Benutzergesteuerter Windows Autopilot-Modus

Mit dem benutzergesteuerten Windows Autopilot-Modus können Sie neue Windows-Geräte so konfigurieren, dass sie automatisch aus ihrem Werkszustand in den betriebsbereiten Zustand transformiert werden. Für diesen Prozess ist es nicht erforderlich, dass IT-Mitarbeiter das Gerät berühren.

Der Vorgang ist einfach. Geräte können mit den folgenden Anweisungen direkt an den Endbenutzer ausgeliefert oder verteilt werden:

  1. Packen Sie das Gerät aus, schließen Sie es an, und schalten Sie es ein.
  2. Wenn mehrere Sprachen verwendet werden, wählen Sie eine Sprache, ein Gebietsschema und eine Tastatur aus.
  3. Stellen Sie die Verbindung zu einem drahtlosen oder verdrahteten Netzwerk mit Internetzugang her. Wenn Sie drahtlos verwenden, stellen Sie zunächst eine Verbindung mit dem WLAN her.
  4. Geben Sie Ihre E-Mail-Adresse und das Kennwort für Ihr Organisationskonto an.

Der Rest des Prozesses ist automatisiert. Das Gerät führt die folgenden Schritte aus:

  1. Treten Sie der Organisation bei.
  2. Registrieren Sie sich bei Microsoft Intune oder einem anderen MDM-Dienst.
  3. Wie von der Organisation vorgegeben konfigurieren lassen.

Sie können alle anderen Eingabeaufforderungen während der Out-of-Box-Benutzeroberfläche (OOBE) unterdrücken. Weitere Informationen zu den verfügbaren Optionen finden Sie unter Konfigurieren von Autopilot-Profilen.

Wichtig

Wenn Sie Active Directory-Verbunddienste (AD FS) (AD FS) verwenden, gibt es ein bekanntes Problem, das es dem Endbenutzer ermöglichen kann, sich mit einem anderen Konto als dem Konto anzumelden, das diesem Gerät zugewiesen ist.

Der benutzergesteuerte Windows Autopilot-Modus unterstützt Die Einbindung von Azure Active Directory (Azure AD) und in Azure AD eingebundene Hybridgeräte. Weitere Informationen zu diesen beiden Verknüpfungsoptionen finden Sie in den folgenden Artikeln:

Die Schritte des benutzergesteuerten Prozesses sind wie folgt:

  1. Nachdem das Gerät eine Verbindung mit einem Netzwerk hergestellt hat, lädt das Gerät ein Windows Autopilot-Profil herunter. Das Profil definiert die für das Gerät verwendeten Einstellungen. Definieren Sie beispielsweise die Eingabeaufforderungen, die während der OOBE unterdrückt werden.

  2. Windows sucht nach kritischen OOBE-Updates. Wenn Updates verfügbar sind, werden sie automatisch installiert. Gegebenenfalls startet das Gerät neu.

  3. Der Benutzer wird zur Eingabe von Azure AD-Anmeldeinformationen aufgefordert. Diese angepasste Benutzeroberfläche zeigt den Namen, das Logo und den Anmeldetext des Azure AD-Mandanten an.

  4. Das Gerät wird abhängig von den Windows Autopilot-Profileinstellungen Azure AD oder Active Directory hinzugefügt.

  5. Das Gerät wird bei Intune oder einem anderen konfigurierten MDM-Dienst registriert. Abhängig von den Anforderungen Ihrer Organisation erfolgt diese Registrierung entweder:

    • Während des Azure AD-Verknüpfungprozesses mithilfe der automatischen MDM-Registrierung.

    • Vor dem Active Directory-Verknüpfungsprozess.

  6. Falls konfiguriert, wird die Registrierungsseite status (ESP) angezeigt.

  7. Nach Abschluss der Gerätekonfigurationsaufgaben wird der Benutzer mit den zuvor bereitgestellten Anmeldeinformationen bei Windows angemeldet. Wenn das Gerät während des Geräte-ESP-Prozesses neu gestartet wird, muss der Benutzer seine Anmeldeinformationen erneut eingeben. Diese Details bleiben nach dem Neustart nicht bestehen.

  8. Nach der Anmeldung wird die Registrierungsstatusseite für benutzerspezifische Konfigurationsaufgaben angezeigt.

Wenn während dieses Vorgangs Probleme auftreten, finden Sie weitere Informationen unter Windows Autopilot-Fehlerbehebung.

Weitere Informationen zu den verfügbaren Verknüpfungsoptionen finden Sie in den folgenden Abschnitten:

Benutzergesteuerter Modus für die Azure AD-Einbindung

Führen Sie die folgenden Vorbereitungsschritte aus, um eine benutzergesteuerte Bereitstellung mit Windows Autopilot abzuschließen:

  1. Stellen Sie sicher, dass die Benutzer, die Bereitstellungen im benutzergesteuerten Modus durchführen, Geräte in Azure AD einbinden können. Weitere Informationen finden Sie unter Konfigurieren von Geräteeinstellungen in der Azure AD-Dokumentation.

  2. Erstellen Sie ein Autopilot-Profil für den benutzergesteuerten Modus mit den gewünschten Einstellungen.

    • In Intune wird dieser Modus explizit ausgewählt, wenn Sie das Profil erstellen.

    • In Microsoft Store für Unternehmen und Partner Center ist der benutzergesteuerte Modus die Standardeinstellung.

  3. Wenn Sie Intune verwenden, erstellen Sie eine Gerätegruppe in Azure AD, und weisen Sie dieser Gruppe das Autopilot-Profil zu.

Für jedes Gerät, das mithilfe einer benutzergesteuerten Bereitstellung bereitgestellt wird, sind die folgenden zusätzlichen Schritte erforderlich:

  • Fügen Sie das Gerät zu Windows Autopilot hinzu. Für diesen Schritt gibt es zwei Möglichkeiten:

  • Weisen Sie dem Gerät ein Autopilot-Profil zu:

    • Wenn Sie Intune und dynamische Azure AD-Gerätegruppen verwenden, kann diese Zuweisung automatisch erfolgen.

    • Wenn Sie Intune und statische Azure AD-Gerätegruppen verwenden, fügen Sie das Gerät manuell der Gerätegruppe hinzu.

    • Wenn Sie andere Methoden wie Microsoft Store für Unternehmen oder Partner Center verwenden, weisen Sie dem Gerät manuell ein Autopilot-Profil zu.

Tipp

Wenn der beabsichtigte Endzustand des Geräts die Co-Verwaltung ist, können Sie die Geräteregistrierung in Intune konfigurieren, um die Co-Verwaltung zu aktivieren. Dies geschieht während des Autopilot-Prozesses. Dieses Verhalten lenkt die Arbeitslastautorität in einer orchestrierten Weise zwischen Konfigurationsmanager und Intune. Weitere Informationen finden Sie unter Registrieren mit Autopilot.

Benutzergesteuerter Modus für die Azure AD-Hybrideinbindung

Windows Autopilot erfordert, dass Geräte in Azure AD eingebunden sind. Wenn Sie über eine lokales Active Directory-Umgebung verfügen, können Sie Geräte ihrer lokalen Domäne hinzufügen. Um die Geräte zu verbinden, konfigurieren Sie Autopilot-Geräte so, dass sie hybrid in Azure AD eingebunden werden.

Tipp

Während wir mit unseren Kunden sprechen, die Microsoft Endpoint Manager zum Bereitstellen, Verwalten und Schützen ihrer Clientgeräte verwenden, erhalten wir häufig Fragen zur gemeinsamen Verwaltung von Geräten und in Azure AD hybrid eingebundenen Geräten. Viele Kunden verwechseln diese beiden Themen. Co-Verwaltung ist eine Verwaltungsoption, während Azure AD eine Identitätsoption ist. Weitere Informationen finden Sie unter Grundlegendes zu hybriden Azure AD- und Co-Verwaltungsszenarien. Dieser Blogbeitrag zielt darauf ab, Hybrid Azure AD Verknüpfung und Co-Management zu verdeutlichen, wie sie zusammenarbeiten, aber nicht dasselbe sind.

Sie können den Configuration Manager Client nicht bereitstellen, während Sie einen neuen Computer im benutzergesteuerten Windows Autopilot-Modus für die Azure AD-Hybrideinbindung bereitstellen. Diese Einschränkung ist auf die Identitätsänderung des Geräts während des Azure AD-Verknüpfungsprozesses zurückzuführen. Stellen Sie den Configuration Manager-Client nach dem Autopilot-Prozess bereit. Unter Clientinstallationsmethoden in Configuration Manager finden Sie alternative Optionen für die Installation des Clients.

Anforderungen für den benutzergesteuerten Modus mit Azure AD-Hybridmodus

  • Erstellen Sie ein Windows Autopilot-Profil für den benutzergesteuerten Modus.

    Wählen Sie im Autopilot-Profil unter Mit Azure AD beitreten als die Option Azure AD hybrid eingebunden aus.

  • Wenn Sie Intune verwenden, benötigen Sie eine Gerätegruppe in Azure AD. Weisen Sie der Gruppe das Windows Autopilot-Profil zu.

  • Wenn Sie Intune verwenden, erstellen Sie ein Domänenbeitrittsprofil, und weisen Sie es zu. Ein Konfigurationsprofil für den Domänenbeitritt umfasst Informationen über die lokale Active Directory-Domäne.

  • Das Gerät muss auf das Internet zugreifen. Weitere Informationen finden Sie unter Netzwerkanforderungen.

  • Installieren Sie den Intune Connector für Active Directory.

    Hinweis

    Der Intune Connector verknüpft das Gerät mit der lokalen Domäne. Benutzer benötigen keine Berechtigungen, um Geräte in die lokale Domäne einzubinden. Dieses Verhalten setzt voraus, dass Sie den Connector für diese Aktion im Namen des Benutzers konfigurieren. Weitere Informationen finden Sie unter Erhöhen des Kontolimits für den Computer in der Organisationseinheit.

  • Wenn Sie einen Proxy verwenden, aktivieren und konfigurieren Sie die Option WPAD-Proxyeinstellungen.

Zusätzlich zu diesen Kernanforderungen für die benutzergesteuerte Azure AD-Hybrideinbindung gelten die folgenden zusätzlichen Anforderungen für lokale Geräte:

  • Das Gerät verfügt über eine unterstützte Version von Windows 10 oder Windows 11.

  • Das Gerät ist mit dem internen Netzwerk verbunden und hat Zugriff auf einen Active Directory-Domänencontroller.

    • Sie muss die DNS-Einträge für die Domäne und die Domänencontroller auflösen.

    • Es muss mit dem Domänencontroller kommunizieren, um den Benutzer zu authentifizieren.

Benutzergesteuerter Modus für die Azure AD-Hybrideinbindung mit VPN-Unterstützung

Geräte, die in Active Directory eingebunden sind, erfordern eine Verbindung mit einem Active Directory-Domänencontroller für viele Aktivitäten. Zu diesen Aktivitäten gehören das Überprüfen der Anmeldeinformationen des Benutzers bei der Anmeldung und das Anwenden von Gruppenrichtlinieneinstellungen. Der benutzergesteuerte Autopilot-Prozess für in Azure AD hybrid eingebundene Geräte überprüft, ob das Gerät einen Domänencontroller kontaktieren kann, indem es diesen Domänencontroller pingt.

Mit der Zusätzlichen VPN-Unterstützung für dieses Szenario können Sie den Azure AD-Hybrideinbindungsprozess so konfigurieren, dass die Konnektivitätsprüfung übersprungen wird. Diese Änderung macht die Kommunikation mit einem Domänencontroller nicht überflüssig. Um stattdessen eine Verbindung mit dem Netzwerk des organization zuzulassen, stellt Intune die erforderliche VPN-Konfiguration bereit, bevor der Benutzer versucht, sich bei Windows anzumelden.

Anforderungen für den benutzergesteuerten Modus mit Hybrid-Azure AD und VPN

Zusätzlich zu den Hauptanforderungen für den benutzergesteuerten Modus mit Azure AD-Hybrideinbindung gelten die folgenden zusätzlichen Anforderungen für ein Remoteszenario mit VPN-Unterstützung:

  • Eine unterstützte Version von Windows 10 oder Windows 11.

  • Aktivieren Sie im Azure AD-Hybrideinbindungsprofil für Autopilot die folgende Option: Überprüfung der Domänenkonnektivität überspringen.

  • Eine VPN-Konfiguration mit einer der folgenden Optionen:

    • Kann mit Intune bereitgestellt werden und ermöglicht es dem Benutzer, manuell über den Windows-Anmeldebildschirm eine VPN-Verbindung herzustellen.

    • Stellt bei Bedarf automatisch eine VPN-Verbindung her.

Die spezifische erforderliche VPN-Konfiguration hängt von der verwendeten VPN-Software und der verwendeten Authentifizierung ab. Bei VPN-Lösungen von Drittanbietern umfasst diese Konfiguration in der Regel die Bereitstellung einer Win32-App über Intune Verwaltungserweiterungen. Diese App enthält die VPN-Clientsoftware und alle spezifischen Verbindungsinformationen. Beispielsweise VPN-Endpunkthostnamen. Spezifische Konfigurationsdetails für diesen Anbieter finden Sie in der Dokumentation Ihres VPN-Anbieters.

Hinweis

Die VPN-Anforderungen sind nicht spezifisch für Autopilot. Wenn Sie beispielsweise bereits eine VPN-Konfiguration implementiert haben, um Remotekennwortzurücksetzungen zu ermöglichen, kann diese Konfiguration auch mit Windows Autopilot verwendet werden. Diese Konfiguration würde es einem Benutzer ermöglichen, sich mit einem neuen Kennwort bei Windows anzumelden, wenn er sich nicht im Netzwerk des organization befindet. Nachdem sich der Benutzer angemeldet hat, um seine Anmeldeinformationen zwischenzuspeichern, benötigen nachfolgende Anmeldeversuche keine Konnektivität, da Windows die zwischengespeicherten Anmeldeinformationen verwendet.

Wenn die VPN-Software eine Zertifikatauthentifizierung erfordert, verwenden Sie Intune, um auch das erforderliche Gerätezertifikat bereitzustellen. Diese Bereitstellung kann mithilfe der Intune Zertifikatregistrierungsfunktionen erfolgen, die auf die Zertifikatprofile für das Gerät ausgerichtet sind.

Einige Konfigurationen werden nicht unterstützt, da sie erst angewendet werden, wenn sich der Benutzer bei Windows anmeldet:

  • Benutzerzertifikate
  • Nicht von Microsoft stammende UWP-VPN-Plug-Ins aus dem Windows Store

Überprüfung

Bevor Sie eine Azure AD-Hybrideinbindung mithilfe von VPN versuchen, müssen Sie sich vergewissern, dass ein benutzergesteuerter Modus für den Azure AD-Hybrideinbindungsprozess in Ihrem internen Netzwerk funktioniert. Dieser Test vereinfacht die Problembehandlung, indem sichergestellt wird, dass der Kernprozess funktioniert, bevor die VPN-Konfiguration hinzugefügt wird.

Vergewissern Sie sich als Nächstes, dass Sie Intune verwenden können, um die VPN-Konfiguration und ihre Anforderungen bereitzustellen. Testen Sie diese Komponenten mit einem vorhandenen Gerät, das bereits in Azure AD hybrid eingebunden ist. Beispielsweise erstellen einige VPN-Clients im Rahmen des Installationsvorgangs eine PRO-Computer-VPN-Verbindung. Überprüfen Sie die Konfiguration mithilfe der folgenden Schritte:

  1. Vergewissern Sie sich, dass mindestens eine VPN-Verbindung pro Computer erstellt wurde.

    Get-VpnConnection -AllUserConnection
    
  2. Versuchen Sie, die VPN-Verbindung manuell zu starten.

    RASDIAL.EXE "ConnectionName"
    
  3. Melden Sie sich von Windows ab. Vergewissern Sie sich, dass das Symbol "VPN-Verbindung" auf der Windows-Anmeldeseite angezeigt wird.

  4. Verschieben Sie das Gerät aus dem internen Netzwerk, und versuchen Sie, die Verbindung mithilfe des Symbols auf der Windows-Anmeldeseite herzustellen. Melden Sie sich bei einem Konto an, das nicht über zwischengespeicherte Anmeldeinformationen verfügt.

Bei VPN-Konfigurationen, die automatisch eine Verbindung herstellen, können sich die Überprüfungsschritte unterscheiden.

Hinweis

Sie können für dieses Szenario ein Always-On-VPN verwenden. Weitere Informationen finden Sie unter Bereitstellen von Always-On-VPN.

Intune können dieses PRO-Computer-VPN-Profil derzeit nicht bereitstellen.

Nächste Schritte