Benutzergesteuerter Windows Autopilot-Modus

Mit dem benutzergesteuerten Windows Autopilot-Modus können Sie neue Windows-Geräte so konfigurieren, dass sie automatisch aus ihrem Werkszustand in den betriebsbereiten Zustand transformiert werden. Für diesen Prozess ist es nicht erforderlich, dass IT-Mitarbeiter das Gerät berühren.

Der Vorgang ist einfach. Geräte können mit den folgenden Anweisungen direkt an den Endbenutzer ausgeliefert oder verteilt werden:

  1. Packen Sie das Gerät aus, schließen Sie es an, und schalten Sie es ein.
  2. Wenn mehrere Sprachen verwendet werden, wählen Sie eine Sprache, ein Gebietsschema und eine Tastatur aus.
  3. Stellen Sie die Verbindung zu einem drahtlosen oder verdrahteten Netzwerk mit Internetzugang her. Wenn Sie drahtlos verwenden, stellen Sie zunächst eine Verbindung mit dem WLAN her.
  4. Geben Sie Ihre E-Mail-Adresse und das Kennwort für Ihr Organisationskonto an.

Der Rest des Prozesses ist automatisiert. Das Gerät führt die folgenden Schritte aus:

  1. Treten Sie der Organisation bei.
  2. Registrieren Sie sich bei Microsoft Intune oder einem anderen MDM-Dienst.
  3. Wie von der Organisation vorgegeben konfigurieren lassen.

Sie können alle anderen Eingabeaufforderungen während der Out-of-Box-Benutzeroberfläche (OOBE) unterdrücken. Weitere Informationen zu den verfügbaren Optionen finden Sie unter Konfigurieren von Autopilot-Profilen.

Wichtig

Wenn Sie Active Directory-Verbunddienste (AD FS) (AD FS) verwenden, gibt es ein bekanntes Problem, das es dem Endbenutzer ermöglichen kann, sich mit einem anderen Konto als dem konto anzumelden, das diesem Gerät zugewiesen ist.

Der benutzergesteuerte Windows Autopilot-Modus unterstützt Microsoft Entra Join- und Microsoft Entra hybrid eingebundenen Geräten. Weitere Informationen zu diesen beiden Verknüpfungsoptionen finden Sie in den folgenden Artikeln:

Die Schritte des benutzergesteuerten Prozesses sind wie folgt:

  1. Nachdem das Gerät eine Verbindung mit einem Netzwerk hergestellt hat, lädt das Gerät ein Windows Autopilot-Profil herunter. Das Profil definiert die für das Gerät verwendeten Einstellungen. Definieren Sie beispielsweise die Eingabeaufforderungen, die während der OOBE unterdrückt werden.

  2. Windows sucht nach kritischen OOBE-Updates. Wenn Updates verfügbar sind, werden sie automatisch installiert. Gegebenenfalls startet das Gerät neu.

  3. Der Benutzer wird zur Eingabe Microsoft Entra Anmeldeinformationen aufgefordert. Diese angepasste Benutzeroberfläche zeigt den Microsoft Entra Mandantennamen, das Logo und den Anmeldetext an.

  4. Das Gerät wird abhängig von den Windows Autopilot-Profileinstellungen Microsoft Entra ID oder Active Directory eingebunden.

  5. Das Gerät wird bei Intune oder einem anderen konfigurierten MDM-Dienst registriert. Abhängig von den Anforderungen Ihrer Organisation erfolgt diese Registrierung entweder:

    • Während des Microsoft Entra Joinprozesses mithilfe der automatischen MDM-Registrierung.

    • Vor dem Active Directory-Verknüpfungsprozess.

  6. Falls konfiguriert, wird die Registrierungsseite status (ESP) angezeigt.

  7. Nach Abschluss der Gerätekonfigurationsaufgaben wird der Benutzer mit den zuvor bereitgestellten Anmeldeinformationen bei Windows angemeldet. Wenn das Gerät während des Geräte-ESP-Prozesses neu gestartet wird, muss der Benutzer seine Anmeldeinformationen erneut eingeben. Diese Details bleiben nach dem Neustart nicht bestehen.

  8. Nach der Anmeldung wird die Registrierungsstatusseite für benutzerspezifische Konfigurationsaufgaben angezeigt.

Wenn während dieses Vorgangs Probleme auftreten, finden Sie weitere Informationen unter Windows Autopilot-Fehlerbehebung.

Weitere Informationen zu den verfügbaren Verknüpfungsoptionen finden Sie in den folgenden Abschnitten:

  • Microsoft Entra Join ist verfügbar, wenn Geräte keiner lokales Active Directory Domäne beitreten müssen.
  • Microsoft Entra Hybrideinbindung ist für Geräte verfügbar, die sowohl Microsoft Entra ID als auch Ihrer lokales Active Directory Domäne beitreten müssen.

Benutzergesteuerter Modus für Microsoft Entra Join

Führen Sie die folgenden Vorbereitungsschritte aus, um eine benutzergesteuerte Bereitstellung mit Windows Autopilot abzuschließen:

  1. Stellen Sie sicher, dass die Benutzer, die Bereitstellungen im benutzergesteuerten Modus durchführen, Geräte in Microsoft Entra ID einbinden können. Weitere Informationen finden Sie unter Konfigurieren von Geräteeinstellungen in der Microsoft Entra Dokumentation.

  2. Erstellen Sie ein Autopilot-Profil für den benutzergesteuerten Modus mit den gewünschten Einstellungen.

    • In Intune wird dieser Modus beim Erstellen des Profils explizit ausgewählt.

    • In Microsoft Store für Unternehmen und Partner Center ist der benutzergesteuerte Modus die Standardeinstellung.

  3. Wenn Sie Intune verwenden, erstellen Sie eine Gerätegruppe in Microsoft Entra ID, und weisen Sie dieser Gruppe das Autopilot-Profil zu.

Für jedes Gerät, das mithilfe einer benutzergesteuerten Bereitstellung bereitgestellt wird, sind die folgenden zusätzlichen Schritte erforderlich:

  • Fügen Sie das Gerät zu Windows Autopilot hinzu. Für diesen Schritt gibt es zwei Möglichkeiten:

  • Weisen Sie dem Gerät ein Autopilot-Profil zu:

    • Wenn Sie Intune verwenden und dynamische Gerätegruppen Microsoft Entra, kann diese Zuweisung automatisch erfolgen.

    • Wenn Sie Intune verwenden und statische Gerätegruppen Microsoft Entra, fügen Sie das Gerät manuell der Gerätegruppe hinzu.

    • Wenn Sie andere Methoden wie Microsoft Store für Unternehmen oder Partner Center verwenden, weisen Sie dem Gerät manuell ein Autopilot-Profil zu.

Tipp

Wenn der beabsichtigte Endzustand des Geräts die Co-Verwaltung ist, können Sie die Geräteregistrierung in Intune konfigurieren, um die Co-Verwaltung zu aktivieren. Dies geschieht während des Autopilot-Prozesses. Dieses Verhalten lenkt die Arbeitslastautorität in einer orchestrierten Weise zwischen Konfigurationsmanager und Intune. Weitere Informationen finden Sie unter Registrieren mit Autopilot.

Benutzergesteuerter Modus für Microsoft Entra Hybrideinbindung

Wichtig

Microsoft empfiehlt die Bereitstellung neuer Geräte als cloudnativ mithilfe Microsoft Entra Joins. Die Bereitstellung neuer Geräte als Microsoft Entra Hybrid Join-Geräten wird nicht empfohlen, auch nicht über Autopilot. Weitere Informationen finden Sie unter Microsoft Entra und Microsoft Entra hybrid eingebundenen cloudnativen Endpunkten: Welche Option eignet sich für Ihre organization?

Windows Autopilot erfordert, dass Geräte Microsoft Entra eingebunden sind. Wenn Sie über eine lokales Active Directory-Umgebung verfügen, können Sie Geräte ihrer lokalen Domäne hinzufügen. Um die Geräte zu verbinden, konfigurieren Sie Autopilot-Geräte so, dass sie hybrid mit Microsoft Entra ID verknüpft werden.

Tipp

Während Microsoft mit Kunden spricht, die Microsoft Intune und Microsoft Configuration Manager verwenden, um ihre Clientgeräte bereitzustellen, zu verwalten und zu schützen, erhalten wir häufig Fragen zur gemeinsamen Verwaltung von Geräten und Microsoft Entra hybrid eingebundenen Geräten. Viele Kunden verwechseln diese beiden Themen. Die Co-Verwaltung ist eine Verwaltungsoption, während Microsoft Entra ID eine Identitätsoption ist. Weitere Informationen finden Sie unter Grundlegendes zu Hybrid-Microsoft Entra- und Co-Verwaltungsszenarien. In diesem Blogbeitrag soll Microsoft Entra hybride Einbindung und Co-Verwaltung erläutert werden, wie sie zusammenarbeiten, aber nicht dasselbe sind.

Sie können den Configuration Manager-Client nicht bereitstellen, während Sie einen neuen Computer im benutzergesteuerten Windows Autopilot-Modus für Microsoft Entra Hybrideinbindung bereitstellen. Diese Einschränkung ist auf die Identitätsänderung des Geräts während des Microsoft Entra Join-Prozesses zurückzuführen. Stellen Sie den Configuration Manager-Client nach dem Autopilot-Prozess bereit. Unter Clientinstallationsmethoden in Configuration Manager finden Sie alternative Optionen für die Installation des Clients.

Anforderungen für den benutzergesteuerten Modus mit Hybrid-Microsoft Entra ID

  • Erstellen Sie ein Windows Autopilot-Profil für den benutzergesteuerten Modus.

    Wählen Sie im Autopilot-Profil unter An Microsoft Entra ID teilnehmen alsdie Option Microsoft Entra hybrid eingebunden aus.

  • Wenn Sie Intune verwenden, benötigen Sie eine Gerätegruppe in Microsoft Entra ID. Weisen Sie der Gruppe das Windows Autopilot-Profil zu.

  • Wenn Sie Intune verwenden, erstellen Sie ein Domänenbeitrittsprofil, und weisen Sie es zu. Ein Konfigurationsprofil für den Domänenbeitritt umfasst Informationen über die lokale Active Directory-Domäne.

  • Das Gerät muss auf das Internet zugreifen. Weitere Informationen finden Sie unter Netzwerkanforderungen.

  • Installieren Sie den Intune-Connector für Active Directory.

    Hinweis

    Der Intune-Connector verknüpft das Gerät mit der lokalen Domäne. Benutzer benötigen keine Berechtigungen, um Geräte in die lokale Domäne einzubinden. Dieses Verhalten setzt voraus, dass Sie den Connector für diese Aktion im Namen des Benutzers konfigurieren. Weitere Informationen finden Sie unter Erhöhen des Kontolimits für den Computer in der Organisationseinheit.

  • Wenn Sie einen Proxy verwenden, aktivieren und konfigurieren Sie die Option WPAD-Proxyeinstellungen.

Zusätzlich zu diesen Kernanforderungen für benutzergesteuerte Microsoft Entra Hybrid join gelten die folgenden zusätzlichen Anforderungen für lokale Geräte:

  • Das Gerät verfügt über eine derzeit unterstützte Version von Windows.

  • Das Gerät ist mit dem internen Netzwerk verbunden und hat Zugriff auf einen Active Directory-Domänencontroller.

    • Sie muss die DNS-Einträge für die Domäne und die Domänencontroller auflösen.

    • Es muss mit dem Domänencontroller kommunizieren, um den Benutzer zu authentifizieren.

Benutzergesteuerter Modus für Microsoft Entra Hybrideinbindung mit VPN-Unterstützung

Geräte, die in Active Directory eingebunden sind, erfordern eine Verbindung mit einem Active Directory-Domänencontroller für viele Aktivitäten. Zu diesen Aktivitäten gehören das Überprüfen der Anmeldeinformationen des Benutzers bei der Anmeldung und das Anwenden von Gruppenrichtlinieneinstellungen. Der benutzergesteuerte Autopilot-Prozess für Microsoft Entra hybrid eingebundenen Geräten überprüft, ob das Gerät einen Domänencontroller kontaktieren kann, indem es diesen Domänencontroller pingt.

Mit der VPN-Unterstützung für dieses Szenario können Sie den Microsoft Entra Hybrid Join-Prozess so konfigurieren, dass die Konnektivitätsprüfung übersprungen wird. Diese Änderung macht die Kommunikation mit einem Domänencontroller nicht überflüssig. Um stattdessen eine Verbindung mit dem Netzwerk des organization zuzulassen, stellt Intune die erforderliche VPN-Konfiguration bereit, bevor der Benutzer versucht, sich bei Windows anzumelden.

Anforderungen für den benutzergesteuerten Modus mit Hybrid-Microsoft Entra ID und VPN

Zusätzlich zu den Hauptanforderungen für den benutzergesteuerten Modus mit Microsoft Entra Hybrideinbindung gelten die folgenden zusätzlichen Anforderungen für ein Remoteszenario mit VPN-Unterstützung:

  • Eine derzeit unterstützte Version von Windows.

  • Aktivieren Sie im Microsoft Entra Hybridjoinprofil für Autopilot die folgende Option: Überprüfung der Domänenkonnektivität überspringen.

  • Eine VPN-Konfiguration mit einer der folgenden Optionen:

    • Kann mit Intune bereitgestellt werden und ermöglicht es dem Benutzer, manuell über den Windows-Anmeldebildschirm eine VPN-Verbindung herzustellen.

    • Stellt bei Bedarf automatisch eine VPN-Verbindung her.

Die spezifische erforderliche VPN-Konfiguration hängt von der verwendeten VPN-Software und der verwendeten Authentifizierung ab. Bei VPN-Lösungen von Drittanbietern umfasst diese Konfiguration in der Regel die Bereitstellung einer Win32-App über Intune-Verwaltungserweiterungen. Diese App enthält die VPN-Clientsoftware und alle spezifischen Verbindungsinformationen. Beispielsweise VPN-Endpunkthostnamen. Spezifische Konfigurationsdetails für diesen Anbieter finden Sie in der Dokumentation Ihres VPN-Anbieters.

Hinweis

Die VPN-Anforderungen sind nicht spezifisch für Autopilot. Wenn beispielsweise eine VPN-Konfiguration implementiert ist, um Remotekennwortzurücksetzungen zu ermöglichen, kann diese Konfiguration auch mit Windows Autopilot verwendet werden. Diese Konfiguration würde es einem Benutzer ermöglichen, sich mit einem neuen Kennwort bei Windows anzumelden, wenn er sich nicht im Netzwerk des organization befindet. Sobald sich der Benutzer anmeldet und seine Anmeldeinformationen zwischengespeichert wurden, benötigen nachfolgende Anmeldeversuche keine Verbindung mehr, da Windows die zwischengespeicherten Anmeldeinformationen verwendet.

Wenn die VPN-Software eine Zertifikatauthentifizierung erfordert, verwenden Sie Intune, um auch das erforderliche Gerätezertifikat bereitzustellen. Diese Bereitstellung kann mithilfe der Intune-Zertifikatregistrierungsfunktionen erfolgen, die auf die Zertifikatprofile für das Gerät ausgerichtet sind.

Einige Konfigurationen werden nicht unterstützt, da sie erst angewendet werden, wenn sich der Benutzer bei Windows anmeldet:

  • Benutzerzertifikate
  • Nicht von Microsoft stammende UWP-VPN-Plug-Ins aus dem Windows Store

Überprüfung

Bevor Sie eine Microsoft Entra Hybrideinbindung mithilfe von VPN versuchen, müssen Sie sich vergewissern, dass ein benutzergesteuerter Modus für Microsoft Entra Hybrid join-Prozess in Ihrem internen Netzwerk funktioniert. Dieser Test vereinfacht die Problembehandlung, indem sichergestellt wird, dass der Kernprozess funktioniert, bevor die VPN-Konfiguration hinzugefügt wird.

Vergewissern Sie sich als Nächstes, dass Sie Intune verwenden können, um die VPN-Konfiguration und ihre Anforderungen bereitzustellen. Testen Sie diese Komponenten mit einem vorhandenen Gerät, das bereits Microsoft Entra hybrid eingebunden ist. Beispielsweise erstellen einige VPN-Clients im Rahmen des Installationsvorgangs eine PRO-Computer-VPN-Verbindung. Überprüfen Sie die Konfiguration mithilfe der folgenden Schritte:

  1. Vergewissern Sie sich, dass mindestens eine VPN-Verbindung pro Computer erstellt wurde.

    Get-VpnConnection -AllUserConnection

  2. Versuchen Sie, die VPN-Verbindung manuell zu starten.

    RASDIAL.EXE "ConnectionName"

  3. Melden Sie sich von Windows ab. Vergewissern Sie sich, dass das Symbol "VPN-Verbindung" auf der Windows-Anmeldeseite angezeigt wird.

  4. Verschieben Sie das Gerät aus dem internen Netzwerk, und versuchen Sie, die Verbindung mithilfe des Symbols auf der Windows-Anmeldeseite herzustellen. Melden Sie sich bei einem Konto an, das nicht über zwischengespeicherte Anmeldeinformationen verfügt.

Bei VPN-Konfigurationen, die automatisch eine Verbindung herstellen, können sich die Überprüfungsschritte unterscheiden.

Hinweis

Sie können für dieses Szenario ein Always-On-VPN verwenden. Weitere Informationen finden Sie unter Bereitstellen von Always-On-VPN.

Nächste Schritte