Teilen über

Schritt-für-Schritt-Setupanleitung für Windows 10/11 in der Cloudkonfiguration

  • Artikel

Windows 10/11 in der Cloudkonfiguration (Cloudkonfiguration) ist eine Gerätekonfiguration für Windows-Clientgeräte. Es wurde entwickelt, um die Endbenutzererfahrung zu vereinfachen. Weitere Informationen zur Cloudkonfiguration, einschließlich der Mindestanforderungen, findest du unter Übersicht über das Szenario mit der Windows-Cloudkonfiguration.

Mit der Cloudkonfiguration verwenden Sie Microsoft Intune Richtlinien, um ein Windows-Clientgerät in ein cloudoptimiertes Gerät zu verwandeln. Windows 10/11 in der Cloudkonfiguration:

  • Optimiert Geräte für die Cloud, indem sie für die Registrierung bei Intune Verwaltung mit Microsoft Entra konfiguriert werden. Benutzerdaten werden automatisch in OneDrive gespeichert, wobei die Verschiebung bekannter Ordner konfiguriert ist.

  • Installiert Microsoft Teams und Microsoft Edge auf Geräten.

  • Konfiguriert Endbenutzer als Standardbenutzer auf Geräten, sodass die IT mehr Kontrolle über die auf Geräten installierten Apps erhält.

  • Entfernt integrierte Apps und die Microsoft Store-App, wodurch die Endbenutzererfahrung vereinfacht wird.

  • Wendet Endpunktsicherheitseinstellungen und eine Konformitätsrichtlinie an. Diese Richtlinien tragen dazu bei, die Sicherheit von Geräten zu gewährleisten und die IT-Geräteintegrität zu überwachen.

  • Stellt sicher, dass Geräte automatisch über Windows Update for Business aktualisiert werden.

  • Optional können Sie auch:

    • Fügen Sie weitere Microsoft 365-Apps hinzu, z. B. Outlook, Word, Excel, PowerPoint.
    • Fügen Sie branchenspezifische Apps (Essential Line of Business) hinzu, die Endbenutzer benötigen, um erfolgreich zu sein. Microsoft empfiehlt, diese Apps auf ein Minimum zu beschränken, um die Konfiguration einfach zu halten.
    • Fügen Sie wichtige Ressourcen hinzu, z. B. Wi-Fi-Profile, VPN-Verbindungen, Zertifikate und Druckertreiber, die für Benutzerworkflows erforderlich sind.

Tipp

Eine Übersicht über Windows 10/11 in der Cloudkonfiguration und deren Verwendungsmöglichkeiten erfahren Sie unter Windows 10/11 in der Cloudkonfiguration.

Es gibt zwei Möglichkeiten zum Bereitstellen der Cloudkonfiguration:

  • Option 1 – Automatisch: Verwenden Sie das geführte Szenario, um automatisch alle Gruppen und Richtlinien mit ihren konfigurierten Werten zu erstellen. Weitere Informationen zu dieser Option findest du unter Übersicht über das geführte Szenario für die Windows-Cloudkonfiguration.
  • Option 2 – Manuell (dieser Artikel): Führen Sie die Schritte in diesem Artikel aus, um die Cloudkonfiguration selbst bereitzustellen.

In diesem Leitfaden erfahren Sie, wie Sie Ihre eigene Cloudkonfigurationsbereitstellung erstellen. In den folgenden Abschnitten wird beschrieben, wie Sie Microsoft Intune zum Einrichten der Cloudkonfiguration verwenden:

  1. Erstellen einer Microsoft Entra Gruppe
  2. Konfigurieren der Geräteregistrierung
  3. Bereitstellen eines Skripts zum Konfigurieren des Verschiebens bekannter Ordner und Entfernen integrierter Apps
  4. Bereitstellen von Apps
  5. Bereitstellen von Endpunktsicherheitseinstellungen
  6. Konfigurieren von Windows Update Einstellungen
  7. Bereitstellen einer Windows-Konformitätsrichtlinie
  8. Optionale Konfigurationen

Schritt 1: Erstellen einer Microsoft Entra Gruppe

Der erste Schritt besteht darin, eine Microsoft Entra Sicherheitsgruppe zu erstellen, die die von Ihnen bereitgestellten Konfigurationen empfängt.

Diese dedizierte Gruppe hilft Ihnen, Geräte zu organisieren und Ihre Cloudkonfigurationsressourcen in Intune zu verwalten. Microsoft empfiehlt, nur die Konfigurationen in diesem Leitfaden bereitzustellen. Fügen Sie dann bei Bedarf weitere wichtige Apps und andere Gerätekonfigurationen hinzu.

Führen Sie die folgenden Schritte aus, um die Gruppe zu erstellen:

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wählen Sie Gruppen>Alle Gruppen>Neue Gruppe aus.

  3. Wählen Sie unter Gruppentyp die Option Sicherheit aus.

  4. Geben Sie einen Gruppennamen ein, z. B Cloud config PCs. .

  5. Wählen Sie unter Mitgliedschaftstypdie Option Zugewiesen aus.

  6. Wenn Sie möchten, können Sie Ihrer neuen Gruppe jetzt Geräte hinzufügen. Wählen Sie Keine Mitglieder ausgewählt aus , und fügen Sie Ihrer Gruppe Mitglieder hinzu.

    Sie können auch mit einer leeren Gruppe beginnen und später Geräte hinzufügen.

  7. Wählen Sie Erstellen aus.

Tipp

Wenn die Gruppe erstellt wird, können Sie dieser Gruppe vorregistrierte Windows Autopilot-Geräte hinzufügen.

Vorhandene Geräte

Wenn Sie vorhandene Geräte in Intune registriert haben, die Sie mit der Cloudkonfiguration verwenden möchten, empfiehlt es sich, mit diesen Geräten neu zu beginnen. Insbesondere gilt:

  • Entfernen Sie vorhandene Apps und Profile, die auf diesen Geräten bereitgestellt wurden.
  • Setzen Sie diese Geräte zurück.
  • Registrieren Sie das Gerät erneut bei Intune, und stellen Sie Ihre Cloudkonfiguration bereit.

Diese zusätzlichen Schritte werden für vorhandene Geräte empfohlen, da sie eine optimierte Benutzererfahrung bieten. Anschließend können Sie weitere wichtige Apps hinzufügen und sicherstellen, dass Geräte nur das haben, was Benutzer benötigen.

Schritt 2: Konfigurieren der Geräteregistrierung

In diesem Schritt aktivieren Sie die automatische MDM-Registrierung in Intune und konfigurieren die Registrierung von Geräten bei Intune.

Wenn Sie bereits Windows Autopilot verwenden, überspringen Sie diesen Schritt, und fahren Sie mit Schritt 3 – Bereitstellen eines Skripts fort, um das Verschieben bekannter Ordner zu konfigurieren und integrierte Apps zu entfernen (in diesem Artikel).

✅ 1– Aktivieren der automatischen Registrierung

Aktivieren Sie die automatische Registrierung für die organization Benutzer, die Sie die Cloudkonfiguration verwenden möchten. Für die Cloudkonfiguration ist eine automatische Registrierung erforderlich. Weitere Informationen zur automatischen Registrierung finden Sie unter Registrierungshandbuch : Automatische Windows-Registrierung.

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wählen Sie Geräte>nach Plattform>windows>Device onboarding>Enrollment>Automatic Enrollment (Automatische Registrierung) aus.

  3. Wählen Sie unter MDM-Benutzerbereich eine der folgenden Optionen aus:

    • Wählen Sie Alle aus, um die Cloudkonfiguration auf alle Windows-Geräte anzuwenden, die Benutzer in Ihrer organization verwenden. In den meisten Cloudkonfigurationsszenarien ist Alle ausgewählt.
    • Wählen Sie Einige aus, um die Cloudkonfiguration auf Geräte anzuwenden, die von einer Teilmenge der Benutzer in Ihrem organization verwendet werden. Wenn Sie Ihre Cloudkonfiguration in einem mehrstufigen Ansatz anwenden möchten, sind einige möglicherweise eine gute Wahl.

  4. Konfigurieren Sie nicht den MAM-Benutzerbereich, die MAM-Bedingungen der Benutzer-URL, die MDM-Ermittlungs-URL und die MAM-Konformitäts-URL. Lassen Sie diese Einstellungen leer. MAM-Einstellungen sind für die Cloudkonfiguration nicht konfiguriert.

  5. Wählen Sie Speichern aus, um Ihre Änderungen zu speichern.

✅ 2 – Auswählen, wie Geräte registriert und Benutzer als Standardbenutzer auf Geräten konfiguriert werden

Nachdem die automatische Windows-Registrierung in Intune aktiviert wurde, besteht der nächste Schritt darin, zu bestimmen, wie sich Geräte bei Intune registrieren. Wenn sie sich registrieren, sind sie verfügbar, um Ihre Cloudkonfigurationsrichtlinien zu erhalten. Außerdem müssen Sie Benutzer so konfigurieren, dass sie Standardbenutzer auf ihren Geräten sind. Standardbenutzer können nur Apps installieren, die von Ihrem organization genehmigt werden.

Für die Registrierung stehen Ihnen drei Optionen zur Auswahl. Wählen Sie eine Registrierungsoption aus.

  • Verwenden von Windows Autopilot (empfohlen)
  • Massenregistrierung mithilfe eines Bereitstellungspakets
  • Verwenden der Microsoft Entra ID in der Out-of-Box-Benutzeroberfläche (OOBE)

Dieser Abschnitt enthält weitere Informationen zu diesen Registrierungsoptionen und zum Konfigurieren von Benutzern als Standardbenutzer auf ihren Geräten.

Es wird empfohlen, die Windows Autopilot-Registrierung und die Registrierungsstatusseite (ESP) zu verwenden. Diese Registrierungsmethode und die ESP bieten eine konsistente Endbenutzererfahrung.

  • Sie registrieren die Geräte vorab beim Windows Autopilot-Bereitstellungsdienst. Mit Windows Autopilot konfigurieren Administratoren, wie Geräte gestartet und bei der Geräteverwaltung registriert werden.
  • Die Intune Windows Autopilot-Richtlinie konfiguriert die Out-of-Box-Benutzeroberfläche (OOBE). In der OOBE wählen Sie Benutzer als Standardbenutzer aus.
  • Die Intune Windows Autopilot-Richtlinie konfiguriert die Registrierungsstatusseite (ESP). Die ESP zeigt den Konfigurationsfortschritt an. Benutzer bleiben auf der ESP, bis alle Cloudkonfigurationseinstellungen auf das Gerät angewendet wurden.

Führen Sie die folgenden Schritte aus, um die benutzergesteuerte Windows Autopilot-Registrierung einzurichten:

  1. Hinzufügen von Geräten zu Windows Autopilot.

    Registrieren Sie Ihre Geräte in Windows Autopilot mithilfe der Schritte unter Schritt 3 – Registrieren von Geräten bei Windows Autopilot (öffnet einen Windows Autopilot-Artikel).

    Hinweis

    Der Artikel Schritt 3 : Registrieren von Geräten bei Windows Autopilot Windows Autopilot ist Teil einer Reihe von Schritten. Führen Sie für diese Cloudkonfiguration nur Schritt 3 – Registrieren von Geräten bei Windows Autopilot aus, um Ihre Geräte zu registrieren. Führen Sie die anderen Schritte nicht nacheinander aus. Die anderen Schritte in dieser Windows Autopilot-Serie gelten für ein anderes Windows Autopilot-Szenario.

    Sie können Geräte auch manuell registrieren, um Windows Autopilot zu verwenden. Die manuelle Registrierung von Geräten wird häufig verwendet, um vorhandene Hardware umzuverwenden, die zuvor nicht mit Windows Autopilot eingerichtet wurde.

  2. Erstellen und Zuweisen eines Windows Autopilot-Bereitstellungsprofils in Intune.

    1. Melden Sie sich beim Microsoft Intune Admin Center an.

    2. Wählen Sie Geräte>nach Plattform>Für Windows-Geräte>onboarding>Enrollment>aus Windows Autopilot Deployment Profile für die Programmbereitstellung>.

    3. Wählen Sie Profil erstellen>Windows-PC. Geben Sie einen Namen für das Profil ein.

    4. Wählen Sie für die Einstellung Alle Zielgeräte in Autopilot konvertieren die Option Ja aus. Wählen Sie Weiter aus.

      Sie können die Cloudkonfiguration auf Geräte anwenden, die mit anderen Registrierungsmethoden als Windows Autopilot registriert wurden. Wenn Sie diese Geräte (Nicht-Windows Autopilot-Geräte) zu Ihrer Gruppe hinzufügen, werden die Geräte in Windows Autopilot konvertiert. Wenn die Geräte das nächste Mal zurückgesetzt werden und die Windows-Willkommensseite (Windows Out-of-Box Experience, OOBE) durchlaufen, registrieren sie sich über Windows Autopilot.

    5. Geben Sie auf der Registerkarte Out-of-Box Experience (OOBE) die folgenden Werte ein, und wählen Sie dann Weiter aus:

      Einstellung Wert
      Bereitstellungsmodus Benutzergesteuert
      Teilnehmen an Microsoft Entra ID als Microsoft Entra eingebunden
      Microsoft-Software-Lizenzbedingungen Ausblenden
      Datenschutzeinstellungen Ausblenden
      Optionen zum Ändern von Konten ausblenden Ausblenden
      Benutzerkontotyp Standard
      Vorab bereitgestellte Bereitstellung zulassen Nein
      Sprache (Region) Betriebssystemstandard
      Tastatur automatisch konfigurieren Ja
      Gerätenamenvorlage anwenden Optional. Sie können eine Gerätenamenvorlage anwenden. Verwenden Sie ein Namenspräfix, mit dem Sie Ihre Cloudkonfigurationsgeräte identifizieren können, z. B Cloud-%SERIAL%. .

    6. Weisen Sie das Profil der Gruppe zu, die Sie in Schritt 1 – Erstellen einer Microsoft Entra Gruppe (in diesem Artikel) erstellt haben, und wählen Sie dann Weiter aus.

    7. Überprüfen Sie das neue Profil, und wählen Sie dann Erstellen aus.

  3. Erstellen und Zuweisen einer Registrierungsstatusseite in Intune.

    1. Melden Sie sich beim Microsoft Intune Admin Center an.

    2. Wählen Sie Geräte>nach Plattform>Windows>Device Onboarding>Enrollment General>>Enrollment Status Page aus.

    3. Wählen Sie Erstellen aus, und geben Sie einen Namen für die Registrierungsstatusseite ein.

    4. Geben Sie auf der Registerkarte Einstellungen die folgenden Werte ein, und wählen Sie dann Weiter aus:

      Einstellung Wert
      Anzeigen des App- und Profilkonfigurationsprozesses Ja
      Fehler anzeigen, wenn die Installation länger dauert als die angegebene Anzahl von Minuten 60
      Bei einem Zeitlimitfehler benutzerdefinierte Meldung anzeigen Ja: Sie können auch die Standardmeldung ändern.
      Benutzern gestatten, Protokolle zu Installationsfehlern sammeln Ja
      Gerätebenutzer blockieren, bis alle Apps und Profile installiert sind Ja
      Benutzern bei Installationsfehlern das Zurücksetzen des Geräts erlauben Ja
      Benutzern bei Installationsfehlern Geräteverwendung erlauben Nein
      Gerätebenutzer blockieren, bis diese erforderlichen Apps installiert sind, wenn sie dem Benutzer/Gerät zugewiesen sind Alle

      Hinweis

      Wenn ein Installationsfehler auftritt, wird empfohlen, benutzer daran zu hindern, das Gerät zu verwenden. Durch das Blockieren von Benutzern wird sichergestellt, dass sie das Gerät erst verwenden können, nachdem die Cloudkonfiguration vollständig angewendet wurde.

      Wenn ein Installationsfehler auftritt, können Sie basierend auf Ihren Bereitstellungsanforderungen dem Benutzer erlauben, das Gerät zu verwenden. Wenn Sie die Verwendung des Geräts zulassen und das Gerät mit Intune eincheckt, versucht Intune weiterhin, die Konfigurationen anzuwenden.

    5. Weisen Sie unter Zuweisungen die Seite Registrierungsstatus der Gruppe zu, die Sie in Schritt 1 – Erstellen einer Microsoft Entra gruppe (in diesem Artikel) erstellt haben.

      Wählen Sie Weiter aus.

    6. Wählen Sie Erstellen aus, um die Registrierungsstatusseite zu erstellen und zuzuweisen.

Registrierungsoption 2: Massenregistrierung mithilfe eines Bereitstellungspakets

Sie können Geräte mithilfe eines Bereitstellungspakets registrieren, das mithilfe von Windows Configuration Designer oder der Schul-PCs einrichten-App erstellt wurde.

Weitere Informationen zur Massenregistrierung findest du unter Massenregistrierung für Windows-Geräte.

Mit Massenregistrierung:

  • Nachdem sich die Geräte bei Intune registriert haben, fügen Sie sie der Gruppe hinzu, die Sie in Schritt 1 – Erstellen einer Microsoft Entra gruppe (in diesem Artikel) erstellt haben. Wenn sie der Gruppe hinzugefügt werden, erhalten sie Ihre Cloudkonfiguration.
  • Alle Benutzer sind automatisch Standardbenutzer auf dem Gerät.
  • Es gibt keine Registrierungsstatusseite. Benutzer können den Fortschritt nicht anzeigen, da alle Cloudkonfigurationseinstellungen angewendet werden. Benutzer können das Gerät verwenden, bevor die Cloudkonfiguration vollständig angewendet wurde.
  • Bevor Sie Geräte an Benutzer verteilen, empfiehlt Microsoft, dass Sie überprüfen, ob sich die Einstellungen und Apps auf den Geräten befinden.

Registrierungsoption 3: Registrieren mit Microsoft Entra ID in der Out-of-Box-Benutzeroberfläche (OOBE)

Wenn die automatische MDM-Registrierung in Intune aktiviert ist, melden sich Benutzer während der OOBE mit ihren Microsoft Entra-Konten an. Wenn sie sich anmelden, wird die Registrierung automatisch gestartet.

Mit dieser Registrierungsoption können Sie:

  1. Konfigurieren Sie ein Microsoft Intune benutzerdefiniertes Profil, um lokale Administratoren auf Geräten einzuschränken. Der Richtlinien-CSP enthält eine Beispielrichtliniendefinitions-XML, die Sie in Ihrem benutzerdefinierten Profil verwenden können.

    Tipp

    In diesem benutzerdefinierten Profil gibt es eine weitere Einstellung, die eine Gruppe hinzufügt, die lokale Administratoren auf dem Gerät sein kann. Diese lokale Administratorgruppe sollte nur IT-Administratoren in Ihrer Umgebung enthalten.

  2. Weisen Sie das benutzerdefinierte Profil der Gruppe zu, die Sie in Schritt 1 – Erstellen einer Microsoft Entra Gruppe (in diesem Artikel) erstellt haben.

Schritt 3: Konfigurieren des Verschiebens bekannter OneDrive-Ordner und Bereitstellen eines Skripts zum Entfernen integrierter Apps

Beim Konfigurieren der OneDrive-Verschiebung bekannter Ordner werden Benutzerdateien und -daten automatisch in OneDrive gespeichert. Wenn Sie integrierte Windows-Apps und den Microsoft Store entfernen, werden das Startmenü und die Geräteoberfläche vereinfacht.

Dieser Schritt vereinfacht die Windows-Benutzeroberfläche.

✅ 1: Konfigurieren der OneDrive-Verschiebung bekannter Ordner mit einer administrativen Vorlage

Beim Verschieben bekannter Ordner werden Benutzerdaten (Dateien und Ordner) auf OneDrive gespeichert. Wenn sich Benutzer bei einem anderen Gerät anmelden, synchronisiert OneDrive die Daten automatisch mit dem neuen Gerät. Benutzer müssen ihre Dateien nicht manuell verschieben.

Hinweis

Aufgrund eines Synchronisierungsproblems bei der OneDrive-Konfiguration " Bekannte Ordner verschieben " und "SharedPC" empfiehlt Microsoft die Verwendung von Windows in der Cloudkonfiguration mit einem Gerät, auf dem sich mehrere Benutzer an- und abmelden.

Verwenden Sie zum Konfigurieren der Verschiebung bekannter Ordner eine ADMX-Vorlage in Intune:

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wählen Sie Geräte>nach Plattform>Windows>Geräte> verwaltenKonfiguration>Neue Richtlinieerstellen> aus.

  3. Wählen Sie Windows 10 und höher für Plattform und dann Vorlagen als Profiltyp aus.

  4. Wählen Sie Administrative Vorlagen und dann Erstellen aus.

  5. Geben Sie einen Namen für das Profil ein, und wählen Sie Weiter aus.

  6. Suchen Sie unter Konfigurationseinstellungen nach den Einstellungen in der folgenden Tabelle, und wählen Sie die empfohlenen Werte aus:

    Name der Einstellung Value
    Automatisches Verschieben bekannter Windows-Ordner in die OneDrive-fähige Mandanten-ID Geben Sie die Mandanten-ID Ihres organization ein.

    Ihre Mandanten-ID wird auf Microsoft Entra Admin Center >Seite>Eigenschaften Mandanten-ID angezeigt.
    Anzeigen einer Benachrichtigung für Benutzer, nachdem Ordner umgeleitet wurden Ja. Sie können die Benachrichtigung auch ausblenden.
    Benutzer automatisch mit ihren Windows-Anmeldeinformationen bei der OneDrive-Synchronisierungs-App anmelden Aktiviert
    Benutzer am Verschieben ihrer bekannten Windows-Ordner auf OneDrive hindern Aktiviert
    Benutzer am Umleiten ihrer bekannten Windows-Ordner auf ihren PC hindern Aktiviert
    OneDrive-Dateien bei Bedarf verwenden Aktiviert

  7. Weisen Sie das Profil der Gruppe zu, die Sie in Schritt 1 – Erstellen einer Microsoft Entra gruppe (in diesem Artikel) erstellt haben.

✅ 2– Bereitstellen eines Skripts zum Entfernen integrierter Apps

Microsoft hat ein Windows PowerShell-Skript erstellt, das:

  • Entfernt integrierte Apps von Geräten.
  • Entfernt die Microsoft Store-App von Geräten.

Das Skript wird auf Geräten mit in Intune bereitgestellt. Führen Sie die folgenden Schritte aus, um das Skript hinzuzufügen und bereitzustellen:

  1. Laden Sie das Skript zum Entfernen der PowerShell-App für das Cloudkonfigurationsfenster herunter. Dieses Skript entfernt die Microsoft Store-App und die integrierten Apps.

    Hinweis

    Wenn Sie die Microsoft Store-App auf Geräten beibehalten möchten, können Sie das Skript verwenden, das integrierte Apps entfernt, aber stattdessen den Microsoft Store beibehält . Um dieses Skript zu verwenden, laden Sie es stattdessen herunter, und führen Sie die gleichen Schritte aus. Dieses Skript versucht, integrierte Apps zu entfernen, aber möglicherweise nicht alle. Möglicherweise müssen Sie das Skript ändern, um alle integrierten Apps auf Ihren Geräten zu entfernen.

  2. Melden Sie sich beim Microsoft Intune Admin Center an.

  3. Wählen Sie Geräte>nach Plattform>Windows>Geräte> verwaltenSkripts und Korrekturen>Plattformskripts Registerkarte >Hinzufügen aus.

  4. Geben Sie unter Grundlagen einen Namen für Ihre Skriptrichtlinie ein, und wählen Sie Weiter aus.

  5. Laden Sie unter Skripteinstellungen das heruntergeladene Skript hoch. Lassen Sie die anderen Einstellungen unverändert, und wählen Sie Weiter aus.

  6. Weisen Sie das Skript der Gruppe zu, die Sie in Schritt 1 – Erstellen einer Microsoft Entra Gruppe (in diesem Artikel) erstellt haben.

Microsoft Store-App

Wenn Sie die Microsoft Store-App zuvor entfernt haben, können Sie sie mithilfe von Microsoft Intune erneut bereitstellen. Um die Microsoft Store-App (oder andere Apps, die Sie erneut hinzufügen möchten) erneut hinzuzufügen, fügen Sie die Microsoft Store-App Ihrem privaten organization App-Repository hinzu. Stellen Sie dann die App mithilfe von Intune auf Geräten bereit. Die Microsoft Store-App hilft dabei, Apps auf dem neuesten Stand zu halten. Informationen zum Konfigurieren des Zugriffs auf die Microsoft Store-App finden Sie unter Verwalten des Zugriffs auf den privaten Store.

Ihr privates organization App-Repository kann die Intune-Unternehmensportal App oder Website sein.

Mit Intune können Sie auf Windows 10/11 Enterprise- und Education-Geräten verhindern, dass Endbenutzer Microsoft Store-Apps außerhalb des privaten App-Repositorys Ihrer organization installieren.

Führen Sie die folgenden Schritte aus, um diese externen Apps zu verhindern:

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wählen Sie Geräte>nach Plattform>Windows>Geräte> verwaltenKonfiguration>Neue Richtlinieerstellen> aus.

  3. Wählen Sie Windows 10 und höher für Plattform und dann Einstellungskatalog als Profiltyp aus. Wählen Sie Erstellen aus.

  4. Geben Sie unter Grundlagen einen Namen für Ihr Profil ein.

  5. Wählen Sie unter Konfigurationseinstellungen die Option Einstellungen hinzufügen aus. Gehen Sie dann wie folgt vor:

    1. Suchen Sie in der Einstellungsauswahl nach private store. Wählen Sie in den Suchergebnissen unter der Kategorie Microsoft App Store die Option Nur privaten Store erforderlich aus.
    2. Legen Sie die Einstellung Nur privaten Speicher erforderlich auf Nur privater Speicher ist aktiviert fest.
    3. Wählen Sie Weiter aus.

  6. Weisen Sie unter Zuweisungen das Profil der Gruppe zu, die Sie in Schritt 1 – Erstellen einer Microsoft Entra gruppe (in diesem Artikel) erstellt haben.

  7. Überprüfen Und erstellen Überprüfen Sie Ihr Profil, und wählen Sie Erstellen aus.

Schritt 4: Bereitstellen von Apps

In diesem Schritt werden Microsoft Edge und Microsoft Teams bereitgestellt. In diesem Schritt können Sie weitere wichtige Apps bereitstellen. Denken Sie daran, nur das bereitzustellen, was Benutzer benötigen.

✅ 1: Bereitstellen von Microsoft Edge

  1. Fügen Sie Microsoft Edge zu Intune hinzu.
  2. Wählen Sie für App-Einstellungen den stabilen Kanal aus.
  3. Weisen Sie die Microsoft Edge-App der Gruppe zu, die Sie in Schritt 1 – Erstellen einer Microsoft Entra Gruppe (in diesem Artikel) erstellt haben.

✅ 2. Bereitstellen von Microsoft Teams

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wählen Sie Apps>Windows aus.

  3. Wählen Sie Hinzufügen aus, um eine neue App zu erstellen.

  4. Wählen Sie für Microsoft 365 AppsWindows 10 und später>Auswählen aus.

  5. Geben Sie unter Suitename einen Namen ein, oder verwenden Sie den vorgeschlagenen Namen. Wählen Sie Weiter aus.

  6. Wählen Sie für App-Suite konfigurieren nur Teams aus.

    Wenn Sie weitere Microsoft 365-Apps bereitstellen möchten, wählen Sie diese aus dieser Liste aus. Denken Sie daran, nur das bereitzustellen, was Benutzer benötigen.

    Tipp

    Sie müssen oneDrive nicht auswählen. OneDrive ist in Windows 10/11 Pro, Enterprise und Education integriert.

  7. Konfigurieren Sie für App-Suite-Informationen die folgenden Einstellungen:

    Einstellung Wert
    Architektur 64-Bit

    Die Cloudkonfiguration funktioniert auch mit 32-Bit. Microsoft empfiehlt die Auswahl von 64-Bit.
    Aktualisierungskanal Aktueller Kanal
    Entfernen anderer Versionen Ja
    Zu installierende Version Neueste Version

  8. Konfigurieren Sie für Eigenschaften die folgenden Einstellungen:

    Einstellung Wert
    Verwenden der Aktivierung gemeinsam genutzter Computer Ja
    Akzeptieren Sie die Microsoft-Software-Lizenzbedingungen im Namen von Benutzern. Ja

  9. Wählen Sie Weiter aus.

  10. Weisen Sie die Suite der Gruppe zu, die Sie in Schritt 1 – Erstellen einer Microsoft Entra Gruppe (in diesem Artikel) erstellt haben.

Schritt 5: Bereitstellen von Endpunktsicherheitseinstellungen

In diesem Schritt werden Endpunktsicherheitseinstellungen konfiguriert, um die Sicherheit von Geräten zu gewährleisten, einschließlich der integrierten Windows-Sicherheitsbaseline und bitLocker-Einstellungen.

✅1– Bereitstellen der Windows 10/11 MDM-Sicherheitsbaseline

Für Windows in der Cloudkonfiguration wird empfohlen, die Windows 10/11-Sicherheitsbaseline zu verwenden. Es gibt einige Einstellungswerte, die Sie basierend auf den Einstellungen Ihrer organization ändern können.

Konfigurieren Sie die Sicherheitsbaseline in Intune:

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wählen Sie Endpunktsicherheit>Sicherheitsbaselines>Sicherheitsbaseline für Windows 10 und höher aus.

  3. Wählen Sie Profil erstellen aus, um eine neue Sicherheitsbaseline zu erstellen.

  4. Geben Sie einen Namen für Ihre Sicherheitsbaseline ein, und wählen Sie Weiter aus.

  5. Übernehmen Sie die Standardkonfigurationseinstellungen. Alternativ können Sie die folgenden Einstellungen basierend auf Ihren organization Anforderungen ändern:

    Einstellungskategorie Einstellung Grund für die Änderung
    Browser Kennwort-Manager blockieren Wenn Sie Endbenutzern die Verwendung von Kennwort-Managern gestatten möchten, deaktivieren Sie diese Einstellung.
    Remoteunterstützung Remoteunterstützung angefordert Diese Einstellung ermöglicht Es Ihren Supportmitarbeitern, eine Remoteverbindung mit Geräten herzustellen. Microsoft empfiehlt, diese Einstellung zu deaktivieren, es sei denn, dies ist erforderlich.
    Firewall Alle Firewalleinstellungen Wenn Sie bestimmte Verbindungen mit Geräten basierend auf den Anforderungen Ihrer organization zulassen müssen, ändern Sie die Standardeinstellungen der Firewall.

    Wählen Sie Weiter aus.

  6. Wählen Sie unter Zuweisungen die Gruppe aus, die Sie in Schritt 1 – Erstellen einer Microsoft Entra gruppe (in diesem Artikel) erstellt haben.

  7. Wählen Sie Erstellen aus, um die Baseline zu erstellen und zuzuweisen.

✅ 2. Bereitstellen weiterer BitLocker-Einstellungen mit einem Sicherheitsprofil für den Laufwerkverschlüsselungsendpunkt

Es gibt weitere BitLocker-Einstellungen, mit denen Ihre Geräte geschützt werden können. Konfigurieren Sie diese BitLocker-Einstellungen in Intune:

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wählen Sie Endpunktsicherheit>Datenträgerverschlüsselung>Richtlinie erstellen aus.

  3. Wählen Sie unter Plattform die Option Windows 10 und höher aus.

  4. Wählen Sie unter Profil die Option BitLocker>Erstellen aus.

  5. Geben Sie unter Grundlagen einen Namen für Ihr Profil ein.

  6. Wählen Sie unter Konfigurationseinstellungen die folgenden Einstellungen aus:

    Einstellungskategorie Einstellung Wert
    BitLocker – Basiseinstellungen Aktivieren der vollständigen Datenträgerverschlüsselung für Betriebssystem- und Festplattenlaufwerke Ja
         
    BitLocker – Festplattenlaufwerkeinstellungen BitLocker-Richtlinie für Festplattenlaufwerk Konfigurieren
      Blockieren des Schreibzugriffs auf Festplattenlaufwerke, die nicht durch BitLocker geschützt sind Ja
      Konfigurieren der Verschlüsselungsmethode für Festplattenlaufwerke AES 128-Bit-XTS
         
    BitLocker – Betriebssystemlaufwerkeinstellungen BitLocker-Richtlinie für Systemlaufwerk Konfigurieren
      Startauthentifizierung erforderlich Ja
      Kompatibler TPM-Start Zulässig
      Kompatible TPM-Start-PIN Zulässig
      Kompatibler TPM-Startschlüssel Erforderlich
      Kompatibler TPM-Startschlüssel und -PIN Zulässig
      Deaktivieren von BitLocker auf Geräten, auf denen TPM nicht kompatibel ist Ja
      Konfigurieren der Verschlüsselungsmethode für Betriebssystemlaufwerke AES 128-Bit-XTS
         
    BitLocker – Wechseldatenträgereinstellungen BitLocker-Richtlinie für Wechseldatenträger Konfigurieren
      Konfigurieren der Verschlüsselungsmethode für Wechseldatenträger AES 128-Bit-CBC
      Blockieren des Schreibzugriffs auf Wechseldatenträger, die nicht durch BitLocker geschützt sind Ja

  7. Weisen Sie unter Zuweisungen das Profil der Gruppe zu, die Sie in Schritt 1 – Erstellen einer Microsoft Entra gruppe (in diesem Artikel) erstellt haben.

  8. Wählen Sie Erstellen aus, um das Profil zu erstellen und zuzuweisen.

Schritt 6: Konfigurieren Windows Update Einstellungen

In diesem Schritt wird ein Windows Update Ring verwendet, um Geräte automatisch auf dem neuesten Stand zu halten. Die Einstellungen in diesem Leitfaden entsprechen den empfohlenen Einstellungen in der Windows Update-Baseline.

Konfigurieren Sie den Updatering in Intune:

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wählen Sie Geräte>Updates> verwalten Windows 10 und spätere Updates>Registerkarte Updateringe>Profil erstellen aus.

  3. Geben Sie unter Grundlagen einen Namen für den Updatering ein.

  4. Konfigurieren Sie unter Ringeinstellungen aktualisieren die folgenden Werte, und wählen Sie Weiter aus:

    Einstellung Wert
    Wartungskanal Halbjährlicher Kanal
    Microsoft-Produktupdates Zulassen
    Windows-Treiber Zulassen
    Zurückstellungszeitraum für Qualitätsupdates (Tage) 0
    Zurückstellungszeitraum für Featureupdates (Tage) 0
    Festlegen des Deinstallationszeitraums für Featureupdates 10
    Verhalten automatischer Updates Auf Standard zurücksetzen
    Überprüfungen neu starten Zulassen
    Option zum Anhalten von Windows-Updates Aktivieren
    Option zum Suchen nach Windows-Updates Aktivieren
    Benutzergenehmigung zum Schließen der Neustartbenachrichtigung anfordern Nein
    Benutzer vor dem erforderlichen automatischen Neustart mit abstellbarer Erinnerung (Stunden) erinnern Lassen Sie diese Einstellung nicht konfiguriert.
    Benutzer vor dem erforderlichen automatischen Neustart mit permanenter Erinnerung (Minuten) erinnern Lassen Sie diese Einstellung nicht konfiguriert.
    Benachrichtigung zur Updatestufe ändern Standardbenachrichtigungen für Windows Update verwenden
    Verwenden von Stichtageinstellungen Zulassen
    Stichtag für Featureupdates 7
    Frist für Qualitätsupdates 2
    Toleranzperiode 2
    Automatischer Neustart vor Stichtag Ja

  5. Weisen Sie den Updatering der Gruppe zu, die Sie in Schritt 1 – Erstellen einer Microsoft Entra Gruppe (in diesem Artikel) erstellt haben.

Schritt 7: Bereitstellen einer Windows-Konformitätsrichtlinie

Konfigurieren Sie eine Konformitätsrichtlinie, um die Gerätekonformität und -integrität zu überwachen. Die Richtlinie meldet Nichtkonformität und erlaubt Benutzern weiterhin die Verwendung von Geräten. Sie können basierend auf den Prozessen Ihrer organization auswählen, wie Sie die Nichtkonformität mit anderen Aktionen beheben möchten.

Erstellen Sie die Konformitätsrichtlinie in Intune:

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wählen SieGerätekonformität>>Richtlinie erstellen aus.

  3. Wählen Sie unter Plattformdie Option Windows 10 und später>Erstellen aus.

  4. Geben Sie unter Grundlagen einen Namen für die Konformitätsrichtlinie ein. Wählen Sie Weiter aus.

  5. Konfigurieren Sie unter Kompatibilitätseinstellungen die folgenden Werte, und wählen Sie Weiter aus:

    Einstellungskategorie Einstellung Wert
    Geräteintegrität BitLocker erforderlich Erforderlich
      Aktivieren des sicheren Starts auf dem Gerät erforderlich Erforderlich
      Codeintegrität erforderlich Erforderlich
         
    Systemsicherheit Firewall Erforderlich
      Antivirus Erforderlich
      Antispyware Erforderlich
      Erfordern eines Kennworts zum Entsperren von Mobilgeräten Erforderlich
      Einfache Kennwörter Blockieren
      Kennworttyp Alphanumerisch
      Minimale Kennwortlänge 8
      Maximaler Zeitraum der Inaktivität (in Minuten) bis zur Anforderung eines Kennworts 1 Minute
      Kennwortablauf (Tage) 41
      Anzahl vorheriger Kennwörter, deren Wiederverwendung verhindert wird 5
         
    Defender Microsoft Defender-Antischadsoftware Erforderlich
      Sicherheitsinformationen zur Microsoft Defender-Antischadsoftware auf dem neuesten Stand Erforderlich
      Echtzeitschutz Erforderlich

  6. Konfigurieren Sie unter Aktionen für Nichtkonformität für die Aktion Gerät als nicht konform markierenden Zeitplan (Tage nach Nichtkonformität) auf 1 den Tag. Sie können basierend auf Ihren organization Einstellungen eine andere Karenzzeit konfigurieren.

    Wenn Sie Richtlinien für bedingten Zugriff in Ihrem organization verwenden, wird empfohlen, eine Toleranzperiode zu konfigurieren. Toleranzperioden verhindern, dass nicht kompatible Geräte sofort den Zugriff auf organization Ressourcen verlieren.

  7. Sie können eine Aktion hinzufügen, um Benutzer per E-Mail darüber zu informieren, dass die Schritte zum Erreichen der Konformität nicht eingehalten werden.

  8. Weisen Sie die Konformitätsrichtlinie der Gruppe zu, die Sie in Schritt 1 – Erstellen einer Microsoft Entra Gruppe (in diesem Artikel) erstellt haben.

Schritt 8: Optionale Konfigurationen

Es gibt optionale Richtlinien, die Sie mit Ihrer Cloudkonfiguration erstellen und bereitstellen können. In diesem Abschnitt werden diese optionalen Richtlinien beschrieben.

✅ Konfigurieren eines Mandantendomänennamens

Konfigurieren Sie Geräte so, dass der Domänenname Ihres Mandanten automatisch für Benutzeranmeldungen verwendet wird. Wenn Sie einen Domänennamen hinzufügen, müssen Benutzer nicht ihren vollständigen UPN eingeben, um sich anzumelden.

Fügen Sie den Mandantendomänennamen in Intune hinzu:

  1. Melden Sie sich beim Microsoft Intune Admin Center an.
  2. Wählen Sie Geräte>nach Plattform>Windows>Geräte> verwaltenKonfiguration>Neue Richtlinieerstellen> aus.
  3. Wählen Sie unter Plattform die Option Windows 10 und höher aus.
  4. Wählen Sie unter Profiltyp die Option Vorlagen>Geräteeinschränkungen>Erstellen aus.
  5. Geben Sie einen Namen für das Profil ein, und wählen Sie Weiter aus.
  6. Konfigurieren Sie unter Konfigurationseinstellungen für Kennwort die Domäne "Bevorzugter Microsoft Entra Mandanten". Geben Sie den Microsoft Entra Domänennamen ein, den Benutzer für die Anmeldung bei Geräten verwenden sollen.
  7. Weisen Sie das Profil der Gruppe zu, die Sie in Schritt 1 – Erstellen einer Microsoft Entra gruppe (in diesem Artikel) erstellt haben.

✅ Bereitstellen weiterer wichtiger Produktivitäts- und Branchen-Apps

Möglicherweise verfügen Sie über einige wichtige BRANCHEN-Apps, die alle Geräte benötigen. Wählen Sie eine Mindestanzahl dieser Apps aus, die bereitgestellt werden sollen. Wenn Sie Apps mithilfe einer Virtualisierungslösung bereitstellen, stellen Sie die Virtualisierungsclient-App auch auf Geräten bereit.

Es gibt keine Einschränkungen hinsichtlich der Anzahl oder Größe anderer Apps, die mit den Apps bereitgestellt werden können, die Ihrer Cloudkonfiguration hinzugefügt wurden. Microsoft empfiehlt jedoch, diese anderen Apps auf ein Minimum zu beschränken, je nachdem, was Benutzer für ihre Rollen benötigen. Weisen Sie diese wichtigen Apps der Gruppe zu, die Sie in Schritt 1 – Erstellen einer Microsoft Entra Gruppe (in diesem Artikel) erstellt haben.

Möglicherweise benötigen Sie bestimmte BRANCHEN-Apps auf einigen Ihrer Geräte. Oder es gibt einige Apps, die komplexe Verpackungs- oder Verfahrensanforderungen haben. Ziehen Sie für diese Szenarien in Betracht, diese Apps aus Ihrer Cloudkonfigurationsbereitstellung zu verschieben. Oder behalten Sie die Geräte, die diese Apps benötigen, in Ihrem vorhandenen Windows-Verwaltungsmodell.

Die Cloudkonfiguration wird für Geräte empfohlen, die nur wenige wichtige Apps benötigen, zusammen mit Zusammenarbeit und Browsen.

✅Bereitstellen von Ressourcen, die Benutzer für organization Zugriff benötigen

Konfigurieren Sie wichtige Ressourcen, die Benutzer möglicherweise benötigen, was von den Prozessen Ihrer organization abhängt. Wichtige Ressourcen können Zertifikate, Drucker, VPN-Verbindungen und Wi-Fi Profile sein.

Weisen Sie diese Ressourcen in Intune der Gruppe zu, die Sie in Schritt 1 – Erstellen einer Microsoft Entra gruppe (in diesem Artikel) erstellt haben.

✅ Konfigurieren der empfohlenen Einstellungen für die OneDrive-Verschiebung bekannter Ordner

Es gibt weitere Einstellungen, die die Benutzererfahrung für oneDrive Known Folder Move verbessern. Die Einstellungen sind nicht erforderlich, damit das Verschieben bekannter Ordner funktioniert, sind aber hilfreich.

Weitere Informationen zu diesen Einstellungen findest du unter OneDrive-Einstellungen, die für das Verschieben bekannter Ordner empfohlen werden.

✅ Konfigurieren empfohlener Microsoft Edge-Einstellungen

Es gibt einige Microsoft Edge-App-Einstellungen, die für eine bessere Benutzererfahrung konfiguriert werden können. Sie können diese Einstellungen basierend auf den Anforderungen oder der Präferenz für die Endbenutzererfahrung konfigurieren.

Verwenden Sie zum Konfigurieren dieser empfohlenen Einstellungen Intune:

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wählen Sie Geräte>nach Plattform>Windows>Geräte> verwaltenKonfiguration>Neue Richtlinieerstellen> aus.

  3. Wählen Sie Windows 10 und höher für Plattform und Vorlagen als Profiltyp aus.

  4. Wählen Sie Administrative Vorlagen und dann Erstellen aus.

  5. Geben Sie einen Namen für das Profil ein, und wählen Sie Weiter aus.

  6. Suchen Sie unter Konfigurationseinstellungen nach den folgenden Einstellungen, und konfigurieren Sie sie mit den empfohlenen Werten:

    Kategorie festlegen Einstellung Wert(e)
      Konfigurieren der Integration von Internet Explorer Aktiviert, Internet Explorer Modus
       
    SmartScreen-Einstellungen Konfigurieren von Microsoft Defender SmartScreen Aktiviert
      Erzwingen von Microsoft Defender SmartScreen-Überprüfungen bei Downloads aus vertrauenswürdigen Quellen Aktiviert
      Konfigurieren von Microsoft Defender SmartScreen zum Blockieren potenziell unerwünschter Apps Aktiviert

    Hinweis

    Die SmartScreen-Einstellungen werden auch von Microsoft Defender erzwungen. Wenn Sie die SmartScreen-Einstellungen über die Microsoft Edge-App konfigurieren, erzwingt Microsoft Edge die Einstellungen direkt.

  7. Weisen Sie das Profil der Gruppe zu, die Sie in Schritt 1 – Erstellen einer Microsoft Entra gruppe (in diesem Artikel) erstellt haben.

Überwachen der status der Cloudkonfiguration

Wenn Sie die Cloudkonfiguration auf Ihre Geräte anwenden, können Sie Intune verwenden, um die status von Apps und Gerätekonfigurationen zu überwachen.

Skripterstellung status

Sie können die Installation status Ihrer bereitgestellten Skripts überwachen:

  1. Navigieren Sie im Microsoft Intune Admin Center zu Geräte>Nach Plattform>Windows-Skripts> und Wartung >Plattformskripts.
  2. Wählen Sie das bereitgestellte Skript aus.
  3. Wählen Sie auf der Seite mit den Skriptdetails die Option Gerät status aus. Die Details zur Skriptinstallation werden angezeigt.

App-Installationen

Sie können die Installation status Ihrer bereitgestellten Apps überwachen:

  1. Wechseln Sie im Microsoft Intune Admin Center zu Apps>WindowsWindows-Apps>.
  2. Wählen Sie eine von Ihnen bereitgestellte App aus, z. B. die Microsoft 365 App Suite.
  3. Wählen Sie geräteinstallation status oder Benutzerinstallation status aus. Die Details zur App-Installation werden angezeigt.

Informationen zur Behandlung von App-Problemen auf einzelnen Geräten finden Sie unter Problembehandlung bei Intune App-Installation.

Sicherheitsbaseline

Sie können die Installation status Ihrer bereitgestellten Sicherheitsbaseline überwachen. Weitere Informationen findest du unter Überwachen von Sicherheitsbaselines und -profilen in Intune.

Datenträgerverschlüsselungsprofil

In Schritt 5 – Bereitstellen von Endpunktsicherheitseinstellungen (in diesem Artikel) haben Sie möglicherweise BitLocker-Einstellungen konfiguriert und bereitgestellt.

Sie können die status dieses BitLocker-Profils überwachen:

  1. Navigieren Sie im Microsoft Intune Admin Center zu Endpunktsicherheit>Datenträgerverschlüsselung.
  2. Wählen Sie das Datenträgerverschlüsselungsprofil aus, das Sie in der Cloudkonfiguration bereitgestellt haben.
  3. Wählen Sie geräteinstallation status oder Benutzerinstallation status aus. Die Profildetails werden angezeigt.

Windows Update-Einstellungen

Sie können die status der Windows Update Ringrichtlinie überwachen:

  1. Wechseln Sie im Microsoft Intune Admin Center zur Registerkarte Geräte>Updates> verwalten Windows 10 und spätere Updates>Updateringe.
  2. Wählen Sie den Updatering aus, den Sie als Teil der Cloudkonfiguration bereitgestellt haben.
  3. Wählen Sie geräte-status, Benutzer-status oder Endbenutzerupdate-status aus. Die Details der Updateringeinstellungen werden angezeigt.

Weitere Informationen zur Berichterstellung für Windows Update Ringe findest du unter Berichte für Updateringe für Windows 10 und höher.

Kompatibilitätsrichtlinie

Sie können die status der Konformitätsrichtlinie überwachen:

  1. Navigieren Sie im Microsoft Intune Admin Center zuGerätekonformität>.
  2. Wählen Sie die Konformitätsrichtlinie aus, die Sie als Teil der Cloudkonfiguration bereitgestellt haben.

Die Ansicht zur Überwachung der Gerätekonformität enthält ausführliche Informationen zu den Zuweisungs- status und Zuweisungsfehlern Ihrer Konformitätsrichtlinien. Es verfügt auch über Ansichten, um schnell nicht kompatible Geräte zu finden und Maßnahmen zu ergreifen.

Ausführlichere Informationen zur Überwachung von Konformitätsrichtlinien in Intune finden Sie unter Überwachen der Ergebnisse Ihrer Intune Gerätekonformitätsrichtlinien.

Verwandte Inhalte