Vorabbereitstellung Microsoft Entra Hybridjoin: Erstellen und Zuweisen eines vorab bereitgestellten Microsoft Entra Autopilot-Profils für Hybridjoins

• Gilt für::

  ✅ Windows 11, ✅ Windows 10

Windows Autopilot für vorab bereitgestellte Bereitstellung Microsoft Entra Schritte zur Hybrideinbindung:

• Schritt 1: Einrichten der automatischen windows-Intune-Registrierung
• Schritt 2: Installieren des Intune Connectors
• Schritt 3: Erhöhen des Grenzwerts für Computerkonten in der Organisationseinheit (OE)
• Schritt 4: Registrieren von Geräten als Autopilot-Geräte
• Schritt 5: Erstellen einer Gerätegruppe
• Schritt 6: Konfigurieren und Zuweisen der Autopilot-Registrierungsstatusseite (ESP)

• Schritt 7: Erstellen und Zuweisen Microsoft Entra Autopilot-Hybridjoinprofils

• Schritt 8: Konfigurieren und Zuweisen eines Domänenbeitrittsprofils
• Schritt 9: Zuweisen eines Autopilot-Geräts zu einem Benutzer (optional)
• Schritt 10: Technikerflow
• Schritt 11: Benutzerflow

Eine Übersicht über windows Autopilot für die vorab bereitgestellte Bereitstellung Microsoft Entra Hybrid Join-Workflow finden Sie unter Windows Autopilot für vorab bereitgestellte Bereitstellung Microsoft Entra Übersicht über hybride Einbindungen.

Erstellen und Zuweisen eines vorab bereitgestellten Microsoft Entra Autopilot-Hybridjoinprofils

Das Autopilot-Profil gibt an, wie das Gerät während windows Setup konfiguriert wird und was während der Out-of-Box-Benutzeroberfläche (OOBE) angezeigt wird.

Der Unterschied zwischen einem Microsoft Entra Join und einem Microsoft Entra HybridJoin besteht darin, dass das Microsoft Entra Hybrid join-Szenario sowohl einer lokalen Domäne als auch Microsoft Entra ID während Autopilot beitritt. Das vorab bereitgestellte Microsoft Entra Joinszenario wird nur Microsoft Entra ID während Autopilot verknüpft.

Tipp

Für Configuration Manager Administratoren ähnelt das Autopilot-Profil einigen konfigurationen, die während einer Tasksequenz über eine unattend.xml Datei ausgeführt werden. Die unattend.xml-Datei wird während der Schritte Windows-Einstellungen anwenden und Netzwerkeinstellungen anwenden konfiguriert. Beachten Sie jedoch, dass Autopilot keine Dateien verwendet unattend.xml .

Führen Sie die folgenden Schritte aus, um ein vorab bereitgestelltes Microsoft Entra Autopilot-Hybridjoinprofil zu erstellen:

1. Melden Sie sich beim Microsoft Intune Admin Center an.

2. Wählen Sie auf dem Startbildschirm im linken Bereich die Option Geräte aus.

3. In den Geräten | Übersichtsbildschirm wählen Sie unter Nach Plattform die Option Windows aus.

4. In den Fenstern | Windows-Gerätebildschirm , wählen Sie Windows-Registrierung aus.

5. Wählen Sie unter Windows Autopilot Deployment Programm die Option Bereitstellungsprofile aus.

6. Wählen Sie auf dem Bildschirm Windows Autopilot-Bereitstellungsprofiledie Option Profil> erstellenWindows-PC aus.

7. Der Bildschirm Profil erstellen wird geöffnet. Auf der Seite Grundlagen :

   1. Geben Sie neben Name einen Namen für das Autopilot-Profil ein.

   2. Geben Sie neben Beschreibung eine Beschreibung ein.

   3. Wählen Sie Weiter aus.

      Hinweis

      Legen Sie die Option Alle Zielgeräte in Autopilot konvertieren auf Ja fest. Während sich dieses Tutorial auf neuen Geräten konzentriert, bei denen das Gerät manuell als Autopilot-Gerät mithilfe des Hardwarehashs importiert wird, kann diese Option hilfreich sein, wenn Sie Autopilot-Profile zu Gerätegruppen zuweisen, die vorhandene Geräte enthalten. Diese Option ist beispielsweise hilfreich, wenn Sie das Windows Autopilot für vorhandene Geräte Szenario verwenden, in dem vorhandene Geräte nach Abschluss der Autopilot-Bereitstellung möglicherweise als Autopilot-Gerät registriert werden müssen. Weitere Informationen finden Sie unter Registrieren eines Geräts für Windows Autopilot.

8. Auf der Seite Out-of-Box Experience (OOBE) :

   • Wählen Sie für Bereitstellungsmodusdie Option Benutzergesteuert aus.

   • Wählen Sie unter An Microsoft Entra ID teilnehmen als die Option Microsoft Entra hybrid eingebunden aus. Nachdem diese Option ausgewählt wurde, ändern sich mehrere optionen unterhalb dieser Option.

   • Wählen Sie unter Ad-Konnektivitätsprüfung überspringen die Option Nein aus. In diesem Abschnitt des Tutorials wird davon ausgegangen, dass das Gerät, für das Autopilot ausgeführt wird, ein lokaler interner Client ist und über eine direkte Verbindung mit der lokalen Domäne und den Domänencontrollern verfügt. Informationen zu Szenarien außerhalb des lokalen Standorts/Internets, in denen VPN-Konnektivität erforderlich ist, finden Sie unter Off-premises/Internet scenarios and VPN connectivity(Vpn-Konnektivität).

   • Wählen Sie für Microsoft-Software-Lizenzbedingungendie Option Ausblenden aus, um die Seite EULA zu überspringen.

   • Wählen Sie unter Datenschutzeinstellungendie Option Ausblenden aus, um die Datenschutzeinstellungen zu überspringen.

   • Wählen Sie unter Optionen für Kontoänderung ausblenden die Option Ausblenden aus.

   • Wählen Sie unter Benutzerkontotyp den gewünschten Kontotyp für den Benutzer aus (Administrator oder Standardbenutzer ). Wenn Administrator ausgewählt wird, wird der Benutzer der lokalen Admin Gruppe hinzugefügt.

   • Wählen Sie unter Vorab bereitgestellte Bereitstellung zulassen die Option Ja aus.

   • Wählen Sie unter Sprache (Region)die Option Betriebssystemstandard aus, um die Standardsprache für das zu konfigurierende Betriebssystem zu verwenden. Wenn eine andere Sprache gewünscht wird, wählen Sie in der Dropdownliste die gewünschte Sprache aus.

   • Wählen Sie für Tastatur automatisch konfigurieren die Option Ja aus, um die Seite zur Tastaturauswahl zu überspringen.

   • Die Vorlage Gerätename anwenden ist für Microsoft Entra Hybridjoinszenarien abgeblendet. Gerätenamen können während des Schritts Konfigurieren und Zuweisen von Domänenbeitrittsprofilen angegeben werden, obwohl sie nicht so stabil sind.

   Hinweis

   Die oben genannten Einstellungen wurden ausgewählt, um die erforderliche Benutzerinteraktion während der Geräteeinrichtung zu minimieren. Einige der ausgeblendeten Einstellungen können jedoch wie gewünscht angezeigt werden. In einigen Regionen kann es z. B. erforderlich sein, dass Datenschutzeinstellungen immer angezeigt werden.

   Hinweis

   Wenn die Sprach-/Regions- und Tastaturbildschirme auf ausgeblendet festgelegt sind, werden sie möglicherweise weiterhin angezeigt, wenn zu Beginn der Autopilot-Bereitstellung keine Netzwerkkonnektivität besteht. Diese Bildschirme werden angezeigt, da zu Beginn der Bereitstellung keine Netzwerkkonnektivität vorhanden ist, um das Autopilot-Profil herunterzuladen, in dem die Einstellungen zum Ausblenden dieser Bildschirme angegeben sind. Sobald die Netzwerkkonnektivität hergestellt wurde, wird das Autopilot-Profil heruntergeladen, und alle zusätzlichen Bildschirmeinstellungen sollten wie erwartet funktionieren.

9. Nachdem die Optionen auf der Seite Out-of-Box Experience (OOBE) wie gewünscht konfiguriert wurden, wählen Sie Weiter aus.

10. Auf der Seite Zuweisungen :

    1. Wählen Sie unter Eingeschlossene Gruppen die Option Gruppen hinzufügen aus.

    Hinweis

    Stellen Sie sicher, dass Sie die richtigen Gerätegruppen unter Eingeschlossene Gruppen und nicht unter Ausgeschlossene Gruppen hinzufügen. Das versehentliche Hinzufügen der gewünschten Gerätegruppen unter Ausgeschlossene Gruppen verhindert, dass Geräte in diesen Gerätegruppen das Autopilot-Profil erhalten.

    1. Wählen Sie im fenster Select groups to include (Gruppen auswählen, die eingeschlossen werden sollen ) die Gruppen aus, denen das Autopilot-Profil zugewiesen werden soll. Diese Gerätegruppe(en) sind normalerweise die Gerätegruppen, die im vorherigen Schritt Gerätegruppe erstellen erstellt wurden. Wählen Sie anschließend Auswählen aus.

    2. Stellen Sie unter Eingeschlossene Gruppen>sicher, dass die richtigen Gruppen ausgewählt sind, und wählen Sie dann Weiter aus.

11. Überprüfen und überprüfen Sie auf der Seite Überprüfen + Erstellen , ob alle Einstellungen wie gewünscht festgelegt sind, und wählen Sie dann Erstellen aus, um das Autopilot-Profil zu erstellen.

Überprüfen, ob dem Gerät ein Autopilot-Profil zugewiesen ist

Stellen Sie vor der Bereitstellung eines Geräts sicher, dass ein Autopilot-Profil einer Gerätegruppe zugewiesen ist, der das Gerät angehört. Die Zuweisung eines Autopilot-Profils zu einem Gerät kann einige Zeit dauern, nachdem das Autopilot-Profil der Gerätegruppe zugewiesen wurde oder nachdem das Gerät der Gerätegruppe hinzugefügt wurde. Führen Sie die folgenden Schritte aus, um zu überprüfen, ob das Profil einem Gerät zugewiesen ist:

1. Melden Sie sich beim Microsoft Intune Admin Center an.

2. Wählen Sie auf dem Startbildschirm im linken Bereich Die Option Geräte aus.

3. In den Geräten | Übersichtsbildschirm wählen Sie unter Nach Plattform die Option Windows aus.

4. In den Fenstern | Windows-Gerätebildschirm , wählen Sie Windows-Registrierung aus.

5. Wählen Sie unter Windows Autopilot Deployment Programmdie Option Geräte aus.

6. Auf dem bildschirm Windows Autopilot-Geräte , der geöffnet wird:

   1. Suchen Sie das gewünschte Gerät, das das Autopilot-Bereitstellungsprofil status überprüft werden muss.

   2. Sobald sich das Gerät befindet, wird das aktuelle status in der Spalte Profil status aufgeführt. Die status weist einen der folgenden Werte auf:

      • Nicht zugewiesen: Dem Gerät ist kein Autopilot-Bereitstellungsprofil zugewiesen.

      • Zuweisen: Dem Gerät wird ein Autopilot-Bereitstellungsprofil zugewiesen.

      • Zugewiesen: Dem Gerät wird ein Autopilot-Bereitstellungsprofil zugewiesen.

      • Behebung ausstehend: Wenn eine Hardwareänderung auf einem Gerät auftritt, wird diese status angezeigt, während Intune versucht, die neue Hardware zu registrieren. Wenn der Link für die status Fix pending ausgewählt ist, wird die folgende Meldung angezeigt:

        Wir haben eine Hardwareänderung auf diesem Gerät erkannt. Wir versuchen, die neue Hardware automatisch zu registrieren. Sie müssen jetzt nichts tun; die status wird beim nächsten Einchecken mit dem Ergebnis aktualisiert.

        Wenn Intune die neue Hardware erfolgreich registrieren kann, aktualisiert Intune das Profil status, wenn das Gerät das nächste Mal Intune eincheckt. Weitere Informationen zum status fix pending finden Sie in den folgenden Artikeln:For more information on the Fix pending status, see the following articles:

        • Autopilot-Profil wird nach dem Reimaging auf eine ältere Betriebssystemversion nicht angewendet.
        • Rückgabe der wichtigsten Funktionen für die Windows Autopilot-Anmeldung und -Bereitstellung.
        • Anleitung zum Austausch von Windows Autopilot-Motherboards

      • Achtung erforderlich: Wenn Intune die neue Hardware nach einer Änderung der Hardware auf einem Gerät nicht registrieren kann, kann das Gerät das Autopilot-Profil erst empfangen, wenn das Gerät zurückgesetzt und das Gerät erneut registriert wird. Weitere Informationen zu diesem status und zum Aufheben der Registrierung eines Geräts finden Sie in den folgenden Artikeln:

        • Autopilot-Profil wird nach dem Reimaging auf eine ältere Betriebssystemversion nicht angewendet.
        • Rückgabe der wichtigsten Funktionen für die Windows Autopilot-Anmeldung und -Bereitstellung.
        • Anleitung zum Austausch von Windows Autopilot-Motherboards
        • Aufheben der Registrierung eines Geräts

      Bevor Sie den Autopilot-Bereitstellungsprozess auf einem Gerät starten, stellen Sie sicher, dass auf der Seite Windows Autopilot-Geräte :

      • Das Profilprofil status status des Geräts ist zugewiesen.
      • In den Eigenschaften des Geräts weist Date assigned einen Wert auf.
      • In den Eigenschaften des Geräts zeigt zugewiesenes Profil das erwartete Autopilot-Profil an.

Hinweis

Intune sucht in regelmäßigen Abständen nach neuen Geräten in den zugewiesenen Gerätegruppen und beginnt dann mit dem Zuweisen von Profilen zu diesen Geräten. Aufgrund verschiedener Faktoren, die am Prozess der Autopilot-Profilzuweisung beteiligt sind, kann die geschätzte Zeit für die Zuweisung von Szenario zu Szenario variieren. Zu diesen Faktoren können Microsoft Entra Gruppen, Mitgliedschaftsregeln, Hash eines Geräts, Intune und Autopilot-Dienst sowie eine Internetverbindung gehören. Die Zuweisungszeit variiert abhängig von allen Faktoren und Variablen, die in einem bestimmten Szenario beteiligt sind.

Szenarien außerhalb des lokalen/Internets und VPN-Konnektivität

Windows Autopilot für vorab bereitgestellte Microsoft Entra Hybrideinbindung unterstützt off-premises/Internet-Szenarien, in denen keine direkte Konnektivität mit Active Directory und Domänencontrollern verfügbar ist. Ein Szenario außerhalb der lokalen Umgebung bzw. des Internets macht jedoch nicht die Notwendigkeit der Konnektivität mit Active Directory und einem Domänencontroller während des Domänenbeitritts überflüssig. In einem Szenario außerhalb des Lokalen/Internets kann während des Autopilot-Prozesses eine Verbindung mit Active Directory und einem Domänencontroller über eine VPN-Verbindung hergestellt werden.

Für Szenarien außerhalb des lokalen/Internets, die VPN-Konnektivität erfordern, ist die einzige Änderung im Autopilot-Profil die Einstellung Ad-Konnektivitätsprüfung überspringen. Im Abschnitt Erstellen und Zuweisen eines vorab bereitgestellten Microsoft Entra Autopilot-Hybridjoins sollte die Einstellung Ad-Konnektivitätsprüfung überspringen auf Ja statt auf Nein festgelegt werden. Wenn Sie diese Option auf Ja festlegen, wird verhindert, dass die Bereitstellung fehlschlägt, da keine direkte Verbindung mit Active Directory und Domänencontrollern besteht, bis die VPN-Verbindung hergestellt wurde.

Zusätzlich zum Ändern der Einstellung Überprüfung der AD-Konnektivität überspringen im Autopilot-Profil auf Ja , hängt die VPN-Unterstützung auch von den folgenden Voraussetzungen ab:

• Die VPN-Lösung kann mit Intune bereitgestellt und installiert werden.
• Die VPN-Lösung muss eine der folgenden Optionen unterstützen:
  • Ermöglicht dem Benutzer das manuelle Herstellen einer VPN-Verbindung über den Windows-Anmeldebildschirm.
  • Stellt bei Bedarf automatisch eine VPN-Verbindung her.

Die VPN-Lösung muss während des Autopilot-Prozesses über Intune installiert und konfiguriert werden. Die Konfiguration muss die Bereitstellung aller erforderlichen Gerätezertifikate umfassen, falls dies für die VPN-Lösung erforderlich ist. Nachdem die VPN-Lösung auf dem Gerät installiert und konfiguriert wurde, kann die VPN-Verbindung entweder automatisch oder manuell vom Benutzer hergestellt werden. An diesem Punkt kann der Domänenbeitritt erfolgen. Weitere Informationen und Unterstützung zu VPN-Lösungen während Autopilot erhalten Sie beim jeweiligen VPN-Anbieter.

Hinweis

Einige VPN-Konfigurationen werden nicht unterstützt, da die Verbindung erst initiiert wird, wenn sich der Benutzer bei Windows anmeldet. Zu den nicht unterstützten VPN-Konfigurationen gehören:

• VPN-Lösungen, die Benutzerzertifikate verwenden
• Nicht von Microsoft stammende UWP-VPN-Plug-Ins aus dem Windows Store

Nächster Schritt: Konfigurieren und Zuweisen eines Domänenbeitrittsprofils

Schritt 8: Konfigurieren und Zuweisen eines Domänenbeitrittsprofils

Weitere Informationen

Weitere Informationen zum Konfigurieren von Autopilot-Profilen finden Sie in den folgenden Artikeln:

• Konfigurieren von Autopilot-Profilen

• Benutzergesteuerter Modus für Microsoft Entra Hybrideinbindung mit VPN-Unterstützung
• BYO VPNs