Entra ID Security Gruppe mit Autopilot ConfidentialClient

Der große Vorteil, wenn beim Erstellen der Enrollment Policy für Android Enterprise Dedicated Devices in Intune direkt eine Entra ID Security Gruppe mit dem Owner „Intune Autopilot ConfidentialClient“ angegeben wird (statt eine dynamische Gruppe, die auf Basis einer Abfrage gefüllt wird), liegt in einer sofortigen, konsistenten und beschleunigten Gerätezuweisung während der Geräteanmeldung.​

NAME: Intune Autopilot ConfidentialClient

APP ID: f1346770-5b25-470b-88bd-d5744ab7952c

OBJECT ID: e9ff8267-d43d-40bd-a2ee-f8b210c47615

Vorteile der direkten Entra ID Security Gruppe

  • Geräte werden direkt während der Registrierung durch Intune der passenden Security Gruppe zugeordnet, weil Intune die Gruppe aktiv verwaltet und befüllt.​

  • Policies und Apps, die auf diese Security Gruppe zugewiesen sind, werden ohne Verzögerung bereitgestellt, was die Time-to-Productivity erheblich reduziert und zu einem besseren Nutzererlebnis führt (insbesondere im Rollout und Kiosk-Szenario).​

  • Im Gegensatz zu dynamischen Gruppen, die über Abfragefilter und periodische Abgleiche funktionieren, gibt es keine Verzögerung durch das dynamische Berechnungsintervall von Entra ID, welches manchmal unberechenbare Latenzen bei der Mitgliedschaftsaktualisierung verursachen kann.​

  • Die Ownership durch den „Autopilot ConfidentialClient“ oder den Intune Provisioning Client (abhängig vom Tenant) ist zwingende Voraussetzung, da nur diese Service Principals die Gruppe automatisch während des Enrollment-Prozesses befüllen dürfen.​

  • Für Enrollment Time Grouping wird explizit eine statische, nicht-dynamische, zugewiesene Gruppe benötigt, da dynamische Gruppen von diesem Mechanismus nicht unterstützt werden.​

Nachteile dynamischer Gruppen im Kontext

  • Dynamische Gruppen werden nach festen oder zufälligen Zeitplänen ausgewertet, wodurch es zu erheblichen Verzögerungen bei der Aufnahme neuer Geräte in relevante Gruppen kommen kann.​

  • Dies kann dafür sorgen, dass nach Abschluss der Registrierung Apps/Policies erst Minuten oder gar Stunden später verteilt werden, was zu inkonsistenten und für Anwender störenden Situationen führt​

Technische Zusammenfassung

Auswahl Direkt zugewiesene Entra ID Gruppe (mit Owner ConfidentialClient) Dynamische Gruppe (mit Abfrage)
Gruppenaufnahme Sofort bei Enrollment durch Intune Verzögert durch Abfrageintervall
App/Policy Rollout Unmittelbar nach Enrollment Reduzierte Geschwindigkeit, mit Wartezeit
Zuverlässigkeit Hohe Konsistenz, keine Abfragefehler Mögliche Inkonsistenz nach Registration
Szenario Enrollment Time Grouping, Kiosk/POC/Massen-Rollout Nachsteuerung über Attribute, selten sinnvoll

Diese Vorteile gelten, sofern Enrollment Time Grouping gewünscht und die Gruppe explizit mit „Autopilot ConfidentialClient“ oder dem Intune Provisioning Client (AppID wie dokumentiert) als Owner erstellt wurde. Nur dann kann Intune Devices während des Enrollment-Prozesses direkt der Gruppe hinzufügen – eine dynamische Gruppe bietet diese Möglichkeit technisch nicht.​

  1. https://learn.microsoft.com/en-us/intune/intune-service/enrollment/android-fully-managed-enroll
  2. https://learn.microsoft.com/en-us/microsoft-365/admin/create-groups/compare-groups?view=o365-worldwide
  3. https://petervanderwoude.nl/post/understanding-enrollment-time-grouping-for-android-devices/
  4. https://365bythijs.be/2020/04/27/android-enterprise-dynamic-groups-for-intune/
  5. https://www.nickydewestelinck.be/2025/10/16/the-android-tales-a-full-comprehensive-guide-on-managing-android-devices-with-microsoft-intune-part-2/
  6. https://learn.microsoft.com/de-de/intune/intune-service/fundamentals/deployment-guide-enrollment
  7. https://docs.azure.cn/en-us/entra/identity/users/groups-dynamic-membership
  8. https://www.chriscolden.net/2023/08/16/entra-id-azure-ad-dynamic-device-groups-for-intune/
  9. https://www.reddit.com/r/Intune/comments/14z6s0j/are_intune_filters_better_than_aad_dynamic_groups/
  10. https://petervanderwoude.nl/post/android-enterprise-corporate-owned-dedicated-devices-and-azure-ad-shared-device-mode/
  11. https://rahuljindalmyit.blogspot.com/2025/04/working-with-enrolment-time-grouping.html