Webfilter nur für Vertrieb, EDR Regeln nur für Lab Geräte oder granularer RBAC: Ohne Geräte Tags wird es schnell unübersichtlich.
Das folgende Vorgehen sorgt dafür, dass Dein Autopilot Group Tag konsequent bis in Defender for Endpoint oder Defender for Business durchgereicht wird. Dort kannst Du darauf basierend Gerätegruppen definieren (seit 2024 auch in Defender for Business und Plan 1).

Table of Contents

Voraussetzungen

  • Microsoft Intune (mindestens MEM Admin Rollen)
  • Defender for Endpoint Plan 1 oder 2 oder Defender for Business
  • Windows 10 / 11 mit aktiviertem MDE Sensor
  • (Optional) Azure AD P1 für dynamische Gruppen

Autopilot Group-Tag vergeben

Falls Deine Geräte noch keinen Tag tragen:

  1. Intune > Devices > Windows > Windows enrollment > Devices öffnen.
  2. Gewünschtes Gerät anklicken.
  3. Group Tag abfüllen, z. B. scloud.
Autopilot Group-Tag

💡 Persistenz: Der Tag bleibt auch nach einem Zurücksetzen („wipe“) erhalten, solange das Gerät nicht aus der Autopilot‑Geräteliste gelöscht wird.

Dynamische Azure AD Gruppe erstellen

Alle Geräte mit demselben Autopilot Tag sollen automatisch gesammelt werden. Lege eine Security Group mit Membership type = Dynamic an und verwende diese Rule Query:

(device.devicePhysicalIds -any (_ -eq "[OrderID]:scloud"))

Ersetze scloud durch Deinen eigenen Tagwert.
Jedes neu gelieferte Gerät landet so automatisch in der Gruppe.

Intune Scope Tag setzen (optional)

Scope Tags sind kein Muss, aber praktisch für RBAC und einheitliche Anzeige:

  1. Intune ▸ Tenant administration ▸ Roles ▸ Scope tags ▸ + Create.
  2. Namen gleich dem Group Tag wählen (hier scloud).
  3. Unter Assignments die dynamische Gruppe aus Schritt 2 zuweisen.

Damit erhält jedes passende Gerät denselben Scope Tag und der Helpdesk sieht nur „seine“ Abteilung.

Nach der Zuweisung dauert es jeweils ein bisschen, bis der Scope-Tag zugewiesen ist. Ist er es aber einmal, siehst du das auf dem Geräteobjekt:

Scope-Tag on Intune Device

Tag auf das Gerät bringen

Methode A (klassisch): Intune Custom OMA URI

  1. Intune ▸ Devices ▸ Windows ▸ Configuration profiles ▸ + Create profile
    Platform: Windows 10 und 11
    Template: Custom
  2. Profil benennen und unter OMA URI Settings eintragen:
    Name: Group Tag for Defender
    OMA URI: ./Device/Vendor/MSFT/WindowsAdvancedThreatProtection/DeviceTagging/Group
    Data type: String
    Value: scloud (maximal 200 Zeichen, pro Gerät nur ein Tag)
  3. Unter Assignments die dynamische Gruppe aus Schritt 2 wählen.

Nach kurzer Zeit erscheint der Tag in der Gerätekarte des Microsoft Defender Security Center (Devices ▸ <Gerät> ▸ Tags).

Die Richtlinie weisst du nun der zuvor erstellten dynamischen Gruppe zu.

NameGroup-Tag
BeschreibungGroup-Tag for Defender
ORA-Uri./Device/Vendor/MSFT/WindowsAdvancedThreatProtection/DeviceTagging/Group
Data typeString
Valuescloud

Mit etwas Geduld erscheint der Tag in der Geräteübersicht des Security Centers:

MDE Tags

Methode B (seit 2024): Device Tagging direkt im Defender Portal

Settings ▸ Endpoints ▸ Device taggingAdd tag rule
Kriterien wählen (zum Beispiel Azure AD Gruppe = Autopilot scloud) und Tag definieren.
So kommt man ohne Intune Profil aus, was bei vielen Tags übersichtlicher ist.

MDE Gerätegruppe anlegen

  1. Settings ▸ Endpoints ▸ Device groups ▸ + Add device group
  2. Namen und Beschreibung angeben.
  3. Unter Tag query den zuvor gesetzten Tag auswählen (scloud).
  4. Berechtigungen oder Policies zuweisen, zum Beispiel einen Web Content Filter nur für diese Gruppe aktivieren.

Lizenz Hinweis: Gerätegruppen sind seit April 2024 in Defender for Endpoint Plan 1 und Defender for Business verfügbar.

Troubleshooting

ProblemLösung
Tag erscheint nicht im Defender PortalSync in Intune manuell anstossen.– In mdmDiagnostics.html (C:\ProgramData\Microsoft\MDMDiagnostics) prüfen, ob das OMA URI Profil angewendet wurde.
Mehrere Tags benötigtAktuell nur ein Tag pro Gerät via OMA URI. Nutze stattdessen Device Tagging Rules im Defender Portal oder Intune Filter.
Dynamische Gruppe füllt sich nichtSchreibweise im Query prüfen ([OrderID]:<Tag>). Tag Wert ist Case Sensitive.

FAQ (2025)

Kann ich den Tag nachträglich ändern?
Ja, aber nur über den jeweiligen Mechanismus (Autopilot Geräteliste, OMA URI Profil oder Defender Tagging Rule). Das alte Tag verschwindet eventuell erst nach einer Neuregistrierung.

Unterstützt macOS oder iOS diese Methode?
Nein, das beschriebene OMA URI Profil gilt nur für Windows 10 / 11. Für andere Plattformen setzt Du Tags direkt im Defender Portal.

Brauche ich AAD P1 für dynamische Gruppen?
Streng genommen ja, andernfalls musst Du statische Gruppen manuell pflegen.