Intune Windows Device Management Deep DiveIntune Windows Device Management Deep Dive
Referenz für Windows Autopilot, Enrollment, Konfigurationsprofile, Compliance, Endpoint Security, Skripte, Win32 Apps, Updates und Remote Actions.Reference for Windows Autopilot, enrollment, configuration profiles, compliance, endpoint security, scripts, Win32 apps, updates, and remote actions.
Microsoft Learn beschreibt Intune für Windows als Zusammenspiel von Autopilot, MDM, Compliance, Defender und Update-Services. Erfolgreiche Betriebsmodelle betrachten alle Schichten gemeinsam.Microsoft Learn describes Intune for Windows as the interplay of Autopilot, MDM, compliance, Defender, and update services. Successful operating models treat all layers together.
Windows Autopilot automatisiert die Erstbereitstellung über registrierte Geräteidentitäten und Deployment Profiles.Windows Autopilot automates first-time provisioning through registered device identities and deployment profiles.
Windows kann per automatischem MDM Enrollment, Co-Management, Bulk Enrollment oder Spezialpfaden wie Provisioning Packages eingebunden werden.Windows can be onboarded through automatic MDM enrollment, co-management, bulk enrollment, or specialized paths such as provisioning packages.
Intune-Konfigurationsprofile decken Settings Catalog, Vorlagen, ADMX-Import und Custom OMA-URI ab.Intune configuration profiles cover the settings catalog, templates, ADMX import, and custom OMA-URI.
Windows-Compliance bewertet Betriebssystem, Kennwort, BitLocker, Secure Boot, TPM, Defender, Firewall und weitere Sicherheitszustände.Windows compliance evaluates operating system, password, BitLocker, Secure Boot, TPM, Defender, firewall, and further security states.
Endpoint Security bündelt Antivirus, Disk Encryption, Firewall, EDR und Attack Surface Reduction in spezialisierten Intune-Profilen.Endpoint security bundles antivirus, disk encryption, firewall, EDR, and attack surface reduction in specialized Intune profiles.
PowerShell Scripts, detection scripts und Remediations automatisieren Windows-Konfiguration und Fehlerkorrektur in Intune.PowerShell scripts, detection scripts, and remediations automate Windows configuration and corrective actions in Intune.
Win32 Apps werden mit IntuneWinAppUtil paketiert und über Detection, Requirements, Dependencies und Return Codes gesteuert.Win32 apps are packaged with IntuneWinAppUtil and controlled through detection, requirements, dependencies, and return codes.
Update Rings, Feature Update Policies, Quality Update Policies, Driver Updates und Expedite Updates steuern den Windows-Updatelebenszyklus.Update rings, feature update policies, quality update policies, driver updates, and expedite updates control the Windows update lifecycle.
Remote Actions wie Wipe, Fresh Start, Autopilot Reset, Sync, Restart oder BitLocker Key Rotation helfen im operativen Incident- und Lifecycle-Management.Remote actions such as wipe, fresh start, Autopilot reset, sync, restart, or BitLocker key rotation help in operational incident and lifecycle management.
Windows Autopilot Deep DiveWindows Autopilot Deep Dive
Windows Autopilot automatisiert die Erstbereitstellung über registrierte Geräteidentitäten und Deployment Profiles.Windows Autopilot automates first-time provisioning through registered device identities and deployment profiles.
Registrierung erfolgt über OEM, Partner, manuelle Hardware Hashes oder CSV-Import. User-driven, self-deploying und pre-provisioned Szenarien decken unterschiedliche Betriebsmodelle ab.Registration occurs via OEM, partner, manual hardware hashes, or CSV import. User-driven, self-deploying, and pre-provisioned scenarios address different operating models.
Geräteregistrierung, ESP, Join-Profil und App-Zielzuweisung müssen vor der Auslieferung sauber funktionieren.Device registration, ESP, join profile, and app targeting must work before shipment.
| ThemaTopic | DetailsDetails |
|---|---|
| RegistrationRegistration | OEM, CSP, Partner oder manueller Hardware Hash importieren Geräte in den Autopilot-Dienst.OEM, CSP, partner, or manual hardware hash onboarding imports devices into the Autopilot service. |
| ProfilesProfiles | User-driven, self-deploying und pre-provisioned definieren den Bereitstellungsmodus.User-driven, self-deploying, and pre-provisioned define the deployment mode. |
| ESPESP | Enrollment Status Page steuert, welche Schritte vor Benutzeranmeldung abgeschlossen sein müssen.Enrollment Status Page controls which steps must complete before user sign-in. |
| Join ProfileJoin profile | Microsoft Entra Join oder Hybrid Join bestimmen den Zielzustand.Microsoft Entra join or hybrid join define the target state. |
| TroubleshootingTroubleshooting | Logs, TPM, Netzpfad, Profilzuordnung und Geräteidentität sind Kernpunkte.Logs, TPM, network path, profile assignment, and device identity are key troubleshooting areas. |
ImplementierungImplementation
- Voraussetzungen, Rollen und Abhängigkeiten für Windows Autopilot Deep Dive dokumentieren.Document prerequisites, roles, and dependencies for Windows Autopilot Deep Dive.
- Die Zielkonfiguration zuerst im Portal und parallel per PowerShell definieren.Define the target configuration in the portal first and mirror it with PowerShell.
- Mit Pilotbenutzern, Pilotwebsites oder Pilotgeräten testen, bevor die Produktion erweitert wird.Test with pilot users, pilot sites, or pilot devices before expanding to production.
- Logs, Benutzererfahrung und Rückfallplan validieren und die Betriebsdokumentation aktualisieren.Validate logs, user experience, and rollback options, then update the operational runbook.
Betrieb & HinweiseOperations & Notes
- Pflegen Sie Autopilot-Geräteinventar und Seriennummern zentral.Maintain central Autopilot device inventory and serial numbers.
- Pilotieren Sie Profile je Gerätetyp und Join-Modell.Pilot profiles per device type and join model.
- Halten Sie ESP nicht künstlich zu streng, wenn dies Produktivität blockiert.Do not make ESP unnecessarily strict if it blocks productivity.
- Dokumentieren Sie Reset-, Reuse- und Return-Prozesse für Geräte.Document reset, reuse, and return processes for devices.
PowerShellPowerShell
Get-AutopilotDevice -Top 10
Get-MgDeviceManagementWindowsAutopilotDeploymentProfileWindows Enrollment MethodsWindows Enrollment Methods
Windows kann per automatischem MDM Enrollment, Co-Management, Bulk Enrollment oder Spezialpfaden wie Provisioning Packages eingebunden werden.Windows can be onboarded through automatic MDM enrollment, co-management, bulk enrollment, or specialized paths such as provisioning packages.
MDM User Scope, Configuration Manager Co-Management, Enrollment Restrictions und BYOD-/Corporate-Szenarien bestimmen den Einschreibepfad.MDM user scope, Configuration Manager co-management, enrollment restrictions, and BYOD or corporate scenarios determine the enrollment path.
Ohne sauberen Enrollment-Pfad greifen Konfigurations-, Update- und Sicherheitsrichtlinien nur unvollständig.Without a clean enrollment path, configuration, update, and security policies apply only incompletely.
| ThemaTopic | DetailsDetails |
|---|---|
| Automatic EnrollmentAutomatic enrollment | MDM User Scope verbindet Entra Join mit automatischer Intune-Verwaltung.MDM user scope ties Entra join to automatic Intune management. |
| Co-managementCo-management | Configuration Manager und Intune teilen sich Workloads.Configuration Manager and Intune share workloads. |
| BulkBulk | Provisioning Packages helfen bei gemeinsam genutzten oder Offline-Szenarien.Provisioning packages help with shared or offline scenarios. |
| RestrictionsRestrictions | Enrollment Restrictions begrenzen Plattformen, Eigentümertypen und Gerätezahlen.Enrollment restrictions limit platforms, ownership types, and device counts. |
| PlanningPlanning | Corporate und BYOD benötigen unterschiedliche Benutzerkommunikation.Corporate and BYOD need different user communication. |
ImplementierungImplementation
- Voraussetzungen, Rollen und Abhängigkeiten für Windows Enrollment Methods dokumentieren.Document prerequisites, roles, and dependencies for Windows Enrollment Methods.
- Die Zielkonfiguration zuerst im Portal und parallel per PowerShell definieren.Define the target configuration in the portal first and mirror it with PowerShell.
- Mit Pilotbenutzern, Pilotwebsites oder Pilotgeräten testen, bevor die Produktion erweitert wird.Test with pilot users, pilot sites, or pilot devices before expanding to production.
- Logs, Benutzererfahrung und Rückfallplan validieren und die Betriebsdokumentation aktualisieren.Validate logs, user experience, and rollback options, then update the operational runbook.
Betrieb & HinweiseOperations & Notes
- Dokumentieren Sie, welche Enrollment-Pfade offiziell unterstützt werden.Document which enrollment paths are officially supported.
- Stimmen Sie Co-Management-Workload-Splits mit dem MECM-Team ab.Align co-management workload splits with the MECM team.
- Testen Sie Enrollment Restrictions mit Pilotgruppen und Gastkonten.Test enrollment restrictions with pilot groups and guest accounts.
- Berücksichtigen Sie Gerätebesitz und Licensing im Enrollment-Design.Consider device ownership and licensing in the enrollment design.
PowerShellPowerShell
Get-MgDeviceManagementDeviceEnrollmentConfiguration
Get-MgDeviceManagementManagedDeviceEnrollmentStatusConfiguration Profiles Deep DiveConfiguration Profiles Deep Dive
Intune-Konfigurationsprofile decken Settings Catalog, Vorlagen, ADMX-Import und Custom OMA-URI ab.Intune configuration profiles cover the settings catalog, templates, ADMX import, and custom OMA-URI.
Der Settings Catalog bietet tausende Windows-Einstellungen. Templates wie Device Restrictions, Wi-Fi, VPN, Email, PKCS, SCEP oder Edition Upgrade ergänzen das Modell um geführte Profile.The settings catalog offers thousands of Windows settings. Templates such as device restrictions, Wi-Fi, VPN, email, PKCS, SCEP, or edition upgrade complement the model with guided profiles.
Überlappende Profile erzeugen Konflikte und machen Support schwer. Standardisieren Sie Profile entlang von Personas und Gerätetypen.Overlapping profiles create conflicts and make support difficult. Standardize profiles by persona and device type.
| ThemaTopic | DetailsDetails |
|---|---|
| Settings CatalogSettings catalog | Umfassender Katalog für Windows-Konfiguration mit Such- und Kategoriefunktionen.Comprehensive catalog for Windows configuration with search and category functions. |
| TemplatesTemplates | Device Restrictions, Wi-Fi, VPN, Email, PKCS, SCEP und Edition Upgrade decken häufige Muster ab.Device restrictions, Wi-Fi, VPN, email, PKCS, SCEP, and edition upgrade cover common patterns. |
| ADMX ImportADMX import | Ermöglicht Verwaltung zusätzlicher Richtlinien über importierte ADMX-Definitionen.Enables management of extra policies through imported ADMX definitions. |
| Custom OMA-URICustom OMA-URI | Erweitert Intune für CSP-Pfade, die noch kein UI-Profil besitzen.Extends Intune for CSP paths that do not yet have a UI profile. |
| Conflict StrategyConflict strategy | Profile sollten nach Funktion und Zielgruppe getrennt entworfen werden.Profiles should be designed by function and target audience. |
ImplementierungImplementation
- Voraussetzungen, Rollen und Abhängigkeiten für Configuration Profiles Deep Dive dokumentieren.Document prerequisites, roles, and dependencies for Configuration Profiles Deep Dive.
- Die Zielkonfiguration zuerst im Portal und parallel per PowerShell definieren.Define the target configuration in the portal first and mirror it with PowerShell.
- Mit Pilotbenutzern, Pilotwebsites oder Pilotgeräten testen, bevor die Produktion erweitert wird.Test with pilot users, pilot sites, or pilot devices before expanding to production.
- Logs, Benutzererfahrung und Rückfallplan validieren und die Betriebsdokumentation aktualisieren.Validate logs, user experience, and rollback options, then update the operational runbook.
Betrieb & HinweiseOperations & Notes
- Bauen Sie Basisprofile, Sicherheitsprofile und Sonderprofile getrennt auf.Build baseline, security, and special-purpose profiles separately.
- Dokumentieren Sie Profile mit Zielgruppe, Owner und Änderungsverlauf.Document profiles with target audience, owner, and change history.
- Testen Sie OMA-URI-Profiles immer auf kleinen Piloten.Always test OMA-URI profiles on small pilots.
- Vermeiden Sie parallele GPO- und Intune-Steuerung derselben Einstellung ohne Plan.Avoid parallel GPO and Intune control of the same setting without a plan.
PowerShellPowerShell
Get-MgDeviceManagementDeviceConfiguration
Get-MgDeviceManagementConfigurationPolicyCompliance Policies Deep DiveCompliance Policies Deep Dive
Windows-Compliance bewertet Betriebssystem, Kennwort, BitLocker, Secure Boot, TPM, Defender, Firewall und weitere Sicherheitszustände.Windows compliance evaluates operating system, password, BitLocker, Secure Boot, TPM, Defender, firewall, and further security states.
Nichtkonformitätsaktionen können sofort oder zeitversetzt markieren, E-Mail senden, Remote Lock oder Retire auslösen. Compliance ist die zentrale Brücke zu Conditional Access.Noncompliance actions can mark instantly or after a delay, send email, remote lock, or retire. Compliance is the central bridge to conditional access.
Viele Entra Conditional Access Designs verlassen sich auf Intune Compliance als Gatekeeper für Produktivzugriff.Many Entra conditional access designs rely on Intune compliance as the gatekeeper for production access.
| ThemaTopic | DetailsDetails |
|---|---|
| OS VersionOS version | Min/Max-Versionen begrenzen unterstützte Windows-Builds.Minimum and maximum OS versions bound supported Windows builds. |
| PasswordPassword | Kennwort- und Sperrregeln sichern lokale Anmeldung ab.Password and lock requirements secure local sign-in. |
| BitLocker / TPM / Secure BootBitLocker / TPM / Secure Boot | Plattform- und Verschlüsselungsschutz gehören zu den häufigsten Checks.Platform and encryption protections are among the most common checks. |
| DefenderDefender | Antimalware, Echtzeitschutz, Signaturen und Firewall können bewertet werden.Antimalware, real-time protection, signatures, and firewall can be evaluated. |
| ActionsActions | Mark noncompliant, E-Mail, Remote Lock oder Retire definieren Reaktionen.Mark noncompliant, email, remote lock, or retire define the response path. |
ImplementierungImplementation
- Voraussetzungen, Rollen und Abhängigkeiten für Compliance Policies Deep Dive dokumentieren.Document prerequisites, roles, and dependencies for Compliance Policies Deep Dive.
- Die Zielkonfiguration zuerst im Portal und parallel per PowerShell definieren.Define the target configuration in the portal first and mirror it with PowerShell.
- Mit Pilotbenutzern, Pilotwebsites oder Pilotgeräten testen, bevor die Produktion erweitert wird.Test with pilot users, pilot sites, or pilot devices before expanding to production.
- Logs, Benutzererfahrung und Rückfallplan validieren und die Betriebsdokumentation aktualisieren.Validate logs, user experience, and rollback options, then update the operational runbook.
Betrieb & HinweiseOperations & Notes
- Halten Sie Compliance-Regeln mit CA-Policies synchron.Keep compliance rules aligned with CA policies.
- Kommunizieren Sie Nichtkonformitätsgründe für Endanwender verständlich.Communicate noncompliance reasons to end users in understandable language.
- Pilotieren Sie strengere Regeln zuerst in Audit-/Testgruppen.Pilot stricter rules in audit or test groups first.
- Dokumentieren Sie Ausnahmen für Spezialhardware nachvollziehbar.Document exceptions for special hardware clearly.
PowerShellPowerShell
Get-MgDeviceManagementDeviceCompliancePolicy
Get-MgDeviceManagementManagedDevice -Top 10Endpoint SecurityEndpoint Security
Endpoint Security bündelt Antivirus, Disk Encryption, Firewall, EDR und Attack Surface Reduction in spezialisierten Intune-Profilen.Endpoint security bundles antivirus, disk encryption, firewall, EDR, and attack surface reduction in specialized Intune profiles.
Microsoft Learn empfiehlt für ASR zunächst Audit Mode und danach Block Mode. Die folgende Tabelle fasst 16 zentrale ASR-Regeln mit GUID und Einsatzhinweis zusammen.Microsoft Learn recommends starting ASR in audit mode before moving to block mode. The following table summarizes 16 core ASR rules with GUID and usage guidance.
ASR-Regeln können legitime Workflows beeinflussen. Pilotieren Sie daher mit Audit Mode, Ausnahmen und dokumentierten Geschäftsprozessen.ASR rules can affect legitimate workflows. Pilot with audit mode, exclusions, and documented business processes.
| ThemaTopic | DetailsDetails |
|---|---|
| Vulnerable signed driversVulnerable signed drivers | GUID 56a863a9-875e-4185-98a7-b882c64b5ce5; Audit/Block für unsichere signierte Treiber.GUID 56a863a9-875e-4185-98a7-b882c64b5ce5; audit or block vulnerable signed drivers. |
| Credential stealing from LSASSCredential stealing from LSASS | GUID 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2; startet oft direkt in Block statt Warn.GUID 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2; often goes directly to block instead of warn. |
| WMI event subscription persistenceWMI event subscription persistence | GUID e6db77e5-3df2-4cf1-b95a-636979351e5b; verhindert Persistenz über WMI.GUID e6db77e5-3df2-4cf1-b95a-636979351e5b; blocks persistence through WMI. |
| Adobe child processesAdobe child processes | GUID 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c; blockiert Kindprozesse aus Adobe Reader.GUID 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c; blocks child processes from Adobe Reader. |
| Office child processesOffice child processes | GUID d4f940ab-401b-4efc-aadc-ad5f3c50688a; klassischer Makro-Schutz.GUID d4f940ab-401b-4efc-aadc-ad5f3c50688a; classic macro protection. |
| Executable from email/webmailExecutable from email/webmail | GUID be9ba2d9-53ea-4cdc-84e5-9b1eeee46550; Audit/Block für Mail- und Webmail-Anhänge.GUID be9ba2d9-53ea-4cdc-84e5-9b1eeee46550; audit or block executable content from mail and webmail. |
| Prevalence age trusted listPrevalence age trusted list | GUID 01443614-cd74-433a-b99e-2ecdc07bfc25; blockiert unbekannte Executables nach Reputation.GUID 01443614-cd74-433a-b99e-2ecdc07bfc25; blocks unknown executables by reputation. |
| Obfuscated scriptsObfuscated scripts | GUID 5beb7efe-fd9a-4556-801d-275e5ffc04cc; ideal zuerst im Audit Mode.GUID 5beb7efe-fd9a-4556-801d-275e5ffc04cc; ideal to start in audit mode. |
| JS/VBS downloaded executableJS/VBS downloaded executable | GUID d3e037e1-3eb8-44c8-a917-57927947596d; verhindert Download-Launcher.GUID d3e037e1-3eb8-44c8-a917-57927947596d; blocks script-based download launchers. |
| Office executable contentOffice executable content | GUID 3b576869-a4ec-4529-8536-b80a7769e899; verhindert ausführbare Inhalte aus Office.GUID 3b576869-a4ec-4529-8536-b80a7769e899; blocks executable content created by Office. |
| Office inject codeOffice inject code | GUID 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84; keine Warnstufe, meist Audit/Block mit Pilot.GUID 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84; no warn mode, typically pilot with audit or block logic. |
| Win32 API from Office macrosWin32 API from Office macros | GUID 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b; blockiert API-Missbrauch aus Makros.GUID 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b; blocks Win32 API abuse from macros. |
| Office communication child processesOffice communication child processes | GUID 26190899-1602-49e8-8b27-eb1d0a1ce869; schützt Outlook/Kommunikations-Apps.GUID 26190899-1602-49e8-8b27-eb1d0a1ce869; protects Outlook and communication apps. |
| PSExec and WMI process creationPSExec and WMI process creation | GUID d1e49aac-8f56-4280-b9ba-993a6d77406c; relevant gegen lateral movement.GUID d1e49aac-8f56-4280-b9ba-993a6d77406c; important against lateral movement. |
| Unsigned USB processesUnsigned USB processes | GUID b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4; reduziert USB-basierte Codeausführung.GUID b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4; reduces USB-based code execution. |
| Advanced protection against ransomwareAdvanced protection against ransomware | GUID c1db55ab-c21a-4637-bb3f-a12568109d35; Audit/Block je nach Geschäftsrisiko.GUID c1db55ab-c21a-4637-bb3f-a12568109d35; use audit or block based on business risk. |
ImplementierungImplementation
- Voraussetzungen, Rollen und Abhängigkeiten für Endpoint Security dokumentieren.Document prerequisites, roles, and dependencies for Endpoint Security.
- Die Zielkonfiguration zuerst im Portal und parallel per PowerShell definieren.Define the target configuration in the portal first and mirror it with PowerShell.
- Mit Pilotbenutzern, Pilotwebsites oder Pilotgeräten testen, bevor die Produktion erweitert wird.Test with pilot users, pilot sites, or pilot devices before expanding to production.
- Logs, Benutzererfahrung und Rückfallplan validieren und die Betriebsdokumentation aktualisieren.Validate logs, user experience, and rollback options, then update the operational runbook.
Betrieb & HinweiseOperations & Notes
- Trennen Sie Antivirus-, Firewall-, BitLocker- und ASR-Rollout zeitlich, um Fehlerquellen zu isolieren.Separate antivirus, firewall, BitLocker, and ASR rollout waves to isolate problems.
- Bewerten Sie EDR-Onboarding und Defender for Endpoint Lizenzen vor dem Produktivstart.Review EDR onboarding and Defender for Endpoint licensing before go-live.
- Dokumentieren Sie Ausschlüsse und Begründungen für ASR-Ausnahmen.Document exclusions and business justifications for ASR exceptions.
- Nutzen Sie Audit-Daten, bevor Sie Block global erzwingen.Use audit data before enforcing block globally.
PowerShellPowerShell
Get-MgDeviceManagementIntent
Get-MgDeviceManagementConfigurationPolicy
Set-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions AuditModePowerShell ScriptsPowerShell Scripts
PowerShell Scripts, detection scripts und Remediations automatisieren Windows-Konfiguration und Fehlerkorrektur in Intune.PowerShell scripts, detection scripts, and remediations automate Windows configuration and corrective actions in Intune.
Wichtig sind Kontext (User/System), Häufigkeit, Idempotenz und Protokollierung. Remediations kombinieren Detection und Fixing.Context (user or system), frequency, idempotence, and logging are important. Remediations combine detection and fixing.
Ein Skript ist ein Produktivartefakt. Versionskontrolle, Test, Rollback und Logging sind Pflicht.A script is a production artifact. Version control, testing, rollback, and logging are mandatory.
| ThemaTopic | DetailsDetails |
|---|---|
| Run ContextRun context | User- oder Systemkontext je nach Aufgabe.User or system context depending on the task. |
| FrequencyFrequency | Einmalig, wiederkehrend oder triggerbasiert bei Remediations.One-time, recurring, or remediation-triggered. |
| DetectionDetection | Ermittelt den Zielzustand und liefert klaren Exit Code.Determines desired state and returns a clear exit code. |
| RemediationRemediation | Korrigiert Abweichungen automatisch.Corrects deviations automatically. |
| GovernanceGovernance | Code Review und Signierung steigern Betriebssicherheit.Code review and signing improve operational safety. |
ImplementierungImplementation
- Voraussetzungen, Rollen und Abhängigkeiten für PowerShell Scripts dokumentieren.Document prerequisites, roles, and dependencies for PowerShell Scripts.
- Die Zielkonfiguration zuerst im Portal und parallel per PowerShell definieren.Define the target configuration in the portal first and mirror it with PowerShell.
- Mit Pilotbenutzern, Pilotwebsites oder Pilotgeräten testen, bevor die Produktion erweitert wird.Test with pilot users, pilot sites, or pilot devices before expanding to production.
- Logs, Benutzererfahrung und Rückfallplan validieren und die Betriebsdokumentation aktualisieren.Validate logs, user experience, and rollback options, then update the operational runbook.
Betrieb & HinweiseOperations & Notes
- Vermeiden Sie destruktive Skripte ohne Pilot- und Rollbackplan.Avoid destructive scripts without a pilot and rollback plan.
- Schreiben Sie Detection-Skripte so, dass sie deterministische Exit Codes liefern.Write detection scripts so they return deterministic exit codes.
- Protokollieren Sie Änderungen lokal und zentral, wenn möglich.Log changes locally and centrally where possible.
- Dokumentieren Sie Abhängigkeiten zu Anwendungen und Reboots.Document dependencies on apps and reboots.
PowerShellPowerShell
Get-MgDeviceManagementDeviceManagementScript
Get-MgDeviceManagementDeviceHealthScriptWin32 App DeploymentWin32 App Deployment
Win32 Apps werden mit IntuneWinAppUtil paketiert und über Detection, Requirements, Dependencies und Return Codes gesteuert.Win32 apps are packaged with IntuneWinAppUtil and controlled through detection, requirements, dependencies, and return codes.
MSI-, Datei-, Registry- und Script-Detektion, Supersedence und install/uninstall commands bestimmen das Verhalten auf dem Gerät.MSI, file, registry, and script detection plus supersedence and install or uninstall commands define the device behavior.
Eine gute Detection Rule und klare Return Codes sind wichtiger als nur das eigentliche Installationskommando.A good detection rule and clear return codes matter more than the raw install command alone.
| ThemaTopic | DetailsDetails |
|---|---|
| PackagingPackaging | IntuneWinAppUtil erzeugt .intunewin Pakete.IntuneWinAppUtil creates .intunewin packages. |
| DetectionDetection | MSI, File, Registry oder Script bestätigen den installierten Zustand.MSI, file, registry, or script rules confirm the installed state. |
| RequirementsRequirements | Architektur, OS-Version, Freispeicher oder benutzerdefinierte Regeln steuern Zielgeräte.Architecture, OS version, free space, or custom rules target devices. |
| Dependencies / SupersedenceDependencies / supersedence | Verknüpfen Vorbedingungen und Upgrade-Pfade.Link prerequisites and upgrade paths. |
| Return CodesReturn codes | Success, Retry, Soft Reboot oder Hard Reboot müssen korrekt klassifiziert sein.Success, retry, soft reboot, or hard reboot must be classified correctly. |
ImplementierungImplementation
- Voraussetzungen, Rollen und Abhängigkeiten für Win32 App Deployment dokumentieren.Document prerequisites, roles, and dependencies for Win32 App Deployment.
- Die Zielkonfiguration zuerst im Portal und parallel per PowerShell definieren.Define the target configuration in the portal first and mirror it with PowerShell.
- Mit Pilotbenutzern, Pilotwebsites oder Pilotgeräten testen, bevor die Produktion erweitert wird.Test with pilot users, pilot sites, or pilot devices before expanding to production.
- Logs, Benutzererfahrung und Rückfallplan validieren und die Betriebsdokumentation aktualisieren.Validate logs, user experience, and rollback options, then update the operational runbook.
Betrieb & HinweiseOperations & Notes
- Testen Sie Install, Repair, Upgrade und Uninstall getrennt.Test install, repair, upgrade, and uninstall separately.
- Dokumentieren Sie alle Detection- und Requirement-Regeln pro Paket.Document all detection and requirement rules per package.
- Verknüpfen Sie Supersedence mit einem klaren App-Lifecycle.Tie supersedence to a clear app lifecycle.
- Berücksichtigen Sie User Experience und Rebootfenster im Rollout.Consider user experience and reboot windows during rollout.
PowerShellPowerShell
IntuneWinAppUtil.exe -c C:\Packages\App01 -s setup.exe -o C:\Packages\Out
Get-MgDeviceAppManagementMobileAppWindows Update for BusinessWindows Update for Business
Update Rings, Feature Update Policies, Quality Update Policies, Driver Updates und Expedite Updates steuern den Windows-Updatelebenszyklus.Update rings, feature update policies, quality update policies, driver updates, and expedite updates control the Windows update lifecycle.
Windows Update for Business Reports liefern Compliance- und Bereitstellungsdaten. Rings steuern Deferrals, Deadlines und Restart-Verhalten.Windows Update for Business reports provide compliance and deployment data. Rings control deferrals, deadlines, and restart behavior.
Ohne Pilot-, Broad- und Critical-Ring verlieren Unternehmen die Kontrolle über Ausfall- und Rückfallpfade.Without pilot, broad, and critical rings, organizations lose control over outage and rollback paths.
| ThemaTopic | DetailsDetails |
|---|---|
| Update RingsUpdate rings | Deferrals, Deadlines und Neustartregeln für Qualitätsupdates.Deferrals, deadlines, and restart behavior for quality updates. |
| Feature Update PoliciesFeature update policies | Pinnen Geräte auf gewünschte Windows-Versionen.Pin devices to desired Windows feature versions. |
| Quality Update PoliciesQuality update policies | Steuern monatliche Sicherheits- und Qualitätsupdates.Control monthly security and quality updates. |
| Driver UpdatesDriver updates | Treiber können separat genehmigt und verteilt werden.Drivers can be approved and deployed separately. |
| ReportsReports | WUfB Reports zeigen Compliance, Safeguard Holds und Deploymentstatus.WUfB reports show compliance, safeguard holds, and deployment status. |
ImplementierungImplementation
- Voraussetzungen, Rollen und Abhängigkeiten für Windows Update for Business dokumentieren.Document prerequisites, roles, and dependencies for Windows Update for Business.
- Die Zielkonfiguration zuerst im Portal und parallel per PowerShell definieren.Define the target configuration in the portal first and mirror it with PowerShell.
- Mit Pilotbenutzern, Pilotwebsites oder Pilotgeräten testen, bevor die Produktion erweitert wird.Test with pilot users, pilot sites, or pilot devices before expanding to production.
- Logs, Benutzererfahrung und Rückfallplan validieren und die Betriebsdokumentation aktualisieren.Validate logs, user experience, and rollback options, then update the operational runbook.
Betrieb & HinweiseOperations & Notes
- Bauen Sie definierte Ring-Strategien statt Einzelzuweisungen auf.Build defined ring strategies instead of one-off assignments.
- Bewerten Sie Expedite Updates nur für echte Zero-Day- oder Hochrisikofälle.Use expedite updates only for genuine zero-day or high-risk cases.
- Prüfen Sie Driver Updates zunächst in kleinen Hardware-Piloten.Review driver updates first in small hardware pilots.
- Verknüpfen Sie Update Telemetry mit Service Desk und Problem Management.Connect update telemetry with the service desk and problem management.
PowerShellPowerShell
Get-MgDeviceManagementWindowsUpdatePolicy
Get-MgDeviceManagementWindowsFeatureUpdateProfileRemote ActionsRemote Actions
Remote Actions wie Wipe, Fresh Start, Autopilot Reset, Sync, Restart oder BitLocker Key Rotation helfen im operativen Incident- und Lifecycle-Management.Remote actions such as wipe, fresh start, Autopilot reset, sync, restart, or BitLocker key rotation help in operational incident and lifecycle management.
Jede Aktion hat andere Auswirkungen auf Daten, Join-Zustand, Benutzerkontext und Rückkehrpfad. Service Desk und Sicherheitsprozesse müssen diese Unterschiede kennen.Each action has different effects on data, join state, user context, and recovery path. Service desk and security processes must understand these differences.
Zwischen Sync und Wipe liegen Welten. Rollen, Genehmigungen und Dokumentation müssen das widerspiegeln.There is a huge difference between sync and wipe. Roles, approvals, and documentation must reflect that.
| ThemaTopic | DetailsDetails |
|---|---|
| Wipe / Fresh StartWipe / fresh start | Löschen bzw. Neuinitialisieren Gerätedaten mit unterschiedlichen Tiefen.Erase or reinitialize device data with different depths. |
| Autopilot ResetAutopilot reset | Setzt das Gerät für denselben Unternehmenszweck zurück.Resets the device for the same corporate purpose. |
| Remote Lock / Sync / RestartRemote lock / sync / restart | Leichtgewichtigere Support- und Incident-Aktionen.Lighter-weight support and incident actions. |
| Rename / DiagnosticsRename / diagnostics | Hilft bei Assetpflege und Fehleranalyse.Helps with asset management and troubleshooting. |
| BitLocker RotationBitLocker rotation | Erneuert Wiederherstellungsschlüssel für Sicherheit und Incident Response.Rotates recovery keys for security and incident response. |
ImplementierungImplementation
- Voraussetzungen, Rollen und Abhängigkeiten für Remote Actions dokumentieren.Document prerequisites, roles, and dependencies for Remote Actions.
- Die Zielkonfiguration zuerst im Portal und parallel per PowerShell definieren.Define the target configuration in the portal first and mirror it with PowerShell.
- Mit Pilotbenutzern, Pilotwebsites oder Pilotgeräten testen, bevor die Produktion erweitert wird.Test with pilot users, pilot sites, or pilot devices before expanding to production.
- Logs, Benutzererfahrung und Rückfallplan validieren und die Betriebsdokumentation aktualisieren.Validate logs, user experience, and rollback options, then update the operational runbook.
Betrieb & HinweiseOperations & Notes
- Definieren Sie Genehmigungsstufen pro Remote Action.Define approval levels per remote action.
- Trainieren Sie den Service Desk auf Datenwirkung und Nutzerkommunikation.Train the service desk on data impact and user communication.
- Dokumentieren Sie Break-Glass-Pfade für verlorene oder kompromittierte Geräte.Document break-glass paths for lost or compromised devices.
- Protokollieren Sie jede destruktive Aktion revisionssicher.Log every destructive action in an auditable way.
PowerShellPowerShell
Get-MgDeviceManagementManagedDevice -ManagedDeviceId 00000000-0000-0000-0000-000000000000
Invoke-MgDeviceManagementManagedDeviceSyncDevice -ManagedDeviceId 00000000-0000-0000-0000-000000000000Diese Referenz ergänzt die Intune-Übersicht um Windows-spezifische Deep-Dive-Themen.This reference complements the Intune overview with Windows-specific deep-dive topics.