Dies ist Teil 2 von „Wie du die Anmeldung mit Microsoft Intune auf bestimmte Benutzer beschränkst“. Während Teil 1 den standardmäßigen, CSP-basierten Ansatz behandelt hat, führt dich Teil 2 durch die fortgeschritteneren Konfigurationen – darunter dynamische Gruppenfilterung, die Integration von Conditional Access und die Stolperfallen, die du erst entdeckst, nachdem du auf tausend Geräten ausgerollt hast.
Hallo zusammen, nach mehreren Monaten Inaktivität möchte ich hier auf meinem Blog wieder regelmäßig neue Inhalte veröffentlichen. Ich starte mit einem Thema, über das ich bereits letztes Jahr gebloggt habe. In diesem Beitrag geht es darum, wie du über Intune einschränken kannst, wer sich an Windows anmelden darf. Intune verfügt über eine coole neue Funktion, mit der du die Mitglieder lokaler Gruppen verwalten kannst.
In how to restrict the login to dedicated users with intune habe ich diese Einschränkung mit einem Konfigurationsprofil umgesetzt und einen Microsoft Entra ID Benutzer über ein benutzerdefiniertes Profil und eine OMA-URI in die lokale Gruppe aufgenommen. Mittlerweile hat Microsoft eine neue CSP hinzugefügt, mit der du dies auf eine viel elegantere Weise erledigen kannst. Wie du das nutzt, erkläre ich dir jetzt in diesem Blogbeitrag.
Inhaltsverzeichnis
Account Protection Policy erstellen
- Öffne das Intune Admin Center
- Klicke auf Endpoint security -> Account protection
- Klicke auf + Create Policy
- Wähle Windows 10 and later als Platform und Local user group membership als Profile
- Klicke auf Create

- Gib einen Name ein und klicke auf Next.

- Wähle die lokale Gruppe aus, die du verwalten möchtest.
- Wähle die Aktion aus, die du durchführen möchtest:
- Add (Update): Fügt den Benutzer/die Benutzer oder die Gruppe/n zur Gruppe hinzu und behält die aktuellen Gruppenmitgliedschaften bei.
- Remove (Update): Entfernt den Benutzer/die Benutzer oder die Gruppe/n aus der Gruppe und behält die aktuelle Gruppenmitgliedschaft bei.
- Add (Replace): Ersetzt die aktuelle Gruppenmitgliedschaft durch den/die ausgewählten Benutzer oder die ausgewählte/n Gruppe/n.
- Wähle den/die Benutzer oder die Gruppe/n.
- Klicke auf Next.

| Wenn du regeln möchtest, dass sich nur ein bestimmter Benutzer am PC anmelden darf, musst du die folgenden Einstellungen auswählen: – Local Group: Users – Group and user action: Add (Replace) – User selection type: Users/Groups – Selected users/group: Wähle den Benutzer oder die Gruppe aus, die du hinzufügen möchtest |
![]() |
- Weise die Policy zu.
- Klicke auf Next und im Abschnitt Scope Tags erneut auf Next.

- Klicke auf Create

Warum du die Anmeldung mit Intune einschränken solltest
Bevor wir in die Konfiguration einsteigen, lohnt sich ein Blick auf das Warum. In vielen Organisationen sollen geteilte Geräte, Kiosk-Systeme, Frontline-Worker-Laptops oder besonders schützenswerte Workstations nur einem klar definierten Personenkreis offenstehen. Wenn du die Anmeldung mit Intune auf bestimmte Benutzer beschränkst, bekommst du genau dafür einen sauberen, richtliniengesteuerten Weg – ganz ohne Active Directory oder fehleranfällige Anmeldeskripte. Statt auf lokale Konten zu setzen, steuerst du exakt, welche Microsoft Entra ID Benutzer oder Gruppen in der lokalen Gruppe Users oder Administrators landen.
Dieser Ansatz skaliert ausserdem hervorragend. Da die Richtlinie an Intune-Gruppen zugewiesen wird, kannst du tausende Geräte mit einer einzigen Konfiguration adressieren, und die Mitgliedschaft bleibt konsistent – auch wenn Personen einem Team beitreten oder es verlassen. So entsteht eine vorhersehbare, prüfbare Sicherheits-Baseline, die Neustarts, Reimaging und Autopilot-Resets übersteht.
Tipps und häufige Stolperfallen
Ein paar hart erarbeitete Erkenntnisse möchte ich dir mitgeben. Sei zunächst sehr vorsichtig mit der Aktion Add (Replace) auf der lokalen Gruppe Administrators. Wenn du deren Mitgliedschaft ersetzt und dabei vergisst, ein Notfall-Adminkonto zu behalten, kannst du dich selbst aus Recovery-Szenarien aussperren. Auf der Gruppe Users sind die Auswirkungen deutlich weniger drastisch, also starte am besten dort, während du das Verhalten validierst.
Beachte ausserdem, dass die Richtlinie mit dem Security Identifier (SID) der ausgewählten Microsoft Entra ID Benutzer und Gruppen arbeitet. Ist ein Gerät noch nicht vollständig gejoint und synchronisiert, greift die Mitgliedschaft beim ersten Sync-Zyklus möglicherweise noch nicht. Gib ihm etwas Zeit oder stosse einen manuellen Sync an und prüfe das Ergebnis anschliessend mit net localgroup Users in einer Eingabeaufforderung mit Administratorrechten.
Kombiniere diese Kontrolle zudem mit Conditional Access. Das Einschränken der lokalen Gruppenmitgliedschaft verhindert, dass sich die falschen Personen lokal anmelden – die Kopplung mit Conditional Access ergänzt eine zweite Ebene, die auch die Cloud-Anmeldungen reguliert. Zusammen ergibt das ein Defense-in-Depth-Modell, wenn du die Anmeldung mit Intune auf bestimmte Benutzer beschränkst.
Dieser Weg ist viel einfacher und eleganter als der Weg, den ich letztes Jahr verwendet habe. Wenn du mehr Informationen zu diesem Thema benötigst, findest du sie auch in der MS Tech Community. Ich hoffe, dieser Blogbeitrag hilft dir bei der Beantwortung der Frage, wie du lokale Gruppen mithilfe von Intune verwalten kannst.
Bleib gesund, Cheers
Jannik
