Im Active Directory war es möglich, einem Benutzer die Anmeldung nur an bestimmten Computern zu erlauben. Mit Microsoft Entra ID und Intune ist das nicht mehr ganz so einfach. In diesem Blog schauen wir uns an, wie du das mithilfe eines Custom-Profils umsetzen kannst.
Inhaltsverzeichnis
Erstellen des Custom-Profils für die Anmeldebeschränkung
- Öffne das Intune Admin Center
- Navigiere zu Devices -> Configuration Profile
- Klicke auf + Create profile
- Wähle Windows 10 and later als Plattform
- Wähle Template -> Custom als Profiltyp
- Klicke auf Create

- Gib einen Name ein und klicke auf Next

- Klicke auf Add
- Gib die folgenden Informationen ein:
- Name: LocalLoginRestriction
- OMA-URI: ./Device/Vendor/MSFT/Policy/Config/UserRights/AllowLocalLogOn
- Data Type: String
- Value:
Als Value musst du das Konto angeben, das du verwenden möchtest. Es ist auch möglich, mehrere Konten anzugeben, allerdings musst du den folgenden Tag verwenden, um sie zu trennen:
& #xF000; (Without Space between & and #)
Den Tag kannst du aber nicht einfach so verwenden. Er muss über einen XML-Decoder umgewandelt werden. Dafür gibt es Tools im Internet, oder du kopierst das ASCII-Zeichen von hier:
Hier ein paar Beispiele, die du als Value angeben kannst:
Anmeldung nur für lokale Konten erlauben:
<![CDATA[*S-1-5-113]]>
Alle Benutzer, die sich bereits lokal angemeldet haben:
<![CDATA[*S-1-2-0]]>
Die Gruppe Administrators und einen Microsoft Entra ID Benutzer hinzufügen
AdministratorsAzureAD\user@tenant.com
- Klicke auf Save
- Klicke auf Next

- Weise die Policy einer Gruppe zu
- Klicke auf Next
- Klicke auf Next
- Klicke auf Create

Jetzt testen wir das Ganze. Ich versuche, mich mit einem Benutzer anzumelden, der nicht erlaubt ist.
So sieht der Bildschirm aus, wenn sich ein Benutzer anzumelden versucht, der nicht in der Liste steht.

Bevor du das breit ausrollst, lohnt es sich zu verstehen, was AllowLocalLogOn genau bewirkt. Die Policy definiert die vollständige Liste der Konten, die sich interaktiv am Gerät anmelden dürfen. Sie wird nicht zusätzlich zu den Windows-Standardrechten angewendet, sondern ersetzt diese. Sobald du also einen Wert zuweist, verliert jedes Konto, das nicht ausdrücklich aufgeführt ist, die Möglichkeit zur lokalen Anmeldung, selbst Mitglieder der lokalen Gruppe Administrators, sofern du sie nicht selbst in den Wert aufnimmst.
Ein praktisches Beispiel hilft hier. Stell dir vor, du weist das Profil einem Kiosk-Gerät zu und setzt als Wert einen einzelnen Microsoft Entra ID Benutzer. Nachdem die Policy angewendet wurde, kann sich dieser Benutzer anmelden, aber dein lokaler Break-Glass-Admin kommt nicht mehr auf den Desktop. Aus diesem Grund empfehle ich, während des Testens die lokale Gruppe Administrators in der Liste zu behalten, damit du einen Weg zurück auf das Gerät hast, falls etwas schiefgeht.
Häufige Fehler bei der Anmeldebeschränkung
- Sich selbst aussperren: nimm immer ein Wiederherstellungskonto auf, etwa die lokale Gruppe Administrators, bis du bestätigt hast, dass die Policy wie erwartet funktioniert.
- Falsches Trennzeichen: der Wert ist ein einzelner String und mehrere Konten müssen mit dem decodierten Zeichen
verbunden werden, nicht mit Komma, Semikolon oder Zeilenumbruch. - Format des Kontonamens: Microsoft Entra ID Konten werden als
AzureAD\user@tenant.comgeschrieben, während lokale Konten und bekannte SIDs ihre eigene Schreibweise nutzen. - Zuweisungsbereich: weise das Profil einer Gerätegruppe statt einer Benutzergruppe zu, da das Recht pro Gerät konfiguriert wird.
Wenn du die Beschränkung wieder aufheben möchtest, entfernst du einfach die Zuweisung des Profils oder löschst das Profil. Das Gerät fällt beim nächsten Sync auf die Windows-Standardrechte zurück und die zuvor blockierten Konten können sich wieder anmelden. Es ist sinnvoll, diesen Rollback-Pfad in deinem Test-Ring zu prüfen, damit du genau weißt, wie lange die Änderung bis zur Wirksamkeit braucht.
Fazit
Das Einschränken der Anmeldung kann für spezielle Anwendungsfälle erforderlich sein. Leider ist dies derzeit nur mit lokalen und Microsoft Entra ID Benutzern oder lokalen Gruppen möglich. Eine zentrale Verwaltung über eine Microsoft Entra ID Gruppe ist aktuell nicht möglich. Ein separater Blogbeitrag behandelt einen möglichen Workaround.
Bleib gesund, Cheers
Jannik
Hi, is it possible to add an Azure AD group, rather than a username? Thanks!
Hey yes it is now possible via a new Account Protection Policy. If you want I can create a blog post about this.
AdministratorsAzureAD\sys.admin@xxxxx.com we are using this in the Value part , but the user is not able to log in into device. The device is stuck and so are we.
Hey Ashish, can you try this solution: https://jannikreinhard.com/2022/05/22/how-to-restrict-the-login-to-dedicated-users-with-intune-part-2/
As far as i know via Account Protection policy it is only possible to modify known local groups ? can this also be used to restrict / allow login for azure AD Groups ? how does this look like just via SID or also AzureAD\Groupname ? if you can give more information on that would be great
[…] via Intune. Intune has a cool new feature that allows you to manage the members of local groups. In my previous blog I did this restriction with a configuration profile and put a aad user into the local group. Now […]
Hi.
We tried this, using AdministratorsAzureAD\person@domain.com. This denied everyone from logging on, includnig any admins and the user listed. This persists even after deleting the configuration policy. Do you know a fix for this?
Thanks
Hey Anders, yes this is an issue of this configuration profile. You can remove this via a Account protection policy. Here you cen specify delete group.