Windows Autopilot-Netzwerkanforderungen
Windows Autopilot ist von verschiedenen internetbasierten Diensten abhängig. Der Zugriff auf diese Dienste muss bereitgestellt werden, damit Autopilot ordnungsgemäß funktioniert. Im einfachsten Fall kann die Aktivierung der richtigen Funktionalität erreicht werden, indem die folgenden Bedingungen sichergestellt werden:
- Stellen Sie die DNS-Namensauflösung (Domain Name Services) für Internet-DNS-Namen sicher.
- Lassen Sie den Zugriff auf alle Hosts über Port 80 (HTTP), 443 (HTTPS) und 123 (UDP/NTP) zu.
Möglicherweise ist eine zusätzliche Konfiguration erforderlich, um Zugriff auf erforderliche Dienste in Umgebungen zu gewähren, die:
- Haben Sie einen restriktiveren Internetzugriff.
- Anfordern einer Authentifizierung, bevor der Internetzugriff abgerufen werden kann.
Hinweis
Intelligente Karte und zertifikatbasierte Authentifizierung wird während der Windows-Willkommensseite nicht unterstützt. Weitere Informationen finden Sie unter Smartcards und zertifikatbasierte Authentifizierung.
Dienstanforderungen
Weitere Informationen zu den einzelnen Diensten und ihren spezifischen Anforderungen finden Sie in diesen Details.
Windows Autopilot Deployment Service
Nachdem eine Netzwerkverbindung hergestellt wurde, kontaktiert jedes Windows-Gerät den Windows Autopilot Deployment-Dienst. Die folgenden URLs werden verwendet:
https://ztd.dds.microsoft.comhttps://cs.dds.microsoft.comhttps://login.live.com
Windows-Aktivierung
Windows Autopilot erfordert Windows-Aktivierungsdienste. Weitere Informationen zu den URLs, auf die für die Aktivierungsdienste zugegriffen werden muss, finden Sie unter Windows-Aktivierung oder -Überprüfung schlägt mit Fehlercode 0x8004FE33 fehl.
Microsoft Entra-ID
Microsoft Entra ID überprüft die Benutzeranmeldeinformationen, und das Gerät kann auch mit Microsoft Entra-ID verknüpft werden. Weitere Informationen finden Sie unter Office 365-IP-Adresse und -URL-Webdienst.
Microsoft Intune
Nach der Authentifizierung löst Microsoft Entra ID die Registrierung des Geräts beim Intune-Mdm-Dienst (Mobile Device Management) aus. Weitere Informationen zu den Netzwerkkommunikationsanforderungen von Intune finden Sie in den folgenden Artikeln:
- Bandbreiten- und andere Anforderungen an die Netzwerkkonfiguration für Intune
- Netzwerkendpunkte für Microsoft Intune.
Automatische Automatische Geräteerfassung Diagnose
Damit Diagnose erfolgreich vom Client hochladen können, stellen Sie sicher, dass die URL lgmsapeweu.blob.core.windows.net nicht im Netzwerk blockiert ist. Diagnosen sind 28 Tage lang verfügbar, bevor sie entfernt werden.
Weitere Informationen finden Sie unter Sammeln von Diagnose von einem Windows-Gerät.
Windows Update
Während des OOBE-Prozesses und nach der Windows-Betriebssystemkonfiguration ruft der Windows Update-Dienst die erforderlichen Updates ab. Wenn Probleme beim Herstellen einer Verbindung mit Windows Update auftreten, lesen Sie Windows Update Problembehandlung.
Wenn auf Windows Update nicht zugegriffen werden kann, wird der Autopilot-Prozess weiterhin fortgesetzt, aber wichtige Updates sind nicht verfügbar.
Übermittlungsoptimierung
Autopilot kontaktiert den Übermittlungsoptimierungsdienst beim Herunterladen der Apps und Updates. Dieser Kontakt richtet die Peer-to-Peer-Freigabe von Inhalten ein, sodass nur wenige Geräte sie aus dem Internet herunterladen müssen.
- Windows Updates.
- Microsoft Store-Apps und App-Updates.
- Office Updates.
- Intune Win32-Apps.
Wenn auf den Übermittlungsoptimierungsdienst nicht zugegriffen werden kann, wird der Autopilot-Prozess weiterhin mit Übermittlungsoptimierungsdownloads aus der Cloud ohne Peer-to-Peer fortgesetzt.
NTP-Synchronisierung (Network Time Protocol)
Wenn ein Windows-Gerät gestartet wird, kommuniziert es mit einem Netzwerkzeitserver, um sicherzustellen, dass die Uhrzeit auf dem Gerät korrekt ist. Stellen Sie sicher, dass auf UDP-Port 123 zu time.windows.com zugegriffen werden kann.
Domain Name Services (DNS)
Um DNS-Namen für alle Dienste aufzulösen, kommuniziert das Gerät mit einem DNS-Server, der in der Regel über DHCP bereitgestellt wird. Dieser DNS-Server muss in der Lage sein, Internetnamen aufzulösen.
Diagnosedaten
Die Diagnosedatensammlung ist standardmäßig aktiviert. Informationen zum Deaktivieren von Windows Analytics und zugehörigen Diagnose Funktionen finden Sie unter Verwalten von Unternehmensdiagnosedaten.
Wenn das Gerät keine Diagnosedaten senden kann, wird der Autopilot-Prozess weiterhin fortgesetzt. Dienste, die von Diagnosedaten abhängig sind, z. B. Desktop Analytics, funktionieren jedoch nicht.
Netzwerkverbindungsstatusanzeige (NCSI)
Windows muss erkennen können, dass das Gerät auf das Internet zugreifen kann. Weitere Informationen finden Sie unter Netzwerkverbindungsstatusanzeige (NCSI).
*.msftconnecttest.com muss über DNS aufgelöst werden können und über HTTP zugänglich sein.
Windows-Benachrichtigungsdienste (WNS)
Dieser Dienst wird verwendet, damit Windows Benachrichtigungen von Apps und Diensten empfangen kann. Weitere Informationen finden Sie unter Microsoft Store.
Wenn die WNS-Dienste nicht verfügbar sind, wird der Autopilot-Prozess weiterhin ohne Benachrichtigungen fortgesetzt.
Microsoft Store, Microsoft Store für Unternehmen & Education
Apps im Microsoft Store können per Push auf das Gerät übertragen werden, indem sie über Intune (MDM) ausgelöst werden. App-Updates und zusätzliche Apps sind möglicherweise auch erforderlich, wenn sich der Benutzer zum ersten Mal anmeldet. Weitere Informationen finden Sie unter Voraussetzungen für Microsoft Store für Unternehmen und Bildungseinrichtungen. (Es enthält auch Microsoft Entra-ID und Windows Notification Services).
Wenn auf den Microsoft Store nicht zugegriffen werden kann, wird der Autopilot-Prozess weiterhin ohne Microsoft Store-Apps fortgesetzt.
Microsoft 365
Im Rahmen der Intune-Gerätekonfiguration ist möglicherweise die Installation von Microsoft 365 Apps for Enterprise erforderlich. Weitere Informationen finden Sie unter Office 365-URLs und -IP-Adressbereiche. Dieser Artikel enthält alle Office-Dienste, DNS-Namen und IP-Adressen. Sie enthält auch Microsoft Entra-ID und andere Dienste, die sich möglicherweise mit den zuvor aufgeführten Diensten überschneiden.
Zertifikatsperrlisten (CRLs)
Einige dieser Dienste müssen auch Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) auf Zertifikate überprüfen, die in den Diensten verwendet werden. Eine vollständige Liste finden Sie unter Office 365 URLs und IP-Adressbereiche und Office 365 Zertifikatketten.
Hybride Einbindung in Microsoft Entra
Wichtig
Microsoft empfiehlt die Bereitstellung neuer Geräte als cloudnativ mithilfe Microsoft Entra Joins. Die Bereitstellung neuer Geräte als Microsoft Entra Hybrid Join-Geräten wird nicht empfohlen, auch nicht über Autopilot. Weitere Informationen finden Sie unter Microsoft Entra und Microsoft Entra hybrid eingebundenen cloudnativen Endpunkten: Welche Option eignet sich für Ihre organization?
Das Gerät kann Microsoft Entra hybrid eingebunden werden. Der Computer sollte sich im internen Netzwerk befinden, damit Microsoft Entra Hybridjoin funktioniert. Weitere Informationen finden Sie unter Benutzergesteuerter Windows Autopilot-Modus.
Autopilot-Selbstbereitstellungsmodus und Autopilot-Vorabbereitstellung
Der TPM-Nachweisprozess erfordert Zugriff auf einen Satz von HTTPS-URLs, die für jeden TPM-Anbieter eindeutig sind. Stellen Sie den Zugriff auf dieses URL-Muster sicher: *.microsoftaik.azure.net.
Firmware-TPM-Geräte, die nur von Intel, AMD oder Qualcomm bereitgestellt werden, enthalten nicht alle erforderlichen Zertifikate zum Startzeitpunkt und müssen sie bei der ersten Verwendung vom Hersteller abrufen können. Auf Geräten mit diskreten TPM-Chips sind diese Zertifikate vorinstalliert. Zu diesen Geräten gehören Geräte von jedem anderen Hersteller. Weitere Informationen finden Sie unter TPM-Empfehlungen.
Stellen Sie für jeden Firmware-TPM-Anbieter sicher, dass auf die entsprechende URL zugegriffen werden kann, damit Zertifikate erfolgreich angefordert werden können. Zum Beispiel:
- Intel:
https://ekop.intel.com/ekcertservice - Qualcomm:
https://ekcert.spserv.microsoft.com/EKCertificate/GetEKCertificate/v1 - AMD:
https://ftpm.amd.com/pki/aia
Proxyeinstellungen
Die Bereitstellung von Proxyeinstellungen für Windows Autopilot sollte auf dem Proxyserver selbst konfiguriert werden. Die Implementierung von Proxyeinstellungen über die Intune-Richtlinie wird nicht vollständig unterstützt, da dies probleme und unerwartetes Verhalten bei Bereitstellungen mit privilegiertem Zugriff verursachen kann.
Nächste Schritte
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für