Intune und Windows Autopilot können verwendet werden, um Microsoft Entra hybrid eingebundenen Geräte einzurichten. Führen Sie dazu die Schritte in diesen Artikel durch. Weitere Informationen zu Microsoft Entra Hybridjoin finden Sie unter Grundlegendes zu Microsoft Entra Hybrid Join und Co-Verwaltung.
Wenn die domänen- und OU-basierte Filterung als Teil von Microsoft Entra Connect konfiguriert ist, stellen Sie sicher, dass die für die Autopilot-Geräte vorgesehene Standardorganisationseinheit oder der Standardcontainer im Synchronisierungsbereich enthalten ist.
Geräteregistrierungsanforderungen
Das zu registrierende Gerät muss die folgenden Anforderungen erfüllen:
Verwenden Sie eine derzeit unterstützte Version von Windows.
Über Zugriff auf einen Active Directory-Domänencontroller verfügen.
Pingen Sie erfolgreich den Domänencontroller der Domäne, der hinzugefügt wird.
Bei Verwendung des Proxys muss die WPAD-Einstellungsoption (Web Proxy Auto-Discovery Protocol) aktiviert und konfiguriert werden.
Machen Sie Erfahrungen mit der Windows-Willkommensseite.
Verwenden Sie einen Autorisierungstyp, den Microsoft Entra ID in OOBE unterstützt.
Die Konfiguration Microsoft Entra Hybrideinbindung für Active Directory-Verbunddienste (AD FS) ermöglicht zwar einen schnelleren Windows Autopilot-Microsoft Entra-Registrierungsprozess während der Bereitstellungen. Verbundkunden, die die Verwendung von Kennwörtern und AD FS nicht unterstützen, müssen die Schritte im Artikel Active Directory-Verbunddienste (AD FS) unterstützung von prompt=login-Parametern ausführen, um die Authentifizierungserfahrung ordnungsgemäß zu konfigurieren.
Serveranforderungen für Intune Connector
Der Intune Connector für Active Directory muss auf einem Computer installiert werden, auf dem Windows Server 2016 oder höher mit .NET Framework Version 4.7.2 oder höher ausgeführt wird.
Der Server, auf dem der Intune Connector gehostet wird, muss Zugriff auf das Internet und Active Directory haben.
Hinweis
Der Intune Connectorserver erfordert standardmäßigen Domänenclientzugriff auf Domänencontroller, einschließlich der RPC-Portanforderungen, die für die Kommunikation mit Active Directory erforderlich sind. Weitere Informationen finden Sie in den folgenden Artikeln:
Um die Skalierung und Verfügbarkeit zu erhöhen, können mehrere Connectors in der Umgebung installiert werden. Es wird empfohlen, den Connector auf einem Server zu installieren, auf dem keine anderen Intune-Connectors ausgeführt werden. Jeder Connector muss in der Lage sein, Computerobjekte in jeder Domäne zu erstellen, die unterstützt werden muss.
Einrichten der automatischen WINDOWS-MDM-Registrierung
Melden Sie sich beim Azure-Portal an, und wählen Sie Microsoft Entra ID aus.
Wählen Sie im linken Bereich Mobilität verwalten | (MDM und WIP)>Microsoft Intune aus.
Stellen Sie sicher, dass Benutzer, die Microsoft Entra verbundenen Geräte mithilfe von Intune und Windows bereitstellen, Mitglieder einer Gruppe sind, die im MDM-Benutzerbereich enthalten ist.
Verwenden Sie die Standardwerte in den Feldern URL zu den MDM-Nutzungsbedingungen, URL für MDM-Ermittlung und MDM Compliance-URL, und klicken Sie dann auf Speichern.
Erhöhen des Kontolimits für den Computer in der Organisationseinheit
Der Intune Connector für Active Directory erstellt autopilot-registrierte Computer in der domäne lokales Active Directory. Der Hostcomputer des Intune-Connectors muss über die Berechtigung verfügen, die Computerobjekte innerhalb der Domäne zu erstellen.
In einigen Domänen werden Computern keine Berechtigungen zum Erstellen von Computern gewährt. Darüber hinaus verfügen Domänen über ein integriertes Limit (Standardeinstellung: 10), das für alle Benutzer und Computer gilt, denen keine Berechtigungen zum Erstellen von Computerobjekten gewährt wurden. Die Rechte müssen an Computer delegiert werden, die den Intune Connector in der Organisationseinheit hosten, auf der Microsoft Entra hybrid eingebundenen Geräte erstellt werden.
Die Organisationseinheit, die über die Berechtigungen zum Erstellen von Computern verfügt, muss mit folgendem übereinstimmen:
Die im Domänenbeitrittsprofil eingegebene Organisationseinheit.
Wenn kein Profil ausgewählt ist, der Domänenname des Computers für die Domäne des organization.
Öffnen Sie Active Directory-Benutzer und -Computer („DSA.msc“).
Klicken Sie mit der rechten Maustaste auf die Organisationseinheit, die zum Erstellen Microsoft Entra hybrid eingebundenen Computern >delegatsteuerung verwendet werden soll.
Wählen Sie im Assistenten zum Zuweisen der Objektverwaltung die Optionen Weiter>Hinzufügen...>Objekttypen aus.
Wählen Sie im Bereich Objekttypen die Option Computer>OK aus.
Geben Sie im Bereich zur Auswahl von Benutzern, Computern oder Gruppen im Feld Geben Sie die zu verwenden Objektnamen ein den Namen des Computers ein, auf dem der Connector installiert ist.
Wählen Sie Namen überprüfen aus, um den Eintrag >OK>Weiter zu überprüfen.
Wählen Sie Benutzerdefinierte Aufgaben zum Zuweisen erstellen>Weiter aus.
Wählen Sie nur die folgenden Objekte im Ordner>Computerobjekte aus.
Wählen Sie Ausgewählte Objekte in diesem Ordner erstellen und Ausgewählte Objekte in diesem Ordner löschen aus.
Wählen Sie Weiter aus.
Aktivieren Sie unter Permissions (Berechtigungen) das Kontrollkästchen Full Control (Vollzugriff). Durch diese Auswahl werden auch alle anderen Optionen aktiviert.
Bei Windows Server ist die verstärkte Sicherheitskonfiguration für Internet Explorer standardmäßig aktiviert. Internet Explorer Erweiterte Sicherheitskonfiguration kann Probleme bei der Anmeldung beim Intune Connector für Active Directory verursachen. Da Internet Explorer veraltet ist und in den meisten Fällen nicht einmal unter Windows Server installiert ist, empfiehlt Microsoft, Internet Explorer erweiterte Sicherheitskonfiguration zu deaktivieren. So deaktivieren Sie internet Explorer erweiterte Sicherheitskonfiguration:
Öffnen Sie auf dem Server, auf dem der Intune Connector installiert wird, Server-Manager.
Wählen Sie im linken Bereich von Server-Manager die Option Lokaler Server aus.
Wählen Sie im rechten Bereich EIGENSCHAFTEN von Server-Manager den Link Ein oder Aus neben IE Enhanced Security Configuration aus.
Wählen Sie im Fenster Internet Explorer Erweiterte Sicherheitskonfiguration unter Administratoren die Option Aus aus, und wählen Sie dann OK aus.
Wählen Sie auf dem Startbildschirm im linken Bereich die Option Geräte aus.
In den Geräten | Übersichtsbildschirm wählen Sie unter Nach Plattform die Option Windows aus.
In den Fenstern | Windows-Gerätebildschirm wählen Sie unter Geräte-Onboarding die Option Registrierung aus.
In den Fenstern | Windows-Registrierungsbildschirm wählen Sie unter Windows AutopilotIntune Connector für Active Directory aus.
Wählen Sie auf dem Bildschirm Intune Connector für Active Directory die Option Hinzufügen aus.
Folgen Sie den Anweisungen, um den Connector herunterzuladen.
Öffnen Sie die heruntergeladene Connectorsetupdatei (ODJConnectorBootstrapper.exe), um den Connector zu installieren.
Wählen Sie am Ende des Setups Jetzt konfigurieren aus.
Wählen Sie Anmelden aus.
Geben Sie die Anmeldeinformationen einer Intune Administratorrolle ein. Dem Benutzerkonto muss eine Intune-Lizenz zugewiesen werden.
Hinweis
Die Rolle Intune-Administrator ist zum Zeitpunkt der Installation eine vorübergehende Anforderung.
Nach der Authentifizierung wird die Installation des Intune-Connectors für Active Directory abgeschlossen. Überprüfen Sie nach Abschluss der Installation, ob sie in Intune aktiv ist, indem Sie die folgenden Schritte ausführen:
Wählen Sie auf dem Startbildschirm im linken Bereich die Option Geräte aus.
In den Geräten | Übersichtsbildschirm wählen Sie unter Nach Plattform die Option Windows aus.
In den Fenstern | Windows-Gerätebildschirm wählen Sie unter Geräte-Onboarding die Option Registrierung aus.
In den Fenstern | Windows-Registrierungsbildschirm wählen Sie unter Windows AutopilotIntune Connector für Active Directory aus.
Vergewissern Sie sich, dass die Verbindung status in der Spalte Statusaktiv ist.
Hinweis
Nach der Anmeldung beim Connector kann es einige Minuten dauern, bis im Microsoft Intune Admin Center angezeigt wird. Er wird nur angezeigt, wenn er mit Intune kommunizieren kann.
Inaktive Intune Connectors werden weiterhin auf der Seite Intune Connectors angezeigt und nach 30 Tagen automatisch bereinigt.
Nachdem der Intune Connector für Active Directory installiert wurde, wird die Anmeldung im Ereignisanzeige unter dem Pfad Anwendungs- und Dienstprotokolle>Microsoft>Intune>ODJConnectorService gestartet. Unter diesem Pfad finden Sie Admin- und Betriebsprotokolle.
Hinweis
Der Intune Connector, der ursprünglich im Ereignisanzeige direkt unter Anwendungs- und Dienstprotokolle in einem Protokoll namens ODJ Connector Service angemeldet ist. Die Protokollierung für den Intune Connector wurde jedoch in den Pfad Anwendungs- und Dienstprotokolle>Microsoft>Intune>ODJConnectorService verschoben. Wenn das Protokoll des ODJ-Connectordiensts am ursprünglichen Speicherort leer ist oder nicht aktualisiert wird, überprüfen Sie stattdessen den neuen Pfadspeicherort.
Konfigurieren von Webproxyeinstellungen
Wenn in der Netzwerkumgebung ein Webproxy vorhanden ist, stellen Sie sicher, dass der Intune Connector für Active Directory ordnungsgemäß funktioniert, indem Sie auf Arbeiten mit vorhandenen lokalen Proxyservern verweisen.
Das Feld "Gruppentag" von Intune wird dem OrderID-Attribut auf Microsoft Entra Geräten zugeordnet. Um eine Gruppe zu erstellen, die alle Autopilot-Geräte mit einem bestimmten Gruppentag (OrderID) enthält, geben Sie Folgendes ein:
Registrieren von noch nicht angemeldeten Autopilot-Geräten
Geräte, die noch nicht bei Windows Autopilot registriert sind, können manuell registriert werden. Weitere Informationen finden Sie unter Manuelle Registrierung.
Registrieren von Geräten eines OEMs
Beim Kauf neuer Geräte können einige OEMs die Geräte im Namen des organization registrieren. Weitere Informationen finden Sie unter OEM-Registrierung.
Anzeigen eines registrierten Autopilot-Geräts
Vor der Registrierung von Geräten in Intune werden registrierte Windows Autopilot-Geräte an drei Stellen angezeigt (wobei die Namen auf ihre Seriennummern festgelegt sind):
Der Bereich Windows Autopilot-Geräte im Microsoft Intune Admin Center.
Auswählen von Geräten>nach Plattform | Onboarding von Windows-Geräten>| Registrierung. Wählen Sie unter Windows Autopilotdie Option Geräte aus.
Die Geräte | Bereich "Alle Geräte" im Azure-Portal. Klicken Sie auf Geräte>Alle Geräte.
Nachdem Geräte registriert wurden, werden die Geräte weiterhin im Bereich Windows Autopilot-Geräte im Microsoft Intune Admin Center und im Autopilot-Bereich in Microsoft 365 Admin Center angezeigt, aber diese Objekte sind die für Windows Autopilot registrierten Objekte.
Ein Geräteobjekt wird in Microsoft Entra ID vorab erstellt, sobald ein Gerät in Autopilot registriert wurde. Wenn ein Gerät eine hybride Microsoft Entra Bereitstellung durchläuft, wird standardmäßig ein anderes Geräteobjekt erstellt, was zu doppelten Einträgen führt.
VPNs
Die folgenden VPN-Clients werden getestet und überprüft:
In-Box-Windows VPN-Client
Cisco AnyConnect (Win32-Client)
Pulse Secure (Win32-Client)
GlobalProtect (Win32-Client)
Prüfpunkt (Win32-Client)
Citrix NetScaler (Win32-Client)
SonicWall (Win32-Client)
FortiClient-VPN (Win32-Client)
Wenn Sie VPNs verwenden, wählen Sie ja für die Option Ad-Konnektivitätsprüfung überspringen im Windows Autopilot-Bereitstellungsprofil aus. Always-On VPNs sollten diese Option nicht erfordern, da automatisch eine Verbindung hergestellt wird.
Hinweis
Diese Liste der VPN-Clients ist keine umfassende Liste aller VPN-Clients, die mit Windows Autopilot funktionieren. Wenden Sie sich an den jeweiligen VPN-Anbieter bezüglich Kompatibilität und Unterstützung mit Windows Autopilot oder zu Problemen bei der Verwendung einer VPN-Lösung mit Windows Autopilot.
Nicht unterstützte VPN-Clients
Die folgenden VPN-Lösungen funktionieren nicht mit Windows Autopilot und werden daher nicht für die Verwendung mit Windows Autopilot unterstützt:
UWP-basierte VPN-Plug-Ins
Alles, was ein Benutzerzertifikat erfordert
DirectAccess
Hinweis
Das Auslassen eines bestimmten VPN-Clients aus dieser Liste bedeutet nicht automatisch, dass er unterstützt wird oder dass er mit Windows Autopilot funktioniert. In dieser Liste sind nur die VPN-Clients aufgeführt, von denen bekannt ist, dass sie nicht mit Windows Autopilot funktionieren.
Erstellen und Zuweisen eines Autopilot-Bereitstellungsprofils
Autopilot-Bereitstellungsprofile werden verwendet, um die Autopilot-Geräte zu konfigurieren.
Wählen Sie auf dem Startbildschirm im linken Bereich die Option Geräte aus.
In den Geräten | Übersichtsbildschirm wählen Sie unter Nach Plattform die Option Windows aus.
In den Fenstern | Windows-Gerätebildschirm wählen Sie unter Geräte-Onboarding die Option Registrierung aus.
In den Fenstern | Windows-Registrierungsbildschirm : Wählen Sie unter Windows Autopilotdie Option Bereitstellungsprofile aus.
Wählen Sie auf dem Bildschirm Windows Autopilot-Bereitstellungsprofile das Dropdownmenü Profil erstellen und dann Windows-PC aus.
Geben Sie auf dem Bildschirm Profil erstellen auf der Seite Grundlagen einen Namen und optional eine Beschreibung ein.
Wenn sich alle Geräte in den zugewiesenen Gruppen automatisch bei Windows Autopilot registrieren sollen, legen Sie Alle Zielgeräte in Autopilot konvertieren auf Ja fest. Alle unternehmenseigenen, Nicht-Autopilot-Geräte in zugewiesenen Gruppen werden beim Autopilot-Bereitstellungsdienst registriert. Persönliche Geräte sind nicht bei Autopilot registriert. Die Verarbeitung der Registrierung kann 48 Stunden dauern. Wenn die Registrierung des Geräts aufgehoben und zurückgesetzt wird, registriert Autopilot es erneut. Nachdem ein Gerät auf diese Weise registriert wurde, wird das Gerät nicht aus dem Autopilot-Bereitstellungsdienst entfernt, wenn Sie diese Einstellung deaktivieren oder die Profilzuweisung entfernen. Stattdessen müssen die Geräte direkt gelöscht werden. Weitere Informationen finden Sie unter Löschen von Autopilot-Geräten.
Wählen Sie Weiter aus.
Wählen Sie auf der Seite Windows-Willkommensseite als Bereitstellungsmodus die Option Benutzergesteuert aus.
Wählen Sie im Feld An Microsoft Entra ID teilnehmen alsdie Option Microsoft Entra hybrid eingebunden aus.
Konfigurieren Sie die restlichen Optionen auf der Seite Windows-Willkommensseite nach Bedarf.
Wählen Sie Weiter aus.
Wählen Sie auf der Seite Bereichstags die Bereichstags für dieses Profil aus.
Wählen Sie Weiter aus.
Wählen Sie auf der Seite Zuweisungen die Option Gruppen auswählen aus, um die Suche nach einzuschließen>, und wählen Sie die Gerätegruppe > Auswählen aus.
Wählen Sie Weiter>Erstellen aus.
Hinweis
Intune in regelmäßigen Abständen nach neuen Geräten in den zugewiesenen Gruppen suchen und dann mit dem Zuweisen von Profilen zu diesen Geräten beginnen. Aufgrund verschiedener Faktoren, die am Prozess der Autopilot-Profilzuweisung beteiligt sind, kann die geschätzte Zeit für die Zuweisung von Szenario zu Szenario variieren. Zu diesen Faktoren können Microsoft Entra Gruppen, Mitgliedschaftsregeln, Hash eines Geräts, Intune und Autopilot-Dienst sowie eine Internetverbindung gehören. Die Zuweisungszeit variiert abhängig von allen Faktoren und Variablen, die in einem bestimmten Szenario beteiligt sind.
Aktivieren der Registrierungsstatusseite (optional)
CN=Computers,DC=contoso,DC=com – Ein Container kann nicht angegeben werden. Lassen Sie stattdessen den Wert leer, um den Standardwert für die Domäne zu verwenden.
OU=Mine : Die Domäne muss über die DC= Attribute angegeben werden.
Stellen Sie sicher, dass Sie in der Organisationseinheit keine Anführungszeichen um den Wert herum verwenden.
Klicken Sie auf OK>Erstellen. Das Profil wird erstellt und in der Liste angezeigt.
Weisen Sie ein Geräteprofil derselben Gruppe zu, die im Schritt Gerätegruppe erstellen verwendet wurde. Es können verschiedene Gruppen verwendet werden, wenn Geräte mit verschiedenen Domänen oder Organisationseinheiten verknüpft werden müssen.
Hinweis
Die Benennungsfunktion für Windows Autopilot für Microsoft Entra Hybridjoin unterstützt keine Variablen wie %SERIAL%. Es werden nur Präfixe für den Computernamen unterstützt.
Deinstallieren des ODJ-Connectors
Der ODJ-Connector wird lokal auf einem Computer über eine ausführbare Datei installiert. Wenn der ODJ-Connector von einem Computer deinstalliert werden muss, muss dies auch lokal auf dem Computer erfolgen. Der ODJ-Connector kann nicht über das Intune-Portal oder über einen Graph-API-Aufruf entfernt werden.
Führen Sie die folgenden Schritte aus, um den ODJ-Connector vom Computer zu deinstallieren:
Melden Sie sich beim Computer an, auf dem der ODJ-Connector gehostet wird.
Klicken Sie mit der rechten Maustaste auf das Startmenü , und wählen Sie Einstellungen aus.
Wählen Sie im Fenster Windows-Einstellungendie Option Apps aus.
Suchen Sie unter Apps & Featuresnach Intune Connector für Active Directory, und wählen Sie sie aus.
Wählen Sie unter Intune Connector für Active Directory die Schaltfläche Deinstallieren und dann erneut die Schaltfläche Deinstallieren aus.
Der ODJ-Connector fährt mit der Deinstallation fort.
Planen und entwerfen Sie Ihre Projektmethodik, um Finanz‑ und Betriebs-Apps mit FastTrack-Diensten, Datenverwaltung und mehr erfolgreich zu implementieren.
Planen Sie eine Endpunktbereitstellungsstrategie und führen diese mithilfe von wesentlichen Elemente moderner Verwaltung, Co-Management-Ansätzen und Microsoft Intune-Integration aus.