Massenregistrierung von Geräten mit lokalem MDM in Configuration Manager
Gilt für: Configuration Manager (Current Branch)
Die Massenregistrierung in Configuration Manager lokalen Verwaltung mobiler Geräte (Mobile Device Management, MDM) ist eine automatisierte Methode zum Registrieren von Geräten. Die andere Methode ist die Benutzerregistrierung, bei der Benutzer ihre Anmeldeinformationen eingeben müssen, um das Gerät zu registrieren. Bei der Massenregistrierung wird ein Registrierungspaket verwendet, um das Gerät während der Registrierung zu authentifizieren. Das Paket ist eine PPKG-Datei, die auch Zertifikat- und Wi-Fi Profile zur Unterstützung der Registrierung enthalten kann.
Erstellen eines Zertifikatprofils
Schließen Sie ein Zertifikatprofil ein, um automatisch ein vertrauenswürdiges Stammzertifikat auf dem Gerät zu installieren. Dieses Stammzertifikat ist für die vertrauenswürdige Kommunikation zwischen den Geräten und den Standortsystemrollen erforderlich, die für die lokale MDM-Verwaltung erforderlich sind.
Wenn Sie den Standort für die lokale MDM vorbereiten, exportieren Sie das vertrauenswürdige Stammzertifikat. Verwenden Sie dieses Zertifikat im Zertifikatprofil des Registrierungspakets. Weitere Informationen zum Abrufen des vertrauenswürdigen Stammzertifikats finden Sie unter Exportieren des vertrauenswürdigen Stammzertifikats.
Verwenden Sie das exportierte Zertifikat, um ein Zertifikatprofil zu erstellen. Weitere Informationen finden Sie unter Erstellen von Zertifikatprofilen.
Erstellen eines Wi-Fi profils
Eine weitere Komponente des Massenregistrierungspakets ist ein Wi-Fi-Profil. Dieses Profil kann sicherstellen, dass das Gerät über die Netzwerkkonnektivität verfügt, um die Registrierung zu unterstützen.
Weitere Informationen zum Erstellen eines Wi-Fi-Profils in Configuration Manager finden Sie unter Erstellen von Wi-Fi Profilen.
Wi-Fi Profilbeschränkungen
Wenn Sie ein Wi-Fi-Profil für die lokale MDM-Massenregistrierung erstellen, beachten Sie die folgenden Einschränkungen.
Wi-Fi Sicherheitskonfigurationen für lokale MDM
Der current branch von Configuration Manager unterstützt nur die folgenden Wi-Fi Sicherheitskonfigurationen für lokale MDM:
Sicherheitstypen: WPA2 Enterprise oder WPA2 Personal
Verschlüsselungstypen: AES oder TKIP
EAP-Typen: Smartcard oder anderes Zertifikat oder PEAP
Proxyserver
Obwohl Configuration Manager über eine Einstellung für Proxyserverinformationen im Wi-Fi profil verfügt, wird der Proxy nicht konfiguriert, wenn das Gerät registriert wird. Wenn Sie einen Proxyserver auf massenregistrierten Geräten einrichten müssen:
Stellen Sie die Einstellungen mithilfe von Konfigurationselementen bereit, nachdem geräte registriert wurden.
Erstellen Sie ein zweites Paket mit dem Windows Image and Configuration Designer (ICD), und stellen Sie es dann zusammen mit dem Massenregistrierungspaket bereit.
Erstellen eines Anmeldungsprofils
Mit dem Registrierungsprofil können Sie einstellungen angeben, die für die Geräteregistrierung erforderlich sind. Diese Einstellungen umfassen ein Zertifikatprofil und ein WLAN-Profil.
Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Bestand und Compliance, erweitern Sie Alle unternehmenseigenen Geräte, erweitern Sie Windows, und wählen Sie den Knoten Registrierungsprofile aus.
Wählen Sie im Menüband Registrierungsprofil erstellen aus.
Geben Sie auf der Seite Allgemein des Assistenten Zum Erstellen eines Registrierungsprofils die folgenden Informationen an:
Name: Ein eindeutiger Name zum Identifizieren des Profils
Beschreibung: Ein optionales Feld zur weiteren Beschreibung des Profils
Verwaltungsautorität: Wählen Sie nur Lokal aus.
Wählen Sie auf der Seite Standortzuweisung den Verwaltungsstandortcode mit einem Geräteverwaltungspunkt aus.
Wählen Sie auf der Seite Registrierungsproxypunkt auswählen die Option Nur Intranet und dann mindestens einen Registrierungsproxypunkt aus. Das Gerät verwendet diese Server, um den Registrierungsprozess zu starten.
Wählen Sie auf der Seite Vertrauenswürdiges Stammzertifikat auswählen das Zertifikatprofil aus, das das vertrauenswürdige Stammzertifikat enthält.
Wählen Sie auf der Seite WLAN-Profile das profil Wi-Fi aus, das die erforderlichen Netzwerkeinstellungen für geräte zum Herstellen einer Verbindung enthält.
Tipp
Wenn Sie kein Wi-Fi-Profil für Ihr Registrierungspaket verwenden, überspringen Sie diesen Schritt.
Schließen Sie den Assistenten ab.
Erstellen eines Registrierungspakets
Das Registrierungspaket (ppkg) ist die Datei, die Sie für die Massenregistrierung von Geräten für lokale MDM verwenden. Erstellen Sie diese Datei mit Configuration Manager. Sie können zwar ähnliche Pakettypen mit Windows ICD erstellen, aber nur Pakete, die Sie in Configuration Manager erstellen, können zum Registrieren von Geräten für lokale MDM verwendet werden. Ein Paket, das Sie mit Windows ICD erstellen, kann nur den für die Registrierung erforderlichen Benutzerprinzipalnamen (User Principal Name, UPN) bereitstellen. Der eigentliche Registrierungsprozess kann nicht gestartet werden.
Der Prozess zum Erstellen des Registrierungspakets erfordert das Windows Assessment and Deployment Toolkit (ADK) für Windows 10. Installieren Sie auf dem Computer, auf dem die Configuration Manager-Konsole ausgeführt wird, die neueste Version des Windows ADK. Wählen Sie das Feature Imaging and Configuration Designer (ICD) und alle Abhängigkeiten aus. (Diese Version muss nicht mit der Version übereinstimmen, die von der Configuration Manager Website für die Betriebssystembereitstellung verwendet wird.) Weitere Informationen finden Sie unter Herunterladen des Windows ADK für Windows 10.
Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Bestand und Compliance, erweitern Sie Alle unternehmenseigenen Geräte, erweitern Sie Windows, und wählen Sie den Knoten Registrierungsprofile aus.
Wählen Sie ein vorhandenes Registrierungsprofil aus. Wählen Sie im Menüband Exportieren aus.
Geben Sie im Fenster Registrierungspaket exportieren die folgenden Informationen an:
Gültigkeitszeitraum (Tage): Standardmäßig legt Configuration Manager fest, dass das Registrierungspaket in zwei Wochen (14 Tage) abläuft. Sie können das Paket nach Ablauf des Gültigkeitszeitraums nicht mehr für die Geräteregistrierung verwenden. Geben Sie eine ganze Zahl zwischen 1 und 30 ein.
Paketdatei: Geben Sie einen lokalen oder Netzwerkdateipfad und Namen für die PPKG-Datei an.
Paket verschlüsseln: Aktivieren Sie diese Option, um das Paket mit einem Kennwort zu schützen. Nachdem Sie das Paket exportiert haben, zeigt Configuration Manager das generierte Kennwort an. Kopieren Sie das Kennwort, und speichern Sie es an einem sicheren Ort. Sie können das exportierte Registrierungspaket nicht ohne das Kennwort verwenden.
Wichtig
Configuration Manager speichert das Kennwort nicht, und Sie können es nicht anpassen oder ändern. Nachdem Sie das Fenster geschlossen haben, in dem das Kennwort angezeigt wird, gibt es keine Möglichkeit, das Kennwort abzurufen.
Klicken Sie auf Exportieren. Configuration Manager verwendet das Windows ADK zum Erstellen des Registrierungspakets.
Configuration Manager verfolgt gültige Registrierungspakete nach. Erweitern Sie in der Konsole den Knoten Registrierungsprofil , und wählen Sie Exportierte Pakete aus.
Tipp
Wenn Sie ein Registrierungspaket aus der Configuration Manager-Konsole entfernen, können Sie es nicht zum Registrieren von Geräten verwenden. Verwenden Sie diese Methode, um Registrierungspakete zu verwalten, die andere nicht für die Massenregistrierung verwenden sollen.
Massenregistrierung eines Geräts
Sie können ein Paket verwenden, um Geräte vor oder nach dem OOBE-Prozess (Out-of-Box Experience) des Geräts zu registrieren. Das Registrierungspaket kann auch als Teil eines OEM-Bereitstellungspakets (Original Equipment Manufacturer) enthalten sein.
Um das Paket für die Massenregistrierung zu verwenden, müssen Sie es physisch an das Gerät übermitteln. Je nach Ihren Anforderungen gibt es verschiedene Methoden, z. B.:
Kopieren aus dem Dateisystem
An eine E-Mail anfügen
Kopieren über eine NFC-Verbindung (Near Field Communication)
Kopieren von einer Speicherkarte
Scannen eines Barcodes
Kopieren von einem Tether-Gerät
Einschließen in ein OEM-Bereitstellungspaket
Registrieren eines Geräts mit einem Massenregistrierungspaket
Öffnen Sie auf einem Gerät die PPKG-Datei. Führen Sie bei Bedarf als Administrator aus.
Windows fragt, ob das Paket aus einer vertrauenswürdigen Quelle stammt. Wählen Sie Ja aus.
Der Registrierungsprozess wird gestartet.
Überprüfen der Registrierung
Überprüfen der Massenregistrierung auf dem Gerät
Öffnen Sie auf dem Gerät Einstellungen.
Wählen Sie Konten und dann Auf Geschäfts-, Schul- oder Unizugriff zugreifen aus. Wenn die Registrierung erfolgreich ist, wird unter CompanyApps ein Konto angezeigt.
Wählen Sie das Konto und dann Synchronisieren aus. Mit dieser Aktion wird die Verwaltung mit Configuration Manager gestartet.
Überprüfen der Registrierung in der Konsole
Verwenden Sie die Configuration Manager-Konsole, um zu überprüfen, ob Geräte erfolgreich registriert wurden. Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Bestand und Kompatibilität, und wählen Sie Geräte aus. Suchen Sie in der Geräteliste nach dem registrierten Gerät, oder suchen Sie nach dem registrierten Gerät.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für