Windows Autopilot ist von verschiedenen internetbasierten Diensten abhängig. Der Zugriff auf diese Dienste muss bereitgestellt werden, damit Autopilot ordnungsgemäß funktioniert. Im einfachsten Fall kann die Aktivierung der richtigen Funktionalität erreicht werden, indem die folgenden Bedingungen sichergestellt werden:
- Stellen Sie die DNS-Namensauflösung (Domain Name Services) für Internet-DNS-Namen sicher.
- Lassen Sie den Zugriff auf alle Hosts über Port 80 (HTTP), 443 (HTTPS) und 123 (UDP/NTP) zu.
Möglicherweise ist eine zusätzliche Konfiguration erforderlich, um Zugriff auf erforderliche Dienste in Umgebungen zu gewähren, die:
- Haben Sie einen restriktiveren Internetzugriff.
- Anfordern einer Authentifizierung, bevor der Internetzugriff abgerufen werden kann.
Windows Autopilot basiert auf mehreren verschiedenen Arten von Diensten, um ordnungsgemäß zu funktionieren. Damit diese Dienste ordnungsgemäß funktionieren, müssen bestimmte Netzwerkkonfigurationen ausgeführt werden. Diese Dienste und ihre erforderlichen Netzwerkkonfigurationen sind wie folgt:
Windows Autopilot Deployment Service
Nachdem eine Netzwerkverbindung hergestellt wurde, kontaktiert jedes Windows-Gerät den Windows Autopilot Deployment-Dienst. Die folgenden URLs werden verwendet:
https://ztd.dds.microsoft.com
https://cs.dds.microsoft.com
https://login.live.com
Windows Autopilot erfordert Windows-Aktivierungsdienste. Weitere Informationen zu den URLs, auf die für die Aktivierungsdienste zugegriffen werden muss, finden Sie unter Windows-Aktivierung oder -Überprüfung schlägt mit Fehlercode 0x8004FE33 fehl.
Microsoft Entra ID überprüft die Benutzeranmeldeinformationen. Darüber hinaus wird das Gerät während Windows Autopilot in Microsoft Entra ID eingebunden oder registriert. Weitere Informationen finden Sie unter Office 365-IP-Adresse und -URL-Webdienst.
Nach der Authentifizierung löst Microsoft Entra ID die Registrierung des Geräts beim Intune Mdm-Dienst (Mobile Device Management) aus. Weitere Informationen zu den Netzwerkkommunikationsanforderungen von Intune finden Sie in den folgenden Artikeln:
Automatische Automatische Geräteerfassung Diagnose
Damit Diagnose erfolgreich vom Client hochladen können, stellen Sie sicher, dass die URL lgmsapeweu.blob.core.windows.net
nicht im Netzwerk blockiert ist. Diagnosen sind 28 Tage lang verfügbar, bevor sie entfernt werden.
Weitere Informationen finden Sie unter Sammeln von Diagnose von einem Windows-Gerät.
Während des OOBE-Prozesses (Out-of-Box Experience) und nach der Windows-Betriebssystemkonfiguration ruft der Windows Update-Dienst die erforderlichen Updates ab. Wenn Probleme beim Herstellen einer Verbindung mit Windows Update auftreten, lesen Sie Windows Update Problembehandlung.
Wenn auf Windows Update nicht zugegriffen werden kann, wird der Autopilot-Prozess weiterhin fortgesetzt, aber wichtige Updates sind nicht verfügbar.
Autopilot kontaktiert den Übermittlungsoptimierungsdienst beim Herunterladen der Anwendungen und Updates. Dieser Kontakt richtet die Peer-to-Peer-Freigabe von Inhalten ein, sodass nur wenige Geräte sie aus dem Internet herunterladen müssen.
- Windows Updates.
- Microsoft Store-Anwendungen und Anwendungsupdates.
- Office Updates.
- Intune Win32-Anwendungen.
Wenn auf den Übermittlungsoptimierungsdienst nicht zugegriffen werden kann, wird der Autopilot-Prozess weiterhin mit Übermittlungsoptimierungsdownloads aus der Cloud ohne Peer-to-Peer fortgesetzt.
NTP-Synchronisierung (Network Time Protocol)
Wenn ein Windows-Gerät gestartet wird, kommuniziert es mit einem Netzwerkzeitserver, um sicherzustellen, dass die Uhrzeit auf dem Gerät korrekt ist. Stellen Sie sicher, dass auf UDP-Port 123 zu time.windows.com
zugegriffen werden kann.
Domain Name Services (DNS)
Um Internetnamen für alle Dienste aufzulösen, kommuniziert das Gerät mit einem DNS-Server, der in der Regel über DHCP bereitgestellt wird. Dieser DNS-Server muss in der Lage sein, Internetnamen aufzulösen.
Die Diagnosedatensammlung ist standardmäßig aktiviert. Weitere Informationen finden Sie unter Verwalten von Unternehmensdiagnosedaten.
Wenn das Gerät keine Diagnosedaten senden kann, wird der Autopilot-Prozess weiterhin fortgesetzt. Dienste, die von Diagnosedaten abhängen, funktionieren jedoch nicht.
Netzwerkverbindungsstatusanzeige (NCSI)
Windows muss erkennen können, dass das Gerät auf das Internet zugreifen kann. Weitere Informationen finden Sie unter Netzwerkverbindungsstatusanzeige (NCSI).
*.msftconnecttest.com
muss über DNS aufgelöst werden können und über HTTP zugänglich sein.
Windows-Benachrichtigungsdienste (WNS)
Dieser Dienst wird verwendet, um Windows das Empfangen von Benachrichtigungen von Anwendungen und Diensten zu ermöglichen. Weitere Informationen finden Sie unter Microsoft Store.
Wenn die WNS-Dienste nicht verfügbar sind, wird der Autopilot-Prozess weiterhin ohne Benachrichtigungen fortgesetzt.
Anwendungen im Microsoft Store können per Push auf das Gerät übertragen werden, indem sie über Intune oder einen anderen MDM-Dienst ausgelöst werden. App-Updates und zusätzliche Anwendungen sind möglicherweise auch erforderlich, wenn sich der Benutzer zum ersten Mal anmeldet. Weitere Informationen finden Sie unter Update auf Intune Integration mit dem Microsoft Store unter Windows und häufig gestellte Fragen: Unterstützen von Microsoft Store-Umgebungen auf verwalteten Geräten.
Wenn auf den Microsoft Store nicht zugegriffen werden kann, wird der Autopilot-Prozess weiterhin ohne Microsoft Store-Apps fortgesetzt.
Im Rahmen der Intune Gerätekonfiguration ist möglicherweise die Installation von Microsoft 365 Applications for Enterprise erforderlich. Eine Liste, die alle Office-Dienste, DNS-Namen, IP-Adressen einschließlich Microsoft Entra ID und andere Dienste enthält, die sich möglicherweise mit den zuvor aufgeführten Diensten überschneiden, finden Sie unter Office 365 URLs und IP-Adressbereiche.
Zertifikatsperrlisten (CRLs)
Einige dieser Dienste müssen auch Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) auf Zertifikate überprüfen, die in den Diensten verwendet werden. Eine vollständige Liste finden Sie unter Office 365 URLs und IP-Adressbereiche und Office 365 Zertifikatketten.
Hybride Einbindung in Microsoft Entra
Das Gerät kann Microsoft Entra hybrid eingebunden werden. Der Computer sollte sich im internen Netzwerk befinden, damit Microsoft Entra Hybridjoin funktioniert. Weitere Informationen finden Sie unter Benutzergesteuerter Windows Autopilot-Modus.
Autopilot-Selbstbereitstellungsmodus und Autopilot-Vorabbereitstellung
Der TPM-Nachweisprozess erfordert Zugriff auf einen Satz von HTTPS-URLs, die für jeden TPM-Anbieter eindeutig sind. Stellen Sie den Zugriff auf dieses URL-Muster sicher: *.microsoftaik.azure.net
.
Firmware-TPM-Geräte, die nur von Intel, AMD oder Qualcomm bereitgestellt werden, enthalten nicht alle erforderlichen Zertifikate zum Startzeitpunkt und müssen sie bei der ersten Verwendung vom Hersteller abrufen können. Auf Geräten mit diskreten TPM-Chips sind diese Zertifikate vorinstalliert. Zu diesen Geräten gehören Geräte von jedem anderen Hersteller. Weitere Informationen finden Sie unter TPM-Empfehlungen.
Stellen Sie für jeden Firmware-TPM-Anbieter sicher, dass auf die entsprechende URL zugegriffen werden kann, damit Zertifikate erfolgreich angefordert werden können. Zum Beispiel:
- Intel:
https://ekop.intel.com/ekcertservice
- Qualcomm:
https://ekcert.spserv.microsoft.com/EKCertificate/GetEKCertificate/v1
- AMD:
https://ftpm.amd.com/pki/aia
Die Bereitstellung von Proxyeinstellungen für Windows Autopilot sollte auf dem Proxyserver selbst konfiguriert werden. Die Implementierung von Proxyeinstellungen über Intune-Richtlinie wird nicht vollständig unterstützt, da dies probleme und unerwartetes Verhalten bei Bereitstellungen mit privilegiertem Zugriff verursachen kann.