Registrierung von Windows-GerätenSet up enrollment for Windows devices

Dieser Artikel hilft IT-Administratoren, die Windows-Registrierung für ihre Benutzer zu vereinfachen.This article helps IT administrators simplify Windows enrollment for their users. Sobald Sie Intune eingerichtet haben, können Benutzer Windows-Geräte registrieren, indem sie sich mit ihrem Geschäfts-, Schul- oder Unikonto anmelden.Once you've set up Intune, users enroll Windows devices by signing in with their work or school account.

Als Intune-Administrator können Sie die Registrierung auf folgende Weise vereinfachen:As an Intune admin, you can simplify enrollment in the following ways:

Zwei Faktoren bestimmen, wie Sie die Registrierung von Windows-Geräten vereinfachen können:Two factors determine how you can simplify Windows device enrollment:

  • Verwenden Sie Azure Active Directory Premium?Do you use Azure Active Directory Premium?
    Azure AD Premium ist in Enterprise Mobility + Security und in anderen Lizenzierungsplänen enthalten.Azure AD Premium is included with Enterprise Mobility + Security and other licensing plans.
  • Welche Versionen von Windows-Clients werden von Benutzern registriert?What versions of Windows clients will users enroll?
    Windows 10-Geräte können automatisch durch Hinzufügen eines Geschäfts-oder Schulkontos registriert werden.Windows 10 devices can automatically enroll by adding a work or school account. Frühere Versionen müssen mithilfe der Unternehmensportal-App registriert werden.Earlier versions must enroll using the Company Portal app.
Azure AD PremiumAzure AD Premium AD (Sonstiges)Other AD
Windows 10Windows 10 Automatische RegistrierungAutomatic enrollment BenutzerregistrierungUser enrollment
Frühere Windows-VersionenEarlier Windows versions BenutzerregistrierungUser enrollment BenutzerregistrierungUser enrollment

Organisationen, die die automatische Registrierung nutzen, können mithilfe der Windows Configuration Designer-App auch Geräte für die Massenregistrierung konfigurieren.Organizations that can use automatic enrollment can also configure bulk enroll devices by using the Windows Configuration Designer app.

Voraussetzungen für die GeräteregistrierungDevice enrollment prerequisites

Bevor ein Administrator Geräte in Intune für die Verwaltung registrieren kann, müssen Lizenzen bereits dem Administratorkonto zugewiesen sein.Before an administrator can enroll devices to Intune for management, licenses should have already been assigned to the administrator's account. Informationen zum Zuweisen von Lizenzen für die GeräteregistrierungRead about assigning licenses for device enrollment

Unterstützung mehrerer BenutzerMulti-user support

Intune unterstützt mehrere Benutzer für Geräte, die jeweilsIntune supports multiple users on devices that both:

  • das Windows 10 Creators Update ausführenrun the Windows 10 Creator's update
  • und mit der Azure Active Directory-Domäne verknüpft sind.are Azure Active Directory domain-joined.

Wenn sich Standardbenutzer mit ihren Azure AD-Anmeldeinformationen anmelden, erhalten sie Apps und Richtlinien, die ihrem Benutzernamen zugewiesen wurden.When standard users sign in with their Azure AD credentials, they receive apps and policies assigned to their user name. Nur der primäre Benutzer kann das Unternehmensportal für Self-Service-Szenarios wie das Installieren von Apps und das Ausführen von Geräteaktionen (Entfernen, Zurücksetzen) verwenden.Only the device's Primary user can use the Company Portal for self-service scenarios like installing apps and performing device actions (Remove, Reset). Für freigegebene Windows 10-Geräte, denen kein primärer Benutzer zugewiesen ist, kann das Unternehmensportal noch immer zum Installieren von verfügbaren Apps verwendet werden.For shared Windows 10 devices that do not have a primary user assigned, the Company Portal can still be used to install Available apps.

Aktivieren der automatischen Registrierung von Windows 10Enable Windows 10 automatic enrollment

Durch die automatische Registrierung können Benutzer ihre Windows 10-Geräte in Intune registrieren.Automatic enrollment lets users enroll their Windows 10 devices in Intune. Benutzer müssen für die Registrierung ihr Geschäftskonto ihrem persönlichen Gerät hinzufügen oder firmeneigene Geräte mit Azure Active Directory verknüpfen.To enroll, users add their work account to their personally owned devices or join corporate-owned devices to Azure Active Directory. Im Hintergrund registriert sich das Gerät und tritt Azure Active Directory bei.In the background, the device registers and joins Azure Active Directory. Nach der Registrierung wird das Gerät mit Intune verwaltet.Once registered, the device is managed with Intune.

VoraussetzungenPrerequisites

  • Azure Active Directory Premium-Abonnement (Testabonnement)Azure Active Directory Premium subscription (trial subscription)
  • Microsoft Intune-AbonnementMicrosoft Intune subscription

Konfigurieren der automatischen MDM-RegistrierungConfigure automatic MDM enrollment

  1. Melden Sie sich beim Azure-Portal an, und klicken Sie auf Azure Active Directory.Sign in to the Azure portal, and select Azure Active Directory.

    Screenshot des Azure-Portals

  2. Wählen Sie Mobilität (MDM und MAM) aus.Select Mobility (MDM and MAM).

    Screenshot des Azure-Portals

  3. Wählen Sie Microsoft Intune aus.Select Microsoft Intune.

    Screenshot des Azure-Portals

  4. Konfigurieren Sie den MDM-Benutzerbereich.Configure MDM User scope. Geben Sie an, welche Geräte welcher Benutzer von Microsoft Intune verwaltet werden sollen.Specify which users' devices should be managed by Microsoft Intune. Diese Windows 10-Geräte können sich automatisch für die Verwaltung mit Microsoft Intune registrieren.These Windows 10 devices can automatically enroll for management with Microsoft Intune.

    • Keine: Automatische MDM-Registrierung ist deaktiviert.None - MDM automatic enrollment disabled

    • Einige: Wählen Sie die Gruppen aus, die ihre Windows 10-Geräte automatisch registrieren können.Some - Select the Groups that can automatically enroll their Windows 10 devices

    • Alle: Alle Benutzer können ihre Windows 10-Geräte automatisch registrieren.All - All users can automatically enroll their Windows 10 devices

      Wichtig

      Für Windows BYOD-Geräte hat der MAM-Benutzerbereich Vorrang, wenn sowohl der MAM- als auch der MDM-Benutzerbereich (automatische MDM-Registrierung) für alle Benutzer (oder für die gleichen Gruppen von Benutzern) aktiviert sind.For Windows BYOD devices, the MAM user scope takes precedence if both the MAM user scope and the MDM user scope (automatic MDM enrollment) are enabled for all users (or the same groups of users). Das Gerät wird nicht beim MDM registriert, und WIP-Richtlinien (Windows Information Protection) werden angewendet, sofern Sie diese konfiguriert haben.The device will not be MDM enrolled, and Windows Information Protection (WIP) Policies will be applied if you have configured them.

      Wenn Sie die automatische Registrierung für Windows BYOD-Geräte bei einem MDM aktivieren möchten, gehen Sie wie folgt vor: Legen Sie den MDM-Benutzerbereich auf Alle fest (oder auf Einige, und geben Sie eine Gruppe an) und den MAM-Benutzerbereich auf Keine (oder Einige, und geben Sie eine Gruppe an, wobei Sie sicherstellen müssen, dass Benutzer nicht Mitglied einer Gruppe sind, die sowohl für den MDM- als auch für den MAM-Benutzerbereich als Ziel verwendet wird).If your intent is to enable automatic enrollment for Windows BYOD devices to an MDM: configure the MDM user scope to All (or Some, and specify a group) and configure the MAM user scope to None (or Some, and specify a group – ensuring that users are not members of a group targeted by both MDM and MAM user scopes).

      Für unternehmenseigene Geräte hat der MDM-Benutzerbereich Vorrang, wenn sowohl der MDM- als auch der MAM-Benutzerbereich aktiviert ist.For corporate devices, the MDM user scope takes precedence if both MDM and MAM user scopes are enabled. Das Gerät wird automatisch beim konfigurierten MDM registriert.The device will get automatically enrolled in the configured MDM.

    Hinweis

    Der MDM-Benutzerbereich muss auf eine Azure AD-Gruppe eingestellt sein, die Benutzerobjekte enthält.MDM user scope must be set to an Azure AD group that contains user objects.

    Screenshot des Azure-Portals

  5. Verwenden Sie die Standardwerte für die folgenden URLs:Use the default values for the following URLs:

    • URL für MDM-NutzungsbedingungenMDM Terms of use URL
    • URL für MDM-ErmittlungMDM Discovery URL
    • MDM Compliance-URLMDM Compliance URL
  6. Wählen Sie Speichern aus.Select Save.

Standardmäßig ist die zweistufige Authentifizierung für den Dienst nicht aktiviert.By default, two-factor authentication is not enabled for the service. Die zweistufige Authentifizierung wird jedoch empfohlen, wenn Sie ein Gerät registrieren.However, two-factor authentication is recommended when registering a device. Für die zweistufige Authentifizierung müssen Sie einen Anbieter für die zweistufige Authentifizierung in Azure AD konfigurieren. Außerdem müssen Sie Ihre Benutzerkonten für die mehrstufige Authentifizierung konfigurieren.To enable two-factor authentication, configure a two-factor authentication provider in Azure AD and configure your user accounts for multi-factor authentication. Weitere Informationen finden Sie unter Erste Schritte mit Azure Multi-Factor Authentication-Server.See Getting started with the Azure Multi-Factor Authentication Server.

Vereinfachen der Windows-Registrierung ohne Azure AD PremiumSimplify Windows enrollment without Azure AD Premium

Um die Registrierung zu vereinfachen, erstellen Sie einen Domänennamenserver-Alias (DNS; Eintragstyp CNAME), der Registrierungsanforderungen an Intune-Server umleitet.To simplify enrollment, create a domain name server (DNS) alias (CNAME record type) that redirects enrollment requests to Intune servers. Andernfalls müssen Benutzer, die eine Verbindung mit Intune herstellen möchten, während der Registrierung den Intune-Servernamen eingeben.Otherwise, users trying to connect to Intune must enter the Intune server name during enrollment.

Schritt 1: Erstellen von CNAME-Einträgen (optional)Step 1: Create CNAME (optional)
Erstellen Sie CNAME-DNS-Ressourceneinträge für die Domäne des Unternehmens.Create CNAME DNS resource records for your company's domain. Wenn die Website Ihres Unternehmens beispielsweise „contoso.com“ heißt, würden Sie einen CNAME im DNS erstellen, der „EnterpriseEnrollment.contoso.com“ an „enterpriseenrollment-s.manage.microsoft.com“ umleitet.For example, if your company's website is contoso.com, you would create a CNAME in DNS that redirects EnterpriseEnrollment.contoso.com to enterpriseenrollment-s.manage.microsoft.com.

Obwohl das Erstellen eines CNAME-DNS-Eintrags optional ist, ist die Registrierung mit einem CNAME-Eintrag für den Benutzer leichter.Although creating CNAME DNS entries is optional, CNAME records make enrollment easier for users. Wenn kein CNAME-Eintrag für die Registrierung gefunden wurde, werden Benutzer aufgefordert, manuell den MDM-Servernamen „enrollment.manage.microsoft.com“ einzugeben.If no enrollment CNAME record is found, users are prompted to manually enter the MDM server name, enrollment.manage.microsoft.com.

TypType HostnameHost name Verweist aufPoints to TTLTTL
CNAMECNAME EnterpriseEnrollment.company_domain.comEnterpriseEnrollment.company_domain.com EnterpriseEnrollment-s.manage.microsoft.comEnterpriseEnrollment-s.manage.microsoft.com 1 Stunde1 hour
CNAMECNAME EnterpriseRegistration.company_domain.comEnterpriseRegistration.company_domain.com EnterpriseRegistration.windows.netEnterpriseRegistration.windows.net 1 Stunde1 hour

Wenn das Unternehmen mehr als ein UPN-Suffix verwendet, müssen Sie einen CNAME für jeden Domänennamen erstellen und jeden auf EnterpriseEnrollment-s.manage.microsoft.com zeigen.If the company uses more than one UPN suffix, you need to create one CNAME for each domain name and point each one to EnterpriseEnrollment-s.manage.microsoft.com. Benutzer bei Contoso verwenden beispielsweise die folgenden Formate für E-Mail/UPN:For example, users at Contoso use the following formats as their email/UPN:

  • name@contoso.com
  • name@us.contoso.com
  • name@eu.contoso.com

Der Contoso DNS-Administrator sollte die folgenden CNAMEs erstellen:The Contoso DNS admin should create the following CNAMEs:

TypType HostnameHost name Verweist aufPoints to TTLTTL
CNAMECNAME EnterpriseEnrollment.contoso.comEnterpriseEnrollment.contoso.com EnterpriseEnrollment-s.manage.microsoft.comEnterpriseEnrollment-s.manage.microsoft.com 1 Stunde1 hour
CNAMECNAME EnterpriseEnrollment.us.contoso.comEnterpriseEnrollment.us.contoso.com EnterpriseEnrollment-s.manage.microsoft.comEnterpriseEnrollment-s.manage.microsoft.com 1 Stunde1 hour
CNAMECNAME EnterpriseEnrollment.eu.contoso.comEnterpriseEnrollment.eu.contoso.com EnterpriseEnrollment-s.manage.microsoft.comEnterpriseEnrollment-s.manage.microsoft.com 1 Stunde1 hour

EnterpriseEnrollment-s.manage.microsoft.com: Unterstützt eine Umleitung zum Intune-Dienst mit Domänenerkennung anhand des E-Mail-DomänennamensEnterpriseEnrollment-s.manage.microsoft.com – Supports a redirect to the Intune service with domain recognition from the email's domain name

Die Weitergabe von Änderungen an DNS-Einträgen kann bis zu 72 Stunden dauern.Changes to DNS records might take up to 72 hours to propagate. Sie können die DNS-Änderung in Intune erst überprüfen, wenn der DNS-Eintrag verteilt ist.You can't verify the DNS change in Intune until the DNS record propagates.

Zusätzliche Endpunkte werden verwendet, aber nicht mehr unterstütztAdditional endpoints are used but no longer supported

„EnterpriseEnrollment-s.manage.microsoft.com“ ist der bevorzugte FQDN (vollqualifizierter Domänenname) für die Registrierung.EnterpriseEnrollment-s.manage.microsoft.com is the preferred FQDN for enrollment. Es gibt zwei weitere Endpunkte, die in der Vergangenheit von Kunden verwendet wurden und weiterhin funktionieren. Diese werden jedoch nicht mehr unterstützt.There are two other endpoints that have been used by customers in the past and still work, but they are no longer supported. „EnterpriseEnrollment.manage.microsoft.com“ (ohne „-s“) und „manage.microsoft.com“ sind beide gültige Ziele für den Server für die automatische Ermittlung, allerdings muss der Benutzer dann auf einer Bestätigungsmeldung auf „OK“ tippen.EnterpriseEnrollment.manage.microsoft.com (without the -s) and manage.microsoft.com both work as the target for the auto-discovery server, but the user will have to touch OK on a confirmation message. Wenn Sie auf „EnterpriseEnrollment-s.manage.microsoft.com“ verweisen, muss der Benutzer keinen zusätzlichen Bestätigungsschritt vornehmen. Deshalb wird diese Konfiguration empfohlen.If you point to EnterpriseEnrollment-s.manage.microsoft.com, the user won't have to do the additional confirmation step, so this is the recommended configuration

Alternative Umleitungsmethoden werden nicht unterstütztAlternate Methods of Redirection Are Not Supported

Das Verwenden einer anderen Methode als die CNAME-Konfiguration wird nicht unterstützt.Using a method other than the CNAME configuration is not supported. Beispielsweise wird die Verwendung eines Proxyservers zum Umleiten von „enterpriseenrollment.contoso.com/EnrollmentServer/Discovery.svc“ auf „enterpriseenrollment-s.manage.microsoft.com/EnrollmentServer/Discovery.svc“ oder „manage.microsoft.com/EnrollmentServer/Discovery.svc“ nicht unterstützt.For example, using a proxy server to redirect enterpriseenrollment.contoso.com/EnrollmentServer/Discovery.svc to either enterpriseenrollment-s.manage.microsoft.com/EnrollmentServer/Discovery.svc or manage.microsoft.com/EnrollmentServer/Discovery.svc is not supported.

Schritt 2: Verifizieren des CNAME-Eintrags (optional)Step 2: Verify CNAME (optional)

  1. Klicken Sie im Microsoft Endpoint Manager Admin Center auf Geräte > Windows > Windows-Registrierung > CNAME Validation (CNAME-Validierung).In the Microsoft Endpoint Manager admin center, choose Devices > Windows > Windows enrollment > CNAME Validation.
  2. Geben Sie in das Feld Domäne die Unternehmenswebsite ein, und wählen Sie dann Testen aus.In the Domain box, enter the company website and then choose Test.

Benutzern mitteilen, wie Windows-Geräte registriert werdenTell users how to enroll Windows devices

Benutzern erklären, wie sie ihre Windows-Geräte registrieren können, und sie darüber informieren, was sie erwarten können, wenn ihre Geräte verwaltet werden.Tell your users how to enroll their Windows devices and what to expect after they're brought into management.

Hinweis

Endbenutzer müssen über Microsoft Edge auf die Website des Unternehmensportals zugreifen, um Windows-Anwendungen anzuzeigen, die Sie für bestimmte Versionen von Windows zugewiesen haben.End users must access the Company Portal website through Microsoft Edge to view Windows apps that you've assigned for specific versions of Windows. Andere Browser wie Google Chrome, Mozilla Firefox und Internet Explorer unterstützen diese Art der Filterung nicht.Other browsers, including Google Chrome, Mozilla Firefox, and Internet Explorer do not support this type of filtering.

Registrierungsanleitungen für Endbenutzer finden Sie unter Registrieren Ihres Windows-Geräts bei Intune.For end-user enrollment instructions, see Enroll your Windows device in Intune. Sie können Benutzer auch auf Welche Informationen erhält mein Unternehmen, wenn ich mein Gerät in Intune registriere? verweisen.You can also tell users to review What can my IT admin see on my device.

Wichtig

Wenn Sie zwar die automatische Registrierung für die Verwaltung mobiler Geräte nicht aktiviert haben, Sie aber über Windows 10-Geräte verfügen, die mit Azure AD verknüpft wurden, werden nach der Registrierung zwei Datensätze in der Intune-Konsole angezeigt.If you do not have Auto-MDM enrollment enabled, but you have Windows 10 devices that have been joined to Azure AD, two records will be visible in the Intune console after enrollment. Dies können Sie vermeiden, wenn Sie sicherstellen, dass Benutzer mit Geräten, die mit Azure AD verknüpft sind, zu Konten > Access work or school (Auf Arbeits- oder Schul- bzw. Unikonto zugreifen) navigieren und unter Verwendung dieses Kontos eine Verbindung herstellen.You can stop this by making sure that users with Azure AD joined devices go to Accounts > Access work or school and Connect using the same account.

Weitere Informationen zu Endbenutzeraufgaben finden Sie unter Ressourcen zu Endbenutzerszenarios in Microsoft Intune.For more information about end-user tasks, see Resources about the end-user experience with Microsoft Intune.

Registrieren von CNAME-EinträgenRegistration and Enrollment CNAMEs

Azure Active Directory umfasst einen weiteren CNAME, der für die Registrierung von iOS-/iPadOS-, Android- und Windows-Geräten verwendet wird.Azure Active Directory has a different CNAME that it uses for device registration for iOS/iPadOS, Android, and Windows devices. Für den bedingten Intune-Zugriff müssen Geräte registriert werden. Dieser Vorgang wird auch als „dem Arbeitsplatz beitreten“ bezeichnet.Intune conditional access requires devices to be registered, also called "workplace joined". Wenn Sie den bedingten Zugriff verwenden möchten, müssen Sie auch den CNAME-Eintrag „EnterpriseRegistration“ für jeden Unternehmensnamen konfigurieren.If you plan to use conditional access, you should also configure the EnterpriseRegistration CNAME for each company name you have.

TypType HostnameHost name Verweist aufPoints to TTLTTL
CNAMECNAME EnterpriseRegistration.EnterpriseRegistration. company_domain.comcompany_domain.com EnterpriseRegistration.windows.netEnterpriseRegistration.windows.net 1 Stunde1 hour

Weitere Informationen zur Geräteregistrierung finden Sie unter Verwalten von Geräteidentitäten mit dem Azure-Portal.For more information about device registration, see Manage device identities using the Azure portal

Automatische Registrierung und Geräteregistrierung für Windows 10Windows 10 auto enrollment and device registration

Diese Auswahl gilt für Cloudkunden der US-Regierung.This section applies to US government cloud customers.

Obwohl das Erstellen eines CNAME-DNS-Eintrags optional ist, ist die Registrierung mit einem CNAME-Eintrag für den Benutzer leichter.Although creating CNAME DNS entries is optional, CNAME records make enrollment easier for users. Wenn kein CNAME-Eintrag für die Registrierung gefunden wurde, werden Benutzer aufgefordert, manuell den MDM-Servernamen „enrollment.manage.microsoft.us“ einzugeben.If no enrollment CNAME record is found, users are prompted to manually enter the MDM server name, enrollment.manage.microsoft.us.

TypType HostnameHost name Verweist aufPoints to TTLTTL
CNAMECNAME EnterpriseEnrollment.company_domain.comEnterpriseEnrollment.company_domain.com EnterpriseEnrollment-s.manage.microsoft.usEnterpriseEnrollment-s.manage.microsoft.us 1 Stunde1 hour
CNAMECNAME EnterpriseRegistration.company_domain.comEnterpriseRegistration.company_domain.com EnterpriseRegistration.windows.netEnterpriseRegistration.windows.net 1 Stunde1 hour

Nächste SchritteNext steps