Anleitungen für Leser des Jannik Reinhard Blogs

Intune-Einrichtungsanleitungen & How-Tos sind Teil der Sammlung „Anleitungen für Leser des Jannik Reinhard Blogs“ und erklären wiederverwendbare Einrichtungsschritte für Microsoft Intune, Azure und Endpoint-Management für die Anleitungen des Technik-Blogs.

Eine gute Möglichkeit, diese Referenz zu nutzen, besteht darin, sie als Vorbereitungsschritt zu behandeln, bevor du das eigentliche Tutorial angehst. Öffne den verlinkten Artikel in einem Tab und diese Anleitungsseite in einem anderen Tab. Schließe die Grundkonfiguration hier ab, überprüfe das Ergebnis im entsprechenden Portal und fahre dann mit dem artikelspezifischen Deployment fort. Das reduziert Fehler, weil du die Voraussetzungseinrichtung nicht mit der eigentlichen Lösungslogik vermischst.

Für die Intune-fokussierten Artikel auf dieser Seite funktioniert die Anleitungsseite wie eine gemeinsame Bibliothek für Voraussetzungen. Beginne hier, wenn ein Beitrag voraussetzt, dass du bereits weißt, wie man eine Win32-App paketiert, wo sich das Intune Admin Center befindet oder welche grundlegenden Azure-Ressourcen für Reporting und Automatisierung benötigt werden. Die Schritte sind bewusst allgemein gehalten, sodass du sie über mehrere Labs und Tenant-Szenarien hinweg wiederverwenden kannst, anstatt einer einmaligen Checkliste zu folgen.

Bevor du etwas in der Produktion änderst, baue den Schritt in einem Test-Tenant nach und dokumentiere die Namen, die du für Apps, Gruppen, Skripte, Workspaces und Speicherkonten verwendest. Eine konsistente Namensgebung ist eine der einfachsten Möglichkeiten, die spätere Intune-Fehlersuche zu erleichtern, besonders wenn du Screenshots aus einer Anleitung mit deiner eigenen Umgebung vergleichst.

Anleitungen für Leser des Jannik Reinhard Blogs sammelt wiederverwendbare Intune-Einrichtungsanleitungen und How-Tos, die im gesamten Blog referenziert werden. Nutze diesen ersten Abschnitt als Orientierungspunkt für die Win32-App-Paketierung, das Intune-App-Deployment und gängige Voraussetzungen für das Microsoft Endpoint-Management, bevor du in eine artikelspezifische Anleitung einsteigst.

Das Ziel dieser Anleitungen ist es, dieselbe Grundeinrichtung nicht in jedem Beitrag wiederholen zu müssen. Wenn ein Tutorial vorgibt, eine Intune-Win32-App zu erstellen, eine Azure-Voraussetzung zu konfigurieren oder einen Lab-Tenant vorzubereiten, liefert diese Seite die wiederverwendbare Grundlage. So bleibt jeder Technik-Artikel auf die eigentliche Lösung fokussiert und gibt neuen Lesern dennoch genug Kontext, um sicher mitzukommen.

Auf dieser Seite findest du allgemeine Anleitungen für das Deployment verschiedener Dienste und das Durchführen der Grundkonfigurationen, die in vielen meiner Blogbeiträge verwendet werden.

  1. Intune
    1. Apps
      1. Create Win 32 app
  2. Azure
    1. Log Analytics
      1. Deploy an log analytics workspace
    2. Storage Account
  3. Azure OpenAI Service

Intune

Apps

Win32-App erstellen

  1. Lade die MSI-Datei herunter
  • In diesem Beispiel verwenden wir MS Teams

2. Lade das Microsoft Win32 Content Prep Tool herunter und entpacke es

  • Lade das Microsoft Win32 Content Prep Tool von GitHub herunter. Es ist ein Tool, mit dem Installationsdateien von Anwendungen in das von Intune verwendete .intunewin-Format paketiert werden. Entpacke die Dateien nach dem Herunterladen in einen Ordner auf deinem PC.

3. Die App paketieren

  • Öffne die Eingabeaufforderung als Administrator.
  • Navigiere mit dem Befehl cd in den Ordner, in den du das Win32 Content Prep Tool entpackt hast. Beispiel: cd C:\Users\username\Desktop\Win32ContentPrepTool
  • Führe den folgenden Befehl aus:
IntuneWinAppUtil.exe -c <source_folder> -s <setup_file> -o <output_folder>
  • Beispiel:
IntuneWinAppUtil.exe -c C:\Users\username\Desktop\Teams -s Teams_windows_x64.msi -o C:\Users\username\Desktop\Output

Ersetze <source_folder> durch den Pfad zum Ordner, der die Teams-MSI-Datei enthält, <setup_file> durch den Namen der Teams-MSI-Datei (einschließlich der Erweiterung .msi) und <output_folder> durch den Pfad zum Ordner, in dem du die .intunewin-Datei speichern möchtest.

Du kannst auch eine cmd- oder .ps1-Datei in den Ordner legen und sie als <setup_file> verwenden

  • Nachdem du diesen Befehl ausgeführt hast, erstellt das Win32 Content Prep Tool eine .intunewin-Datei in deinem angegebenen Ausgabeordner.

Intune-Einrichtungsanleitungen & How-Tos sind Teil der Sammlung „Anleitungen für Leser des Jannik Reinhard Blogs“ und erklären wiederverwendbare Einrichtungsschritte für Microsoft Intune, Azure und Endpoint-Management für die Anleitungen des Technik-Blogs.

Wenn du Log Analytics mit Intune verbindest, überlege dir auch, wie du die Daten später abfragen und aufbewahren möchtest. Ein Workspace kann schnell unübersichtlich werden, wenn jedes Testskript ohne Namenskonvention in dieselben Tabellen schreibt. Verwende für reproduzierbare Blog-Beispiele klare benutzerdefinierte Tabellennamen, notiere dir die Datenquelle und teste einen einzelnen Beispieldatensatz, bevor du einen größeren Automatisierungs-Workflow aktivierst.

Kostenkontrolle ist ein weiterer praktischer Grund, den Workspace bewusst einzurichten. Aufbewahrung, Datenmenge bei der Ingestion und Diagnoseeinstellungen beeinflussen alle die monatliche Rechnung. Halte die Datenmenge für Demos klein und lösche ungenutzte Ressourcen nach dem Test. Definiere für ein wiederverwendbares Lab eine Aufbewahrungsdauer, die lang genug für die Fehlersuche, aber kurz genug ist, um veraltete Endpunktdaten nicht unbegrenzt zu speichern.

Für Log-Analytics-Szenarien ist der Workspace der zentrale Ort, an dem Endpunkt-, Automatisierungs- und Reporting-Daten gesammelt und abgefragt werden können. Viele Intune-Artikel nutzen ihn, um Skript-Ausgaben, Informationen zum Gerätezustand oder historische Daten zu speichern, die sich nicht einfach direkt im Intune Admin Center analysieren lassen. Den Workspace zu Beginn korrekt einzurichten, verhindert später verwirrende Abfrageergebnisse.

Überprüfe nach dem Erstellen des Workspace die Region, die Aufbewahrungseinstellungen und die Zugriffsberechtigungen. Wenn du einer Anleitung folgst, die Daten aus Logic Apps, Azure Automation oder einem PowerShell-Skript sendet, stelle sicher, dass die von diesem Workflow verwendete Identität nur die erforderlichen Berechtigungen besitzt. Halte die Konfiguration für Lab-Arbeiten einfach; richte sie für die Produktion nach deinen Regeln für Logging, Datenschutz und Kostenmanagement aus.

Der häufigste Fehler ist das Kopieren einer Workspace-ID, eines Primärschlüssels oder eines Ressourcennamens aus dem falschen Tenant oder Abonnement. Halte diese Angaben in einer kurzen Setup-Notiz fest, während du den Artikel durcharbeitest. Das macht es viel schneller zu prüfen, ob ein Intune-Report aufgrund der Abfrage, der Identität oder des Ziel-Workspace fehlschlägt.

Azure-Einrichtungsanleitungen decken die gemeinsamen Cloud-Voraussetzungen ab, von denen viele Intune-Automatisierungs- und Reporting-Beiträge abhängen. Dieser Abschnitt erklärt den Zweck eines Log-Analytics-Workspace, warum das Azure-Portal beim Deployment verwendet wird und wie diese grundlegenden Ressourcen mit Reporting-Szenarien für das Endpoint-Management zusammenhängen.

Wenn ein Blogbeitrag Azure Monitor, Logic Apps, Microsoft Graph oder einen Intune-Reporting-Workflow nutzt, ist der erste Stolperstein oft nicht das Skript selbst, sondern die umgebende Azure-Ressourcenkonfiguration. Nutze diese Azure-Anleitungen als Checkliste: erstelle den Workspace, bestätige das richtige Abonnement und die richtige Ressourcengruppe, halte die Namensgebung konsistent und dokumentiere die Workspace-Details, bevor du zum Artikel zurückkehrst.

Für Lab-Umgebungen empfehle ich, diese Ressourcen von der Produktion getrennt zu halten und klare Namen zu verwenden, die den Tenant oder das Projekt enthalten. Das erleichtert die spätere Fehlersuche, besonders wenn mehrere Intune-Reports, Automatisierungsjobs oder Geräteverwaltungs-Experimente Daten in dieselbe Azure-Umgebung schreiben.

Azure

Log Analytics

Einen Log-Analytics-Workspace bereitstellen

  • Melde dich am Azure-Portal an
  • Suche nach Log Analytics und wähle den Dienst Log Analytics workspace aus
Anleitungen
  • Klicke auf + Create
Anleitungen
  • Wähle das Subscription und eine Resource group aus oder erstelle eine neue
  • Gib einen Name für den Workspace ein und wähle eine Region aus
  • Klicke auf Review + Create
Anleitungen
  • Klicke auf Create
Anleitungen

Intune-Einrichtungsanleitungen & How-Tos sind Teil der Sammlung „Anleitungen für Leser des Jannik Reinhard Blogs“ und erklären wiederverwendbare Einrichtungsschritte für Microsoft Intune, Azure und Endpoint-Management für die Anleitungen des Technik-Blogs.

Anleitungen zum Storage Account erklären die Azure-Speichergrundlage, die von vielen Automatisierungs- und Reporting-Beispielen verwendet wird. Ein Storage Account wird oft für Exporte, Runbook-Artefakte, Zwischendateien oder langlaufende Workflows benötigt, die einen dauerhaften Speicherort außerhalb des lokalen Geräts brauchen.

Entscheide vor dem Erstellen der Ressource, ob der Storage Account zu einem temporären Lab, einem wiederverwendbaren Demo-Tenant oder einem produktionsnahen Reporting-Setup gehört. Diese Entscheidung beeinflusst Namensgebung, Region, Zugriffsmodell, Lifecycle-Regeln und wie sorgfältig du den öffentlichen Zugriff einschränken solltest. Für die meisten Intune-Lab-Workflows ist ein privater Storage Account in derselben Region wie die übrigen Azure-Ressourcen der sicherste Standard.

Notiere nach dem Deployment den Namen des Storage Accounts, die Container-Namen und das von der zugehörigen Automatisierung verwendete Berechtigungsmodell. Wenn eine spätere Anleitung Skripte, Reports oder exportierte Intune-Daten hochlädt, lässt sich anhand dieser Angaben viel leichter überprüfen, ob der richtige Workflow an die richtige Stelle schreibt.

Storage Account

  • Melde dich am Azure-Portal an
  • Suche nach Storage Account und wähle den Dienst Storage accounts aus
Anleitungen
  • Klicke oben auf + Create
  • Wähle das Abonnement, die Ressourcengruppe und die Region aus und gib einen Namen für das Konto ein.
  • Klicke auf Review + create und create
Anleitungen

Du solltest dir auch alle anderen Einstellungen ansehen. (Für eine Produktionsumgebung wird beispielsweise empfohlen, den Speicher in ein Netzwerk zu legen, die Verschlüsselung über kundenseitig verwaltete Schlüssel zu aktivieren sowie den Datenschutz zu konfigurieren.)

Um einen Container zu erstellen, klicke auf + Container und gib einen Namen ein

Anleitungen

Die richtige Leistungsstufe und Redundanz wählen

Wenn du einen Storage Account erstellst, der Win32-App-Payloads, Skripte, benutzerdefinierte Intune-Compliance-Frameworks oder Remediation-Pakete hosten soll, sind die Konfigurationsentscheidungen, die du beim Erstellen triffst, später nur schwer zu ändern. Die Leistungsstufe Standard mit General Purpose v2 (GPv2) ist für nahezu jeden Intune-bezogenen Workload der richtige Standard, da sie die niedrigsten Kosten pro GB, vollen Funktionsumfang mit Lifecycle-Management und Zugriff auf die Zugriffsebenen Cool und Archive bietet. Premium-Block-Blob-Konten sind nur für Workloads sinnvoll, die einstellige Millisekunden-Leselatenz benötigen, was bei einem einmaligen Geräte-Download selten erforderlich ist.

In Bezug auf Redundanz hält Locally-Redundant Storage (LRS) drei synchrone Kopien innerhalb eines einzigen Rechenzentrums und ist die günstigste Option. Zone-Redundant Storage (ZRS) verteilt Kopien auf drei Verfügbarkeitszonen in derselben Region und wird immer dann empfohlen, wenn ein Ausfall eines einzelnen Rechenzentrums Geräteanmeldungen oder App-Installationen blockieren würde. Geo-Redundant Storage (GRS oder GZRS) repliziert asynchron in eine gepaarte Region und eignet sich für Compliance-Baselines oder signierte Installer-Payloads, die du nach einer regionalen Katastrophe nicht erneut hochladen kannst.

Das Konto vor der ersten Nutzung härten

Bevor du einen Container in Betrieb nimmst, deaktiviere den öffentlichen Blob-Zugriff auf Kontoebene, erzwinge TLS 1.2 oder höher als minimale Transportversion und schalte die Shared-Key-Autorisierung zugunsten von Microsoft Entra ID-Identitäten ab, wo immer dein Tooling dies unterstützt. Die Kombination dieser drei Einstellungen eliminiert die häufigsten Exfiltrationsmuster – anonyme Container-Enumeration, Man-in-the-Middle-Angriffe mit herabgestufter Verschlüsselung und in öffentlichen Repositories veröffentlichte Kontoschlüssel.

Aktiviere Soft Delete für Blobs und Container mit einem Aufbewahrungsfenster von 14 bis 30 Tagen und schalte die Blob-Versionierung ein, damit ein versehentliches Überschreiben einer signierten MSI oder eines Remediation-Skripts ohne Wiederherstellung aus einem separaten Backup rückgängig gemacht werden kann. Aktiviere für Payloads, die aus Intune-Zuweisungs-URLs referenziert werden, zusätzlich den Change Feed, sodass du einen unveränderlichen Audit-Trail jeder PUT- und DELETE-Operation hast – das ist von unschätzbarem Wert, wenn du untersuchst, warum ein Gerät plötzlich eine erwartete Installation nicht mehr erhält.

Zugriff für Intune und Geräte gewähren

Von Intune verwaltete Geräte authentifizieren sich nicht mit einer Unternehmensidentität bei Azure Storage. Die zwei praktischen Optionen sind zeitlich begrenzte User-Delegation-SAS-Tokens, die zum Deployment-Zeitpunkt von einer Azure Function oder Logic App generiert werden, oder anonymer Lesezugriff auf einen eng begrenzten Container, der nur nicht sensible, signierte Payloads enthält. Bevorzuge für alles Proprietäre immer den SAS-Ansatz, setze die SAS-Lebensdauer auf das kürzeste Intervall, das langsame Verbindungen noch ermöglicht, den Download abzuschließen, und beschränke das Token auf die Berechtigung read sowie einen bestimmten IP-Bereich, wenn Geräte hinter einem bekannten Egress-Proxy sitzen.

Intune-Einrichtungsanleitungen & How-Tos sind Teil der Sammlung „Anleitungen für Leser des Jannik Reinhard Blogs“ und erklären wiederverwendbare Einrichtungsschritte für Microsoft Intune, Azure und Endpoint-Management für die Anleitungen des Technik-Blogs.

Halte bei KI-basierten Szenarien den ersten Test klein und vorhersehbar. Sende einen kurzen Prompt, bestätige, dass das bereitgestellte Modell antwortet, und verbinde den Dienst erst dann mit einem Intune-Log, einem Richtlinien-Export oder einem Microsoft Graph-Workflow. Das erleichtert die Fehlersuche, weil du Modellzugriff, Authentifizierung, Prompt-Design und den Umgang mit Endpoint-Management-Daten in klare Schritte trennen kannst.

Für Azure OpenAI und KI-gestütztes Intune-Tooling sind die Deployment-Details ebenso wichtig wie der Code. Der Name des Modell-Deployments, die Region, die API-Version und die Kontingentgrenzen entscheiden darüber, ob ein Skript oder Agent zuverlässig laufen kann. Wenn du mehrere KI-Funktionen testest, verwende ein klares Namensschema, das Experimente von Workloads trennt, die du möglicherweise langfristig behalten möchtest.

Bedenke auch, welche Daten der Workflow an das Modell sendet. Intune-Logs, Richtliniennamen, Gerätedetails und benutzerbezogene Metadaten können sensible Informationen enthalten. Verwende in einem Lab nach Möglichkeit synthetische oder risikoarme Daten. Überprüfe in einem echten Tenant den Datenpfad, bevor du eine Automatisierung mit Azure OpenAI verbindest, damit die Lösung deinen Governance- und Sicherheitsanforderungen entspricht.

Sobald die Ressource bereit ist, teste sie mit einer minimalen Anfrage, bevor du sie in eine umfangreichere Anleitung einbindest. Ein kleiner Validierungsschritt hilft dabei, Probleme mit dem Azure OpenAI-Zugriff von späteren Problemen in PowerShell, Logic Apps, Microsoft Graph-Berechtigungen oder dem Intune-spezifischen Workflow zu trennen.

Anleitungen zum Azure OpenAI Service sind für Leser enthalten, die den Beispielen zu KI, Microsoft Graph und Intune-Automatisierung in diesem Blog folgen. Azure OpenAI wird oft als Reasoning- oder Zusammenfassungsebene hinter Tools verwendet, die Richtlinien erklären, Logs analysieren oder Endpoint-Management-Daten in nützlichere Ausgaben verwandeln.

Bestätige vor dem Bereitstellen von Azure OpenAI, dass das Abonnement Zugriff auf die erforderliche Modellregion hat und dass der Workload eine klare Datengrenze besitzt. Vermeide bei Intune-Szenarien, sensible Tenant- oder Benutzerdaten in ein Test-Deployment zu senden, sofern die Governance-Anforderungen nicht verstanden sind. Ein sauberes Lab-Setup mit expliziter Modell-, Regions- und Ressourcenbenennung verhindert Verwirrung, wenn mehrere KI-Experimente im selben Tenant existieren.

Sobald der Dienst verfügbar ist, dokumentiere den Endpoint, den Deployment-Namen, die Modellversion und den vorgesehenen Anwendungsfall. Diese Werte werden später üblicherweise von Skripten, Logic Apps, Web-Apps oder Agents referenziert, die Intune-Daten mit einem KI-gestützten Erklärungs- oder Analyseschritt verbinden.

Azure OpenAI Service

Um den Azure OpenAI Service bereitzustellen, melde dich einfach unter portal.azure.com am Azure-Portal an und suche nach „Azure OpenAI“, um mit der Einrichtung fortzufahren. 

Anleitungen

Der nächste Schritt im Deployment-Prozess ist, auf +Create zu klicken, um eine neue Instanz zu erstellen. 

Anleitungen

Im Assistenten zur Ressourcenerstellung im Azure-Portal musst du das spezifische Abonnement auswählen, das du zuvor für Azure OpenAI Services aktiviert hast. Wähle außerdem die Ressourcengruppe, in der du die Ressource bereitstellen möchtest, sowie die Region. Beachte, dass verschiedene Modelle in unterschiedlichen Regionen verfügbar sein können, also wähle entsprechend. Gib dann einen Namen für deine Ressource ein. Wähle für die Preisstufe „Standard S0“. Klicke nach diesen Auswahlen auf „Next“ und folge den verbleibenden Schritten, um den Deployment-Prozess abzuschließen. 

Intune-Einrichtungsanleitungen & How-Tos sind Teil der Sammlung „Anleitungen für Leser des Jannik Reinhard Blogs“ und erklären wiederverwendbare Einrichtungsschritte für Microsoft Intune, Azure und Endpoint-Management für die Anleitungen des Technik-Blogs.

Nutze die Anleitungsseite als Referenz, während du die ausführlicheren Blogbeiträge liest. Wenn ein Beitrag hierher zurückverlinkt, schließe nur den Voraussetzungsabschnitt ab, der zur Aufgabe passt, und kehre dann zum ursprünglichen Artikel zurück. So bleibt die Hauptanleitung fokussiert und gibt dir dennoch genug Setup-Details, um die Lösung zuverlässig nachzubauen.

Wenn sich ein Screenshot oder ein Menüname geändert hat, folge dem Konzept statt der exakten visuellen Position. Microsoft aktualisiert das Intune Admin Center, das Azure-Portal und die Microsoft Graph-Erfahrung regelmäßig, aber das zugrunde liegende Setup-Muster bleibt meist gleich: erstelle die Voraussetzung, bestätige die Berechtigungen, validiere das Ergebnis und fahre dann mit dem Automatisierungs- oder Deployment-Szenario fort.

So nutzt du diese Anleitungen ist die praktische Navigationsebene für die gesamte Seite. Beginne mit dem Abschnitt, der zur in dem gelesenen Artikel genannten Voraussetzung passt, schließe die Grundkonfiguration ab und kehre dann zur ursprünglichen Anleitung zurück, sobald die gemeinsame Einrichtung vorhanden ist.

Diese Anleitungen sind bewusst wiederverwendbar. Sie sollen die ausführlicheren Blogbeiträge nicht ersetzen, sondern die gängigen Setup-Schritte für Intune, Azure und KI bereitstellen, die immer wieder auftauchen. Das macht die Anleitungen nützlich für neue Leser, Lab-Builder und Administratoren, die eine Lösung nachbauen möchten, ohne raten zu müssen, welche Voraussetzung angenommen wurde.

Wenn du diese Seite als Teil eines Produktions-Rollouts verwendest, behandle sie als Start-Checkliste und nicht als Change-Management-Prozess. Validiere Namensgebung, Berechtigungen, Lizenzierung und Sicherheitskontrollen gegen deine eigenen Tenant-Standards, bevor du die verlinkten Intune- oder Azure-Beispiele breit anwendest.

So nutzt du diese Anleitungen

Diese Seite richtet sich an IT-Administratoren, die Demo-Tenants und Lab-Umgebungen aufsetzen oder die in meinen Blogbeiträgen referenzierten Tools bauen. Anstatt grundlegende Setup-Schritte in jedem Artikel zu wiederholen, sind die gängigen Konfigurationen hier gesammelt. Wenn ein Beitrag das Bereitstellen eines Log-Analytics-Workspace oder das Paketieren einer Win32-App für Intune erwähnt, springe zum passenden Abschnitt, schließe die Voraussetzung ab und kehre für die szenariospezifische Arbeit zum ursprünglichen Beitrag zurück.

Voraussetzungen

Die meisten Durchläufe setzen einen Admin-Arbeitsplatz voraus, auf dem die folgenden Tools installiert und gegen deinen Tenant authentifiziert sind:

  • PowerShell 7+ – die plattformübergreifende Shell, die für nahezu alle Skripte verwendet wird. Siehe Install PowerShell.
  • Microsoft Graph PowerShell SDK – erforderlich für die Automatisierung von Intune, Entra ID und Microsoft 365. Installiere es mit Install-Module Microsoft.Graph -Scope CurrentUser. Referenz: Microsoft Graph PowerShell.
  • Azure CLI – für Azure-Ressourcen-Deployments. Siehe Install the Azure CLI.
  • Ein Konto mit ausreichenden Berechtigungen im Ziel-Tenant oder -Abonnement (Global Admin, Intune Admin, Owner oder Contributor, je nach Aufgabe).

Hinweis zur Versionierung

Screenshots und Klickpfade entsprechen Microsofts Admin-Portalen aus den letzten Monaten. Microsoft aktualisiert das Intune Admin Center, das Azure-Portal und das Entra-Portal häufig, sodass einzelne Schaltflächen oder Blade-Namen bis zu dem Zeitpunkt, an dem du dies liest, möglicherweise verschoben wurden. Wenn ein Schritt in deinem Tenant anders aussieht, greife auf die offizielle Microsoft Learn-Dokumentation für die maßgebliche, versionsaktuelle Vorgehensweise zurück – die zugrunde liegenden Konzepte ändern sich selten, selbst wenn sich die UI ändert.