Vorabbereitstellung der Microsoft Entra-Hybrideinbindung: Benutzerflow

• Gilt für::

  ✅ Windows 11, ✅ Windows 10

Windows Autopilot für vorab bereitgestellte Microsoft Entra Hybrid Join-Schritte:

• Schritt 1: Einrichten der automatischen Windows-Intune-Registrierung
• Schritt 2: Installieren des Intune-Connectors (OU)
• Schritt 3: Erhöhen des Grenzwerts für Computerkonten in der Organisationseinheit
• Schritt 4: Registrieren von Geräten als Autopilot-Geräte
• Schritt 5: Erstellen einer Gerätegruppe
• Schritt 6: Konfigurieren und Zuweisen der Autopilot-Registrierungsstatusseite (ESP)
• Schritt 7: Erstellen und Zuweisen eines Autopilot-Profils für die Hybrideinbindung von Microsoft Entra
• Schritt 8: Konfigurieren und Zuweisen eines Domänenbeitrittsprofils
• Schritt 9: Zuweisen eines Autopilot-Geräts zu einem Benutzer (optional)
• Schritt 10: Technikerflow

• Schritt 11: Benutzerflow

Eine Übersicht über den Microsoft Entra Hybrid Join-Workflow von Windows Autopilot für die vorab bereitgestellte Bereitstellung finden Sie unter Übersicht über Windows Autopilot für vorab bereitgestellte Bereitstellungen in Microsoft Entra Hybrid Join.

Benutzerflow

Wichtig

Der Benutzerflowteil des Microsoft Entra-Hybrideinbindungsprozesses erfordert eine Verbindung mit dem Internet und einem Domänencontroller. Wenn das verbundene Netzwerk nicht mit einem Domänencontroller verbunden ist, ist eine Lösung wie ein VPN mit Konnektivität mit einem Domänencontroller erforderlich.

Sobald der Schritt des Technikerflows des Vorbereitstellungsprozesses erfolgreich abgeschlossen wurde und das Gerät erneut gesiegelt wurde, kann das Gerät an den Endbenutzer übermittelt werden. Der Endbenutzer schließt dann den normalen benutzergesteuerten Windows Autopilot-Prozess ab. Dieser letzte Schritt ist als Benutzerflow bekannt und umfasst die folgenden Schritte:

1. Wenn eine kabelgebundene Netzwerkverbindung verfügbar ist, verbinden Sie das Gerät mit der kabelgebundenen Netzwerkverbindung.

2. Schalten Sie das Gerät ein.

3. Sobald das Gerät gestartet wird, tritt je nach Zustand der Netzwerkkonnektivität eine von zwei Dingen auf:

   • Wenn das Gerät mit einem kabelgebundenen Netzwerk verbunden ist und über Netzwerkkonnektivität verfügt, kann das Gerät neu gestartet werden, um kritische Sicherheitsupdates anzuwenden (sofern verfügbar oder zutreffend). Nach dem Neustart zum Anwenden kritischer Sicherheitsupdates beginnt der Autopilot-Prozess.

   • Wenn das Gerät nicht mit einem kabelgebundenen Netzwerk verbunden ist oder keine Netzwerkkonnektivität aufweist, wird es aufgefordert, eine Verbindung mit einem Netzwerk herzustellen. Konnektivität mit dem Internet ist erforderlich:

     1. Die Out-of-Box-Erfahrung (OOBE) beginnt, und ein Bildschirm mit der Frage nach einem Land oder einer Region wird angezeigt. Wählen Sie das entsprechende Land oder die entsprechende Region und dann Ja aus.

     2. Der Tastaturbildschirm wird angezeigt, um ein Tastaturlayout auszuwählen. Wählen Sie das entsprechende Tastaturlayout und dann Ja aus.

     3. Ein zusätzlicher Bildschirm für Tastaturlayouts wird angezeigt. Wählen Sie bei Bedarf über Layout hinzufügen zusätzliche Tastaturlayouts aus, oder wählen Sie Überspringen aus, wenn keine zusätzlichen Tastaturlayouts erforderlich sind.

        Hinweis

        Wenn keine Netzwerkkonnektivität vorhanden ist, kann das Gerät das Autopilot-Profil nicht herunterladen, um zu wissen, welches Land/welche Region und welche Tastatureinstellungen verwendet werden sollen. Aus diesem Grund werden das Land/die Region und die Tastaturbildschirme angezeigt, wenn keine Netzwerkverbindung besteht, auch wenn diese Bildschirme im Autopilot-Profil auf ausgeblendet festgelegt sind. Diese Einstellungen müssen auf diesen Bildschirmen angegeben werden, damit die folgenden Netzwerkverbindungsbildschirme ordnungsgemäß funktionieren.

     4. Der Bildschirm Let's connect you to a network (Verbinden Sie sie mit einem Netzwerk ) wird angezeigt. Schließen Sie auf diesem Bildschirm entweder das Gerät an ein kabelgebundenes Netzwerk an (falls verfügbar), oder wählen Sie ein drahtloses Wi-Fi Netzwerk aus, und stellen Sie eine Verbindung mit diesem Netzwerk her.

     5. Sobald die Netzwerkkonnektivität hergestellt wurde, sollte die Schaltfläche Weiter verfügbar sein. Wählen Sie Weiter aus.

     6. An diesem Punkt kann das Gerät neu gestartet werden, um kritische Sicherheitsupdates anzuwenden (sofern verfügbar oder zutreffend). Nach dem Neustart zum Anwenden kritischer Sicherheitsupdates beginnt der Autopilot-Prozess.

4. Sobald der Autopilot-Prozess beginnt, wird die Registrierungsstatusseite (ESP) angezeigt. Die ESP zeigt den Fortschritt während des Bereitstellungsprozesses über drei Phasen hinweg an:

   • Gerätevorbereitung (Geräte-ESP)
   • Geräteeinrichtung (Geräte-ESP)
   • Kontoeinrichtung (Benutzer-ESP)

   Die ersten beiden Phasen der Gerätevorbereitung und Geräteeinrichtung sind Teil der Geräte-ESP, während die letzte Phase der Kontoeinrichtung Teil der Benutzer-ESP ist.

   Für den Benutzerflow von Windows Autopilot für die vorab bereitgestellte Bereitstellung werden die Geräteeinrichtungsphase der Geräte-ESP und die Kontoeinrichtungsphase der Benutzer-ESP ausgeführt. Die Gerätevorbereitungsphase der Geräte-ESP wird während des Benutzerflows nicht ausgeführt, da sie bereits während des Technikerflows ausgeführt und abgeschlossen wurde. Die Geräteeinrichtungsphase der Geräte-ESP wird während des Benutzerflows erneut ausgeführt, falls neue oder zusätzliche Richtlinien oder Anwendungen, die dem Gerät zugewiesen sind, während des Zeitraums verfügbar wurden, in dem der Technikerflow ausgeführt wurde, und wenn der Benutzerflow ausgeführt wird, nachdem das Gerät an den Endbenutzer übermittelt wurde.

5. Sobald die Geräteeinrichtungsphase der Geräte-ESP abgeschlossen ist, beginnt die Benutzer-ESP, und die Phase "Benutzereinrichtung" beginnt. Die ESP wird vorübergehend geschlossen, und der Windows-Anmeldebildschirm wird angezeigt:

   1. Geben Sie die Tastenkombination STRG + ALT + DEL ein, um die Windows-Anmeldung zu initiieren.

   2. Geben Sie die Anmeldeinformationen für die lokale Domäne für den Endbenutzer ein.

      Wenn sich die Endbenutzeranmeldeinformationen der lokalen Domäne von den Microsoft Entra-Endbenutzeranmeldeinformationen unterscheiden, stellen Sie sicher, dass die Anmeldeinformationen des Endbenutzers der lokalen Domäne bei diesem Schritt für die Anmeldung beim Gerät verwendet werden. Verwenden Sie nicht die Microsoft Entra-Endbenutzeranmeldeinformationen, um zu versuchen, sich in diesem Schritt beim Gerät anzumelden.

   3. Drücken Sie auf der Tastatur die EINGABETASTE , um den Endbenutzer beim Gerät zu signieren.

6. Die Registrierungsstatusseite (ESP) wird erneut angezeigt, und die Kontoeinrichtungsphase der Benutzer-ESP wird fortgesetzt.

   1. Nach kurzer Zeit wird möglicherweise die Microsoft Entra-Anmeldeseite angezeigt. Melden Sie sich mit den Microsoft Entra-Anmeldeinformationen des Endbenutzers an.

      Wenn sich die Anmeldeinformationen des Endbenutzers für die lokale Domäne von den Microsoft Entra-Endbenutzeranmeldeinformationen unterscheiden, stellen Sie sicher, dass microsoft Entra-Endbenutzeranmeldeinformationen für die Anmeldung in diesem Schritt verwendet werden. Verwenden Sie keine lokalen Anmeldeinformationen, um sich bei diesem Schritt anzumelden.

   2. Nachdem die Anmeldeinformationen eingegeben wurden, wählen Sie Weiter aus.

   3. Der Bildschirm Bei allen Apps angemeldet bleiben wird angezeigt. Stellen Sie sicher, dass die Option Meiner Organisation die Verwaltung meines Geräts gestatten aktiviert ist, und wählen Sie dann OK aus.

   4. Der Bildschirm You're all set! wird angezeigt. Wählen Sie Fertig aus.

      Hinweis

      Unter bestimmten Umständen wird die Microsoft Entra-Anmeldeseite möglicherweise nicht angezeigt, und der Endbenutzer wird möglicherweise automatisch bei Microsoft Entra ID angemeldet. Beispielsweise, wenn Sie Active Directory-Verbunddienste (AD FS) und einmaliges Anmelden (Single Sign-On, SSO) verwenden. Wenn der Endbenutzer automatisch bei Microsoft Entra ID angemeldet wird, wird die Autopilot-Bereitstellung automatisch mit dem nächsten Schritt fortgesetzt.

7. Sobald die Kontoeinrichtung und der Benutzer-ESP-Prozess abgeschlossen sind, wird der Bereitstellungsprozess abgeschlossen, und die ESP ist abgeschlossen. Wählen Sie die Schaltfläche Abmelden aus, um die ESP zu schließen und zum Windows-Anmeldebildschirm zu wechseln. An diesem Punkt kann sich der Endbenutzer mit den Anmeldeinformationen des Endbenutzers der lokalen Domäne beim Gerät anmelden und mit der Verwendung des Geräts beginnen.

Tipps zum Benutzerflow

• Je nachdem, wie das Autopilot-Profil im Schritt Erstellen und Zuweisen des Autopilot-Profils konfiguriert wurde, können während der Autopilot-Bereitstellung zusätzliche Bildschirme angezeigt werden, z. B.:
  
  
  • Sprache/Land/Regions- oder Tastaturbildschirme vor der Microsoft Entra-Anmeldeseite.
  • Datenschutzbildschirm , wenn die Einrichtung des Esp/Kontos des Benutzers beginnt, aber bevor der Windows-Anmeldebildschirm angezeigt wird.

• Wenn das Gerät während der Kontoeinrichtungsphase der ESP ohne Interaktion in Ruhe gelassen wird, kann das Gerät in den Windows-Sperrbildschirm wechseln. Wenn das Gerät während der Kontoeinrichtung der ESP in den Windows-Sperrbildschirm wechselt, entsperren Sie das Gerät, indem Sie die Tastenkombination STRG + ALT + DEL eingeben, die Anmeldeinformationen für die lokale Domäne für den Endbenutzer eingeben und dann die EINGABETASTE auf der Tastatur drücken. Wenn Sie das Gerät entsperren, sollten Sie zur Registrierungsstatusseite (ESP) zurückkehren und den aktuellen Status der Kontoeinrichtung anzeigen.

• So zeigen Sie während des Bereitstellungsprozesses detaillierte Statusinformationen im ESP an und blenden sie aus:
  
  
  • Windows 10: Um Details anzuzeigen, wählen Sie neben der entsprechenden Phase Details anzeigen aus. Um die Details auszublenden, wählen Sie neben der entsprechenden Phase Details ausblenden aus.
  • Windows 11: Um Details anzuzeigen, wählen Sie neben der entsprechenden Phase ∨ aus. Um die Details auszublenden, wählen Sie neben der entsprechenden Phase ∧ aus.

• Damit Token zwischen dem Technikerflow und dem Benutzerflow ordnungsgemäß aktualisiert werden, warten Sie mindestens 90 Minuten nach dem Ausführen des Technikerflows, bevor Sie den Benutzerflow ausführen. Dieses Szenario wirkt sich hauptsächlich auf Lab- und Testszenarien wie dieses Tutorial aus, wenn der Benutzerflow innerhalb von 90 Minuten nach Abschluss des Technikerflows ausgeführt wird.

• Der Benutzerflow sollte innerhalb von sechs Monaten nach Abschluss des Technikerflows ausgeführt werden. Das Warten von mehr als sechs Monaten kann dazu führen, dass die von der Intune-Verwaltungs-Engine (IME) verwendeten Zertifikate nicht mehr gültig sind, was zu Fehlern wie den folgenden führt:

  Error code: [Win32App][DetectionActionHandler] Detection for policy with id: <policy_id> resulted in action status: Failed and detection state: NotComputed.

• Compliance in Microsoft Entra ID wird während des Benutzerflows zurückgesetzt. Geräte werden möglicherweise in microsoft Entra ID als konform angezeigt, nachdem der Technikerflow abgeschlossen ist, aber dann als nicht konform angezeigt, sobald der Benutzerflow gestartet wird. Planen Sie nach Abschluss des Benutzerflows genügend Zeit ein, um die Konformität neu zu bewerten und zu aktualisieren.

Verwandte Inhalte

Weitere Informationen zum Benutzerflow eines Windows Autopilot für die vorab bereitgestellte Bereitstellung finden Sie in den folgenden Artikeln:

• Benutzerflow.