Sobald du Windows 11 als eigenen Deployment-Ring statt Windows 10 behandelst, brauchst du einen sauberen Weg, um Richtlinien, Anwendungen und Conditional Access auf “alle Windows 11 Geräte im Tenant” einzugrenzen – ohne eine statische Gruppe manuell zu pflegen. Die gute Nachricht: Entra ID unterstützt dynamische Gerätegruppen mit umfangreicher Regelsyntax, und du kannst Windows 11 anhand der OS-Version, der Build-Nummer oder des device-category-Attributs mit einer einzigen Zeile als dynamische Mitgliedschaftsregel ansprechen. Dieser Beitrag zeigt die Mitgliedschaftsregeln, die ich in produktiven Tenants verwende, mit Beispielen für Windows 11 21H2 bis 23H2 und darüber hinaus.
Da Windows 11 in Unternehmensumgebungen mittlerweile weit verbreitet ist, möchtest du Konfigurationen oder Apps vielleicht gezielt auf Windows 11 Geräten testen. Für diese Tests brauchst du eine Gruppe in Microsoft Entra ID. In diesem Blog zeige ich dir, wie du eine dynamische Gruppe erstellst, die alle Windows 11 Geräte enthält. Außerdem zeige ich dir, wie du einen Gerätefilter für Windows 11 erstellst.
Inhaltsverzeichnis
Warum du deine Windows 11 Geräte mit Intune gruppieren solltest
Bevor wir in die Schritte einsteigen, lohnt sich ein kurzer Blick darauf, warum sich der Aufwand überhaupt lohnt. Eine dynamische Gruppe gibt dir ein stabiles Zuweisungsziel, das sich selbst aktualisiert, sobald neue Geräte registriert oder auf Windows 11 aktualisiert werden. Du musst also nie daran denken, ein Gerät von Hand hinzuzufügen – Entra ID wertet die Mitgliedschaftsregel aus und hält die Gruppe automatisch synchron. Genau das ist die Grundlage einer sauberen, ringbasierten Rollout-Strategie und der Hauptgrund, warum viele Admins lieber dynamische Gruppen statt statischer Gruppen nutzen.
- Teste neue Feature-Updates zuerst nur auf Windows 11, bevor sie Windows 10 erreichen.
- Weise Windows 11-spezifische Konfigurationsprofile und Settings-Catalog-Richtlinien zu.
- Grenze Conditional Access und Compliance-Richtlinien auf die richtige OS-Generation ein.
- Verteile Anwendungen, die nur unter Windows 11 unterstützt werden.
Eine dynamische Microsoft Entra ID Gruppe für Windows 11 erstellen
Wir beginnen nun mit der Erstellung einer dynamischen Microsoft Entra ID Gruppe. Natürlich kannst du dieses Vorgehen auch für andere Gruppierungen auf Basis anderer Attribute verwenden.
- Wähle Gruppen

- Klicke auf + Neue Gruppe

- Gib einen Gruppennamen ein
- Wähle Dynamic Device als Mitgliedschaftstyp
- Klicke unter Dynamic Device Members auf Add dynamic query.

- Erstelle die folgende Regel:
(device.deviceOSVersion -startsWith "10.0.2")
- Wähle “deviceOSVersion” als Property
- Wähle “Starts With” als Operator
- Trage “10.0.2” als Value ein
- Klicke auf Save

- Klicke auf Create

- Erstelle die folgende Regel:
(device.deviceOSVersion -startsWith "10.0.2")
- Öffne die Gruppe
- Klicke auf Dynamic membership rules
- Klicke auf Validate Rules (Preview)

- Klicke auf Add devices
- Wähle ein Windows 11 Gerät
- Prüfe, ob der Filter zum Gerät passt. Das erkennst du am grünen Häkchen.

Validiere die Regel immer, bevor du sie für produktive Zuweisungen verwendest. Entra ID bietet dafür ein integriertes Validierungswerkzeug, mit dem du bestätigen kannst, dass ein bekanntes Windows 11 Gerät erfasst und ein Windows 10 Gerät ausgeschlossen wird. Die erste Auswertung der dynamischen Mitgliedschaft kann ein paar Minuten dauern – wundere dich also nicht, wenn die Mitgliederzahl direkt nach dem Erstellen noch leer ist.
Nach einer kurzen Verzögerung sollten die Geräte als Mitglieder in der Gruppe erscheinen.

Einen Windows 11 Gerätefilter erstellen
Nach dem Erstellen der dynamischen Microsoft Entra ID Gruppe schauen wir uns an, wie du einen Filter erstellst. Das kann zum Beispiel für Benutzerzuweisungen nützlich sein.
- Wähle Tenant administration
- Wähle Filter (Preview)
- Klicke auf + Create

- Trage einen Name für den Filter ein
- Klicke auf Next
- Wähle Windows 10 and later als Plattform

- Wähle “deviceOSVersion” als Property
- Wähle “Starts With” als Operator
- Trage “10.0.2” als Value ein
- Klicke auf Next

- Klicke auf Create

Gruppe oder Filter: was solltest du wählen?
Eine häufige Frage ist, ob man eine dynamische Gruppe oder einen Filter verwenden sollte. Beide Ansätze lösen leicht unterschiedliche Probleme. Nutze eine dynamische Gruppe, wenn du ein wiederverwendbares Zuweisungsziel über viele Richtlinien und Apps hinweg brauchst. Verwende einen Filter, wenn du Windows 11 Geräte in einer bestehenden, breiten Zuweisung ein- oder ausschließen möchtest, ohne dafür zusätzliche Gruppen anzulegen. In der Praxis kombinieren viele Teams beides: eine dynamische Gruppe für die breite Adressierung plus Filter für feingranulare Ausnahmen. Mehr Details zur Syntax und zu den unterstützten Eigenschaften findest du in der offiziellen Microsoft-Learn-Dokumentation zu Intune-Filtern.
Fazit
Obwohl Microsoft das zugrunde liegende Versionsschema bei 10.0.2XXXX belassen und nicht auf 11.X.X umgestellt hat, hilft dir dieser Blog dabei, deine Windows 11 Geräte zu gruppieren, damit du sie mit Richtlinien, Apps und Conditional Access ansprechen kannst.
Bleib gesund, Cheers
Jannik