Windows benutzergesteuerter Autopilot-Modus

Gilt für

  • Windows 10, Version 1809 oder höher
  • Windows 11

Windows benutzergesteuerten Autopilot-Modus können Sie neue Windows-Geräte so konfigurieren, dass sie automatisch von ihrem Werkszustand in einen einsatzbereiten Zustand umgewandelt werden. Für diesen Vorgang ist es nicht erforderlich, dass IT-Mitarbeiter das Gerät berühren.

Der Vorgang ist sehr einfach. Geräte können mit den folgenden Anweisungen direkt an den Endbenutzer ausgeliefert oder verteilt werden:

  1. Packen Sie das Gerät aus, schließen Sie es an, und schalten Sie es ein.
  2. Wählen Sie eine Sprache (nur erforderlich, wenn mehrere Sprachen installiert sind), Gebietsschema und Tastatur.
  3. Stellen Sie die Verbindung zu einem drahtlosen oder verdrahteten Netzwerk mit Internetzugang her. Bei Verwendung von Drahtlosverbindung muss der Benutzer den Wi-Fi-Link herstellen.
  4. Geben Sie Ihre E-Mail-Adresse und das Kennwort für Ihr Organisationskonto an.

Der Rest des Prozesses wird automatisiert. Das Gerät führt Folgendes aus:

  1. Treten Sie der Organisation bei.
  2. Registrieren bei Intune (oder einem anderen MDM-Dienst)
  3. Wird wie von der Organisation definiert konfiguriert.

Alle zusätzlichen Eingabeaufforderungen während der Windows-Willkommensseite können unterdrückt werden. Weitere Informationen finden Sie unter Konfigurieren von Autopilot-Profilen für verfügbare Optionen.

Wichtig

Wenn Sie Active Directory-Verbunddienste (Ad FS) verwenden, gibt es ein bekanntes Problem , das es dem Endbenutzer ermöglichen kann, sich mit einem anderen Konto als dem konto anzumelden, das diesem Gerät zugewiesen ist.

Windows benutzergesteuerte Autopilot-Modus unterstützt Azure AD und in hybride Azure AD eingebundene Geräte. Weitere Informationen zu diesen beiden Verknüpfungsoptionen finden Sie unter "Was ist eine Geräteidentität".

Der Prozessablauf während des benutzergesteuerten Prozesses wird wie folgt abgeschlossen:

  1. Nach der Verbindung mit einem Netzwerk lädt das Gerät ein Windows Autopilot-Profil herunter. Das Profil definiert die Einstellungen, die für das Gerät verwendet werden. Definieren Sie beispielsweise die Eingabeaufforderungen, die während der Windows-Willkommensseite unterdrückt werden.
  2. Windows sucht nach kritischen Windows-Willkommensseite-Updates. Wenn Updates verfügbar sind, werden sie automatisch installiert (bei Bedarf neu starten).
  3. Der Benutzer wird aufgefordert, Azure Active Directory Anmeldeinformationen ein. Diese angepasste Benutzeroberfläche zeigt den Azure AD Mandantennamen, das Logo und den Anmeldetext.
  4. Das Gerät verknüpft Azure Active Directory oder Active Directory, je nach Windows Autopilot-Profileinstellungen.
  5. Das Gerät registriert sich bei Intune (oder anderen konfigurierten MDM-Diensten). Je nach den Anforderungen Ihrer Organisation erfolgt diese Registrierung:
    • während des Azure Active Directory Beitrittsprozesses mithilfe der automatischen MDM-Registrierung
    • oder vor dem Active Directory-Verknüpfungsprozess.
  6. Wenn konfiguriert, wird die Registrierungsstatusseite (ESP) angezeigt.
  7. Nach Abschluss der Gerätekonfigurationsaufgaben wird der Benutzer mit den zuvor angegebenen Anmeldeinformationen bei Windows angemeldet. (Wenn das Gerät während des Esp-Vorgangs des Geräts neu gestartet wird, muss der Benutzer seine Anmeldeinformationen erneut eingeben, da diese Details nicht bei Neustarts beibehalten werden.)
  8. Nach der Anmeldung wird die Registrierungsstatusseite für benutzerorientierte Konfigurationsaufgaben angezeigt.

Wenn während dieses Vorgangs Probleme gefunden werden, lesen Sie die Dokumentation Windows Autopilot-Problembehandlung.

Weitere Informationen zu den verfügbaren Verknüpfungsoptionen finden Sie in den folgenden Abschnitten:

Benutzergesteuerter Modus für Azure Active Directory Beitritt

Führen Sie die folgenden Vorbereitungsschritte aus, um eine benutzergesteuerte Bereitstellung mit Windows Autopilot abzuschließen:

  1. Stellen Sie sicher, dass die Benutzer, die Bereitstellungen im benutzergesteuerten Modus durchführen werden, Geräte mit Azure Active Directory verbinden können. Weitere Informationen finden Sie unter "Konfigurieren von Geräteeinstellungen" in der Dokumentation Azure Active Directory.
  2. Erstellen Sie ein Autopilot-Profil für den benutzergesteuerten Modus mit den gewünschten Einstellungen. In Microsoft Intune wird dieser Modus explizit beim Erstellen des Profils ausgewählt. Bei Microsoft Store für Unternehmen und Partner Center ist der benutzergesteuerte Modus die Standardeinstellung und muss nicht ausgewählt werden.
  3. Wenn Sie Intune verwenden, erstellen Sie eine Gerätegruppe in Azure Active Directory, und weisen Sie dieser Gruppe das Autopilot-Profil zu.

Für jedes Gerät, das mithilfe einer benutzergesteuerten Bereitstellung bereitgestellt wird, sind die folgenden zusätzlichen Schritte erforderlich:

  • Stellen Sie sicher, dass das Gerät Windows Autopilot hinzugefügt wurde. Das Hinzufügen eines Geräts zu Windows Autopilot kann auf zwei Arten erfolgen:
  • Stellen Sie sicher, dass dem Gerät ein Autopilot-Profil zugewiesen wurde:
  • Wenn Sie Intune und Azure Active Directory dynamischen Gerätegruppen verwenden, kann diese Zuweisung automatisch durchgeführt werden.
  • Wenn Sie Intune und Azure Active Directory statischen Gerätegruppen verwenden, fügen Sie das Gerät manuell zur Gerätegruppe hinzu.
  • Wenn Sie andere Methoden verwenden (z. B. Microsoft Store für Unternehmen oder Partner Center), weisen Sie dem Gerät manuell ein Autopilot-Profil zu.

Benutzergesteuerter Modus für hybride Azure Active Directory Beitritt

Windows Autopilot erfordert, dass Geräte Azure Active Directory eingebunden werden. Wenn Sie über eine lokale Active Directory-Umgebung verfügen, können Sie Geräte mit Ihrer lokalen Domäne verknüpfen. Um die Geräte zu verknüpfen, müssen Sie Autopilot-Geräte so konfigurieren, dass sie hybrid mit Azure Active Directory (Azure AD) verbunden sind.

Anforderungen

So führen Sie eine benutzergesteuerte Hybridbereitstellung Azure AD der verbundenen Bereitstellung mit Windows Autopilot durch:

  • Es muss ein Windows Autopilot-Profil für den benutzergesteuerten Modus erstellt werden und
    • Hybrid Azure AD verknüpft ist, muss als ausgewählte Option unter Verknüpfen mit Azure AD angegeben werden, wie im Autopilot-Profil.
  • Wenn Sie Intune verwenden, muss eine Gerätegruppe in Azure Active Directory mit dem Windows Autopilot-Profil vorhanden sein, das dieser Gruppe zugewiesen ist.
  • Wenn Sie Intune verwenden, erstellen und weisen Sie ein Domänenbeitrittsprofil zu. Ein Konfigurationsprofil für den Domänenbeitritt enthält lokale Active Directory-Domäneninformationen.
  • Das Gerät muss auf das Internet zugreifen können. Weitere Informationen finden Sie unter den Windows Autopilot-Netzwerkanforderungen.
  • Der Intune-Connector für Active Directory muss installiert sein.
    • Hinweis: Der Intune-Connector führt eine lokale AD-Verknüpfung durch. Daher benötigen Benutzer keine lokale AD-Beitrittsberechtigung. Dies setzt voraus, dass der Connector so konfiguriert ist, dass diese Aktion im Namen des Benutzers ausgeführt wird.
  • Bei Verwendung eines Proxys müssen WPAD-Proxyeinstellungen aktiviert und konfiguriert sein.

Zusätzlich zu den kernanforderungen für benutzergesteuerte Hybrid-Azure AD Join, die oben erwähnt werden, gelten die folgenden zusätzlichen Anforderungen für ein lokales Szenario:

  • Das Gerät muss Windows 10, Version 1809 oder höher ausgeführt werden.
  • Das Gerät muss Zugriff auf einen Active Directory-Domänencontroller haben. Es muss mit dem Netzwerk der Organisation verbunden sein. Sie muss in der Lage sein, die DNS-Einträge für die AD-Domäne und den AD-Domänencontroller aufzulösen. Es muss in der Lage sein, mit dem Domänencontroller zu kommunizieren, um den Benutzer zu authentifizieren.

Benutzergesteuerter Modus für hybride Azure Active Directory Beitritt mit VPN-Unterstützung (Vorschau)

Tipp

Während wir mit unseren Kunden sprechen, die Microsoft Endpoint Manager zum Bereitstellen, Verwalten und Sichern ihrer Clientgeräte verwenden, erhalten wir häufig Fragen zur gemeinsamen Verwaltung von Geräten und hybriden Azure Active Directory (Azure AD) verbundenen Geräten. Viele Kunden verwechseln diese beiden Themen. Co-Verwaltung ist eine Verwaltungsoption, während Azure AD eine Identitätsoption ist. Weitere Informationen finden Sie unter Grundlegendes zu Hybrid-Azure AD und Co-Management-Szenarien. In diesem Blogbeitrag soll erläutert werden, wie hybride Azure AD Beitreten und Co-Management, wie sie zusammenarbeiten, aber nicht dasselbe sind.

Sie können den Configuration Manager-Client nicht bereitstellen, während Sie einen neuen Computer in Windows benutzergesteuerten Autopilot-Modus für hybride Azure AD Join bereitstellen. Diese Einschränkung ist auf die Identitätsänderung des Geräts während des Azure AD Beitrittsprozesses zurückzuführen. Stellen Sie den Configuration Manager-Client nach dem Autopilot-Prozess bereit. Alternative Optionen für die Installation des Clients finden Sie unter Clientinstallationsmethoden in Configuration Manager .

Für Geräte, die mit Active Directory verbunden sind, ist für viele Aktivitäten eine Verbindung mit einem Active Directory-Domänencontroller erforderlich. Zu diesen Aktivitäten gehören die Benutzeranmeldung (Überprüfung der Anmeldeinformationen des Benutzers) und die Gruppenrichtlinienanwendung. Daher würde der Windows benutzergesteuerte Hybrid-Azure AD Join-Prozess von Autopilot überprüfen, ob das Gerät in der Lage ist, einen Active Directory-Domänencontroller durch Pingen des Domänencontrollers zu kontaktieren.

Mit der zusätzlichen VPN-Unterstützung für dieses Szenario können Sie den Hybrid Azure AD Join-Prozess so konfigurieren, dass die Konnektivitätsprüfung übersprungen wird. Dadurch entfällt nicht die Notwendigkeit der Kommunikation mit einem Active Directory-Domänencontroller. Um eine Verbindung mit dem Netzwerk der Organisation zuzulassen, stellt Intune stattdessen die erforderliche VPN-Konfiguration bereit, bevor der Benutzer versucht, sich bei Windows anzumelden.

Anforderungen

Zusätzlich zu den grundlegenden Anforderungen für die oben erwähnten benutzergesteuerten hybriden Azure AD gelten die folgenden zusätzlichen Anforderungen für ein Remoteszenario von Hybrid Azure AD Join mit VPN-Unterstützung:

  • Eine unterstützte Version von Windows:
    • Windows 10 Version 1903 + kumulatives Update vom 10. Dezember (KB4530684, Betriebssystembuild 18362.535) oder höher
    • Windows 10 Version 1909 + kumulatives Update vom 10. Dezember (KB4530684, Betriebssystembuild 18363.535) oder höher
    • Windows 10 Version 2004 oder höher
    • Windows 11
  • Aktivieren Sie den Umschalter "Domänenkonnektivität überspringen" im Hybrid Azure AD Autopilot-Profil beitreten.
  • Eine VPN-Konfiguration, die:
    • Kann mit Intune bereitgestellt werden und ermöglicht es dem Benutzer, manuell eine VPN-Verbindung über den Windows Anmeldebildschirm herzustellen, oder
    • Eine, die bei Bedarf automatisch eine VPN-Verbindung herstellt.

Die erforderliche VPN-Konfiguration hängt von der verwendeten VPN-Software und Authentifizierung ab. Bei VPN-Lösungen von Drittanbietern (nicht von Microsoft) umfasst dies in der Regel die Bereitstellung einer Win32-App (die die VPN-Clientsoftware selbst und alle spezifischen Verbindungsinformationen enthält, z. B. VPN-Endpunkthostnamen) über Intune-Verwaltungserweiterungen. Konfigurationsdetails für diesen Anbieter finden Sie in der Dokumentation Ihres VPN-Anbieters.

Hinweis

Die VPN-Anforderungen gelten nicht speziell für Windows Autopilot. Wenn Sie beispielsweise bereits eine VPN-Konfiguration implementiert haben, um Remotekennwortzurücksetzungen zu aktivieren, bei denen sich ein Benutzer bei Windows mit einem neuen Kennwort anmelden muss, wenn er sich nicht im Netzwerk der Organisation befindet, kann dieselbe Konfiguration mit Windows Autopilot verwendet werden. Nachdem sich der Benutzer angemeldet hat, um seine Anmeldeinformationen zwischenzuspeichern, benötigen nachfolgende Anmeldeversuche keine Verbindung, da die zwischengespeicherten Anmeldeinformationen verwendet werden können.

In Fällen, in denen die Zertifikatauthentifizierung von der VPN-Software erforderlich ist, sollte das erforderliche Computerzertifikat auch über Intune bereitgestellt werden. Diese Bereitstellung kann mithilfe der Intune-Zertifikatregistrierungsfunktionen erfolgen, wobei die Zertifikatprofile auf das Gerät ausgerichtet sind.

Benutzerzertifikate werden nicht unterstützt, da sie erst bereitgestellt werden können, wenn sich der Benutzer anmeldet. Da sie erst installiert werden, nachdem sich der Benutzer angemeldet hat, werden auch nicht von Microsoft bereitgestellte UWP-VPN-Plug-Ins aus dem Windows Store nicht unterstützt.

Überprüfung

Bevor Sie versuchen, eine hybride Azure AD Mithilfe von VPN zu verknüpfen, ist es wichtig zu bestätigen, dass ein benutzergesteuerter Hybrid-Azure AD Join-Prozess im Netzwerk der Organisation ausgeführt werden kann. Diese Bestätigung vereinfacht die Problembehandlung, indem sichergestellt wird, dass der Kernprozess funktioniert, bevor die zusätzliche VPN-Konfiguration hinzugefügt wird.

Überprüfen Sie als Nächstes, ob die VPN-Konfiguration (Win32-App, Zertifikate und andere Anforderungen) mit Intune auf einem vorhandenen Gerät bereitgestellt werden kann, das bereits hybrid Azure AD eingebunden wurde. Einige VPN-Clients erstellen beispielsweise im Rahmen des Installationsvorgangs eine computerbasierte VPN-Verbindung. Sie können die Konfiguration also mithilfe der folgenden Schritte überprüfen:

  • Stellen Sie in PowerShell sicher, dass mindestens eine VPN-Verbindung pro Computer mithilfe des Befehls "Get-VpnConnection -AllUserConnection" erstellt wurde.
  • Versuchen Sie, die VPN-Verbindung mithilfe des Befehls manuell zu starten: RASDIAL.EXE "ConnectionName"
  • Melden Sie sich ab, und stellen Sie sicher, dass das Symbol "VPN-Verbindung" auf der Windows Anmeldeseite angezeigt wird.
  • Verschieben Sie das Gerät aus dem Unternehmensnetzwerk, und versuchen Sie, die Verbindung mithilfe des Symbols auf der Windows Anmeldeseite herzustellen. Melden Sie sich bei einem Konto an, das nicht über zwischengespeicherte Anmeldeinformationen verfügt.

Bei VPN-Konfigurationen, die automatisch eine Verbindung herstellen, können die Überprüfungsschritte unterschiedlich sein.

Hinweis

Always On VPN kann für dieses Szenario verwendet werden. Weitere Informationen finden Sie in der Dokumentation zur Bereitstellung von Always On VPN . Beachten Sie, dass Intune das erforderliche VPN-Profil pro Computer noch nicht bereitstellen kann.

Um den Vorgang zu überprüfen, stellen Sie sicher, dass das erforderliche Windows 10 kumulative Update am Windows 10 1903 oder Windows 10 1909 installiert wurde. Sie können das Update während der Windows-Willkommensseite manuell installieren, indem Sie zuerst das neueste kumulative aus https://catalog.update.microsoft.comherunterladen. Führen Sie die folgenden Schritte aus:

  1. Drücken Sie UMSCHALTTASTE F10, um eine Eingabeaufforderung zu öffnen.
  2. Fügen Sie einen USB-Stick ein, der das heruntergeladene Update enthält.
  3. Installieren Sie das Update mithilfe des Befehls (ersetzen Sie den echten Dateinamen): WUSA.EXE Dateiname.msu /quiet
  4. Starten Sie den Computer mithilfe des Befehls neu: shutdown.exe /r /t 0

Sie können auch Windows Update starten, um die neuesten Updates zu installieren:

  1. Drücken Sie UMSCHALTTASTE F10, um eine Eingabeaufforderung zu öffnen.
  2. Führen Sie den Befehl "ms-settings starten:" aus.
  3. Navigieren Sie zum Knoten "Update & Sicherheit", und suchen Sie nach Updates.
  4. Starten Sie nach der Installation der Updates neu.

Schrittweise Anweisungen

Bereitstellen hybrider Azure AD verbundener Geräte mit Intune und Windows Autopilot

Testen des Autopilot-Hybridbeitritts über VPN in Ihrem Azure Lab