Add Azure AD Users and Groups to Local Groups with Intune

Entra ID Benutzer zu lokalen Gruppen hinzufügen

In diesem Blog schauen wir uns an, wie du Microsoft Entra ID (früher Azure AD) Gruppen oder Benutzer mit Intune und Custom Profiles zu einer lokalen Gruppe hinzufügen kannst.

Das Hinzufügen einer Microsoft Entra ID Gruppe zu einer lokalen Gruppe ist eine der häufigsten Anforderungen für Endpoint-Admins, die erweiterte Rechte vergeben möchten, ohne jedes Gerät einzeln anzufassen. Typische Szenarien sind lokale Administratorrechte für ein Helpdesk-Team, das Zuordnen einer Abteilungsgruppe zur lokalen Gruppe Remote Desktop Users oder die Steuerung, wer sich an bestimmten Maschinen anmelden darf. Da die Zuweisung aus der Cloud gesteuert wird, vermeidest du den manuellen Drift, der entsteht, wenn Geräte einzeln von Hand konfiguriert werden.

Vor der Cloud-Verwaltung wurden lokale Administratoren pro Gerät gepflegt, was bei wachsender Geräteanzahl schnell unübersichtlich wurde. Mit Intune kannst du eine Azure AD Gruppe zentral zur lokalen Gruppenmitgliedschaft hinzufügen und sie über die gesamte Flotte hinweg konsistent halten. Wichtig zu verstehen ist, dass Windows nicht direkt mit dem Gruppennamen, sondern mit der SID (Security Identifier) arbeitet. Deshalb müssen wir zuerst die ObjectID der Entra ID Gruppe in ihre SID umwandeln, bevor wir sie im Custom Profile referenzieren können.

Zunächst erstellen wir eine Microsoft Entra ID Gruppe und fügen einige Mitglieder zu dieser Gruppe hinzu.

  • Öffne das Intune admin center
  • Klicke auf Groups -> + New group
  • Wähle Security als Group type und gib einen Group name ein
  • Füge unter dem Bereich Members einige Benutzer zur Gruppe hinzu
  • Klicke auf Create
Intune Custom Profile zum Hinzufügen einer Azure AD Gruppe zu einer lokalen Gruppe

Als Nächstes müssen wir die Group SID auslesen. Dazu benötigen wir zuerst die ObjectID der Gruppe. Diese ID findest du in den Eigenschaften der Gruppe.

Microsoft Endpoint Manager Custom Profile für lokale Gruppenmitgliedschaft

Wir nutzen den Graph Explorer, um die ObjectID in die SID umzuwandeln. Füge die folgende URL gefolgt von der Group Object ID hinzu:

https://graph.microsoft.com/v1.0/groups/1ad111aa1-a1aa-1a11-1111-a11111a11a111
  • Führe die Abfrage mit dem Button Run query aus
  • In den Ergebnissen findest du den securityIdentifier
Azure AD Gruppe zu lokaler Gruppe hinzugefügt

Nun erstellen wir ein Custom Configuration Profile, um die Microsoft Entra ID Gruppe mit der lokalen Gruppe zu synchronisieren. Für umfassendere Endpoint-Management-Aufgaben wie Patching, Reporting und Elevation kannst du dir auch Right Click Tools for SCCM & Intune ansehen.

  • Öffne das Intune admin center
  • Navigiere zu Devices -> Configuration Profile
  • Klicke auf + Create profile
  • Wähle Windows 10 and later als Platform
  • Wähle Template -> Custom als Profile type
  • Klicke auf Create
Azure AD Gruppe zu lokaler Gruppe hinzugefügt
  • Gib einen Name ein
  • Klicke auf Next
Azure AD Gruppe zu einer lokalen Gruppe hinzugefügt
  • Klicke auf Add
  • Gib die folgenden Informationen ein:
  • Name: AddAdGroupToLocalGroup
  • OMA-URI: ./Device/Vendor/MSFT/Policy/Config/RestrictedGroups/ConfigureGroupMembership
  • Data Type: String
  • Value:
<groupmembership>
	<accessgroup desc = "LoginUsers">
		<member name = "S-1-12-1-1111111111-1111111111-11111111111-111111111" />
	</accessgroup>
</groupmembership>
  • <accessgroup desc>:  Trage den Namen der lokalen Gruppe ein.
  • <member name>: Trage die oben ermittelte Group SID, den Benutzernamen eines lokalen Benutzers oder eine Microsoft Entra ID Benutzer-SID ein (du kannst auch mehrere Zeilen hinzufügen).
Azure AD Benutzer und Gruppen mit Intune zu lokalen Gruppen hinzufügen
  • Weise die Policy einer group zu
  • Klicke auf Next
Azure AD Benutzer und Gruppen mit Intune zu lokalen Gruppen hinzufügen
  • Klicke auf Next
  • Klicke auf Create

Wenn wir uns die lokale Gruppe ansehen, erkennen wir, dass die Microsoft Entra ID Gruppe ein Mitglied ist.

Azure AD Benutzer und Gruppen mit Intune zu lokalen Gruppen hinzufügen

Ein paar Punkte solltest du im Hinterkopf behalten: Die RestrictedGroups Policy ist autoritativ. Das bedeutet, die Mitglieder, die du auflistest, ersetzen die bestehenden Mitglieder der lokalen Gruppe, statt sie zu ergänzen. Trage also bewusst alle gewünschten Mitglieder ein, sonst entfernst du versehentlich vorhandene Administratoren. Teste die Konfiguration immer zuerst auf einem Pilot-Gerät, bevor du sie breit ausrollst.

Du kannst mehrere lokale Gruppen in einem Profil verwalten, indem du einfach weitere accessgroup Blöcke im XML hinzufügst. So lässt sich beispielsweise gleichzeitig eine Gruppe zu den lokalen Administratoren und eine andere zu den Remote Desktop Users hinzufügen. Achte beim Bearbeiten des XML darauf, dass die SID korrekt aus dem securityIdentifier übernommen wurde, denn ein Tippfehler in der SID führt dazu, dass die Mitgliedschaft stillschweigend nicht angewendet wird.

Der Weg ist etwas umständlich, aber er funktioniert. Leider gibt es dafür keine ordentliche Konfigurationsrichtlinie. Wenn du viel mit Intune Gruppen arbeitest, gefällt dir vielleicht auch mein Beitrag über das Konvertieren von Device Groups in User Groups via Graph API. Vielen Dank, dass du diesen Blogbeitrag gelesen hast.

Bleib gesund, Cheers
Jannik