Dieser Beitrag stellt das neue und aktualisierte Intune Group Assignment Script vor. Das Original war nützlich, aber eingeschränkt; die neue Version des Intune Group Assignment Scripts unterstützt dynamische Gruppen, Scope Tags, Ausschluss-Zuweisungen und eine deutlich aufgeräumtere CLI für den Einsatz in Pipelines.
Vor einigen Monaten habe ich ein Script veröffentlicht, das dir alle Zuweisungen einer Microsoft Entra ID Gruppe in Intune auflistet. Mit diesem Blogbeitrag veröffentliche ich eine neue Version dieses Scripts, die mehr Konfigurationsobjekte umfasst und viele Teile des Codes verbessert.

Inhaltsverzeichnis
Wofür dient das Script
Es ist weder über die UI noch über einen einzelnen Graph-Aufruf möglich, eine Liste aller Zuweisungen einer bestimmten Microsoft Entra ID Gruppe zu erhalten. Zum Beispiel, wenn du wissen möchtest, ob eine Gruppe noch verwendet wird, oder wenn du eine bestimmte Zuweisung untersuchen willst. Dieses Script hilft dir, genau das herauszufinden und alle Konfigurationsobjekte einer einzelnen Gruppe zu erhalten.
Welche Objekte sind enthalten
Das Script unterstützt derzeit:
- Device Configuration
- Administrative Templates
- Device Compliance Policies
- Mobile Applications
- Scripts
- Remediation Script
- Windows Autopilot deployment profiles
- Enrollment Status Page
- Security baselines
Voraussetzungen und Berechtigungen
Bevor du das Intune Group Assignment Script ausführst, brauchst du eine funktionierende PowerShell-Umgebung und das Microsoft Graph PowerShell SDK. Das Script meldet sich interaktiv an, daher muss das verwendete Konto die Intune-Konfiguration lesen dürfen. In den meisten Tenants reichen die reinen Leseberechtigungen DeviceManagementConfiguration.Read.All und Group.Read.All aus. Das bedeutet, dass du dieses Tool auch einem Helpdesk-Kollegen geben kannst, ohne Schreibrechte zu vergeben. Wenn du nur ein normales Admin-Konto hast, fragt dich der erste Lauf nach der Zustimmung zu diesen Scopes.
Ein praktisches Beispiel
Stell dir vor, du findest eine Gruppe namens SEC-Win-Baseline-Pilot und niemand weiß mehr, wofür sie noch verwendet wird. Statt jede Richtlinie einzeln zu öffnen, startest du das Intune Group Assignment Script, wählst die Gruppe aus und siehst innerhalb von Sekunden, dass sie zwei Compliance-Richtlinien und eine Security Baseline adressiert. Diese eine Übersicht zeigt dir, ob die Gruppe gefahrlos gelöscht werden kann oder ob das Entfernen Geräte unverwaltet zurücklassen würde. Genau diese Art von Audit-Aufgabe hat früher einen halben Nachmittag voller Klicks gekostet.
Wie du das Script bekommst
Du findest das Script in meinem GitHub-Repository oder in der PowerShell Gallery:
Install-Script -Name Get-AllAadGroupAssignments
Get-AllAadGroupAssignments
Wie kann ich dem Script neue Themen hinzufügen
Das ist wirklich einfach. Du musst nur diesen Codeblock am Ende des Scripts hinzufügen:
Get-Topic -topicHeadline "Remediation Scripts" -groupId $group.id -uri "deviceManagement" -type "deviceHealthScripts" -uriAssignment "assignments"
Füge den Namen des Themas hinzu und lege die Graph-URI sowie den Typ fest. Du findest diese über den Graph Explorer:

Häufige Stolpersteine
Zwei Dinge führen oft zu Missverständnissen. Erstens meldet das Script nur direkte Zuweisungen. Ein Gerät, das eine Richtlinie über eine verschachtelte oder dynamische Mitgliedschaft erhält, taucht also möglicherweise nicht so auf, wie du es erwartest. Prüfe daher immer den Mitgliedschaftstyp der Gruppe, bevor du Schlüsse ziehst. Zweitens erscheint ein Konfigurationsobjekt, das an “Alle Geräte” oder “Alle Benutzer” statt an deine konkrete Gruppe zugewiesen wurde, nicht in der gruppenbezogenen Ausgabe, weil diese Zuweisung deine Gruppe gar nicht referenziert.
Einsatz in Pipelines
Die neue Version eignet sich auch für die Automatisierung. Über die saubere CLI kannst du das Intune Group Assignment Script in eine Azure DevOps oder GitHub Actions Pipeline einbinden und so regelmäßig eine Dokumentation aller Gruppenzuweisungen erzeugen. So hast du bei einem Audit immer einen aktuellen Stand zur Hand, ohne ihn manuell zusammenklicken zu müssen.
Fazit
Das neue Intune Group Assignment Script macht aus einer mühsamen, fehleranfälligen Aufgabe einen einzigen Befehl. Egal ob du ungenutzte Gruppen aufräumst, Zuweisungen prüfst oder deine Umgebung dokumentierst, dieses aktualisierte Tool liefert dir in Sekunden ein vollständiges Bild. Probiere das Script aus und sag mir, welche Konfigurationsobjekte du als Nächstes ergänzt sehen möchtest.
Thanks for your work 🙂
I don’t know if it’s already done, but it can be good also to can filter with one specific user or one specific device to see all deployment they get for troubleshooting purpose. Thanks for your work
[…] New Version of the intune group assignment script […]
Hi, do we have a script to include filters in assignments?