Windows Autopilot für vorab bereitgestellte Bereitstellung

• Gilt für::

  ✅ Windows 11, ✅ Windows 10

Windows Autopilot unterstützt Organisationen beim einfachen Bereitstellen neuer Geräte mithilfe des vorinstallierten OEM-Images und der treiber. Diese Funktionalität ermöglicht es Endbenutzern, ihre Geräte mithilfe eines einfachen Prozesses geschäftsfähig zu machen.

Windows Autopilot kann auch einen Vorabbereitstellungsdienst bereitstellen, der Partnern oder IT-Mitarbeitern hilft, einen vollständig konfigurierten und geschäftsbereiten Windows-PC vorab bereitzustellen. Aus Sicht des Endbenutzers ist die benutzergesteuerte Benutzeroberfläche von Windows Autopilot unverändert, aber es ist schneller, das Gerät in einen vollständig bereitgestellten Zustand zu versetzen.

Mit Windows Autopilot für die vorab bereitgestellte Bereitstellung wird der Bereitstellungsprozess aufgeteilt. Die zeitaufwändigen Teile werden von der IT, Partnern oder OEMs erledigt. Der Endbenutzer schließt einfach einige erforderliche Einstellungen und Richtlinien aus und kann dann mit der Verwendung seines Geräts beginnen.

Vorab bereitgestellte Bereitstellungen verwenden Microsoft Intune in derzeit unterstützten Versionen von Windows. Solche Bereitstellungen bauen auf vorhandenen benutzergesteuerten Windows Autopilot-Szenarien auf und unterstützen szenarien im benutzergesteuerten Modus sowohl für in Microsoft Entra eingebundene als auch für hybrid eingebundene Microsoft Entra-Geräte.

Voraussetzungen

Zusätzlich zu den Windows Autopilot-Anforderungen erfordert Windows Autopilot für die vorab bereitgestellte Bereitstellung auch Folgendes:

• Eine derzeit unterstützte Version von Windows.
• Windows Pro-, Enterprise- oder Education-Editionen.
• Ein Intune-Abonnement.
• Physische Geräte, die TPM 2.0 (Trusted Platform Module) und Gerätenachweis unterstützen. Virtuelle Computer werden nicht unterstützt. Der Vorabbereitstellungsprozess verwendet Windows Autopilot-Selbstbereitstellungsfunktionen, sodass TPM 2.0 erforderlich ist. Der TPM-Nachweisprozess erfordert auch Zugriff auf eine Reihe von HTTPS-URLs, die für jeden TPM-Anbieter eindeutig sind. Weitere Informationen finden Sie im Eintrag für den Autopilot-Selbstbereitstellungsmodus und die Autopilot-Vorabbereitstellung in den Netzwerkanforderungen.
• Netzwerkverbindung. Die Verwendung der drahtlosen Konnektivität erfordert die Auswahl von Region, Sprache und Tastatur, bevor sie eine Verbindung herstellen und mit der Bereitstellung beginnen können.
• Ein ESP-Profil (Registrierungsstatusseite) muss auf das Gerät ausgerichtet sein.

Wichtig

• Da der OEM oder Anbieter den Vorabbereitstellungsprozess durchführt, ist für diesen Prozess kein Zugriff auf die lokale Domäneninfrastruktur eines Endbenutzers erforderlich. Der Vorabbereitstellungsprozess unterscheidet sich von einem typischen hybrid eingebundenen Microsoft Entra-Szenario, da der Neustart des Geräts verschoben wird. Das Gerät wird erneut versiegelt, bevor eine Verbindung mit einem Domänencontroller erwartet wird. Stattdessen wird das Domänennetzwerk kontaktiert, wenn das Gerät vom Endbenutzer lokal entpackt wird.

• Informationen zu bekannten Problemen und deren Lösungen finden Sie unter Bekannte Probleme in Windows Autopilotund Behandeln von Autopilot-Geräteimport und -registrierung .

Vorbereitung

Geräte, die für die Vorabbereitstellung vorgesehen sind, werden über den normalen Registrierungsprozess für Autopilot registriert.

Um windows Autopilot für die vorab bereitgestellte Bereitstellung auszuprobieren, stellen Sie sicher, dass vorhandene benutzergesteuerte Windows Autopilot-Szenarien erfolgreich verwendet werden können:

• Benutzergesteuerte Microsoft Entra-Einbindung. Stellen Sie sicher, dass Geräte mit Windows Autopilot bereitgestellt werden können, und fügen Sie sie einem Microsoft Entra ID-Mandanten hinzu.

• Benutzergesteuert mit Microsoft Entra Hybrid Join. Um die Features von Microsoft Entra Hybrid Join zu aktivieren, stellen Sie sicher, dass die folgenden Aktionen ausgeführt werden können:

  • Stellen Sie Geräte mithilfe von Windows Autopilot bereit.
  • Fügen Sie die Geräte einer lokalen Active Directory-Domäne hinzu.
  • Registrieren Sie die Geräte mit der Microsoft Entra-ID.

  Wichtig

  Microsoft empfiehlt, neue Geräte mithilfe von Microsoft Entra Join als cloudnativ bereitzustellen. Die Bereitstellung neuer Geräte als Microsoft Entra Hybrid Join-Geräte wird nicht empfohlen, auch nicht über Autopilot. Weitere Informationen finden Sie unter Microsoft Entra eingebunden im Vergleich zu Microsoft Entra hybrid eingebunden in cloudnative Endpunkte: Welche Option ist für Ihre Organisation geeignet.

Wenn diese Szenarien nicht abgeschlossen werden können, ist Windows Autopilot für die vorab bereitgestellte Bereitstellung ebenfalls nicht erfolgreich, da es auf diesen Szenarien basiert.

Bevor der Vorabbereitstellungsprozess in der Bereitstellungsdiensteinrichtung gestartet werden kann, muss eine weitere Autopilot-Profileinstellung konfiguriert werden. Ein ausführliches Tutorial zum Konfigurieren eines Autopilot-Profils für die Vorabbereitstellung finden Sie in den folgenden Artikeln:

• Schritt-für-Schritt-Tutorial für Windows Autopilot für die vorab bereitgestellte Bereitstellung von Microsoft Entra Join in Intune
• Schritt-für-Schritt-Tutorial für Windows Autopilot für die vorab bereitgestellte Bereitstellung von Microsoft Entra Hybrid Join in Intune

Der Prozess vor der Bereitstellung wendet alle Geräterichtlinien von Intune an. Diese Richtlinien umfassen Zertifikate, Sicherheitsvorlagen, Einstellungen, Apps und vieles mehr – alles, was auf das Gerät abzielt. Darüber hinaus werden alle Win32- oder Branchen-Apps installiert, wenn sie die folgenden Bedingungen erfüllen:

• Für die Installation im Gerätekontext konfiguriert.
• Wird entweder dem Gerät oder dem Benutzer zugewiesen, der dem Autopilot-Gerät vorab zugewiesen ist.

Wichtig

Stellen Sie sicher, dass Sie nicht sowohl Win32- als auch BRANCHEN-Apps auf dasselbe Gerät ausrichten. Wenn sowohl Win32- als auch BRANCHEN-Apps auf das Gerät ausgerichtet werden müssen, sollten Sie die Windows Autopilot-Gerätevorbereitung in Betracht ziehen. Weitere Informationen finden Sie unter Hinzufügen einer branchenspezifischen Windows-App zu Microsoft Intune.

Hinweis

Um einen einfachen Zugriff auf den Vorabbereitstellungsmodus sicherzustellen, wählen Sie den Sprachmodus wie in Autopilot-Profilen angegeben aus. In der Phase des Technikers vor der Bereitstellung werden alle gerätebezogenen Apps und alle benutzerspezifischen Gerätekontext-Apps installiert, die für den zugewiesenen Benutzer bestimmt sind. Wenn kein zugewiesener Benutzer vorhanden ist, werden nur die gerätebezogenen Apps installiert. Andere benutzerorientierte Richtlinien werden erst angewendet, wenn sich der Benutzer beim Gerät anmeldet. Um diese Verhaltensweisen zu überprüfen, müssen Sie geeignete Apps und Richtlinien erstellen, die auf Geräte und Benutzer ausgerichtet sind.

Szenarien

Windows Autopilot für die Bereitstellung mit Vorabbereitstellung unterstützt zwei verschiedene Szenarien:

• Benutzergesteuerte Bereitstellungen mit Microsoft Entra Join. Das Gerät ist mit einem Microsoft Entra-Mandanten verknüpft.

• Benutzergesteuerte Bereitstellungen mit Microsoft Entra Hybrid Join. Das Gerät wird mit einer lokalen Active Directory-Domäne verknüpft und separat mit der Microsoft Entra-ID registriert.

  Wichtig

  Microsoft empfiehlt, neue Geräte mithilfe von Microsoft Entra Join als cloudnativ bereitzustellen. Die Bereitstellung neuer Geräte als Microsoft Entra Hybrid Join-Geräte wird nicht empfohlen, auch nicht über Autopilot. Weitere Informationen finden Sie unter Microsoft Entra eingebunden im Vergleich zu Microsoft Entra hybrid eingebunden in cloudnative Endpunkte: Welche Option ist für Ihre Organisation geeignet.

Jedes dieser Szenarien besteht aus zwei Teilen: einem Technikerflow und einem Benutzerflow. Auf hoher Ebene sind diese Teile für Microsoft Entra Join und Microsoft Entra Hybrid Join identisch. Die Unterschiede werden vom Endbenutzer in erster Linie in den Authentifizierungsschritten bemerkt.

Technikerfluss

Nachdem der Kunde oder IT-Administrator alle Apps und Einstellungen, die er für seine Geräte über Intune verwenden möchte, verwendet hat, kann der Vorbereitstellungstechniker mit dem Vorbereitstellungsprozess beginnen. Der Techniker kann ein Mitglied des IT-Personals, ein Servicepartner oder ein OEM sein – jede Organisation kann entscheiden, wer diese Aktivitäten ausführen soll. Unabhängig vom Szenario ist der Prozess, der vom Techniker ausgeführt wird, identisch:

• Starten Sie das Gerät.

• Wählen Sie auf dem ersten OOBE-Bildschirm (Out-of-Box Experience) (bei dem es sich um eine Sprachauswahl, einen Gebietsschemaauswahlbildschirm oder die Microsoft Entra-Anmeldeseite handelt) nicht Weiter aus. Drücken Sie stattdessen fünfmal die WINDOWS-TASTE, um ein weiteres Optionsdialogfeld anzuzeigen. Wählen Sie auf diesem Bildschirm die Bereitstellungsoption Windows Autopilot und dann Weiter aus.

• Auf dem Bildschirm Windows Autopilot-Konfiguration werden die folgenden Informationen zum Gerät angezeigt:

  • Das dem Gerät zugewiesene Autopilot-Profil.

  • Der Organisationsname für das Gerät.

  • Der Benutzer, der dem Gerät zugewiesen ist (sofern vorhanden).

  • Ein QR-Code, der einen eindeutigen Bezeichner für das Gerät enthält. Dieser Code kann verwendet werden, um das Gerät in Intune nachzuschlagen, das möglicherweise erforderlich ist, um Konfigurationsänderungen vorzunehmen. Weisen Sie beispielsweise einen Benutzer zu, oder fügen Sie das Gerät gruppen hinzu, die für die App- oder Richtlinienadressierung erforderlich sind.

    Hinweis

    Die QR-Codes können mit einer Begleit-App gescannt werden. Die App konfiguriert das Gerät auch so, dass angegeben wird, zu wem es gehört. Das Autopilot-Team hat ein Open-Source-Beispiel für eine Begleit-App erstellt, die mithilfe der Graph-API in Intune integriert werden kann. Sie ist auf GitHub verfügbar.

• Validieren Sie die angezeigten Informationen. Wenn Änderungen erforderlich sind, nehmen Sie die Änderungen vor, und wählen Sie dann Aktualisieren aus, um die aktualisierten Autopilot-Profildetails erneut herunterzuladen.

• Wählen Sie Bereitstellen aus, um den Bereitstellungsprozess zu starten.

Wenn der Vorbereitstellungsprozess erfolgreich abgeschlossen wurde:

• Es wird ein Erfolgsstatusbildschirm mit Informationen zum Gerät angezeigt, einschließlich der zuvor dargestellten Details. Beispiel: Autopilot-Profil, Organisationsname, zugewiesener Benutzer und QR-Code. Die verstrichene Zeit für die Vorbereitstellungsschritte wird ebenfalls bereitgestellt.

• Wählen Sie Erneut versiegeln aus, um das Gerät herunterzufahren. An diesem Punkt kann das Gerät an den Endbenutzer gesendet werden.

Hinweis

Der Technikerflow erbt das Verhalten vom Selbstbereitstellungsmodus. Self-Deploying Modus verwendet die Registrierungsstatusseite, um das Gerät in einem Bereitstellungszustand zu halten. Das Gerät, das sich in einem Bereitstellungszustand befindet, verhindert, dass der Benutzer nach der Registrierung zum Desktop fortschreitet, aber bevor software- und konfigurationsseitig angewendet werden. Wenn die Seite "Registrierungsstatus" deaktiviert ist, kann daher die Schaltfläche zum erneuten Versiegeln angezeigt werden, bevor die Anwendung von Software und Konfiguration abgeschlossen ist. Dieses Verhalten kann es ermöglichen, mit dem Benutzerflow fortzufahren, bevor die Bereitstellung des Technikerflows abgeschlossen ist. Der Erfolgsbildschirm überprüft, ob die Registrierung erfolgreich war, nicht, dass der Technikerflow unbedingt abgeschlossen ist.

Wenn der Vorabbereitstellungsprozess fehlschlägt:

• Es wird ein Fehlerstatusbildschirm mit Informationen zum Gerät angezeigt, einschließlich der zuvor dargestellten Details. Beispiel: Autopilot-Profil, Organisationsname, zugewiesener Benutzer und QR-Code. Die verstrichene Zeit für die Vorbereitstellungsschritte wird ebenfalls bereitgestellt.
• Diagnoseprotokolle können vom Gerät gesammelt und dann zurückgesetzt werden, um den Prozess erneut zu starten.

Benutzerflow

Wichtig

• Um sicherzustellen, dass Token zwischen dem Technikerflow und dem Benutzerflow ordnungsgemäß aktualisiert werden, warten Sie mindestens 90 Minuten nach dem Ausführen des Technikerflows, bevor Sie den Benutzerflow ausführen. Dieses Szenario wirkt sich hauptsächlich auf Lab- und Testszenarien aus, wenn der Benutzerflow innerhalb von 90 Minuten nach Abschluss des Technikerflows ausgeführt wird.

• Der Benutzerflow sollte innerhalb von sechs Monaten nach Abschluss des Technikerflows ausgeführt werden. Das Warten von mehr als sechs Monaten kann dazu führen, dass die von der Intune-Verwaltungs-Engine (IME) verwendeten Zertifikate nicht mehr gültig sind, was zu Fehlern wie den folgenden führt:

  Error code: [Win32App][DetectionActionHandler] Detection for policy with id: <policy_id> resulted in action status: Failed and detection state: NotComputed.

• Compliance in Microsoft Entra ID wird während des Benutzerflows zurückgesetzt. Geräte werden möglicherweise in microsoft Entra ID als konform angezeigt, nachdem der Technikerflow abgeschlossen ist, aber dann als nicht konform angezeigt, sobald der Benutzerflow gestartet wird. Planen Sie nach Abschluss des Benutzerflows genügend Zeit ein, um die Konformität neu zu bewerten und zu aktualisieren.

Wenn der Vorbereitstellungsprozess erfolgreich abgeschlossen wurde und das Gerät erneut gesiegelt wurde, übermitteln Sie das Gerät an den Endbenutzer. Der Endbenutzer führt den normalen benutzergesteuerten Windows Autopilot-Prozess aus, indem er die folgenden Schritte ausführt:

• Schalten Sie das Gerät ein.

• Wählen Sie die entsprechende Sprache, das Gebietsschema und das Tastaturlayout aus.

• Stellen Sie eine Verbindung mit einem Netzwerk her (wenn Sie WLAN verwenden). Internetzugriff ist immer erforderlich. Wenn Sie Microsoft Entra Hybrid Join verwenden, muss auch eine Verbindung mit einem Domänencontroller vorhanden sein.

• Wenn Sie Microsoft Entra Join verwenden, geben Sie auf dem Anmeldebildschirm mit Branding die Microsoft Entra-Anmeldeinformationen des Benutzers ein.

• Bei Verwendung von Microsoft Entra Hybrid Join wird das Gerät neu gestartet. Geben Sie nach dem Neustart die Active Directory-Anmeldeinformationen des Benutzers ein.

  Hinweis

  Unter bestimmten Umständen werden microsoft Entra-Anmeldeinformationen möglicherweise auch während eines Hybrid Join-Szenarios von Microsoft Entra zur Eingabe aufgefordert. Beispiel: ADFS wird nicht verwendet.

• Weitere Richtlinien und Apps werden an das Gerät übermittelt, wie auf der Registrierungsstatusseite (ESP) nachverfolgt. Nach Abschluss des Vorgangs kann der Benutzer auf den Desktop zugreifen.

Die Geräte-ESP wird während des Benutzerflows erneut ausgeführt, sodass sowohl die Geräte- als auch die Benutzer-ESP ausgeführt werden, wenn sich der Benutzer anmeldet. Dieses Verhalten ermöglicht es dem ESP, andere Richtlinien zu installieren, die dem Gerät zugewiesen sind, nachdem das Gerät die Technikerphase abgeschlossen hat.

Hinweis

Wenn der Microsoft-Konto-Sign-In-Assistent (wlidsvc) während des Technikerflows deaktiviert ist, wird die Microsoft Entra-Anmeldeoption möglicherweise nicht angezeigt. Stattdessen werden Die Benutzer aufgefordert, die Lizenzbedingungen zu akzeptieren und ein lokales Konto zu erstellen, was möglicherweise nicht das gewünschte Verhalten ist.

Bereitstellen eines Geräts

Weitere Informationen zum Starten einer Bereitstellung auf einem Gerät bei Verwendung von Windows Autopilot für vorab bereitgestellte Anwendungen finden Sie in den Tutorials zu Windows Autopilot für vorab bereitgestellte Bereitstellungen unter Technikerflow und Benutzerflow:

• Microsoft Entra Join:
  • Technikerflow.
  • Benutzerflow.
• Microsoft Entra hybrid:
  • Technikerflow.
  • Benutzerflow.

Verwandte Inhalte

• Video vor der Bereitstellung.
• Was ist eine Geräteidentität?.
• Erfahren Sie mehr über cloudnative Endpunkte.
• Tutorial: Einrichten und Konfigurieren eines cloudnativen Windows-Endpunkts mit Microsoft Intune.
• Vorgehensweise: Planen Ihrer Microsoft Entra Join-Implementierung.
• Ein Framework für die Transformation der Windows-Endpunktverwaltung.
• Grundlegendes zu Azure AD-Hybrid- und Co-Verwaltungsszenarien.
• Erfolg bei remoter Windows Autopilot- und Azure Active Directory-Hybrideinbindung.