Intune Wave Deployment: Create Smart Device Groups

Intune Wave-Deployment: Gerätegruppen erstellen

Wie verteilst du heute Konfigurationsprofile, Apps oder andere Konfigurationen in Intune? In diesem Blog möchte ich erklären und ein Skript bereitstellen, mit dem du Objekte in Intune ganz einfach in Wellen ausrollen kannst. Ich helfe dir hier dabei, von dir definierte Gruppen zu erstellen, die einen festgelegten Prozentsatz deiner Geräte zusammenfassen, sodass du einen langsamen Rollout durchführen und damit die Qualität sicherstellen kannst. Das aktuelle Skript beschreibt, wie du Gerätegruppen erstellst. Wenn du diese Rollout-Wellen validierst, kann es ausserdem hilfreich sein, die Zuweisungen eines Geräts via PowerShell abzurufen. Wenn dich zudem interessiert, wie du dies auf Benutzergruppen anwendest oder wie du eine Automatisierung für die Zuweisung erstellst, schau dir meine neue Version des Intune Group Assignment Scripts an.

Intune Gerätegruppen für gestaffeltes Konfigurations-Deployment

Wie komme ich an das Skript?

Du findest das Skript in meinem GitHub-Repository.

Was muss ich tun, bevor ich das Skript ausführe?

Bevor du das Skript ausführst, musst du die Tenant-ID, das Client Secret und die App-ID aus deiner App-Registrierung festlegen. Wie du eine App-Registrierung erstellst, findest du weiter unten.

Zusätzlich musst du die Gruppennamen für die verschiedenen Wellen und den Prozentsatz festlegen, wie viele Geräte zu dieser Gruppe hinzugefügt werden sollen. Wenn du mehr Gruppen haben möchtest, musst du nur die folgende Zeile hinzufügen:

$groups += '{"GroupName" : "NAME_OF_THE_GROUP" : "NUMBER_OF_PERCENTS"}' | ConvertFrom-Json

Aktuell verwendet das Skript alle Geräte als Scope. Es ist sehr wichtig, Filter hinzuzufügen, um nur die benötigten Geräte zu erhalten. Wie das Filtern funktioniert, wird weiter unten erklärt. Wenn du mit dem App-Targeting von Intune arbeitest, behalte ausserdem das Verhalten der Applicability Rule im Hinterkopf.

Wie füge ich dem Aufruf einen Filter hinzu?

Du findest im Skript einen Beispielfilter. Du kannst aber nach mehr oder weniger allen Attributen filtern, die du innerhalb des Graph-Objekts hast.
Am besten erstellst du den Filter über den Graph Explorer. Führe dazu eine Abfrage für https://graph.microsoft.com/beta/devices aus, ergänze ?$filter= und füge deine Filterbedingung hinzu. Weitere Informationen findest du in der Microsoft-Dokumentation.

Beispiel:

?$filter=operatingSystem eq 'Windows'

Wie erstelle ich eine App-Registrierung?

  • Suche nach Microsoft Entra ID
Microsoft Intune Wave-Deployment Gruppenkonfigurations-Diagramm
  • Wähle App-Registrierungen
Intune Gerätegruppen für stufenweises Konfigurations-Deployment
  • Wähle + Neue Registrierung
Microsoft Intune Wave-Deployment-Gruppen für Gerätekonfigurationen
  • Gib einen Namen ein und klicke auf Registrieren
Intune Wave-Deployment: Intelligente Gerätegruppen erstellen
  • Klicke auf API-Berechtigungen und +Berechtigung hinzufügen
Intune Wave-Deployment: Intelligente Gerätegruppen erstellen
  • Wähle Microsoft Graph
Intune Wave-Deployment: Intelligente Gerätegruppen erstellen
  • Wähle Anwendungsberechtigungen
Intune Wave-Deployment: Intelligente Gerätegruppen erstellen
  • Suche nach Group.ReadWrite.All und Device.Read.All
Intune Wave-Deployment: Intelligente Gerätegruppen erstellen
  • Klicke auf Administratorzustimmung erteilen für *** und bestätige mit Ja
Intune Wave-Deployment: Intelligente Gerätegruppen erstellen
  • Wähle Zertifikate & Geheimnisse und klicke auf + Neuer geheimer Clientschlüssel
Intune Wave-Deployment: Intelligente Gerätegruppen erstellen
  • Gib eine Beschreibung ein und wähle einen Ablaufzeitpunkt
  • Klicke auf Hinzufügen
Intune Wave-Deployment: Intelligente Gerätegruppen erstellen
  • Kopiere und speichere den Wert und die Geheimnis-ID
Intune Wave-Deployment: Intelligente Gerätegruppen erstellen

Wie funktioniert es und wie kann ich diese Gruppen nutzen?

Das Skript erstellt die Gruppen in der von dir definierten Grösse.

Intune Wave-Deployment: Intelligente Gerätegruppen erstellen

Du kannst diese Gruppen in neu erstellten Konfigurationsprofilen, Apps und allen anderen Intune-Objekten zuweisen. Du kannst mit der ersten Gruppe beginnen, um deine Konfiguration auf wenigen Geräten zu testen, und die nächste Gruppe nach ein oder zwei Tagen hinzufügen. Schliesslich kannst du entweder die letzte Gruppe ergänzen oder alles andere entfernen und die Konfiguration auf alle Geräte anwenden. Natürlich kannst du für die Zuweisung auch Filter verwenden.

Häufige Fehler und praktische Tipps

Ein paar Dinge solltest du im Hinterkopf behalten, wenn du Wellen im Produktivbetrieb einsetzt. Erstens wird die dynamische Gruppenmitgliedschaft von Entra ID nach einem Zeitplan ausgewertet, ein Gerät, das auf deinen Filter passt, landet also nicht sofort in der Wellengruppe. Plane eine kurze Verzögerung ein, bevor du erwartest, dass die Zuweisungen greifen, und gehe nicht davon aus, dass eine leere Gruppe gleich eine falsche Regel bedeutet. Zweitens solltest du sicherstellen, dass sich deine Wellen nicht überschneiden: Qualifiziert sich dasselbe Gerät für Welle eins und Welle zwei, überspringt es faktisch deinen Rollout-Plan, was den Sinn eines gestaffelten Deployments zunichtemacht.

Es hilft ausserdem, für die prozentuale Aufteilung ein stabiles, vorhersehbares Attribut zu wählen, etwa einen Hash der Geräte-ID, statt etwas, das sich häufig ändert wie die letzte Anmeldezeit. So bleibt ein Gerät zwischen den Läufen in derselben Welle, anstatt hin und her zu springen. Behalte schliesslich immer eine kleine Canary-Welle mit Testgeräten, die du direkt kontrollierst, damit du eine Änderung vollständig validieren kannst, bevor sie echte Benutzer erreicht.

Wenn du mit einem verwandten Automatisierungsszenario weitermachen möchtest, schau dir an, wie du Intune-Gerätegruppen via Microsoft Graph API in Benutzergruppen umwandelst.

13 thoughts on “Intune Wave-Deployment: Gerätegruppen erstellen

Comments are closed.