Schritt 5: Registrieren von Geräten in Microsoft Intune
In der letzten Phase der Bereitstellung werden Geräte registriert oder in Microsoft Entra ID eingebunden, in Microsoft Intune registriert und auf Konformität überprüft.
Während der Registrierung installiert Microsoft Intune ein MDM-Zertifikat (Mobile Device Management, Verwaltung mobiler Geräte) auf dem Gerät, mit dem Intune Registrierungsprofile, Registrierungseinschränkungen und die Zuvor in diesem Leitfaden erstellten Richtlinien und Profile erzwingen können.
Inhalt dieses Artikels
- Vorbereiten der Registrierung in Microsoft Intune für unternehmenseigene und benutzereigene Geräte.
- Registrierungsoptionen für jede Betriebssystemplattform.
- Überwachung, Problembehandlung und Ressourcen nach der Registrierung.
Erste Schritte
Wenn Sie registrierungsprofile zum ersten Mal mit Intune bereitstellen oder eine neue Konfiguration ausprobieren, beginnen Sie klein, und verwenden Sie einen mehrstufigen Ansatz. Weisen Sie das Registrierungsprofil einer Pilot- oder Testgruppe zu. Nach ersten Tests können Sie der Pilotgruppe weitere Benutzer hinzufügen. Wenn alles gut läuft, weisen Sie das Registrierungsprofil weiteren Pilotgruppen zu. Weitere Informationen und Vorschläge finden Sie im Planungsleitfaden: Schritt 5 : Erstellen eines Rolloutplans.
Die Registrierung in Microsoft Entra ID ist ein erforderlicher Schritt für die verwaltung von Intune. Bevor sich ein Gerät bei Intune registrieren kann, muss sich der Benutzer des Geräts authentifizieren und eine Geräteidentität im Microsoft Entra ID Ihrer Organisation einrichten. Dieser Schritt gewährt dem Benutzer SSO-Zugriff auf cloudbasierte Arbeits-Apps und andere Ressourcen. Es ist wichtig zu wissen, welche Identitätsoption Sie verwenden, da sie die Registrierungsmethoden bestimmt, die Sie verwenden können, und auch die Anmeldeoberfläche für den Gerätebenutzer bestimmt. Zu den Identitätsoptionen gehören:
- Microsoft Entra Registrierung ist die Geräteidentitätsoption, die für persönliche und unternehmenseigene mobile Geräte verfügbar ist. Benutzer auf diesen Geräten authentifizieren sich, indem sie sich mit ihrem Microsoft Entra ID Geschäftskonto bei Arbeitsressourcen wie Apps und Webbrowsern anmelden.
- Microsoft Entra ist die Geräteidentitätsoption, die für unternehmenseigene Windows 10/11-Geräte mit Co-Verwaltungsoptionen verfügbar ist. Benutzer auf diesen Geräten authentifizieren sich, indem sie sich mit ihrem Microsoft Entra ID Geschäftskonto beim Gerät anmelden.
Konfigurationen vor der Registrierung
Bereiten Sie Geräte für die Registrierung vor, indem Sie Registrierungsfeatures wie Registrierungseinschränkungen, Gerätekategorisierung und Geräteregistrierungs-Manager konfigurieren. Diese Konfigurationen tragen dazu bei, die Registrierungserfahrung für Sie und Gerätebenutzer zu verbessern und zu vereinfachen und ihnen zu helfen, im Admin Center organisiert zu bleiben. Konfigurieren Sie sie, bevor Sie das Registrierungsprofil erstellen.
Die Einstellung der Verfügbarkeit variiert je nach Betriebssystemplattform.
Aufheben der Registrierung und Zurücksetzen vorhandener Geräte
Wenn Geräte derzeit bei einem anderen MDM-Anbieter registriert sind, heben Sie die Registrierung der Geräte beim vorhandenen MDM-Anbieter auf, bevor Sie sie bei Intune registrieren. In der folgenden Tabelle sind die Geräte aufgeführt, für die vor der Registrierung bei Intune eine Zurücksetzung auf die Werkseinstellungen erforderlich ist.
Plattform | Zurücksetzung auf Werkseinstellungen erforderlich? |
---|---|
Persönliche Android Enterprise-Geräte mit einem Arbeitsprofil (BYOD) | Nein |
Unternehmenseigenes Android Enterprise-Arbeitsprofil (COPE) | Ja |
Vollständig verwaltetes Android Enterprise (COBO) | Ja |
Dedizierte Android Enterprise-Geräte (COSU) | Ja |
Android-Geräteadministrator (DA) | Nein |
iOS/iPadOS (BYOD) | Nein |
iOS/iPadOS (ADE) | Ja |
Linux | Nein |
macOS (BYOD) | Nein |
macOS (ADE) | Ja |
Windows | Nein |
Geräte, die keine Zurücksetzung erfordern, beginnen mit der Installation Intune Profilen, sobald sie sich registrieren. Zuvor konfigurierte Einstellungen bleiben möglicherweise auf Geräten bestehen, wenn Sie sie nicht in Intune vor der Registrierung ändern.
Hinzufügen von Managern für die Geräteregistrierung
Es wird empfohlen, Geräteregistrierungs-Manager zu verwenden, wenn Sie eine große Anzahl von Geräten für die Verteilung registrieren und vorbereiten müssen. Ein Geräteregistrierungs-Manager-Konto kann bis zu 1.000 Geräte registrieren und verwalten, während ein Standardkonto ohne Administratorrechte nur 15 Geräte registrieren kann. Ein Geräteregistrierungs-Manager ist ein Nicht-Administrator Microsoft Entra Benutzer, der:
- Registrieren von bis zu 1.000 unternehmenseigenen Geräten in Intune
- Melden Sie sich bei Intune-Unternehmensportal an, um Unternehmens-Apps zu erhalten
- Konfigurieren des Zugriffs auf Unternehmensdaten durch Bereitstellen rollenspezifischer Apps auf Geräten
Einige Registrierungsmethoden, z. B. die automatische Registrierung von Apple-Geräten, sind nicht mit dem Konto des Geräteregistrierungs-Managers kompatibel. Stellen Sie daher sicher, dass die von Ihnen ausgewählte Methode unterstützt wird, bevor Sie mit dem Setup beginnen.
Weitere Informationen und Einschränkungen finden Sie unter Hinzufügen von Geräteregistrierungs-Managern.
Erstellen von Geräteregistrierungseinschränkungen
Verwenden Sie dieses Feature im Microsoft Intune Admin Center, um zu verhindern, dass sich bestimmte Geräte bei Intune registrieren. Es gibt zwei Arten von Geräteregistrierungseinschränkungen, die Sie in Microsoft Intune konfigurieren können:
- Geräteplattformeinschränkungen: Schränken Sie Geräte basierend auf Geräteplattform, Version, Hersteller oder Besitzertyp ein.
- Gerätelimiteinschränkungen: Schränken Sie die Anzahl der Geräte ein, die ein Benutzer bei Intune registrieren kann.
Registrierungseinschränkungen sind für Linux und einige Windows-Registrierungsszenarien nicht verfügbar. Weitere Informationen finden Sie unter Übersicht über Registrierungseinschränkungen .
Erstellen einer Richtlinie für Geschäftsbedingungen
Sie können eine Intune Geschäftsbedingungen verwenden, um rechtliche Haftungsausschlüsse und Complianceanforderungen vor der Registrierung für Gerätebenutzer offenzulegen. Diese Richtlinie erfordert, dass der Gerätebenutzer die Geschäftsbedingungen Ihrer Organisation akzeptiert, bevor er sein Gerät registriert oder auf geschützte Ressourcen zugreift. Die Geschäftsbedingungen werden den Zielbenutzern in der Intune-Unternehmensportal-App angezeigt.
Wenn Sie nach mehr Kontrolle suchen, einschließlich der Anzeige der Begriffe, sollten Sie Microsoft Entra Nutzungsbedingungen konfigurieren. Microsoft Entra Bedingungen werden Benutzern angezeigt, wenn sie sich bei Ziel-Apps und -Ressourcen anmelden und präzisere Einstellungen als Intune Geschäftsbedingungen bieten.
Weitere Informationen finden Sie unter Nutzungsbedingungen für den Benutzerzugriff.
Mehrstufige Authentifizierung erfordern
Benutzer müssen sich während der Registrierung über die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) authentifizieren. Wenn Sie MFA benötigen, müssen sich Benutzer, die Geräte registrieren möchten, mit einem zweiten Gerät und zwei Arten von Anmeldeinformationen authentifizieren, bevor sie ihr Gerät registrieren können. Dies ist ein einmaliger bedingter Schritt, der sicherstellt, dass die Person auf dem Gerät die Person ist, für die sie sich ausgibt. Sie können dieses Verhalten für alle Plattformen außer Linux aktivieren, indem Sie eine Richtlinie für bedingten Zugriff mit einer MFA-Richtlinie verwenden. Microsoft Entra ID P1 oder P2 ist erforderlich.
Weitere Informationen finden Sie unter Anfordern der mehrstufigen Authentifizierung für Intune Geräteregistrierungen.
Kategorisieren von Geräten in Gruppen
Erstellen Sie eine Gerätekategorie in Intune, z. B. Pflege oder Marketing, und Intune werden automatisch alle Geräte, die zu dieser Kategorie gehören, der entsprechenden Gerätegruppe in Intune hinzugefügt.
Dieses Feature ist für alle Plattformen mit Ausnahme von Linux verfügbar. Weitere Informationen finden Sie unter Kategorisieren von Geräten in Gruppen.
Registrierung für Android-Geräte
Sie können persönliche oder unternehmenseigene Android-Geräte in Intune registrieren. Wir empfehlen Android Enterprise-Registrierungslösungen für private und unternehmenseigene Geräte, die Google Mobile Services verwenden. Verwenden Sie für unternehmenseigene Geräte, die nicht über Google Mobile Services verfügen und aus dem Android Open Source Project (AOSP) erstellt wurden, die AOSP-Registrierungsmethoden.
Voraussetzungen
Verbinden Sie Intune mit Ihrem verwalteten Google Play-Konto. Die Verbindung ist für alle Android Enterprise-Verwaltungsoptionen erforderlich, einschließlich:
- Persönliches Android Enterprise-Arbeitsprofil
- Unternehmenseigenes Android Enterprise-Arbeitsprofil
- Android Enterprise, vollständig verwaltet
- Android Enterprise, dediziert
Android-Registrierungsmethoden
Auf den folgenden Registerkarten werden die Intune unterstützten Android- und AOSP-Registrierungsoptionen beschrieben.
Unternehmenseigene Geräte mit einem Arbeitsprofil: Registrieren Sie unternehmenseigene Geräte, die ebenfalls für den persönlichen Gebrauch genehmigt sind. Diese Methode erstellt ein separates Arbeitsprofil auf dem Gerät, sodass der Benutzer einfach und sicher zwischen seinen persönlichen Apps und Arbeits-Apps wechseln kann. Der Gerätebenutzer registriert das Gerät über die Microsoft Intune-App. Als Administrator können Sie die Apps und Daten im Arbeitsprofil verwalten. Diese Methode entspricht der unternehmenseigenen Arbeitsprofilverwaltungslösung von Android Enterprise .
Vollständig verwaltet: Registrieren Sie unternehmenseigene Geräte ausschließlich für die Arbeit und nicht für den persönlichen Gebrauch. Dem registrierten Gerät ist ein Benutzer zugeordnet. Sie können das gesamte Gerät verwalten und Richtliniensteuerelemente erzwingen, die mit der Android Enterprise-Arbeitsprofilmethode nicht verfügbar sind. Diese Methode entspricht der vollständig verwalteten Android Enterprise-Verwaltungslösung .
Dediziertes Gerät: Registrieren Sie unternehmenseigene, einmalige Oder Kioskgeräte, die für Dinge wie digitale Beschilderung, Ticketdruck oder Bestandsverwaltung verwendet werden. Mit dieser Methode können Sie die auf dem Gerät verfügbaren Apps und Weblinks einschränken und verhindern, dass Benutzer das Gerät außerhalb des vorgesehenen Bereichs verwenden. Diese Methode entspricht der Verwaltungslösung für dedizierte Android Enterprise-Geräte .
Unternehmenseigene, benutzerlose Geräte: Registrieren Sie Geräte, die aus dem Android Open Source Project (AOSP) erstellt wurden und keine Google Mobile-Dienste sind , als unternehmenseigene, benutzerlose Geräte. Diesen Geräten ist kein Benutzer zugeordnet, und sie sollen freigegeben werden, z. B. in einer Bibliothek oder einem Lab.
Unternehmenseigene, benutzerseitig zugeordnete Geräte: Registrieren Sie Geräte, die aus AOSP erstellt wurden und keine Google Mobile-Dienste haben, als unternehmenseigene, benutzerseitig zugeordnete Geräte. Diese Geräte sind einem einzelnen Benutzer zugeordnet und ausschließlich für den geschäftlichen Gebrauch bestimmt.
Zero-Touch-Registrierung: Wir empfehlen die Verwendung der Zero-Touch-Registrierung für Massenregistrierungen und zur Vereinfachung der Registrierung für Remotemitarbeiter. Mit dieser Methode können Sie unternehmenseigene Geräte im Voraus vorbereiten, sodass sie automatisch als vollständig verwaltete Geräte bereitgestellt und registriert werden, wenn Benutzer sie aktivieren.
Wichtig
Microsoft Intune beendet den Support für die Android-Geräteadministratorverwaltung auf Geräten mit Zugriff auf Google Mobile Services (GMS) am 31. Dezember 2024. Nach diesem Datum sind die Geräteregistrierung, der technische Support sowie Behebungen von Programmfehlern und Sicherheitslücken nicht mehr verfügbar. Wenn Sie zurzeit die Verwaltung per Geräteadministrator verwenden, empfiehlt es sich, vor dem Ende des Supports zu einer anderen Android-Verwaltungsoption in Intune zu wechseln. Weitere Informationen finden Sie unter Beenden der Unterstützung für Android-Geräteadministratoren auf GMS-Geräten.
Registrierung für Apple-Geräte
In diesem Abschnitt werden die Registrierungsoptionen beschrieben, die für iOS-/iPadOS- und Mac-Geräte in Intune verfügbar sind.
Voraussetzungen
Erfüllen Sie die folgenden Voraussetzungen, bevor Sie das Registrierungsprofil für Apple-Geräte erstellen:
- Laden Sie ein Apple MDM-Pushzertifikat in Intune hoch. Weitere Informationen finden Sie unter Abrufen des MDM-Pushzertifikats.
- Rufen Sie ein Apple-Registrierungsprogrammtoken ab, wenn Sie Geräte über die automatisierte Geräteregistrierung von Apple registrieren möchten. Weitere Informationen finden Sie unter:
Apple-Registrierungslösungen
In der folgenden Tabelle werden die Registrierungslösungen für Geräte mit iOS/iPadOS und macOS beschrieben.
Automatisierte Geräteregistrierung für iOS-/iPadOS - und Mac-Geräte: Registrieren Sie neue oder zurückgesetzte Geräte, die über Apple Business Manager oder Apple School Manager erworben wurden, mit automatisierter Geräteregistrierung. Diese automatisierte Registrierungsmethode für unternehmenseigene Geräte wendet die Einstellungen Ihrer organization von Apple Business Manager und Apple School Manager an, unterstützt den Aufsichtsmodus und registriert Geräte, ohne dass Sie sie berühren müssen. Wenn Benutzer ihre Geräte einschalten, führt der Apple-Setup-Assistent sie durch das Setup und die Registrierung.
Apple Configurator für iOS/iPadOS und für Mac-Geräte: Registrieren Sie neue oder vorhandene unternehmenseigene Geräte manuell über Apple Configurator. Diese Option eignet sich ideal für Massenregistrierungen und wenn Sie keinen Zugriff auf Apple School Manager, Apple Business Manager haben oder wenn Sie eine kabelgebundene Netzwerkverbindung benötigen. Sie müssen physischen Zugriff auf die Geräte haben, da Sie eine Verbindung mit Geräten auf einem Mac herstellen und diese konfigurieren müssen. Es gibt zwei verschiedene Pfade, die Sie verwenden können:
- Registrierung des Setup-Assistenten: Diese Methode setzt das Gerät zurück und bereitet es für die Registrierung bei Apple Configurator vor. Wenn Benutzer ihre Geräte einschalten, beginnt der Setup-Assistent, und dann registrieren sich Die Geräte bei Intune. Sie müssen Zugriff auf die Seriennummern des Geräts haben, da Sie sie im Admin Center eingeben müssen.
- Direkte Registrierung: Mit dieser Methode können Sie das Gerät vor der Verteilung registrieren und das Gerät nicht zurücksetzen. Auf diese Weise registrierte Geräte sind keinem Benutzer zugeordnet, daher empfehlen wir diese Option für freigegebene oder Kioskgeräte. Die Anweisungen sind für macOS- und iOS-Geräte unterschiedlich. Achten Sie daher darauf, die richtige Anleitung für Geräte zu verwenden.
Registrierung für Linux
Mitarbeiter und Kursteilnehmer in BYOD-Szenarien können persönliche Linux-Geräte in Microsoft Intune registrieren. Durch die Registrierung können sie auf Arbeitsressourcen in Microsoft Edge zugreifen.
Als Intune Administrator müssen Sie nichts tun, um die Linux-Registrierung im Admin Center zu aktivieren. Sie wird automatisch aktiviert. Wenn Benutzer ihre Linux-Geräte registrieren, werden sie im Admin Center angezeigt. Weitere Informationen finden Sie unter Registrieren von Linux-Desktopgeräten in Microsoft Intune.
Registrierung für Windows
In diesem Abschnitt werden die Registrierungslösungen beschrieben, die für private und unternehmenseigene Geräte verfügbar sind, auf denen Windows 10 oder Windows 11 ausgeführt werden.
Hinweis
Microsoft Intune Registrierung wird auf Geräten in Cloudumgebungen unterstützt. Die Gemeinsame Verwaltung mit Configuration Manager wird in lokalen Umgebungen unterstützt.
Windows-Registrierungsmethoden
In der folgenden Tabelle werden die unterstützten Registrierungsmethoden für Geräte beschrieben, auf denen Windows 10 und Windows 11 ausgeführt werden.
Vereinfachen Sie die Registrierung in Intune für Mitarbeiter und Studenten, indem Sie die automatische Registrierung für Windows aktivieren. Weitere Informationen finden Sie unter Aktivieren der automatischen Registrierung.
Microsoft Entra mit automatischer Registrierung beitreten: Diese Option wird auf Geräten unterstützt, die von Ihnen oder dem Gerätebenutzer zur geschäftlichen Verwendung beschafft werden. Die Registrierung erfolgt während der Standardmäßigen Benutzeroberfläche, nachdem sich der Benutzer mit dem Geschäftskonto angemeldet hat und Microsoft Entra ID beitritt, oder indem er beim Verbinden eines Geschäfts-, Schul- oder Unikontos über die Einstellungs-App das Gerät in Microsoft Entra ID einbinden möchte (wie im Leitfaden zur Windows-Geräteregistrierung – Endbenutzeraufgaben beschrieben). Diese Lösung ist für den Fall vorgesehen, dass Sie keinen Zugriff auf das Gerät haben, z. B. in Remotearbeitsumgebungen. Wenn diese Geräte registriert werden, ändert sich der Gerätebesitz in unternehmenseigene Geräte, und Sie erhalten Zugriff auf Verwaltungsfeatures, die auf Geräten, die als privat gekennzeichnet sind, nicht verfügbar sind.
Benutzergesteuerter oder selbst bereitstellender Windows Autopilot-Modus: Die automatische Registrierung wird mit benutzergesteuerten Windows Autopilot-Profilen (sowohl für das Microsoft Entra Hybridbeitritts- als auch für Microsoft Entra Join-Szenario) oder selbst bereitstellenden Profilen (nur Microsoft Entra Join) unterstützt und kann für unternehmenseigene Desktops, Laptops und Kioske verwendet werden. Gerätebenutzer erhalten Desktopzugriff, nachdem die erforderliche Software und Richtlinien installiert wurden. Eine Microsoft Entra ID P1- oder P2-Lizenz ist erforderlich. Es wird empfohlen, nur Microsoft Entra Join zu verwenden, was die beste Benutzererfahrung bietet und einfacher zu konfigurieren ist. In Szenarien, in denen lokales Active Directory weiterhin erforderlich ist, kann Microsoft Entra Hybrideinbindung verwendet werden, Sie müssen jedoch den Intune Connector für Active Directory installieren, und Ihre Geräte müssen in der Lage sein, eine Verbindung mit einem Domänencontroller über ein lokales Netzwerk oder eine VPN-Verbindung herzustellen.
Co-Verwaltung mit Configuration Manager: Die Co-Verwaltung eignet sich am besten für Umgebungen, die bereits Geräte mit Configuration Manager verwalten und Microsoft Intune Workloads integrieren möchten. Bei der Co-Verwaltung werden Workloads von Configuration Manager zu Intune verschoben und dem Windows-Client mitgeteilt, wer die Verwaltungsautorität für diese bestimmte Workload ist. Beispielsweise können Sie Geräte mit Konformitätsrichtlinien und Gerätekonfigurationsworkloads in Intune verwalten und Configuration Manager für alle anderen Features wie App-Bereitstellungs- und Sicherheitsrichtlinien nutzen.
Registrierung mit Gruppenrichtlinie: Ein Gruppenrichtlinie kann verwendet werden, um die automatische Registrierung von Microsoft Entra hybrid eingebundenen Geräten ohne Benutzerinteraktion auszulösen. Der Registrierungsprozess beginnt im Hintergrund (über eine geplante Aufgabe), nachdem sich ein Microsoft Entra ID synchronisierter Benutzer auf dem Gerät angemeldet hat. Wir empfehlen diese Methode in Umgebungen, in denen Geräte Microsoft Entra hybrid eingebunden und nicht mit Configuration Manager verwaltet werden.
Weitere Windows-Registrierungsfeatures
Es gibt weitere Windows-Registrierungsoptionen in Intune, um die Geräteverwaltung für Sie und Ihre Mitarbeiter zu verbessern oder zu vereinfachen:
- Co-Verwaltungseinstellungen: Aktivieren Sie Co-Verwaltungseinstellungen, um Configuration Manager Workloads in Intune zu integrieren. Mit der Co-Verwaltung können Sie sowohl Intune- als auch Configuration Manager-Features zum Verwalten von Geräten verwenden.
- CNAME-Überprüfung: Überprüfen Sie einen DNS-Alias (Domain Name Server) (CNAME-Eintragstyp), den Sie erstellt haben, um Registrierungsanforderungen an Intune Server umzuleiten. Der Alias vereinfacht die Registrierung für Benutzer, wenn keine Microsoft Entra ID P1 oder P2 und die automatische Registrierung vorhanden sind.
- Seite "Registrierungsstatus": Aktivieren Sie die Seite "Registrierungsstatus", damit Benutzer, die die Geräteeinrichtung durchlaufen, den Installationsfortschritt anzeigen und nachverfolgen können.
Bericht und Problembehandlung
Nachverfolgen unvollständiger und abgebrochener Benutzerregistrierungen. In diesem Microsoft Intune Bericht erfahren Sie, wo in der Unternehmensportal Benutzer den Registrierungsprozess nicht abschließen konnten.
Informationen zur Problembehandlung finden Sie unter Problembehandlung bei der Geräteregistrierung.
Ressourcen
Weitere Registrierungsleitfäden sind in der Microsoft Intune-Dokumentation verfügbar. Diese Leitfäden enthalten visuelle Vergleiche, Schrittanleitungen, Tipps und bewährte Methoden für die Registrierung für jede unterstützte Plattform.
- Führungslinie für die Android-Registrierung
- Führungslinie für die iOS-/iPadOS-Registrierung
- Leitfaden zur Linux-Registrierung
- macOS-Registrierungsleitfaden
- Führungslinie für die Windows-Registrierung
Nächste Schritte
- Einrichten von Microsoft Intune
- Hinzufügen, Konfigurieren und Schützen von Apps
- Planen von Konformitätsrichtlinien
- Erstellen von Gerätekonfigurationsprofilen
- 🡺 Registrieren von Geräten (Sie sind hier)