Webfilter nur für Vertrieb, EDR Regeln nur für Lab Geräte oder granularer RBAC: Ohne Geräte Tags wird es schnell unübersichtlich.
Das folgende Vorgehen sorgt dafür, dass Dein Autopilot Group Tag konsequent bis in Defender for Endpoint oder Defender for Business durchgereicht wird. Dort kannst Du darauf basierend Gerätegruppen definieren (seit 2024 auch in Defender for Business und Plan 1).
Table of Contents
- Voraussetzungen
- Autopilot Group-Tag vergeben
- Dynamische Azure AD Gruppe erstellen
- Intune Scope Tag setzen (optional)
- Tag auf das Gerät bringen
- MDE Gerätegruppe anlegen
- Troubleshooting
- FAQ (2025)
Voraussetzungen
- Microsoft Intune (mindestens MEM Admin Rollen)
- Defender for Endpoint Plan 1 oder 2 oder Defender for Business
- Windows 10 / 11 mit aktiviertem MDE Sensor
- (Optional) Azure AD P1 für dynamische Gruppen
Autopilot Group-Tag vergeben
Falls Deine Geräte noch keinen Tag tragen:
- Intune > Devices > Windows > Windows enrollment > Devices öffnen.
- Gewünschtes Gerät anklicken.
- Group Tag abfüllen, z. B.
scloud.
💡 Persistenz: Der Tag bleibt auch nach einem Zurücksetzen („wipe“) erhalten, solange das Gerät nicht aus der Autopilot‑Geräteliste gelöscht wird.
Dynamische Azure AD Gruppe erstellen
Alle Geräte mit demselben Autopilot Tag sollen automatisch gesammelt werden. Lege eine Security Group mit Membership type = Dynamic an und verwende diese Rule Query:
(device.devicePhysicalIds -any (_ -eq "[OrderID]:scloud"))Ersetze scloud durch Deinen eigenen Tagwert.
Jedes neu gelieferte Gerät landet so automatisch in der Gruppe.
Intune Scope Tag setzen (optional)
Scope Tags sind kein Muss, aber praktisch für RBAC und einheitliche Anzeige:
- Intune ▸ Tenant administration ▸ Roles ▸ Scope tags ▸ + Create.
- Namen gleich dem Group Tag wählen (hier
scloud). - Unter Assignments die dynamische Gruppe aus Schritt 2 zuweisen.
Damit erhält jedes passende Gerät denselben Scope Tag und der Helpdesk sieht nur „seine“ Abteilung.
Nach der Zuweisung dauert es jeweils ein bisschen, bis der Scope-Tag zugewiesen ist. Ist er es aber einmal, siehst du das auf dem Geräteobjekt:
Tag auf das Gerät bringen
Methode A (klassisch): Intune Custom OMA URI
- Intune ▸ Devices ▸ Windows ▸ Configuration profiles ▸ + Create profile
Platform: Windows 10 und 11
Template: Custom - Profil benennen und unter OMA URI Settings eintragen:
Name:Group Tag for Defender
OMA URI:./Device/Vendor/MSFT/WindowsAdvancedThreatProtection/DeviceTagging/Group
Data type:String
Value:scloud(maximal 200 Zeichen, pro Gerät nur ein Tag) - Unter Assignments die dynamische Gruppe aus Schritt 2 wählen.
Nach kurzer Zeit erscheint der Tag in der Gerätekarte des Microsoft Defender Security Center (Devices ▸ <Gerät> ▸ Tags).
Die Richtlinie weisst du nun der zuvor erstellten dynamischen Gruppe zu.
| Name | Group-Tag |
| Beschreibung | Group-Tag for Defender |
| ORA-Uri | ./Device/Vendor/MSFT/WindowsAdvancedThreatProtection/DeviceTagging/Group |
| Data type | String |
| Value | scloud |
Mit etwas Geduld erscheint der Tag in der Geräteübersicht des Security Centers:
Methode B (seit 2024): Device Tagging direkt im Defender Portal
Settings ▸ Endpoints ▸ Device tagging → Add tag rule
Kriterien wählen (zum Beispiel Azure AD Gruppe = Autopilot scloud) und Tag definieren.
So kommt man ohne Intune Profil aus, was bei vielen Tags übersichtlicher ist.
MDE Gerätegruppe anlegen
- Settings ▸ Endpoints ▸ Device groups ▸ + Add device group
- Namen und Beschreibung angeben.
- Unter Tag query den zuvor gesetzten Tag auswählen (
scloud). - Berechtigungen oder Policies zuweisen, zum Beispiel einen Web Content Filter nur für diese Gruppe aktivieren.
Lizenz Hinweis: Gerätegruppen sind seit April 2024 in Defender for Endpoint Plan 1 und Defender for Business verfügbar.
Troubleshooting
| Problem | Lösung |
|---|---|
| Tag erscheint nicht im Defender Portal | Sync in Intune manuell anstossen.– In mdmDiagnostics.html (C:\ProgramData\Microsoft\MDMDiagnostics) prüfen, ob das OMA URI Profil angewendet wurde. |
| Mehrere Tags benötigt | Aktuell nur ein Tag pro Gerät via OMA URI. Nutze stattdessen Device Tagging Rules im Defender Portal oder Intune Filter. |
| Dynamische Gruppe füllt sich nicht | Schreibweise im Query prüfen ([OrderID]:<Tag>). Tag Wert ist Case Sensitive. |
FAQ (2025)
Kann ich den Tag nachträglich ändern?
Ja, aber nur über den jeweiligen Mechanismus (Autopilot Geräteliste, OMA URI Profil oder Defender Tagging Rule). Das alte Tag verschwindet eventuell erst nach einer Neuregistrierung.
Unterstützt macOS oder iOS diese Methode?
Nein, das beschriebene OMA URI Profil gilt nur für Windows 10 / 11. Für andere Plattformen setzt Du Tags direkt im Defender Portal.
Brauche ich AAD P1 für dynamische Gruppen?
Streng genommen ja, andernfalls musst Du statische Gruppen manuell pflegen.
1 Response
[…] Wie die Scopes funktionieren und wo du sie erstellen kannst, habe ich dir hier zusammengestellt:Defender for Endpoint Scope-Tag via Intune | scloud […]