools_hybridDevice>>url:https://intune.microsoft.com/#blade/Microsoft_AAD_ConditionalAccess/PolicyBlade/policyId/a2178573-3457-4203-8b6a-124e37e7540c]]) | ||
| 92 | |EPM_Android_APK_allow_Personal|Wer in dieser Gruppe ist, darf Googleplay fremde APKs am Handy installieren (Fusion Solar, Huawai App etc.), wenn diese ein For Work Profile haben. | ||
| 93 | (Configuration Policy: [[Android_Device_Restrictions_forwork_APK_Allow>>url:https://intune.microsoft.com/#blade/Microsoft_Intune_DeviceSettings/PolicySummaryReportBlade/policyId/9255eb5a-084a-4d83-a209-5a203f09adba/policyName/Android_Device_Restrictions_forwork_APK_Allow/policyJourneyState/0/policyType/13/isAssigned/true]](% style="background-color:transparent" %)) | ||
| 94 | |EPM_Android_APK_allow_Enterprise|Wer in dieser Gruppe ist, darf Googleplay fremde APKs am Handy installieren (Fusion Solar, Huawai App etc.), wenn diese ein Enterprise Profile haben. | ||
| 95 | (Configuration Policy: [[Android_Device_Restrictions_Enterprise_APK_Allow>>url:https://intune.microsoft.com/#blade/Microsoft_Intune_DeviceSettings/PolicySummaryReportBlade/policyId/de95c3f5-25a1-40ed-977b-fd2a7578d796/policyName/Android_Device_Restrictions_Enterprise_APK_Allow/policyJourneyState/0/policyType/2/isAssigned/true]](% style="background-color:transparent" %)) | ||
| 96 | |EPM_IoT_Support|Gruppe für Apps die nur Personen von Connectify oder Personen die mit ihnen zusammenarbeiten bekommen | ||
| 97 | |EPM_ASR_noFileblock|Wer in dieser Gruppe ist bekommt ein "mildere" ASR Rule. Potentill unsichere Apps werden beim Ausfhren geblockt und der User wird gefragt ob er die Anwendung zulassen will. Kann somit die Anwendung selber Whitelisten. | ||
| 98 | (Aktuell keine Funktion, da diese nur bei Defender for Endpoint funktioniert) | ||
| 99 | |EPM_Deny_disable_local_FW_Merge|Personen in dieser Gruppe können wieder eigene Firewallregeln am Client definieren | ||
| 100 | (Configuration Policy: [[SEC_disable_local_FW_Merge>>url:https://intune.microsoft.com/#blade/Microsoft_Intune_DeviceSettings/PolicySummaryReportBlade/policyId/85846899-927e-4ba0-8f8f-3e8fcf8734fd/policyName/SEC_disable_local_FW_Merge/policyJourneyState/0/policyType/77/isAssigned/true]]) | ||
| 101 | |||
| 102 | [[image:1642576729932-953.png]] | ||
| 103 | |||
| 104 | |||
| 105 | === Configuration Policies: === | ||
| 106 | |||
| 107 | Es gibt etliche configuration Policies. Die meißten wurden nach den Microsoft recommandations aus dem Security Center angelegt. Klickt man eine an kann man bei Descriptions die Details sehen wofür diese da ist. | ||
| 108 | |||
| 109 | Zusätzlich gibt es allgemeine Configuration Policies welches jedes Endgerät bei der SPL bekommt: | ||
| 110 | |||
| 111 | - Android_Device_Restriction | ||
| 112 | |||
| 113 | - Android_Device_Restriction_APK_Allow (1:1 die normale Configuration Policy, mit dem einzigen unterschied das hier APKs Installieren erlaubt ist) | ||
| 114 | |||
| 115 | - Win10_Device_Restrictions | ||
| 116 | |||
| 117 | In diesen werden die Grundlegenden Settings der Geräte definiert. | ||
| 118 | |||
| 119 | |||
| 120 | === Compliance Policies: === | ||
| 121 | |||
| 122 | Außerdem gibt es 4 Compliance Policies welche die in der Configuration Policy eingestellten Settings abfragt und ein Gerät dementsprechend als Compliant oder NonCompliant einstuft. Auch hier gibt es 3 Policies für die 3 unterschiedlichen bei SPL eingesetzten Endgeräte. Sowie eine extra Richtlinie für Android wenn diese Full Managed installiert werden. | ||
| 123 | |||
| 124 | Android, iOS, Win10 | ||
| 125 | |||
| 126 | = In diesem Bereich = | ||
| 127 | |||
| 128 | {{children/}} | ||
| 129 | |||
| 130 | ---- | ||
| 131 | |||
| 132 | == Verwandte Themen == | ||
| 133 | |||
| 134 | //Kuratiert — kann direkt im Editor ergänzt werden:// | ||
| 135 | |||
| 136 | * [[ABK (Ausschreibungssoftware)>>doc:IT-Wiki.02-Tools.ABK.WebHome]] | ||
| 137 | * [[Fuhrpark (Fleet Manager)>>doc:IT-Wiki.02-Tools.Fuhrpark.WebHome]] | ||
| 138 | * [[UiPath>>doc:IT-Wiki.02-Tools.UiPath.WebHome]] | ||
| 139 | |||
| 140 | {{include reference="IT-Wiki.Makros.Verwandte-Themen.WebHome"/}} | ||
| 141 | |||
| 142 | ---- | ||
| 143 | **Status:** Migriert — Team-Review ausstehend · **Owner:** //(festlegen)// · **Letzter Review:** 2026-06-11 |