Geführtes Szenario – Windows 10 und Windows 11 mit Konfiguration in der Cloud

Windows 10 und Windows 11 mit Konfiguration in der Cloud ist eine von Microsoft empfohlene Gerätekonfiguration. Sie können jedes Windows 10/11 Professional-, Enterprise- und Education-Gerät in ein cloudoptimiertes Gerät umwandeln.

Es ist ideal für:

• Mitarbeiter "an vorderster Front"
• Remotemitarbeiter
• Andere Benutzer mit fokussierten Workflowanforderungen, wie Produktivität und Browsen

Eine Cloudkonfiguration macht diese Geräte einfach bedienbar und sichert sie mit den von Microsoft empfohlenen Sicherheitsfunktionen ab.

Es gibt zwei Möglichkeiten zum Bereitstellen der Cloudkonfiguration:

• Option 1 – Automatisch (in diesem Artikel): Verwenden Sie das in diesem Artikel beschriebene geführte Szenario, um automatisch alle Gruppen und Richtlinien mit ihren konfigurierten Werten zu erstellen.
• Option 2 – Manuell: Verwenden Sie eine Schritt-für-Schritt-Einrichtungsanleitung, um die Cloudkonfiguration selbst bereitzustellen, einschließlich der manuellen Erstellung aller Richtlinien. Weitere Informationen zu dieser Option finden Sie im Setuphandbuch für die Windows-Client-Cloudkonfiguration.

Mit Windows 10 und Windows 11 mit Konfiguration in der Cloud:

• Sie können neue Geräte konfigurieren oder vorhandene Hardware wiederverwenden.
• Endbenutzer erhalten eine benutzerfreundliche und vertraute Windows-Umgebung.
• Administratoren erhalten eine einheitliche Gerätekonfiguration für alle Geräte, was die Verwaltung und Fehlersuche erleichtert.
• Sie können die Namen Ihrer Ressourcen anpassen, so dass sie leicht zu erkennen und zu überwachen sind.

Tipp

Eine umfassendere Anleitung zu Windows 10/11 in der Cloudkonfiguration finden Sie unter Windows 10/11 in der Cloudkonfiguration.

In diesem geführten Szenario

Mit Microsoft Intune können Sie ein geführtes Szenario verwenden, um eine Cloudkonfiguration bereitzustellen. Das geführte Szenario erstellt automatisch alle Ressourcen, die Sie benötigen, einschließlich der folgenden:

• Erstellt eine neue Microsoft Entra Sicherheitsgruppe oder verwendet eine vorhandene Microsoft Entra Sicherheitsgruppe.

• Stellt die Microsoft Edge- und Microsoft Teams-Apps bereit. Weitere Informationen zur individuellen Bereitstellung dieser Apps finden Sie unter:

  • Hinzufügen von Microsoft Edge für Windows 10/11
  • Hinzufügen von Microsoft 365 Apps zu Windows 10/11-Geräten

• Erstellt eine Windows 10/11-Sicherheitsbaselinerichtlinie mit empfohlenen Sicherheitseinstellungen, die bereits konfiguriert sind.

  Weitere Informationen zu Sicherheitsbaselines und deren Funktionsweise erhalten Sie unter Verwenden von Sicherheitsbaselines zum Konfigurieren von Windows-Clientgeräten.

• Erstellt ein Windows Autopilot-Registrierungsprofil, das Geräte automatisch bei Microsoft Intune registriert.

  Weitere Informationen zum Erstellen Eines eigenen Windows Autopilot-Profils finden Sie unter Konfigurieren von Autopilot-Profilen.

• Aktiviert und konfiguriert die Windows Autopilot-Registrierungsseite status (ESP). Diese Seite informiert die Benutzer über den Registrierungsfortschritt.

  Weitere Informationen zum ESP findest du unter Einrichten der Seite "Registrierungsstatus".

• Erstellt eine administrative Vorlage, die OneDrive mit den Einstellungen zum Verschieben bekannter Ordner konfiguriert. Mit diesen Einstellungen werden Benutzerdateien und Daten automatisch in OneDrive gespeichert.

  Informationen zu dieser Einstellung findest du unter Umleiten und Verschieben bekannter Windows-Ordner.

• Erstellt eine administrative Vorlage, die einige SmartScreen-Einstellungen in der Microsoft Edge-App konfiguriert. Weitere Informationen zum Erstellen eines eigenen Profils findest du unter Konfigurieren von Microsoft Edge-Richtlinieneinstellungen.

• Erstellt eine Compliancerichtlinie, die Compliance und Integrität überwacht. Benutzern wird die Verwendung nicht konformer Geräte und der Zugriff auf Ressourcen erlaubt. Wenn in Ihrem Unternehmen der Zugriff auf nicht konforme Geräte gesperrt wird, erstellen Sie eine weitere Compliancerichtlinie, die den Zugriff blockiert, und weisen Sie sie der gleichen Gruppe zu.

  Weitere Informationen zu den Konformitätseinstellungen, die Sie selbst konfigurieren können, finden Sie unter Windows-Clienteinstellungen, um Geräte als konform oder nicht konform zu markieren.

• Stellt ein Windows PowerShell-Skript bereit, das integrierte Apps entfernt und das Startmenü vereinfacht.

  Weitere Informationen zu PowerShell-Skripts in Intune findest du unter Verwenden von PowerShell-Skripts auf Windows-Clientgeräten.

• Erstellt eine Clientupdateringrichtlinie für Windows-Clients. Mit dieser Richtlinie werden die Geräte automatisch aktualisiert, einschließlich Produktupdates, Treibern und Windows-Updates.

  Weitere Informationen zu Updateringen und zum Erstellen Ihrer Richtlinie findest du unter Updateringe für Windows-Clientgeräte.

Tipp

In diesem geführten Szenario werden alle diese Ressourcen automatisch für Sie erstellt. Wenn Sie eigene individuelle Ressourcen erstellen und das geführte Szenario nicht verwenden möchten, ist das möglich. Die spezifischen Schritte finden Sie in der Übersicht über die Cloudkonfiguration und in der Einrichtungsanleitung.

Voraussetzungen

• Das Konto, in dem das geführte Szenario erstellt wird, muss mindestens über die folgenden Lizenzen verfügen:

  • Microsoft Entra-ID P1
  • Microsoft Intune
  • Microsoft Teams
  • OneDrive for Business
  • Windows 10 Pro
  • Windows 11 Pro

  Alle diese Dienste sind in der Microsoft 365 E3-Lizenz enthalten. Wenn Sie weitere Sicherheitsoptionen und-Features nutzen möchten, empfiehlt es sich, die Microsoft 365 E5-Lizenz zu verwenden. Wenn Sie entscheiden möchten, welche Lizenz für Ihre organization geeignet ist, wechseln Sie zu Transform your enterprise with Microsoft 365 (Transform your enterprise with Microsoft 365).

• Festlegen der MDM-Autorität auf Intune. Die Autoritätseinstellung für die Verwaltung mobiler Geräte (Mobile Device Management, MDM) bestimmt, wie Sie Ihre Geräte verwalten. Als IT-Administrator müssen Sie eine MDM-Autorität festlegen, bevor Benutzer Geräte für die Verwaltung registrieren können.

• Aktivieren Sie die automatische Registrierung für Windows-Clientgeräte. Für weitere Informationen wechseln Sie zu:

  • Schnellstart: Einrichten der automatischen Registrierung für Windows-Clientgeräte
  • Aktivieren der automatischen Windows 10/11-Registrierung

• Melden Sie sich als Intune-Dienstadministrator (auch als Intune-Administrator bezeichnet) an. Weitere Informationen zu den Rollen in Intune findest du unter Rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) mit Microsoft Intune.

Schritt 1: Einführung

Öffnen Sie das geführte Szenario:

1. Öffnen Sie das Microsoft Intune Admin Center.
2. Wählen Sie Problembehandlung und Support>Geführte Szenarien>Windows 10 und höher mit Konfiguration in der Cloud bereitstellen>Startaus.
3. Wählen Sie Weiter aus.

Schritt 2: Grundlagen

Wählen Sie aus, wie Ihre Geräte bei der Registrierung benannt werden, und wählen Sie das Präfix für alle erstellten Ressourcen aus.

• Vorlage für Autopilot-Gerätenamen: Das geführte Szenario für die Cloudkonfiguration registriert Ihre Geräte bei Windows Autopilot. Sie können Ihre Geräte bei der Registrierung einem eindeutigen Muster folgend benennen, das auf alle Geräte angewendet wird. Ihre Optionen:

  • Vorlage für Gerätenamen anwenden: Nein erstellt keine Vorlage bzw. kein Muster beim Benennen Ihrer Geräte. Das Gerät trägt dann den OEM-Namen, wie etwa DESKTOP-, gefolgt von einigen zufälligen Zeichen. Wählen Sie Ja aus, um ein eindeutiges Muster für die Benennung Ihrer Geräte zu erstellen. Geben Sie beispielsweise Contoso-%RAND:7% ein, um alle Ihre Geräte mit Contoso-, gefolgt von sieben zufälligen Zeichen zu benennen.

    Die Namen:

    • dürfen höchstens 15 Zeichen umfassen.
    • dürfen die Buchstaben (a–z, A–Z), Ziffern (0–9) und Bindestriche enthalten.
    • dürfen nicht nur aus Zahlen bestehen und kein Leerzeichen enthalten.
    • Können das %SERIAL%-Makro verwenden, um eine hardwarespezifische Seriennummer hinzuzufügen.
    • Können das %RAND:x%-Makro verwenden, um eine zufällige Zeichenfolge hinzuzufügen, wobei x der Anzahl der hinzuzufügenden Zeichen entspricht.

• Präfix für Ressourcennamen: Wenn Sie das geführte Szenario bereitstellen, werden automatisch mehrere Ressourcen erstellt. Damit die in dieser Bereitstellung verwendeten Elemente unterscheidbar sind, fügen Sie ein Präfix hinzu:

  • Namenspräfix für Ressource eingeben: Geben Sie Text ein, der am Anfang der erstellten Elemente hinzugefügt wird. Geben Sie beispielsweise Windows cloud config ein. Alle erstellten Ressourcen werden dann nach dem Schema Windows-Cloudkonfiguration Autopilot-Profil oder Windows-Cloudkonfiguration Compliancerichtlinie benannt.

  Ihre Einstellungen sehen in etwa wie in der folgenden Abbildung aus:

  

• Wählen Sie Weiter aus.

Schritt 3: Apps

Wählen Sie die Apps aus, die Sie auf Geräten bereitstellen möchten. Microsoft empfiehlt, die kleinstmögliche Anzahl Apps bereitzustellen. Die Idee besteht darin, Ihre Cloudkonfigurationsgeräte einfach und einfach zu verwalten.

• Standardwerte für die Cloudkonfiguration: Dieses geführte Szenario schließt die Apps Microsoft Edge und Microsoft Teams automatisch ein. Sie können beim Erstellen dieses geführten Szenarios nicht entfernt werden. Sie können diese Apps löschen oder deinstallieren, nachdem das geführte Szenario abgeschlossen wurde.

  Um die Microsoft Edge-App zu entfernen, wechseln Sie zu Deinstallieren der App.

• Weitere M365-Apps auswählen (optional): Fügen Sie in der Liste weitere Microsoft 365-Apps hinzu, die Sie auf den Geräten verwenden möchten. Denken Sie daran, die Liste kurz zu halten und nur Apps einzuschließen, die von Ihren Benutzern benötigt werden. Der Grundgedanke ist, die Geräte möglichst einfach zu halten.

  Tipp

  Zum Hinzufügen von Apps, die nicht in der Liste aufgeführt sind, oder von Branchen-Apps, schließen Sie dieses geführte Szenario ab. Navigieren Sie dann im Intune Admin Center zu Apps, und erstellen Sie eine Richtlinie. Stellen Sie die App-Richtlinie in der gleichen Gruppe bereit, in der Sie dieses geführte Szenario zur Cloudkonfiguration bereitgestellt haben. Weitere Informationen zum Hinzufügen von Apps findest du unter Hinzufügen von Apps zu Microsoft Intune.

• Wählen Sie Weiter aus.

Schritt 4: Zuweisungen

Wählen Sie die Gruppen aus, die dieses geführte Szenario erhalten sollen, und alle Ressourcen, die in seinem Rahmen erstellt werden.

• Neue Gruppe erstellen: Erstellt eine neue Gruppe und stellt die Richtlinien aus dem geführten Szenario in dieser Gruppe bereit. Wenn dieser Gruppe Geräte hinzufügt werden, beginnen sie, dieses geführte Szenario zu empfangen.

  • Gruppenname: Geben Sie den Gruppennamen ein. Geben Sie beispielsweise Cloud configured devices ein.

• Vorhandene Gruppe auswählen: Wählen Sie eine vorhandene Gruppe aus. Ihre Richtlinien aus dem geführten Szenario werden in dieser Gruppe bereitgestellt.

• Wählen Sie Weiter aus.

Schritt 5: Überprüfung und Bereitstellung

Es wird eine Zusammenfassung der von Ihnen konfigurierten Einstellungen und Werte angezeigt. Sie können zu den anderen Registerkarten zurückkehren und alle von Ihnen hinzugefügten Werte ändern.

Sehen Sie sich die folgenden Eigenschaften an:

• Configurations to be made (Vorzunehmende Konfigurationen): Erweitern Sie diese Option, um alle Ressourcen anzuzeigen, die erstellt werden, einschließlich der Richtlinien.

• Deploy (Bereitstellen): Wählen Sie diese Option aus, um Ihre Änderungen zu speichern und das geführte Szenario bereitzustellen. Die von Ihnen hinzugefügten Gruppen erhalten die Richtlinien aus diesem geführten Szenario.

  Während die Ressourcen im Intune Admin Center erstellt werden, wird die status angezeigt, ähnlich wie in der folgenden Abbildung:

  

Wenn ein Fehler auftritt, wird das geführte Szenario nicht bereitgestellt, und alle Änderungen werden rückgängig gemacht. Eine weitere gute Ressource stellen Übersicht und Setupleitfaden zur Cloudkonfiguration dar.

Nach erfolgreicher Bereitstellung können Sie die Überwachungs- und Berichterstellungsfunktionen im Intune Admin Center verwenden:

• Intune-Berichte
• Überwachen von Geräteprofilen
• Überwachen von Sicherheitsbaselines und Profilen

Was Sie wissen müssen

• Sie können das geführte Szenario abschließen, noch bevor Geräte in der Gruppe vorhanden sind. Wenn der Gruppe Geräte mit Internetzugang hinzugefügt werden, beginnen sie automatisch, die Richtlinien aus diesem geführten Szenario zu empfangen.

  Sie können auch folgende Aktionen ausführen:

  • Hinzufügen von vorab registrierten Windows Autopilot-Geräten zur Gruppe. Fügen Sie sie der Gruppe hinzu, bevor Sie Richtlinien registrieren oder anwenden.
  • Fügen Sie vorhandene Windows-Clientgeräte hinzu, die bereits registriert sind. Microsoft empfiehlt, andere Apps und Profile für diese Geräte zu entfernen. Setzen Sie die Geräte nach dem Hinzufügen zur Gruppe zurück, sodass sie von Grund auf nur mit der angewendeten Cloudkonfiguration beginnen.

  Informationen zu den Aktualisierungszeiten für Richtlinien finden Sie unter Allgemeine Fragen und Antworten zu Geräterichtlinien in Microsoft Intune.

• Microsoft empfiehlt, nur Cloudkonfigurationseinstellungen und Apps zuzuweisen. Nach der Bereitstellung dieses geführten Szenarios können Sie weitere erforderliche Ressourcen hinzufügen, wie etwa Zertifikate, VPN-Profile, Branchenanwendungen usw. Achten Sie darauf, diese Richtlinien in der gleichen Gruppe wie dieses geführte Szenario bereitzustellen. Denken Sie daran, die Liste kurz zu halten und nur Ressourcen einzuschließen, die Ihre Benutzer benötigen.

• Aufgrund eines OneDrive-Synchronisation Problems mit freigegebenen Geräten empfiehlt Microsoft die Verwendung von Windows 10/11 in der Cloudkonfiguration mit freigegebenen Geräten nicht. Gemeinsam genutzte Geräte weisen in der Regel mehrere Benutzer auf, die sich an- und abmelden.

• Nachdem das geführte Szenario bereitgestellt wurde, können Sie zu einer Richtlinie wechseln und die Einstellungen und ihre konfigurierten Werte sehen. Auf Wunsch können Sie für jede dieser Einstellungen einen anderen Wert festlegen.

• Zum Entfernen der Einstellungen aus dem geführten Szenario von Geräten wechseln Sie zu jeder Richtlinie, die von dem geführten Szenario zur Cloudkonfiguration erstellt wurde. Konfigurieren Sie für die Einstellungen den Wert Nicht konfiguriert. Stellen Sie jede Richtlinie erneut in der gleichen Gruppe wie dieses geführte Szenario bereit.

  Bei der nächsten Anmeldung des Geräts ist die betreffende Einstellung nicht mehr gesperrt. Anschließend kann die Einstellung durch eine andere Richtlinie und möglicherweise durch den Endbenutzer geändert werden. Es kann vorkommen, dass die Einstellung den gleichen Wert aufweist, der durch das geführte Szenario festgelegt würde.

  Jetzt können Sie die einzelnen Elemente löschen, die von diesem geführten Szenario erstellt wurden, einschließlich der Apps, der Richtlinien, des Windows PowerShell-Skripts und der Gruppe.

Verwandte Inhalte

• Übersicht über geführte Szenarien
• Schritt-für-Schritt-Setupanleitung für die Windows-Client-Cloudkonfiguration