Automatische Zuweisungsgruppen sind nützlich, wenn die App-Bereitstellung konsistent bleiben soll, ohne jedes Mal manuell eine neue Microsoft Entra-Gruppe zu erstellen, sobald eine Intune-App hinzugefügt wird. Das Muster funktioniert am besten, wenn Gruppennamen, App-Namen und Zuweisungsabsicht derselben Konvention folgen.
In Produktiv-Tenants empfehle ich, den Ablauf zur Gruppenerstellung zunächst mit einer Pilot-Anwendung zu validieren. Prüfe die erstellte Gruppe, verifiziere die Intune-Zuweisung und dokumentiere die Namenskonvention, bevor du die Automatisierung Gruppen für einen größeren Anwendungskatalog erstellen lässt.
Wenn du im Intune Admin Center eine neue App erstellst und sie nicht AllUsers/AllDevices zuweist, ist es immer etwas Aufwand, für jede App eine eigene Gruppe für die Available-/Required- und Uninstall-Zuweisungen zu erstellen. Du weißt, dass ich Automatisierung liebe. Um Zeit zu sparen und diese Arbeit zu automatisieren, beschreibe ich in diesem Blog, wie du ein Runbook erstellen kannst, das diese Aufgabe komplett übernimmt.

Inhaltsverzeichnis
Eine App-Registrierung erstellen
- Suche nach Microsoft Entra ID

- Wähle App registration

- Wähle +New registration

- Gib einen Name ein und klicke auf Register

- Klicke auf API permissions und +Add a permission

- Wähle Microsoft Graph

- Wähle Application permissions

- Suche nach DeviceManagementApps.ReadWrite.All und Group.Create


- Klicke auf Grant admin consent for *** und bestätige mit Yes

- Wähle Certificates & secrets und klicke auf +New client secret

- Gib eine Description ein und wähle eine Expires time
- Klicke auf Add

- Kopiere und speichere den Value und die Secret ID

Automation Account erstellen
- Suche nach Automation Accounts

- Klicke auf + Create

- Wähle eine Subscription und eine Resource group
- Gib einen account name ein und wähle eine Region
- Klicke auf Next

- Klicke auf Next

- Klicke auf Next -> Next -> Create

Das Runbook erstellen
- Öffne den Automation Account
- Navigiere zu Variables und klicke auf + Add a variable

- Füge den Secret Value und die App ID als Variable hinzu





- Wähle Runbooks
- Klicke auf + Create a runbook

- Gib einen Name ein
- Wähle PowerShell als Runbook-Typ
- Wähle 5.1 als Runtime-Version
- Klicke auf Create

- Füge das Skript aus meinem GitHub-Repository ein
- Gib das Gruppen-Prefix ein

- Speichere und teste das Skript


- Klicke auf Publish

- Navigiere zu Schedules und klicke auf + Add a schedule


- Klicke auf Link to schedule und füge den erstellten schedule hinzu


Warum das wichtig ist und häufige Stolperfallen
Der eigentliche Mehrwert dieses Ansatzes zeigt sich im großen Maßstab. Sobald ein Tenant über ein paar Dutzend Apps hinauswächst, wird das manuelle Erstellen einer Available-, Required- und Uninstall-Gruppe für jede einzelne Anwendung zu einer zuverlässigen Quelle für Tippfehler, inkonsistente Namen und vergessene Zuweisungen. Indem du die Gruppen direkt aus dem App-Katalog generierst, stellst du sicher, dass jede App exakt derselben Konvention folgt, was spätere Automatisierung, Auswertungen und Aufräumarbeiten deutlich erleichtert.
Ein paar Stolperfallen sind erwähnenswert. Erstens benötigt die App-Registrierung sowohl DeviceManagementApps.ReadWrite.All als auch Group.Create; fehlt die Admin-Zustimmung, schlägt das Runbook beim Erstellen der Gruppe lautlos fehl. Zweitens solltest du das Runbook in einem Intervall ausführen, das zu deiner App-Anlage passt, stündlich ist meist übertrieben und füllt nur die Audit-Logs, während ein- bis zweimal täglich für die meisten Teams völlig ausreicht. Drittens lege im Vorfeld fest, ob die erstellten Gruppen Sicherheitsgruppen sind, denn der Gruppentyp lässt sich später nicht mehr ändern und du müsstest alles neu erstellen und zuweisen.
Ein praktischer Tipp: Halte das Gruppen-Präfix kurz, aber aussagekräftig, zum Beispiel App- gefolgt vom Anwendungsnamen und der Absicht, sodass ein kurzer Blick in Entra ID sofort verrät, wofür jede Gruppe steht. Kombiniere das mit einer dynamischen Mitgliedschaftsregel oder einem Power-Automate-Flow und du hast eine vollständig automatisierte Kette von der neuen App bis zur befüllten Zuweisungsgruppe.
Fazit
Ich denke, diese Automatisierung kann im Alltag viel Arbeit sparen: Wenn nicht jede App automatisch allen zur Verfügung gestellt wird, sondern dies über manuelle Zuweisungen erfolgt, hast du dir die gesamte Arbeit zum Erstellen der zugehörigen Gruppen gespart. Mit Power Automate hast du unzählige Möglichkeiten, dies zu erweitern, zum Beispiel um diese Gruppen anhand von CMDB-Daten mit Geräten oder Benutzern zu füllen, oder du kannst für jede App zusätzlich AllUsers/AllDevices als available anhängen. Das Skript lässt sich natürlich beliebig anpassen, um zum Beispiel die Zusammensetzung des Gruppennamens zu ändern.
Für weitere Ideen rund um das App-Handling schau dir Easy and Effective App Management in Intune an. Für die neueste Iteration wirf einen Blick auf meine neue Version des Intune Group Assignment Scripts.
Bleib gesund, Cheers
Jannik
[…] https://jannikreinhard.com/2022/07/21/automatically-create-assignment-groups-when-a-app-is-created/ […]