Gruppen hier, Gruppen da – und irgendwann verliert man den Überblick. Wer schon mal Apps oder Richtlinien über Entra-Gruppen in Intune zugewiesen hat, kennt das: Es dauert, es ist starr – und manchmal klappt’s einfach nicht so, wie man will.
Die gute Nachricht: Microsoft hat was besseres gebaut. Mit Intune Filter Zuweisungen steuerst du Richtlinien und App-Verteilungen viel flexibler und zielgerichteter. Du willst z. B. eine App nur auf Firmengeräten ausrollen? Oder eine Policy nur auf BYOD-Geräte anwenden? Kein Problem – Filter machen’s möglich.
In diesem Artikel zeige ich dir:
- wie du Filter in Intune erstellst,
- was sie besser machen als Gruppen,
- und wo du lieber die Finger davon lassen solltest.
Alles wie immer: praxisnah, verständlich und direkt aus dem Admin-Alltag.
Was sind Intune Filter - und warum brauchst du sie überhaupt?
Wenn du in Intune etwas zuweisen willst – etwa eine App, ein Konfigurationsprofil oder eine Compliance-Policy – dann läuft das meistens über Gruppen. Entweder du weist die Zuweisung direkt einer Entra ID-Gruppe zu, oder du nutzt „alle Geräte“ bzw. „alle Benutzer“.
Das Problem:
Sobald du etwas mehr Flexibilität brauchst – zum Beispiel, weil du nur bestimmte Geräte ansprechen willst (z. B. nur Windows 11, nur BYOD oder nur Geräte von HP) – kommst du mit Gruppen schnell an Grenzen.
Denn:
- Gruppen müssen erst synchronisiert werden (Stichwort: Verzögerung)
- Dynamische Gruppen brauchen gepflegte Attribute (nicht immer vorhanden)
- Misch-Zuweisungen (User-Gruppe + Geräte-Exclude) funktionieren oft gar nicht
Und genau hier kommen Filter ins Spiel.
Funktionsweise eines Filters, Quelle: Erstellen von Filtern in Microsoft Intune | Microsoft Learn
Was ist ein Filter in Microsoft Intune?
Ein Filter ist eine Abfrage-Regel, die auf Geräteeigenschaften basiert – z. B.:
- Gerätetyp (Windows, iOS, Android)
- Betriebssystem-Version
- Gerätehersteller
- Ownership (privat oder firmeneigen)
Du kannst Filter mit Zuweisungen kombinieren – entweder zum Ein- oder Ausschließen von Geräten. Und das Beste: Die Auswertung passiert in Echtzeit – jedes Mal, wenn sich ein Gerät mit Intune synchronisiert.
Die Vorteile von Intune-Filtern auf einen Blick
Vorteil | Warum das wichtig ist |
|---|---|
Echtzeit-Auswertung | Kein Warten auf Gruppensynchronisation |
Feingranulare Steuerung | BYOD rausfiltern, nur HP-Geräte, nur Windows 11 etc |
Kombinierbar mit Gruppen | User-Gruppe + Geräte-Filter = maximale Kontrolle |
Weniger Komplexität | Kein Gruppen-Wirrwarr mehr - klare Regeln direkt in Intune |
Kurz gesagt: Mit Filtern wird deine Intune-Verwaltung präziser, schneller und zuverlässiger – besonders in komplexen Umgebungen mit vielen Geräten oder BYOD-Szenarien.
Warum solltest du Intune-Filter statt Gruppen verwenden?
Filter sind super – aber sie sind kein Allheilmittel. Du solltest sie gezielt einsetzen, wo sie echte Vorteile bringen. In manchen Fällen bleibst du mit klassischen Entra-Gruppen einfach flexibler – z. B. bei Rollen, Berechtigungen oder User-Attributen.
Damit du nicht raten musst, haben wir dir hier die typischen Szenarien gegenübergestellt:
Szenario | Filter anwenden? | Warum (nicht)? |
|---|---|---|
App nur auf Firmengeräten bereitstellen |
| Filter auf deviceOwnership = Corporate möglich |
Richtlinie nur auf BYOD anwenden |
| Exakt dafür gedacht - kein Gruppenhack nötig |
App nur für Windows 11 Geräte von Dell |
| Gezielter Gerätefilter möglich |
Benutzer sollen Zugriff auf bestimmte Ressourcen erhalten |
| Dafür brauchst du Conditional Access oder RBAC |
Automatische Gruppierung nach Benutzerabteilung |
| Dynamische Entra-Gruppen mit User-Attributen nutzen |
Richtlinie für alle außer einem bestimmten Gerätetyp |
| Geräte ausfiltern via OSVersion, DeviceModel etc. |
Ja
NeinPraxis-Faustregel:
Wenn du auf Geräteeigenschaften filtern willst → Filter
Wenn du nach Benutzerattributen oder Rollen oder einfachen Zuweisungen arbeiten willst → Gruppen / Conditional Access
Und jetzt, wo du weißt, wann Filter die bessere Wahl sind, schauen wir uns im nächsten Schritt an, wie du sie in Intune erstellst – Schritt für Schritt.
Intune Filter erstellen - Schritt für Schritt erklärt
Einen Filter in Intune anzulegen ist kein Hexenwerk – du musst nur wissen, wo du klicken musst und worauf es ankommt. Hier kommt die Anleitung, mit der du in ein paar Minuten deinen ersten Filter erstellt hast.
Erstellen eines Filters, Quelle: Erstellen von Filtern in Microsoft Intune | Microsoft Learn
Schritt für Schritt-Anleitung: So legst du Microsoft Intune Filter an
- Öffne das Intune Admin Center
https://intune.microsoft.com
(oder über das Microsoft 365 Admin Center > Endpoint Manager)
Beispiel: BYOD-Geräte ausfiltern
Feld | Wert |
Property |
|
Operator |
|
Value |
|
Damit schließt du alle persönlichen Geräte aus – oder nimmst sie gezielt auf, je nach Zuweisung.
Erweiterte Bedingungen mit AD Expression
Du willst’s etwas komplexer?
Dann kannst du mehrere Bedingungen kombinieren – z. B.:
(device.deviceOwnership -eq "Corporate") -and (device.manufacturer -eq "Dell")Oder:
(device.deviceName -contains "LAPTOP") -or (device.osVersion -gt "10.0.19045")Der AD Expression Editor hilft dir dabei – und mit der Vorschau-Funktion („Preview“) siehst du gleich, welche Geräte in den Filter fallen.
Wichtig zu wissen:
- Filter gelten immer nur für eine Plattform Willst du Windows und iOS-Geräte filtern? Dann brauchst du zwei Filter
- Filter werden bei jeder Gerätesynchronisation neu ausgewertet Kein Delay wie bei dynamischen Gruppen
Wenn dein Filter steht, kannst du ihn direkt bei App- oder Richtlinienzuweisungen verwenden – entweder zum Ein- oder Ausschließen von Geräten.
Was passiert im Hintergrund? So funktionieren Intune Filter technisch
Auf den ersten Blick wirken Filter wie ein simples Feature – ein paar Regeln hier, ein bisschen Zuweisung da. Aber was läuft eigentlich im Hintergrund ab, wenn ein Gerät mit Intune spricht?
Echtzeit statt Sync-Schleife
Anders als dynamische Entra-Gruppen, die regelmäßig im Hintergrund neu berechnet und synchronisiert werden, wirken Intune Filter sofort – bei jedem Gerätesync. Das macht sie:
- schneller
- verlässlicher
- weniger fehleranfällig
Wo und wie wird der Filter ausgewertet?
Die Filterregel wird bei der Gerätesynchronisierung clientseitig überprüft.
Das heißt:
- Die Richtlinie oder App kommt mit einer „Bedingung“
- Das Gerät prüft beim Sync: „Treffe ich diese Bedingung?“
- Wenn ja → Zuweisung erfolgt
- Wenn nein → Zuweisung wird ignoriert
Wo finde ich Logs zur Filterauswertung?
Wenn du es ganz genau wissen willst, findest du Infos zur Filterlogik in den Client-Logs:
Auf Windows-Geräten:
C:\ProgramData\Microsoft\IntuneManagementExtension\Logs\IntuneManagementExtension.logHier kannst du nachvollziehen:
- Ob die Richtlinie zugestellt wurde
- Ob ein Filter gegriffen hat
- Welche Bedingungen ausgewertet wurden
Technische Grenzen: Das solltest du wissen
Einschränkung | Erklärung |
|---|---|
Nur Geräteeigenschaften | Du kannst nicht nach Benutzereigenschaften filtern (z. B. Abteilung, Lizenz etc.) |
Nur eine Plattform pro Filter | Ein Filter gilt nur für Windows, iOS, Android ODER macOS – nie für mehrere |
Keine kombinierte Include/Exclude-Zuweisung | Du darfst nicht in einer Zuweisung „Usergruppe einfügen“ UND „Gerätegruppe ausschließen“ – das geht nur über Filter |
Nicht alles verfügbar | Einige Richtlinientypen oder Apps unterstützen (noch) keine Filter-Zuweisung – Liste siehe Microsoft Learn |
Filter gezielt einsetzen – und Komplexität rausnehmen
Intune Filter sind kein Ersatz für alles – aber ein echter Gamechanger, wenn es um gezielte, saubere Zuweisungen geht. Gerade in Umgebungen mit BYOD, gemischten Gerätetypen oder großen Nutzergruppen bringen sie dir:
- mehr Kontrolle
- weniger Aufwand
- bessere Performance
Du musst keine komplizierten Gruppen mehr basteln, keine Workarounds mit dynamischen Regeln bauen, keine Support-Tickets abarbeiten, weil Richtlinien wieder mal falsch verteilt wurden.
Kurz gesagt: Wenn du Intune effizient, flexibel und stressfrei verwalten willst, solltest du dir Filter unbedingt genauer anschauen – und gezielt in deiner Umgebung einsetzen.
Zuweisungen in MS Intune, Quelle: Erstellen von Filtern in Microsoft Intune | Microsoft Learn
Mach mehr aus Intune – mit gezielten Filtern für deine Zuweisungen
Wenn du Expertenberatung oder praktische Hilfe bei der Umsetzung dieser Strategien brauchst – zum Beispiel beim sauberen Einsatz von Intune Filtern oder der Optimierung deiner Microsoft-365-Zuweisungen – melde dich gerne über unser Kontaktformular.
Ein sicher konfigurierter Tenant ist entscheidend, um sensible Daten zu schützen und Compliance-Anforderungen zu erfüllen. Gemeinsam entwickeln wir eine effiziente, sichere Umgebung, die mit deinen Geschäftsanforderungen wächst.
Ich hoffe, dieser Beitrag hat dir einen klaren Überblick gegeben, wie du mit Intune Filtern gezielt arbeiten kannst – ohne Gruppenchaos und Verzögerung.
Schau dir auch gerne meine weiteren Tutorials & Tipps rund um Microsoft Security an. Auf dem Blog findest du u. a. Beiträge zu Microsoft Defender for Cloud Apps, Microsoft Intune und vielem mehr.
Ich bemühe mich, immer die aktuellsten Themen und Fragen meiner Kunden aufzugreifen – um dich bestmöglich bei deiner Arbeit mit der Microsoft Cloud Security und der M365-Welt zu unterstützen.
Wenn Du Fragen hast, melde Dich sehr gerne bei mir und vereinbare direkt ein kostenloses Gespräch mit mir – Aaron Siller.
