Wenn du jemals vor einem sich seltsam verhaltenden Intune-Gerät gesessen und dich gefragt hast „Welche Richtlinien, Profile und Apps zielen eigentlich auf dieses Gerät ab?“, dann kennst du, wie umständlich das Admin-Portal sein kann. Das PowerShell-Snippet in diesem Beitrag löst genau dieses Problem: Anhand einer Microsoft Entra ID Geräte-ID liefert es jede Intune-Zuweisung zurück, die auf das Gerät wirkt – und verknüpft dabei direkte Gerätegruppen, dynamische Gerätegruppen und benutzerbasierte Zuweisungen über den primären Benutzer des Geräts. Es ist die Art von Skript, das du für immer in deinem Werkzeugkasten behältst – nützlich beim Troubleshooting von „Warum taucht diese Richtlinie auf?“-Tickets, unverzichtbar bei Tenant-Migrationen und ein hervorragender Baustein für größere Automatisierungen.
Über das Intune Admin Center kannst du in der Geräteübersicht alle Zuweisungen eines bestimmten Geräts sehen. Im Service Release 2206 wurde sogar die Funktion ergänzt, die Gruppenmitgliedschaften eines Geräts anzuzeigen. Wenn du jedoch Automatisierungen erstellen möchtest, ist es hilfreich, diese Informationen mit PowerShell abfragen zu können. Auf Wunsch eines Benutzers aus der Community habe ich ein Skript erstellt, das dir diese Informationen zurückliefert.
Inhaltsverzeichnis
Warum die Zuweisungen eines Geräts per PowerShell abfragen
Die grafische Ansicht im Intune Admin Center ist für einen schnellen Blick auf ein einzelnes Gerät völlig in Ordnung, sie skaliert aber nicht. Sobald du Dutzende Geräte prüfen, die Ergebnisse in eine CSV exportieren oder die Daten in eine Remediation-Pipeline einspeisen möchtest, wird das Portal zum Flaschenhals. Die Zuweisungen eines Geräts per PowerShell abzufragen verwandelt eine mühsame manuelle Tätigkeit in einen wiederholbaren, skriptbaren Vorgang. Du bekommst ein sauberes Objekt zurück, das du filtern, sortieren und weiterverarbeiten kannst – genau das, was du brauchst, wenn du echte Automatisierung rund um Microsoft Intune aufbaust.
Dazu kommt der Troubleshooting-Aspekt. Wenn ein Konfigurationsprofil oder eine App unerwartet auf einem Client auftaucht, lautet die erste Frage immer „Woher kommt das?“. Das Skript beantwortet das mit harten Daten: Es läuft die Gruppenmitgliedschaften des Geräts durch, löst dynamische Gruppen auf und folgt der Beziehung zum primären Benutzer, sodass benutzerbezogene Richtlinien nicht stillschweigend übersehen werden. Genau diesen letzten Teil vergessen die meisten selbstgebauten Skripte.
Wie komme ich an das Skript
Du findest das Skript in meinem GitHub-Repository. Außerdem habe ich das Skript auch in der PowerShell Gallery veröffentlicht. Hier kannst du das Skript mit folgendem Befehl herunterladen.
Install-Script -Name Get-AllDeviceAssignmentsDas Skript authentifiziert sich gegen Microsoft Graph, achte also darauf, dass das angemeldete Konto die Berechtigung hat, Geräte, Gruppen und die verschiedenen Intune-Ressourcentypen zu lesen. Wenn du neu im Graph PowerShell SDK bist, führt dich die offizielle Microsoft-Learn-Dokumentation durch das Verbinden und das Zustimmen zu den benötigten Scopes. Sobald die Verbindung steht, genügt es, die Geräte-ID an das Skript zu übergeben.
Was liefert das Skript
Wenn du es ausführst, sammelt das Tool die Zuweisungen des Geräts und gruppiert die Ausgabe in vier übersichtliche Abschnitte, damit das Ergebnis auf einen Blick gut lesbar ist. Jeder Abschnitt wird im Folgenden mit einem Screenshot der echten Ausgabe beschrieben.
Allgemeine Geräteinformationen
Zuerst gibt das Skript die Kernfakten zum Gerät aus – Name, Betriebssystem, Besitzverhältnis, das Entra-ID-Objekt und den primären Benutzer. Dieser Kontext ist wichtig, denn der primäre Benutzer ist die Verbindung, der das Skript folgt, wenn es benutzerbezogene Richtlinien auflöst.
Gruppenmitgliedschaften
Als Nächstes folgen die Gruppenmitgliedschaften, sowohl statische als auch dynamische Gruppen. Diese korrekt aufzulösen ist der Kern des Skripts, denn nahezu jede Intune-Zuweisung ist letztlich an eine Gruppe gebunden.
Konfigurationsprofile
Der Abschnitt Konfigurationsprofile listet jeden Settings-Katalog, jede Gerätekonfiguration und jede Compliance-Richtlinie auf, die auf dem Gerät landet. Wenn du jemals ein Ticket eröffnet hast, in dem gefragt wurde, warum eine Einstellung erzwungen wird, ist das der Teil der Ausgabe, in dem du leben wirst.
Anwendungen
Schließlich zeigt der Abschnitt Anwendungen die erforderlichen, verfügbaren und zu deinstallierenden App-Zuweisungen. Zusammen mit den vorherigen Blöcken ergibt sich ein vollständiges Bild – und genau darum geht es, wenn man die Zuweisungen eines Geräts per PowerShell abruft.
Fazit
Egal ob du eine laute Ticket-Warteschlange durchsiehst, eine Migration validierst oder eine größere Automatisierung aufbaust – die Zuweisungen eines Geräts per PowerShell aufzuzählen spart echte Zeit und beseitigt Rätselraten. Hol dir das Skript aus der Gallery, führe es gegen ein Testgerät aus und passe die Ausgabe an dein eigenes Reporting an. Wenn du darauf etwas Nützliches aufbaust, würde ich mich freuen, davon zu hören – weitere Ideen zur Intune-Automatisierung findest du im Rest von jannikreinhard.com.
[…] https://jannikreinhard.com/2023/01/29/get-assignments-of-an-device-via-powershell/ […]
Thanks for that – can it work with “nested groups” as it isn’t picking up all the assignments for my tenant. For example, device is a member of “Staff 121 Devices” and then this is a member of “All Intune Devices”. There are some apps and profiles delivered to the “top level” group.
Hey Darren, this should work because i filter for devices not for groups. Can you try it out and give me feedback if it not work.