Freigeben über

Intune-Verwaltungserweiterung für Windows

Die Intune Management Extension (IME) ist ein Installations-Agent, der die Windows-Geräteverwaltung (MDM) verbessert. Es ergänzt das Standardmäßige Windows MDM-Feature, indem erweiterte Geräteverwaltungsfunktionen aktiviert werden.

Hinweis

Ausführliche Informationen zu PowerShell-Skripts finden Sie unter Verwenden von PowerShell-Skripts auf Windows 10/11-Geräten in Intune.

Wichtig

Um erweiterte Funktionen und Fehlerbehebungen zu unterstützen, verwenden Sie .NET Framework 4.7.2 oder höher mit der Intune-Verwaltungserweiterung auf Windows-Clients. Wenn ein Windows-Client eine frühere Version des .NET Framework verwendet, funktioniert die Intune-Verwaltungserweiterung weiterhin. Der .NET Framework 4.7.2 ist ab dem 10. Juli 2018 ab Windows Update verfügbar und in Windows 10 Version 1809 (RS5) und höher enthalten. Mehrere Versionen der .NET Framework können auf einem Gerät gleichzeitig vorhanden sein.

Diese Funktion gilt für:

  • Windows 10 und höher (ausgenommen Windows 10 Home- und Windows-Geräte, die im S Modus ausgeführt werden).

Hinweis

Nachdem die Voraussetzungen für die Intune Verwaltungserweiterung erfüllt sind, wird die Erweiterung automatisch installiert, wenn Sie dem Benutzer oder Gerät eine der folgenden Optionen zuweisen:

  • Ein PowerShell-Skript
  • Eine Win32-App
  • Eine Microsoft Store-App
  • Eine benutzerdefinierte Konformitätsrichtlinieneinstellung
  • Eine proaktive Korrektur

Weitere Informationen finden Sie unter Voraussetzungen für Intune Verwaltungserweiterung.

Voraussetzungen

Für die Intune-Verwaltungserweiterung sind folgende Voraussetzungen erforderlich. Wenn die Voraussetzungen erfüllt sind, wird die Intune-Verwaltungserweiterung automatisch installiert, wenn dem Benutzer oder Gerät ein PowerShell-Skript oder eine Win32-App zugewiesen wird.

  • Geräte mit Windows 10, Version 1607 oder höher. Wenn das Gerät mit der automatischen Registrierung registriert wird, muss es Windows 10 Version 1709 oder höher ausgeführt werden. Die Intune-Verwaltungserweiterung unterstützt Windows 10 im S-Modus nicht, da der S-Modus das Ausführen von Nicht-Store-Apps nicht zulässt.

  • Geräte, die mit Microsoft Entra ID verknüpft sind, einschließlich:

  • Bei Intune registrierte Geräte, wie u. a.:

    • Geräte, die mithilfe von Gruppenrichtlinien (GPO) registriert wurden. Weitere Informationen finden Sie unter Automatisches Registrieren eines Windows-Geräts mit Gruppenrichtlinie.

    • Geräte, die manuell in Intune registriert sind, tritt in folgenden Fällen auf:

      • Die automatische Registrierung bei Intune ist in Microsoft Entra ID aktiviert. Benutzer melden sich mit einem lokalen Benutzerkonto bei Geräten an und verknüpfen das Gerät manuell mit Microsoft Entra ID. Anschließend melden sie sich mit ihrem Microsoft Entra-Konto beim Gerät an.

      OR

      • Benutzer melden sich mit ihrem Microsoft Entra-Konto beim Gerät an und registrieren sich dann bei Intune.

    • Gemeinsam verwaltete Geräte mit Configuration Manager und Intune. Legen Sie beim Installieren von Win32-Apps die Workload Apps auf Pilot-Intune oder Intune fest. PowerShell-Skripts werden auch ausgeführt, wenn die Workload Apps auf Configuration Manager festgelegt ist. Die Intune-Verwaltungserweiterung wird auf einem Gerät bereitgestellt, wenn Sie ein PowerShell-Skript für das Gerät als Ziel verwenden. Das Gerät muss Microsoft Entra ID oder Microsoft Entra hybrid eingebunden sein und Windows 10 Version 1607 oder höher ausgeführt werden. Weitere Informationen finden Sie in den folgenden Artikeln:

  • Aktivieren Sie für Geräte hinter Firewalls und Proxyservern die Kommunikation für Intune. Weitere Informationen finden Sie unter Netzwerkanforderungen für PowerShell-Skripts und Win32-Apps.

Hinweis

Ausführliche Informationen zur Verwendung von Windows 10 oder Windows 11 virtuellen Computern finden Sie unter Verwenden von Windows 10 virtuellen Computern mit Microsoft Intune.

Grundlegendes zur Installation Intune Verwaltungserweiterungs-Agents

Bei Geräten, die die Voraussetzungen erfüllen, wird die Intune-Verwaltungserweiterung automatisch installiert, wenn einem Benutzer oder Gerät bestimmte Features zugewiesen werden. Die Installation erfolgt in der Regel, wenn die folgenden Features zugewiesen sind:

Hinweis

Ausführliche Informationen zum Rollout und Zur Aktualisierung des IME finden Sie unter Dienstinformationen für Microsoft Intune Releaseupdates.

Der Agent wird ggf. unter C:\ProgramData\Microsoft\IntuneManagementExtension\Logs installiert und nicht im Startmenü auf Windows-Geräten angezeigt. Der Agent wird unter Dienste im Task-Manager als IntuneManagementExtension angezeigt, wenn er auf Windows-Geräten ausgeführt wird.

Funktionalität der Intune-Verwaltungserweiterung

  • Der IME authentifiziert sich automatisch bei Intune-Diensten, bevor er eincheckt, um zugewiesene Installationen für das Windows-Gerät zu empfangen.
  • Der IME sucht etwa alle 8 Stunden nach neuen oder aktualisierten Installationen mit Intune Diensten. Dieser Check-In-Prozess ist unabhängig vom MDM-Check-In.

Manuelles Initiieren eines Intune Management-IME-Check-Ins von einem Windows-Gerät aus

Öffnen Sie auf einem Windows-Gerät, auf dem der IME installiert ist, Unternehmensportal, und wählen Sie Einstellungen>Synchronisieren aus. Dadurch werden ein MDM-Check-In und ein IME-Check-In initiiert.

Öffnen Sie alternativ den Task-Manager, suchen Sie den Dienst IntuneManagementExtension, klicken Sie mit der rechten Maustaste, und wählen Sie Neu starten aus. Der IntuneManagementExtension Dienst wird sofort neu gestartet, wodurch ein Check-In mit Intune initiiert wird.

Hinweis

Die Synchronisierungsaktionen über die Einstellungen-App (Windows 10 oder höher) oder Geräte in Microsoft Intune Admin Center initiieren einen MDM-Check-In, erzwingen jedoch keinen IME-Check-In.

Entfernen der Intune-Verwaltungserweiterung

Der IME wird unter den folgenden Bedingungen vom Gerät entfernt:

  • Shellskripts werden dem Gerät nicht mehr zugewiesen.
  • Das Windows-Gerät wird nicht mehr verwaltet.
  • Der IME befindet sich mehr als 24 Stunden in einem unwiederbringlichen Zustand (Aktivierungszeit des Geräts).

Häufige Probleme und Lösungen

Problem: Die Intune-Verwaltungserweiterung kann nicht heruntergeladen werden

Mögliche Lösungen:

  • Das Gerät ist nicht mit Microsoft Entra ID verknüpft. Stellen Sie sicher, dass die Geräte die Voraussetzungen in diesem Artikel erfüllen.
  • Den Gruppen, zu denen der Benutzer oder das Gerät gehört, sind keine PowerShell-Skripts oder Win32-Apps zugewiesen.
  • Das Gerät kann nicht beim Intune-Dienst einchecken. Beispielsweise gibt es keinen Internetzugriff oder keinen Zugriff auf Windows-Pushbenachrichtigungsdienste (WNS).
  • Das Gerät befindet sich im S Modus. Die Intune-Verwaltungserweiterung unterstützt keine Geräte, die im S Modus ausgeführt werden.
  • Wenn der Proxy auf Windows 10 Geräten nur auf Benutzerebene (und nicht auf computerweiter Ebene) konfiguriert ist, stellen Sie sicher, dass ein Benutzer beim Gerät angemeldet ist. Alternativ können Sie verwenden bitsadmin /util /setieproxy , um den Proxy für bits (Background Intelligent Transfer Service) manuell zu konfigurieren. Weitere Informationen finden Sie unter bitsadmin util und setieproxy.

So überprüfen Sie, ob das Gerät automatisch registriert wird:

  1. Navigieren Sie zu Einstellungen>Konten>Access work or school (Zugriff auf Geschäfts-, Schul- oder Unikonto).
  2. Wählen Sie die Informationen zum verknüpften Konto >aus.
  3. Wählen Sie unter Advanced Diagnostic Report (Erweiterter Diagnosebericht) Create Report (Bericht erstellen) aus.
  4. Öffnen Sie MDMDiagReport in einem Webbrowser.
  5. Suchen Sie nach der Eigenschaft MDMDeviceWithAAD. Wenn die Eigenschaft vorhanden ist, wird das Gerät automatisch registriert. Wenn diese Eigenschaft nicht vorhanden ist, wird das Gerät nicht automatisch registriert.

Die automatische Windows-Registrierung aktivieren umfasst die Schritte zum Konfigurieren der automatischen Registrierung in Intune.

Protokolle zur Intune-Verwaltungserweiterung

IME-Protokolle auf dem Clientcomputer befinden sich in der Regel in C:\ProgramData\Microsoft\IntuneManagementExtension\Logs. Verwenden Sie CMTrace.exe , um diese Protokolldateien anzuzeigen.

Screenshot oder Beispiel-Agent-Protokolle von CMTrace in Microsoft Intune

Verwenden Sie darüber hinaus die Protokolldatei AppWorkload.log , um Win32-App-Verwaltungsereignisse auf dem Client zu behandeln und zu analysieren. Diese Protokolldatei enthält alle Protokollierungsinformationen im Zusammenhang mit App-Bereitstellungsaktivitäten, die vom IME durchgeführt werden.

IME-Protokolldateien

Protokolldatei Beschreibung
IntuneManagementExtension.log Die Standard Protokolldatei. Sie enthält alle IME-Check-Ins, Richtlinienanforderungen, Richtlinienverarbeitungs- und Berichtsaktivitäten.
AgentExecutor.log Verfolgt PowerShell-Skriptausführungen nach (bereitgestellt von Intune).
AppActionProcessor.log Verfolgt Erkennungs- und Anwendbarkeitsprüfungsaktionen für zugewiesene Apps nach.
AppWorkload.log Hilft bei der Problembehandlung und Analyse von Win32-App-Bereitstellungsaktivitäten.
ClientCertCheck.log Verfolgt Überprüfungen des Geräteclientzertifikats nach.
ClientHealth.log Verfolgt die Integrität der Intune-Verwaltungserweiterung nach.
DeviceHealthMonitoring.log Verfolgt die Integrität der Hardwarebereitschaft, des Gerätebestands und anderer Datensammler nach.
HealthScripts.log Verfolgt die Integrität von Korrekturen nach, die nach einem regelmäßigen Zeitplan ausgeführt werden.
Sensor.log Verfolgt die Integrität des Endpunktanalysedatensammlers, einschließlich Startleistung, App-Zuverlässigkeit und mehr.
Win32AppInventory.log Verfolgt die Integrität des App-Bestandssammlers nach.

Nächste Schritte