In vielen Unternehmen wächst die Softwareverteilung über Microsoft Intune mit der Zeit unkontrolliert. Anfangs wird eine App direkt einer Geräte- oder Benutzergruppe zugewiesen. Später kommen weitere Programme, Abteilungssoftware, Pilotgruppen und Ausnahmen dazu. Nach einigen Monaten ist oft nicht mehr klar, warum ein Gerät eine bestimmte Software erhält oder warum eine App mehrfach mit unterschiedlichen Zuweisungen auftaucht.
Die saubere Lösung ist ein klares Gruppenmodell mit Microsoft-Entra-Sicherheitsgruppen und gezielter Gruppenverschachtelung. Statt jede App einzeln pro Gerät zu verwalten, werden technische Zielgruppen in übergeordnete Software-Bundle-Gruppen aufgenommen. Diese Bundle-Gruppen werden anschließend mehreren Apps in Intune zugewiesen. Dadurch erhält ein Gerät nicht nur eine einzelne Software, sondern ein vollständiges Softwarepaket, zum Beispiel 7-Zip, Adobe Reader, Notepad++, VPN-Client und weitere Basisprogramme.
Ziel dieser Anleitung ist eine direkt umsetzbare Best-Practice-Struktur für IT-Administratoren. Der Artikel zeigt, wie verschachtelte Gruppen funktionieren, wie mehrere Softwarepakete sauber geplant werden, welche Include- und Exclude-Regeln wichtig sind und wie der Rollout kontrolliert geprüft wird.
Voraussetzungen
| Bereich | Voraussetzung |
|---|---|
| Lizenz | Microsoft Intune Plan 1, Microsoft 365 Business Premium |
| Admin-Rechte | Intune Administrator und Gruppenadministrator |
| Geräte | Windows-Geräte in Intune registriert |
| Join-Typ | Microsoft Entra joined oder Hybrid Microsoft Entra |
| Apps | Win32-Apps als .intunewin-Paket |
| Testgruppe | Pilotgruppe mit 2 bis 5 Testgeräten |
| Gruppentyp | Microsoft-Entra-Sicherheitsgruppen |
Für Win32-Apps nutzt Intune die Intune Management Extension. Diese Komponente ist für die Installation, Erkennung und Statusmeldung von Win32-Anwendungen auf Windows-Geräten entscheidend. Deshalb sollten Pilotgeräte vor dem produktiven Rollout sauber synchronisieren und im Intune Admin Center als verwaltet angezeigt werden.
Konzept: Was bedeutet Gruppenverschachtelung?
Eine Gruppenverschachtelung bedeutet, dass eine Gruppe Mitglied einer anderen Gruppe ist. Die Mitglieder der untergeordneten Gruppe werden dadurch indirekt über die übergeordnete Gruppe erreicht. Für Intune-App-Zuweisungen ist das besonders hilfreich, weil Microsoft Intune App-Zuweisungen an verschachtelte Gruppen unterstützt.
INTUNE-APP-BUNDLE-WIN-BASISSOFTWARE-REQ
└── DEV-WIN-PILOT-IT
└── ZUE-W-20060
Wenn die App 7-Zip der Gruppe INTUNE-APP-BUNDLE-WIN-BASISSOFTWARE-REQ als Required zugewiesen wird, erhält auch das Gerät ZUE-W-20060 die App. Das Gerät ist zwar nicht direkt in der Bundle-Gruppe enthalten, aber es ist Mitglied der untergeordneten Gruppe DEV-WIN-PILOT-IT.
Das gleiche Prinzip funktioniert auch mit mehreren Anwendungen. Die Bundle-Gruppe wird nicht nur einer App zugewiesen, sondern allen Anwendungen, die gemeinsam verteilt werden sollen.
INTUNE-APP-BUNDLE-WIN-BASISSOFTWARE-REQ
├── 7-Zip -> Required
├── Adobe Reader -> Required
├── Notepad++ -> Required
├── VLC Player -> Required
└── VPN Client -> Required
Der Vorteil: Für den Rollout wird nur noch die Gruppenmitgliedschaft angepasst. Die App-Zuweisungen selbst bleiben unverändert. Möchte man die Basissoftware auf weitere Geräte ausrollen, wird einfach eine weitere Zielgruppe in die Bundle-Gruppe aufgenommen.
Empfohlene Gruppenstruktur
| Gruppe | Zweck | Typ |
|---|---|---|
| DEV-WIN-PILOT-IT | Pilotgeräte der IT-Abteilung | Security Group, Geräte |
| DEV-WIN-DEPARTMENT-FINANCE | Windows-Geräte der Finanzabteilung | Security Group, Geräte |
| DEV-WIN-DEPARTMENT-HR | Windows-Geräte der Personalabteilung | Security Group, Geräte |
| INTUNE-APP-BUNDLE-WIN-BASISSOFTWARE-REQ | Basissoftware-Paket für Windows | Security Group, verschachtelt |
| INTUNE-APP-BUNDLE-WIN-FINANCE-REQ | Softwarepaket für Finanzabteilung | Security Group, verschachtelt |
| INTUNE-APP-EXCLUDE-WIN-LEGACY | Ausschlussgruppe für Sondergeräte | Security Group, Geräte |
Eine verständliche Namenskonvention ist entscheidend. Empfehlenswert ist folgendes Schema: INTUNE-APP-BUNDLE-[PLATTFORM]-[ZWECK]-[INTENT]
Beispiele: INTUNE-APP-BUNDLE-WIN-BASISSOFTWARE-REQ, INTUNE-APP-BUNDLE-WIN-FINANCE-REQ, INTUNE-APP-BUNDLE-WIN-ITTOOLS-AVAIL.
REQ steht für Required (automatische Installation), AVAIL für Available (Unternehmensportal). Diese Trennung verhindert Raterei bei der Verwaltung.
Schritt 1: Pilot-Gerätegruppe erstellen
Erstelle im Microsoft Entra Admin Center eine statische Gerätegruppe (Security, Assigned) namens DEV-WIN-PILOT-IT mit 2 bis 5 Testgeräten. In der Testphase ist die exakte Steuerbarkeit wichtiger als Dynamik.
Schritt 2: Bundle-Gruppe für Basissoftware erstellen
Erstelle eine übergeordnete Security Group namens INTUNE-APP-BUNDLE-WIN-BASISSOFTWARE-REQ. Füge nicht einzelne Geräte, sondern die Pilotgruppe DEV-WIN-PILOT-IT als Mitglied hinzu.
Schritt 3: Erste App der Bundle-Gruppe zuweisen
Weise im Intune Admin Center der App (z.B. 7-Zip) die Bundle-Gruppe INTUNE-APP-BUNDLE-WIN-BASISSOFTWARE-REQ als Required zu.
Schritt 4: Mehrere Softwares verteilen
Wiederhole die Required-Zuweisung für alle Basis-Apps (Adobe Reader, Notepad++, etc.) auf dieselbe Bundle-Gruppe. So entsteht ein logisches Softwarepaket.
Schritt 5: Ausschlüsse konfigurieren
Nutze separate Exclude-Gruppen (z.B. INTUNE-APP-EXCLUDE-WIN-BASISSOFTWARE), um Geräte gezielt vom Rollout auszuschließen. Achte darauf, dass Include- und Exclude-Gruppen denselben Zieltyp (Geräte oder Benutzer) haben.
Best-Practice-Konfiguration
| Bereich | Empfehlung | Begründung |
|---|---|---|
| Gruppentyp | Security Groups | Saubere Verwaltung |
| Zieltyp | Konsequente Trennung | Vermeidet Probleme bei Include/Exclude |
| Pilot | Kleine statische Gruppe | Kontrollierter Start |
| Softwarepakete | Bundle-Gruppen | Zentrale Zielstruktur |
| Ausnahmen | Eigene Exclude-Gruppen | Nachvollziehbarkeit |
| Dynamik | Erst nach Pilot nutzen | Risikominimierung |
| Filter | Für Geräteeigenschaften | Präzisere Zielsteuerung (OS, Modell) |
Empfohlene Rollout-Strategie
Die Zuweisung bleibt gleich, nur die Mitgliedschaft der Bundle-Gruppe wird erweitert:
- DEV-WIN-PILOT-IT
- DEV-WIN-IT-DEPARTMENT
- DEV-WIN-POWERUSERS
- Fachabteilungen (Finance, HR, Sales)
- DEV-WIN-ALL-CORPORATE
Überprüfung
Prüfe den Status über Apps > Monitor > App Install Status oder direkt am Client in den IME-Logs unter C:\\ProgramData\\Microsoft\\IntuneManagementExtension\\Logs (insb. IntuneManagementExtension.log und AppWorkload.log).
Typische Fehler
- Mixed Target Types: Mische niemals Benutzer- und Gerätegruppen in einer Zuweisung.
- Too Many Direct Assignments: Nutze Bundle-Gruppen statt Einzelzuweisungen.
- Required vs. Uninstall: Vermeide widersprüchliche Zuweisungen für dieselbe Zielgruppe.
- Dynamic Groups without Pilot: Rolle dynamische Gruppen niemals ohne vorherigen statischen Pilot aus.
Fazit
Gruppenverschachtelungen strukturieren Software-Zuweisungen in Intune professionell. Durch Bundle-Gruppen werden Fehler reduziert und die Nachvollziehbarkeit erhöht. Wer diese Struktur nutzt, rollt Softwarepakete kontrolliert und sicher aus.
Quellen
Academy
Weiterlernen in der Kaffeeundcode Academy
Wenn du diese Themen systematisch vertiefen willst, schau dir den ersten Academy-Kurs zur PSADT-Softwarepaketierung an. Im Fokus stehen .msi, .exe, Silent Switches, Detection, Logs und ein belastbarer Troubleshooting-Workflow.
Diskussion starten
Fragen, Ergänzungen und eigene Erfahrungen sind hier willkommen.