Wie lassen sich Microsoft-Intune-Fehlercodes und Richtlinienkonflikte eindeutig interpretieren?

Von /

In Microsoft Intune wirken viele Komponenten gleichzeitig auf den Gerätezustand ein: Geräteeinschreibung, MDM-Kanal, Richtlinien- und Profilzuweisung, Compliance-Bewertung, App-Deployment, Update-Ringe und Feature-Updates sowie Abhängigkeiten zu Entra ID, Zertifikaten, Netzwerkzugriff und Betriebssystemdiensten. In der Praxis erscheinen Probleme selten als eindeutiger „Fehler“, sondern als verzögerte oder scheinbar widersprüchliche Zustände: ein Gerät ist zwar registriert, erhält aber keine Richtlinien; Compliance wechselt zwischen „konform“ und „nicht konform“; Apps bleiben im Status „Ausstehend“; Updates werden nicht angeboten, obwohl sie zugewiesen sind. Gleichzeitig unterscheiden sich die sichtbaren Signale je nach Perspektive (Intune-Konsole, Gerätestatus, Company Portal, Windows-Ereignisprotokolle, MDM-Diagnosen, iOS/Android-Managementlogs) und je nach Zeitpunkt, weil Intune-Rückmeldungen asynchron eintreffen und Zustände aus mehreren Auswertungs- und Aggregationsschritten entstehen. Wer Fehlermeldungen und Statuscodes belastbar interpretieren will, muss sie eindeutig einer betroffenen Komponente zuordnen, die tatsächliche Auswertungslogik verstehen und die wichtigsten Abhängigkeiten zwischen Entra ID, Gerätezustand, Sicherheitsrichtlinien und Betriebssystem-Mechanismen nachvollziehen können.

Fehler- und Statussystem in Intune: Zuordnung nach Komponente, Zeitverhalten und Zustandsquellen (Konsole, Gerät, Logs)

Intune liefert kein einheitliches „Fehlerobjekt“, sondern mehrere, teils unabhängig arbeitende Statussysteme: MDM-Check-ins (Gerätemanagementkanal), Richtlinien- und Profilauswertung (CSP/MAM/Win32), Compliance-Bewertung sowie Bereitstellungszustände für Apps, Updates und Skripte. Die Konsole bildet diese Quellen in verschiedenen Kacheln und Detailansichten ab, aggregiert sie aber zeitversetzt. Dadurch entstehen typische Erscheinungsbilder wie „Erfolg“ bei einem Profil, während der Gerätezustand in Windows weiterhin abweicht, oder „Konflikt“, obwohl die wirksame Einstellung bereits feststeht.

Technisch entscheidet das Zusammenspiel aus Entra ID (Identität, Gerätestatus, Conditional Access), Plattform-Agents (z. B. Windows MDM-Client/OMA-DM, Company Portal, Management Extension) und Dienstkomponenten in Intune (Policy Engine, Compliance Service, Delivery/Content Services), welche Statusmeldungen entstehen. Eine eindeutige Interpretation gelingt nur, wenn die Meldung einer Komponente, einem Zeitpunkt im Lebenszyklus (Enrollment, Check-in, Anwendung, Remediation) und einer Zustandsquelle (Konsole, Gerät, Logs) zugeordnet wird.

Zustandsquellen und ihre Semantik: „Was“ wird gemessen, „wann“ wird es sichtbar?

Die Intune-Konsole zeigt Statuswerte meist als Ergebnis einer serverseitigen Auswertung, die auf zuletzt eingegangenen Geräteberichten basiert. Windows wiederum zeigt in den lokalen MDM-Diagnosen den Status der CSP-Anwendung, was nicht identisch mit der Intune-UI sein muss: Ein CSP kann „applied“ melden, obwohl die gewünschte Wirkung wegen lokaler Abhängigkeiten (Edition, Dienstezustand, Treiber, vorhandene GPO) ausbleibt. Umgekehrt kann Intune „Fehler“ führen, weil ein Bericht fehlt oder veraltet ist, während das Gerät den Zustand bereits korrigiert hat.

Zustandsquelle Primärer Messpunkt Typische Verzögerung/Drift Geeignet für
Intune Admin Center: Gerätestatus/Richtlinienstatus Letzter gemeldeter Ergebniscode je Setting/Profil/App Check-in-Intervall, Batch-Processing, UI-Caching Flottenübersicht, Trend, Korrelation zu Zuweisungen
Windows: MDM Diagnostics / Event Logs CSP-Verarbeitung und OMA-DM Transaktionen lokal Nahe Echtzeit, aber abhängig von Logging-Level Root-Cause am Gerät, CSP-Fehler, Abhängigkeiten
IME (Intune Management Extension) Logs Win32/Skripte/Proactive Remediations Ausführung Ausführungszyklen, Content-Download, Detection Rules App-/Skript-Deployment, Retry-Logik, Exit-Codes
Entra ID / Sign-in Logs Token-Ausstellung, Gerätezustand, CA-Entscheidung Minutenbereich, je nach Log-Propagation Registrierung, CA-Blocker, Gerätestatus-Mismatch

Komponentenmodell: Managementkanäle, Auswertungs-Engines und Ergebnisräume

Für die Zuordnung ist entscheidend, welcher Kanal eine Konfiguration transportiert. MDM-Richtlinien laufen bei Windows über CSPs (OMA-URI/Policy CSP) und werden vom lokalen MDM-Client verarbeitet. Win32-Apps, PowerShell-Skripte und Proactive Remediations laufen über die Intune Management Extension (IME). MAM/APP Protection greift über den App-SDK-Stack bzw. den MAM-Client. Update-Richtlinien werden zwar in Intune definiert, die tatsächliche Umsetzung erfolgt aber über Windows Update for Business/Update-Stack; Intune ist dort Steuer- und Reporting-Ebene, nicht der Installer.

Jede Engine besitzt eigene Statuscodes und Retry-Strategien. Ein „Fehler“ kann deshalb bedeuten: Der Dienst konnte nicht zustellen (Transportproblem), das Gerät konnte nicht anwenden (lokaler Fehler), die Richtlinie wurde angewendet, aber durch eine höhere Priorität übersteuert (Konflikt), oder Intune hat (noch) keinen aktuellen Bericht (stale/no data). Ohne Kanalzuordnung werden diese Bedeutungen häufig vermischt, was in der Praxis zu widersprüchlichen Interpretationen führt.

  • MDM/CSP-Auswertung (Windows): zentrale Events in Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider/Admin und Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider/Operational; Diagnosepaket über mdmdiagnosticstool.exe -area DeviceEnrollment;DeviceProvisioning;Autopilot -cab C:\Temp\MDM.cab
  • IME-Status (Win32/Skripte): Logpfad C:\ProgramData\Microsoft\IntuneManagementExtension\Logs; Dienstname IntuneManagementExtension; typische Korrelation über IntuneManagementExtension.log und App-spezifische Install/Detection-Ausgaben
  • Check-in/Sync-Kanal: Geräteaktionen „Sync“ in der Konsole stößt keinen sofortigen Vollabgleich aller Workloads an; der lokale Sync-Trigger kann über dsregcmd /status (Gerätebindung) und MDM-Events nur indirekt zeitlich korreliert werden
  • Entra ID-Statusquellen: Registrierung und Gerätestatus über dsregcmd /status; Sign-in/CA-Entscheidungen in Entra „Sign-in logs“ und „Audit logs“; häufige Ursache für „stimmt nicht“ zwischen Intune-Gerät und Entra-Gerät ist eine ausstehende Geräteobjekt-Aktualisierung

Zeitverhalten: Warum Fehler oft „verzögert“, „flackernd“ oder „widersprüchlich“ erscheinen

Intune arbeitet ereignis- und intervallgetrieben. Geräte melden Ergebnisse nicht kontinuierlich, sondern in Check-in-Zyklen und als Reaktion auf einzelne Workloads. Gleichzeitig kann eine Konfiguration aus mehreren Schichten bestehen: Zuweisung (wer bekommt was), Zielberechnung (Scope Tags, Filter, Gruppenmitgliedschaften), Zustellung (Push/Fetch), lokale Anwendung (CSP/IME) und schließlich Reporting. Jede Schicht besitzt eigene Zeitkonstanten und Fehlermodi; „widersprüchlich“ ist häufig nur eine Momentaufnahme aus unterschiedlichen Zeitständen.

Konfliktanzeigen entstehen zudem nicht nur durch „zwei Profile setzen denselben Wert“, sondern durch parallele Steuerungspfade: MDM versus Gruppenrichtlinie (GPO), Security Baselines versus Settings Catalog, Defender/ASR-Policies versus lokale Sicherheitssoftware, sowie Update-Ringe versus Feature Update Policies. Auf Windows zeigt sich das als teils erfolgreiche CSP-Anwendung, aber anschließendem Rückrollen oder Ignorieren durch den jeweils dominanten Stack.

Erscheinungsbild in Intune Typische technische Ursache Primäre Gegenprobe am Gerät
„Nicht zutreffend“ (Not applicable) Zielgerät erfüllt Plattform/Edition/Version/Workload nicht; Setting gilt nur für bestimmte SKUs oder Kontexte CSP-Event mit „Setting not applicable“ in DeviceManagement-Enterprise-Diagnostics-Provider; OS- und Edition-Prüfung
„Ausstehend“ / „Pending“ Inhalt/Policy noch nicht zugestellt, Gerät offline, IME wartet auf nächsten Ausführungszyklus Letzter Check-in in Intune vs. lokale Events; IME-Logs für Download- und Schedule-Informationen
„Konflikt“ Mehrere Richtlinien definieren denselben Schlüssel; Priorisierung/Winning Policy hängt vom Policy-Typ ab Wirksame Einstellung über lokale Policy-/CSP-Diagnose; Abgleich der zugewiesenen Profile und Baselines
„Fehlgeschlagen“, aber Gerät wirkt korrekt Transienter Apply-Fehler mit späterem Erfolg; Reporting-Lag; alte Fehler bleiben sichtbar bis neuer Bericht eintrifft Event-Reihenfolge im CSP/IME; erneuter Check-in und Zeitstempelvergleich

Praktische Zuordnungssystematik: Von der Meldung zur betroffenen Komponente

Eine systemische Einordnung beginnt mit drei Achsen: (1) betroffener Workload (MDM/CSP, IME/Win32, Compliance, Update, MAM), (2) Zeitpunkt im Lebenszyklus (Enrollment, erste Policy-Verarbeitung, laufender Drift, Remediation) und (3) Quelle des Status (Konsole aggregiert, Gerät lokal, Entra ID-Identität). Erst danach lohnt die Detailarbeit an einzelnen Codes. Im Alltag ist die schnellste Trennlinie oft: „Kann das Gerät grundsätzlich mit Intune sprechen?“ (Check-in/Token), „Kann der lokale Agent anwenden?“ (CSP/IME) und „Ist die Zielberechnung korrekt?“ (Zuweisung/Filter/Gruppen).

  • Identitäts- und Registrierungsbasis verifizieren: dsregcmd /status (AzureAdJoined/DomainJoined, DeviceId, TenantId) und Entra-Geräteobjekt gegen Intune-Gerät abgleichen; Abweichungen deuten auf Doppelregistrierung oder Objektwechsel nach Reset hin
  • MDM-Anwendungspfad prüfen (CSP): Event Viewer: Applications and Services Logs\Microsoft\Windows\DeviceManagement-Enterprise-Diagnostics-Provider\Admin; Fehler erscheinen dort oft vor der UI-Sichtbarkeit in Intune
  • IME-Pfad prüfen (Win32/Skripte): Dienstzustand und Logs in C:\ProgramData\Microsoft\IntuneManagementExtension\Logs; typische Ursachen sind Download/Hash, Detection Rules, Install-Exitcodes und Neustartbedingungen
  • Zuweisung und Zielberechnung isolieren: Gruppenzugehörigkeit (dynamisch/statisch), Filter-Logik, Scope Tags; bei „unerklärlichem“ Status zunächst sicherstellen, dass das Gerät tatsächlich im Ziel liegt und kein Ausschluss greift
  • Zeitstempel statt Statusfarbe interpretieren: In der Konsole konsequent „Last check-in“ und „Last modified“ der Richtlinie berücksichtigen; ältere Fehler ohne frischen Gerätebericht besitzen geringe Aussagekraft für den aktuellen Zustand

Mit dieser Zuordnung wird sichtbar, warum Intune-Fehler oft nicht als „ein Defekt“, sondern als unvollständige Zustandskette auftreten: Identität kann stimmen, aber der Managementkanal ist blockiert; der Kanal kann funktionieren, aber ein lokaler CSP scheitert; oder alles ist korrekt, jedoch fehlt ein aktueller Bericht. Die Folge sind scheinbar inkonsistente Statusbilder, die erst durch konsequente Trennung von Quelle, Zeitpunkt und Komponente belastbar werden.

Geräteregistrierung, Authentifizierung und MDM-Konnektivität: Entra ID, Zertifikate, Token, Plattformbesonderheiten und typische Fehlercodes

Geräteregistrierung und MDM-Enrollment in Microsoft Intune bestehen aus einer Kette klar separierter Teilschritte: Identität in Entra ID, Geräteeintrag (Device Object), Erwerb von Tokens, Ermittlung des MDM-Endpoints, Aufbau der TLS-Verbindung und erst danach die eigentliche MDM-Sitzung (Richtlinienabfrage, Status-Upload, Compliance). Viele sichtbare Intune-Probleme sind keine „einzelnen“ Fehler, sondern Zustandsbrüche innerhalb dieser Kette: Ein Entra-ID-Token ist gültig, aber das Geräteobjekt fehlt; die MDM-URL ist korrekt, aber TLS scheitert; die Registrierung ist abgeschlossen, aber der Client erreicht den Dienst nicht mehr. Das führt typischerweise zu verzögerten, unvollständigen oder widersprüchlichen Konfigurationen, weil Intune auf den nächsten erfolgreichen Check-in angewiesen bleibt.

Identitäts- und Autorisierungskette: Entra ID, Token und MDM-Discovery

Bei Windows (Entra ID Join, Hybrid Join, Workplace Join/Entra Registered) entscheidet Entra ID über Geräteidentität und Berechtigung zur MDM-Registrierung. Der MDM-Enrollmentpfad nutzt OAuth-basierte Tokens und eine Dienstermittlung („MDM discovery“). Ist die MDM-Benutzerzuweisung nicht wirksam oder wird die Registrierung durch Conditional Access unterbrochen, bleiben lokale Enrollment-Artefakte bestehen, ohne dass der MDM-Kanal stabil aufgebaut wird. Im Intune-Portal erscheinen Geräte dann oft als „nicht eincheckend“, obwohl sie in Entra ID existieren; umgekehrt kann ein lokales Enrollment gestartet sein, ohne dass ein verwaltetes Geräteobjekt in Intune angelegt wird.

Rollen- und Lizenzbedingungen wirken dabei als harte Gatekeeper. Besonders häufig ist die Kollision aus (a) fehlender Intune-Lizenz am Benutzer, (b) deaktivierter automatischer MDM-Registrierung in Entra ID oder (c) einer Enrollment-Restriktion (Plattformversion, Gerätekategorie, Gerätetyp). Diese Ursachen führen nicht zwingend zu einer „roten“ Fehlermeldung im Portal, sondern zu Abbrüchen im Client-Flow, die nur in Ereignisprotokollen und Enrollment-Logs erkennbar werden.

  • MDM-Autorisierung (Benutzer nicht für MDM berechtigt): Windows-Enrollment endet häufig mit 0x80180018 (typisch, wenn keine MDM-Berechtigung/MDM-User-Scope greift oder Enrollment durch Richtlinien eingeschränkt wird) und bleibt damit in der Phase „Account setup“ stehen.
  • „Zugriff blockiert“ durch Conditional Access: Die Entra-ID-Anmeldung bricht mit AADSTS53003 („Access has been blocked by Conditional Access policies.“) oder interaktiv mit AADSTS50076 (MFA erforderlich) ab; Enrollment kann dann zwar gestartet, aber nicht abgeschlossen werden, wenn Interaktion nicht möglich ist (z. B. bei Autopilot/ESP ohne zulässige CA-Ausnahmen).
  • Geräteobjekt/Join-Zustand inkonsistent: Häufige Indikatoren sind dsregcmd /status mit nicht passenden Flags (z. B. AzureAdJoined : NO bei erwarteter Join-Variante) sowie ein fehlender oder verwaister Geräte-Token-Cache; Folge sind wiederholte Registrierungsversuche ohne stabilen MDM-Channel.
  • MDM-Discovery/Enrollment-Endpoint nicht erreichbar: Netzwerk-/Proxy-Fehlkonfigurationen oder TLS-Inspection brechen die Discovery ab; prüfbar über https://enterpriseregistration.windows.net und https://enrollment.manage.microsoft.com sowie (tenantabhängig) die in dsregcmd /status angezeigten Enrollment-URLs.

Windows-spezifische Enrollment-Artefakte: MDM-Client, Aufgabenplanung und Check-in

Auf Windows erfolgt die MDM-Anbindung über den integrierten MDM-Client (OMADM) und geplante Aufgaben, die den regelmäßigen Check-in triggern. Ein erfolgreicher Enrollment-Status bedeutet lediglich, dass ein MDM-Enrollmentobjekt angelegt wurde; Richtlinienzustellung erfordert anschließend eine funktionierende Kommunikation. Sichtbar wird das in Intune als „Letzte Überprüfung“ (Last check-in) und in Windows als wiederkehrende OMADM-Sitzungen. Wird der Check-in durch Netzwerk oder lokale Fehler unterbrochen, können Profile in Intune als „zugewiesen“ gelten, während der Client sie nie abgerufen hat.

Fehlercodes im Windows-Enrollment sind häufig HRESULT/Win32-basiert und verweisen auf den betroffenen Layer: Entra-ID-Token, MDM-Serverkontakt, lokale Gerätezertifikate oder Policy-Engine. Wichtig ist die Zuordnung: Ein Code beim Enrollment ist nicht automatisch ein „Richtlinienfehler“, sondern häufig ein Hinweis auf MDM-Konnektivität oder Identität.

Fehlermeldung / Code Typische Zuordnung (Komponente) und technische Bedeutung
0x80180018 Enrollment-Gating (Entra ID/Intune): Benutzer nicht für MDM-Enrollment berechtigt oder Enrollment durch Scope/Restriktionen verhindert; die Geräte-Registrierung kann beginnen, der MDM-Handshake wird jedoch nicht autorisiert.
0x80180014 MDM-Enrollment (Windows/Serverkontakt): häufig als generischer Enrollment-Fehler sichtbar, wenn Serverantwort oder Discovery nicht erfolgreich verarbeitet wird (z. B. falsche MDM-Zuweisung, fehlerhafte Discovery, blockierte Endpoints).
0x801c03f3 Entra ID Device Registration: Token-/Geräteregistrierung schlägt fehl; tritt typischerweise auf, wenn die Device Registration durch Richtlinien/CA blockiert ist oder der Registrierungsdienst nicht erreichbar ist.
AADSTS53003 Entra ID Conditional Access: Zugriff wird durch CA blockiert; Enrollment-Flow kann keine Tokens beziehen, Intune-Registrierung bleibt unvollständig oder startet in Schleifen.
0x80072EFE Kommunikation (WinHTTP/Schannel): Verbindung unerwartet beendet; typisch bei Proxy/TLS-Interception, instabilen Netzen oder abgebrochenen TLS-Sessions, häufig als „nicht eincheckend“ sichtbar.
0x80072F8F Zertifikat/Trust/Time (Schannel): TLS-Handshake scheitert, oft wegen falscher Systemzeit/Zeitzone oder fehlender Vertrauenskette; MDM-Check-in und Enrollment können dadurch vollständig blockieren.

Zertifikate, TLS und Proxy-Ketten: Warum „MDM nicht erreichbar“ oft kein Intune-Fehler ist

MDM-Verbindungen sind TLS-geschützt; jede Manipulation der Zertifikatskette (z. B. TLS-Inspection durch Proxy) oder eine unterbrochene Validierung (fehlende Root-CAs, falsche Uhrzeit) wirkt unmittelbar auf Enrollment und Check-in. Intune selbst „sieht“ dann nur den fehlenden Geräte-Check-in. Der Client hingegen protokolliert Schannel/WinHTTP-Fehler, die streng zwischen DNS, TCP, TLS-Handshake und HTTP-Status unterscheiden. Bei iOS/iPadOS und Android Enterprise sind ähnliche Effekte sichtbar: Das Betriebssystem bzw. die Management-API bricht die Session ab, Intune zeigt nachgelagert nur die ausbleibende Statusrückmeldung.

Bei Zertifikaten sind zwei Ebenen zu unterscheiden: (1) Serverseitige TLS-Validierung der Microsoft-Endpunkte durch das Gerät und (2) optionale Client-Authentifizierung über ausgerollte Identitätszertifikate (z. B. SCEP/PKCS) für nachgelagerte Ressourcen wie WLAN/VPN. Fehler in Ebene (2) verhindern nicht zwangsläufig den Intune-Check-in, können aber den Eindruck erzeugen, Richtlinien seien „unwirksam“, weil abhängige Profile (WLAN/VPN) nicht funktionsfähig werden und dadurch Compliance oder App-Zugriffe scheitern.

  • Schannel-/TLS-Indikatoren (Windows): wiederkehrende Fehler mit 0x80072F8F deuten häufig auf Zeit/Trust-Probleme; die technische Korrektur beginnt bei w32tm /query /status und der Prüfung der Vertrauenskette, nicht bei Intune-Richtlinien.
  • Proxy-Erzwingung vs. Systemkontext: Enrollment/Check-in laufen teils im Systemkontext; Proxy-Konfigurationen, die nur für Benutzer gelten, brechen den Dienstzugang. Relevante Prüfpfade sind netsh winhttp show proxy und (falls verwendet) netsh winhttp import proxy source=ie.
  • Endpoint-Blockaden: Wenn DNS/Firewall Microsoft-Managementendpunkte nicht erlaubt, entstehen „stille“ Zustandsfehler (kein Check-in). Technische Indikatoren sind wiederholte Verbindungsabbrüche mit 0x80072EFE oder Zeitüberschreitungen; Abhilfe erfordert die Freigabe der relevanten Intune/Entra-ID-Endpunkte im Unternehmensnetz.

Plattformbesonderheiten: iOS/iPadOS, Android Enterprise und macOS im Enrollment-Kontext

Auf iOS/iPadOS bestimmt die Enrollment-Art (z. B. Automated Device Enrollment über Apple Business Manager, Benutzerregistrierung oder Geräte-Enrollment) den Identitätsanker und die erlaubten MDM-Funktionen. In der Praxis führen Fehler eher zu „stehendem“ Enrollment als zu granularen Intune-Codes, weil Apple die MDM-Transaktion kapselt. Typische Bruchstellen sind abgelaufene oder fehlkonfigurierte Tokens/Zertifikate in der Apple-Integrationskette (APNs, ADE-Token) sowie Netzwerkpfade zu Apple-Diensten. Intune zeigt dann häufig generische Registrierungs- oder Synchronisationsprobleme, während die technische Ursache in der Apple-Kommunikation liegt.

Android Enterprise hängt stark vom Play-Dienst- und Google-Enterprise-Status ab (Device Policy, Managed Google Play, Work Profile). Fehler zeigen sich häufig als nicht abgeschlossene Arbeitsprofilbereitstellung oder als ausbleibende App-/Policy-Synchronisation. macOS wiederum nutzt unterschiedliche Enrollmentmechanismen (ADE, Benutzerinitiierung) und hat mit Zertifikaten/Trust ähnliche Risiken wie Windows, insbesondere bei TLS-Inspection. Plattformübergreifend gilt: Wenn die Identitätsphase (Entra ID/Apple/Google) nicht konsistent abgeschlossen ist, sind spätere Intune-Richtlinienzustände logisch nicht interpretierbar, weil das Gerät den Managementkanal nie stabil etabliert hat.

Richtlinien-, Compliance-, App- und Update-Bereitstellung: Konfliktlogik, Auswertungsreihenfolge, häufige Meldungen und ihre technische Bedeutung

Intune bewertet Gerätekonfigurationen nicht als „eine“ Einstellung, sondern als Ergebnis mehrerer Zuweisungsströme: Gerätekonfigurationsprofile, Sicherheitsbaselines, Endpoint-Security-Policies, Compliance-Richtlinien, App-Zuweisungen sowie Update- und Feature-Deployment. Sichtbare Fehler entstehen häufig nicht durch eine einzelne falsche Policy, sondern durch Kollisionen, zeitversetzte Auswertung und kanalabhängige Durchsetzung (MDM CSP, Win32-Installationsengine, Windows Update for Business, Apple MDM, Android Enterprise).

Wesentlich ist die Trennung zwischen „Zielzustand“ (was Intune zuweisen will) und „Istzustand“ (was das Betriebssystem oder der Management-Agent tatsächlich umgesetzt hat). Intune zeigt viele Probleme als Status „Error“, „Conflict“ oder „Not applicable“, obwohl das Gerät später konsistent wird, weil eine nachgelagerte Abhängigkeit (z. B. Neustart, Check-in, Detection Rule, WU-Scan) zeitlich verzögert eintritt.

Auswertungsreihenfolge und Konfliktlogik: Warum „Conflict“ selten ein Einzelfehler ist

Konflikte entstehen, wenn zwei oder mehr Richtlinien dieselbe Einstellung mit inkompatiblen Werten adressieren und die Plattform keinen deterministischen Merge zulässt. Windows-spezifisch ist zudem, dass unterschiedliche Policy-Typen über verschiedene Kanäle in dieselbe technische Zielvariable schreiben können (z. B. MDM Policy CSP vs. GPO/MDM-Richtlinienbrücke). Intune kann dann zwar den Konflikt erkennen, aber nicht auflösen, weil die Durchsetzung am Endpunkt entscheidet, welcher Wert tatsächlich wirksam wird.

Die Auswertung hängt außerdem von Scope, Filter, Zuweisungsart (Benutzer/Gerät), Lizenz- und Enrollment-Kontext ab. „Not applicable“ bedeutet häufig nicht „ignoriert“, sondern „nicht auswertbar“, etwa weil das Setting nicht zur SKU, zum OS-Build oder zum Enrollment-Typ passt. „Pending“ beschreibt meist einen asynchronen Zustand: Intune hat zugewiesen, aber der Client hat noch nicht bestätigt oder eine nachgelagerte Evaluierung steht aus.

  • Status „Conflict“ (Konfigurationsprofil): Intune erkennt widersprüchliche Zielwerte für dieselbe Konfigurationseinheit; typisch bei parallel zugewiesenen Profilen oder Baselines. Auf Windows zeigt sich das in Geräteansichten als Conflict; technisch liegt oft eine Kollision auf MDM-CSP-Ebene vor (ein CSP-Node kann nicht gleichzeitig zwei Werte halten).
  • Status „Error“ (Konfigurationsprofil): Der Client meldet einen Fehlercode an den MDM-Server zurück (SyncML-Status). In Windows-Protokollen korreliert das häufig mit 0x87D1FDE8 (Assignment/Applicability-Probleme) oder CSP-spezifischen HRESULTs; die Ursachen reichen von fehlender OS-Unterstützung bis zu Zugriff/Abhängigkeiten (z. B. BitLocker-Protector, Neustart erforderlich).
  • Status „Not applicable“: Die Richtlinie ist zwar zugewiesen, erfüllt aber Kriterien nicht (Plattform, Edition, OS-Version, Management-Kanal). Windows-UI zeigt oft „Nicht zutreffend“; auf Policy-Ebene ist dies ein Applicability-Filterergebnis, nicht zwingend ein Fehler.
  • Status „Pending“ / „In progress“: Das Gerät hat den Auftrag erhalten, aber noch nicht final gemeldet. Windows-Clientverhalten hängt am MDM-Check-in und an lokalen Evaluierungen; Diagnosepfad über Event Viewer > Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider.

Compliance: Auswertung, Grace-Period, „Nicht konform“ trotz korrekter Konfiguration

Compliance ist in Intune eine separate Bewertungsschicht: Konfigurationsprofile setzen Zustände, Compliance-Richtlinien prüfen Zustände. Eine technisch korrekte Konfiguration kann dennoch „Nicht konform“ melden, wenn die Messmethode abweicht (z. B. Antivirus-Provider-Wechsel), wenn Reporting verzögert ist oder wenn ein Compliance-Check auf einen anderen Datenprovider zugreift als die Konfiguration. Conditional Access in Entra ID konsumiert den Compliance-Status, wirkt aber nicht rückwärts auf die Gerätekonfiguration; dadurch entstehen scheinbar widersprüchliche Situationen, etwa „Policy erfolgreich“, aber „Zugriff blockiert“.

Typische Compliance-Meldungen sind „Noncompliant“, „In grace period“ und „Error“. „Error“ bedeutet nicht zwingend Sicherheitsdefizit, sondern oft, dass der Client die Abfrage nicht ausführen konnte (z. B. WMI/Health Attestation nicht verfügbar). In Windows kann ein Compliance-Fehler außerdem auftreten, wenn das Gerät zwar registriert ist, aber die MDM-Health-Komponente (Intune Management Extension ist hierfür nicht maßgeblich) keine frischen Ergebnisse liefert.

Intune-Anzeige Technische Bedeutung / typische Ursache
Compliant Alle Compliance-Regeln wurden zum Evaluierungszeitpunkt erfüllt; Entra ID kann den Zustand für Conditional Access konsumieren.
Noncompliant Mindestens eine Regel ist objektiv verletzt oder wird als verletzt gemessen (z. B. Mindest-OS-Version, BitLocker-Status, Kennwort-/PIN-Anforderung).
In grace period Verstoß erkannt, aber noch innerhalb der konfigurierten Nachfrist; CA kann je nach Design bereits greifen oder erst nach Ablauf.
Error Regel konnte nicht ausgewertet werden (z. B. fehlender Sensor/Provider, Telemetrie nicht verfügbar, OS liefert keine verwertbaren Statusdaten).
Not evaluated Gerät hat noch keine Compliance-Auswertung geliefert oder wurde seit Zuweisung nicht erfolgreich synchronisiert.

App-Bereitstellung: Erkennungslogik, Abhängigkeiten und typische Fehlercodes

App-Fehler sind häufig keine Installationsfehler im engeren Sinn, sondern Detection- und Kontextfehler. Bei Win32-Apps entscheidet die Detection Rule, ob Intune „Installed“ meldet; eine fehlerhafte Erkennung führt zu Endlosschleifen („installiert“ lokal, aber „nicht erkannt“ in Intune). Zudem wirken Abhängigkeiten (Dependencies) und Supersedence: Wird eine abhängige App blockiert, bleibt die Ziel-App im Status „Waiting for install status“ oder „Failed“, obwohl der Installer selbst korrekt wäre.

Viele Win32-Fehlercodes sind HRESULT- oder Windows Installer-Codes, die Intune in 32-bit/hex anzeigt. Häufig sind 0x87D1041C (Anforderung nicht zutreffend / Requirement Rule nicht erfüllt), 0x87D1041F (App bereits installiert/Erkennung inkonsistent, je nach Kontext), 0x87D30068 (Content-Download/Delivery Optimization/Cache-Probleme) oder 0x80070005 (Zugriff verweigert, z. B. Kontext/ACL). Bei MSI taucht klassisch 1603 als generischer fataler Installationsfehler auf; die technische Ursache liegt dann im MSI-Log, nicht in Intune.

  • Requirement nicht erfüllt: Intune meldet häufig 0x87D1041C; die App wird nicht installiert, weil eine Requirement Rule (OS-Version, Architektur, Disk Space, Registry/File) negativ ausfällt. Kontrolle über IntuneManagementExtension.log und die im Portal definierten Requirements.
  • Detection Rule inkonsistent: Gerät installiert, aber Status bleibt „Failed“ oder „Install pending“, wenn die Detection (z. B. HKLM\Software\...\Uninstall, Datei-Pfad, Produktcode) nicht zur Realität passt oder 32/64-bit-Redirect nicht berücksichtigt wird. Typisch ist ein Wechsel zwischen „Installed“ und „Not installed“ nach erneuter Evaluierung.
  • Download-/Caching-Probleme: Fehler wie 0x87D30068 entstehen bei Content-Transfer, DO/WinHTTP-Fehlern oder beschädigtem Cache. Abgleich über IntuneManagementExtension.log sowie Windows-Protokolle zu Delivery Optimization.
  • Installer-Rückgabecode aus dem Setup: MSI-Returncodes wie 1603 oder EXE-spezifische Codes werden durchgereicht; die technische Einordnung erfordert Hersteller-Logs bzw. MSI-Logging über msiexec /i package.msi /l*v C:\Windows\Temp\app.log.

Update- und Feature-Deployment: WUfB, Scan-Zyklen, Safeguard Holds und „Offer not received“

Windows-Updates über Intune basieren in der Regel auf Windows Update for Business (WUfB) und lokalen Windows Update-Komponenten. Intune steuert Ringe, Qualitätsupdates, Feature Updates sowie Expedite Policies; die tatsächliche Verfügbarkeit hängt jedoch von lokalen Scans, Microsoft Update-Services, Content Policies und von Microsoft-seitigen Schutzmechanismen ab. Dadurch entstehen häufig Zustände, in denen Intune „assigned“ zeigt, das Gerät aber noch kein Angebot erhält oder Installationen zurückstellt.

Typische Ursachen sind fehlende Scan-Auslösung, ungeklärte Dual-Scan-Konstellationen, WSUS-Konflikte, fehlende Neustarts oder Safeguard Holds (Kompatibilitätsblockaden), die ein Feature Update trotz Zielversion nicht anbieten. Intune-Statusmeldungen wirken dann widersprüchlich: Die Policy ist erfolgreich, die Update-Installation bleibt aber „Pending“, weil Windows Update das Angebot nicht bereitstellt.

  • „Update not applicable“ / „Not applicable“ (Update Reports): Gerät erfüllt die Kriterien nicht (z. B. bereits auf Zielversion, falsche Produktfamilie, Edition nicht unterstützt). Technisch entscheidet Windows Update Applicability; Intune kann das Angebot nicht erzwingen.
  • „Offer not received“ / keine Zielversion sichtbar: Häufig bei Feature Updates unter Safeguard Hold oder wenn das Gerät nicht gegen Microsoft Update scannt. Analyse über Get-WindowsUpdateLog (Windows) und WindowsUpdateClient-Events; Abgleich der konfigurierten Update-Quelle und ggf. WSUS-Policy-Kollisionen.
  • „Pending restart“ / Installationsstau: Qualitäts- oder Feature-Update installiert, aber Abschluss hängt an Neustart-/Active-Hours- und Deadline-Logik. Die Durchsetzung erfolgt lokal durch Windows Update; Intune meldet verzögert, sobald die WU-Compliance zurückfließt.

In der Praxis sind Bereitstellungsprobleme auf dieser Ebene selten durch „Intune kann nicht“, sondern durch die Kopplung von Richtlinienzustand, Gerätetelemetrie und lokalen Update-Engines erklärbar. Die technische Einordnung muss deshalb immer den betroffenen Kanal trennen: Zuweisung in Intune, Durchsetzung am Endpunkt, Rückmeldung über Reporting. Erst daraus ergibt sich, ob ein Konflikt tatsächlich in Intune entsteht oder ob der Client eine korrekte Policy aufgrund lokaler Regeln, Abhängigkeiten oder Blockaden nicht umsetzt.

Wie hilfreich war dieser Beitrag?

Klicke auf die Sterne um zu bewerten!

Es tut uns leid, dass der Beitrag für dich nicht hilfreich war!

Lasse uns diesen Beitrag verbessern!

Wie können wir diesen Beitrag verbessern?

Meroth IT-Service ist Ihr lokaler IT-Dienstleister in Frankfurt am Main für kleine Unternehmen, Selbstständige und Privatkunden

Kostenfreie Ersteinschätzung Ihres Anliegens?

❱ Nehmen Sie gerne Kontakt auf ❰

Werbung

tado° smartes Heizkörperthermostat 3er-Pack – Wifi Zusatzprodukt als Thermostat für Heizung und digitale Einzelraumsteuerung per App – einfache Installation – Heizkosten sparenℹ︎
Ersparnis 30%
UVP**: € 239,99
€ 167,42
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
Bei Amazon ansehenℹ︎
Anker Nano 65W USB C Ladegerät, 3-Port PPS Schnellladegerät, iPad Ladegerät, Kompaktes Netzteil für MacBook Pro, iPad Pro, Galaxy S20, Dell XPS 13, Note 20, iPhone 17/16/15 Series,Pixelsℹ︎
€ 45,00
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
Bei Amazon ansehenℹ︎
TP-Link Deco X50-PoE Wi-Fi 6 Mesh WLAN Set(2 Pack), AX3000 Dualband Router &Repeater(Unterstützt PoE und DC-Stromversorgung, 2.5Gbps Port, Reichweite bis zu 420m²,WPA3, ideal für große Häus) weißℹ︎
Ersparnis 12%
UVP**: € 229,00
€ 201,47
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
Bei Amazon ansehenℹ︎
€ 207,51
Preise inkl. MwSt., zzgl. Versandkosten
Bei Galaxus.de ansehenℹ︎
UGREEN Revodok 1061 USB C Hub Ethernet, 4K HDMI, PD100W, 3*USB A 3.0 Docking Station kompatibel mit iPhone 17/16, MacBook Pro M4, Mac mini M4, iPad, Surface, Galaxy S24, Steam Deck usw.ℹ︎
Ersparnis 32%
UVP**: € 27,99
€ 18,98
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
Bei Amazon ansehenℹ︎
Crucial X9 1TB Externe SSD Festplatte, bis zu 1050MB/s, kompatibel mit PC, Mac und Spielekonsolen, Portable Solid State Drive, USB-C 3.2 - CT1000X9SSD902ℹ︎
Kein Angebot verfügbar.
Crucial T700 1TB SSD PCIe Gen5 NVMe M.2 Interne SSD, bis zu 11.700MB/s, Microsoft DirectStorage, PCIe 4.0 abwärtskompatibel, Solid State Drive - CT1000T700SSD3ℹ︎
Ersparnis 3%
UVP**: € 180,53
€ 174,99
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
Bei Amazon ansehenℹ︎
€ 338,99
Preise inkl. MwSt., zzgl. Versandkosten
Bei notebooksbilliger ansehenℹ︎
FRITZ!Box 5690 Pro (Wi-Fi 7 Premium DSL- und Glasfaser-Router mit Triband (2,4 GHz, 5 GHz, 6 GHz) bis zu 18,5 GBit/s, für Glasfaser & DSL-Anschlüsse, WLAN Mesh, DECT-Basis, internationale Version)ℹ︎
€ 353,38
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
Bei Amazon ansehenℹ︎
UGREEN Nexode USB C Ladegerät 100W 5-Port GaN Netzteil Mehrfach PD Charger Multiports unterstützt PPS 45W kompatibel mit MacBook Pro/Air, HP Laptop, iPad Serien, iPhone 17, 16 Pro, Galaxy S25ℹ︎
Ersparnis 36%
UVP**: € 54,99
€ 34,98
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
Bei Amazon ansehenℹ︎
Eve Thermo - Smartes Heizkörperthermostat & Door & Window Matter – Smarter Kontaktsensor für Türen & Fenster, Haussicherheitℹ︎
Ersparnis 19%
UVP**: € 119,90
€ 97,30
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
Bei Amazon ansehenℹ︎
UGREEN USB C Ladegerät, Nexode Pro 100W GaN Charger Mini USB C Netzteil 3-Port Schnellladegerät PPS 45W kompatibel mit MacBook Pro/Air, iPad, iPhone 17, Galaxy S25 Ultra, S24, Dell XPSℹ︎
Ersparnis 39%
UVP**: € 59,99
€ 36,69
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
Bei Amazon ansehenℹ︎
HP Laptop, 15,6 Zoll (39,6 cm) FHD IPS Display, AMD Ryzen 7 7730U, 16 GB RAM, 512 GB SSD, AMD Radeon-Grafik, Windows 11 Home, QWERTZ Tastatur, Silber, Fast Chargeℹ︎
€ 739,82
Gewöhnlich versandfertig in 6 bis 7 Monaten
Preise inkl. MwSt., zzgl. Versandkosten
Bei Amazon ansehenℹ︎
UGREEN Revodok 105 USB C Hub PD100W, 4K HDMI, 3*USB A Datenports USB C Adapter Multiportadapter kompatibel mit iPhone 17/16, Galaxy S24, Surface, MacBook Pro/Air, iPad Pro/Air, Steam Deck usw.ℹ︎
Ersparnis 12%
UVP**: € 16,99
€ 15,00
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
Bei Amazon ansehenℹ︎
NETGEAR 8-Port Gigabit Ethernet Plus Switch (GS108E): Managed, Desktop- oder Wandmontage und eingeschränkte Garantie über die gesamte Lebensdauerℹ︎
Ersparnis 19%
UVP**: € 41,99
€ 33,99
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
Bei Amazon ansehenℹ︎
€ 34,90
Preise inkl. MwSt., zzgl. Versandkosten
Bei Cyberport ansehenℹ︎
€ 33,99
Preise inkl. MwSt., zzgl. Versandkosten
Bei notebooksbilliger ansehenℹ︎
Anker 140W USB-C Ladegerät, Laptop Ladegerät, 4-Port Multi-Geräte Schnellladeleistung, Fortschrittliches GaN Netzteil, Touch Control, Kompatibel mit MacBook, iPhone 17/16/15, Samsung, Pixel und mehrℹ︎
€ 89,99
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
Bei Amazon ansehenℹ︎
UGREEN Revodok Pro USB C Docking Station Dual HDMI 10 IN 1 Hub 2 HDMI, Gigabit Ethernet, 4X USB C/USB A Ports, PD 100W Schnellladen, SD/TF Kartenleserℹ︎
Ersparnis 15%
UVP**: € 46,99
€ 39,99
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
Bei Amazon ansehenℹ︎
FRITZ!Box 5690 Pro (Wi-Fi 7 Premium DSL- und Glasfaser-Router mit Triband (2,4 GHz, 5 GHz, 6 GHz) bis zu 18,5 GBit/s, für Glasfaser & DSL-Anschlüsse, WLAN Mesh, DECT-Basis, deutschsprachige Version)ℹ︎
Ersparnis 22%
UVP**: € 369,00
€ 289,00
Auf Lager
Preise inkl. MwSt., zzgl. Versandkosten
Bei Amazon ansehenℹ︎
ℹ︎ Werbung / Affiliate-Links: Wenn Sie auf einen dieser Links klicken und einkaufen, erhalte ich eine Provision. Für Sie verändert sich der Preis dadurch nicht. Zuletzt aktualisiert am 31. Dezember 2025 um 8:26. Die hier gezeigten Preise können sich zwischenzeitlich auf der Seite des Verkäufers geändert haben. Alle Angaben ohne Gewähr.
(**) UVP: Unverbindliche Preisempfehlung

Preise inkl. MwSt., zzgl. Versandkosten

Auch interessant:

Nach oben scrollen