Mit der Einführung der Assignment Filter hat der Nutzen von Applicability Rules abgenommen. Mit Applicability Rules konntest du festlegen, auf welchen OS-Versionen ein Konfigurationsprofil wirken soll. Leider wurde für einige Konfigurationsprofiltypen auch die Möglichkeit entfernt, Applicability Rules über die Konsole zu konfigurieren oder zu löschen. Es ist zu erwarten, dass dies nach und nach auch für weitere Typen passiert. In diesem Blogbeitrag möchte ich dir zeigen, wie du ganz einfach alle Applicability Rules entfernen und so schnell wie möglich auf Filter umsteigen kannst.
Inhaltsverzeichnis
Die Nadel im Heuhaufen finden
Durch die oben genannte Änderung kann es passieren, dass bestimmte Profiltypen die Möglichkeit, Applicability Rules über die Konsole zu konfigurieren, nicht mehr anzeigen. Es ist wirklich schwer, die Ursache und den Grund für nicht zutreffende Zuweisungen von Konfigurationsprofilen zu finden.
Wenn du ein solches Profil über Graph betrachtest, siehst du, dass eine Applicability Rule daran hängt. Das kann zu Verwirrung und langem Troubleshooting führen, um die Ursache zu finden, warum ein Profil auf einem Gerät nicht funktioniert.
Warum ist das im Alltag so relevant? Wenn ein Profil stillschweigend nicht angewendet wird, zeigt dir das Admin Center selten, dass eine Applicability Rule die Ursache ist. Du siehst ein Gerät, das adressiert ist, die Einstellung aber nie zurückmeldet, während die Zuweisung völlig gesund aussieht. Ohne das zugrunde liegende Objekt über Graph zu prüfen, verbringst du leicht Stunden damit, Gruppenmitgliedschaft, Sync-Status und Autopilot-Enrollment zu validieren, bevor du die Applicability Rule überhaupt als Ursache in Betracht ziehst.
Mit Assignment Filtern kannst du dasselbe wie mit einer Applicability Rule tun, aber viel mehr und deutlich komplexer. In einem meiner Blogbeiträge habe ich erklärt, wie man mit Assignment Filtern arbeitet.
Alle Applicability Rules entfernen
Um den Wechsel von Applicability Rules zu Assignment Filtern zu erleichtern, oder falls du eine Applicability Rule löschen möchtest, die du über die UI nicht löschen kannst, habe ich ein Skript geschrieben, das es dir einfacher macht. Dieses Skript geht alle Konfigurationsprofile durch und löscht diejenigen, an denen noch eine Applicability Rule hängt. In der Ausgabe siehst du, welches Profil angepasst wurde, und du kannst anschließend prüfen, ob du es nicht mehr benötigst oder ob du einen Filter an die Zuweisung anhängen möchtest.
Was du tun musst:
- Lade das Skript aus meinem GitHub-Repository herunter
- Prüfe, ob du alle oder nur bestimmte löschen möchtest. Das Skript ist so geschrieben, dass es alle löscht; wenn du jedoch nur bestimmte möchtest, kannst du die folgende Zeile hinzufügen:
....
Get-MgDeviceManagementDeviceConfiguration | ForEach-Object {
if(-not ($_.displayname -eq "name of the profile")){continue}
....Ein praktischer Tipp, bevor du das gegen einen Produktiv-Tenant ausführst: Beginne in einer Test- oder Pilotumgebung, oder grenze den Lauf zumindest mit der obigen Zeile auf ein einzelnes Profil ein. Das Entfernen einer Applicability Rule verändert, wie ein Profil sein Targeting auswertet, daher solltest du das erwartete Verhalten zuerst an einem bekannten Gerät bestätigen. Es ist außerdem ratsam, deine aktuellen Profile vorher zu exportieren, damit du eine Aufzeichnung hast, welche Regeln existierten, falls du dieselbe Logik später als Filter nachbauen musst.
Ein häufiger Stolperstein ist die Annahme, dass das Löschen der Applicability Rule sie automatisch durch einen gleichwertigen Filter ersetzt. Das tut es nicht. Das Skript entfernt nur die Regel; du musst weiterhin einen Assignment Filter erstellen, der die OS-Versionslogik abbildet, auf die du dich verlassen hast, und ihn an die relevanten Zuweisungen anhängen. Plane dieses Mapping zuerst, sonst wird ein Profil, das zuvor nur Windows 11 adressiert hat, plötzlich auf jede unterstützte Version angewendet.
Fazit
Ich hoffe, ich konnte dir mit diesem Blogbeitrag helfen, die Troubleshooting-Zeit für Profile zu verkürzen, die aus irgendeinem Grund nicht angewendet werden, oder dir dabei helfen, von den Applicability Rules wegzukommen und auf die deutlich mächtigeren Filter umzusteigen. Wenn du den Bedarf hast, automatisch einen Filter zu erstellen und auf alle bestehenden Zuweisungen anzuwenden, lass es mich wissen, und ich füge das gerne dem Skript hinzu.
Bleib gesund, Cheers
Jannik
Update 02.08.2022
Du kannst mein Skript auch aus der PowerShell Gallery herunterladen:
Install-Script -Name Remove-ApplicabilityRule
[…] https://jannikreinhard.com/2022/07/03/applicability-rule-gone-but-still-there/ […]