Windows Autopilot-Gerätevorbereitung im automatischen Modus für Windows 365 (Vorschau): Erstellen einer zugewiesenen Gerätegruppe

Windows Autopilot-Gerätevorbereitung im automatischen Modus für Windows 365 Schritte:

• Schritt 1: Einrichten der automatischen windows-Intune-Registrierung

• Schritt 2: Erstellen einer zugewiesenen Gerätegruppe

• Schritt 3: Zuweisen von Anwendungen und PowerShell-Skripts zur Gerätegruppe
• Schritt 4: Erstellen einer Windows Autopilot-Gerätevorbereitungsrichtlinie
• Schritt 5: Erstellen einer Cloud-PC-Bereitstellungsrichtlinie
• Schritt 6: Überwachen der Bereitstellung

Eine Übersicht über die Windows Autopilot-Gerätevorbereitung im automatischen Modus für Windows 365 Workflow finden Sie unter Windows Autopilot-Gerätevorbereitung im automatischen Modus für Windows 365 Übersicht.

Hinweis

Die in diesem Schritt erstellte Gerätegruppe ist spezifisch für die Vorbereitung von Windows Autopilot-Geräten. Microsoft empfiehlt, eine Gerätegruppe speziell für die Windows Autopilot-Gerätevorbereitung zu erstellen, anstatt vorhandene Gerätegruppen wiederzuverwenden, die in anderen Windows Autopilot-Szenarien verwendet werden.

Erstellen einer zugewiesenen Gerätegruppe

Gerätegruppen sind eine Sammlung von Geräten oder Cloud-PCs, die in einer Microsoft Entra Gruppe organisiert sind. Normalerweise können Gerätegruppen entweder zugewiesen oder dynamisch sein:

• Zugewiesene Gruppen : Geräte oder Cloud-PCs werden der Gruppe manuell hinzugefügt und sind statisch. Für die Windows Autopilot-Gerätevorbereitung werden nur zugewiesene Gruppen verwendet.
• Dynamische Gruppen : Geräte oder Cloud-PCs werden der Gruppe automatisch basierend auf Regeln hinzugefügt. Die Windows Autopilot-Gerätevorbereitung verwendet keine dynamischen Gruppen.

Die Windows Autopilot-Gerätevorbereitung verwendet eine zugewiesene Gerätegruppe als Teil der Windows Autopilot-Gerätevorbereitungsrichtlinie. Die in der Windows Autopilot-Gerätevorbereitungsrichtlinie angegebene Gerätegruppe muss eine zugewiesene Gerätegruppe sein. Der Windows Autopilot-Gerätevorbereitungsprozess fügt dieser zugewiesenen Gerätegruppe während der Bereitstellung der Windows Autopilot-Gerätevorbereitung automatisch Geräte oder Cloud-PCs hinzu.

Wichtig

Die in der Windows Autopilot-Gerätevorbereitungsrichtlinie angegebene Gerätegruppe muss eine zugewiesene Sicherheitsgerätegruppe sein.

Tipp

Obwohl dieselbe zugewiesene Gerätegruppe für mehrere Windows Autopilot-Gerätevorbereitungsrichtlinien verwendet werden kann, empfiehlt Microsoft, für jede Windows Autopilot-Gerätevorbereitungsrichtlinie eine separate zugewiesene Gerätegruppe zu erstellen. Beispielsweise eine andere zugewiesene Gerätegruppe für ein benutzergesteuertes Szenario im Vergleich zu einem automatischen Szenario. Das Erstellen einer separaten zugewiesenen Gerätegruppe ermöglicht eine einfachere Verwaltung der Windows Autopilot-Gerätevorbereitungsrichtlinien und der Ihnen zugewiesenen Geräte oder Cloud-PCs.

Führen Sie die folgenden Schritte aus, um eine zugewiesene Sicherheitsgerätegruppe für die Windows Autopilot-Gerätevorbereitung zu erstellen:

1. Melden Sie sich beim Microsoft Intune Admin Center an.

2. Wählen Sie auf dem Startbildschirm im linken Bereich Gruppen aus.

3. In den Gruppen | Stellen Sie auf dem Bildschirm Alle Gruppen sicher, dass Alle Gruppen ausgewählt ist, und wählen Sie dann Neue Gruppe aus.

4. Auf dem Bildschirm Neue Gruppe , der geöffnet wird:

   1. Wählen Sie unter Gruppentyp die Option Sicherheit aus.

   2. Geben Sie unter Gruppenname einen Namen für die Gerätegruppe ein, z. B. Windows Autopilot-Gerätevorbereitungsgerätegruppe.

   3. Geben Sie unter Gruppenbeschreibung eine Beschreibung für die Gerätegruppe ein.

   4. Wählen Sie für Microsoft Entra Rollen der Gruppe zugewiesen werden können, Nein aus.

   5. Wählen Sie unter Mitgliedschaftstypdie Option Zugewiesen aus.

   6. Wählen Sie unter Besitzer den Link Keine Besitzer ausgewählt aus .

   7. Auf dem Bildschirm Besitzer hinzufügen , der geöffnet wird:

      1. Scrollen Sie durch die Liste der Objekte, und wählen Sie den Dienstprinzipal Intune Bereitstellungsclient mit der AppId f1346770-5b25-470b-88bd-d5744ab7952c aus. Verwenden Sie alternativ die Suchleiste, um nach Intune Bereitstellungsclient zu suchen und auszuwählen.

         Hinweis

         • In einigen Mandanten hat der Dienstprinzipal möglicherweise den Namen Intune Autopilot ConfidentialClient anstelle von Intune Provisioning Client. Solange die AppID des Dienstprinzipals f1346770-5b25-470b-88bd-d5744ab7952c ist, ist dies der richtige Dienstprinzipal.

         • Wenn der Intune Provisioning Client oder Intune Autopilot ConfidentialClient-Dienstprinzipal mit der AppId f1346770-5b25-470b-88bd-d5744ab7952c weder in der Liste der Objekte noch bei der Suche verfügbar ist, finden Sie weitere Informationen unter Hinzufügen des Dienstprinzipals für den Intune Provisioning Client.

      2. Nachdem Intune Bereitstellungsclient als Besitzer ausgewählt wurde, wählen Sie Auswählen aus.

   8. Wählen Sie Erstellen aus, um die Erstellung der zugewiesenen Gerätegruppe abzuschließen.

   Wichtig

   Geräte werden dieser Gerätegruppe während der Bereitstellung der Windows Autopilot-Gerätevorbereitung automatisch hinzugefügt. Das manuelle Hinzufügen von Geräten als Mitglieder der in diesem Schritt erstellten Gerätegruppe ist nicht erforderlich, hat jedoch keine Auswirkungen auf den Vorbereitungsprozess für Windows Autopilot-Geräte.

Hinzufügen des Intune Provisioning Client-Dienstprinzipals

Wenn der Intune Bereitstellungsclient-Dienstprinzipal mit appId f1346770-5b25-470b-88bd-d5744ab7952c beim Auswählen des Besitzers der Gerätegruppe nicht verfügbar ist, führen Sie die folgenden Schritte aus, um den Dienstprinzipal hinzuzufügen:

1. Öffnen Sie auf einem Gerät, auf dem Microsoft Intune oder Microsoft Entra ID normalerweise verwaltet wird, eine ein Windows PowerShell Eingabeaufforderung mit erhöhten Rechten.

2. Im Windows PowerShell Eingabeaufforderungsfenster:

   1. Installieren Sie das Microsoft.Graph.Authentication-Modul , indem Sie den folgenden Befehl eingeben:

      Install-Module Microsoft.Graph.Authentication
      

      Wenn Sie dazu aufgefordert werden:

      • Stimmen Sie der Installation von NuGet zu, indem Sie Y oder Ja eingeben oder die Schaltfläche Ja auswählen.
      • Stimmen Sie der Installation aus dem nicht vertrauenswürdigen PSGallery-Repository zu, indem Sie Y oder Ja eingeben oder die Schaltfläche Ja auswählen.

      Weitere Informationen finden Sie unter Microsoft.Graph.Authentication und Set-PSRepository -InstallationPolicy.

   2. Installieren Sie das Microsoft.Graph.Applications-Modul , indem Sie den folgenden Befehl eingeben:

      Install-Module Microsoft.Graph.Applications
      

      Wenn Sie dazu aufgefordert werden, stimmen Sie der Installation aus dem nicht vertrauenswürdigen PSGallery-Repository zu, indem Sie Y oder Ja eingeben oder die Schaltfläche Ja auswählen.

      Weitere Informationen finden Sie unter Microsoft.Graph.Applications und Set-PSRepository -InstallationPolicy.

   3. Nachdem die Module Microsoft.Graph.Authentication und Microsoft.Graph.Applications installiert sind, stellen Sie eine Verbindung mit Microsoft Entra ID her, indem Sie den folgenden Befehl eingeben:

      Connect-MgGraph -Scopes "Application.ReadWrite.All"
      

      Weitere Informationen finden Sie unter Connect-MgGraph.

   4. Wenn sie noch nicht bei Microsoft Entra ID authentifiziert sind, wird das Fenster Bei Ihrem Konto anmelden angezeigt. Geben Sie die Anmeldeinformationen eines Microsoft Entra ID Administrators ein, der über Berechtigungen zum Hinzufügen von Dienstprinzipalen verfügt.

   5. Wenn das Fenster Angeforderte Berechtigungen angezeigt wird, aktivieren Sie das Kontrollkästchen Zustimmung im Namen Ihres organization, und wählen Sie dann die Schaltfläche Akzeptieren aus.

   6. Nachdem die Authentifizierung bei Microsoft Entra ID erfolgt ist und die entsprechenden Berechtigungen erteilt wurden, fügen Sie den Intune Bereitstellungsclient-Dienstprinzipal hinzu, indem Sie den folgenden Befehl eingeben:

      New-MgServicePrincipal -AppID f1346770-5b25-470b-88bd-d5744ab7952c
      

      Weitere Informationen finden Sie unter New-MgServicePrincipal -BodyParameter.

      Hinweis

      • Die folgende Fehlermeldung wird angezeigt, wenn der Intune Bereitstellungsclient-Dienstprinzipal bereits im Mandanten vorhanden ist:

        New-MgServicePrincipal : The service principal cannot be created, updated, or restored because the service principal name
        f1346770-5b25-470b-88bd-d5744ab7952c is already in use.
        Status: 409 (Conflict)
        ErrorCode: Request_MultipleObjectsWithSameKeyValue
        

      • Die folgende Fehlermeldung wird angezeigt, wenn eine der folgenden Bedingungen zutrifft:

        • Das Konto, das für die Anmeldung mit dem Connect-MgGraph Befehl verwendet wird, verfügt nicht über die Berechtigungen zum Hinzufügen eines Dienstprinzipals zum Mandanten.
        • Das -Scopes "Application.ReadWrite.All" Argument wird dem Connect-MgGraph Befehl nicht hinzugefügt.
        • Das Fenster "Angeforderte Berechtigungen" wird nicht akzeptiert.
        • Das Kontrollkästchen Zustimmung im Namen Ihrer organization ist im Fenster Angeforderte Berechtigungen nicht aktiviert.

        New-MgServicePrincipal : Insufficient privileges to complete the operation.
        Status: 403 (Forbidden)
        ErrorCode: Authorization_RequestDenied
        

Nächster Schritt: Zuweisen von Anwendungen und PowerShell-Skripts zur Gerätegruppe

Schritt 3: Zuweisen von Anwendungen und PowerShell-Skripts zur Gerätegruppe

Verwandte Inhalte

Weitere Informationen zum Erstellen von Gruppen in Intune finden Sie in den folgenden Artikeln:

• Erstellen sie Gerätegruppen.
• Fügen Sie Gruppen hinzu, um Benutzer und Geräte zu organisieren.
• Verwalten von Microsoft Entra Gruppen und Gruppenmitgliedschaften.
• Dynamische Mitgliedschaftsregeln für Gruppen in Microsoft Entra ID.