Freigeben über


Benutzergesteuerter Windows Autopilot-Modus

Im benutzergesteuerten Windows Autopilot-Modus kann ein neues Windows-Gerät so konfiguriert werden, dass es automatisch aus dem Werkszustand in den betriebsbereiten Zustand transformiert wird. Für diesen Prozess ist es nicht erforderlich, dass IT-Mitarbeiter das Gerät berühren.

Der Vorgang ist einfach. Geräte können mit den folgenden Anweisungen direkt an den Endbenutzer ausgeliefert oder verteilt werden:

  1. Packen Sie das Gerät aus, schließen Sie es an, und schalten Sie es ein.
  2. Wenn mehrere Sprachen verwendet werden, wählen Sie eine Sprache, ein Gebietsschema und eine Tastatur aus.
  3. Stellen Sie die Verbindung zu einem drahtlosen oder verdrahteten Netzwerk mit Internetzugang her. Wenn Sie drahtlos verwenden, stellen Sie zunächst eine Verbindung mit dem WLAN her.
  4. Geben Sie ein E-Mail-Adresskonto und ein Kennwort für die Organisation an.

Der Rest des Prozesses ist automatisiert. Das Gerät führt die folgenden Schritte aus:

  1. Treten Sie der Organisation bei.
  2. Registrieren Sie sich bei Microsoft Intune oder einem anderen Mdm-Dienst (Mobile Device Management).
  3. Wie von der Organisation vorgegeben konfigurieren lassen.

Andere Eingabeaufforderungen können während der Out-of-Box-Erfahrung (OOBE) unterdrückt werden. Weitere Informationen zu den verfügbaren Optionen finden Sie unter Konfigurieren von Autopilot-Profilen.

Wichtig

Wenn Active Directory-Verbunddienste (AD FS) verwendet werden, liegt ein bekanntes Problem vor, das es dem Endbenutzer ermöglichen kann, sich mit einem anderen Konto als dem konto anzumelden, das diesem Gerät zugewiesen ist.

Der benutzergesteuerte Windows Autopilot-Modus unterstützt Microsoft Entra Join- und hybrid eingebundene Microsoft Entra-Geräte. Weitere Informationen zu diesen beiden Verknüpfungsoptionen finden Sie in den folgenden Artikeln:

Die Schritte des benutzergesteuerten Prozesses sind wie folgt:

  1. Nachdem das Gerät eine Verbindung mit einem Netzwerk hergestellt hat, lädt das Gerät ein Windows Autopilot-Profil herunter. Das Profil definiert die für das Gerät verwendeten Einstellungen. Definieren Sie beispielsweise die Eingabeaufforderungen, die während der OOBE unterdrückt werden.

  2. Windows sucht nach kritischen OOBE-Updates. Wenn Updates verfügbar sind, werden sie automatisch installiert. Gegebenenfalls startet das Gerät neu.

  3. Der Benutzer wird zur Eingabe von Microsoft Entra-Anmeldeinformationen aufgefordert. Diese angepasste Benutzeroberfläche zeigt den Namen, das Logo und den Anmeldetext des Microsoft Entra-Mandanten an.

  4. Das Gerät verknüpft microsoft Entra ID oder Active Directory, abhängig von den Windows Autopilot-Profileinstellungen.

  5. Das Gerät wird bei Intune oder einem anderen konfigurierten MDM-Dienst registriert. Abhängig von den Anforderungen der Organisation erfolgt diese Registrierung entweder:

    • Während des Microsoft Entra-Einbindungsprozesses mithilfe der automatischen MDM-Registrierung.

    • Vor dem Active Directory-Verknüpfungsprozess.

  6. Falls konfiguriert, wird die Registrierungsstatusseite (ESP ) angezeigt.

  7. Nach Abschluss der Gerätekonfigurationsaufgaben wird der Benutzer mit den zuvor bereitgestellten Anmeldeinformationen bei Windows angemeldet. Wenn das Gerät während des Geräte-ESP-Prozesses neu gestartet wird, muss der Benutzer seine Anmeldeinformationen erneut eingeben. Diese Details bleiben nach dem Neustart nicht bestehen.

  8. Nach der Anmeldung wird die Registrierungsstatusseite für benutzerspezifische Konfigurationsaufgaben angezeigt.

Wenn während dieses Vorgangs Probleme gefunden werden, finden Sie weitere Informationen unter Problembehandlung für Windows Autopilot – Übersicht.

Weitere Informationen zu den verfügbaren Verknüpfungsoptionen finden Sie in den folgenden Abschnitten:

  • Microsoft Entra Join ist verfügbar, wenn Geräte keiner lokalen Active Directory-Domäne beitreten müssen.
  • Microsoft Entra Hybrid Join ist für Geräte verfügbar, die sowohl microsoft Entra ID als auch der lokalen Active Directory-Domäne beitreten müssen.

Benutzergesteuerter Modus für Microsoft Entra Join

Führen Sie die folgenden Vorbereitungsschritte aus, um eine benutzergesteuerte Bereitstellung mit Windows Autopilot abzuschließen:

  1. Stellen Sie sicher, dass die Benutzer, die Bereitstellungen im benutzergesteuerten Modus durchführen, Geräte mit Microsoft Entra ID verbinden können. Weitere Informationen finden Sie unter Konfigurieren von Geräteeinstellungen in der Microsoft Entra-Dokumentation.

  2. Erstellen Sie ein Autopilot-Profil für den benutzergesteuerten Modus mit den gewünschten Einstellungen.

    • In Intune wird dieser Modus explizit ausgewählt, wenn ein Profil erstellt wird.

    • Im Microsoft Store für Unternehmen und im Partner Center ist der benutzergesteuerte Modus die Standardeinstellung.

  3. Wenn Sie Intune verwenden, erstellen Sie eine Gerätegruppe in Microsoft Entra ID, und weisen Sie dieser Gruppe das Autopilot-Profil zu.

Für jedes Gerät, das mithilfe einer benutzergesteuerten Bereitstellung bereitgestellt wird, sind die folgenden zusätzlichen Schritte erforderlich:

  • Fügen Sie das Gerät zu Windows Autopilot hinzu. Dieser Schritt kann auf zwei Arten ausgeführt werden:

  • Weisen Sie dem Gerät ein Autopilot-Profil zu:

    • Bei Verwendung dynamischer Intune- und Microsoft Entra-Gerätegruppen kann diese Zuweisung automatisch erfolgen.

    • Wenn Sie statische Intune- und Microsoft Entra-Gerätegruppen verwenden, fügen Sie das Gerät manuell der Gerätegruppe hinzu.

    • Wenn Sie andere Methoden wie Microsoft Store für Unternehmen oder Partner Center verwenden, weisen Sie dem Gerät manuell ein Autopilot-Profil zu.

Tipp

Wenn der beabsichtigte Endzustand des Geräts die Co-Verwaltung ist, kann die Geräteregistrierung in Intune konfiguriert werden, um die Co-Verwaltung zu aktivieren. Dies geschieht während des Autopilot-Prozesses. Dieses Verhalten lenkt die Arbeitslastautorität in einer orchestrierten Weise zwischen Konfigurationsmanager und Intune. Weitere Informationen finden Sie unter Registrieren mit Autopilot.

Benutzergesteuerter Modus für Microsoft Entra Hybrid Join

Wichtig

Microsoft empfiehlt, neue Geräte mithilfe von Microsoft Entra Join als cloudnativ bereitzustellen. Die Bereitstellung neuer Geräte als Microsoft Entra Hybrid Join-Geräte wird nicht empfohlen, auch nicht über Autopilot. Weitere Informationen finden Sie unter Microsoft Entra eingebunden im Vergleich zu Microsoft Entra hybrid eingebunden in cloudnative Endpunkte: Welche Option ist für Ihre Organisation geeignet.

Windows Autopilot erfordert, dass Geräte in Microsoft Entra eingebunden sind. Für eine lokale Active Directory-Umgebung können Geräte in die lokale Domäne eingebunden werden. Um die Geräte zu verbinden, konfigurieren Sie Autopilot-Geräte so, dass sie hybrid mit Microsoft Entra ID verknüpft sind.

Tipp

Da Microsoft mit Kunden spricht, die Microsoft Intune und Microsoft Configuration Manager verwenden, um ihre Clientgeräte bereitzustellen, zu verwalten und zu schützen, erhalten wir häufig Fragen zur gemeinsamen Verwaltung von Geräten und in Microsoft Entra hybrid eingebundenen Geräten. Viele Kunden verwechseln diese beiden Themen. Die Co-Verwaltung ist eine Verwaltungsoption, während Microsoft Entra ID eine Identitätsoption ist. Weitere Informationen finden Sie unter Grundlegendes zu Hybridszenarien für Microsoft Entra und Co-Verwaltung. In diesem Blogbeitrag soll erläutert werden, wie Microsoft Entra Hybrid Join und Co-Verwaltung zusammenarbeiten, aber nicht dasselbe sind.

Der Configuration Manager-Client kann nicht bereitgestellt werden, während ein neuer Computer im benutzergesteuerten Windows Autopilot-Modus für die Microsoft Entra-Hybrideinbindung bereitgestellt wird. Diese Einschränkung ist auf die Identitätsänderung des Geräts während des Microsoft Entra-Einbindungsprozesses zurückzuführen. Stellen Sie den Configuration Manager-Client nach dem Autopilot-Prozess bereit. Unter Clientinstallationsmethoden in Configuration Manager finden Sie alternative Optionen zum Installieren des Clients.

Anforderungen für den benutzergesteuerten Modus mit hybrider Microsoft Entra-ID

  • Erstellen Sie ein Windows Autopilot-Profil für den benutzergesteuerten Modus.

    Wählen Sie im Autopilot-Profil unter Mit Microsoft Entra-ID beitreten alsdie Option Microsoft Entra hybrid eingebunden aus.

  • Wenn Sie Intune verwenden, wird eine Gerätegruppe in Microsoft Entra ID benötigt. Weisen Sie der Gruppe das Windows Autopilot-Profil zu.

  • Wenn Sie Intune verwenden, erstellen und ein Domänenbeitrittsprofil und weisen Sie dieses zu. Ein Konfigurationsprofil für den Domänenbeitritt umfasst Informationen über die lokale Active Directory-Domäne.

  • Das Gerät muss auf das Internet zugreifen. Weitere Informationen finden Sie unter Netzwerkanforderungen.

  • Installieren Sie den Intune-Connector für Active Directory.

    Hinweis

    Der Intune-Connector verknüpft das Gerät mit der lokalen Domäne. Benutzer benötigen keine Berechtigungen, um Geräte in die lokale Domäne einzubinden. Bei diesem Verhalten wird davon ausgegangen, dass der Connector für diese Aktion im Namen des Benutzers konfiguriert ist. Weitere Informationen finden Sie unter Erhöhen des Kontolimits für den Computer in der Organisationseinheit.

  • Wenn Sie einen Proxy verwenden, aktivieren und konfigurieren Sie die Option Web Proxy Auto-Discovery Protocol (WPAD) Proxyeinstellungen.

Zusätzlich zu diesen Grundlegenden Anforderungen für die benutzergesteuerte Microsoft Entra-Hybrideinbindung gelten die folgenden zusätzlichen Anforderungen für lokale Geräte:

  • Das Gerät verfügt über eine derzeit unterstützte Version von Windows.

  • Das Gerät ist mit dem internen Netzwerk verbunden und hat Zugriff auf einen Active Directory-Domänencontroller.

    • Sie muss die DNS-Einträge für die Domäne und die Domänencontroller auflösen.

    • Es muss mit dem Domänencontroller kommunizieren, um den Benutzer zu authentifizieren.

Benutzergesteuerter Modus für die Microsoft Entra-Hybrideinbindung mit VPN-Unterstützung

Geräte, die in Active Directory eingebunden sind, erfordern eine Verbindung mit einem Active Directory-Domänencontroller für viele Aktivitäten. Zu diesen Aktivitäten gehören das Überprüfen der Anmeldeinformationen des Benutzers bei der Anmeldung und das Anwenden von Gruppenrichtlinieneinstellungen. Der benutzergesteuerte Autopilot-Prozess für in Microsoft Entra hybrid eingebundene Geräte überprüft, ob das Gerät einen Domänencontroller kontaktieren kann, indem es diesen Domänencontroller pingt.

Mit der zusätzlichen VPN-Unterstützung für dieses Szenario kann der Microsoft Entra-Hybridjoinprozess so konfiguriert werden, dass die Konnektivitätsprüfung übersprungen wird. Diese Änderung macht die Kommunikation mit einem Domänencontroller nicht überflüssig. Um stattdessen eine Verbindung mit dem Netzwerk der Organisation zuzulassen, stellt Intune die erforderliche VPN-Konfiguration bereit, bevor der Benutzer versucht, sich bei Windows anzumelden.

Anforderungen für den benutzergesteuerten Modus mit Hybrid-Microsoft Entra-ID und VPN

Zusätzlich zu den Kernanforderungen für den benutzergesteuerten Modus mit Microsoft Entra Hybrid Join gelten die folgenden zusätzlichen Anforderungen für ein Remoteszenario mit VPN-Unterstützung:

  • Eine derzeit unterstützte Version von Windows.

  • Aktivieren Sie im Microsoft Entra-Hybridbeitrittsprofil für Autopilot die folgende Option: Überprüfung der Domänenkonnektivität überspringen.

  • Eine VPN-Konfiguration mit einer der folgenden Optionen:

    • Kann mit Intune bereitgestellt werden und ermöglicht es dem Benutzer, manuell über den Windows-Anmeldebildschirm eine VPN-Verbindung herzustellen.

    • Stellt bei Bedarf automatisch eine VPN-Verbindung her.

Die spezifische erforderliche VPN-Konfiguration hängt von der verwendeten VPN-Software und der verwendeten Authentifizierung ab. Bei Nicht-Microsoft-VPN-Lösungen umfasst diese Konfiguration in der Regel die Bereitstellung einer Win32-App über Intune-Verwaltungserweiterungen. Diese App enthält die VPN-Clientsoftware und alle spezifischen Verbindungsinformationen. Beispielsweise VPN-Endpunkthostnamen. Spezifische Konfigurationsdetails für diesen Anbieter finden Sie in der Dokumentation des VPN-Anbieters.

Hinweis

Die VPN-Anforderungen sind nicht spezifisch für Autopilot. Wenn beispielsweise eine VPN-Konfiguration implementiert ist, um Remotekennwortzurücksetzungen zu ermöglichen, kann diese Konfiguration auch mit Windows Autopilot verwendet werden. Diese Konfiguration würde es einem Benutzer ermöglichen, sich mit einem neuen Kennwort bei Windows anzumelden, wenn er sich nicht im Netzwerk der Organisation befindet. Sobald sich der Benutzer anmeldet und seine Anmeldeinformationen zwischengespeichert wurden, benötigen nachfolgende Anmeldeversuche keine Verbindung mehr, da Windows die zwischengespeicherten Anmeldeinformationen verwendet.

Wenn die VPN-Software eine Zertifikatauthentifizierung erfordert, verwenden Sie Intune, um auch das erforderliche Gerätezertifikat bereitzustellen. Diese Bereitstellung kann mithilfe der Intune-Zertifikatregistrierungsfunktionen erfolgen, die auf die Zertifikatprofile für das Gerät ausgerichtet sind.

Einige Konfigurationen werden nicht unterstützt, da sie erst angewendet werden, wenn sich der Benutzer bei Windows anmeldet:

  • Benutzerzertifikate
  • Nicht von Microsoft stammende UWP-VPN-Plug-Ins aus dem Windows Store

Überprüfung

Bevor Sie versuchen, eine Microsoft Entra-Hybrideinbindung mithilfe von VPN zu starten, müssen Sie sich vergewissern, dass der benutzergesteuerte Modus für den Microsoft Entra-Hybrideinbindungsprozess im internen Netzwerk funktioniert. Dieser Test vereinfacht die Problembehandlung, indem sichergestellt wird, dass der Kernprozess funktioniert, bevor die VPN-Konfiguration hinzugefügt wird.

Vergewissern Sie sich als Nächstes, dass Intune zum Bereitstellen der VPN-Konfiguration und ihrer Anforderungen verwendet werden kann. Testen Sie diese Komponenten mit einem vorhandenen Gerät, das bereits in Microsoft Entra hybrid eingebunden ist. Beispielsweise erstellen einige VPN-Clients im Rahmen des Installationsvorgangs eine PRO-Computer-VPN-Verbindung. Überprüfen Sie die Konfiguration mithilfe der folgenden Schritte:

  1. Vergewissern Sie sich, dass mindestens eine VPN-Verbindung pro Computer erstellt wurde.

    Get-VpnConnection -AllUserConnection
    
  2. Versuchen Sie, die VPN-Verbindung manuell zu starten.

    RASDIAL.EXE "ConnectionName"
    
  3. Melden Sie sich von Windows ab. Vergewissern Sie sich, dass das Symbol für die VPN-Verbindung auf der Windows-Anmeldeseite angezeigt wird.

  4. Verschieben Sie das Gerät aus dem internen Netzwerk, und versuchen Sie, die Verbindung mithilfe des Symbols auf der Windows-Anmeldeseite herzustellen. Melden Sie sich bei einem Konto an, das nicht über zwischengespeicherte Anmeldeinformationen verfügt.

Bei VPN-Konfigurationen, die automatisch eine Verbindung herstellen, können sich die Überprüfungsschritte unterscheiden.

Hinweis

Für dieses Szenario kann ein Always-On-VPN verwendet werden. Weitere Informationen finden Sie unter Bereitstellen von Always-On-VPN.

Nächste Schritte