Automatisierter Tenant Deployment

Standardisierter Rollout der Concat Baseline-Konfiguration bei neuen Kunden — vom Template-Tenant in den Kunden-Tenant.

Deployment-Architektur

Deployment-Methoden

IntuneManagement Tool (Standard)

IntuneManagement Tool (Concat Standard)

Das IntuneManagement Tool ist ein GUI-basiertes PowerShell-Tool für den Export und Import von Intune-Konfigurationen. Es ist der empfohlene Weg für den OIB-Import und den Baseline-Rollout.

Tool herunterladen


# Repository klonen
git clone https://github.com/Micke-K/IntuneManagement.git
 
# Oder: ZIP herunterladen und entpacken

Template-Tenant exportieren

Tool starten → Mit dem Template-Tenant verbinden
Bulk → Export → Alle Objekttypen auswählen
Export-Verzeichnis wählen → Export starten

Das Tool erstellt eine Ordnerstruktur mit JSON-Dateien für alle Policies, Profile und Konfigurationen.

Kundenspezifische Anpassungen

Vor dem Import in den Kunden-Tenant:

Gruppenreferenzen anpassen (die Namen müssen im Ziel-Tenant existieren)
Tenant-spezifische IDs werden vom Tool automatisch angepasst
Conditional Access Policies im Report-Only-Modus importieren

In Kunden-Tenant importieren

Tool starten → Mit dem Kunden-Tenant verbinden
Bulk → Import → Export-Verzeichnis auswählen
Objekte auswählen → Import starten
Konflikte (Name bereits vorhanden) werden angezeigt → entscheiden: Überspringen oder Überschreiben

Validierung

Nach dem Import:

Alle Policies im Intune Admin Center sichtbar?
Zuweisungen korrekt? (Gruppenreferenzen prüfen)
CA-Policies im Report-Only-Modus?
OIB-Naming korrekt übernommen?

Tip

OIB Import: Die Open Intune Baseline kann ebenfalls über das IntuneManagement Tool importiert werden. OIB-Dateien aus dem GitHub Release herunterladen → als Import-Quelle verwenden.

Graph API (manuell)

Graph API Import (manuell)

Für einzelne Policies oder automatisierte Pipelines:


# Verbindung herstellen
Connect-MgGraph -Scopes "DeviceManagementConfiguration.ReadWrite.All"
 
# Policy aus JSON importieren
$policyJson = Get-Content -Path ".\policies\CMP-WIN-Baseline.json" -Raw
$uri = "https://graph.microsoft.com/v1.0/deviceManagement/deviceCompliancePolicies"
Invoke-MgGraphRequest -Method POST -Uri $uri -Body $policyJson -ContentType "application/json"

Bulk-Import via Skript


# Alle JSON-Dateien aus einem Ordner importieren
$policyFiles = Get-ChildItem -Path ".\policies\compliance\" -Filter "*.json"
 
foreach ($file in $policyFiles) {
    try {
        $json = Get-Content -Path $file.FullName -Raw
        $uri = "https://graph.microsoft.com/v1.0/deviceManagement/deviceCompliancePolicies"
        Invoke-MgGraphRequest -Method POST -Uri $uri -Body $json -ContentType "application/json"
        Write-Host "✅ Importiert: $($file.Name)" -ForegroundColor Green
    }
    catch {
        Write-Host "❌ Fehler bei: $($file.Name) - $($_.Exception.Message)" -ForegroundColor Red
    }
}

Warning

Graph API Import kennt kein „Update”! Ein POST erstellt immer ein neues Objekt. Um eine bestehende Policy zu aktualisieren, muss PATCH mit der Objekt-ID verwendet werden. Sauberes ID-Mapping ist essentiell.

Aspekt	Bewertung
Mächtigkeit	Sehr hoch — alle M365-Workloads in einer Konfigurationsdatei
Komplexität	Hoch — steile Lernkurve, umfangreiche Konfiguration
Stabilität	Mittel — häufige Breaking Changes zwischen Versionen
Eignung	Am besten für große Kunden mit vielen Tenants (MSP-Szenario)
Concat-Status	🔄 Evaluierung — noch nicht produktiv eingesetzt

Template-Tenant

Der Concat Template-Tenant ist die Single Source of Truth für alle Baseline-Konfigurationen:

Inhalt	Details
OIB Baseline	Aktuelle Version der Open Intune Baseline
Concat Custom Policies	Ergänzende Policies (Naming, Branding-Vorlage)
CA-Policies	7 Baseline-Policies (CA-001 bis CA-007)
Compliance Policies	Standard-Compliance für Windows, iOS, macOS, Android
Gruppen-Struktur	Namenskonvention als Vorlage

Important

Änderungen immer zuerst im Template-Tenant! Neue Policies, Konfigurationsanpassungen oder OIB-Updates werden zuerst im Template deployed und getestet. Erst danach Rollout zu den Kunden-Tenants.

Querverweise

Thema	Verwandte Seite
OIB Import	Security Baselines
Namenskonventionen	Naming Conventions
Graph API Grundlagen	Graph API Basics
Config-Backup	Backup & Restore