Im Defender for Endpoint und for Business kannst du für Ansichten und beispielsweise den Webfilter keine Gruppen oder Group-Tags aus Intune / Autopilot verwenden. Dazu musst du Eigene erstellen.
Wie du den Autopilot Group-Tag aber doch durgehend via Intune im Defender verwenden kannst, zeige ich dir in diesem Beitrag.

Mit dem Defender for Business kannst du die Scope-Tags zwar vergeben und für Ansichten nutzen, leider aber keine MDE-Gruppen erstellen.

Table of Contents

Autopilot Group-Tag vergeben

Falls deine Geräte noch keinen Group-Tag haben, kannst du ihnen diesen in Intune zuweisen:
Intune > Devices > Windows > Windows enrollment > Devices

Autopilot Group-Tag

Dieser Group-Tag bleibt auch bestehen, wenn du ein Gerät zurücksetzt. Du darfst es nur nicht aus der Autopilot-Liste löschen.

Dynamische Autopilot Gruppe

Um nun alle Geräte mit einem spezifischen Group-Tag in einer Gruppe zu haben, erstellen wir eine dynamische Gruppe, die genau diesen Group-Tag abfragt.

Die Query ist dabei: (device.devicePhysicalIds -any (_ -eq "[OrderID]:scloud"))
(Ersetze "scloud" mit deinem Group-Tag.)

Setup Intune Scope Tag

Dieser Schritt ist nicht zwingend nötig, möchtest du aber die Tags konsistent überall sehen, empfehle ich ihn dir.
Mit den Intune Scope-Tags hast du zusätzlich die Möglichkeit, Berechtigungen auf einzelne Gerätegruppen und Richtlinien zu setzten. Dadurch kannst du beispielsweise einem Supporter nur Berechtigungen auf eine gewisse Abteilung geben. Alle anderen Geräte und Richtlinien wird er nicht sehen.

Erstellt werden Scope-Tags unter:
Intune > Tenant administration > Roles > Scope tags > + Create

Diesem vergeben wir nun denselben Namen wie zuvor. In meinem Fall "scloud".
Zudem weisen wir die erstellte dynamische Gruppe zu. So bekommen unsere Geräte mit dem entsprechenden Autopilot Group-Tag automatisch den Scope-Tag.

Nach der Zuweisung dauert es jeweils ein bisschen, bis der Scope-Tag zugewiesen ist. Ist er es aber einmal, siehst du das auf dem Geräteobjekt:

Scope-Tag on Intune Device

Richtlinie zum verteilen des Tags auf die Geräte

In Intune erstellen wir nun eine Custom-Policy mit einer OMA-URI. Diese vergibt den Tag dann dem Gerät lokal, von wo aus er wiederum im Defender for Endpoint / Business verwendet werden kann.
Achtung: Du kannst so pro Gerät nur einen Tag definieren.

Intune > Devices > Windows > Configuration profiles > + Create profile (Windows 10, Templates, Custom)

Vergibt hier einen aussagekräftigen Namen und füge die nachstehende OMA-URI hinzu. Beim "Value" fügst du deinen Group-Tag ein.

Die Richtlinie weisst du nun der zuvor erstellten dynamischen Gruppe zu.

NameGroup-Tag
BeschreibungGroup-Tag for Defender
ORA-Uri./Device/Vendor/MSFT/WindowsAdvancedThreatProtection/DeviceTagging/Group
Data typeString
Valuescloud

Mit etwas Geduld erscheint der Tag in der Geräteübersicht des Security Centers:

MDE Tags

MDE-Gruppe aus Basis des Tags erstellen

Nun, wo wir den Tag endlich im Defender haben, können wir eine Gruppe für diesen erstellen.
Diese Gruppe kann dann beispielsweise für Webfilter Richtlinien verwendet werden.
Dieser Schritt ist mit der Lizenz Defender for Business (Microsoft 365 Business Premium) nicht möglich.

MDE > Settings > Endpoints > Device groups > + Add device group

🏁 Und das wars, nun hast du den Tag von Autopilot über Intune bis hin zum Security Center / MDE.