Automatisches Registrieren eines Windows 10-Geräts mithilfe von Gruppenrichtlinien

Gilt für:

  • Windows 10

Ab Windows 10 Version 1709 können Sie eine Gruppenrichtlinie verwenden, um die automatische Registrierung bei Mobile Geräteverwaltung (MDM) für in active Directory (AD) in die Domäne eingebundene Geräte auszulösen.

Die Registrierung bei Intune wird durch eine Gruppenrichtlinie ausgelöst, die in Ihrem lokalen AD erstellt wurde, und erfolgt ohne Benutzerinteraktion. Dieser Mechanismus für Ursache und Wirkung bedeutet, dass Sie automatisch eine große Anzahl von in die Domäne eingebundenen Unternehmensgeräten in Microsoft Intune registrieren können. Der Registrierungsprozess beginnt im Hintergrund, nachdem Sie sich mit Ihrem Azure AD-Konto beim Gerät angemeldet haben.

Anforderungen:

  • In Active Directory eingebundener PC mit Windows 10 Version 1709 oder höher
  • Das Unternehmen hat einen Mdm-Dienst (Mobile Device Management, Verwaltung mobiler Geräte) konfiguriert.
  • Die lokales Active Directory muss in Azure AD (über Azure AD Connect) integriert werden.
  • Das Gerät sollte nicht bereits bei Intune mit den klassischen Agents registriert sein (geräte, die mit Agents verwaltet werden, schlägt die Registrierung mit error 0x80180026fehl)
  • Die Mindestanforderung für die Windows Server-Version basiert auf der Azure AD-Hybrideinbindungsanforderung. Weitere Informationen finden Sie unter Planen ihrer Azure Active Directory-Hybrideinbindungsimplementierung.

Die automatische Registrierung basiert auf dem Vorhandensein eines MDM-Diensts und der Azure Active Directory-Registrierung für den PC. Ab Windows 10 Version 1607 wird ein Windows-PC, der in die Domäne eingebunden ist, automatisch in Azure AD registriert, sobald das Unternehmen sein AD bei Azure AD registriert hat.

Hinweis

In Windows 10 Version 1709 wurde das Registrierungsprotokoll aktualisiert, um zu überprüfen, ob das Gerät in die Domäne eingebunden ist. Weitere Informationen finden Sie unter [MS-MDE2]: Mobile Device Enrollment Protocol Version 2. Beispiele finden Sie in Abschnitt 4.3.1 RequestSecurityToken der Dokumentation zum MS-MDE2-Protokoll.

Wenn die automatische Registrierung Gruppenrichtlinie aktiviert ist, wird im Hintergrund eine Aufgabe erstellt, die die MDM-Registrierung initiiert. Die Aufgabe verwendet die vorhandene MDM-Dienstkonfiguration aus den Azure Active Directory-Informationen des Benutzers. Wenn die mehrstufige Authentifizierung erforderlich ist, wird der Benutzer aufgefordert, die Authentifizierung abzuschließen. Nachdem die Registrierung konfiguriert wurde, kann der Benutzer den Status auf der Seite Einstellungen überprüfen.

Wenn in Windows 10 Version 1709 oder höher dieselbe Richtlinie in Gruppenrichtlinie und MDM konfiguriert ist, hat Gruppenrichtlinie Richtlinie Vorrang vor MDM. Seit Windows 10 Version 1803 können Sie mit einer neuen Einstellung die Rangfolge in MDM ändern. Weitere Informationen finden Sie unter Windows 10 Gruppenrichtlinie vs. Intune MDM Policy who wins?.

Damit diese Richtlinie funktioniert, müssen Sie überprüfen, ob der MDM-Dienstanbieter Gruppenrichtlinie initiierte MDM-Registrierung für in die Domäne eingebundene Geräte zulässt.

Überprüfen der Anforderungen und Einstellungen für die automatische Registrierung

Um sicherzustellen, dass das Feature für die automatische Registrierung wie erwartet funktioniert, müssen Sie überprüfen, ob die verschiedenen Anforderungen und Einstellungen ordnungsgemäß konfiguriert sind. Die folgenden Schritte veranschaulichen die erforderlichen Einstellungen mithilfe des Intune-Diensts:

  1. Vergewissern Sie sich, dass der Benutzer, der das Gerät registrieren möchte, über eine gültige Intune Lizenz verfügt.

    Intune Lizenzüberprüfung.

  2. Vergewissern Sie sich, dass die automatische Registrierung für die Benutzer aktiviert ist, die die Geräte bei Mobile Geräteverwaltung (MDM) mit Intune registrieren möchten. Weitere Informationen finden Sie unter Azure AD und Microsoft Intune: Automatische MDM-Registrierung im neuen Portal.

    Überprüfung der Aktivierung der automatischen Registrierung.

    Wichtig

    Bei BYOD-Geräten (Bring-Your-Own Devices) hat der MAM-Benutzerbereich (Mobile Application Management) Vorrang, wenn sowohl der MAM-Benutzerbereich als auch der MDM-Benutzerbereich (automatische MDM-Registrierung) für alle Benutzer (oder die gleichen Benutzergruppen) aktiviert sind. Das Gerät verwendet Windows Information Protection (WIP)-Richtlinien (sofern Sie sie konfiguriert haben), anstatt mdm-registriert zu sein.

    Bei unternehmenseigenen Geräten hat der MDM-Benutzerbereich Vorrang, wenn beide Bereiche aktiviert sind. Die Geräte werden mdm-registriert.

  3. Stellen Sie sicher, dass die Betriebssystemversion des Geräts Windows 10 Version 1709 oder höher ist.

  4. Die automatische Registrierung bei Intune über Gruppenrichtlinie gilt nur für Geräte, die in Azure AD hybrid eingebunden sind. Diese Bedingung bedeutet, dass das Gerät sowohl in das lokale Active Directory als auch in Azure Active Directory eingebunden werden muss. Führen dsregcmd /status Sie über die Befehlszeile aus, um zu überprüfen, ob das Gerät hybrid in Azure AD eingebunden ist.

    Sie können bestätigen, dass das Gerät ordnungsgemäß hybrid eingebunden ist, wenn sowohl AzureAdJoined als auch DomainJoined auf JA festgelegt sind.

    Ergebnis des Gerätestatus der automatischen Registrierung.

    Vergewissern Sie sich darüber hinaus, dass im Abschnitt SSO State (SSO-Status) azureAdPrt als YES (JA) angezeigt wird.

    Automatische Azure AD-Prt-Überprüfung.

    Diese Informationen finden Sie auch in der Azure AD-Geräteliste.

    Azure AD-Geräteliste.

  5. Vergewissern Sie sich, dass die MDM-Ermittlungs-URL während der automatischen Registrierung lautet. https://enrollment.manage.microsoft.com/enrollmentserver/discovery.svc

    MDM-Ermittlungs-URL.

  6. Einige Mandanten verfügen möglicherweise über Microsoft Intune und Microsoft Intune Registrierung unter Mobilität. Stellen Sie sicher, dass Ihre Einstellungen für die automatische Registrierung unter Microsoft Intune und nicht unter Microsoft Intune Registrierung konfiguriert sind.

    Mobilitätseinstellung MDM Intune.

  7. Stellen Sie sicher, dass die Gruppenrichtlinie Automatische MDM-Registrierung mit standardmäßigen Azure AD-Anmeldeinformationen aktivieren (Lokaler Gruppenrichtlinie-Editor > Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > MDM) ordnungsgemäß auf allen Geräten bereitgestellt ist, die bei Intune registriert werden sollten.

Sie können sich an Ihre Domänenadministratoren wenden, um zu überprüfen, ob die Gruppenrichtlinie erfolgreich bereitgestellt wurde.

  1. Vergewissern Sie sich, dass das Gerät nicht bei dem alten Intune-Client registriert ist, der im Intune Silverlight-Portal verwendet wurde (das Intune Portal, das vor dem Azure-Portal verwendet wurde).

  2. Vergewissern Sie sich, dass Microsoft Intune die Registrierung von Windows-Geräten zulassen soll.

    Registrierung von Windows-Geräten.

Konfigurieren der Gruppenrichtlinie für die automatische Registrierung für einen einzelnen PC

Dieses Verfahren dient nur zu Veranschaulichungszwecken, um zu veranschauliche, wie die neue Richtlinie für die automatische Registrierung funktioniert. Dies wird für die Produktionsumgebung im Unternehmen nicht empfohlen. Für die Massenbereitstellung sollten Sie den Prozess der Gruppenrichtlinie Management Console verwenden.

Anforderungen:

  • IN AD eingebundener PC mit Windows 10, Version 1709 oder höher
  • Enterprise verfügt über bereits konfigurierten MDM-Dienst
  • Enterprise AD muss bei Azure AD registriert sein
  1. Führen Sie GPEdit.msc aus. Wählen Sie Start aus, und geben Sie dann in das Textfeld ein gpedit.

    GPEdit Desktop-App-Suchergebnis.

  2. Wählen Sie unter Beste Übereinstimmung die Option Gruppenrichtlinie bearbeiten aus, um sie zu starten.

  3. Wählen Sie unter Richtlinie für lokale Computer die Option Administrative Vorlagen > Windows-Komponenten > MDM aus.

    MDM-Richtlinien.

  4. Doppelklicken Sie auf Automatische MDM-Registrierung mit Azure AD-Standardanmeldeinformationen aktivieren (zuvor in Windows 10 Version 1709 als Automatische MDM-Registrierung mit AAD-Token bezeichnet). Wählen Sie für ADMX-Dateien in Windows 10 Version 1903 und höher Benutzeranmeldeinformationen als zu verwendenden ausgewählten Anmeldeinformationstyp aus.

    Richtlinie für die automatische MDM-Registrierung.

  5. Wählen Sie Aktivieren aus, wählen Sie in der Dropdownliste Zu verwendenden Anmeldeinformationstyp auswählen die Option Benutzeranmeldeinformationen aus, und wählen Sie dann OK aus.****

    Hinweis

    In Windows 10 Version 1903 wurde die Datei MDM.admx aktualisiert, sodass sie eine Option zum Auswählen der Anmeldeinformationen enthält, die zum Registrieren des Geräts verwendet werden. Geräteanmeldeinformationen sind eine neue Option, die sich nur auf Clients auswirkt, die Windows 10 Version 1903 oder höher installiert haben. Das Standardverhalten für ältere Releases besteht darin, benutzeranmeldeinformationen wiederhergestellt zu werden. Geräteanmeldeinformationen werden nur für Microsoft Intune Registrierung in Szenarien mit Co-Verwaltung oder Azure Virtual Desktop unterstützt, da das Intune-Abonnement benutzerorientiert ist.

    Wenn eine Gruppenrichtlinienaktualisierung auf dem Client erfolgt, wird eine Aufgabe erstellt und für die Dauer eines Tages alle 5 Minuten geplant. Die Aufgabe heißt "Vom Registrierungsclient erstellter Zeitplan für die automatische Registrierung bei MDM aus Azure Active Directory".

    Um die geplante Aufgabe anzuzeigen, starten Sie die Taskplaner-App.

    Wenn die zweistufige Authentifizierung erforderlich ist, werden Sie aufgefordert, den Vorgang abzuschließen. Hier ist ein Beispielscreenshot.

    Zweistufige Authentifizierungsbenachrichtigung.

    Tipp

    Sie können dieses Verhalten vermeiden, indem Sie Richtlinien für bedingten Zugriff in Azure AD verwenden. Weitere Informationen finden Sie unter Was ist bedingter Zugriff?.

  6. Um die erfolgreiche Registrierung bei MDM zu überprüfen, wechseln Sie zu Starteinstellungen > **** > Konten > Auf Geschäfts-, Schul- oder Unikonto zugreifen, und wählen Sie dann Ihr Domänenkonto aus.

  7. Wählen Sie Info aus, um die MDM-Registrierungsinformationen anzuzeigen.

    Geschäftsschuleinstellungen.

    Wenn die Schaltfläche Info oder die Registrierungsinformationen nicht angezeigt werden, ist bei der Registrierung möglicherweise ein Fehler aufgetreten. Überprüfen Sie den Status in der Aufgabenplanungs-App.

Aufgabenplanungs-App

  1. Wählen Sie Start aus, und geben Sie dann in das Textfeld ein task scheduler.

    Suchergebnis des Taskplaners.

  2. Wählen Sie unter Beste Übereinstimmung die Option Aufgabenplanung aus, um ihn zu starten.

  3. Öffnen Sie in der Taskplanerbibliothek Microsoft > Windows , und wählen Sie dann EnterpriseMgmt aus.

    Geplante Aufgabe für die automatische Registrierung.

    Um das Ergebnis der Aufgabe anzuzeigen, verschieben Sie die Bildlaufleiste nach rechts, um das Ergebnis der letzten Ausführung anzuzeigen. Die Meldung 0x80180026 ist eine Fehlermeldung (MENROLL_E_DEVICE_MANAGEMENT_BLOCKED). Die Protokolle werden auf der Registerkarte Verlauf angezeigt.

    Wenn die Geräteregistrierung blockiert ist, hat Ihr IT-Administrator möglicherweise die Richtlinie MDM-Registrierung deaktivieren aktiviert.

    Hinweis

    Die GPEdit-Konsole spiegelt nicht den Status der Richtlinien wider, die von Ihrem IT-Administrator auf Ihrem Gerät festgelegt wurden. Es wird nur vom Benutzer verwendet, um Richtlinien festzulegen.

Konfigurieren der automatischen Registrierung für eine Gruppe von Geräten

Anforderungen:

  • IN AD eingebundener PC mit Windows 10, Version 1709 oder höher
  • Enterprise verfügt über bereits konfigurierten MDM-Dienst (mit Intune oder einem Drittanbieter)
  • Enterprise AD muss in Azure AD integriert sein.
  • Stellen Sie sicher, dass PCs derselben Computergruppe angehören.

Wichtig

Wenn die Richtlinie nicht angezeigt wird, liegt dies möglicherweise daran, dass Sie ADMX für Windows 10, Version 1803, Version 1809 oder Version 1903 nicht installiert haben. Gehen Sie wie folgt vor, um das Problem zu beheben. Beachten Sie, dass die neueste MDM.admx abwärtskompatibel ist.

  1. Herunterladen:

  2. Installieren Sie das Paket auf dem Domänencontroller.

  3. Navigieren Sie je nach Version zum Ordner:

    • 1803 --> C:\Programme (x86)\Microsoft Gruppenrichtlinie\Windows 10 April 2018 Update (1803) v2

    • 1809 --> C:\Programme (x86)\Microsoft Gruppenrichtlinie\Windows 10 October 2018 Update (1809) v2

    • 1903 --> C:\Programme (x86)\Microsoft Gruppenrichtlinie\Windows 10 May 2019 Update (1903) v3

    • 1909 --> C:\Programme (x86)\Microsoft Gruppenrichtlinie\Windows 10 Update vom November 2019 (1909)

    • 2004 --> C:\Programme (x86)\Microsoft Gruppenrichtlinie\Windows 10 Mai 2020 Update (2004)

    • 20H2 --> C:\Programme (x86)\Microsoft Gruppenrichtlinie\Windows 10 Oktober 2020 Update (20H2)

    • 21H1 --> C:\Programme (x86)\Microsoft Gruppenrichtlinie\Windows 10 Mai 2021 Update (21H1)

    • 21H2 --> C:\Programme (x86)\Microsoft Gruppenrichtlinie\Windows 10 Update V2 vom November 2021 (21H2)

  4. Benennen Sie den extrahierten Ordner Richtliniendefinitionen in um PolicyDefinitions.

  5. Kopieren Sie den Ordner PolicyDefinitions in \\contoso.com\SYSVOL\contoso.com\policies\PolicyDefinitions.

    Wenn dieser Ordner nicht vorhanden ist, wechseln Sie zu einem zentralen Richtlinienspeicher für Ihre gesamte Domäne.

  6. Warten Sie, bis die SYSVOL DFSR-Replikation abgeschlossen ist, damit die Richtlinie verfügbar ist.

Dieses Verfahren funktioniert auch für jede zukünftige Version.

  1. Erstellen Sie ein Gruppenrichtlinie Object (GPO), und aktivieren Sie die Gruppenrichtlinie Computerkonfigurationsrichtlinien > **** > Administrative Vorlagen > Windows-Komponenten > MDM > Automatische MDM-Registrierung mit Standardmäßigen Azure AD-Anmeldeinformationen aktivieren.

  2. Erstellen Sie eine Sicherheitsgruppe für die PCs.

  3. Verknüpfen Sie das Gruppenrichtlinienobjekt.

  4. Filtern sie mithilfe von Sicherheitsgruppen.

Problembehandlung bei der automatischen Registrierung von Geräten

Untersuchen Sie die Protokolldatei, wenn Probleme auftreten, auch nachdem Sie alle obligatorischen Überprüfungsschritte ausgeführt haben. Die erste zu untersuchende Protokolldatei ist das Ereignisprotokoll auf dem Zielgerät Windows 10.

So sammeln Sie Ereignisanzeige Protokolle:

  1. Öffnen Sie die Ereignisanzeige.

  2. Navigieren Sie zu Anwendungs- und Dienstprotokolle > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostic-Provider > Admin.

    Tipp

    Eine Anleitung zum Sammeln von Ereignisprotokollen für Intune finden Sie unter Sammeln von MDM Ereignisanzeige Log YouTube-Video.

  3. Suchen Sie nach der Ereignis-ID 75, die eine erfolgreiche automatische Registrierung darstellt. Hier ist ein Beispielscreenshot, der zeigt, dass die automatische Registrierung erfolgreich abgeschlossen wurde:

    Ereignis-ID 75.

    Wenn Sie die Ereignis-ID 75 in den Protokollen nicht finden, gibt dies an, dass bei der automatischen Registrierung ein Fehler aufgetreten ist. Dieser Fehler kann aus den folgenden Gründen auftreten:

    • Fehler bei der Registrierung. Suchen Sie in diesem Fall nach der Ereignis-ID 76, die die fehlgeschlagene automatische Registrierung darstellt. Hier ist ein Beispielscreenshot, der zeigt, dass bei der automatischen Registrierung ein Fehler aufgetreten ist:

      Ereignis-ID 76.

      Überprüfen Sie zur Problembehandlung den Fehlercode, der im -Ereignis angezeigt wird. Weitere Informationen finden Sie unter Problembehandlung bei der Windows-Geräteregistrierung in Microsoft Intune.

    • Die automatische Registrierung wurde überhaupt nicht ausgelöst. In diesem Fall finden Sie weder die Ereignis-ID 75 noch die Ereignis-ID 76. Um den Grund zu kennen, müssen Sie die internen Mechanismen auf dem Gerät verstehen, wie im folgenden Abschnitt beschrieben.

      Der automatische Registrierungsprozess wird durch eine Aufgabe (Microsoft > Windows > EnterpriseMgmt) innerhalb des Aufgabenplaners ausgelöst. Diese Aufgabe wird angezeigt, wenn die Gruppenrichtlinie Automatische MDM-Registrierung mit standardmäßigen Azure AD-Anmeldeinformationen aktivieren (Computerkonfigurationsrichtlinien > **** > Administrative Vorlagen > Windows-Komponenten > MDM) erfolgreich auf dem Zielcomputer bereitgestellt wurde, wie im folgenden Screenshot gezeigt:

      Aufgabenplaner.

    Hinweis

    Diese Aufgabe ist für Standardbenutzer nicht sichtbar. Führen Sie Geplante Aufgaben mit Administratoranmeldeinformationen aus, um die Aufgabe zu finden.

    Diese Aufgabe wird alle 5 Minuten für die Dauer eines Tages ausgeführt. Um zu überprüfen, ob die Aufgabe erfolgreich war, überprüfen Sie die Ereignisprotokolle des Taskplanrs: Anwendungs- und Dienstprotokolle > Microsoft > Windows > Taskplaner > Betrieb. Suchen Sie nach einem Eintrag, bei dem der vom Registrierungsclient für die automatische Registrierung bei MDM aus Azure Active Directory erstellte Aufgabenplaner durch die Ereignis-ID 107 ausgelöst wird.

    Ereignis-ID 107.

    Wenn die Aufgabe abgeschlossen ist, wird eine neue Ereignis-ID 102 protokolliert.

    Ereignis-ID 102.

    Das Aufgabenplanungsprotokoll zeigt die Ereignis-ID 102 (Aufgabe abgeschlossen) an, unabhängig vom Erfolg oder Fehler bei der automatischen Registrierung. Diese Statusanzeige bedeutet, dass das Aufgabenplanungsprotokoll nur nützlich ist, um zu bestätigen, ob der Task für die automatische Registrierung ausgelöst wird oder nicht. Dies zeigt nicht den Erfolg oder Fehler der automatischen Registrierung an.

    Wenn Sie aus dem Protokoll nicht sehen können, dass der task Schedule created by enrollment client for automatically enrollmenting in MDM from Azure AD initiiert wurde, liegt möglicherweise ein Problem mit der Gruppenrichtlinie vor. Führen Sie den Befehl gpupdate /force sofort an einer Eingabeaufforderung aus, um das Gruppenrichtlinienobjekt anzuwenden. Wenn dieser Schritt immer noch nicht hilft, ist eine weitere Problembehandlung für Active Directory erforderlich. Ein häufig auftretender Fehler bezieht sich auf einige veraltete Registrierungseinträge in der Registrierung auf dem Zielclientgerät (HKLM > Software > Microsoft > Enrollments). Wenn ein Gerät registriert wurde (kann eine beliebige MDM-Lösung sein und nicht nur Intune), werden einige Registrierungsinformationen angezeigt, die der Registrierung hinzugefügt wurden:

    Veraltete Registrierungseinträge.

    Standardmäßig werden diese Einträge entfernt, wenn das Gerät nicht registriert ist, aber gelegentlich bleibt der Registrierungsschlüssel auch nach dem Aufheben der Registrierung erhalten. In diesem Fall kann der Task für die automatische Registrierung nicht initiiert werden, gpupdate /force und der Fehlercode 2149056522 wird in der Ereignisprotokolldatei Anwendungs- und Dienstprotokolle > des Microsoft > Windows > Task Scheduler > Operational unter der Ereignis-ID 7016 angezeigt.

    Eine Lösung für dieses Problem besteht darin, den Registrierungsschlüssel manuell zu entfernen. Wenn Sie nicht wissen, welcher Registrierungsschlüssel entfernt werden soll, wechseln Sie zu dem Schlüssel, der die meisten Einträge wie im obigen Screenshot anzeigt. Alle anderen Schlüssel zeigen weniger Einträge an, wie im folgenden Screenshot gezeigt:

    Manuell gelöschte Einträge.

Verwandte Themen