Vorbereitungsanforderungen für Windows Autopilot-Geräte

• Gilt für::

  ✅ Windows 11

Tipp

RSS kann verwendet werden, um zu benachrichtigen, wenn Anforderungen auf dieser Seite hinzugefügt oder aktualisiert werden. Der folgende RSS-Link enthält beispielsweise diesen Artikel:

https://learn.microsoft.com/en-us/search/?terms=%22Software%2C%20Networking%2C%20Licensing%2C%20Configuration%2C%20and%20RBAC%20requirements%20for%20Windows%20Autopilot%20device%22

Dieses Beispiel enthält die &locale=en-us Variable. Die locale Variable ist erforderlich, kann aber auch ein anderes unterstütztes Gebietsschema geändert werden. Beispiel: &locale=es-es.

Weitere Informationen zur Verwendung von RSS für Benachrichtigungen finden Sie unter Verwenden der Dokumente in der Intune-Dokumentation.

Die Liste der Anforderungen für die Vorbereitung von Windows Autopilot-Geräten ist in fünf verschiedene Kategorien unterteilt:

• Software : Betriebssystemanforderungen.
• Netzwerk : Netzwerkanforderungen.
• Lizenzierung : Lizenzierungsanforderungen.
• Konfiguration: Konfigurationen, die in Microsoft Entra ID und Microsoft Intune erforderlich sind.
• RBAC : RBAC-Berechtigungen, die für einen Windows Autopilot-Gerätevorbereitungsadministrator erforderlich sind.

Wählen Sie die entsprechende Registerkarte aus, um die relevanten Anforderungen anzuzeigen:

Software

Softwareanforderungen

Die Vorbereitung von Windows Autopilot-Geräten hängt von bestimmten Features ab, die in Windows-Client, Microsoft Entra ID und einem MDM-Dienst (Mobile Device Management) verfügbar sind, z. B. Microsoft Intune. Um die Windows Autopilot-Gerätevorbereitung verwenden und auf diese Features zugreifen zu können, müssen einige Softwareanforderungen erfüllt sein.

Windows 11

• Windows 11 Version 23H2 mit KB5035942 oder höher: Windows-Installationsmedien vom April 2024 oder höher sind KB5035942 enthalten.
• Windows 11 Version 22H2 mit KB5035942 oder höher: Windows-Installationsmedien vom April 2024 oder höher sind KB5035942 enthalten.

Wichtig

• Vergewissern Sie sich bei OEMs, dass auf geräten, die vom OEM ausgeliefert werden, das mindestens erforderliche Update installiert ist.
• Wenn Sie Windows von einem Installationsmedium installieren, vergewissern Sie sich, dass auf dem Medium das mindestens erforderliche Update installiert ist. Aktualisierte Windows-Installationsmedien mit dem neuesten kumulativen Update sind im Volume Licensing Service Center (VLSC) verfügbar.

Folgende Editionen werden unterstützt:

• Windows 11 Pro.
• Windows 11 Pro Education.
• Windows 11 Pro for Workstations.
• Windows 11 Enterprise.
• Windows 11 Education.

Netzwerk

Netzwerkanforderungen

Die Vorbereitung von Windows Autopilot-Geräten hängt von verschiedenen internetbasierten Diensten ab. Der Zugriff auf diese Dienste muss bereitgestellt werden, damit die Windows Autopilot-Gerätevorbereitung ordnungsgemäß funktioniert. Im einfachsten Fall kann die Aktivierung der richtigen Funktionalität erreicht werden, indem die folgenden Bedingungen sichergestellt werden:

• Stellen Sie die DNS-Namensauflösung (Domain Name Services) für Internet-DNS-Namen sicher.
• Lassen Sie den Zugriff auf alle Hosts über Port 80 (HTTP), 443 (HTTPS) und 123 (UDP/NTP) zu.

Möglicherweise ist eine zusätzliche Konfiguration erforderlich, um Zugriff auf erforderliche Dienste in Umgebungen zu gewähren, die:

• Haben Sie einen restriktiveren Internetzugriff.
• Anfordern einer Authentifizierung, bevor der Internetzugriff abgerufen werden kann.

Hinweis

Intelligente Karte und zertifikatbasierte Authentifizierung wird während der Out-of-Box-Erfahrung (OOBE) nicht unterstützt. Weitere Informationen finden Sie unter Smartcards und zertifikatbasierte Authentifizierung.

Dienstanforderungen

Die Windows Autopilot-Gerätevorbereitung basiert auf verschiedenen Arten von Diensten, um ordnungsgemäß zu funktionieren. Damit diese Dienste ordnungsgemäß funktionieren, müssen möglicherweise bestimmte Netzwerkkonfigurationen ausgeführt werden. Diese Dienste und ihre erforderlichen Netzwerkkonfigurationen sind wie folgt:

Bereitstellungsdienst für die Windows Autopilot-Gerätevorbereitung

Nachdem eine Netzwerkverbindung hergestellt wurde, kontaktiert jedes Windows-Gerät den Bereitstellungsdienst für die Windows Autopilot-Gerätevorbereitung. Die folgenden URLs werden verwendet:

• https://ztd.dds.microsoft.com
• https://cs.dds.microsoft.com
• https://login.live.com

Windows-Aktivierung

Für die Vorbereitung von Windows Autopilot-Geräten sind Windows-Aktivierungsdienste erforderlich. Weitere Informationen zu den URLs, auf die für die Aktivierungsdienste zugegriffen werden muss, finden Sie unter Windows-Aktivierung oder -Überprüfung schlägt mit Fehlercode 0x8004FE33 fehl.

Microsoft Entra-ID

Microsoft Entra ID überprüft die Benutzeranmeldeinformationen. Darüber hinaus wird das Gerät während der Windows Autopilot-Gerätevorbereitung mit Microsoft Entra ID verknüpft. Weitere Informationen finden Sie unter Office 365-IP-Adresse und -URL-Webdienst.

Microsoft Intune

Nach der Authentifizierung löst Microsoft Entra ID die Registrierung des Geräts beim Intune Mdm-Dienst (Mobile Device Management) aus. Weitere Informationen zu den Netzwerkkommunikationsanforderungen von Intune finden Sie in den folgenden Artikeln:

• Bandbreiten- und andere Anforderungen an die Netzwerkkonfiguration für Intune
• Netzwerkendpunkte für Microsoft Intune.

Automatische Gerätesammlung zur Vorbereitung von Windows Autopilot-Geräten Diagnose

Damit Diagnose erfolgreich vom Client hochladen können, stellen Sie sicher, dass die URL lgmsapeweu.blob.core.windows.net nicht im Netzwerk blockiert ist. Diagnosen sind 28 Tage lang verfügbar, bevor sie entfernt werden.

Weitere Informationen finden Sie unter Sammeln von Diagnose von einem Windows-Gerät.

Windows Update

Während des OOBE-Prozesses (Out-of-Box Experience) und nach der Windows-Betriebssystemkonfiguration ruft der Windows Update-Dienst die erforderlichen Updates ab. Wenn Probleme beim Herstellen einer Verbindung mit Windows Update auftreten, lesen Sie Windows Update Problembehandlung.

Wenn auf Windows Update nicht zugegriffen werden kann, wird der Vorbereitungsprozess für Windows Autopilot-Geräte weiterhin fortgesetzt, aber wichtige Updates sind nicht verfügbar.

Übermittlungsoptimierung

Die Windows Autopilot-Gerätevorbereitung kontaktiert beim Herunterladen der Anwendungen und Updates den Übermittlungsoptimierungsdienst . Dieser Kontakt richtet die Peer-to-Peer-Freigabe von Inhalten ein, sodass nur wenige Geräte sie aus dem Internet herunterladen müssen.

• Windows Updates.
• Microsoft Store-Anwendungen und Anwendungsupdates.
• Office Updates.
• Intune Win32-Anwendungen.

Wenn auf den Übermittlungsoptimierungsdienst nicht zugegriffen werden kann, wird der Autopilot-Prozess weiterhin mit Übermittlungsoptimierungsdownloads aus der Cloud ohne Peer-to-Peer fortgesetzt.

NTP-Synchronisierung (Network Time Protocol)

Wenn ein Windows-Gerät gestartet wird, kommuniziert es mit einem Netzwerkzeitserver, um sicherzustellen, dass die Uhrzeit auf dem Gerät korrekt ist. Stellen Sie sicher, dass auf UDP-Port 123 zu time.windows.com zugegriffen werden kann.

Domain Name Services (DNS)

Um Internetnamen für alle Dienste aufzulösen, kommuniziert das Gerät mit einem DNS-Server, der in der Regel über DHCP bereitgestellt wird. Dieser DNS-Server muss in der Lage sein, Internetnamen aufzulösen.

Diagnosedaten

Die Diagnosedatensammlung ist standardmäßig aktiviert. Weitere Informationen finden Sie unter Verwalten von Unternehmensdiagnosedaten.

Wenn das Gerät keine Diagnosedaten senden kann, wird der Vorbereitungsprozess für Windows Autopilot-Geräte weiterhin fortgesetzt. Dienste, die von Diagnosedaten abhängen, funktionieren jedoch nicht.

Netzwerkverbindungsstatusanzeige (NCSI)

Windows muss erkennen können, dass das Gerät auf das Internet zugreifen kann. Weitere Informationen finden Sie unter Netzwerkverbindungsstatusanzeige (NCSI).

*.msftconnecttest.com muss über DNS aufgelöst werden können und über HTTP zugänglich sein.

Windows-Benachrichtigungsdienste (WNS)

Dieser Dienst wird verwendet, um Windows das Empfangen von Benachrichtigungen von Anwendungen und Diensten zu ermöglichen. Weitere Informationen finden Sie unter Microsoft Store.

Wenn die WNS-Dienste nicht verfügbar sind, wird der Vorbereitungsprozess für Windows Autopilot-Geräte weiterhin ohne Benachrichtigungen fortgesetzt.

Microsoft Store

Anwendungen im Microsoft Store können per Push auf das Gerät übertragen werden, indem sie über Intune oder einen anderen MDM-Dienst ausgelöst werden. App-Updates und zusätzliche Anwendungen sind möglicherweise auch erforderlich, wenn sich der Benutzer zum ersten Mal anmeldet. Weitere Informationen finden Sie unter Update auf Intune Integration mit dem Microsoft Store unter Windows und häufig gestellte Fragen: Unterstützen von Microsoft Store-Umgebungen auf verwalteten Geräten.

Wenn auf den Microsoft Store nicht zugegriffen werden kann, wird der Autopilot-Prozess weiterhin ohne Microsoft Store-Anwendungen fortgesetzt.

Microsoft 365

Im Rahmen der Intune Gerätekonfiguration ist möglicherweise die Installation von Microsoft 365 Applications for Enterprise erforderlich. Eine Liste, die alle Office-Dienste, DNS-Namen, IP-Adressen einschließlich Microsoft Entra ID und andere Dienste enthält, die sich möglicherweise mit den zuvor aufgeführten Diensten überschneiden, finden Sie unter Office 365 URLs und IP-Adressbereiche.

Zertifikatsperrlisten (CRLs)

Einige dieser Dienste müssen auch Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) auf Zertifikate überprüfen, die in den Diensten verwendet werden. Eine vollständige Liste finden Sie unter Office 365 URLs und IP-Adressbereiche und Office 365 Zertifikatketten.

Proxyeinstellungen

Die Bereitstellung von Proxyeinstellungen für die Windows Autopilot-Gerätevorbereitung sollte auf dem Proxyserver selbst konfiguriert werden. Die Implementierung von Proxyeinstellungen über Intune-Richtlinie wird nicht vollständig unterstützt, da dies probleme und unerwartetes Verhalten bei Bereitstellungen mit privilegiertem Zugriff verursachen kann.

Lizenzierung

Lizenzierungsanforderungen

Die Vorbereitung von Windows Autopilot-Geräten hängt von bestimmten Funktionen ab, die im Windows-Client und Microsoft Entra ID verfügbar sind. Außerdem ist ein MDM-Dienst (Mobile Device Management, Verwaltung mobiler Geräte) erforderlich, z. B. Microsoft Intune. Diese Funktionen können über verschiedene Editionen und Abonnementprogramme erworben werden.

Um die erforderlichen Microsoft Entra ID- und MDM-Funktionen bereitzustellen, einschließlich automatischer MDM-Registrierung und Unternehmensbrandingfeatures, ist eines der folgenden Abonnements erforderlich:

• Microsoft 365 Business Premium-Abonnement.
• Microsoft 365 F1- oder F3-Abonnement.
• Microsoft 365 Academic A1-, A3- oder A5-Abonnement.
• Microsoft 365 Enterprise E3- oder E5-Abonnement, das alle Windows-Client-, Microsoft 365- und EMS-Features (Microsoft Entra ID und Intune) umfasst.
• Enterprise Mobility + Security E3- oder E5-Abonnement, das alle erforderlichen Microsoft Entra ID und Intune Features enthält.
• Intune für Education-Abonnement, das alle erforderlichen Microsoft Entra ID und Intune Features enthält.
• Microsoft Entra ID P1 oder P2 und Microsoft Intune Abonnement oder einen alternativen MDM-Dienst.

Hinweis

Wenn ein Microsoft 365-Abonnement verwendet wird, müssen Benutzern weiterhin Lizenzen zugewiesen werden, damit sie das Gerät bei Intune registrieren können. Weitere Informationen finden Sie unter Zuweisen von Lizenzen zu Benutzern, damit sie Geräte in Intune registrieren können.

Darüber hinaus werden die folgenden Punkte ebenfalls empfohlen, aber nicht erforderlich:

• Microsoft 365 Apps for Enterprise: Microsoft 365 Applications for Enterprise kann problemlos über Intune oder einen anderen MDM-Dienst bereitgestellt werden.
• Aktivierung des Windows-Abonnements : Automatisches Hochfahren von Geräten von Windows Pro auf Windows Enterprise Edition.

Konfiguration

Konfigurationsanforderungen

Bevor die Windows Autopilot-Gerätevorbereitung verwendet werden kann, sind einige Konfigurationsaufgaben erforderlich, um die gängigen Autopilot-Szenarien zu unterstützen.

• Konfigurieren Sie Microsoft Entra automatische Registrierung. Weitere Informationen zu Microsoft Intune finden Sie unter Einrichten der automatischen Intune-Registrierung für Windows und Aktivieren der automatischen Windows-Registrierung. Wenn Sie einen anderen MDM-Dienst (Mobile Device Management, Verwaltung mobiler Geräte) verwenden, wenden Sie sich an den Anbieter, um die spezifischen URLs oder die Konfiguration zu erhalten, die für diese Dienste erforderlich sind.

• Der erste Benutzer, der sich anmeldet, muss über Microsoft Entra Joinberechtigungen verfügen. Weitere Informationen finden Sie unter Zulassen, dass Benutzer Geräte in Microsoft Entra ID einbinden können.

Die folgenden Konfigurationen sind optional, werden jedoch empfohlen. Sie sind nicht erforderlich:

• Automatisches Hochfahren von Windows Pro zu Windows Enterprise. Weitere Informationen finden Sie unter Aktivierung von Windows-Abonnements.

Es gibt keine zusätzlichen Hardwareanforderungen für die Verwendung von Autopilot, die über die Hardwareanforderungen für die Ausführung von Windows hinausgehen. Weitere Informationen finden Sie unter:

• Hier finden Sie Windows 11 Spezifikationen, Features und Computeranforderungen.
• Windows-Mindesthardwareanforderungen.
• Windows 11 Anforderungen.

RBAC

Erforderliche RBAC-Berechtigungen

Die folgenden Berechtigungen für die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) sind in einer Rolle in Intune erforderlich, damit ein Benutzer die Windows Autopilot-Gerätevorbereitung verwalten kann:

• Gerätekonfigurationen

  • Lesen
  • Löschen
  • Zuweisen
  • Erstellen
  • Aktualisieren

• Registrierungsprogramme

  • Zuweisung der Gerätemitgliedschaft zur Registrierungszeit

• Verwaltete Apps

  • Lesen

• Mobile Apps

  • Lesen

• Organisation

  • Lesen

So erstellen Sie eine benutzerdefinierte Rolle mit diesen Berechtigungen für die Windows Autopilot-Gerätevorbereitung:

1. Melden Sie sich beim Microsoft Intune Admin Center an.

2. Wählen Sie auf dem Startbildschirm im linken Bereich Mandantenverwaltung aus.

3. Im Mandantenadministrator | Mandanten status Bildschirm, wählen Sie Rollen aus.

4. In den Endpoint Manager-Rollen | Stellen Sie sicher, dass unter Verwaltendie Option Alle Rollen ausgewählt ist.

5. Wählen Sie das Dropdownmenü Erstellen und dann Intune Rolle aus. Der Bildschirm Benutzerdefinierte Rolle hinzufügen wird geöffnet.

6. Auf dem Bildschirm Benutzerdefinierte Rolle hinzufügen :

   1. Auf der Seite Grundlagen :

      1. Name : Geben Sie einen Namen für die benutzerdefinierte Rolle ein, z. B. Windows Autopilot-Gerätevorbereitungsadministrator.

      2. Beschreibung : Geben Sie eine Beschreibung für die benutzerdefinierte Rolle ein.

   2. Wählen Sie Weiter aus.

   3. Scrollen Sie auf der Seite Berechtigungen unter Wählen Sie unten eine Kategorie aus, um Einstellungen zu konfigurieren. Scrollen Sie durch die Liste, um die folgenden Einstellungen zu finden. Nachdem die Einstellung gefunden wurde, erweitern Sie sie, und ändern Sie dann zu den folgenden Berechtigungen:

      • Gerätekonfigurationen

        • Lesen: Ja
        • Löschen: Ja
        • Zuweisen: Ja
        • Erstellen: Ja
        • Update: Ja

        Berichte anzeigen kann auf dem Standardwert Nein belassen werden.

      • Registrierungsprogramme

        • Registrierungszeit: Zuweisung der Gerätemitgliedschaft: Ja

        Für alle anderen Berechtigungen kann der Standardwert Nein beibehalten werden.

      • Verwaltete Apps

        • Lesen: Ja

        Für alle anderen Berechtigungen kann der Standardwert Nein beibehalten werden.

      • Mobile Apps

        • Lesen: Ja

        Für alle anderen Berechtigungen kann der Standardwert Nein beibehalten werden.

      • Organisation

        • Lesen: Ja

        Für alle anderen Berechtigungen kann der Standardwert Nein beibehalten werden.

   4. Nachdem alle Berechtigungen ordnungsgemäß festgelegt wurden, wählen Sie Weiter aus.

   5. Wählen Sie auf der Seite Bereichstagsdie Option Weiter aus.

      Hinweis

      Bereichstags sind optional. Wenn ein benutzerdefiniertes Bereichstag angegeben werden muss, tun Sie dies auf dieser Seite. Weitere Informationen zu Bereichsmarkierungen finden Sie unter Use role-based access control and scope tags for distributed IT (Verwenden der rollenbasierten Zugriffssteuerung und von Bereichsmarkierungen für verteilte IT).

   6. Überprüfen Sie auf der Seite Überprüfen + erstellen , ob alle Berechtigungen korrekt sind, und wählen Sie dann Erstellen aus.

7. Die neue benutzerdefinierte Windows Autopilot-Gerätevorbereitungsrolle kann jetzt Benutzern zugewiesen werden, die die Windows Autopilot-Gerätevorbereitung verwalten.

Weitere Informationen finden Sie unter Rollenbasierte Zugriffssteuerung (RBAC) mit Microsoft Intune.