Benutzergesteuerte Microsoft Entra-Hybrideinbindung: Erstellen und Zuweisen eines benutzergesteuerten Autopilot-Profils für die Microsoft Entra-Hybrideinbindung

• Gilt für::

  ✅ Windows 11, ✅ Windows 10

Benutzergesteuerte Autopilot-Schritte zur Hybrideinbindung von Microsoft Entra:

• Schritt 1: Einrichten der automatischen Windows-Intune-Registrierung
• Schritt 2: Installieren des Intune-Connectors
• Schritt 3: Erhöhen des Grenzwerts für Computerkonten in der Organisationseinheit (OE)
• Schritt 4: Registrieren von Geräten als Autopilot-Geräte
• Schritt 5: Erstellen einer Gerätegruppe
• Schritt 6: Konfigurieren und Zuweisen der Autopilot-Registrierungsstatusseite (ESP)

• Schritt 7: Erstellen und Zuweisen eines Autopilot-Profils für die Hybrideinbindung von Microsoft Entra

• Schritt 8: Konfigurieren und Zuweisen eines Domänenbeitrittsprofils
• Schritt 9: Zuweisen eines Autopilot-Geräts zu einem Benutzer (optional)
• Schritt 10: Bereitstellen des Geräts

Eine Übersicht über den benutzergesteuerten Microsoft Entra Hybrid Join-Workflow von Windows Autopilot finden Sie unter Übersicht über benutzergesteuerte Microsoft Entra-Hybrideinbindung für Windows Autopilot.

Erstellen und Zuweisen eines benutzergesteuerten Autopilot-Hybridbeitrittsprofils für Microsoft Entra

Das Autopilot-Profil gibt an, wie das Gerät während windows Setup konfiguriert wird und was während der Out-of-Box-Benutzeroberfläche (OOBE) angezeigt wird.

Wenn ein Administrator ein Autopilot-Profil für das benutzergesteuerte Szenario erstellt, werden Geräte mit diesem Autopilot-Profil dem Benutzer zugeordnet, der das Gerät registriert. Für die Registrierung des Geräts sind Benutzeranmeldeinformationen erforderlich.

Der Unterschied zwischen einer Microsoft Entra-Einbindung und einer Microsoft Entra-Hybrideinbindung besteht darin, dass das Microsoft Entra-Hybrideinbindungsszenario sowohl einer lokalen Domäne als auch einer Microsoft Entra-ID während Autopilot beitritt. Das benutzergesteuerte Microsoft Entra-Einbindungsszenario verknüpft microsoft Entra ID nur während Autopilot.

Tipp

Für Configuration Manager-Administratoren ähnelt das Autopilot-Profil einigen konfigurationen, die während einer Tasksequenz über eine unattend.xml-Datei ausgeführt werden. Die unattend.xml-Datei wird während der Schritte Windows-Einstellungen anwenden und Netzwerkeinstellungen anwenden konfiguriert. Beachten Sie jedoch, dass Autopilot keine unattend.xml Dateien verwendet.

Führen Sie die folgenden Schritte aus, um ein benutzergesteuertes Autopilot-Profil für die Hybrideinbindung von Microsoft Entra zu erstellen:

1. Melden Sie sich beim Microsoft Intune Admin Center an.

2. Wählen Sie auf dem Startbildschirm im linken Bereich die Option Geräte aus.

3. In den Geräten | Übersichtsbildschirm wählen Sie unter Nach Plattform die Option Windows aus.

4. In den Fenstern | Windows-Gerätebildschirm wählen Sie unter Geräte-Onboarding die Option Registrierung aus.

5. In den Fenstern | Windows-Registrierungsbildschirm : Wählen Sie unter Windows Autopilotdie Option Bereitstellungsprofile aus.

6. Wählen Sie auf dem Bildschirm Windows Autopilot-Bereitstellungsprofile das Dropdownmenü Profil erstellen und dann Windows-PC aus.

7. Der Bildschirm Profil erstellen wird geöffnet. Auf der Seite Grundlagen :

   1. Geben Sie neben Name einen Namen für das Autopilot-Profil ein.

   2. Geben Sie neben Beschreibung eine Beschreibung ein.

   3. Wählen Sie Weiter aus.

      Hinweis

      Microsoft empfiehlt, die Option Alle Zielgeräte in Autopilot konvertieren auf Ja festzulegen. Dieses Tutorial konzentriert sich auf neue Geräte, bei denen das Gerät manuell als Autopilot-Gerät mithilfe des Hardwarehashs importiert wird. Diese Option kann jedoch hilfreich sein, wenn Sie Autopilot-Profile Gerätegruppen zuweisen, die vorhandene Geräte enthalten. Diese Option ist beispielsweise hilfreich, wenn Sie das Szenario Windows Autopilot für vorhandene Geräte verwenden. Bei Windows Autopilot für vorhandene Geräte müssen vorhandene Geräte möglicherweise als Autopilot-Gerät registriert werden, nachdem die Autopilot-Bereitstellung abgeschlossen ist. Weitere Informationen finden Sie unter Registrieren eines Geräts für Windows Autopilot.

8. Auf der Seite Out-of-Box Experience (OOBE) :

   • Wählen Sie für Bereitstellungsmodusdie Option Benutzergesteuert aus.

   • Wählen Sie für An Microsoft Entra-ID teilnehmen alsdie Option Microsoft Entra hybrid eingebunden aus. Nachdem diese Option ausgewählt wurde, ändern sich mehrere optionen unterhalb dieser Option.

   • Wählen Sie unter Ad-Konnektivitätsprüfung überspringen die Option Nein aus. In diesem Abschnitt des Tutorials wird davon ausgegangen, dass das Windows Autopilot-Gerät ein lokaler interner Client ist, der über eine direkte Verbindung mit der lokalen Domäne und den Domänencontrollern verfügt. Informationen zu Szenarien außerhalb des lokalen Standorts/Internets, in denen VPN-Konnektivität erforderlich ist, finden Sie unter Off-premises/Internet scenarios and VPN connectivity(Vpn-Konnektivität).

   • Wählen Sie für Microsoft-Software-Lizenzbedingungendie Option Ausblenden aus, um die Seite EULA zu überspringen.

   • Wählen Sie unter Datenschutzeinstellungendie Option Ausblenden aus, um die Datenschutzeinstellungen zu überspringen.

   • Wählen Sie unter Optionen für Kontoänderung ausblenden die Option Ausblenden aus.

   • Wählen Sie für Benutzerkontotyp je nach gewünschtem Kontotyp für den Benutzer entweder Administrator oder Standardbenutzer aus. Wenn Administrator ausgewählt wird, wird der Benutzer der lokalen Administratorgruppe auf dem Gerät hinzugefügt.

   • Wählen Sie unter Vorab bereitgestellte Bereitstellung zulassen die Option Nein aus.

     Hinweis

     Das Szenario windows Autopilot für die vorab bereitgestellte Microsoft Entra-Hybrideinbindung finden Sie unter Schritt-für-Schritt-Tutorial für Windows Autopilot für vorab bereitgestellte Bereitstellung Microsoft Entra Hybrid Join in Intune.

   • Wählen Sie unter Sprache (Region)die Option Betriebssystemstandard aus, um die Standardsprache für das zu konfigurierende Betriebssystem zu verwenden. Wenn eine andere Sprache gewünscht wird, wählen Sie in der Dropdownliste die gewünschte Sprache aus.

   • Wählen Sie für Tastatur automatisch konfigurieren die Option Ja aus, um die Seite zur Tastaturauswahl zu überspringen.

   • Die Vorlage Gerätename anwenden ist für Szenarien mit Hybrideinbindung in Microsoft Entra ausgegraut. Gerätenamen können während des Schritts Konfigurieren und Zuweisen von Domänenbeitrittsprofilen angegeben werden, obwohl sie nicht so stabil sind.

   Hinweis

   Die oben genannten Einstellungen werden ausgewählt, um die Benutzerinteraktion während der Geräteeinrichtung zu minimieren. Einige der Optionen, die als ausgeblendet festgelegt sind, können jedoch wie gewünscht angezeigt werden. In einigen Regionen kann es z. B. erforderlich sein, dass datenschutzeinstellungen immer angezeigt werden.

   Hinweis

   Wenn die Sprach-/Regions- und Tastaturbildschirme auf ausgeblendet festgelegt sind, werden sie möglicherweise trotzdem angezeigt, wenn zu Beginn der Windows Autopilot-Bereitstellung keine Netzwerkkonnektivität besteht. Wenn zu Beginn der Bereitstellung keine Netzwerkkonnektivität vorhanden ist, wurde das Windows Autopilot-Profil, in dem die Einstellungen zum Ausblenden dieser Bildschirme definiert sind, noch nicht heruntergeladen. Sobald die Netzwerkkonnektivität hergestellt wurde, wird das Autopilot-Profil heruntergeladen, und alle zusätzlichen Bildschirmeinstellungen sollten wie erwartet funktionieren.

9. Nachdem die Optionen auf der Seite Out-of-Box Experience (OOBE) wie gewünscht konfiguriert wurden, wählen Sie Weiter aus.

10. Auf der Seite Zuweisungen :

    1. Wählen Sie unter Eingeschlossene Gruppen die Option Gruppen hinzufügen aus.

    Hinweis

    Stellen Sie sicher, dass Sie die richtigen Gerätegruppen unter Eingeschlossene Gruppen und nicht unter Ausgeschlossene Gruppen hinzufügen. Das versehentliche Hinzufügen der gewünschten Gerätegruppen unter Ausgeschlossene Gruppen verhindert, dass Geräte in diesen Gerätegruppen das Autopilot-Profil erhalten.

    1. Wählen Sie im daraufhin geöffneten Fenster Gruppen auswählen die Gruppen aus, denen das Windows Autopilot-Profil zugewiesen werden soll. Diese Gerätegruppen sind normalerweise die Gerätegruppen, die im vorherigen Schritt Gerätegruppe erstellen erstellt wurden. Wählen Sie anschließend Auswählen aus.

    2. Vergewissern Siesich unterEingeschlossene Gruppen>, dass die richtigen Gruppen ausgewählt sind, und wählen Sie dann Weiter aus.

11. Überprüfen Sie auf der Seite Überprüfen + erstellen , ob alle Einstellungen richtig festgelegt sind, und wählen Sie dann Erstellen aus, um das Autopilot-Profil zu erstellen.

Überprüfen, ob dem Gerät ein Autopilot-Profil zugewiesen ist

Stellen Sie vor der Bereitstellung eines Geräts sicher, dass ein Autopilot-Profil einer Gerätegruppe zugewiesen ist, der das Gerät angehört. Die Zuweisung eines Autopilot-Profils zu einem Gerät kann einige Zeit dauern, nachdem das Autopilot-Profil der Gerätegruppe zugewiesen wurde oder nachdem das Gerät der Gerätegruppe hinzugefügt wurde. Führen Sie die folgenden Schritte aus, um zu überprüfen, ob das Profil einem Gerät zugewiesen ist:

1. Melden Sie sich beim Microsoft Intune Admin Center an.

2. Wählen Sie auf dem Startbildschirm im linken Bereich die Option Geräte aus.

3. In den Geräten | Übersichtsbildschirm wählen Sie unter Nach Plattform die Option Windows aus.

4. In den Fenstern | Windows-Gerätebildschirm wählen Sie unter Geräte-Onboarding die Option Registrierung aus.

5. In den Fenstern | Windows-Registrierungsbildschirm : Wählen Sie unter Windows Autopilotdie Option Geräte aus.

6. Auf dem bildschirm Windows Autopilot-Geräte , der geöffnet wird:

   1. Suchen Sie das gewünschte Gerät, für das der Zuweisungsstatus des Autopilot-Bereitstellungsprofils überprüft werden muss.

   2. Sobald sich das Gerät befindet, wird sein aktueller Status in der Spalte Profilstatus aufgeführt. Der Status weist einen der folgenden Werte auf:

      • Nicht zugewiesen: Dem Gerät ist kein Autopilot-Bereitstellungsprofil zugewiesen.

      • Zuweisen: Dem Gerät wird ein Autopilot-Bereitstellungsprofil zugewiesen.

      • Zugewiesen: Dem Gerät wird ein Autopilot-Bereitstellungsprofil zugewiesen.

      • Behebung ausstehend: Wenn eine Hardwareänderung auf einem Gerät auftritt, wird dieser Status angezeigt, während Intune versucht, die neue Hardware zu registrieren. Wenn der Link für den Status Fix pending (Ausstehend beheben) ausgewählt ist, wird die folgende Meldung angezeigt:

        Wir haben eine Hardwareänderung auf diesem Gerät erkannt. Wir versuchen, die neue Hardware automatisch zu registrieren. Sie müssen jetzt nichts tun; Der Status wird beim nächsten Einchecken mit dem Ergebnis aktualisiert.

        Wenn Intune die neue Hardware erfolgreich registrieren kann, aktualisiert Intune den Profilstatus, wenn das Gerät das nächste Mal bei Intune eincheckt. Weitere Informationen zum Status "Ausstehend beheben" finden Sie in den folgenden Artikeln:

        • Autopilot-Profil wird nach dem Reimaging auf eine ältere Betriebssystemversion nicht angewendet.
        • Rückgabe der wichtigsten Funktionen für die Windows Autopilot-Anmeldung und -Bereitstellung.
        • Anleitung zum Austausch von Windows Autopilot-Motherboards

      • Achtung erforderlich: Wenn Intune die neue Hardware nach einer Hardwareänderung auf einem Gerät nicht registrieren kann, kann das Gerät das Autopilot-Profil erst empfangen, wenn das Gerät zurückgesetzt und das Gerät erneut registriert wird. Weitere Informationen zu diesem Status und zum Aufheben der Registrierung eines Geräts finden Sie in den folgenden Artikeln:

        • Autopilot-Profil wird nach dem Reimaging auf eine ältere Betriebssystemversion nicht angewendet.
        • Rückgabe der wichtigsten Funktionen für die Windows Autopilot-Anmeldung und -Bereitstellung.
        • Anleitung zum Austausch von Windows Autopilot-Motherboards
        • Aufheben der Registrierung eines Geräts

      Bevor Sie den Autopilot-Bereitstellungsprozess auf einem Gerät starten, stellen Sie sicher, dass auf der Seite Windows Autopilot-Geräte :

      • Der Profilstatus des Geräts lautet Zugewiesen.
      • In den Eigenschaften des Geräts weist Date assigned einen Wert auf.
      • In den Eigenschaften des Geräts zeigt zugewiesenes Profil das erwartete Autopilot-Profil an.

Hinweis

Intune sucht in regelmäßigen Abständen nach neuen Geräten in den zugewiesenen Gerätegruppen und beginnt dann mit dem Zuweisen von Profilen zu diesen Geräten. Aufgrund verschiedener Faktoren, die am Prozess der Autopilot-Profilzuweisung beteiligt sind, kann die geschätzte Zeit für die Zuweisung von Szenario zu Szenario variieren. Diese Faktoren können Microsoft Entra-Gruppen, Mitgliedschaftsregeln, Hash eines Geräts, Intune- und Autopilot-Dienste und Internetverbindung umfassen. Die Zuweisungszeit variiert abhängig von allen Faktoren und Variablen, die in einem bestimmten Szenario beteiligt sind.

Szenarien außerhalb des lokalen/Internets und VPN-Konnektivität

Die benutzergesteuerte Microsoft Entra-Hybrideinbindung von Windows Autopilot unterstützt szenarien außerhalb der lokalen Umgebung und des Internets, in denen keine direkte Konnektivität mit Active Directory und Domänencontrollern verfügbar ist. Ein Szenario außerhalb der lokalen Umgebung bzw. des Internets macht jedoch nicht die Notwendigkeit der Konnektivität mit Active Directory und einem Domänencontroller während des Domänenbeitritts überflüssig. In einem Szenario außerhalb des Lokalen/Internets kann während des Autopilot-Prozesses eine Verbindung mit Active Directory und einem Domänencontroller über eine VPN-Verbindung hergestellt werden.

Für Szenarien außerhalb des lokalen/Internets, die VPN-Konnektivität erfordern, ist die einzige Änderung im Autopilot-Profil die Einstellung Ad-Konnektivitätsprüfung überspringen. Im Abschnitt Erstellen und Zuweisen eines benutzergesteuerten Autopilot-Profils für die Microsoft Entra-Hybrideinbindung sollte die Einstellung Ad-Konnektivitätsprüfung überspringen auf Ja statt auf Nein festgelegt werden. Wenn Sie diese Option auf Ja festlegen, wird verhindert, dass die Bereitstellung fehlschlägt, da keine direkte Verbindung mit Active Directory und Domänencontrollern besteht, bis die VPN-Verbindung hergestellt wurde.

Zusätzlich zum Ändern der Einstellung Überprüfung der AD-Konnektivität überspringen im Autopilot-Profil auf Ja , hängt die VPN-Unterstützung auch von den folgenden Voraussetzungen ab:

• Die VPN-Lösung kann mit Intune bereitgestellt und installiert werden.
• Die VPN-Lösung muss eine der folgenden Optionen unterstützen:
  • Ermöglicht dem Benutzer das manuelle Herstellen einer VPN-Verbindung über den Windows-Anmeldebildschirm.
  • Stellt bei Bedarf automatisch eine VPN-Verbindung her.

Die VPN-Lösung muss während des Autopilot-Prozesses über Intune installiert und konfiguriert werden. Die Konfiguration muss die Bereitstellung aller erforderlichen Gerätezertifikate umfassen, falls dies für die VPN-Lösung erforderlich ist. Nachdem die VPN-Lösung auf dem Gerät installiert und konfiguriert wurde, kann die VPN-Verbindung entweder automatisch oder manuell vom Benutzer hergestellt werden. An diesem Punkt kann der Domänenbeitritt erfolgen. Weitere Informationen und Unterstützung zu VPN-Lösungen während Windows Autopilot finden Sie beim jeweiligen VPN-Anbieter.

Hinweis

Einige VPN-Konfigurationen werden nicht unterstützt, da die Verbindung erst initiiert wird, wenn sich der Benutzer bei Windows anmeldet. Zu den nicht unterstützten VPN-Konfigurationen gehören:

• VPN-Lösungen, die Benutzerzertifikate verwenden.
• Nicht-Microsoft UWP-VPN-Plug-Ins aus dem Windows Store.

Nächster Schritt: Konfigurieren und Zuweisen eines Domänenbeitrittsprofils

Schritt 8: Konfigurieren und Zuweisen eines Domänenbeitrittsprofils

Verwandte Inhalte

Weitere Informationen zum Konfigurieren von Autopilot-Profilen finden Sie in den folgenden Artikeln:

• Konfigurieren von Autopilot-Profilen

• Benutzergesteuerter Modus für die Microsoft Entra-Hybrideinbindung mit VPN-Unterstützung.
• VPNs.