Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Intune Management Extension (IME) ist ein Installations-Agent, der die Windows-Geräteverwaltung (MDM) verbessert. Es ergänzt das Standardmäßige Windows MDM-Feature, indem erweiterte Geräteverwaltungsfunktionen aktiviert werden.
Hinweis
Ausführliche Informationen zu PowerShell-Skripts finden Sie unter Verwenden von PowerShell-Skripts auf Windows 10/11-Geräten in Intune.
Wichtig
Um erweiterte Funktionen und Fehlerbehebungen zu unterstützen, verwenden Sie .NET Framework 4.7.2 oder höher mit der Intune-Verwaltungserweiterung auf Windows-Clients. Wenn ein Windows-Client eine frühere Version des .NET Framework verwendet, funktioniert die Intune-Verwaltungserweiterung weiterhin. Der .NET Framework 4.7.2 ist ab dem 10. Juli 2018 ab Windows Update verfügbar und in Windows 10 Version 1809 (RS5) und höher enthalten. Mehrere Versionen der .NET Framework können auf einem Gerät gleichzeitig vorhanden sein.
Diese Funktion gilt für:
- Windows 10 und höher (ausgenommen Windows 10 Home- und Windows-Geräte, die im S Modus ausgeführt werden).
Hinweis
Nachdem die Voraussetzungen für die Intune Verwaltungserweiterung erfüllt sind, wird die Erweiterung automatisch installiert, wenn Sie dem Benutzer oder Gerät eine der folgenden Optionen zuweisen:
- Ein PowerShell-Skript
- Eine Win32-App
- Eine Microsoft Store-App
- Eine benutzerdefinierte Konformitätsrichtlinieneinstellung
- Eine proaktive Korrektur
Weitere Informationen finden Sie unter Voraussetzungen für Intune Verwaltungserweiterung.
Voraussetzungen
Für die Intune-Verwaltungserweiterung sind folgende Voraussetzungen erforderlich. Wenn die Voraussetzungen erfüllt sind, wird die Intune-Verwaltungserweiterung automatisch installiert, wenn dem Benutzer oder Gerät ein PowerShell-Skript oder eine Win32-App zugewiesen wird.
Geräte mit Windows 10, Version 1607 oder höher. Wenn das Gerät mit der automatischen Registrierung registriert wird, muss es Windows 10 Version 1709 oder höher ausgeführt werden. Die Intune-Verwaltungserweiterung unterstützt Windows 10 im S-Modus nicht, da der S-Modus das Ausführen von Nicht-Store-Apps nicht zulässt.
Geräte, die mit Microsoft Entra ID verknüpft sind, einschließlich:
Microsoft Entra hybrid eingebunden: Geräte, die mit Microsoft Entra ID und lokales Active Directory (AD) verknüpft sind. Anleitungen finden Sie unter Planen ihrer Microsoft Entra Hybrid Join-Implementierung.
Microsoft Entra registriert/Arbeitsplatzbeitritt (WPJ): Geräte, die in Microsoft Entra ID registriert sind. Weitere Informationen finden Sie unter Workplace Join als nahtlose Authentifizierung mit zweitem Faktor. In der Regel handelt es sich dabei um BYOD-Geräte (Bring Your Own Device) mit einem Geschäfts-, Schul- oder Unikonto, das über Einstellungen>Konten>Zugriff auf Geschäfts-, Schul- oder Unikonten hinzugefügt wurde.
Bei Intune registrierte Geräte, wie u. a.:
Geräte, die mithilfe von Gruppenrichtlinien (GPO) registriert wurden. Weitere Informationen finden Sie unter Automatisches Registrieren eines Windows-Geräts mit Gruppenrichtlinie.
Geräte, die manuell in Intune registriert sind, tritt in folgenden Fällen auf:
- Die automatische Registrierung bei Intune ist in Microsoft Entra ID aktiviert. Benutzer melden sich mit einem lokalen Benutzerkonto bei Geräten an und verknüpfen das Gerät manuell mit Microsoft Entra ID. Anschließend melden sie sich mit ihrem Microsoft Entra-Konto beim Gerät an.
OR
- Benutzer melden sich mit ihrem Microsoft Entra-Konto beim Gerät an und registrieren sich dann bei Intune.
Gemeinsam verwaltete Geräte mit Configuration Manager und Intune. Legen Sie beim Installieren von Win32-Apps die Workload Apps auf Pilot-Intune oder Intune fest. PowerShell-Skripts werden auch ausgeführt, wenn die Workload Apps auf Configuration Manager festgelegt ist. Die Intune-Verwaltungserweiterung wird auf einem Gerät bereitgestellt, wenn Sie ein PowerShell-Skript für das Gerät als Ziel verwenden. Das Gerät muss Microsoft Entra ID oder Microsoft Entra hybrid eingebunden sein und Windows 10 Version 1607 oder höher ausgeführt werden. Weitere Informationen finden Sie in den folgenden Artikeln:
Aktivieren Sie für Geräte hinter Firewalls und Proxyservern die Kommunikation für Intune. Weitere Informationen finden Sie unter Netzwerkanforderungen für PowerShell-Skripts und Win32-Apps.
Hinweis
Ausführliche Informationen zur Verwendung von Windows 10 oder Windows 11 virtuellen Computern finden Sie unter Verwenden von Windows 10 virtuellen Computern mit Microsoft Intune.
Grundlegendes zur Installation Intune Verwaltungserweiterungs-Agents
Bei Geräten, die die Voraussetzungen erfüllen, wird die Intune-Verwaltungserweiterung automatisch installiert, wenn einem Benutzer oder Gerät bestimmte Features zugewiesen werden. Die Installation erfolgt in der Regel, wenn die folgenden Features zugewiesen sind:
- PowerShell-Skripts
- Korrekturen
- Ermittlungsskripts für benutzerdefinierte Compliance
- Win32-Apps
- Endpunktanalyse
- Remotehilfe
- Verwaltete Installationsprogramme in Intune
- Aktualisieren des Windows-BIOS mithilfe der MDM-Konfigurationsrichtlinie
Hinweis
Ausführliche Informationen zum Rollout und Zur Aktualisierung des IME finden Sie unter Dienstinformationen für Microsoft Intune Releaseupdates.
Der Agent wird ggf. unter C:\ProgramData\Microsoft\IntuneManagementExtension\Logs
installiert und nicht im Startmenü auf Windows-Geräten angezeigt. Der Agent wird unter Dienste im Task-Manager als IntuneManagementExtension angezeigt, wenn er auf Windows-Geräten ausgeführt wird.
Funktionalität der Intune-Verwaltungserweiterung
- Der IME authentifiziert sich automatisch bei Intune-Diensten, bevor er eincheckt, um zugewiesene Installationen für das Windows-Gerät zu empfangen.
- Der IME sucht etwa alle 8 Stunden nach neuen oder aktualisierten Installationen mit Intune Diensten. Dieser Check-In-Prozess ist unabhängig vom MDM-Check-In.
Manuelles Initiieren eines Intune Management-IME-Check-Ins von einem Windows-Gerät aus
Öffnen Sie auf einem Windows-Gerät, auf dem der IME installiert ist, Unternehmensportal, und wählen Sie Einstellungen>Synchronisieren aus. Dadurch werden ein MDM-Check-In und ein IME-Check-In initiiert.
Öffnen Sie alternativ den Task-Manager, suchen Sie den Dienst IntuneManagementExtension, klicken Sie mit der rechten Maustaste, und wählen Sie Neu starten aus. Der IntuneManagementExtension
Dienst wird sofort neu gestartet, wodurch ein Check-In mit Intune initiiert wird.
Hinweis
Die Synchronisierungsaktionen über die Einstellungen-App (Windows 10 oder höher) oder Geräte in Microsoft Intune Admin Center initiieren einen MDM-Check-In, erzwingen jedoch keinen IME-Check-In.
Entfernen der Intune-Verwaltungserweiterung
Der IME wird unter den folgenden Bedingungen vom Gerät entfernt:
- Shellskripts werden dem Gerät nicht mehr zugewiesen.
- Das Windows-Gerät wird nicht mehr verwaltet.
- Der IME befindet sich mehr als 24 Stunden in einem unwiederbringlichen Zustand (Aktivierungszeit des Geräts).
Häufige Probleme und Lösungen
Problem: Die Intune-Verwaltungserweiterung kann nicht heruntergeladen werden
Mögliche Lösungen:
- Das Gerät ist nicht mit Microsoft Entra ID verknüpft. Stellen Sie sicher, dass die Geräte die Voraussetzungen in diesem Artikel erfüllen.
- Den Gruppen, zu denen der Benutzer oder das Gerät gehört, sind keine PowerShell-Skripts oder Win32-Apps zugewiesen.
- Das Gerät kann nicht beim Intune-Dienst einchecken. Beispielsweise gibt es keinen Internetzugriff oder keinen Zugriff auf Windows-Pushbenachrichtigungsdienste (WNS).
- Das Gerät befindet sich im S Modus. Die Intune-Verwaltungserweiterung unterstützt keine Geräte, die im S Modus ausgeführt werden.
- Wenn der Proxy auf Windows 10 Geräten nur auf Benutzerebene (und nicht auf computerweiter Ebene) konfiguriert ist, stellen Sie sicher, dass ein Benutzer beim Gerät angemeldet ist. Alternativ können Sie verwenden
bitsadmin /util /setieproxy
, um den Proxy für bits (Background Intelligent Transfer Service) manuell zu konfigurieren. Weitere Informationen finden Sie unter bitsadmin util und setieproxy.
So überprüfen Sie, ob das Gerät automatisch registriert wird:
- Navigieren Sie zu Einstellungen>Konten>Access work or school (Zugriff auf Geschäfts-, Schul- oder Unikonto).
- Wählen Sie die Informationen zum verknüpften Konto >aus.
- Wählen Sie unter Advanced Diagnostic Report (Erweiterter Diagnosebericht) Create Report (Bericht erstellen) aus.
- Öffnen Sie
MDMDiagReport
in einem Webbrowser. - Suchen Sie nach der Eigenschaft MDMDeviceWithAAD. Wenn die Eigenschaft vorhanden ist, wird das Gerät automatisch registriert. Wenn diese Eigenschaft nicht vorhanden ist, wird das Gerät nicht automatisch registriert.
Die automatische Windows-Registrierung aktivieren umfasst die Schritte zum Konfigurieren der automatischen Registrierung in Intune.
Protokolle zur Intune-Verwaltungserweiterung
IME-Protokolle auf dem Clientcomputer befinden sich in der Regel in C:\ProgramData\Microsoft\IntuneManagementExtension\Logs
. Verwenden Sie CMTrace.exe , um diese Protokolldateien anzuzeigen.
Verwenden Sie darüber hinaus die Protokolldatei AppWorkload.log , um Win32-App-Verwaltungsereignisse auf dem Client zu behandeln und zu analysieren. Diese Protokolldatei enthält alle Protokollierungsinformationen im Zusammenhang mit App-Bereitstellungsaktivitäten, die vom IME durchgeführt werden.
IME-Protokolldateien
Protokolldatei | Beschreibung |
---|---|
IntuneManagementExtension.log | Die Standard Protokolldatei. Sie enthält alle IME-Check-Ins, Richtlinienanforderungen, Richtlinienverarbeitungs- und Berichtsaktivitäten. |
AgentExecutor.log | Verfolgt PowerShell-Skriptausführungen nach (bereitgestellt von Intune). |
AppActionProcessor.log | Verfolgt Erkennungs- und Anwendbarkeitsprüfungsaktionen für zugewiesene Apps nach. |
AppWorkload.log | Hilft bei der Problembehandlung und Analyse von Win32-App-Bereitstellungsaktivitäten. |
ClientCertCheck.log | Verfolgt Überprüfungen des Geräteclientzertifikats nach. |
ClientHealth.log | Verfolgt die Integrität der Intune-Verwaltungserweiterung nach. |
DeviceHealthMonitoring.log | Verfolgt die Integrität der Hardwarebereitschaft, des Gerätebestands und anderer Datensammler nach. |
HealthScripts.log | Verfolgt die Integrität von Korrekturen nach, die nach einem regelmäßigen Zeitplan ausgeführt werden. |
Sensor.log | Verfolgt die Integrität des Endpunktanalysedatensammlers, einschließlich Startleistung, App-Zuverlässigkeit und mehr. |
Win32AppInventory.log | Verfolgt die Integrität des App-Bestandssammlers nach. |
Nächste Schritte
- Die von Ihnen erstellte App wird in der Liste der Apps angezeigt. Weisen Sie sie den von Ihnen ausgewählten Gruppen zu. Weitere Informationen finden Sie unter Zuweisen von Apps zu Gruppen mit Microsoft Intune.
- Erfahren Sie mehr über das Überwachen von App-Eigenschaften und -Zuweisungen. Weitere Informationen finden Sie unter Überwachen von App-Informationen und -Zuweisungen mit Microsoft Intune.
- Erfahren Sie mehr über den Kontext Ihrer App in Intune. Weitere Informationen finden Sie unter Übersicht über den Lebenszyklus der Microsoft Intune Mobile Device Management (MDM).