Moderne Alternativen zu Gruppenrichtlinien: Umstellung auf Intune-Konfigurationsprofile

Gruppenrichtlinien (GPOs) sind zwar der Eckpfeiler der Windows-Verwaltung, aber sie wurden für domainverbundene, lokale Infrastrukturen entwickelt. Im Gegensatz dazu bietet die Intune-Konfigurations-Profile eine detailliertere Steuerung und plattformübergreifende Unterstützung, die für Skalierbarkeit und effizientes Endpunkt-Management entscheidend sind.

Falls Sie Intune in Ihr IT-Management-Framework integrieren möchten, hilft Ihnen dieser Leitfaden bei der Migration von lokalen Gruppenrichtlinien zu Intune-Konfigurationsprofilen.

Schritte für den Übergang von Gruppenrichtlinien zu Intune

Beginnen Sie damit, die folgenden Punkte zu überprüfen, die für den Abschluss des Migrationsprozesses erforderlich sind.

📌 Voraussetzungen:

• Azure AD-verbundene oder hybrid-verbundene Windows 10/11-Endpunkte
• Zugewiesene Microsoft Intune-Lizenzen
• Administratorrechte für Microsoft Endpoint Manager Admin Center
• PowerShell 5.1+ oder Microsoft Graph-Modul (Überprüfen Sie Ihre PowerShell-Version)
• Optional: Aktivieren Sie die GPO-Analytics über das Tool zur Migration von Gruppenrichtlinien

💡 Hinweis: Einige Schritte können je nach den vorhandenen Systemvorgaben oder -einstellungen variieren.

Schritt 1: Prüfen Sie vorhandene GPOs und setzen Sie Prioritäten für die Migration

Um Inkompatibilitäten zu minimieren, prüfen Sie mit Analytics für Gruppenrichtlinien, ob die aktiven Richtlinien von Intune unterstützt werden.

1. Gehen Sie im Microsoft Endpoint Manager Admin Center zu Devices → Group Policy Analytics (Preview).
2. Importieren Sie Ihr GPO-Backup (.xml-Datei).
3. Überprüfen Sie den Unterstützungsstatus (Unterstützt, Nicht unterstützt, Veraltet).
4. Drücken Sie Win + R, geben Sie gpmc.msc ein und tippen Sie auf OK, um Group Policy Management Console (GPMC) zu öffnen → Führen Sie Backups für GPOs durch.

💡 Hinweis: Identifizieren Sie Gruppenrichtlinien, die sich auf Sicherheitseinstellungen, BitLocker-Richtlinien, Windows Update-Einstellungen sowie App-Kontrolle und Endpunktschutz beziehen. Diese Gruppenrichtlinien haben in der Regel direkte Intune-Gegenstücke, die die Migration erleichtern können.

Schritt 2: Erstellen Sie die entsprechenden Intune-Konfigurationsprofile

Als Nächstes sollten Sie das entsprechende Intune-Konfigurationsprofil für Ihre bestehenden Richtlinien erstellen.

1. Navigieren Sie zu Geräte → Konfigurationsprofile → Profil erstellen.
2. Wählen Sie die Plattform Windows 10 oder höher. Wählen Sie dann Profiltypen aus:
   • Einstellungskatalog (empfohlen)
   • Vorlagen (für spezielle Anwendungsfälle wie BitLocker, Wi-Fi, VPN)
   • Benutzerdefinierte OMA-URI (für nicht unterstützte Einstellungen)
3. Ordnen Sie bei Bedarf Ihre alten Gruppenrichtlinien-Einstellungen den Katalogäquivalenten oder OMA-URI-Einträgen zu.

Schritt 3: Validieren und überwachen Sie die Anwendung von Richtlinien

In dieser Phase ist es wichtig, den Fortschritt zu überprüfen und die Intune-Richtlinienanwendung zu validieren.

1. Überprüfen der Intune-Richtlinienanwendung über PowerShell

1. Verwenden Sie die Suchfunktion 🔎, um Terminal und PowerShell → als Administrator auszuführen.
2. Bestätigen Sie die aktiven Richtlinieneinstellungen mit dem Befehl Get-MDMPolicyResultantSetOfPolicy | Format-List.

Inzwischen können Sie auch folgenden Befehl verwenden:

Get-ItemProperty -Path „HKLM:\SOFTWARE
\Microsoft\PolicyManager\current\device\Defender“ 

Dies dient dazu, den spezifischen CSP-Wert (Configuration Service Provider) zu ermitteln.

2. Überwachung der Intune-Richtlinienanwendung über den Event Viewer

1. Drücken Sie Win + R, geben Sie eventvwr ein und tippen Sie auf OK, um den Event Viewer zu öffnen.
2. Navigieren Sie zu Anwendungs- und Dienstprotokolle → Microsoft → Windows → DeviceManagement-Enterprise-Diagnostics-Provider → Admin.

Wenden Sie innerhalb dieses Protokolls den entsprechenden Filter an, um den Status der Richtlinienanwendung und bestimmte Ereignisse schnell zu ermitteln. Sie können auch nach der Ereignis-ID suchen, zum Beispiel 813 oder 814, bei denen es sich in der Regel um Protokolle handelt, die mit Intune-Richtlinien verbunden sind.

3. Durchsetzung der Anwendung der Intune-Richtlinie über die Eingabeaufforderung

Für diesen Schritt können Sie bei Bedarf auch die Eingabeaufforderung verwenden, um die Synchronisierung der Richtlinien durchzusetzen.

1. Drücken Sie Win + R, geben Sie cmd ein, und klicken Sie auf OK, um die Eingabeaufforderung zu öffnen.
2. Führen Sie dann den folgenden Befehl aus:

dsregcmd /status start ms-device-enrollment:?mode=mdm

Die Durchsetzung der Richtlinienanwendung ist oft unnötig, da Intune-Geräte automatisch in festgelegten Intervallen synchronisiert werden. Darüber hinaus sind für die Ausführung dieser Befehle in der Regel Administratorrechte erforderlich.

Schritt 4: Verwendung von OMA-URI für nicht unterstützte oder erweiterte Einstellungen

Für Einstellungen, die nicht im Einstellungskatalog enthalten sind (zum Beispiel ältere Richtlinien, erweiterte Richtlinien), können Sie benutzerdefinierte Profile verwenden:

1. Erstellen Sie ein benutzerdefiniertes Profil in Intune.
2. Verwenden Sie die bekannte CSP-Dokumentation, um Richtlinien anzuwenden. Deaktivieren Sie zum Beispiel den Task-Manager:
   • OMA-URI: ./Device/Vendor/MSFT/Policy/Config/TaskManager/AllowTaskManager
   • Datentyp: Ganzzahl
   • Wert: 0

Dies kann durch die Überprüfung des entsprechenden Registrierungspfads weiter verifiziert werden: 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\TaskManager.

Schritt 5: Anwendung von Sicherheitsgrundlagen (falls möglich)

Sicherheitsgrundlagen helfen dabei, gängige GPO-Konfigurationen zu ersetzen, und Intune hat einige davon für Microsoft Defender, Windows 10/11 und Microsoft Edge integriert. Zur Bewerbung:

1. Gehen Sie zu Endpoint Security → Security Baselines.
2. Wählen Sie eine Basislinie und ordnen Sie diese der entsprechenden Gruppe zu.

Diese Schritte werden zur Ergänzung von Konfigurationsprofilen und zum Ersetzen einiger häufig verwendeter GPOs empfohlen.

Schritt 6: Umgang mit Richtlinienkonflikten und Vorrangstellung

Wenn es um den Vorrang von Richtlinien geht, haben Intune-Richtlinien Vorrang vor Gruppenrichtlinien auf Azure AD-verbundenen Geräten.

• Auf Azure AD-verbundenen Geräten haben die Intune-Richtlinien Vorrang.
• Auf hybrid-verbundenen Geräten können Konflikte entstehen, wenn sowohl GPO als auch Intune die gleiche Einstellung verwalten. In diesen Fällen setzt sich die zuletzt angewendete Richtlinie durch.

Um diese Probleme zu vermeiden, wird empfohlen, dass Sie keine Einstellungen in Gruppenrichtlinien und Intune duplizieren. Sie können Intune Reporting → Endpoint Security → Per Setting Status verwenden, um Konflikte proaktiv zu erkennen.

Schritt 7: Außerbetriebnahme von Gruppenrichtlinien nach erfolgreicher Migration

Nach der Migration und Richtlinienvalidierung bzw. der Sicherstellung des guten Zustands von Workflows und Assets in der neuen Umgebung können Sie mit der Entfernung von Gruppenrichtlinien beginnen.

1. Heben Sie die Verknüpfung von Gruppenrichtlinien in der GPMC schrittweise auf.
2. Überwachen Sie Endpunkte auf Konfigurationsabweichungen.
3. Stellen Sie sicher, dass alle Einstellungen über Intune oder PowerShell-Skripts durchgesetzt werden
4. Halten Sie GPO-Backup- und Wiederherstellungsprotokolle aufrecht.

NinjaOne hilft bei der nahtlosen Migration von Intune

Für IT-Umgebungen können diese NinjaOne-Services und -Funktionen bei der Umstellung hilfreich sein:

• Erkennung von nicht konformen Einstellungen, die noch von älteren Gruppenrichtlinien angewendet werden.
• Überwachung von Registrierungsschlüsseln und Bestätigung der Durchsetzung von Intune-Richtlinien.
• Bereitstellung von PowerShell-basierten Skripten zur Durchsetzung benutzerdefinierter Konfigurationen.
• Kennzeichnung von Endpunkten basierend auf dem Richtlinienprofil (GPO-verwaltet vs. Intune-verwaltet).
• Echtzeit-Warnmeldungen für die Fälle, wenn die Einstellungen abweichen oder nicht richtig angewendet werden.

Für IT-Teams und MSPs kann NinjaOne als Kontrollzentrum für die Validierung und Durchsetzung cloudbasierter Richtlinienmigrationen dienen. Darüber hinaus kann NinjaOne eine direkte Alternative zu Intune sein. Die Lösung bietet eine breite Palette von unternehmenstauglichen Endpunktverwaltungs-Diensten über ein zentralisiertes Dashboard.

⚠️ Worauf Sie bei der Intune-Migration achten sollten

Ist etwas schiefgelaufen? Beachten Sie die folgenden Szenarien und Tipps für die Behandlung von Fehlern, die Vermeidung von Systemproblemen und die Durchsetzung von Richtlinien.

Integrierte Tools wie PowerShell, gpresult, Event Viewer und Registry können helfen, Fehler bei der Bereitstellung von Intune-Richtlinien einzugrenzen. Vergewissern Sie sich nur, dass Sie über die erforderlichen Zugriffsrechte verfügen und mit den Tools vertraut sind, um Probleme effizient zu diagnostizieren und zu beheben.

Best Practices für die Intune-Migration

Die Migration von Gruppenrichtlinien zu Intune-Konfigurationsprofilen ist ein großer Fortschritt für das Endpunkt-Management. Dies bietet robustere Funktionen zur Durchsetzung von Richtlinien und Anpassungsoptionen, die sich perfekt für die Organisation moderner Arbeitsabläufe eignen.

Daher möchten IT-Teams und MSPs, die Cloud- und Hybrid-Umgebungen verwalten, möglicherweise mehr als nur die proprietäre Lösung von Microsoft. Falls dies der Fall ist, kann ein RMM wie NinjaOne eine skalierbare und flexible Endpunktverwaltung bieten, die Intune ergänzen oder sogar ersetzen kann.

Letztendlich ist das Ersetzen eines Tools durch ein anderes kaum das A und O beim Endpunkt-Management. In den meisten Fällen geht es darum, einen Stack aufzubauen, der die aktuelle Umgebung effizient unterstützt und die Grundlage für Wachstum und Anpassungsfähigkeit schafft.

Verwandte Themen:

• NinjaOne vs. Microsoft Intune
• Die Wahl des richtigen Software-Bereitstellungstools: Intune vs. NinjaOne aus der Benutzerperspektive
• Intune vs. SCCM: Ein Vergleich der Microsoft-Lösungen
• Bereitstellung von Anwendungen mit Microsoft Intune Admin Center