Bereitstellen von hybrid eingebundenen Microsoft Entra-Geräten mithilfe von Intune und Windows Autopilot

• Gilt für::

  ✅ Windows 11, ✅ Windows 10

Wichtig

Microsoft empfiehlt, neue Geräte mithilfe von Microsoft Entra Join als cloudnativ bereitzustellen. Die Bereitstellung neuer Geräte als Microsoft Entra Hybrid Join-Geräte wird nicht empfohlen, auch nicht über Autopilot. Weitere Informationen finden Sie unter Microsoft Entra eingebunden im Vergleich zu Microsoft Entra hybrid eingebunden in cloudnative Endpunkte: Welche Option ist für Ihre Organisation geeignet.

Intune und Windows Autopilot können verwendet werden, um hybrid eingebundene Microsoft Entra-Geräte einzurichten. Führen Sie dazu die Schritte in diesen Artikel durch. Weitere Informationen zur Microsoft Entra-Hybrideinbindung finden Sie unter Grundlegendes zur Hybrideinbindung und Co-Verwaltung von Microsoft Entra.

Voraussetzungen

• Die hybrid eingebundenen Microsoft Entra-Geräte wurden erfolgreich konfiguriert. Überprüfen Sie die Geräteregistrierung mithilfe des Cmdlets Get-MgDevice.
• Wenn die domänen- und OE-basierte Filterung als Teil von Microsoft Entra Connect konfiguriert ist, stellen Sie sicher, dass die Standardorganisationseinheit oder der Standardcontainer für die Autopilot-Geräte im Synchronisierungsbereich enthalten ist.

Voraussetzungen für die Geräteregistrierung

Das zu registrierende Gerät muss die folgenden Anforderungen erfüllen:

• Verwenden Sie eine derzeit unterstützte Version von Windows.
• Über Internetzugriff gemäß der Windows Autopilot-Netzwerkanforderungen verfügen.
• Über Zugriff auf einen Active Directory-Domänencontroller verfügen.
• Pingen Sie erfolgreich den Domänencontroller der Domäne, der hinzugefügt wird.
• Bei Verwendung des Proxys muss die WPAD-Einstellungsoption (Web Proxy Auto-Discovery Protocol) aktiviert und konfiguriert werden.
• Machen Sie Erfahrungen mit der Windows-Willkommensseite.
• Verwenden Sie einen Autorisierungstyp, den Microsoft Entra ID in OOBE unterstützt.

Die Konfiguration der Microsoft Entra-Hybrideinbindung für Active Directory-Verbunddienste (AD FS) ist zwar nicht erforderlich, ermöglicht aber einen schnelleren Windows Autopilot Microsoft Entra-Registrierungsprozess während der Bereitstellungen. Verbundkunden, die die Verwendung von Kennwörtern und die Verwendung von AD FS nicht unterstützen, müssen die Schritte im Artikel Unterstützung von Parametern der Active Directory-Verbunddienste prompt=login ausführen, um die Authentifizierung ordnungsgemäß zu konfigurieren.

Voraussetzungen für den Intune-Connectorserver

• Der Intune-Connector für Active Directory muss auf einem Computer installiert werden, auf dem Windows Server 2016 oder höher mit .NET Framework Version 4.7.2 oder höher ausgeführt wird.

• Der Server, auf dem der Intune-Connector gehostet wird, muss Zugriff auf das Internet und Active Directory haben.

  Hinweis

  Der Intune-Connectorserver erfordert standardmäßigen Domänenclientzugriff auf Domänencontroller, einschließlich der RPC-Portanforderungen, die für die Kommunikation mit Active Directory erforderlich sind. Weitere Informationen finden Sie in den folgenden Artikeln:

  • Dienstübersicht und Netzwerkportanforderungen für Windows
  • Konfigurieren einer Firewall für Domänen und Vertrauensstellungen von Active Directory
  • Erforderliche Ports und Protokolle für die Hybrid-Identität

• Um die Skalierung und Verfügbarkeit zu erhöhen, können mehrere Connectors in der Umgebung installiert werden. Es wird empfohlen, den Connector auf einem Server zu installieren, auf dem keine anderen Intune-Connectors ausgeführt werden. Jeder Connector muss in der Lage sein, Computerobjekte in jeder Domäne zu erstellen, die unterstützt werden muss.

• Wenn die Organisation über mehrere Domänen verfügt und mehrere Intune-Connectors installiert sind, muss ein Domänendienstkonto verwendet werden, das Computerobjekte in allen Domänen erstellen kann. Diese Anforderung gilt auch, wenn Microsoft Entra Hybrid Join nur für eine bestimmte Domäne implementiert ist. Wenn es sich bei diesen Domänen um nicht vertrauenswürdige Domänen handelt, müssen die Connectors in Domänen deinstalliert werden, in denen Windows Autopilot nicht verwendet wird. Andernfalls müssen bei mehreren Connectors über mehrere Domänen hinweg alle Connectors in der Lage sein, Computerobjekte in allen Domänen zu erstellen.

  Dieses Connector-Dienstkonto muss über die folgenden Berechtigungen verfügen:

  • Melden Sie sich als Dienst an.
  • Muss Teil der Domänenbenutzergruppe sein.
  • Muss Mitglied der lokalen Administratorgruppe auf dem Windows-Server sein, auf dem der Connector gehostet wird.

  Wichtig

  Verwaltete Dienstkonten werden für das Dienstkonto nicht unterstützt. Das Dienstkonto muss ein Domänenkonto sein.

• Der Intune-Connector benötigt die gleichen Endpunkte wie Intune.

Einrichten der automatischen WINDOWS-MDM-Registrierung

1. Melden Sie sich beim Azure-Portal an, und wählen Sie Microsoft Entra ID aus.

2. Wählen Sie im linken Bereich Mobilität verwalten | (MDM und WIP)>Microsoft Intune aus.

3. Stellen Sie sicher, dass Benutzer, die in Microsoft Entra eingebundene Geräte mithilfe von Intune und Windows bereitstellen, Mitglieder einer Gruppe sind, die im MDM-Benutzerbereich enthalten ist.

4. Verwenden Sie die Standardwerte in den Feldern URL zu den MDM-Nutzungsbedingungen, URL für MDM-Ermittlung und MDM Compliance-URL, und klicken Sie dann auf Speichern.

Erhöhen des Kontolimits für den Computer in der Organisationseinheit

Der Intune-Connector für Active Directory erstellt autopilot-registrierte Computer in der lokalen Active Directory-Domäne. Der Hostcomputer des Intune-Connectors muss über die Berechtigung verfügen, die Computerobjekte innerhalb der Domäne zu erstellen.

In einigen Domänen werden Computern keine Berechtigungen zum Erstellen von Computern gewährt. Darüber hinaus verfügen Domänen über ein integriertes Limit (Standardeinstellung: 10), das für alle Benutzer und Computer gilt, denen keine Berechtigungen zum Erstellen von Computerobjekten gewährt wurden. Die Rechte müssen an Computer delegiert werden, die den Intune-Connector in der Organisationseinheit hosten, auf der hybrid eingebundene Microsoft Entra-Geräte erstellt werden.

Die Organisationseinheit, die über die Berechtigungen zum Erstellen von Computern verfügt, muss mit folgendem übereinstimmen:

• Die im Domänenbeitrittsprofil eingegebene Organisationseinheit.
• Wenn kein Profil ausgewählt ist, der Domänenname des Computers für die Domäne der Organisation.

1. Öffnen Sie Active Directory-Benutzer und -Computer („DSA.msc“).

2. Klicken Sie mit der rechten Maustaste auf die Organisationseinheit, die zum Erstellen der Stellvertretung für hybrid eingebundene Computer > in Microsoft Entra verwendet werden soll.

   

3. Wählen Sie im Assistenten zum Zuweisen der Objektverwaltung die Optionen Weiter>Hinzufügen...>Objekttypen aus.

4. Wählen Sie im Bereich Objekttypen die Option Computer>OK aus.

   

5. Geben Sie im Bereich zur Auswahl von Benutzern, Computern oder Gruppen im Feld Geben Sie die zu verwenden Objektnamen ein den Namen des Computers ein, auf dem der Connector installiert ist.

   

6. Wählen Sie Namen überprüfen aus, um den Eintrag >OK>Weiter zu überprüfen.

7. Wählen Sie Benutzerdefinierte Aufgaben zum Zuweisen erstellen>Weiter aus.

8. Wählen Sie nur die folgenden Objekte im Ordner>Computerobjekte aus.

9. Wählen Sie Ausgewählte Objekte in diesem Ordner erstellen und Ausgewählte Objekte in diesem Ordner löschen aus.

   

10. Wählen Sie Weiter aus.

11. Aktivieren Sie unter Permissions (Berechtigungen) das Kontrollkästchen Full Control (Vollzugriff). Durch diese Auswahl werden auch alle anderen Optionen aktiviert.

    

12. Klicken Sie auf Weiter>Fertig stellen.

Installieren des Intune-Connectors

Stellen Sie vor Beginn der Installation sicher, dass alle Voraussetzungen für den Intune-Connectorserver erfüllt sind.

Installationsschritte

1. Bei Windows Server ist die verstärkte Sicherheitskonfiguration für Internet Explorer standardmäßig aktiviert. Die verstärkte Sicherheitskonfiguration von Internet Explorer kann Probleme verursachen, die in den Intune-Connector für Active Directory übertragen werden. Da Internet Explorer veraltet ist und in den meisten Fällen nicht einmal unter Windows Server installiert ist, empfiehlt Microsoft, die verstärkte Sicherheitskonfiguration für Internet Explorer zu deaktivieren. So deaktivieren Sie die verstärkte Sicherheitskonfiguration für Internet Explorer:

   1. Öffnen Sie auf dem Server, auf dem der Intune-Connector installiert wird, den Server-Manager.

   2. Wählen Sie im linken Bereich des Server-Managers die Option Lokaler Server aus.

   3. Wählen Sie im rechten Bereich EIGENSCHAFTEN des Server-Managers den Link Ein oder Aus neben IE Enhanced Security Configuration aus.

   4. Wählen Sie im Fenster Verstärkte Sicherheitskonfiguration von Internet Explorer unter Administratoren die Option Aus und dann OK aus.

2. Melden Sie sich beim Microsoft Intune Admin Center an.

3. Wählen Sie auf dem Startbildschirm im linken Bereich die Option Geräte aus.

4. In den Geräten | Übersichtsbildschirm wählen Sie unter Nach Plattform die Option Windows aus.

5. In den Fenstern | Windows-Gerätebildschirm wählen Sie unter Geräte-Onboarding die Option Registrierung aus.

6. In den Fenstern | Windows-Registrierungsbildschirm : Wählen Sie unter Windows Autopilotdie Option Intune-Connector für Active Directory aus.

7. Wählen Sie auf dem Bildschirm Intune-Connector für Active Directorydie Option Hinzufügen aus.

8. Folgen Sie den Anweisungen, um den Connector herunterzuladen.

9. Öffnen Sie die heruntergeladene Connectorsetupdatei (ODJConnectorBootstrapper.exe), um den Connector zu installieren.

10. Wählen Sie am Ende des Setups Jetzt konfigurieren aus.

11. Wählen Sie Anmelden aus.

12. Geben Sie die Anmeldeinformationen einer Intune-Administratorrolle ein. Dem Benutzerkonto muss eine Intune-Lizenz zugewiesen werden.

Hinweis

Die Intune-Administratorrolle ist zum Zeitpunkt der Installation eine vorübergehende Anforderung.

Nach der Authentifizierung wird die Installation des Intune-Connectors für Active Directory abgeschlossen. Überprüfen Sie nach Abschluss der Installation, ob es in Intune aktiv ist, indem Sie die folgenden Schritte ausführen:

1. Melden Sie sich beim Microsoft Intune Admin Center an.

2. Wählen Sie auf dem Startbildschirm im linken Bereich die Option Geräte aus.

3. In den Geräten | Übersichtsbildschirm wählen Sie unter Nach Plattform die Option Windows aus.

4. In den Fenstern | Windows-Gerätebildschirm wählen Sie unter Geräte-Onboarding die Option Registrierung aus.

5. In den Fenstern | Windows-Registrierungsbildschirm : Wählen Sie unter Windows Autopilotdie Option Intune-Connector für Active Directory aus.

6. Vergewissern Sie sich, dass der Verbindungsstatus in der Spalte Statusaktiv lautet.

Hinweis

• Nach der Anmeldung beim Connector kann es einige Minuten dauern, bis sie im Microsoft Intune Admin Center angezeigt wird. Er wird nur angezeigt, wenn er mit Intune kommunizieren kann.

• Inaktive Intune-Connectors werden weiterhin auf der Seite Intune-Connectors angezeigt und werden nach 30 Tagen automatisch bereinigt.

Nachdem der Intune-Connector für Active Directory installiert wurde, beginnt er mit der Protokollierung in der Ereignisanzeige unter dem Pfad Anwendungs- und Dienstprotokolle>Microsoft>Intune>ODJConnectorService. Unter diesem Pfad finden Sie Administrator - und Betriebsprotokolle .

Hinweis

Der Intune-Connector, der ursprünglich in der Ereignisanzeige direkt unter Anwendungs- und Dienstprotokolle in einem Protokoll namens ODJ-Connectordienst protokolliert wurde. Die Protokollierung für den Intune-Connector wurde jedoch in den Pfad Anwendungs- und Dienstprotokolle>Microsoft>Intune>ODJConnectorService verschoben. Wenn das Protokoll des ODJ-Connectordiensts am ursprünglichen Speicherort leer ist oder nicht aktualisiert wird, überprüfen Sie stattdessen den neuen Pfadspeicherort.

Konfigurieren von Webproxyeinstellungen

Wenn in der Netzwerkumgebung ein Webproxy vorhanden ist, stellen Sie sicher, dass der Intune-Connector für Active Directory ordnungsgemäß funktioniert, indem Sie auf Arbeiten mit vorhandenen lokalen Proxyservern verweisen.

Erstellen einer Gerätegruppe

1. Wählen Sie im Microsoft Intune Admin CenterGruppen>Neue Gruppe aus.

2. Wählen Sie im Bereich Gruppe die folgenden Optionen aus:

   1. Wählen Sie unter Gruppentyp die Option Sicherheit aus.

   2. Geben Sie einen Gruppennamen und eine Gruppenbeschreibung ein.

   3. Wählen Sie einen Mitgliedschaftstyp aus.

3. Wenn Dynamische Geräte als Mitgliedschaftstyp ausgewählt ist, wählen Sie im Bereich Gruppe die Option Dynamische Gerätemitglieder aus.

4. Wählen Sie im Feld RegelsyntaxBearbeiten aus, und geben Sie eine der folgenden Codezeilen ein:

   • Um eine Gruppe zu erstellen, die alle Autopilot-Geräte enthält, geben Sie Folgendes ein:

     (device.devicePhysicalIDs -any _ -startsWith "[ZTDId]")

   • Das Gruppentag-Feld von Intune wird dem OrderID-Attribut auf Microsoft Entra-Geräten zugeordnet. Um eine Gruppe zu erstellen, die alle Autopilot-Geräte mit einem bestimmten Gruppentag (OrderID) enthält, geben Sie Folgendes ein:

     (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881")

   • Um eine Gruppe zu erstellen, die alle Autopilot-Geräte mit einer bestimmten Bestell-ID enthält, geben Sie Folgendes ein:

     (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342")

5. Wählen Sie Speichern>Erstellen aus.

Registrieren von Autopilot-Geräten

Wählen Sie eine der folgenden Methoden zum Registrieren von Autopilot-Geräten aus.

Registrieren von bereits angemeldeten Autopilot-Geräten

1. Erstellen Sie ein Autopilot-Bereitstellungsprofil, wobei die Einstellung Alle Zielgeräte in Autopilot konvertieren auf Ja festgelegt ist.

2. Weisen Sie das Profil einer Gruppe zu, die die Mitglieder enthält, die automatisch bei Autopilot registriert werden müssen.

Weitere Informationen finden Sie unter Erstellen eines Autopilot-Bereitstellungsprofils.

Registrieren von noch nicht angemeldeten Autopilot-Geräten

Geräte, die noch nicht bei Windows Autopilot registriert sind, können manuell registriert werden. Weitere Informationen finden Sie unter Manuelle Registrierung.

Registrieren von Geräten eines OEMs

Beim Kauf neuer Geräte können einige OEMs die Geräte im Namen der Organisation registrieren. Weitere Informationen finden Sie unter OEM-Registrierung.

Anzeigen eines registrierten Autopilot-Geräts

Vor der Registrierung von Geräten bei Intune werden registrierte Windows Autopilot-Geräte an drei Stellen angezeigt (wobei die Namen auf ihre Seriennummern festgelegt sind):

• Der Bereich Windows Autopilot-Geräte im Microsoft Intune Admin Center. Auswählen von Geräten>nach Plattform | Onboarding von Windows-Geräten>| Registrierung. Wählen Sie unter Windows Autopilotdie Option Geräte aus.
• Die Geräte | Bereich "Alle Geräte " im Azure-Portal. Klicken Sie auf Geräte>Alle Geräte.
• Der Autopilot-Bereich im Microsoft 365 Admin Center. Wählen Sie Geräte>Autopilot aus.

Nachdem die Windows Autopilot-Geräte registriert wurden, werden die Geräte an vier Stellen angezeigt:

• Die Geräte | Bereich "Alle Geräte " im Microsoft Intune Admin Center. Klicken Sie auf Geräte>Alle Geräte.
• Die Fenster | Bereich "Windows-Geräte " im Microsoft Intune Admin Center. Auswählen von Geräten>nach Plattform | Windows.
• Die Geräte | Bereich "Alle Geräte " im Azure-Portal. Klicken Sie auf Geräte>Alle Geräte.
• Der Bereich Aktive Geräte im Microsoft 365 Admin Center. Wählen Sie Geräte>Aktive Geräte aus.

Hinweis

Nachdem Geräte registriert wurden, werden die Geräte weiterhin im Bereich Windows Autopilot-Geräte im Microsoft Intune Admin Center und im Bereich Autopilot im Microsoft 365 Admin Center angezeigt, aber diese Objekte sind die registrierten Windows Autopilot-Objekte.

Ein Geräteobjekt wird in Microsoft Entra ID vorab erstellt, sobald ein Gerät in Autopilot registriert wurde. Wenn ein Gerät eine Microsoft Entra-Hybridbereitstellung durchläuft, wird standardmäßig ein anderes Geräteobjekt erstellt, was zu doppelten Einträgen führt.

VPNs

Die folgenden VPN-Clients werden getestet und überprüft:

• In-Box-Windows VPN-Client
• Cisco AnyConnect (Win32-Client)
• Pulse Secure (Win32-Client)
• GlobalProtect (Win32-Client)
• Prüfpunkt (Win32-Client)
• Citrix NetScaler (Win32-Client)
• SonicWall (Win32-Client)
• FortiClient-VPN (Win32-Client)

Wenn Sie VPNs verwenden, wählen Sie ja für die Option Ad-Konnektivitätsprüfung überspringen im Windows Autopilot-Bereitstellungsprofil aus. Always-On VPNs sollten diese Option nicht erfordern, da automatisch eine Verbindung hergestellt wird.

Hinweis

Diese Liste der VPN-Clients ist keine umfassende Liste aller VPN-Clients, die mit Windows Autopilot funktionieren. Wenden Sie sich an den jeweiligen VPN-Anbieter bezüglich Kompatibilität und Unterstützung mit Windows Autopilot oder zu Problemen bei der Verwendung einer VPN-Lösung mit Windows Autopilot.

Nicht unterstützte VPN-Clients

Die folgenden VPN-Lösungen funktionieren nicht mit Windows Autopilot und werden daher nicht für die Verwendung mit Windows Autopilot unterstützt:

• UWP-basierte VPN-Plug-Ins
• Alles, was ein Benutzerzertifikat erfordert
• DirectAccess

Hinweis

Das Auslassen eines bestimmten VPN-Clients aus dieser Liste bedeutet nicht automatisch, dass er unterstützt wird oder dass er mit Windows Autopilot funktioniert. In dieser Liste sind nur die VPN-Clients aufgeführt, von denen bekannt ist, dass sie nicht mit Windows Autopilot funktionieren.

Erstellen und Zuweisen eines Autopilot-Bereitstellungsprofils

Autopilot-Bereitstellungsprofile werden verwendet, um die Autopilot-Geräte zu konfigurieren.

1. Melden Sie sich beim Microsoft Intune Admin Center an.

2. Wählen Sie auf dem Startbildschirm im linken Bereich die Option Geräte aus.

3. In den Geräten | Übersichtsbildschirm wählen Sie unter Nach Plattform die Option Windows aus.

4. In den Fenstern | Windows-Gerätebildschirm wählen Sie unter Geräte-Onboarding die Option Registrierung aus.

5. In den Fenstern | Windows-Registrierungsbildschirm : Wählen Sie unter Windows Autopilotdie Option Bereitstellungsprofile aus.

6. Wählen Sie auf dem Bildschirm Windows Autopilot-Bereitstellungsprofile das Dropdownmenü Profil erstellen und dann Windows-PC aus.

7. Geben Sie auf dem Bildschirm Profil erstellen auf der Seite Grundlagen einen Namen und optional eine Beschreibung ein.

8. Wenn sich alle Geräte in den zugewiesenen Gruppen automatisch bei Windows Autopilot registrieren sollen, legen Sie Alle Zielgeräte in Autopilot konvertieren auf Ja fest. Alle unternehmenseigenen, Nicht-Autopilot-Geräte in zugewiesenen Gruppen werden beim Autopilot-Bereitstellungsdienst registriert. Persönliche Geräte sind nicht bei Autopilot registriert. Die Verarbeitung der Registrierung kann 48 Stunden dauern. Wenn die Registrierung des Geräts aufgehoben und zurückgesetzt wird, registriert Autopilot es erneut. Nachdem ein Gerät auf diese Weise registriert wurde, wird das Gerät nicht aus dem Autopilot-Bereitstellungsdienst entfernt, wenn Sie diese Einstellung deaktivieren oder die Profilzuweisung entfernen. Stattdessen müssen die Geräte direkt gelöscht werden. Weitere Informationen finden Sie unter Löschen von Autopilot-Geräten.

9. Wählen Sie Weiter aus.

10. Wählen Sie auf der Seite Windows-Willkommensseite als Bereitstellungsmodus die Option Benutzergesteuert aus.

11. Wählen Sie im Feld Mit Microsoft Entra-ID beitreten als die Option Microsoft Entra hybrid join aus.

12. Wenn Sie Geräte außerhalb des Unternehmensnetzwerks mithilfe von VPN-Unterstützung bereitstellen, legen Sie die Option Domänenkonnektivitätsprüfung überspringen auf Ja fest. Weitere Informationen finden Sie unter Benutzergesteuerter Modus für die Microsoft Entra-Hybrideinbindung mit VPN-Unterstützung.

13. Konfigurieren Sie die restlichen Optionen auf der Seite Windows-Willkommensseite nach Bedarf.

14. Wählen Sie Weiter aus.

15. Wählen Sie auf der Seite Bereichstags die Bereichstags für dieses Profil aus.

16. Wählen Sie Weiter aus.

17. Wählen Sie auf der Seite Zuweisungen die Option Gruppen auswählen aus, um die Suche nach einzuschließen>, und wählen Sie die Gerätegruppe > Auswählen aus.

18. Wählen Sie Weiter>Erstellen aus.

Hinweis

Intune sucht in regelmäßigen Abständen nach neuen Geräten in den zugewiesenen Gruppen und beginnt dann mit dem Zuweisen von Profilen zu diesen Geräten. Aufgrund verschiedener Faktoren, die am Prozess der Autopilot-Profilzuweisung beteiligt sind, kann die geschätzte Zeit für die Zuweisung von Szenario zu Szenario variieren. Zu diesen Faktoren können Microsoft Entra-Gruppen, Mitgliedschaftsregeln, Hash eines Geräts, Intune- und Autopilot-Dienst und Internetverbindung gehören. Die Zuweisungszeit variiert abhängig von allen Faktoren und Variablen, die in einem bestimmten Szenario beteiligt sind.

Aktivieren der Registrierungsstatusseite (optional)

1. Melden Sie sich beim Microsoft Intune Admin Center an.

2. Wählen Sie auf dem Startbildschirm im linken Bereich die Option Geräte aus.

3. In den Geräten | Übersichtsbildschirm wählen Sie unter Nach Plattform die Option Windows aus.

4. In den Fenstern | Windows-Gerätebildschirm wählen Sie unter Geräte-Onboarding die Option Registrierung aus.

5. In den Fenstern | Windows-Registrierungsbildschirm wählen Sie unter Windows Autopilotdie Option Registrierungsstatusseite aus.

6. Klicken Sie im Bereich Seite zum Registrierungsstatus auf Standard>Einstellungen.

7. Legen Sie für Installationsfortschritt für Apps und Profile anzeigenYes (Ja) fest.

8. Konfigurieren Sie die anderen Optionen je nach Bedarf.

9. Wählen Sie Speichern.

Erstellen und Zuweisen eines Domänenbeitrittsprofils

1. Wählen Sie im Microsoft Intune Admin CenterGeräte>verwalten | Konfigurationsrichtlinien>>Erstellen Sie>eine neue Richtlinie.

2. Geben Sie im daraufhin geöffneten Fenster Profil erstellen die folgenden Eigenschaften ein:

   • Name: Geben Sie einen aussagekräftigen Namen für das neue Profil ein.
   • Beschreibung: Geben Sie eine Beschreibung für das Profil ein.
   • Plattform: Wählen Sie Windows 10 und höher aus.
   • Profiltyp: Wählen Sie Vorlagen aus, wählen Sie den Vorlagennamen Domänenbeitritt aus, und wählen Sie Erstellen aus.

3. Geben Sie denNamen und dieBeschreibung ein, und wählen Sie Weiteraus.

4. Geben Sie ein Computernamenspräfix und denDomänennamenan.

5. (Optional) Geben Sie eine Organisationseinheit (OE) im DN-Format an. Zu diesen Optionen gehören Folgende:

   • Stellen Sie eine Organisationseinheit bereit, in der das Steuerelement an das Windows-Gerät delegiert wird, auf dem der Intune-Connector ausgeführt wird.
   • Stellen Sie eine Organisationseinheit bereit, in der die Steuerung an die Stammcomputer im lokalen Active Directory der Organisation delegiert wird.
   • Wenn dieses Feld leer bleibt, wird das Computerobjekt im Active Directory-Standardcontainer erstellt. Der Standardcontainer ist normalerweise der CN=Computers Container. Weitere Informationen finden Sie unter Umleiten der Container für Benutzer und Computer in Active Directory-Domänen.

   Gültige Beispiele:

   • OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com
   • OU=Mine,DC=contoso,DC=com

   Ungültige Beispiele:

   • CN=Computers,DC=contoso,DC=com – Ein Container kann nicht angegeben werden. Lassen Sie stattdessen den Wert leer, um den Standardwert für die Domäne zu verwenden.
   • OU=Mine : Die Domäne muss über die DC= Attribute angegeben werden.

   Stellen Sie sicher, dass Sie in der Organisationseinheit keine Anführungszeichen um den Wert herum verwenden.

6. Klicken Sie auf OK>Erstellen. Das Profil wird erstellt und in der Liste angezeigt.

7. Weisen Sie ein Geräteprofil derselben Gruppe zu, die im Schritt Gerätegruppe erstellen verwendet wurde. Es können verschiedene Gruppen verwendet werden, wenn Geräte mit verschiedenen Domänen oder Organisationseinheiten verknüpft werden müssen.

Hinweis

Die Benennungsfunktion für die Hybrideinbindung von Windows Autopilot für Microsoft Entra unterstützt keine Variablen wie %SERIAL%. Es werden nur Präfixe für den Computernamen unterstützt.

Deinstallieren des ODJ-Connectors

Der ODJ-Connector wird lokal auf einem Computer über eine ausführbare Datei installiert. Wenn der ODJ-Connector von einem Computer deinstalliert werden muss, muss dies auch lokal auf dem Computer erfolgen. Der ODJ-Connector kann nicht über das Intune-Portal oder über einen Graph-API-Aufruf entfernt werden.

Führen Sie die folgenden Schritte aus, um den ODJ-Connector vom Computer zu deinstallieren:

1. Melden Sie sich beim Computer an, auf dem der ODJ-Connector gehostet wird.
2. Klicken Sie mit der rechten Maustaste auf das Startmenü , und wählen Sie Einstellungen aus.
3. Wählen Sie im Fenster Windows-Einstellungendie Option Apps aus.
4. Suchen Sie unter Apps & Features nach Intune-Connector für Active Directory, und wählen Sie diese Option aus.
5. Wählen Sie unter Intune-Connector für Active Directory die Schaltfläche Deinstallieren und dann erneut die Schaltfläche Deinstallieren aus.
6. Der ODJ-Connector fährt mit der Deinstallation fort.

Nächste Schritte

Nachdem Windows Autopilot konfiguriert wurde, erfahren Sie, wie Sie diese Geräte verwalten. Weitere Informationen finden Sie unter Was ist die Microsoft Intune-Geräteverwaltung?.

Verwandte Inhalte

• Was ist eine Geräteidentität?.
• Erfahren Sie mehr über cloudnative Endpunkte.
• Microsoft Entra eingebunden im Vergleich zu Microsoft Entra hybrid eingebunden in cloudnative Endpunkte.
• Tutorial: Einrichten und Konfigurieren eines cloudnativen Windows-Endpunkts mit Microsoft Intune.
• Vorgehensweise: Planen Ihrer Microsoft Entra Join-Implementierung.
• Ein Framework für die Transformation der Windows-Endpunktverwaltung.
• Grundlegendes zu Azure AD-Hybrid- und Co-Verwaltungsszenarien.
• Erfolg bei remoter Windows Autopilot- und Azure Active Directory-Hybrideinbindung.