Konfigurationsprofile

Standard-Konfigurationsprofile für alle verwalteten Windows-Geräte. Diese Profile werden zusammen mit der Open Intune Baseline (OIB) deployt und decken die Kernbereiche ab, die über die reine Security-Baseline hinausgehen.

Note

Abgrenzung: Die OIB deckt Security-relevante Settings ab (Firewall, Defender, ASR, etc.). Diese Seite beschreibt die ergänzenden Konfigurationsprofile für Verschlüsselung, Datenmigration, Anmeldung, Browser und Benutzererfahrung.

BitLocker

BitLocker — Festplattenverschlüsselung

Die Verschlüsselung wird silent (ohne User-Interaktion) im Hintergrund aktiviert. Der User bemerkt davon nichts.

Konfiguration (Concat Standard)

Einstellung	Wert	Begründung
Encryption Method	XTS-AES 256	Stärkste verfügbare Methode
OS Drive Encryption	Required	Pflicht für alle Geräte
Fixed Drive Encryption	Required	Auch Datenpartitionen verschlüsseln
Startup Authentication	TPM only	Kein PIN bei Standard-Geräten
Startup Authentication (High Security)	TPM + PIN	Zusätzlicher Pre-Boot-Schutz
Recovery Key Backup	Entra ID (vor Verschlüsselung)	Key muss gespeichert sein, bevor verschlüsselt wird
Recovery Key Rotation	Nach jeder Nutzung	Automatische Rotation nach Recovery
System Drive Recovery	Enabled	Wiederherstellung ermöglichen

Voraussetzungen

Voraussetzung	Details
TPM	TPM 2.0 (für Silent Encryption zwingend)
UEFI	Legacy BIOS wird nicht unterstützt
Secure Boot	Muss aktiviert sein
Entra ID Join	Recovery Key Escrow erfordert Entra ID Join oder Hybrid Join

Caution

GPO-Konflikte: Falls auf dem Gerät noch GPOs für BitLocker greifen (z. B. aus einer alten SCCM-Umgebung), kann die Silent Encryption fehlschlagen. Im Migrationsszenario: GPOs vor dem Intune-Enrollment entfernen oder per Tattooing-Cleanup bereinigen. Siehe Troubleshooting 4.1.

Einstellung	Wert	Begründung
Silently redirect folders	Ja	Keine User-Interaktion nötig
Folders	Desktop, Dokumente, Bilder	Die 3 wichtigsten User-Ordner
Prevent redirect to consumer	Ja	Privates OneDrive blockiert
Files On-Demand	Aktiviert	Spart lokalen Speicherplatz
Max Upload Bandwidth	Nicht limitiert	Bandbreite wird automatisch angepasst
Tenant ID	Kunden-Tenant-ID	Sicherstellen, dass der richtige Tenant verwendet wird

Vorher	Nachher
Dateien nur lokal auf dem Desktop	Dateien automatisch in OneDrive synchronisiert
Gerät defekt → Daten verloren	Gerät defekt → Daten sicher in der Cloud
Kein Zugriff von anderen Geräten	Zugriff von jedem Gerät über onedrive.com
Manuelles Backup nötig	Automatisches Backup in Echtzeit

Einstellung	Wert	Begründung
Windows Hello	Aktiviert (Required)	Concat Standard: Passwordless
PIN Length (Minimum)	6 Zeichen	OIB-Standard
PIN Complexity	Ziffern erlaubt, Buchstaben optional	UX-freundlich
Biometrie	Aktiviert (Fingerabdruck + Gesicht)	Schnellste Anmeldemethode
Security Key (FIDO2)	Aktiviert (für Admins und Shared Devices)	Phishing-resistent
Recovery	PIN-Wiederherstellung via Entra ID	Falls User PIN vergisst
TPM	Required	Private Key im TPM geschützt

Einstellung	Wert	Begründung
Default Browser	Ja (via Intune Policy)	Einheitlicher Browser-Standard
Sync	Aktiviert mit Entra ID Profil	Favoriten und Settings folgen dem User
Startup Page	Kundenspezifisch (Intranet)	Firmenportal als Startseite
New Tab Page	Microsoft 365 Feed	Relevante Firmen-News und Dateien
Password Manager	Deaktiviert (oder kundenbezogen)	Enterprise Password Manager bevorzugen
IE Mode	Nur bei dokumentierter Anforderung	Für Legacy-Webapps, im Decision Log
Extensions	Allowlist-basiert	Nur freigegebene Erweiterungen

Einstellung	Wert
Bildschirm aus	15 Minuten (Netzbetrieb) / 5 Minuten (Akku)
Sleep	30 Minuten (Netzbetrieb) / 15 Minuten (Akku)
Lid Close Action	Sleep

Einstellung	Wert	Begründung
Diagnostic Data	Required (Minimum)	OIB-Standard — nur technische Daten
Inking & Typing	Deaktiviert	Datenschutz

Einstellung	Wert
Layout	Aufgeräumtes Standard-Layout
Angeheftete Apps	Outlook, Teams, Edge, Company Portal, Explorer
Empfohlene Sektion	Minimiert
Recent Files	Aktiviert

Einstellung	Wert
Desktop Wallpaper	Optional: Kundenbranding
Lock Screen	Optional: Kundenlogo + Support-Kontakt
Automatic Time Zone	Aktiviert
Region & Language	OS-Default (User wählt bei OOBE)

Einstellung	Wert
SSID	Kundenspezifisch
Security	WPA2/WPA3 Enterprise
EAP-Type	EAP-TLS (mit Zertifikat) oder PEAP
Auto-Connect	Aktiviert
Hidden Network	Je nach Kundeninfrastruktur
Proxy	Kundenspezifisch

Einstellung	Concat Empfehlung
VPN-Typ	Per-App VPN (bevorzugt) oder Always-On
Provider	Kundenabhängig (Cisco, Palo Alto, Zscaler, etc.)
Split Tunneling	Aktiviert — M365 Traffic direkt
Authentication	Zertifikatsbasiert oder SSO via Entra ID

Profil-Zuweisungen

Profil-Typ	Zielgruppe	Zuweisung
BitLocker	Alle Windows-Geräte	`DEV-WIN-Alle-Dynamic`
OneDrive KFM	Alle Windows-User	`USR-Alle-Mitarbeiter`
WHfB	Alle Windows-User	`USR-Alle-Mitarbeiter`
Edge	Alle Windows-Geräte	`DEV-WIN-Alle-Dynamic`
Energieoptionen	Alle Windows-Geräte	`DEV-WIN-Alle-Dynamic`
WLAN	Alle Windows-Geräte (oder standortspezifisch)	`DEV-WIN-Alle-Dynamic` oder `DEV-WIN-Standort-X`
VPN	Nur betroffene User	`APP-WIN-VPN-Users`

Querverweise

Thema	Verwandte Seite
Security Baselines (OIB)	Security Baselines
BitLocker Troubleshooting	Troubleshooting 4.1
BitLocker Recovery Key auslesen	Runbook 3.1
LAPS & Admin-Rechte	LAPS
Certificate Connector (WLAN)	Intune Connectoren
OneDrive Benutzeranleitung	User Guides
VPN Architekturentscheidung	ADR-007

Konfigurationsprofile

BitLocker

BitLocker — Festplattenverschlüsselung

Konfiguration (Concat Standard)

Voraussetzungen

OneDrive KFM

OneDrive Known Folder Move (KFM)

Konfiguration

Was passiert für den User?

Windows Hello

Windows Hello for Business (WHfB)

Konfiguration

Wie funktioniert WHfB?

Microsoft Edge

Microsoft Edge (Managed Browser)

Ergänzende Einstellungen (über OIB hinaus)

Benutzererfahrung

Benutzererfahrung

Energieoptionen

Telemetrie

Start Menu & Taskbar

Sonstiges

Netzwerk

Netzwerk

WLAN-Profil (Firmen-WLAN)

VPN (falls erforderlich)

Profil-Zuweisungen

Querverweise