Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Ohne die richtigen Tools und Ressourcen kann die Verwaltung von Hunderten oder Tausenden von Geräten in einer Schulumgebung eine komplexe und zeitaufwändige Aufgabe sein. Microsoft Intune ist eine Sammlung von Diensten, die die Verwaltung von Geräten im großen Stil vereinfacht.
Der Microsoft Intune-Dienst kann auf unterschiedliche Weise verwaltet werden.
Intune Admin Center ist die primäre Intune-Schnittstelle, die den gesamten Gerätelebenszyklus von der Registrierungsphase bis zur Deaktivierung unterstützt. IT-Administratoren können alle Einstellungen auf allen Intune unterstützten Plattformen verwalten.
Intune for Education ist eine kuratierte Ansicht von Intune, die den gesamten Gerätelebenszyklus von der Registrierungsphase bis zur Deaktivierung unterstützt. IT-Administratoren können mit der Verwaltung von Classroom-Geräten mit Massenregistrierungsoptionen und einer optimierten Bereitstellung beginnen. Am Ende des Schuljahres können IT-Administratoren Geräte zurücksetzen, um sicherzustellen, dass sie für das nächste Jahr bereit sind.
Weitere Informationen finden Sie in der Dokumentation Intune für Bildungseinrichtungen.
Tipp
Intune und Intune for Education konfigurieren den Intune-Dienst. Änderungen, die in einer Konsole vorgenommen werden, werden in der anderen angezeigt. Intune for Education unterstützt jedoch nur eine Teilmenge von Richtlinien und Apps, die für einfache K-12-Szenarien unter Windows und iPadOS zusammengestellt wurden.
In diesem Abschnitt werden Sie Folgendes tun:
- Überprüfen der Lizenzierungsvoraussetzungen für Intune
- Konfigurieren des Intune-Diensts für Bildungseinrichtungen
Voraussetzungen
✅ Sehen Sie sich die Anforderungen für die Geräteverwaltung an.
Berücksichtigen Sie vor dem Konfigurieren von Einstellungen mit Intune die folgenden Voraussetzungen:
- Intune-Abonnement. Microsoft Intune wird auf drei Arten lizenziert:
- Als eigenständiger Dienst
- Im Rahmen von Enterprise Mobility + Security
- Als Teil eines Microsoft 365 Education-Abonnements
- Intune für Education-Geräteplattformen. Intune for Education kann Geräte verwalten, auf denen eine unterstützte Version von Windows 10, Windows 11, Windows 11 SE und iPadOS ausgeführt wird.
- Intune Geräteplattformen. Intune können Geräte verwalten, auf denen eine unterstützte Version von Windows 10, Windows 11, Windows 11 SE, iOS, iPadOS, macOS, Android und Linux ausgeführt wird.
- Netzwerkanforderungen Vergewissern Sie sich, dass alle erforderlichen Netzwerkendpunkte ohne SSL-Überprüfung oder filterungsfrei zugreifen können. Eine Liste der Endpunkte finden Sie unter Netzwerkendpunkte für Microsoft Intune.
Weitere Informationen finden Sie unter Intune Lizenzierung und in diesem Vergleichsblatt, das eine Tabelle enthält, die den Microsoft Modern Work Plan for Education enthält.
Konfigurieren des Intune-Diensts für Bildungseinrichtungen
Der Intune-Dienst kann abhängig von den Anforderungen Ihrer Bildungseinrichtung auf unterschiedliche Weise konfiguriert werden. In diesem Abschnitt konfigurieren Sie den Intune-Dienst mithilfe von Einstellungen, die häufig von K-12-Schulbezirken implementiert werden.
Konfigurieren von Registrierungseinschränkungen
✅ Einschränken, welche Geräte verwaltet werden können
Mit Registrierungseinschränkungen steuern Sie, welche Geräte von Intune registriert und verwaltet werden können. Beispielsweise können Sie die Registrierung von persönlichen Geräten verhindern.
So blockieren Sie die Registrierung persönlicher Geräte:
- Melden Sie sich beim Microsoft Intune Admin Center an.
- Wählen Sie Geräte>Geräte registrieren>Geräteplattformeinschränkungen aus.
- Wählen Sie die Registerkarte für die Plattform aus, die Sie einschränken möchten.
- Klicken Sie auf Erstellen, um die Einschränkung zu erstellen.
- Geben Sie auf der Seite Grundlagen einen Namen für die Einschränkung und optional eine Beschreibung >Weiter an.
- Wählen Sie auf der Seite Plattformeinstellungen im Feld Persönliche Geräte die OptionWeiterblockieren> aus.
- Fügen Sie optional auf der Seite Bereichstags Bereichstags >als Nächstes hinzu.
- Wählen Sie auf der Seite Zuweisungen die Option Gruppen hinzufügen aus, und verwenden Sie dann das Suchfeld, um Gruppen zu suchen und auszuwählen, auf die Sie die Einschränkung >Weiter anwenden möchten.
- Wählen Sie auf der Seite Überprüfen + erstellendie Option Erstellen aus, um die Einschränkung zu speichern.
Weitere Informationen finden Sie unter Plattformbeschränkung für Geräte erstellen.
Optionale Konfiguration
✅ Konfigurieren einer optionalen Mandantenkonfiguration
- Passen Sie das Branding gemäß organization Richtlinien an. Weitere Informationen finden Sie unter Konfigurieren der Intune-Unternehmensportal-Apps, Unternehmensportal Website und Intune App.
- Erstellen Sie Geschäftsbedingungen gemäß organization Richtlinien. Weitere Informationen finden Sie unter Nutzungsbedingungen für den Benutzerzugriff.
Konfigurieren der Windows-Registrierung
✅ Konfigurieren, welche Benutzer Windows-Geräte registrieren können
- Melden Sie sich beim Microsoft Intune Admin Center an.
- Wählen Sie Geräte>Geräte registrieren>Automatische Registrierung aus.
- Legen Sie den MDM-Benutzerbereich auf Alle oder Einige fest, und wählen Sie eine Gruppe aus, wenn Sie die Registrierung auf bestimmte Benutzer beschränken möchten.
Wichtig
Der MDM-Benutzerbereich muss auf Alle festgelegt werden, wenn Bereitstellungs-Pacakges zum Registrieren von Geräten verwendet werden.
- Legen Sie MAM-Benutzerbereich auf Keine fest.
- Klicken Sie auf Speichern.
Weitere Informationen finden Sie unter Aktivieren der automatischen Windows-Registrierung.
Deaktivieren von Windows Hello for Business
✅ Deaktivieren der Funktionalität, auf die normalerweise für Kursteilnehmer nicht zugegriffen werden kann
Windows Hello for Business ist eine biometrische Authentifizierungsfunktion, mit der sich Benutzer mit einer PIN, einem Kennwort oder einem Fingerabdruck bei ihren Geräten anmelden können. Windows Hello for Business auf Windows-Geräten standardmäßig aktiviert ist, müssen Benutzer die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) ausführen, um sie einzurichten. Daher ist dieses Feature möglicherweise nicht ideal für Kursteilnehmer, für die MFA möglicherweise nicht aktiviert ist.
Tipp
Kennwortlos für Studenten
Wenn Sie daran interessiert sind, Windows Hello for Business mit Kursteilnehmern zu verwenden, lesen Sie möglicherweise unsere Anleitung zur Verwendung des befristeten Zugriffspasses. Weitere Informationen finden Sie unter Kennwortlos für Kursteilnehmer.
Es ist üblich, dass Windows Hello for Business auf Mandantenebene deaktiviert wird. Anschließend kann eine Richtlinie für Benutzer oder Geräte festgelegt werden, die sie benötigen. Zum Beispiel Mitarbeiter und Lehrer.
So deaktivieren Sie Windows Hello for Business auf Mandantenebene:
- Melden Sie sich beim Microsoft Intune Admin Center an.
- Wählen Sie Geräte>nach Plattform> Registrierung fürdas Onboarding> vonWindows-Geräten>aus.
- Wählen Sie Windows Hello for Business aus.
- Stellen Sie sicher, dass Windows Hello for Business konfigurieren auf deaktiviert festgelegt ist.
- Klicken Sie auf Speichern.
Weitere Informationen zum Aktivieren von Windows Hello for Business auf bestimmten Geräten finden Sie unter Erstellen einer Windows Hello for Business Richtlinie.
Konfigurieren Intune Datensammlungsrichtlinie
✅ Konfigurieren der Endpunktanalyse
Intune benötigt die Berechtigung zum Sammeln von Daten für die Endpunktanalyse auf Windows-Geräten.
So aktivieren Sie die Datensammlung:
- Melden Sie sich beim Microsoft Intune Admin Center an.
- Wählen Sie Berichte>Endpunktanalyseeinstellungen> aus.
- Wählen Sie unter Intune DatensammlungsrichtlinieIntune Datensammlungsrichtlinie aus.
- Wählen Sie Eigenschaften aus.
- Wählen Sie unter Konfigurationseinstellungendie Option Bearbeiten aus.
- Legen Sie Die Integritätsüberwachung auf Aktivieren fest.
- Wählen Sie Bereich aus, und klicken Sie auf Endpunktanalyse.
- Klicken Sie auf Überprüfen und speichern.
- Klicken Sie auf Speichern.
Weitere Informationen zur Datensammlung finden Sie unter Endpunktanalysedatensammlung.
Konfigurieren von Windows-Daten
✅ Konfigurieren der Windows-Dateneinstellungen des Mandanten
Intune benötigt die Berechtigung, bestimmte Daten für Windows Update-Berichte auf Windows-Geräten zu sammeln.
- Melden Sie sich beim Microsoft Intune Admin Center an.
- Auswählen von Mandantenverwaltungsconnectors>und Token>Windows-Daten
- Wählen Sie unter Windows-Datendie Option Ein aus.
- Lesen Sie den Abschnitt Windows-Lizenzüberprüfung , und konfigurieren Sie sie gemäß Ihrer Lizenzierung.
- Klicken Sie auf Speichern.
Weitere Informationen finden Sie unter Aktivieren der Verwendung von Windows-Diagnosedaten durch Intune.
Konfigurieren Diagnose von Windows-Geräten
✅ Remoteabruf von Diagnoseinformationen zulassen
- Melden Sie sich beim Microsoft Intune Admin Center an.
- Wählen Sie Mandantenverwaltung>Geräte Diagnose aus.
- Konfigurieren Sie Die Einstellungen gemäß Ihren Anforderungen.
Diese Tabelle enthält die Einstellungen, die am häufigsten von Kunden festgelegt werden, können jedoch an die Anforderungen Ihrer Bildungseinrichtungen angepasst werden.
| Einstellung | Allgemeine Konfiguration |
|---|---|
| Geräte Diagnose sind für unternehmensseitig verwaltete Geräte verfügbar, auf denen Windows 10, Version 1909 und höher oder Windows 11 ausgeführt wird. Die Diagnose kann benutzeridentifizierbare Informationen wie Benutzer- oder Gerätename enthalten. | Aktiviert |
| Erfassen Sie automatisch Diagnose, wenn bei Geräten während des Windows Autopilot-Prozesses auf Windows 10 Version 1909 oder höher ein Fehler auftritt und Windows 11. Die Diagnose kann benutzeridentifizierbare Informationen wie Benutzer- oder Gerätename enthalten. | Aktiviert |
Weitere Informationen finden Sie unter Sammeln von Diagnose von einem Windows-Gerät.
(Optional) Konfigurieren der Seite "Registrierungsstatus"
Erwägen Sie die Aktivierung der Registrierungsstatusseite, wenn Sie Windows Autopilot zum Registrieren von Windows-Geräten in Intune verwenden möchten.
Die Registrierungsstatusseite (ESP) zeigt den Bereitstellungsstatus für Personen an, die Windows-Geräte registrieren und sich zum ersten Mal anmelden. Sie können den ESP so konfigurieren, dass die Gerätenutzung blockiert wird, bis alle erforderlichen Richtlinien und Anwendungen installiert sind. Gerätebenutzer können sich das ESP ansehen, um zu verfolgen, wie weit ihr Gerät im Einrichtungsprozess fortgeschritten ist.
Zusätzliche Informationen:
Diese Tabelle enthält die Einstellungen, die am häufigsten von Kunden festgelegt werden, können jedoch an die Anforderungen Ihrer Bildungseinrichtungen angepasst werden.
| Klinge | Konfigurationsgruppe | Einstellung | Wert |
|---|---|---|---|
| Windows-Registrierung | Seite "Allgemein\Registrierungsstatus" | Standard\Fortschritt der App- und Profilkonfiguration anzeigen | Ja |
| Windows-Registrierung | Seite "Allgemein\Registrierungsstatus" | Standard\Fehler anzeigen, wenn die Installation länger als die angegebene Anzahl von Minuten dauert | 120 |
| Windows-Registrierung | Seite "Allgemein\Registrierungsstatus" | Default\Show custom message when time limit or error (Standard\Benutzerdefinierte Meldung anzeigen, wenn ein Zeitlimit oder Fehler auftritt) | Ja |
| Windows-Registrierung | Seite "Allgemein\Registrierungsstatus" | Standard\Seite "Protokollsammlung und Diagnose für Endbenutzer aktivieren" | Ja |
| Windows-Registrierung | Seite "Allgemein\Registrierungsstatus" | Standard\Seite nur für Geräte anzeigen, die von der Out-of-Box-Benutzeroberfläche (OOBE) bereitgestellt werden | Ja |
| Windows-Registrierung | Seite "Allgemein\Registrierungsstatus" | Registrierungsstatusseite\Standard\Geräteverwendung blockieren, bis erforderliche Apps installiert sind, wenn sie dem Benutzer/Gerät zugewiesen sind |
Alle oder Ausgewählt mit den mindestens erforderlichen Apps. Beispielsweise Microsoft 365-Apps oder Softtware zum Filtern von Webinhalten |
Einrichten des Apple MDM-Zertifikats
Informationen zum Einrichten eines Apple MDM-Zertifikats finden Sie unter Abrufen eines Apple MDM-Pushzertifikats.
Wichtig
Das Apple MDM-Zertifikat muss jährlich erneuert werden. Notieren Sie sich in Ihrem Kalender, um das Zertifikat in knapp einem Jahr nach dem Hinzufügen des Zertifikats zu verlängern. Sie können das Ablaufdatum jederzeit in der Konsole anzeigen.
Konfigurieren des Volumenkaufprogramms (Volume Purchase Program, VPP)
Informationen zum Einrichten eines Apple VPP finden Sie unter Verwalten von iOS- und macOS-Apps, die über Apple Business Manager mit Microsoft Intune erworben wurden.
Wichtig
Das Apple VPP-Token muss jährlich erneuert werden. Notieren Sie sich in Ihrem Kalender, um das Token in knapp einem Jahr nach dem Hinzufügen des Tokens zu verlängern. Sie können das Ablaufdatum jederzeit in der Konsole anzeigen.
Konfigurieren der automatisierten Geräteregistrierung (ADE)
Wenn Sie Apple School Manager integrieren und die automatisierte Geräteregistrierung verwenden möchten, führen Sie die folgenden Schritte aus.
Informationen zum Einrichten eines Apple MDM-Zertifikats finden Sie unter Einrichten der automatisierten Geräteregistrierung in Intune.
Wichtig
Das Apple ADE-Token muss jährlich erneuert werden. Notieren Sie sich in Ihrem Kalender, um das Token in knapp einem Jahr nach dem Hinzufügen des Tokens zu verlängern. Sie können das Ablaufdatum jederzeit in der Konsole anzeigen.
Nächste Schritte
Wenn der Intune-Dienst konfiguriert ist, können Sie Richtlinien und Anwendungen konfigurieren, um die Bereitstellung von Geräten von Schülern und Lehrern vorzubereiten.