In vielen Unternehmen wächst die Softwareverteilung über Microsoft Intune mit der Zeit unkontrolliert. Anfangs wird eine App direkt einer Geräte- oder Benutzergruppe zugewiesen. Später kommen weitere Programme, Abteilungssoftware, Pilotgruppen und Ausnahmen dazu. Nach einigen Monaten ist oft nicht mehr klar, warum ein Gerät eine bestimmte Software erhält oder warum eine App mehrfach mit unterschiedlichen Zuweisungen auftaucht.
Die saubere Lösung ist ein klares Gruppenmodell mit Microsoft-Entra-Sicherheitsgruppen und gezielter Gruppenverschachtelung. Statt jede App einzeln pro Gerät zu verwalten, werden technische Zielgruppen in übergeordnete Software-Bundle-Gruppen aufgenommen. Diese Bundle-Gruppen werden anschließend mehreren Apps in Intune zugewiesen. Dadurch erhält ein Gerät nicht nur eine einzelne Software, sondern ein vollständiges Softwarepaket, zum Beispiel 7-Zip, Adobe Reader, Notepad++, VPN-Client und weitere Basisprogramme.
Ziel dieser Anleitung ist eine direkt umsetzbare Best-Practice-Struktur für IT-Administratoren. Der Artikel zeigt, wie verschachtelte Gruppen funktionieren, wie mehrere Softwarepakete sauber geplant werden, welche Include- und Exclude-Regeln wichtig sind und wie der Rollout kontrolliert geprüft wird.
Voraussetzungen
| Bereich | Voraussetzung |
|---|---|
| Lizenz | Microsoft Intune Plan 1, Microsoft 365 Business Premium |
| Admin-Rechte | Intune Administrator und Gruppenadministrator oder vergleichbar |
| Geräte | Windows-Geräte sind in Intune registriert und verwaltet |
| Join-Typ | Microsoft Entra joined oder Hybrid Microsoft Entra joined |
| Apps | Win32-Apps sind als .intunewin-Paket in Intune hochgeladen |
| Testgruppe | Eine Pilotgruppe mit 2 bis 5 Testgeräten ist vorhanden |
| Gruppentyp | Microsoft-Entra-Sicherheitsgruppen, keine Verteilergruppen |
Für Win32-Apps nutzt Intune die Intune Management Extension. Diese Komponente ist für die Installation, Erkennung und Statusmeldung von Win32-Anwendungen auf Windows-Geräten entscheidend. Deshalb sollten Pilotgeräte vor dem produktiven Rollout sauber synchronisieren und im Intune Admin Center als verwaltet angezeigt werden.
Konzept: Was bedeutet Gruppenverschachtelung?
Eine Gruppenverschachtelung bedeutet, dass eine Gruppe Mitglied einer anderen Gruppe ist. Die Mitglieder der untergeordneten Gruppe werden dadurch indirekt über die übergeordnete Gruppe erreicht. Für Intune-App-Zuweisungen ist das besonders hilfreich, weil Microsoft Intune App-Zuweisungen an verschachtelte Gruppen unterstützt.
Struktur-Beispiel:
INTUNE-APP-BUNDLE-WIN-BASISSOFTWARE-REQ
└── DEV-WIN-PILOT-IT
└── ZUE-W-20060
Wenn die App 7-Zip der Gruppe INTUNE-APP-BUNDLE-WIN-BASISSOFTWARE-REQ als Required zugewiesen wird, erhält auch das Gerät ZUE-W-20060 die App. Das Gerät ist zwar nicht direkt in der Bundle-Gruppe enthalten, aber es ist Mitglied der untergeordneten Gruppe DEV-WIN-PILOT-IT.
Das gleiche Prinzip funktioniert auch mit mehreren Anwendungen. Die Bundle-Gruppe wird nicht nur einer App zugewiesen, sondern allen Anwendungen, die gemeinsam verteilt werden sollen.
Bundle-Zuweisung:
INTUNE-APP-BUNDLE-WIN-BASISSOFTWARE-REQ
├── 7-Zip -> Required
├── Adobe Reader -> Required
├── Notepad++ -> Required
├── VLC Player -> Required
└── VPN Client -> Required
Der Vorteil: Für den Rollout wird nur noch die Gruppenmitgliedschaft angepasst. Die App-Zuweisungen selbst bleiben unverändert. Möchte man die Basissoftware auf weitere Geräte ausrollen, wird einfach eine weitere Zielgruppe in die Bundle-Gruppe aufgenommen.
Empfohlene Gruppenstruktur
Für ein sauberes Betriebsmodell sollten technische Zielgruppen, Bundle-Gruppen und Ausschlussgruppen getrennt werden.
| Gruppe | Zweck | Typ |
|---|---|---|
| DEV-WIN-PILOT-IT | Pilotgeräte der IT-Abteilung | Security Group, Geräte |
| DEV-WIN-DEPARTMENT-FINANCE | Windows-Geräte der Finanzabteilung | Security Group, Geräte |
| DEV-WIN-DEPARTMENT-HR | Windows-Geräte der Personalabteilung | Security Group, Geräte |
| INTUNE-APP-BUNDLE-WIN-BASISSOFTWARE-REQ | Basissoftware-Paket für Windows | Security Group, verschachtelt |
| INTUNE-APP-BUNDLE-WIN-FINANCE-REQ | Softwarepaket für Finanzabteilung | Security Group, verschachtelt |
| INTUNE-APP-EXCLUDE-WIN-LEGACY | Ausschlussgruppe für Sondergeräte | Security Group, Geräte |
Empfehlenswertes Namensschema: INTUNE-APP-BUNDLE-[PLATTFORM]-[ZWECK]-[INTENT]
REQ steht für Required (automatisch), AVAIL für Available (Unternehmensportal).
Schritt 1: Pilot-Gerätegruppe erstellen
Erstelle im Microsoft Entra Admin Center eine kleine statische Gerätegruppe für den Pilot.
| Einstellung | Empfohlener Wert |
|---|---|
| Group type | Security |
| Group name | DEV-WIN-PILOT-IT |
| Group description | Pilotgeräte für Intune-App-Rollouts |
| Membership type | Assigned |
| Members | 2 bis 5 Testgeräte |
Schritt 2: Bundle-Gruppe für Basissoftware erstellen
Erstelle die übergeordnete Gruppe, die später mehreren Apps zugewiesen wird.
| Einstellung | Empfohlener Wert |
|---|---|
| Group type | Security |
| Group name | INTUNE-APP-BUNDLE-WIN-BASISSOFTWARE-REQ |
| Group description | Required Basissoftware für Windows-Geräte |
| Membership type | Assigned |
Füge anschließend die Gruppe DEV-WIN-PILOT-IT als Mitglied dieser Bundle-Gruppe hinzu.
Schritt 3: Erste App der Bundle-Gruppe zuweisen
Öffne im Intune Admin Center die App (z.B. 7-Zip) und setze unter Assignments:
- Assignment type: Required
- Included group: INTUNE-APP-BUNDLE-WIN-BASISSOFTWARE-REQ
- Excluded group: leer lassen
Schritt 4: Mehrere Softwares über dieselbe Bundle-Gruppe verteilen
Wiederhole dieselbe Required-Zuweisung für alle weiteren Basis-Apps (Adobe Reader, Notepad++, VLC etc.) auf die Bundle-Gruppe. So entsteht ein logisches Softwarepaket.
Schritt 5: Ausschlüsse sauber konfigurieren
Für Ausnahmen wird eine separate Exclude-Gruppe erstellt (z.B. INTUNE-APP-EXCLUDE-WIN-BASISSOFTWARE). Wichtig: Include und Exclude sollten denselben Zieltyp (beide Geräte oder beide Benutzer) haben.
Best-Practice Konfiguration
| Bereich | Empfehlung | Begründung |
|---|---|---|
| Gruppentyp | Security Groups | Für Intune-Zuweisungen geeignet |
| Zieltyp | Geräte/Benutzer trennen | Verhindert Include/Exclude Konflikte |
| Pilot | Statische Gerätegruppe | Kontrollierter Start |
| Softwarepakete | Bundle-Gruppen | Zentralisierte Steuerung |
| Ausnahmen | Eigene Exclude-Gruppen | Nachvollziehbarkeit |
| Dynamische Gruppen | Nach dem Pilot nutzen | Risiko minimieren |
Empfohlene Rollout-Strategie
Der Rollout erfolgt phasenweise durch Erweiterung der Bundle-Gruppenmitgliedschaft:
- Phase 1: DEV-WIN-PILOT-IT
- Phase 2: DEV-WIN-IT-DEPARTMENT
- Phase 3: DEV-WIN-POWERUSERS
- Phase 4: Fachabteilungen (Finance / HR / Sales)
- Phase 5: DEV-WIN-ALL-CORPORATE
Überprüfung im Intune Admin Center
Nutze Apps > Monitor > App Install Status oder auf dem Client die Logs unter: C:\ProgramData\Microsoft\IntuneManagementExtension\Logs
Typische Fehler
- Mischen von User- und Gerätegruppen: Nutze konsequent nur einen Zieltyp pro Zuweisung.
- Zu viele direkte Zuweisungen: Nutze Bundle-Gruppen statt Einzelzuweisungen.
- Required und Uninstall gleichzeitig: Vermeide widersprüchliche Zuweisungen für dieselbe Gruppe.
- Dynamische Gruppen ohne Pilot: Teste Regeln immer erst an einer kleinen statischen Gruppe.
Fazit
Gruppenverschachtelungen sind der effektivste Weg, Software-Zuweisungen in Intune skalierbar und übersichtlich zu verwalten. Durch die Trennung von technischen Zielgruppen und logischen Software-Bundles bleibt der Rollout steuerbar und dokumentiert.
Academy
Weiterlernen in der Kaffeeundcode Academy
Wenn du diese Themen systematisch vertiefen willst, schau dir den ersten Academy-Kurs zur PSADT-Softwarepaketierung an. Im Fokus stehen .msi, .exe, Silent Switches, Detection, Logs und ein belastbarer Troubleshooting-Workflow.
Diskussion starten
Fragen, Ergänzungen und eigene Erfahrungen sind hier willkommen.