Gerätekonfigurationsprofile in Microsoft Intune sind einfach zu erstellen und fast genauso einfach aus den Augen zu verlieren. Wer einen Tenant länger als ein Jahr betreibt, kennt das Ergebnis: eine lange Liste von Profilen mit ähnlichen Namen, leicht unterschiedlichen Einstellungen und keiner klaren Antwort auf die Frage “Welches ist eigentlich produktiv im Einsatz und welches ist nur eine Kopie aus einem Test, den nie jemand aufgeräumt hat?”.
Profile sauber zu duplizieren – für gestaffelte Rollouts, Test-Ringe oder vorlagenbasierte Bereitstellung – ist eine der Aufgaben, bei denen das Admin Center wirklich umständlich ist. In diesem Beitrag zeige ich dir zwei Wege, um Konfigurationsprofile zu klonen: die eingebaute Schaltfläche “Duplizieren” und eine PowerShell-Funktion auf Basis von Microsoft Graph, die dir die volle Kontrolle gibt.
Oft besteht der Anwendungsfall, dass du Geräteprofile duplizieren möchtest, um sie für eine bestimmte Gerätegruppe bzw. einen bestimmten Anwendungsfall anzupassen, oder einfach, um beim Namen eine Trennung für verschiedene Geräteklassen zu haben. Statt jede Einstellung von Hand neu aufzubauen, kopierst du eine bewährte Basislinie und änderst nur das, was sich tatsächlich unterscheidet.
Es gibt seit 2017 ein User-Voice-Feedback mit über 1200 Stimmen – leider wurde dieses Feature dem Intune Admin Center bisher nicht hinzugefügt.
Profile direkt im Intune Admin Center duplizieren
Der schnellste Weg ist die native Schaltfläche “Duplizieren” im Intune Admin Center. Öffne die Richtlinie, wähle die Aktion “Duplizieren”, vergib der Kopie einen neuen Namen und speichere. Das ist denkbar einfach – funktioniert aber, wie du gleich sehen wirst, nur für einen Teil der Richtlinientypen. Genau deshalb lohnt es sich, zusätzlich ein Skript im Werkzeugkasten zu haben.
Profile per PowerShell über Microsoft Graph duplizieren
Als Workaround dafür habe ich ein kleines Skript erstellt, das beim Kopieren eines Konfigurationsprofils hilft. Es liest das Quellprofil über Microsoft Graph aus, klont die Einstellungs-Payload und schreibt eine neue Richtlinie zurück in deinen Tenant. Du findest dieses Skript in meinem GitHub-Repository: Copy-DeviceConfigurationProfile.ps1
Der Graph-Ansatz ist die flexibelste Variante, weil du nicht durch die Oberfläche des Portals eingeschränkt bist. Authentifiziere dich mit dem Microsoft.Graph PowerShell SDK, fordere die Berechtigung DeviceManagementConfiguration.ReadWrite.All an, lies anschließend das Profil-JSON aus und veröffentliche es unter einem neuen Anzeigenamen erneut. So kannst du auch Richtlinientypen klonen, für die das Portal keine Schaltfläche bietet.
Bleib gesund, Cheers
Jannik
Update 13.06.2022:
Seit Service Release 2111 (15. Nov. 2021) gibt es eine Option, um Settings-Catalog-Richtlinien direkt zu duplizieren. Das hat das Klonen dieses Profiltyps deutlich vereinfacht, alle anderen Richtlinientypen werden jedoch weiterhin nicht unterstützt – das Skript oben bleibt also relevant.
Praxistipps für die Verwaltung vieler duplizierter Profile
Sobald du Profile regelmäßig duplizierst, verschiebt sich die eigentliche Herausforderung vom Klonen hin zum Aufgeräumthalten des Tenants. Die Kopien sind schnell erstellt, aber erst die Disziplin beim Aufräumen hält deine Umgebung langfristig überschaubar:
- Namenskonventionen: kodiere Zweck, Umgebung und Version, z. B.
ProfileBase – Production – v3vs.ProfileBase – Test. Sortierbar und selbsterklärend. - Scope-Tags als Metadaten: nutze sie nicht nur für RBAC, sondern auch als leichtgewichtiges Tagging (verantwortliches Team, Pilot-Ring, Lebenszyklus). Das Filtern nach Tag schlägt das Scrollen durch Hunderte von Profilen.
- DevOps-Pipeline-Ansatz: über einmalige Klone hinaus solltest du Profile wie Code behandeln. Exportiere JSON aus einem Dev-Tenant und beförderst es über eine Graph-basierte Pipeline (Azure DevOps oder GitHub Actions) in die Produktion.
- Audit & Cleanup: plane eine monatliche Graph-Abfrage nach Profilen ohne Zuweisungen, ohne kürzliche Änderungen oder mit Namen, die “Copy of” enthalten. Verwaiste Duplikate sind die größte Quelle für Unordnung im Tenant.
Ein häufiger Stolperstein wird oft übersehen: Beim Duplizieren werden die Zuweisungen nicht mitkopiert. Das ist meist sogar gewünscht, sorgt aber dafür, dass ein frisch geklontes Profil zunächst auf keine Gruppe wirkt. Vergib die Zuweisungen also bewusst neu und prüfe, dass sich Quelle und Kopie nicht gegenseitig überlappen – sonst erhältst du Konflikte, wenn dieselbe Einstellung aus zwei Profilen auf dasselbe Gerät trifft.
Wenn du noch tiefer in die Automatisierung einsteigen möchtest, wirf einen Blick auf meine anderen Beiträge zu Intune und Microsoft Graph, in denen ich Deployment-Pipelines und Reporting ausführlicher behandle. Das Duplizieren von Gerätekonfigurationsprofilen als Teil eines wiederholbaren Workflows zu begreifen ist genau das, was einen aufgeräumten Tenant von einem wuchernden unterscheidet.