Configure device categories

Gerätekategorien konfigurieren

Um Geräte bestimmter Abteilungen oder Bereiche zu gruppieren, bietet Intune eine Funktion namens Gerätekategorien (Device Categories). Diese Gerätekategorien gibt es in Intune schon seit Langem, sind aber vielen nicht wirklich bekannt. In diesem Blogbeitrag werfen wir einen genaueren Blick darauf, was hinter dieser Funktion steckt und welche Möglichkeiten sie bietet.

Die Funktion für Gerätekategorien findest du in Microsoft Intune im Menü Devices. Im Screenshot siehst du drei Beispieleinträge, die ich für unsere Tests erstellt habe. Für die Erstellung einer Kategorie werden lediglich ein Name und optional eine Beschreibung benötigt.

Bevor wir einsteigen, lohnt sich ein kurzer Blick darauf, warum diese kleine Funktion so nützlich ist. Ohne Kategorien verlässt man sich meist auf Namenskonventionen oder manuelle Gruppenmitgliedschaften, um Geräte zu unterscheiden, was schnell schwer zu pflegen wird. Gerätekategorien geben dir ein sauberes, vom Benutzer gesetztes Attribut, auf dem du dynamische Gruppen, Filter und Zuweisungen aufbauen kannst, sodass die richtigen Apps und Richtlinien automatisch den richtigen Personen folgen.

Hinweis: Wenn du eine Gerätekategorie konfigurierst, wird der Benutzer jedes Mal, wenn er ein Gerät enrollt und das Company Portal öffnet, aufgefordert, die Gerätekategorie anzugeben.
Diese Einstellung gilt für alle Gerätetypen (Mobile und Workplace). Leider ist es nicht möglich, diese Auswahl an einen Gerätetyp oder eine Gruppe zu binden. Ich hoffe, dass sich das in Zukunft ändern wird.

Gerätekategorien konfigurieren

Nachdem wir ein neues Gerät eingerichtet und das Company Portal zum ersten Mal gestartet haben, haben wir die Möglichkeit, eine Gerätekategorie auszuwählen.  Diese Auswahl ist verpflichtend. Nachdem eine Auswahl getroffen wurde, werden die weiteren Funktionen im Company Portal angezeigt. Die Auswahl kann im Company Portal nicht mehr geändert werden, plane deine Kategorien also sorgfältig vor dem Rollout.

Gerätekategorien konfigurieren

Wenn wir das Intune-Geräteobjekt im Intune Admin Center öffnen, können wir die Gerätekategorie in den Eigenschaften sehen. Es ist außerdem möglich, die Kategorie zu ändern. Das ist praktisch, wenn ein Benutzer beim Enrollment die falsche Kategorie ausgewählt hat: Statt das Gerät neu zu enrollen, kann ein Admin den Wert einfach korrigieren, und die Mitgliedschaft in der dynamischen Gruppe aktualisiert sich beim nächsten Auswertungszyklus.

Gerätekategorien konfigurieren

Aber was ist der Vorteil der Kategorien? Wir können diese Kategorie nutzen, um dynamische Gruppen zu befüllen und sie für Zuweisungen zu verwenden. Wenn zum Beispiel jemand die Kategorie HR Department auswählt, erhält er alle erforderlichen Anwendungen als required zugewiesen. Aber wie können wir das umsetzen?

Wir erstellen eine Gruppe mit dem Mitgliedschaftstyp Dynamic device. Um die Geräte der Kategorie HR Department in dieser Gruppe zu sammeln, erstellen wir den folgenden Filter:

device.deviceCategory -eq "HR department"

Das Gerät erscheint in der Gruppe, das hat also funktioniert und wir können diese Gruppe nun für Zuweisungen verwenden.

Ein praktisches Beispiel macht das deutlicher. Stell dir vor, du hast getrennte App-Pakete für HR, Finance und Field Service. Du erstellst pro Kategorie eine dynamische Gruppe, jeweils mit der passenden device.deviceCategory -eq "..." Regel, und weist diesen Gruppen die relevanten Apps und Compliance-Richtlinien zu. Ab diesem Punkt läuft der Ablauf vollständig ohne manuelles Zutun: Ein neues HR-Notebook braucht nur, dass der Benutzer beim Enrollment “HR Department” auswählt, und die Lohn- und Onboarding-Apps landen auf dem Gerät, ohne dass du etwas manuell targetieren musst.

Gerätekategorien konfigurieren

Ich habe ein kleines Skript erstellt, um die Gerätekategorie über PowerShell zu ändern. Du findest es in meinem Git-Repository: Change-DeviceCategory.ps1

Um die IDs der Kategorien zu erhalten, kannst du den folgenden Graph-Aufruf im Graph Explorer verwenden:

https://graph.microsoft.com/beta/deviceManagement/deviceCategories

Zum Schluss noch ein paar typische Stolperfallen aus der Praxis. Der Kategoriename in deiner dynamischen Mitgliedschaftsregel muss exakt mit der konfigurierten Kategorie übereinstimmen, inklusive Gross- und Kleinschreibung sowie Leerzeichen, sonst tritt das Gerät der Gruppe stillschweigend nie bei.

Denke ausserdem daran, dass die Abfrage auf jeder Plattform erscheint, kommuniziere die verfügbaren Kategorien also vorab an deine Benutzer, um Fehlauswahlen zu vermeiden. Und plane von Anfang an einen kleinen, stabilen Satz an Kategorien: Das spätere Umbenennen oder Löschen einer Kategorie bricht die dynamischen Regeln, die davon abhängen, und ein erneutes Targetieren einer grossen Geräteflotte ist deutlich mehr Aufwand, als die Struktur gleich am ersten Tag richtig aufzusetzen.

Bleib gesund, Cheers
Jannik

2 thoughts on “Gerätekategorien konfigurieren

Comments are closed.