Bereitstellen von in Azure AD Hybrid eingebundenen Geräten mit Intune und Windows AutopilotDeploy hybrid Azure AD-joined devices by using Intune and Windows Autopilot

Ist diese Seite hilfreich?

Sie können in Azure AD Hybrid eingebundene Geräte mithilfe von Intune und Windows Autopilot einrichten.You can use Intune and Windows Autopilot to set up hybrid Azure Active Directory (Azure AD)-joined devices. Führen Sie dazu die Schritte in diesen Artikel durch.To do so, follow the steps in this article.

VoraussetzungenPrerequisites

Konfigurieren Sie Ihre Azure AD Hybrid-Geräte.Successfully configure your hybrid Azure AD-joined devices. Stellen Sie sicher, dass Sie die Geräteregistrierung mithilfe des Cmdlets „Get-MsolDevice“ überprüfen.Be sure to verify your device registration by using the Get-MsolDevice cmdlet.

Für die Registrierung müssen die Geräte über Folgendes verfügen:The devices to be enrolled must also:

  • Windows 10 mit dem Update von Oktober 2018Be running Windows 10 with the October 2018 update.
  • InternetverbindungHave access to the internet.
  • Greifen Sie auf Ihre Active Directory-Instanz zu (VPN-Verbindung wird zu diesem Zeitpunkt nicht unterstützt).Have access to your Active Directory (VPN connection not supported at this time).
  • Sie müssen eingerichtet worden sein.Undergo the out-of-box experience (OOBE).
  • Die Fähigkeit, den Domänencontroller der Domäne zu pingen, der Sie beitreten möchtenBe able to ping the domain controller of the domain you are trying to join.

Einrichten der automatischen Registrierung von Windows 10Set up Windows 10 automatic enrollment

  1. Melden Sie sich beim Azure-Portal an, und klicken Sie im linken Bereich auf Azure Active Directory.Sign in to the Azure portal and, in the left pane, select Azure Active Directory.

    Das Azure-Portal

  2. Wählen Sie Mobilität (MDM und MAM) aus.Select Mobility (MDM and MAM).

    Der Azure Active Directory-Bereich

  3. Wählen Sie Microsoft Intune aus.Select Microsoft Intune.

    Der Bereich „Mobilität (MDM und MAM)“

  4. Stellen Sie sicher, dass die Benutzer, die in Azure AD eingebundene Geräte mit Intune und Windows bereitstellen, Mitglieder einer Gruppe aus dem MDM-Benutzerbereich sind.Make sure that the users who deploy Azure AD-joined devices by using Intune and Windows are members of a group that's included in your MDM User scope.

    Der Bereich „Mobilität (MDM und MAM), Konfigurieren“

  5. Verwenden Sie die Standardwerte in den Feldern URL zu den MDM-Nutzungsbedingungen, URL für MDM-Ermittlung und MDM Compliance-URL, und klicken Sie dann auf Speichern.Use the default values in the MDM Terms of use URL, MDM Discovery URL, and MDM Compliance URL boxes, and then select Save.

Erhöhen des Kontolimits für den Computer in der OrganisationseinheitIncrease the computer account limit in the Organizational Unit

Der Intune-Connector für Active Directory erstellt Computer mit Registrierung per Autopilot in der lokalen Active Directory-Domäne.The Intune Connector for your Active Directory creates autopilot-enrolled computers in the on-premises Active Directory domain. Der Hostcomputer des Intune-Connectors muss über die Berechtigung verfügen, die Computerobjekte innerhalb der Domäne zu erstellen.The computer that hosts the Intune Connector must have the rights to create the computer objects within the domain.

In einigen Domänen werden Computern keine Berechtigungen zum Erstellen von Computern gewährt.In some domains, computers are not granted the rights to create computers. Darüber hinaus verfügen Domänen über ein integriertes Limit (Standardeinstellung: 10), das für alle Benutzer und Computer gilt, denen keine Berechtigungen zum Erstellen von Computerobjekten gewährt wurden.Additionally, domains have a built-in limit (default of 10) that applies to all users and computers that aren't delegated rights to create computer objects. Deshalb müssen die Berechtigungen Computern gewährt werden, die den Intune-Connector in der Organisationseinheit hosten, in der in Azure AD Hybrid eingebundene Geräte erstellt werden.Therefore, the rights need to be delegated to computers that host the Intune Connector on the organizational unit where hybrid Azure AD-joined devices are created.

Die Organisationseinheit, der die Berechtigung zum Erstellen von Computern gewährt wird, muss mit Folgendem übereinstimmen:The organizational unit that's granted the rights to create computers must match:

  • Mit der Organisationseinheit, die im Domänenbeitrittsprofil eingetragen istThe organizational unit that's entered in the Domain Join profile.
  • Mit dem Domänennamen des Computers für Ihre Domäne, wenn kein Profil ausgewählt istIf no profile is selected, the computer's domain name for your domain.
  1. Öffnen Sie Active Directory-Benutzer und -Computer („DSA.msc“).Open Active Directory Users and Computers (DSA.msc).

  2. Klicken Sie mit der rechten Maustaste auf die Organisationseinheit, mit der Sie Azure AD Hybrid-Computer erstellen möchten, und wählen Sie Delegate Control... (Objektverwaltung zuweisen...) aus.Right-click the organizational unit that you'll use to create hybrid Azure AD-joined computers, and then select Delegate Control.

    Menübefehl „Delegate Control...“ (Objektverwaltung zuweisen...)

  3. Wählen Sie im Assistenten zum Zuweisen der Objektverwaltung die Optionen Weiter > Hinzufügen... > Objekttypen aus.In the Delegation of Control wizard, select Next > Add > Object Types.

  4. Aktivieren Sie im Bereich Objekttypen das Kontrollkästchen Computer, und klicken Sie dann auf OK.In the Object Types pane, select the Computers check box, and then select OK.

    Bereich „Object Types“ (Objekttypen)

  5. Geben Sie im Bereich zur Auswahl von Benutzern, Computern oder Gruppen im Feld Geben Sie die zu verwenden Objektnamen ein den Namen des Computers ein, auf dem der Connector installiert ist.In the Select Users, Computers, or Groups pane, in the Enter the object names to select box, enter the name of the computer where the Connector is installed.

    Bereich „Select Users, Computers, or Groups“ (Benutzer, Computer oder Gruppen auswählen)

  6. Klicken Sie auf Check Names (Namen überprüfen), um Ihren Eintrag zu prüfen, klicken Sie auf OK und dann auf Next (Weiter).Select Check Names to validate your entry, select OK, and then select Next.

  7. Wählen Sie Create a custom task to delegate > Next (Benutzerdefinierte Aufgaben zum Zuweisen erstellen > Weiter) aus.Select Create a custom task to delegate > Next.

  8. Aktivieren Sie das Kontrollkästchen Only the following objects in the folder (Nur die folgenden Objekte im Ordner) und anschließen die Kontrollkästchen Computer objects (Computerobjekte), Delete selected objects in this folder (Gewählte Objekte in diesem Ordner löschen) und Create selected objects in this folder (Gewählte Objekte in diesem Ordner erstellen).Select the Only the following objects in the folder check box, and then select the Computer objects, Create selected objects in this folder, and Delete selected objects in this folder check boxes.

    Bereich „Active Directory Object Type“ (Active Directory-Objekttyp)

  9. Wählen Sie Weiter aus.Select Next.

  10. Aktivieren Sie unter Permissions (Berechtigungen) das Kontrollkästchen Full Control (Vollzugriff).Under Permissions, select the Full Control check box.
    Durch diese Auswahl werden auch alle anderen Optionen aktiviert.This action selects all the other options.

    Bereich „Permissions“ (Berechtigungen)

  11. Klicken Sie auf Next (Weiter) und dann auf Finish (Fertig stellen).Select Next, and then select Finish.

Installieren des Intune-ConnectorsInstall the Intune Connector

Der Intune-Connector für Azure AD muss auf einem Computer mit Windows Server 2016 oder höher installiert werden.The Intune Connector for Active Directory must be installed on a computer that's running Windows Server 2016 or later. Der Computer muss zudem über Internetzugriff und eine Active Directory-Instanz verfügen.The computer must also have access to the internet and your Active Directory. Für höhere Skalierbarkeit und Verfügbarkeit oder Unterstützung mehrerer Active Directory-Domänen können Sie mehrere Connectors in der Umgebung installieren.To increase scale and availability or to support multiple Active Directory domains, you can install multiple connectors in your environment. Es wird empfohlen, den Connector auf einem Server zu installieren, auf dem keine anderen Intune-Connectors ausgeführt werden.We recommend installing the Connector on a server that's not running any other Intune connectors.

  1. Stellen Sie sicher, dass Sie ein Language Pack installiert und konfiguriert haben, wie unter Sprachanforderungen für den Intune-Connector (Vorschau) beschrieben wird.Make sure that you have a language pack installed and configured as described in Intune Connector (Preview) language requirements.
  2. Klicken Sie unter Intune auf Geräteregistrierung > Windows-Registrierung > Intune-Connector für Active Directory (Vorschau) > Connector hinzufügen.In Intune, select Device enrollment > Windows enrollment > Intune Connector for Active Directory (Preview) > Add connector.
  3. Folgen Sie den Anweisungen, um den Connector herunterzuladen.Follow the instructions to download the Connector.
  4. Öffnen Sie die heruntergeladene Connectorsetupdatei (ODJConnectorBootstrapper.exe), um den Connector zu installieren.Open the downloaded Connector setup file, ODJConnectorBootstrapper.exe, to install the Connector.
  5. Klicken Sie am Ende des Setups auf Konfigurieren.At the end of the setup, select Configure.
  6. Klicken Sie auf Sign In (Anmelden).Select Sign In.
  7. Geben Sie die Anmeldedaten für die Rolle „Globaler Administrator“ oder „Intune-Administrator“ ein.Enter the user Global Administrator or Intune Administrator role credentials.
    Dem Benutzerkonto muss eine Intune-Lizenz zugewiesen werden.The user account must have an assigned Intune license.
  8. Navigieren Sie zu Geräteregistrierung > Windows-Registrierung > Intune-Connector für Active Directory (Vorschau) , und stellen Sie sicher, dass der Verbindungsstatus Active (Aktiv) ist.Go to Device enrollment > Windows enrollment > Intune Connector for Active Directory (Preview), and then confirm that the connection status is Active.

Hinweis

Nach der Anmeldung im Connector dauert es möglicherweise einige Minuten, bis er in Intune angezeigt wird.After you sign in to the Connector, it might take a couple of minutes to appear in Intune. Er wird nur angezeigt, wenn er mit Intune kommunizieren kann.It appears only if it can successfully communicate with the Intune service.

Deaktivieren der verstärkten Sicherheitskonfiguration für IETurn off IE Enhanced Security Configuration

Bei Windows Server ist die verstärkte Sicherheitskonfiguration für Internet Explorer standardmäßig aktiviert.By default Windows Server has Internet Explorer Enhanced Security Configuration turned on. Wenn Sie sich beim Intune-Connector für Active Directory nicht anmelden können, deaktivieren Sie die verstärkte Sicherheitskonfiguration für IE für den Administrator.If you are unable to sign in to the Intune Connector for Active Directory then turn off IE Enhanced Security Configuration for the Administrator. Deaktivieren der verstärkten Sicherheitskonfiguration für Internet ExplorerHow To Turn Off Internet Explorer Enhanced Security Configuration

Konfigurieren von WebproxyeinstellungenConfigure web proxy settings

Wenn ein Webproxy in der Netzwerkumgebung vorhanden ist, stellen Sie sicher, dass der Intune-Connector für Active Directory ordnungsgemäß funktioniert. Informationen finden Sie unter Verwenden von vorhandenen lokalen Proxyservern.If you have a web proxy in your networking environment, ensure that the Intune Connector for Active Directory works properly by referring to Work with existing on-premises proxy servers.

Erstellen einer GerätegruppeCreate a device group

  1. Klicken Sie in Intune auf Gruppen > Neue Gruppe.In Intune, select Groups > New group.

  2. Führen Sie im Bereich Gruppe folgende Aktionen aus:In the Group pane, do the following:

    ein.a. Wählen Sie unter Gruppentyp die Option Sicherheit aus.For Group type, select Security.

    b.b. Geben Sie einen Gruppennamen und eine Gruppenbeschreibung ein.Enter a Group name and Group description.

    c.c. Wählen Sie einen Mitgliedschaftstyp aus.Select a Membership type.

  3. Wenn Sie oben Dynamische Geräte als Mitgliedschaftstyp ausgewählt haben,wählen Sie anschließend im Bereich Gruppe die Option Dynamische Gerätemitglieder aus, und geben Sie einen der folgenden Codes in das Feld Erweiterte Regel ein:If you selected Dynamic Devices for the membership type, in the Group pane, select Dynamic device members and then, in the Advanced rule box, do one of the following:

    • Wenn Sie eine Gruppe mit all Ihren Autopilot-Geräten erstellen möchten, geben Sie (device.devicePhysicalIDs -any _ -contains "[ZTDId]") ein.To create a group that includes all your Autopilot devices, enter (device.devicePhysicalIDs -any _ -contains "[ZTDId]").
    • Das Intune-Feld „Gruppentag“ wird dem Attribut „OrderID“ auf Azure AD-Geräten zugeordnet.Intune's Group Tag field maps to the OrderID attribute on Azure AD devices. Wenn Sie eine Gruppe erstellen möchten, die all Ihre Autopilot-Geräte mit einem bestimmten Gruppentag („OrderID“) enthält, müssen Sie eingeben:  (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881")If you want to create a group that includes all of your Autopilot devices with a specific Group Tag(OrderID) you must type: (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881")
    • Wenn Sie eine Gruppe mit all Ihren Autopilot-Geräten mit einer bestimmten Bestellungs-ID erstellen möchten, geben Sie (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342") ein.To create a group that includes all your Autopilot devices with a specific Purchase Order ID, enter (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342").
  4. Wählen Sie Speichern aus.Select Save.

  5. Wählen Sie Erstellen aus.Select Create.

Registrieren der Autopilot-GeräteRegister your Autopilot devices

Wählen Sie eine der folgenden Möglichkeiten, um Ihre Autopilot-Geräte zu registrieren.Select one of the following ways to enroll your Autopilot devices.

Registrieren von bereits angemeldeten Autopilot-GerätenRegister Autopilot devices that are already enrolled

  1. Erstellen Sie ein Autopilot-Bereitstellungsprofil, in dem Alle als Ziel angegebenen Geräte in Autopilot konvertieren auf Ja festgelegt ist.Create an Autopilot deployment profile with Convert all targeted devices to Autopilot set to Yes.
  2. Ordnen Sie das Profil einer Gruppe zu, die die Mitglieder enthält, die Sie automatisch bei Autopilot registrieren möchten.Assign the profile to a group that contains the members that you want to automatically register with Autopilot.

Weitere Informationen finden Sie unter Erstellen eines Autopilot-Bereitstellungsprofils.For more information, see Create an Autopilot deployment profile.

Registrieren von noch nicht angemeldeten Autopilot-GerätenRegister Autopilot devices that aren't enrolled

Wenn Ihre Geräte noch nicht registriert sind, können Sie sie selbst registrieren.If your devices aren't yet enrolled, you can register them yourself. Weitere Informationen finden Sie unter Hinzufügen von Geräten.For more information, see Add devices.

Registrieren von Geräten eines OEMsRegister devices from an OEM

Beim Kauf neuer Geräte können einige OEMs die Geräte für Sie registrieren.If you're buying new devices, some OEMs can register the devices for you. Weitere Informationen finden Sie auf der Seite Windows Autopilot.For more information, see the Windows Autopilot page.

Wenn Autopilot-Geräte registriert werden (bevor sie in Intune registriert werden), werden sie an drei Stellen (mit Namen, die auf ihre Seriennummern festgelegt sind) angezeigt:When your Autopilot devices are registered, before they're enrolled into Intune, they're displayed in three places (with names set to their serial numbers):

  • Im Bereich Autopilot-Geräte unter Intune im Azure-Portal.The Autopilot Devices pane in the Intune in the Azure portal. Klicken Sie auf Geräteregistrierung > Windows-Registrierung > Geräte.Select Device enrollment > Windows enrollment > Devices.
  • Im Bereich Azure AD-Geräte unter Intune im Azure-Portal.The Azure AD devices pane in the Intune in the Azure portal. Klicken Sie auf Geräte > Azure AD-Geräte.Select Devices > Azure AD Devices.
  • Der Bereich Alle Geräte unter Azure Active Directory im Azure-Portal (Geräte > Alle Geräte).The Azure AD All Devices pane in Azure Active Directory in the Azure portal by selecting Devices > All Devices.

Nachdem Ihre Autopilot-Geräte registriert wurden, werden sie an vier Stellen angezeigt:After your Autopilot devices are enrolled, they're displayed in four places:

  • Im Bereich Autopilot-Geräte unter Intune im Azure-Portal.The Autopilot Devices pane in the Intune in the Azure portal. Klicken Sie auf Geräteregistrierung > Windows-Registrierung > Geräte.Select Device enrollment > Windows enrollment > Devices.
  • Im Bereich Azure AD-Geräte unter Intune im Azure-Portal.The Azure AD devices pane in the Intune in the Azure portal. Klicken Sie auf Geräte > Azure AD-Geräte.Select Devices > Azure AD Devices.
  • Im Bereich Alle Geräte unter Azure Active Directory im Azure-Portal.The Azure AD All Devices pane in Azure Active Directory in the Azure portal. Klicken Sie auf Geräte > Alle Geräte.Select Devices > All Devices.
  • Im Bereich Alle Geräte unter Intune im Azure-Portal.The All Devices pane in the Intune in the Azure portal. Klicken Sie auf Geräte > Alle Geräte.Select Devices > All Devices.

Nachdem Ihre Autopilot-Geräte registriert wurden, werden die Gerätenamen in den Hostnamen des Geräts geändert.After your Autopilot devices are enrolled, their names become the hostname of the device. Standardmäßig beginnt der Hostname mit DESKTOP- .By default, the hostname begins with DESKTOP-.

Erstellen und Zuweisen eines Autopilot-BereitstellungsprofilsCreate and assign an Autopilot deployment profile

Autopilot-Bereitstellungsprofile werden verwendet, um die Autopilot-Geräte zu konfigurieren.Autopilot deployment profiles are used to configure the Autopilot devices.

  1. Klicken Sie in Intune auf Geräteregistrierung > Windows-Registrierung > Bereitstellungsprofile > Profil erstellen.In Intune, select Device enrollment > Windows enrollment > Deployment Profiles > Create Profile.
  2. Geben Sie einen Namen und (optional) eine Beschreibung ein.Type a Name and, optionally, a Description.
  3. Wählen Sie für Bereitstellungsmodus Benutzergesteuert aus.For Deployment mode, select User-driven.
  4. Wählen Sie im Feld Azure AD beitreten als die Option In Hybrid-Azure AD eingebunden (Vorschau) aus.In the Join to Azure AD as box, select Hybrid Azure AD joined (Preview).
  5. Wählen Sie Willkommensseite aus, konfigurieren Sie die benötigten Optionen, und wählen Sie dann Speichern aus.Select Out-of-box experience (OOBE), configure the options as needed, and then select Save.
  6. Klicken Sie auf Erstellen, um das Profil zu erstellen.Select Create to create the profile.
  7. Wählen Sie im App-Bereich die Option Zuweisungen aus.In the profile pane, select Assignments.
  8. Klicken Sie auf Gruppen auswählen.Select Select groups.
  9. Wählen Sie im Bereich Gruppen auswählen die Gerätegruppe aus, und klicken Sie anschließend auf Auswählen.In the Select groups pane, select the device group, and then click Select.

Es dauert etwa 15 Minuten, bis sich der Status des Geräteprofils von Nicht zugewiesen in Wird zugewiesen und schließlich in Zugewiesen ändert.It takes about 15 minutes for the device profile status to change from Not assigned to Assigning and, finally, to Assigned.

Aktivieren der Registrierungsstatusseite (optional)(Optional) Turn on the enrollment status page

  1. Wählen Sie in Intune Geräteregistrierung > Windows-Registrierung > Seite zum Registrierungsstatus aus.In Intune, select Device enrollment > Windows enrollment > Enrollment Status Page.
  2. Klicken Sie im Bereich Seite zum Registrierungsstatus auf Standard > Einstellungen.In the Enrollment Status Page pane, select Default > Settings.
  3. Legen Sie für Installationsfortschritt für Apps und Profile anzeigen Yes (Ja) fest.In the Show app and profile installation progress box, select Yes.
  4. Konfigurieren Sie die anderen Optionen je nach Bedarf.Configure the other options as needed.
  5. Wählen Sie Speichern aus.Select Save.

Erstellen und Zuweisen eines DomänenbeitrittsprofilsCreate and assign a Domain Join profile

  1. Wählen Sie in Intune Gerätekonfiguration > Profile > Profil erstellen aus.In Intune, select Device configuration > Profiles > Create Profile.
  2. Geben Sie die folgenden Eigenschaften ein:Enter the following properties:
    • Name: Geben Sie einen aussagekräftigen Namen für das neue Profil ein.Name: Enter a descriptive name for the new profile.
    • Beschreibung: Geben Sie eine Beschreibung für das Profil ein.Description: Enter a description for the profile.
    • Plattform: Wählen Sie Windows 10 und höher aus.Platform: Select Windows 10 and later.
    • Profiltyp: Wählen Sie Domänenbeitritt (Vorschau) aus.Profile type: Select Domain Join (Preview).
  3. Wählen Sie Einstellungen aus, und geben Sie anschließend ein Computernamenspräfix, einen Domänennamen und optional eine Organisationseinheit im DN-Format ein.Select Settings, and then provide a Computer name prefix, Domain name, and (optional) Organizational unit in DN format.
  4. Klicken Sie auf OK > Erstellen.Select OK > Create.
    Das Profil wird erstellt und in der Liste angezeigt.The profile is created and displayed in the list.
  5. Um das Profil zuzuweisen, führen Sie die Schritte unter Zuweisen eines Geräteprofils aus, und weisen Sie das Profil derselben Gruppe zu, die beim Schritt Erstellen einer Gerätegruppe verwendet wurde.To assign the profile, follow the steps under Assign a device profile and assign the profile to the same group used at this step Create a device group
    • Bereitstellen mehrerer DomänenbeitrittsprofileDeploying multiple Domain Join profiles

      ein.a. Erstellen Sie eine dynamische Gruppe, die alle Ihre Autopilot-Geräte mit einem bestimmten Autopilot-Bereitstellungsprofil enthält. Geben Sie dazu „(device.enrollmentProfileName -eq ‚Autopilot-Profilname‘)“ ein.Create a dynamic group that includes all your Autopilot devices with a specific Autopilot deployment profile, enter (device.enrollmentProfileName -eq "Autopilot Profile Name").

      b.b. Ersetzen Sie ‚Autopilot-Profilname‘ durch den Anzeigenamen des Profils, das Sie unter Erstellen und Zuweisen eines Autopilot-Bereitstellungsprofils erstellt haben.Replace 'Autopilot Profile Name' with the display name of the profile created under Create and assign an Autopilot deployment profile.

      c.c. Erstellen Sie mehrere Autopilot-Bereitstellungsprofile, und weisen Sie dieses Gerät dem Profil zu, das Sie in dieser dynamischen Gruppe angegeben haben.Create multiple Autopilot deployment profiles and assign that device to the profile specified in this dynamic group.

Hinweis

Die Benennungsfunktionen für Windows Autopilot für Azure AD Hybrid Join unterstützen keine Variablen wie %SERIAL%. Sie unterstützen ausschließlich Präfixe für den Computernamen.The naming capabilities for Windows Autopilot for Hybrid Azure AD Join do not support variables such as %SERIAL% and only support prefixes for the computer name.

Nächste SchritteNext steps

Nachdem Sie Windows Autopilot konfiguriert haben, erfahren Sie mehr über die Verwaltung dieser Geräte.After you configure Windows Autopilot, learn how to manage those devices. Weitere Informationen finden Sie unter Was ist die Microsoft Intune-Geräteverwaltung?.For more information, see What is Microsoft Intune device management?.