Automatisches Registrieren eines Windows-Geräts mit Gruppenrichtlinie

Sie können eine Gruppenrichtlinie verwenden, um die automatische Registrierung bei Mobile Geräteverwaltung (MDM) für in active Directory (AD) in die Domäne eingebundene Geräte auszulösen.

Die Registrierung bei Intune wird durch eine Gruppenrichtlinie ausgelöst, die in Ihrem lokalen AD erstellt wurde, und erfolgt ohne Benutzerinteraktion. Dieser Mechanismus für Ursache und Wirkung bedeutet, dass Sie automatisch eine große Anzahl von in die Domäne eingebundenen Unternehmensgeräten in Microsoft Intune registrieren können. Der Registrierungsprozess beginnt im Hintergrund, sobald Sie sich mit Ihrem Microsoft Entra Konto beim Gerät angemeldet haben.

Anforderungen:

Tipp

Weitere Informationen finden Sie in den folgenden Themen:

Die automatische Registrierung basiert auf dem Vorhandensein eines MDM-Diensts und der Microsoft Entra Registrierung für den PC. Sobald das Unternehmen sein AD bei Microsoft Entra ID registriert hat, wird ein Windows-PC, der in die Domäne eingebunden ist, automatisch Microsoft Entra registriert.

Hinweis

In Windows 10 Version 1709 wurde das Registrierungsprotokoll aktualisiert, um zu überprüfen, ob das Gerät in die Domäne eingebunden ist. Weitere Informationen finden Sie unter [MS-MDE2]: Mobile Device Enrollment Protocol Version 2. Beispiele finden Sie in Abschnitt 4.3.1 RequestSecurityToken der Dokumentation zum MS-MDE2-Protokoll.

Wenn die automatische Registrierung Gruppenrichtlinie aktiviert ist, wird im Hintergrund eine Aufgabe erstellt, die die MDM-Registrierung initiiert. Der Task verwendet die vorhandene MDM-Dienstkonfiguration aus der Microsoft Entra Informationen des Benutzers. Wenn die mehrstufige Authentifizierung erforderlich ist, wird der Benutzer aufgefordert, die Authentifizierung abzuschließen. Nachdem die Registrierung konfiguriert wurde, kann der Benutzer die status auf der Seite Einstellungen überprüfen.

  • Ab Windows 10 Version 1709 hat Gruppenrichtlinie Richtlinie Vorrang vor MDM, wenn dieselbe Richtlinie in Gruppenrichtlinie und MDM konfiguriert ist.
  • Ab Windows 10 Version 1803 können Sie mit einer neuen Einstellung die Rangfolge in MDM ändern. Weitere Informationen finden Sie unter Windows Gruppenrichtlinie vs. Intune MDM Policy who wins?.

Damit diese Richtlinie funktioniert, müssen Sie überprüfen, ob der MDM-Dienstanbieter Gruppenrichtlinie initiierte MDM-Registrierung für in die Domäne eingebundene Geräte zulässt.

Konfigurieren der automatischen Registrierung für eine Gruppe von Geräten

Führen Sie die folgenden Schritte aus, um die automatische Registrierung mithilfe einer Gruppenrichtlinie zu konfigurieren:

  1. Erstellen Sie ein Gruppenrichtlinie Object (GPO), und aktivieren Sie die Gruppenrichtlinie Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>MDM>Automatische MDM-Registrierung mit Standardanmeldeinformationen Microsoft Entra aktivieren.
  2. Erstellen Sie eine Sicherheitsgruppe für die PCs.
  3. Verknüpfen Sie das Gruppenrichtlinienobjekt.
  4. Filtern sie mithilfe von Sicherheitsgruppen.

Wenn die Richtlinie nicht angezeigt wird, rufen Sie die neueste ADMX-Version für Ihre Windows-Version ab. Gehen Sie wie folgt vor, um das Problem zu beheben. Die neueste MDM.admx ist abwärtskompatibel.

  1. Laden Sie die administrativen Vorlagen für die gewünschte Version herunter:

  2. Installieren Sie das Paket auf dem Domänencontroller.

  3. Navigieren Sie zu C:\Program Files (x86)\Microsoft Group Policy, und suchen Sie je nach installierter Version nach dem entsprechenden Unterverzeichnis.

  4. Kopieren Sie den Ordner PolicyDefinitions in \\contoso.com\SYSVOL\contoso.com\policies\PolicyDefinitions.

    Wenn dieser Ordner nicht vorhanden ist, kopieren Sie die Dateien in den zentralen Richtlinienspeicher für Ihre Domäne.

  5. Warten Sie, bis die SYSVOL DFSR-Replikation abgeschlossen ist, damit die Richtlinie verfügbar ist.

Konfigurieren der Gruppenrichtlinie für die automatische Registrierung für einen einzelnen PC

Dieses Verfahren dient nur zu Veranschaulichungszwecken, um zu veranschauliche, wie die neue Richtlinie für die automatische Registrierung funktioniert. Dies wird für die Produktionsumgebung im Unternehmen nicht empfohlen.

  1. Führen Sie GPEdit.msc aus. Wählen Sie Start aus, und geben Sie dann in das Textfeld ein gpedit.

  2. Wählen Sie unter Beste Übereinstimmungdie Option Gruppenrichtlinie bearbeiten aus, um sie zu starten.

  3. Wählen Sie unter Richtlinie für lokale Computerdie Option Administrative Vorlagen>Windows-Komponenten>MDM aus.

  4. Doppelklicken Sie auf Automatische MDM-Registrierung mit standardbasierten Microsoft Entra Anmeldeinformationen aktivieren. Wählen Sie Aktivieren aus, wählen Sie in der Dropdownliste Zu verwendenden Anmeldeinformationstyp auswählen die Option Benutzeranmeldeinformationen aus, und wählen Sie dann OK aus.

    Richtlinie für die automatische MDM-Registrierung.

    Hinweis

    In Windows 10 Version 1903 und höher wurde die Datei MDM.admx so aktualisiert, dass sie die Option Geräteanmeldeinformationen enthält, um auszuwählen, welche Anmeldeinformationen zum Registrieren des Geräts verwendet werden. Das Standardverhalten für ältere Versionen besteht darin, benutzeranmeldeinformationen rückgängig machen.

    Geräteanmeldeinformationen werden nur für Microsoft Intune Registrierung in Szenarien mit Co-Verwaltung oder Azure Virtual Desktop-Hostpools mit mehreren Sitzungen unterstützt, da das Intune-Abonnement benutzerorientiert ist. Benutzeranmeldeinformationen werden für persönliche Azure Virtual Desktop-Hostpools unterstützt.

Wenn eine Gruppenrichtlinienaktualisierung auf dem Client erfolgt, wird eine Aufgabe erstellt und für einen Tag alle fünf Minuten geplant. Die Aufgabe heißt Zeitplan, der vom Registrierungsclient für die automatische Registrierung bei MDM aus Microsoft Entra ID erstellt wurde. Um die geplante Aufgabe anzuzeigen, starten Sie die Taskplaner-App.

Wenn die zweistufige Authentifizierung erforderlich ist, werden Sie aufgefordert, den Vorgang abzuschließen. Hier ist ein Beispielscreenshot.

Screenshot der Benachrichtigung zur zweistufigen Authentifizierung.

Tipp

Sie können dieses Verhalten vermeiden, indem Sie Richtlinien für bedingten Zugriff in Microsoft Entra ID verwenden. Weitere Informationen finden Sie unter Was ist bedingter Zugriff?.

Überprüfen der Registrierung

Um die erfolgreiche Registrierung bei MDM zu überprüfen, wechseln Sie zu Starteinstellungen>>Konten>Auf Geschäfts-, Schul- oder Unikonto zugreifen, und wählen Sie dann Ihr Domänenkonto aus. Wählen Sie Info aus, um die MDM-Registrierungsinformationen anzuzeigen.

Screenshot der Einstellungen für die Geschäftsschule.

Hinweis

Wenn die Schaltfläche Info oder die Registrierungsinformationen nicht angezeigt werden, ist bei der Registrierung möglicherweise ein Fehler aufgetreten. Überprüfen Sie die status in der Taskplaner-App, und lesen Sie Diagnose der MDM-Registrierung.

Aufgabenplanungs-App

Wählen Sie Start aus, und geben Sie dann in das Textfeld ein task scheduler. Wählen Sie unter Beste Übereinstimmungdie Option Aufgabenplanung aus, um ihn zu starten.

Öffnen Sie in der TaskplanerbibliothekMicrosoft > Windows , und wählen Sie dann EnterpriseMgmt aus.

Automatische Registrierung eines geplanten Vorgangs.

Um das Ergebnis der Aufgabe anzuzeigen, verschieben Sie die Bildlaufleiste, um das Ergebnis der letzten Ausführung anzuzeigen. Die Protokolle werden auf der Registerkarte Verlauf angezeigt.

Die Meldung 0x80180026 ist eine Fehlermeldung (MENROLL_E_DEVICE_MANAGEMENT_BLOCKED), die durch aktivieren der Richtlinie Mdm-Registrierung deaktivieren verursacht werden kann.

Hinweis

Die GPEdit-Konsole spiegelt nicht die status von Richtlinien wider, die von Ihrem organization auf Ihrem Gerät festgelegt werden. Es wird nur vom Benutzer verwendet, um Richtlinien festzulegen.