Benutzergesteuerter Windows Autopilot-Modus

Im benutzergesteuerten Windows Autopilot-Modus kann ein neues Windows-Gerät so konfiguriert werden, dass es automatisch aus dem Werkszustand in den betriebsbereiten Zustand transformiert wird. Für diesen Prozess ist es nicht erforderlich, dass IT-Mitarbeiter das Gerät berühren.

Der Vorgang ist einfach. Geräte können mit den folgenden Anweisungen direkt an den Endbenutzer ausgeliefert oder verteilt werden:

1. Packen Sie das Gerät aus, schließen Sie es an, und schalten Sie es ein.
2. Wenn mehrere Sprachen verwendet werden, wählen Sie eine Sprache, ein Gebietsschema und eine Tastatur aus.
3. Stellen Sie die Verbindung zu einem drahtlosen oder verdrahteten Netzwerk mit Internetzugang her. Wenn Sie drahtlos verwenden, stellen Sie zunächst eine Verbindung mit dem WLAN her.
4. Geben Sie ein E-Mail-Adresskonto und ein Kennwort für die organization an.

Der Rest des Prozesses ist automatisiert. Das Gerät führt die folgenden Schritte aus:

1. Treten Sie der Organisation bei.
2. Registrieren Sie sich bei Microsoft Intune oder einem anderen Mdm-Dienst (Mobile Device Management).
3. Wie von der Organisation vorgegeben konfigurieren lassen.

Andere Eingabeaufforderungen können während der Out-of-Box-Erfahrung (OOBE) unterdrückt werden. Weitere Informationen zu den verfügbaren Optionen finden Sie unter Konfigurieren von Windows Autopilot-Profilen.

Wichtig

Wenn Active Directory-Verbunddienste (AD FS) (AD FS) verwendet wird, liegt ein bekanntes Problem vor, das es dem Endbenutzer ermöglichen kann, sich mit einem anderen Konto als dem konto anzumelden, das diesem Gerät zugewiesen ist.

Der benutzergesteuerte Windows Autopilot-Modus unterstützt Microsoft Entra Join- und Microsoft Entra hybrid eingebundenen Geräten. Weitere Informationen zu diesen beiden Verknüpfungsoptionen finden Sie in den folgenden Artikeln:

• Was ist eine Geräteidentität?.
• Erfahren Sie mehr über cloudnative Endpunkte.
• Microsoft Entra im Vergleich zu Microsoft Entra hybrid eingebundenen cloudnativen Endpunkten.
• Tutorial: Einrichten und Konfigurieren eines cloudnativen Windows-Endpunkts mit Microsoft Intune.
• Vorgehensweise: Planen Der Implementierung von Microsoft Entra Join.
• Ein Framework für die Transformation der Windows-Endpunktverwaltung.
• Erfolg mit Remote-Windows Autopilot und Microsoft Entra Hybrideinbindung.

Die Schritte des benutzergesteuerten Prozesses sind wie folgt:

1. Nachdem das Gerät eine Verbindung mit einem Netzwerk hergestellt hat, lädt das Gerät ein Windows Autopilot-Profil herunter. Das Profil definiert die für das Gerät verwendeten Einstellungen. Definieren Sie beispielsweise die Eingabeaufforderungen, die während der OOBE unterdrückt werden.

2. Windows sucht nach kritischen OOBE-Updates. Wenn Updates verfügbar sind, werden sie automatisch installiert. Gegebenenfalls startet das Gerät neu.

3. Der Benutzer wird zur Eingabe Microsoft Entra Anmeldeinformationen aufgefordert. Diese angepasste Benutzeroberfläche zeigt den Microsoft Entra Mandantennamen, das Logo und den Anmeldetext an.

4. Das Gerät wird abhängig von den Windows Autopilot-Profileinstellungen Microsoft Entra ID oder Active Directory eingebunden.

5. Das Gerät wird bei Intune oder einem anderen konfigurierten MDM-Dienst registriert. Abhängig von den Anforderungen der Organisation erfolgt diese Registrierung entweder:

   • Während des Microsoft Entra Joinprozesses mithilfe der automatischen MDM-Registrierung.

   • Vor dem Active Directory-Verknüpfungsprozess.

6. Falls konfiguriert, wird die Registrierungsseite status (ESP) angezeigt.

7. Nach Abschluss der Gerätekonfigurationsaufgaben wird der Benutzer mit den zuvor bereitgestellten Anmeldeinformationen bei Windows angemeldet. Wenn das Gerät während des Geräte-ESP-Prozesses neu gestartet wird, muss der Benutzer seine Anmeldeinformationen erneut eingeben. Diese Details bleiben nach dem Neustart nicht bestehen.

8. Nach der Anmeldung wird die Registrierungsstatusseite für benutzerspezifische Konfigurationsaufgaben angezeigt.

Wenn während dieses Vorgangs Probleme gefunden werden, finden Sie weitere Informationen unter Problembehandlung für Windows Autopilot – Übersicht.

Weitere Informationen zu den verfügbaren Verknüpfungsoptionen finden Sie in den folgenden Abschnitten:

• Microsoft Entra Join ist verfügbar, wenn Geräte keiner lokales Active Directory Domäne beitreten müssen.
• Microsoft Entra Hybrideinbindung ist für Geräte verfügbar, die sowohl Microsoft Entra ID als auch der lokales Active Directory Domäne beitreten müssen.

Benutzergesteuerter Modus für Microsoft Entra Join

Führen Sie die folgenden Vorbereitungsschritte aus, um eine benutzergesteuerte Bereitstellung mit Windows Autopilot abzuschließen:

1. Stellen Sie sicher, dass die Benutzer, die Bereitstellungen im benutzergesteuerten Modus durchführen, Geräte in Microsoft Entra ID einbinden können. Weitere Informationen finden Sie unter Konfigurieren von Geräteeinstellungen in der Microsoft Entra Dokumentation.

2. Erstellen Sie ein Windows Autopilot-Profil für den benutzergesteuerten Modus mit den gewünschten Einstellungen.

   • In Intune wird dieser Modus explizit ausgewählt, wenn ein Profil erstellt wird.

   • In Microsoft Store für Unternehmen und Partner Center ist der benutzergesteuerte Modus die Standardeinstellung.

3. Wenn Sie Intune verwenden, erstellen Sie eine Gerätegruppe in Microsoft Entra ID, und weisen Sie dieser Gruppe das Windows Autopilot-Profil zu.

Für jedes Gerät, das mithilfe einer benutzergesteuerten Bereitstellung bereitgestellt wird, sind die folgenden zusätzlichen Schritte erforderlich:

• Fügen Sie das Gerät zu Windows Autopilot hinzu. Dieser Schritt kann auf zwei Arten ausgeführt werden:

  • Automatisch von einem OEM oder Partner, wenn das Gerät gekauft wird.

  • Manuell wie unter Manuelles Registrieren von Geräten mit Windows Autopilot beschrieben.

• Weisen Sie dem Gerät ein Windows Autopilot-Profil zu:

  • Bei Verwendung von Intune und Microsoft Entra dynamischen Gerätegruppen kann diese Zuweisung automatisch erfolgen.

  • Wenn Sie Intune und statische Gerätegruppen Microsoft Entra verwenden, fügen Sie das Gerät manuell der Gerätegruppe hinzu.

  • Wenn Sie andere Methoden wie Microsoft Store für Unternehmen oder Partner Center verwenden, weisen Sie dem Gerät manuell ein Windows Autopilot-Profil zu.

Tipp

Wenn der beabsichtigte Endzustand des Geräts die Co-Verwaltung ist, kann die Geräteregistrierung in Intune konfiguriert werden, um die Co-Verwaltung zu aktivieren. Dies geschieht während des Windows Autopilot-Prozesses. Dieses Verhalten lenkt die Arbeitslastautorität in einer orchestrierten Weise zwischen Konfigurationsmanager und Intune. Weitere Informationen finden Sie unter Registrieren mit Windows Autopilot.

Benutzergesteuerter Modus für Microsoft Entra Hybrideinbindung

Wichtig

Microsoft empfiehlt die Bereitstellung neuer Geräte als cloudnativ mithilfe Microsoft Entra Joins. Die Bereitstellung neuer Geräte als Microsoft Entra Hybrid Join-Geräten wird nicht empfohlen, auch nicht über Windows Autopilot. Weitere Informationen finden Sie unter Microsoft Entra und Microsoft Entra hybrid eingebundenen cloudnativen Endpunkten: Welche Option eignet sich für Ihre organization?

Windows Autopilot erfordert, dass Geräte Microsoft Entra eingebunden sind. Für eine lokales Active Directory Umgebung können Geräte mit der lokalen Domäne verknüpft werden. Um die Geräte zu verbinden, konfigurieren Sie Windows Autopilot-Geräte so, dass sie hybrid mit Microsoft Entra ID verknüpft werden.

Tipp

Während Microsoft mit Kunden spricht, die Microsoft Intune und Microsoft Configuration Manager verwenden, um ihre Clientgeräte bereitzustellen, zu verwalten und zu schützen, erhalten wir häufig Fragen zur gemeinsamen Verwaltung von Geräten und Microsoft Entra hybrid eingebundenen Geräten. Viele Kunden verwechseln diese beiden Themen. Die Co-Verwaltung ist eine Verwaltungsoption, während Microsoft Entra ID eine Identitätsoption ist. Weitere Informationen finden Sie unter Grundlegendes zu Hybrid-Microsoft Entra- und Co-Verwaltungsszenarien. In diesem Blogbeitrag soll Microsoft Entra hybride Einbindung und Co-Verwaltung erläutert werden, wie sie zusammenarbeiten, aber nicht dasselbe sind.

Der Configuration Manager-Client kann nicht bereitgestellt werden, während ein neuer Computer im benutzergesteuerten Windows Autopilot-Modus für Microsoft Entra Hybridjoin bereitgestellt wird. Diese Einschränkung ist auf die Identitätsänderung des Geräts während des Microsoft Entra Join-Prozesses zurückzuführen. Stellen Sie den Configuration Manager-Client nach dem Windows Autopilot-Prozess bereit. Unter Clientinstallationsmethoden in Configuration Manager finden Sie alternative Optionen für die Installation des Clients.

Anforderungen für den benutzergesteuerten Modus mit Hybrid-Microsoft Entra ID

• Erstellen Sie ein Windows Autopilot-Profil für den benutzergesteuerten Modus.

  Wählen Sie im Windows Autopilot-Profil unter An Microsoft Entra ID teilnehmen alsdie Option Microsoft Entra hybrid eingebunden aus.

• Wenn Sie Intune verwenden, wird eine Gerätegruppe in Microsoft Entra ID benötigt. Weisen Sie der Gruppe das Windows Autopilot-Profil zu.

• Wenn Sie Intune verwenden, erstellen und ein Domänenbeitrittsprofil und weisen Sie dieses zu. Ein Konfigurationsprofil für den Domänenbeitritt umfasst Informationen über die lokale Active Directory-Domäne.

• Das Gerät muss auf das Internet zugreifen. Weitere Informationen finden Sie unter Netzwerkanforderungen.

• Installieren Sie den Intune Connector für Active Directory.

  Hinweis

  Der Intune Connector für Active Directory verknüpft das Gerät mit der lokalen Domäne. Benutzer benötigen keine Berechtigungen, um Geräte in die lokale Domäne einzubinden. Bei diesem Verhalten wird davon ausgegangen, dass der Connector für diese Aktion im Namen des Benutzers konfiguriert ist. Weitere Informationen finden Sie unter Erhöhen des Computerkontolimits in der Organisationseinheit (OE).

• Wenn Sie einen Proxy verwenden, aktivieren und konfigurieren Sie die Option Web Proxy Auto-Discovery Protocol (WPAD) Proxyeinstellungen.

Zusätzlich zu diesen Kernanforderungen für benutzergesteuerte Microsoft Entra Hybrid join gelten die folgenden zusätzlichen Anforderungen für lokale Geräte:

• Das Gerät verfügt über eine derzeit unterstützte Version von Windows.

• Das Gerät ist mit dem internen Netzwerk verbunden und hat Zugriff auf einen Active Directory-Domänencontroller.

  • Sie muss die DNS-Einträge für die Domäne und die Domänencontroller auflösen.

  • Es muss mit dem Domänencontroller kommunizieren, um den Benutzer zu authentifizieren.

Benutzergesteuerter Modus für Microsoft Entra Hybrideinbindung mit VPN-Unterstützung

Geräte, die in Active Directory eingebunden sind, erfordern eine Verbindung mit einem Active Directory-Domänencontroller für viele Aktivitäten. Zu diesen Aktivitäten gehören das Überprüfen der Anmeldeinformationen des Benutzers bei der Anmeldung und das Anwenden von Gruppenrichtlinieneinstellungen. Der benutzergesteuerte Windows Autopilot-Prozess für Microsoft Entra hybrid eingebundenen Geräten überprüft, ob das Gerät einen Domänencontroller kontaktieren kann, indem es diesen Domänencontroller pingt.

Mit der vpn-Unterstützung für dieses Szenario kann der Microsoft Entra Hybrid Join-Prozess so konfiguriert werden, dass die Konnektivitätsprüfung übersprungen wird. Diese Änderung macht die Kommunikation mit einem Domänencontroller nicht überflüssig. Um stattdessen eine Verbindung mit dem Netzwerk des organization zuzulassen, stellt Intune die erforderliche VPN-Konfiguration bereit, bevor der Benutzer versucht, sich bei Windows anzumelden.

Anforderungen für den benutzergesteuerten Modus mit Hybrid-Microsoft Entra ID und VPN

Zusätzlich zu den Hauptanforderungen für den benutzergesteuerten Modus mit Microsoft Entra Hybrideinbindung gelten die folgenden zusätzlichen Anforderungen für ein Remoteszenario mit VPN-Unterstützung:

• Eine derzeit unterstützte Version von Windows.

• Aktivieren Sie im Microsoft Entra Hybridjoinprofil für Windows Autopilot die folgende Option: Domänenkonnektivitätsprüfung überspringen.

• Eine VPN-Konfiguration mit einer der folgenden Optionen:

  • Kann mit Intune bereitgestellt werden und ermöglicht es dem Benutzer, manuell über den Windows-Anmeldebildschirm eine VPN-Verbindung herzustellen.

  • Stellt bei Bedarf automatisch eine VPN-Verbindung her.

Die spezifische erforderliche VPN-Konfiguration hängt von der verwendeten VPN-Software und der verwendeten Authentifizierung ab. Bei Nicht-Microsoft-VPN-Lösungen umfasst diese Konfiguration in der Regel die Bereitstellung einer Win32-App über Intune Verwaltungserweiterungen. Diese App enthält die VPN-Clientsoftware und alle spezifischen Verbindungsinformationen. Beispielsweise VPN-Endpunkthostnamen. Spezifische Konfigurationsdetails für diesen Anbieter finden Sie in der Dokumentation des VPN-Anbieters.

Hinweis

Die VPN-Anforderungen gelten nicht spezifisch für Windows Autopilot. Wenn beispielsweise eine VPN-Konfiguration implementiert ist, um Remotekennwortzurücksetzungen zu ermöglichen, kann diese Konfiguration auch mit Windows Autopilot verwendet werden. Diese Konfiguration würde es einem Benutzer ermöglichen, sich mit einem neuen Kennwort bei Windows anzumelden, wenn er sich nicht im Netzwerk des organization befindet. Sobald sich der Benutzer anmeldet und seine Anmeldeinformationen zwischengespeichert wurden, benötigen nachfolgende Anmeldeversuche keine Verbindung mehr, da Windows die zwischengespeicherten Anmeldeinformationen verwendet.

Wenn die VPN-Software eine Zertifikatauthentifizierung erfordert, verwenden Sie Intune, um auch das erforderliche Gerätezertifikat bereitzustellen. Diese Bereitstellung kann mithilfe der Intune Zertifikatregistrierungsfunktionen erfolgen, die auf die Zertifikatprofile für das Gerät ausgerichtet sind.

Einige Konfigurationen werden nicht unterstützt, da sie erst angewendet werden, wenn sich der Benutzer bei Windows anmeldet:

• Benutzerzertifikate
• Nicht von Microsoft stammende UWP-VPN-Plug-Ins aus dem Windows Store

Überprüfung

Bevor Sie eine Microsoft Entra Hybrideinbindung mithilfe von VPN versuchen, müssen Sie sich vergewissern, dass der benutzergesteuerte Modus für Microsoft Entra Hybrid join-Prozess im internen Netzwerk funktioniert. Dieser Test vereinfacht die Problembehandlung, indem sichergestellt wird, dass der Kernprozess funktioniert, bevor die VPN-Konfiguration hinzugefügt wird.

Vergewissern Sie sich als Nächstes, Intune zum Bereitstellen der VPN-Konfiguration und ihrer Anforderungen verwendet werden kann. Testen Sie diese Komponenten mit einem vorhandenen Gerät, das bereits Microsoft Entra hybrid eingebunden ist. Beispielsweise erstellen einige VPN-Clients im Rahmen des Installationsvorgangs eine PRO-Computer-VPN-Verbindung. Überprüfen Sie die Konfiguration mithilfe der folgenden Schritte:

1. Vergewissern Sie sich, dass mindestens eine VPN-Verbindung pro Computer erstellt wurde.

   Get-VpnConnection -AllUserConnection
   

2. Versuchen Sie, die VPN-Verbindung manuell zu starten.

   RASDIAL.EXE "ConnectionName"
   

3. Melden Sie sich von Windows ab. Vergewissern Sie sich, dass das Symbol für die VPN-Verbindung auf der Windows-Anmeldeseite angezeigt wird.

4. Verschieben Sie das Gerät aus dem internen Netzwerk, und versuchen Sie, die Verbindung mithilfe des Symbols auf der Windows-Anmeldeseite herzustellen. Melden Sie sich bei einem Konto an, das nicht über zwischengespeicherte Anmeldeinformationen verfügt.

Bei VPN-Konfigurationen, die automatisch eine Verbindung herstellen, können sich die Überprüfungsschritte unterscheiden.

Hinweis

Für dieses Szenario kann ein Always-On-VPN verwendet werden. Weitere Informationen finden Sie unter Bereitstellen von Always-On-VPN.

Nächste Schritte

• Stellen Sie Microsoft Entra hybrid eingebundenen Geräte mithilfe von Intune und Windows Autopilot bereit.
• Registrieren mit Windows Autopilot.
• Testen Sie die Windows Autopilot-Hybrideinbindung über VPN in Ihrem Azure-Lab.

Verwandte Inhalte

• Was ist eine Geräteidentität?.
• Erfahren Sie mehr über cloudnative Endpunkte.
• Microsoft Entra im Vergleich zu Microsoft Entra hybrid eingebundenen cloudnativen Endpunkten.
• Tutorial: Einrichten und Konfigurieren eines cloudnativen Windows-Endpunkts mit Microsoft Intune.
• Vorgehensweise: Planen Der Implementierung von Microsoft Entra Join.
• Ein Framework für die Transformation der Windows-Endpunktverwaltung.
• Grundlegendes zu Azure AD-Hybrid- und Co-Verwaltungsszenarien.
• Erfolg bei remoter Windows Autopilot- und Azure Active Directory-Hybrideinbindung.