MDM-Registrierung von Windows-Geräten
In der heutigen Cloud-First-Welt möchten IT-Abteilungen von Unternehmen benutzern zunehmend erlauben, ihre eigenen Geräte zu verwenden oder sogar unternehmenseigene Geräte auszuwählen und zu kaufen. Wenn Sie Ihre Geräte mit der Arbeit verbinden, können Sie ganz einfach auf die Ressourcen Ihrer Organisation zugreifen, z. B. auf Apps, das Unternehmensnetzwerk und E-Mails.
Hinweis
Wenn Sie Ihr Gerät mithilfe der Mdm-Registrierung (Mobile Device Management, Verwaltung mobiler Geräte) verbinden, kann Ihre Organisation bestimmte Richtlinien auf Ihrem Gerät erzwingen.
Verbinden unternehmenseigener Windows-Geräte
Sie können unternehmenseigene Geräte verbinden, um zu funktionieren, indem Sie das Gerät entweder einer Active Directory-Domäne oder einer Microsoft Entra-Domäne hinzufügen. Windows erfordert kein persönliches Microsoft-Konto auf Geräten, die mit Microsoft Entra ID oder einer lokalen Active Directory-Domäne verknüpft sind.
Hinweis
Informationen zu Geräten, die mit dem lokalen Active Directory verknüpft sind, finden Sie unter Gruppenrichtlinienregistrierung.
Verbinden Ihres Geräts mit einer Microsoft Entra-Domäne (Microsoft Entra-ID beitreten)
Alle Windows-Geräte können mit einer Microsoft Entra-Domäne verbunden werden. Diese Geräte können während der Windows-Willkommensseite verbunden werden. Darüber hinaus können Desktopgeräte mithilfe der Einstellungs-App mit einer Microsoft Entra-Domäne verbunden werden.
Out-of-Box-Erfahrung
So treten Sie einer Domäne bei:
Wählen Sie Meine Arbeit oder Schule besitzt sie aus, und wählen Sie dann Weiter aus.
Wählen Sie Microsoft Entra-ID beitreten und dann Weiter aus.
Geben Sie Ihren Microsoft Entra-Benutzernamen ein. Dieser Benutzername ist die E-Mail-Adresse, die Sie zum Anmelden bei Microsoft Office 365 und ähnlichen Diensten verwenden.
Wenn der Mandant nur in der Cloud, in der Kennworthashsynchronisierung oder bei der Passthrough-Authentifizierung vorhanden ist, ändert sich diese Seite, um das benutzerdefinierte Branding der Organisation anzuzeigen, und Sie können Ihr Kennwort direkt auf dieser Seite eingeben. Wenn der Mandant Teil einer Verbunddomäne ist, werden Sie zur Authentifizierung an den lokalen Verbundserver der Organisation umgeleitet, z. B. Active Directory-Verbunddienste (AD FS).
Basierend auf der IT-Richtlinie werden Sie möglicherweise auch aufgefordert, an diesem Punkt einen zweiten Authentifizierungsfaktor anzugeben.
Wenn für Ihren Microsoft Entra-Mandanten die automatische Registrierung konfiguriert ist, wird Ihr Gerät während dieses Flows auch bei MDM registriert. Weitere Informationen finden Sie in diesen Schritten. Wenn Ihr Mandant nicht für die automatische Registrierung konfiguriert ist, müssen Sie den Registrierungsflow ein zweites Mal durchlaufen, um Ihr Gerät mit MDM zu verbinden. Nachdem Sie den Flow abgeschlossen haben, wird Ihr Gerät mit der Microsoft Entra-Domäne Ihrer Organisation verbunden.
Verwenden der Einstellungs-App
So erstellen Sie ein lokales Konto und verbinden das Gerät:
Starten Sie die App "Einstellungen".
Navigieren Sie als Nächstes zu Konten.
Navigieren Sie zu Zugriff auf Geschäfts-, Schul- oder Unikonto.
Wählen Sie Verbinden aus.
Wählen Sie unter Alternative Aktionen die Option Dieses Gerät mit Microsoft Entra ID verbinden aus.
Geben Sie Ihren Microsoft Entra-Benutzernamen ein. Dieser Benutzername ist die E-Mail-Adresse, die Sie zum Anmelden bei Office 365 und ähnlichen Diensten verwenden.
Wenn der Mandant nur in der Cloud, kennworthashsynchronisierung oder Passthrough-Authentifizierungsmandant ist, ändert sich diese Seite, um das benutzerdefinierte Branding der Organisation anzuzeigen, und Sie können Ihr Kennwort direkt auf dieser Seite eingeben. Wenn der Mandant Teil einer Verbunddomäne ist, werden Sie zur Authentifizierung auf den lokalen Verbundserver der Organisation umgeleitet, z. B. AD FS.
Basierend auf der IT-Richtlinie werden Sie möglicherweise auch aufgefordert, an diesem Punkt einen zweiten Authentifizierungsfaktor anzugeben.
Wenn für Ihren Microsoft Entra-Mandanten die automatische Registrierung konfiguriert ist, wird Ihr Gerät während dieses Flows auch bei MDM registriert. Weitere Informationen finden Sie in diesem Blogbeitrag. Wenn Ihr Mandant nicht für die automatische Registrierung konfiguriert ist, müssen Sie den Registrierungsflow ein zweites Mal durchlaufen, um Ihr Gerät mit MDM zu verbinden.
Nachdem Sie das Ende des Flows erreicht haben, sollte Ihr Gerät mit der Microsoft Entra-Domäne Ihrer Organisation verbunden sein. Sie können sich jetzt von Ihrem aktuellen Konto abmelden und sich mit Ihrem Microsoft Entra-Benutzernamen anmelden.
Hilfe beim Herstellen einer Verbindung mit einer Microsoft Entra-Domäne
Es gibt einige Instanzen, in denen Ihr Gerät nicht mit einer Microsoft Entra-Domäne verbunden werden kann.
Verbindungsproblem | Beschreibung |
---|---|
Ihr Gerät ist mit einer Microsoft Entra-Domäne verbunden. | Ihr Gerät kann jeweils nur mit einer einzelnen Microsoft Entra-Domäne verbunden werden. |
Ihr Gerät ist bereits mit einer Active Directory-Domäne verbunden. | Ihr Gerät kann entweder mit einer Microsoft Entra-Domäne oder einer Active Directory-Domäne verbunden werden. Sie können nicht gleichzeitig eine Verbindung mit beiden herstellen. |
Auf Ihrem Gerät ist bereits ein Benutzer mit einem Geschäftskonto verbunden. | Sie können entweder eine Verbindung mit einer Microsoft Entra-Domäne herstellen oder eine Verbindung mit einem Geschäfts-, Schul- oder Unikonto herstellen. Sie können nicht gleichzeitig eine Verbindung mit beiden herstellen. |
Sie sind als Standardbenutzer angemeldet. | Ihr Gerät kann nur dann mit einer Microsoft Entra-Domäne verbunden werden, wenn Sie als Administrator angemeldet sind. Sie müssen zu einem Administratorkonto wechseln, um den Vorgang fortzusetzen. |
Ihr Gerät wird bereits von MDM verwaltet. | Der Flow "Connect to Microsoft Entra ID" versucht, Ihr Gerät bei MDM zu registrieren, wenn Ihr Microsoft Entra-Mandant über einen vorkonfigurierten MDM-Endpunkt verfügt. Die Registrierung Ihres Geräts bei MDM muss aufgehoben werden, um in diesem Fall eine Verbindung mit der Microsoft Entra-ID herstellen zu können. |
Auf Ihrem Gerät wird die Home Edition ausgeführt. | Dieses Feature ist in der Windows Home Edition nicht verfügbar, sodass Sie keine Verbindung mit einer Microsoft Entra-Domäne herstellen können. Sie müssen ein Upgrade auf die Pro-, Enterprise- oder Education-Edition durchführen, um den Vorgang fortzusetzen. |
Verbinden von persönlichen Geräten
Persönliche Geräte, auch als Bring Your Own Device (BYOD) bezeichnet, können mit einem Geschäfts-, Schul- oder Unikonto oder mit MDM verbunden werden. Windows-Geräte erfordern kein persönliches Microsoft-Konto auf Geräten, um eine Verbindung mit dem Geschäfts-, Schul- oder Unikonto herzustellen.
Alle Windows-Geräte können mit einem Geschäfts-, Schul- oder Unikonto verbunden werden. Sie können eine Verbindung mit einem Geschäfts-, Schul- oder Unikonto entweder über die Einstellungs-App oder über eine der zahlreichen UWP-Apps (Universelle Windows-Plattform) herstellen, z. B. die universellen Office-Apps.
Registrieren des Geräts in Microsoft Entra ID und Registrieren bei MDM
So erstellen Sie ein lokales Konto und verbinden das Gerät:
Starten Sie die App Einstellungen, und wählen Sie dann Konten>Start>Einstellungen>Konten aus.
Navigieren Sie zu Zugriff auf Geschäfts-, Schul- oder Unikonto.
Wählen Sie Verbinden aus.
Geben Sie Ihren Microsoft Entra-Benutzernamen ein. Dieser Benutzername ist die E-Mail-Adresse, die Sie zum Anmelden bei Office 365 und ähnlichen Diensten verwenden.
Wenn es sich bei dem Mandanten um einen Rein cloudbasierten Mandanten, eine Kennworthashsynchronisierung oder einen Passthrough-Authentifizierungsmandanten handelt, wird diese Seite geändert, um das benutzerdefinierte Branding der Organisation anzuzeigen, und Ihr Kennwort kann direkt auf der Seite eingegeben werden. Wenn der Mandant Teil einer Verbunddomäne ist, werden Sie zur Authentifizierung auf den lokalen Verbundserver der Organisation umgeleitet, z. B. AD FS.
Basierend auf der IT-Richtlinie werden Sie möglicherweise auch aufgefordert, an diesem Punkt einen zweiten Authentifizierungsfaktor anzugeben.
Wenn für Ihren Microsoft Entra-Mandanten die automatische Registrierung konfiguriert ist, wird Ihr Gerät während dieses Flows auch bei MDM registriert. Weitere Informationen finden Sie in diesem Blogbeitrag. Wenn Ihr Mandant nicht für die automatische Registrierung konfiguriert ist, müssen Sie den Registrierungsflow ein zweites Mal durchlaufen, um Ihr Gerät mit MDM zu verbinden.
Sie können die Statusseite sehen, auf der der Status ihres Geräts angezeigt wird, das eingerichtet wird.
Nachdem Sie den Flow abgeschlossen haben, wird Ihr Microsoft-Konto mit Ihrem Geschäfts-, Schul- oder Unikonto verbunden.
Hilfe beim Verbinden von persönlichen Geräten
Es gibt einige Fälle, in denen Ihr Gerät möglicherweise nicht in der Lage ist, eine Verbindung herzustellen, um zu funktionieren.
Fehlermeldung | Beschreibung |
---|---|
Ihr Gerät ist bereits mit der Cloud Ihrer Organisation verbunden. | Ihr Gerät ist bereits mit microsoft Entra ID, einem Geschäfts-, Schul- oder Unikonto oder einer AD-Domäne verbunden. |
Wir konnten Ihre Identität in der Cloud Ihrer Organisation nicht finden. | Der eingegebene Benutzername wurde in Ihrem Microsoft Entra-Mandanten nicht gefunden. |
Ihr Gerät wird bereits von einer Organisation verwaltet. | Ihr Gerät wird entweder bereits von MDM oder Microsoft Configuration Manager verwaltet. |
Sie verfügen nicht über die richtigen Berechtigungen zum Ausführen dieses Vorgangs. Sprechen Sie mit Ihrem Administrator. | Sie können Ihr Gerät nicht als Standardbenutzer bei MDM registrieren. Sie müssen über ein Administratorkonto verfügen. |
Ein Verwaltungsendpunkt, der mit dem eingegebenen Benutzernamen übereinstimmt, konnte nicht automatisch gefunden werden. Überprüfen Sie Ihren Benutzernamen, und versuchen Sie es erneut. Wenn Sie die URL zu Ihrem Verwaltungsendpunkt kennen, geben Sie sie ein. | Sie müssen die Server-URL für Ihre MDM angeben oder die Schreibweise des eingegebenen Benutzernamens überprüfen. |
Nur für die Geräteverwaltung registrieren
Alle Windows-Geräte können mit MDM verbunden werden. Sie können über die App Einstellungen eine Verbindung mit einer MDM-Instanz herstellen. So erstellen Sie ein lokales Konto und verbinden das Gerät:
Starten Sie die App "Einstellungen".
Navigieren Sie als Nächstes zu Konten.
Navigieren Sie zu Zugriff auf Geschäfts-, Schul- oder Unikonto.
Wählen Sie den Link Nur bei der Geräteverwaltung registrieren aus.
Geben Sie Ihre geschäftliche E-Mail-Adresse ein.
Wenn das Gerät einen Endpunkt findet, der nur die lokale Authentifizierung unterstützt, ändert sich diese Seite und fragt Sie nach Ihrem Kennwort. Wenn das Gerät einen MDM-Endpunkt findet, der die Verbundauthentifizierung unterstützt, wird ein neues Fenster angezeigt, in dem Sie nach weiteren Authentifizierungsinformationen gefragt werden.
Basierend auf der IT-Richtlinie werden Sie möglicherweise auch aufgefordert, an diesem Punkt einen zweiten Authentifizierungsfaktor anzugeben. Sie können den Registrierungsstatus auf dem Bildschirm sehen.
Nachdem Sie den Flow abgeschlossen haben, ist Ihr Gerät mit dem MDM Ihrer Organisation verbunden.
Verbinden Ihres Windows-Geräts mit einem Deep-Link
Windows-Geräte können über einen Deep-Link mit der Arbeit verbunden werden. Benutzer können einen Link in einem bestimmten Format von überall in Windows auswählen oder öffnen und zur neuen Registrierungsoberfläche weitergeleitet werden.
Der Deep-Link, der zum Verbinden Ihres Geräts für die Arbeit verwendet wird, verwendet das folgende Format.
ms-device-enrollment:?mode={mode_name}:
Parameter | Beschreibung | Unterstützter Wert für Windows |
---|---|---|
mode | Beschreibt, welcher Modus in der Registrierungs-App ausgeführt wird. | Verwaltung mobiler Geräte (Mobile Device Management, MDM), Hinzufügen eines Arbeitskontos (AWA) und Microsoft Entra-Einbindung. |
Benutzername | Gibt die E-Mail-Adresse oder den UPN des Benutzers an, der bei MDM registriert werden soll. | string |
Servername | Gibt die MDM-Server-URL an, die zum Registrieren des Geräts verwendet wird. | string |
accesstoken | Benutzerdefinierter Parameter für MDM-Server, die nach Bedarf verwendet werden sollen. In der Regel kann der Wert dieses Parameters als Token verwendet werden, um die Registrierungsanforderung zu überprüfen. | string |
deviceidentifier | Benutzerdefinierter Parameter für MDM-Server, die nach Bedarf verwendet werden sollen. In der Regel kann der Wert dieses Parameters verwendet werden, um einen eindeutigen Gerätebezeichner zu übergeben. | GUID |
tenantidentifier | Benutzerdefinierter Parameter für MDM-Server, die nach Bedarf verwendet werden sollen. In der Regel kann der Wert dieses Parameters verwendet werden, um zu identifizieren, zu welchem Mandanten das Gerät oder der Benutzer gehört. | GUID oder Zeichenfolge |
Eigentum | Benutzerdefinierter Parameter für MDM-Server, die nach Bedarf verwendet werden sollen. In der Regel kann der Wert dieses Parameters verwendet werden, um zu bestimmen, ob das Gerät BYOD oder Corp owned ist. | 1, 2 oder 3. Wenn "1" bedeutet, dass der Besitz unbekannt ist, bedeutet "2", dass sich das Gerät in persönlichem Besitz befindet, und "3" bedeutet, dass das Gerät im Besitz des Unternehmens ist. |
Herstellen einer Verbindung mit MDM über einen Deep Link
Hinweis
Deep-Links funktionieren nur mit Internet Explorer- oder Microsoft Edge-Browsern. Beispiele für URIs, die verwendet werden können, um über einen Deep Link eine Verbindung mit MDM herzustellen:
- ms-device-enrollment:?mode=mdm
-
ms-device-enrollment:?mode=mdm&username=
someone@example.com
&servername=https://example.server.com
So verbinden Sie Ihre Geräte über DeepLinks mit MDM:
Erstellen Sie einen Link zum Starten der integrierten Registrierungs-App mithilfe des URI ms-device-enrollment:?mode=mdm und eines benutzerfreundlichen Anzeigetexts, z. B . Klicken Sie hier, um Windows mit der Arbeit zu verbinden:
Dieser Link startet den Flow, der der Option Bei der Geräteverwaltung registrieren entspricht.
IT-Administratoren können diesen Link einer Willkommens-E-Mail hinzufügen, die Benutzer auswählen können, um sich bei MDM zu registrieren.
Hinweis
Stellen Sie sicher, dass Ihre E-Mail-Filter deep links nicht blockieren.
IT-Administratoren können diesen Link auch zu einer internen Webseite hinzufügen, die Benutzer auf Registrierungsanweisungen verweisen.
Nachdem Sie den Link ausgewählt oder ausgeführt haben, startet Windows die Registrierungs-App in einem speziellen Modus, der nur MDM-Registrierungen zulässt (ähnlich der Option Bei der Geräteverwaltung registrieren).
Geben Sie Ihre geschäftliche E-Mail-Adresse ein.
Wenn das Gerät einen Endpunkt findet, der nur die lokale Authentifizierung unterstützt, ändert sich diese Seite und fragt Sie nach Ihrem Kennwort. Wenn das Gerät einen MDM-Endpunkt findet, der die Verbundauthentifizierung unterstützt, wird ein neues Fenster angezeigt, in dem Sie nach weiteren Authentifizierungsinformationen gefragt werden. Basierend auf der IT-Richtlinie werden Sie möglicherweise auch aufgefordert, an diesem Punkt einen zweiten Authentifizierungsfaktor anzugeben.
Nachdem Sie den Flow abgeschlossen haben, wird Ihr Gerät mit dem MDM Ihrer Organisation verbunden.
Verwalten von Verbindungen
Um Ihre Geschäfts-, Schul- oder Univerbindungen zu verwalten, wählen Sie Einstellungen>Konten>Zugriff auf Geschäfts-, Schul- oder Unikonto aus. Ihre Verbindungen werden auf dieser Seite angezeigt, und wenn Sie eine auswählen, werden die Optionen für diese Verbindung erweitert.
Info
Die Schaltfläche "Info " finden Sie auf Geschäfts-, Schul- oder Univerbindungen, die MDM betreffen. Diese Schaltfläche ist in den folgenden Szenarien enthalten:
- Verbinden Ihres Geräts mit einer Microsoft Entra-Domäne, für die die automatische Registrierung bei MDM konfiguriert ist.
- Verbinden Ihres Geräts mit einem Geschäfts-, Schul- oder Unikonto, für das die automatische Registrierung bei MDM konfiguriert ist.
- Verbinden Ihres Geräts mit MDM.
Wenn Sie die Schaltfläche Info auswählen, wird eine neue Seite in der App "Einstellungen" geöffnet, die Details zu Ihrer MDM-Verbindung enthält. Sie können die Supportinformationen Ihrer Organisation (sofern konfiguriert) auf dieser Seite anzeigen. Sie können auch eine Synchronisierungssitzung starten, die Ihr Gerät zwingt, mit dem MDM-Server zu kommunizieren und bei Bedarf Updates für Richtlinien abzurufen.
Wenn Sie die Schaltfläche Info auswählen, wird eine Liste der Richtlinien und branchenspezifischen Apps angezeigt, die von Ihrer Organisation installiert wurden. Hier ist ein Beispielscreenshot.
Trennen
Die Schaltfläche Trennen befindet sich auf allen Arbeitsverbindungen. Wenn Sie die Schaltfläche Trennen auswählen, wird die Verbindung vom Gerät entfernt. Es gibt einige Ausnahmen für diese Funktionalität:
- Geräte, die die AllowManualMDMUnenrollment-Richtlinie erzwingen, erlauben Benutzern nicht, MDM-Registrierungen zu entfernen. Diese Verbindungen müssen durch einen vom Server initiierten Unenroll-Befehl entfernt werden.
- Auf mobilen Geräten können Sie die Verbindung mit der Microsoft Entra-ID nicht trennen. Diese Verbindungen können nur durch Zurücksetzen des Geräts entfernt werden.
Warnung
Das Trennen der Verbindung kann zum Verlust von Daten auf dem Gerät führen.
Sammeln von Diagnoseprotokollen
Sie können Diagnoseprotokolle für Ihre Geschäftlichen Verbindungen sammeln, indem Sie zu Einstellungen>Konten>Auf Geschäfts-, Schul- oder Unikonto zugreifen wechseln und dann unter Verwandte Einstellungen den Link Verwaltungsprotokolle exportieren auswählen. Wählen Sie als Nächstes Exportieren aus, und folgen Sie dem angezeigten Pfad, um Ihre Verwaltungsprotokolldateien abzurufen.
Sie können den erweiterten Diagnosebericht abrufen, indem Sie zu Einstellungen>Konten>Zugriff auf Geschäfts-, Schul- oder Unikonto wechseln und die Schaltfläche Info auswählen. Unten auf der Seite Einstellungen wird die Schaltfläche zum Erstellen eines Berichts angezeigt.
Weitere Informationen finden Sie unter Sammeln von MDM-Protokollen.