Kaffeeundcode

Microsoft Intune: Gruppenverschachtelungen für Software-Zuweisungen richtig nutzen

4. Juli 2026 Bruno 0 Kommentare

In vielen Unternehmen wächst die Softwareverteilung über Microsoft Intune mit der Zeit unkontrolliert. Anfangs wird eine App direkt einer Geräte- oder Benutzergruppe zugewiesen. Später kommen weitere Programme, Abteilungssoftware, Pilotgruppen und Ausnahmen dazu. Nach einigen Monaten ist oft nicht mehr klar, warum ein Gerät eine bestimmte Software erhält oder warum eine App mehrfach mit unterschiedlichen Zuweisungen auftaucht.

Die saubere Lösung ist ein klares Gruppenmodell mit Microsoft-Entra-Sicherheitsgruppen und gezielter Gruppenverschachtelung. Statt jede App einzeln pro Gerät zu verwalten, werden technische Zielgruppen in übergeordnete Software-Bundle-Gruppen aufgenommen. Diese Bundle-Gruppen werden anschließend mehreren Apps in Intune zugewiesen. Dadurch erhält ein Gerät nicht nur eine einzelne Software, sondern ein vollständiges Softwarepaket, zum Beispiel 7-Zip, Adobe Reader, Notepad++, VPN-Client und weitere Basisprogramme.

Ziel dieser Anleitung ist eine direkt umsetzbare Best-Practice-Struktur für IT-Administratoren. Der Artikel zeigt, wie verschachtelte Gruppen funktionieren, wie mehrere Softwarepakete sauber geplant werden, welche Include- und Exclude-Regeln wichtig sind und wie der Rollout kontrolliert geprüft wird.

Voraussetzungen

Bereich Voraussetzung
Lizenz Microsoft Intune Plan 1, Microsoft 365 Business Premium
Admin-Rechte Intune Administrator und Gruppenadministrator
Geräte Windows-Geräte in Intune registriert
Join-Typ Microsoft Entra joined oder Hybrid Microsoft Entra
Apps Win32-Apps als .intunewin-Paket
Testgruppe Pilotgruppe mit 2 bis 5 Testgeräten
Gruppentyp Microsoft-Entra-Sicherheitsgruppen

Für Win32-Apps nutzt Intune die Intune Management Extension. Diese Komponente ist für die Installation, Erkennung und Statusmeldung von Win32-Anwendungen auf Windows-Geräten entscheidend. Deshalb sollten Pilotgeräte vor dem produktiven Rollout sauber synchronisieren und im Intune Admin Center als verwaltet angezeigt werden.

Konzept: Was bedeutet Gruppenverschachtelung?

Eine Gruppenverschachtelung bedeutet, dass eine Gruppe Mitglied einer anderen Gruppe ist. Die Mitglieder der untergeordneten Gruppe werden dadurch indirekt über die übergeordnete Gruppe erreicht. Für Intune-App-Zuweisungen ist das besonders hilfreich, weil Microsoft Intune App-Zuweisungen an verschachtelte Gruppen unterstützt.

INTUNE-APP-BUNDLE-WIN-BASISSOFTWARE-REQ
└── DEV-WIN-PILOT-IT
└── ZUE-W-20060

Wenn die App 7-Zip der Gruppe INTUNE-APP-BUNDLE-WIN-BASISSOFTWARE-REQ als Required zugewiesen wird, erhält auch das Gerät ZUE-W-20060 die App. Das Gerät ist zwar nicht direkt in der Bundle-Gruppe enthalten, aber es ist Mitglied der untergeordneten Gruppe DEV-WIN-PILOT-IT.

Das gleiche Prinzip funktioniert auch mit mehreren Anwendungen. Die Bundle-Gruppe wird nicht nur einer App zugewiesen, sondern allen Anwendungen, die gemeinsam verteilt werden sollen.

INTUNE-APP-BUNDLE-WIN-BASISSOFTWARE-REQ
├── 7-Zip -> Required
├── Adobe Reader -> Required
├── Notepad++ -> Required
├── VLC Player -> Required
└── VPN Client -> Required

Der Vorteil: Für den Rollout wird nur noch die Gruppenmitgliedschaft angepasst. Die App-Zuweisungen selbst bleiben unverändert. Möchte man die Basissoftware auf weitere Geräte ausrollen, wird einfach eine weitere Zielgruppe in die Bundle-Gruppe aufgenommen.

Empfohlene Gruppenstruktur

Gruppe Zweck Typ
DEV-WIN-PILOT-IT Pilotgeräte der IT-Abteilung Security Group, Geräte
DEV-WIN-DEPARTMENT-FINANCE Windows-Geräte der Finanzabteilung Security Group, Geräte
DEV-WIN-DEPARTMENT-HR Windows-Geräte der Personalabteilung Security Group, Geräte
INTUNE-APP-BUNDLE-WIN-BASISSOFTWARE-REQ Basissoftware-Paket für Windows Security Group, verschachtelt
INTUNE-APP-BUNDLE-WIN-FINANCE-REQ Softwarepaket für Finanzabteilung Security Group, verschachtelt
INTUNE-APP-EXCLUDE-WIN-LEGACY Ausschlussgruppe für Sondergeräte Security Group, Geräte

Eine verständliche Namenskonvention ist entscheidend. Empfehlenswert ist folgendes Schema: INTUNE-APP-BUNDLE-[PLATTFORM]-[ZWECK]-[INTENT]

Beispiele: INTUNE-APP-BUNDLE-WIN-BASISSOFTWARE-REQ, INTUNE-APP-BUNDLE-WIN-FINANCE-REQ, INTUNE-APP-BUNDLE-WIN-ITTOOLS-AVAIL.

REQ steht für Required (automatische Installation), AVAIL für Available (Unternehmensportal). Diese Trennung verhindert Raterei bei der Verwaltung.

Schritt 1: Pilot-Gerätegruppe erstellen

Erstelle im Microsoft Entra Admin Center eine statische Gerätegruppe (Security, Assigned) namens DEV-WIN-PILOT-IT mit 2 bis 5 Testgeräten. In der Testphase ist die exakte Steuerbarkeit wichtiger als Dynamik.

Schritt 2: Bundle-Gruppe für Basissoftware erstellen

Erstelle eine übergeordnete Security Group namens INTUNE-APP-BUNDLE-WIN-BASISSOFTWARE-REQ. Füge nicht einzelne Geräte, sondern die Pilotgruppe DEV-WIN-PILOT-IT als Mitglied hinzu.

Schritt 3: Erste App der Bundle-Gruppe zuweisen

Weise im Intune Admin Center der App (z.B. 7-Zip) die Bundle-Gruppe INTUNE-APP-BUNDLE-WIN-BASISSOFTWARE-REQ als Required zu.

Schritt 4: Mehrere Softwares verteilen

Wiederhole die Required-Zuweisung für alle Basis-Apps (Adobe Reader, Notepad++, etc.) auf dieselbe Bundle-Gruppe. So entsteht ein logisches Softwarepaket.

Schritt 5: Ausschlüsse konfigurieren

Nutze separate Exclude-Gruppen (z.B. INTUNE-APP-EXCLUDE-WIN-BASISSOFTWARE), um Geräte gezielt vom Rollout auszuschließen. Achte darauf, dass Include- und Exclude-Gruppen denselben Zieltyp (Geräte oder Benutzer) haben.

Best-Practice-Konfiguration

Bereich Empfehlung Begründung
Gruppentyp Security Groups Saubere Verwaltung
Zieltyp Konsequente Trennung Vermeidet Probleme bei Include/Exclude
Pilot Kleine statische Gruppe Kontrollierter Start
Softwarepakete Bundle-Gruppen Zentrale Zielstruktur
Ausnahmen Eigene Exclude-Gruppen Nachvollziehbarkeit
Dynamik Erst nach Pilot nutzen Risikominimierung
Filter Für Geräteeigenschaften Präzisere Zielsteuerung (OS, Modell)

Empfohlene Rollout-Strategie

Die Zuweisung bleibt gleich, nur die Mitgliedschaft der Bundle-Gruppe wird erweitert:

  1. DEV-WIN-PILOT-IT
  2. DEV-WIN-IT-DEPARTMENT
  3. DEV-WIN-POWERUSERS
  4. Fachabteilungen (Finance, HR, Sales)
  5. DEV-WIN-ALL-CORPORATE

Überprüfung

Prüfe den Status über Apps > Monitor > App Install Status oder direkt am Client in den IME-Logs unter C:\\ProgramData\\Microsoft\\IntuneManagementExtension\\Logs (insb. IntuneManagementExtension.log und AppWorkload.log).

Typische Fehler

  • Mixed Target Types: Mische niemals Benutzer- und Gerätegruppen in einer Zuweisung.
  • Too Many Direct Assignments: Nutze Bundle-Gruppen statt Einzelzuweisungen.
  • Required vs. Uninstall: Vermeide widersprüchliche Zuweisungen für dieselbe Zielgruppe.
  • Dynamic Groups without Pilot: Rolle dynamische Gruppen niemals ohne vorherigen statischen Pilot aus.

Fazit

Gruppenverschachtelungen strukturieren Software-Zuweisungen in Intune professionell. Durch Bundle-Gruppen werden Fehler reduziert und die Nachvollziehbarkeit erhöht. Wer diese Struktur nutzt, rollt Softwarepakete kontrolliert und sicher aus.

Quellen

Academy

Weiterlernen in der Kaffeeundcode Academy

Wenn du diese Themen systematisch vertiefen willst, schau dir den ersten Academy-Kurs zur PSADT-Softwarepaketierung an. Im Fokus stehen .msi, .exe, Silent Switches, Detection, Logs und ein belastbarer Troubleshooting-Workflow.

Diskussion starten

Fragen, Ergänzungen und eigene Erfahrungen sind hier willkommen.

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Pflichtfelder sind mit * markiert.