Bereitstellen von in Azure AD Hybrid eingebundenen Geräten mit Intune und Windows Autopilot

Gilt für

  • Windows 11
  • Windows 10

Sie können in Azure AD Hybrid eingebundene Geräte mithilfe von Intune und Windows Autopilot einrichten. Führen Sie dazu die Schritte in diesen Artikel durch. Weitere Informationen zu Azure AD Hybrid Join finden Sie unter Grundlegendes zu Azure AD Hybrid Join und zur Co-Verwaltung.

Voraussetzungen

Konfigurieren Sie Ihre Azure AD Hybrid-Geräte. Stellen Sie sicher, dass Sie mithilfe des Cmdlets „Get-MsolDevice“ Ihre Geräteregistrierung bestätigen.

Das zu registrierende Gerät muss die folgenden Anforderungen erfüllen:

  • Windows 11 oder Windows 10 Version 1809 oder höher verwenden.
  • Über Internetzugriff gemäß der Windows Autopilot-Netzwerkanforderungen verfügen.
  • Über Zugriff auf einen Active Directory-Domänencontroller verfügen. Das Gerät muss mit dem Netzwerk der Organisation verbunden sein, um Folgendes zu erfüllen:
    • Auflösen der DNS-Einträge für die AD-Domäne und den AD-Domänencontroller.
    • Kommunizieren mit dem Domänencontroller, um den Benutzer zu authentifizieren.
  • Fähigkeit, den Domänencontroller der Domäne zu pingen, der Sie beitreten möchten.
  • Bei Verwendung eines Proxys müssen WPAD-Proxyeinstellungen aktiviert und konfiguriert sein.
  • Machen Sie Erfahrungen mit der Windows-Willkommensseite.
  • Verwenden Sie einen Autorisierungstyp, den Azure Active Directory auf der Windows-Willkommensseite unterstützt.

Einrichten der automatischen Windows-Registrierung

  1. Melden Sie sich bei Azure an, wählen Sie im linken Bereich Azure Active Directory > Mobility (MDM und MAM) > Microsoft Intune aus.

  2. Stellen Sie sicher, dass Benutzer, die mit Azure AD verbundene Geräte mithilfe von Intune und Windows bereitstellen, Mitglieder einer Gruppe aus dem MDM-Benutzerbereich sind.

    Der Bereich „Mobilität (MDM und MAM) konfigurieren“.

  3. Verwenden Sie die Standardwerte in den Feldern URL zu den MDM-Nutzungsbedingungen, URL für MDM-Ermittlung und MDM Compliance-URL, und klicken Sie dann auf Speichern.

Erhöhen des Kontolimits für den Computer in der Organisationseinheit

Der Intune-Connector für Active Directory erstellt Computer mit Registrierung per Autopilot in der lokalen Active Directory-Domäne. Der Hostcomputer des Intune-Connectors muss über die Berechtigung verfügen, die Computerobjekte innerhalb der Domäne zu erstellen.

In einigen Domänen werden Computern keine Berechtigungen zum Erstellen von Computern gewährt. Darüber hinaus verfügen Domänen über ein integriertes Limit (Standardeinstellung: 10), das für alle Benutzer und Computer gilt, denen keine Berechtigungen zum Erstellen von Computerobjekten gewährt wurden. Die Rechte müssen an Computer delegiert werden, die den Intune-Connector in der Organisationseinheit hosten, in der Azure AD Hybrid-eingebundene Geräte erstellt werden.

Die Organisationseinheit, der die Berechtigung zum Erstellen von Computern gewährt wird, muss mit Folgendem übereinstimmen:

  • Mit der Organisationseinheit, die im Domänenbeitrittsprofil eingetragen ist
  • Mit dem Domänennamen des Computers für Ihre Domäne, wenn kein Profil ausgewählt ist
  1. Öffnen Sie Active Directory-Benutzer und -Computer („DSA.msc“).

  2. Klicken Sie mit der rechten Maustaste auf die Organisationseinheit, die verwendet werden soll, um Azure AD Hybrid eingebundene Computer zu erstellen > Stellvertretungs-Steuerelement.

    Der Befehl Stellvertretungs-Steuerelement.

  3. Wählen Sie im Assistenten zum Zuweisen der Objektverwaltung die Optionen Weiter > Hinzufügen... > Objekttypen aus.

  4. Wählen Sie im Bereich Objekttypen die Option Computer > OK aus.

    Der Bereich „Objekttypen“.

  5. Geben Sie im Bereich zur Auswahl von Benutzern, Computern oder Gruppen im Feld Geben Sie die zu verwenden Objektnamen ein den Namen des Computers ein, auf dem der Connector installiert ist.

    Der Bereich „Benutzer, Computer oder Gruppen auswählen“.

  6. Wählen Sie Namen überprüfen aus, um den Eintrag zu überprüfen, und klicken Sie auf OK > Weiter.

  7. Wählen Sie Benutzerdefinierte Aufgaben zum Zuweisen erstellen > Weiter aus.

  8. Wählen Sie nur die folgenden Objekte im Ordner > Computerobjekte aus.

  9. Wählen Sie Ausgewählte Objekte in diesem Ordner erstellen und Ausgewählte Objekte in diesem Ordner löschen aus.

    Der Bereich „Active Directory-Objekttyp“.

  10. Wählen Sie Weiter aus.

  11. Aktivieren Sie unter Permissions (Berechtigungen) das Kontrollkästchen Full Control (Vollzugriff). Durch diese Auswahl werden auch alle anderen Optionen aktiviert.

    Der Bereich „Berechtigungen“.

  12. Klicken Sie auf Weiter > Fertig stellen.

Installieren des Intune-Connectors

Der Intune-Connector für Azure AD muss auf einem Computer mit Windows Server 2016 oder höher installiert werden. Der Computer muss zudem über Internetzugriff und eine Active Directory-Instanz verfügen. Für höhere Skalierbarkeit und Verfügbarkeit können Sie mehrere Connectors in der Umgebung installieren. Es wird empfohlen, den Connector auf einem Server zu installieren, auf dem keine anderen Intune-Connectors ausgeführt werden. Jeder Connector muss in der Lage sein, Computerobjekte in jeder Domäne zu erstellen, die Sie unterstützen möchten.

Hinweis

Wenn Ihre Organisation über mehrere Domänen verfügt und Sie mehrere Intune-Connectors installieren, müssen Sie ein Dienstkonto verwenden, das Computerobjekte in allen Domänen erstellen kann, auch wenn Sie Azure AD Hybrid Join nur für eine bestimmte Domäne implementieren möchten. Wenn es sich um nicht vertrauenswürdige Domänen handelt, müssen Sie die Connectors von Domänen deinstallieren, in denen Sie Windows Autopilot nicht verwenden möchten. Andernfalls müssen bei mehreren Connectors über mehrere Domänen hinweg alle Connectors in der Lage sein, Computerobjekte in allen Domänen zu erstellen.

Der Intune-Connector benötigt die gleichen Endpunkte wie Intune.

  1. Deaktivieren Sie die verstärkte Sicherheitskonfiguration für IE. Bei Windows Server ist die verstärkte Sicherheitskonfiguration für Internet Explorer standardmäßig aktiviert. Wenn Sie sich beim Intune-Connector für Active Directory nicht anmelden können, deaktivieren Sie die verstärkte Sicherheitskonfiguration für IE für den Administrator. Deaktivieren der verstärkten Sicherheitskonfiguration für Internet Explorer.
  2. Klicken Sie im Microsoft Endpoint Manager Admin Center auf die Option Geräte > Windows > Windows-Registrierung > Intune-Connector für Active Directory > Hinzufügen.
  3. Folgen Sie den Anweisungen, um den Connector herunterzuladen.
  4. Öffnen Sie die heruntergeladene Connectorsetupdatei (ODJConnectorBootstrapper.exe), um den Connector zu installieren.
  5. Klicken Sie am Ende des Setups auf Konfigurieren.
  6. Wählen Sie Anmelden aus.
  7. Geben Sie die Anmeldedaten für die Rolle „Globaler Administrator“ oder „Intune-Administrator“ ein. Dem Benutzerkonto muss eine Intune-Lizenz zugewiesen werden.
  8. Navigieren Sie zu Geräte > Windows > Windows-Registrierung > Intune-Connector für Active Directory, und stellen Sie sicher, dass der Verbindungsstatus Aktiv lautet.

Hinweis

Die Rolle des globalen Administrators ist eine vorübergehende Anforderung zum Zeitpunkt der Installation.

Hinweis

Nach der Anmeldung im Connector dauert es möglicherweise einige Minuten, bis er im Microsoft Endpoint Manager Admin Center angezeigt wird. Er wird nur angezeigt, wenn er mit Intune kommunizieren kann.

Hinweis

Inaktive Intune-Connectors werden weiterhin auf dem Blatt Intune-Connectors angezeigt und nach 30 Tagen automatisch bereinigt.

Konfigurieren von Webproxyeinstellungen

Wenn ein Webproxy in der Netzwerkumgebung vorhanden ist, stellen Sie sicher, dass der Intune-Connector für Active Directory ordnungsgemäß funktioniert. Informationen finden Sie unter Verwenden von vorhandenen lokalen Proxyservern.

Erstellen einer Gerätegruppe

  1. Klicken Sie im Microsoft Endpoint Manager Admin Center auf die Option Gruppen > Neue Gruppe.

  2. Wählen Sie im Bereich Gruppe die folgenden Optionen aus:

    1. Wählen Sie unter Gruppentyp die Option Sicherheit aus.
    2. Geben Sie einen Gruppennamen und eine Gruppenbeschreibung ein.
    3. Wählen Sie einen Mitgliedschaftstyp aus.
  3. Wenn Sie als Mitgliedschaftstyp Dynamische Geräte ausgewählt haben, wählen Sie im Bereich Gruppe die Option Dynamische Gerätemitglieder aus.

  4. Wählen Sie im Feld Regelsyntax****Bearbeiten aus, und geben Sie eine der folgenden Codezeilen ein:

    • Wenn Sie eine Gruppe mit all Ihren Autopilot-Geräten erstellen möchten, geben Sie (device.devicePhysicalIDs -any _ -contains "[ZTDId]") ein.
    • Das Intune-Feld „Gruppentag“ wird dem Attribut „OrderID“ auf Azure AD-Geräten zugeordnet. Wenn Sie eine Gruppe erstellen möchten, die alle Autopilot-Geräte mit einem bestimmten Gruppentag (OrderID) enthält, geben Sie Folgendes ein: (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881").
    • Wenn Sie eine Gruppe mit all Ihren Autopilot-Geräten mit einer bestimmten Bestellungs-ID erstellen möchten, geben Sie (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342") ein.
  5. Wählen Sie Speichern > Erstellen aus.

Registrieren der Autopilot-Geräte

Wählen Sie eine der folgenden Möglichkeiten, um Ihre Autopilot-Geräte zu registrieren.

Registrieren von bereits angemeldeten Autopilot-Geräten

  1. Erstellen Sie ein Autopilot-Bereitstellungsprofil, in dem Alle als Ziel angegebenen Geräte in Autopilot konvertieren auf Ja festgelegt ist.
  2. Ordnen Sie das Profil einer Gruppe zu, die die Mitglieder enthält, die Sie automatisch bei Autopilot registrieren möchten.

Weitere Informationen finden Sie unter Erstellen eines Autopilot-Bereitstellungsprofils.

Registrieren von noch nicht angemeldeten Autopilot-Geräten

Wenn Ihre Geräte noch nicht registriert sind, können Sie sie selbst registrieren. Weitere Informationen finden Sie unter Manuelle Registrierung.

Registrieren von Geräten eines OEMs

Wenn Sie neue Geräte kaufen, können einige OEMs die Geräte für Sie registrieren. Weitere Informationen finden Sie unter OEM-Registrierung.

Vor der Registrierung bei Intune werden registrierte Autopilot-Geräte an drei Stellen angezeigt (mit Namen, die auf ihre Seriennummern festgelegt sind):

  • Im Bereich Autopilot-Geräte unter Intune im Azure-Portal. Klicken Sie auf Geräteregistrierung > Windows-Registrierung > Geräte.
  • Im Bereich Azure AD-Geräte unter Intune im Azure-Portal. Klicken Sie auf Geräte > Azure AD-Geräte.
  • Der Bereich Alle Geräte unter Azure Active Directory im Azure-Portal (Geräte > Alle Geräte).

Nachdem Ihre Autopilot-Geräte registriert wurden, werden sie an vier Stellen angezeigt:

  • Im Bereich Autopilot-Geräte unter Intune im Azure-Portal. Klicken Sie auf Geräteregistrierung > Windows-Registrierung > Geräte.
  • Im Bereich Azure AD-Geräte unter Intune im Azure-Portal. Klicken Sie auf Geräte > Azure AD-Geräte.
  • Der Bereich Azure AD Alle Geräte in Azure Active Directory im Azure-Portal. Wählen Sie Geräte > Alle Geräte aus.
  • Im Bereich Alle Geräte unter Intune im Azure-Portal. Klicken Sie auf Geräte > Alle Geräte.

Nachdem Ihre Autopilot-Geräte registriert wurden, werden die Gerätenamen in den Hostnamen des Geräts geändert. Standardmäßig beginnt der Hostname mit DESKTOP-. Sobald ein Gerät in Autopilot registriert ist, wird ein Geräteobjekt vorab in Azure AD erstellt. Wenn ein Gerät eine hybride Azure AD-Bereitstellung durchläuft, wird Design-bedingt ein weiteres Geräteobjekt erstellt, was zu doppelten Einträgen führt.

Unterstützte BYO-VPNS

Hier ist eine Liste der VPN-Clients, von denen bekannt ist, dass sie getestet und überprüft wurden:

Unterstützte Clients:

  • In-Box-Windows VPN-Client
  • Cisco AnyConnect (Win32-Client)
  • Pulse Secure (Win32-Client)
  • GlobalProtect (Win32-Client)
  • Prüfpunkt (Win32-Client)
  • Citrix NetScaler (Win32-Client)
  • SonicWall (Win32-Client)
  • FortiClient-VPN (Win32-Client)

Nicht unterstützte Clients:

  • UWP-basierte VPN-Plug-Ins
  • Alles, was ein Benutzerzertifikat erfordert
  • DirectAccess

Erstellen und Zuweisen eines Autopilot-Bereitstellungsprofils

Autopilot-Bereitstellungsprofile werden verwendet, um die Autopilot-Geräte zu konfigurieren.

  1. Klicken Sie im Microsoft Endpoint Manager Admin Center auf Geräte > Windows > Windows-Registrierung > Deployment Profiles (Bereitstellungsprofile) > Profil erstellen.
  2. Geben Sie auf der Seite Grundlagen einen Wert in Name und eine optionale Beschreibung ein.
  3. Wenn Sie möchten, dass alle Geräte in den zugewiesenen Gruppen automatisch in Autopilot konvertiert werden, legen Sie für Alle Zielgeräte in Autopilot-Geräte konvertieren den Wert Ja fest. Alle unternehmenseigenen, Nicht-Autopilot-Geräte in zugewiesenen Gruppen werden mit dem Autopilot-Bereitstellungsdienst registriert. Persönliche Geräte werden nicht in Autopilot konvertiert. Die Verarbeitung der Registrierung kann 48 Stunden dauern. Wenn die Registrierung des Geräts aufgehoben und es zurückgesetzt ist, registriert Autopilot es. Nachdem ein Gerät auf diese Weise registriert wurde, wird das Gerät durch Deaktivieren dieser Option oder Entfernen der Profilzuordnung nicht aus dem Autopilot-Bereitstellungsdienst entfernt. Sie müssen stattdessen das Gerät direkt entfernen.
  4. Wählen Sie Weiter aus.
  5. Wählen Sie auf der Seite Windows-Willkommensseite als Bereitstellungsmodus die Option Benutzergesteuert aus.
  6. Wählen Sie im Feld Azure AD beitreten als die Option In Azure AD Hybrid eingebunden aus.
  7. Wenn Sie Geräte mithilfe von VPN-Unterstützung außerhalb des Unternehmensnetzwerks bereitstellen, setzen Sie die Option Domänenkonnektivitätsprüfung überspringen auf Ja. Weitere Informationen finden Sie unter Benutzergesteuerter Modus für Azure Active Directory-Hybrideinbindung mit VPN-Unterstützung.
  8. Konfigurieren Sie die restlichen Optionen auf der Seite Windows-Willkommensseite nach Bedarf.
  9. Wählen Sie Weiter aus.
  10. Wählen Sie auf der Seite Bereichstags die Bereichstags für dieses Profil aus.
  11. Wählen Sie Weiter aus.
  12. Wählen Sie auf der Seite Zuweisungen die Option Einzuschließende Gruppen auswählen aus, suchen Sie nach der Gerätegruppe, und wählen Sie sie durch Klicken auf Auswählen aus.
  13. Wählen Sie Weiter > Erstellen aus.

Es dauert etwa 15 Minuten, bis sich der Status des Geräteprofils von Nicht zugewiesen in Wird zugewiesen und schließlich in Zugewiesen ändert.

Aktivieren der Registrierungsstatusseite (optional)

  1. Klicken Sie im Microsoft Endpoint Manager Admin Center auf Geräte > Windows > Windows-Registrierung > Seite zum Registrierungsstatus.
  2. Klicken Sie im Bereich Seite zum Registrierungsstatus auf Standard > Einstellungen.
  3. Legen Sie für Installationsfortschritt für Apps und Profile anzeigen****Yes (Ja) fest.
  4. Konfigurieren Sie die anderen Optionen je nach Bedarf.
  5. Wählen Sie Speichern.

Erstellen und Zuweisen eines Domänenbeitrittsprofils

  1. Klicken Sie im Microsoft Endpoint Manager Admin Center auf die Option Geräte > Konfigurationsprofile > Profil erstellen.

  2. Geben Sie die folgenden Eigenschaften ein:

    • Name: Geben Sie einen aussagekräftigen Namen für das neue Profil ein.
    • Beschreibung: Geben Sie eine Beschreibung für das Profil ein.
    • Plattform: Wählen Sie Windows 10 und höher aus.
    • Profiltyp: Wählen Sie Vorlagen aus, wählen Sie den Vorlagennamen Domänenbeitritt und dann Erstellen aus.
  3. Geben Sie den Namen und die Beschreibung ein, und wählen Sie Weiter aus.

  4. Geben Sie ein Computernamenspräfix und den Domänennamen an.

  5. (Optional) Geben Sie eine Organisationseinheit (OU) im DN-Formatan. Ihre Optionen umfassen Folgendes:

    • Geben Sie eine OE an, in der Sie die Steuerung an Ihr Windows 2016-Gerät delegiert haben, auf dem der Intune-Connector ausgeführt wird.
    • Geben Sie eine OE an, in der Sie die Steuerung an die Stammcomputer in Ihrer lokalen Active Directory-Instanz delegiert haben.
    • Wenn Sie diese Angaben leer lassen, wird das Computerobjekt im Standardcontainer von Active Directory erstellt („CN=Computers“, falls Sie diese Einstellung nie geändert haben).

    Hier sind einige gültige Beispiele:

    • OU=Sub OU,OU=TopLevel OU,DC=contoso,DC=com
    • OU=Mine,DC=contoso,DC=com

    Hier sind einige ungültige Beispiele:

    • CN=Computers,DC=contoso,DC=com (Sie können keinen Container angeben. Lassen Sie den Wert stattdessen leer, damit der Standardwert für die Domäne verwendet wird)
    • OU=Mine (Sie müssen die Domäne über die Attribute für „DC=“ angeben)

    Hinweis

    Verwenden Sie keine Anführungszeichen um den Wert in Organisationseinheit.

  6. Klicken Sie auf OK > Erstellen. Das Profil wird erstellt und in der Liste angezeigt.

  7. Weisen Sie ein Geräteprofil derselben Gruppe zu, die im Schritt Gerätegruppe erstellen verwendet wurde. Es können verschiedene Gruppen verwendet werden, wenn Geräte mit verschiedenen Domänen oder Organisationseinheiten verknüpft werden müssen.

Hinweis

Die Benennungsfunktionen für Windows Autopilot für Azure AD Hybrid Join unterstützen keine Variablen wie %SERIAL%. Sie unterstützen ausschließlich Präfixe für den Computernamen.

Nächste Schritte

Nachdem Sie Windows Autopilot konfiguriert haben, erfahren Sie mehr über die Verwaltung dieser Geräte. Weitere Informationen finden Sie unter Was ist die Microsoft Intune-Geräteverwaltung?.