Bereitstellungsanleitung: Registrieren von Windows-Geräten in Microsoft Intune

Persönliche und unternehmenseigene Geräte können bei Intune registriert werden. Nach der Registrierung erhalten diese die von Ihnen erstellten Richtlinien und Profile.

Beim Registrieren von Windows-Geräten haben Sie die folgenden Optionen:

Dieser Artikel enthält Empfehlungen zu den Windows-Registrierungsmethoden. Außerdem enthält er eine Übersicht über die Aufgaben für Administratoren und Benutzer für jeden Registrierungstyp.

Genauere Informationen finden Sie unter Intune-Registrierungsmethoden für Windows-Geräte. Es gibt auch einen visuellen Leitfaden zu den verschiedenen Registrierungsoptionen für jede Plattform:

Eine visuelle Darstellung der Intune-Registrierungsoptionen nach Plattform
PDF-Version herunterladen | Visio-Version herunterladen

Tipp

Dieser Leitfaden ist lebendig. Achten Sie also darauf, vorhandene Tipps und Anleitungen hinzuzufügen oder zu aktualisieren, die Sie als hilfreich eingestuft haben.

Bevor Sie beginnen

Eine Übersicht, einschließlich aller Intune-spezifischen Voraussetzungen, finden Sie im Bereitstellungsleitfaden: Registrieren von Geräten bei Microsoft Intune.

Automatische Registrierung in Windows

Wird für persönliche/BYOD und organisationseigene Geräte verwendet, auf denen Windows 10/11 ausgeführt wird:

  • Das Feature Auf Arbeits- oder Schulkonto zugreifen auf den Geräten
  • Die Registrierungsoptionen, die Sie im Endpoint Manager Admin Center konfigurieren

Abhängig von den Optionen, die Sie konfigurieren, ist möglicherweise Azure AD Premium erforderlich.

Sie können diese Registrierungsmethode auch für die automatische Massenregistrierung von Geräten mit der App „Windows Configuration Designer“ verwenden.


Feature Anwendungsfall für diese Registrierungsoption
Sie verfügen über Azure AD Premium. ✔️
Sie verwenden den bedingten Zugriff (Conditional Access, CA) auf Geräten, die über eine Massenregistrierung mit einem Bereitstellungspaket registriert wurden. ✔️ Unter Windows 11 und Windows 10, Version 1803 und höher ist eine Zertifizierungsstelle für Windows-Geräte verfügbar, die per Massenregistrierung registriert wurden.

❌ Unter Windows 10 1709 und älter ist bedingter Zugriff für im Rahmen einer Massenregistrierung registrierte Windows-Geräte nicht verfügbar.
Sie verfügen über Mitarbeiter, die remote arbeiten. ✔️
Es handelt sich um persönliche Geräte oder BYOD-Geräte. ✔️
Die Geräte gehören der Organisation oder der Schule. ✔️
Sie verfügen über neue oder vorhandene Geräte. ✔️
Sie müssen wenige oder eine große Anzahl von Geräten registrieren (Massenregistrierung). ✔️

Die Massenregistrierung ist für organisationseigene Geräte verfügbar, aber nicht für persönliche Geräte/BYOD-Geräte.
Die Geräte sind einem einzelnen Benutzer zugeordnet. ✔️
Bei den Geräten handelt es sich um Geräte ohne Benutzer (z. B. Kiosk-Geräte, dedizierte Geräte oder gemeinsam genutzte Geräte). ✔️

Diese Geräte sind organisationseigene Geräte. Bei dieser Registrierungsmethode müssen sich die Benutzer mit ihrem Organisationskonto anmelden. Organisationsadministratoren können sich anmelden und werden automatisch registriert. Wenn das Gerät registriert ist, erstellen Sie ein Kioskprofil, und weisen Sie dieses Profil diesem Gerät zu. Sie können auch ein Profil für Geräte erstellen, die von vielen Benutzern gemeinsam genutzt werden.
Sie verwenden das optionale DEM-Konto (Geräteregistrierungs-Manager). ✔️
Die Geräte werden von einem anderen MDM-Anbieter verwaltet.

Für die vollständige Verwaltung durch Intune müssen Benutzer die Registrierung beim aktuellen MDM-Anbieter aufheben und die Geräte dann bei Intune registrieren.

Aufgaben für Administratoren bei der automatischen Registrierung

  • Stellen Sie sicher, dass auf Ihren Geräten Windows 10/11 ausgeführt wird. Eine vollständige Liste finden Sie unter In Intune unterstützte Betriebssysteme und Browser.

  • Optional. Statt Benutzer den Intune-Servernamen eingeben zu lassen können Sie einen CNAME-Eintrag erstellen, der leichter eingegeben werden kann, z. B. EnterpriseEnrollment.contoso.com. Diese Einträge ordnen einen Domänennamen einem bestimmten Server zu. Testen Sie den CNAME-Eintrag im Endpoint Manager Admin Center, um sicherzustellen, dass er richtig konfiguriert ist. Weitere Informationen finden Sie unter Erstellen von CNAME-Einträgen.

  • Klicken Sie im Endpoint Manager Admin Center auf Windows Enrollment > Automatic Enrollment (Windows-Registrierung > Automatische Registrierung). Bei der Konfiguration legen Sie den MDM-Benutzerbereich und den MAM-Benutzerbereich fest:

    • MDM-Benutzerbereich: Bei Festlegung auf Einige oder Alle werden Geräte mit Azure AD verknüpft, und Geräte werden von Intune verwaltet. Es spielt keine Rolle, wer bei dem Gerät angemeldet ist und ob es sich um ein persönliches Gerät oder BYOD-Gerät handelt. Wenn Keine festgelegt ist, werden die Geräte nicht in Azure AD eingebunden und nicht von Intune verwaltet.

      Beispiel:

      • Wenn Sie das Gerät verwalten möchten, wählen Sie Einige oder Alle aus.
      • Wenn Sie das Gerät nicht verwalten möchten, wählen Sie Keine aus.
      • Wenn Sie nur das Organisationskonto auf dem Gerät verwalten möchten, wählen Sie Keine aus, und konfigurieren Sie den MAM-Benutzerbereich.
      • Wenn Sie das Gerät und das Organisationskonto auf dem Gerät verwalten möchten, wählen Sie Einige oder Alle aus, und konfigurieren Sie den MAM-Benutzerbereich.
    • MAM-Benutzerbereich: Bei Festlegung auf Einige oder Alle wird das Organisationskonto auf dem Gerät von Intune verwaltet. Die Geräte werden bei Azure AD "registriert". Sie werden nicht in Azure AD „eingebunden“ und nicht von Intune verwaltet. Diese Option ist für BYOD-Geräte oder persönliche Geräte gedacht.

      Beispiel:

      • Wenn Sie das Organisationskonto auf dem Gerät verwalten möchten, wählen Sie Einige oder Alle aus.
      • Wenn Sie das Organisationskonto auf dem Gerät nicht verwalten möchten, wählen Sie Keine aus.
      • Wenn Sie nur das Gerät verwalten möchten, wählen Sie Keine aus, und konfigurieren Sie den MDM-Benutzerbereich.
      • Wenn Sie das Gerät und das Organisationskonto auf dem Gerät verwalten möchten, wählen Sie Einige oder Alle aus, und konfigurieren Sie den MDM-Benutzerbereich.

    Weitere Informationen zu eingebundenen Geräten im Vergleich zu registrierten Geräten finden Sie unter:

  • Navigieren Sie für die Massenregistrierung zum Microsoft Store, und laden Sie die App „Windows Configuration Designer“ (WCD) herunter. Konfigurieren Sie die App „Windows Configuration Designer“, und wählen Sie die Registrierung von Geräten bei Azure AD aus. Eine Paketdatei wird erstellt. Legen Sie diese Paketdatei auf einem USB-Laufwerk oder in einer Netzwerkfreigabe ab.

    Die Benutzer melden sich in den Kontoeinstellungen auf dem Gerät mit ihrem Organisationskonto an und wählen diese Paketdatei aus. Anschließend werden die Benutzer automatisch registriert.

    Wenn Ihre Endbenutzer mit dem Ausführen von Dateien an diesen Speicherorten vertraut sind, können sie die Registrierung selbst abschließen. Weitere Informationen finden Sie unter Massenregistrierung für Windows-Geräte.

Aufgaben für Endbenutzer bei der automatischen Registrierung

Wenn Benutzer das Gerät einschalten, legen sie in den nächsten Schritten fest, wie sie registriert werden. Stellen Sie sicher, dass Sie deutlich kommunizieren, welche Optionen die Benutzer auf persönlichen und organisationseigenen Geräten auswählen sollen.

  • Organisationseigene Geräte: Benutzer aktivieren das Gerät, durchlaufen die Willkommens-Seite (Out-of-Box-Umgebung, OOBE) und melden sich mit ihrem Organisationskonto an. Nach diesem Schritt ist das Gerät in Azure AD eingebunden und wird als organisationseigenes Gerät angesehen. Es wird vollständig verwaltet, unabhängig davon, wer angemeldet ist. Die Benutzer können die App Einstellungen öffnen und dort zu Konten > Auf Arbeits- oder Schulkonto zugreifen navigieren. Dort wird angezeigt, dass sie verbunden sind.

    Wenn sich Benutzer während der Windows-Willkommensseite mit einem persönlichen Konto anmelden, können sie die Geräte dennoch mit den folgenden Schritten in Azure AD einbinden:

    1. Sie öffnen die App Einstellungen und navigieren dort zu Konten > Auf Arbeits- oder Schulkonto zugreifen > Verbinden.
    2. Sie klicken unter Alternative Aktionen auf Dieses Gerät in Azure Active Directory einbinden und geben die verlangten Informationen ein.

    Wenn sie eingebunden sind, werden die Geräte als im Besitz der Organisation angezeigt. Im Endpoint Manager Admin Center werden Geräte als in Azure AD eingebunden angezeigt. Die Geräte werden von Intune verwaltet, unabhängig davon, wer angemeldet ist.

  • BYOD oder persönliche Geräte: Benutzer aktivieren das Gerät, durchlaufen die Windows-Willkommensseite (Out-of-Box-Umgebung, OOBE) und melden sich mit ihrem persönlichen Konto an. So registrieren Sie das Gerät in Azure AD:

    1. Sie öffnen die App Einstellungen und navigieren dort zu Konten > Auf Arbeits- oder Schulkonto zugreifen > Verbinden.

    2. Unter Verbinden geben die Benutzer dann entweder eine E-Mail-Adresse ein oder sie klicken auf Dieses Gerät in Azure Active Directory einbinden:

      • E-Mail-Adresse: Benutzer geben ihre Organisations-E-Mail-Adresse ein. Sie werden dazu aufgefordert, weitere Informationen anzugeben, z. B. den Intune-Servernamen oder den CNAME-Eintrag. Stellen Sie sicher, dass Sie ihnen alle Informationen zur Verfügung stellen, die sie eingeben müssen.

        Mit dieser Option wird das Gerät bei Azure AD registriert. Es wird als persönliches Gerät angezeigt und ist im Endpoint Manager Admin Center als bei Azure AD registriert aufgeführt. Intune verwaltet den Organisationsbenutzer, nicht das Gerät.

        Wenn Sie keine BYOD-Geräte oder persönlichen Geräte verwalten möchten, stellen Sie sicher, dass die Benutzer auf E-Mail-Adresse klicken und ihre Organisations-E-Mail-Adresse eingeben.

      • Dieses Gerät mit Azure Active Directory verknüpfen: Benutzer geben die angeforderten Informationen ein, einschließlich ihrer Organisations-E-Mail-Adresse.

        Mit dieser Option wird das Gerät in Azure AD eingebunden. Es wird als organisationseigenes Gerät angezeigt und ist im Endpoint Manager Admin Center als in Azure AD eingebunden aufgeführt. Die Geräte werden von Intune verwaltet, unabhängig davon, wer angemeldet ist.

        Wenn Sie BYOD-Geräte oder persönliche Geräte verwalten möchten, stellen Sie sicher, dass die Benutzer auf Dieses Gerät in Azure Active Directory einbinden klicken. Die Benutzer sollten außerdem wissen, dass ihre persönlichen Geräte von ihrer IT-Abteilung verwaltet werden.

    Weitere Informationen zum Endbenutzererfahrung finden Sie unter Registrierung von Windows-Clientgeräten.

  • Wenn Sie Massenregistrierung verwenden und Ihre Endbenutzer mit dem Ausführen von Dateien in einer Netzwerkfreigabe oder auf einem USB-Laufwerk vertraut sind, können sie die Registrierung selbst abschließen. Wenn sie mit diesem Schritt nicht vertraut sind, wird empfohlen, dass der Administrator die Registrierung durchführt.

  • Auf persönlichen oder BYOD-Clientgeräten, auf denen nicht Windows ausgeführt wird, müssen Benutzer die Unternehmensportal-App aus dem Microsoft Store installieren. Nach der Installation öffnen sie die Unternehmensportal-App und melden sich mit ihren Organisationsanmeldeinformationen an (user@contoso.com). Sie werden dazu aufgefordert, weitere Informationen anzugeben, z. B. den Intune-Servernamen. Stellen Sie sicher, dass Sie ihnen alle Informationen zur Verfügung stellen, die sie eingeben müssen.

Benutzer möchten sich in der Regel nicht selbst registrieren und sind möglicherweise nicht mit der Unternehmensportal-App vertraut. Stellen Sie sicher, dass Sie Leitfäden bereitstellen, die auch die einzugebenden Informationen enthalten. Eine Anleitung zur Kommunikation mit Ihren Benutzern finden Sie unter Planungshandbuch: Aufgabe 5: Erstellen eines Rolloutplans.

Windows Autopilot

Verwenden Sie dies auf organisationseigenen Geräten, auf denen Windows 10/11 ausgeführt wird. Windows Autopilot verwendet die Windows-Client-OEM-Version, die auf dem Gerät vorinstalliert ist. Sie müssen weder die Geräte zurücksetzen noch benutzerdefinierte Betriebssystemimages verwenden. Außerdem ist die automatische Registrierung erforderlich, und das Endpoint Manager Admin Center wird für die Erstellung eines Registrierungsprofils verwendet. Wenn Benutzer sich mit ihrem Organisationskonto anmelden, werden sie automatisch registriert.

Weitere Informationen zu Windows Autopilot finden Sie in Windows Autopilot Übersicht oder Tutorial: Verwenden von Autopilot zum Registrieren von Windows-Geräten.


Feature Anwendungsfall für diese Registrierungsoption
Sie kaufen Geräte von einem OEM, der den Windows Autopilot-Bereitstellungsdienst unterstützt, oder von Handelspartnern oder Vertriebspartnern, die am Cloud Solution Provider-Programm (CSP) teilnehmen. ✔️
Die Geräte sind in Azure AD eingebundene Hybridgeräte. ✔️

In Azure AD eingebundene Hybridgeräte sind in Ihre lokale Active Directory-Instanz eingebunden und bei Ihrer Azure AD-Instanz registriert. Geräte in Azure AD sind für Intune verfügbar. Geräte, die nicht bei Azure AD registriert sind, sind für Intune nicht verfügbar.

Eine Lösung mit vollständiger Einbindung in Azure AD ist für Ihre Organisation möglicherweise besser geeignet. Weitere Informationen finden Sie im Blogbeitrag Success with remote Windows Autopilot and hybrid Azure Active Directory join.
Sie verfügen über Mitarbeiter, die remote arbeiten. ✔️

Der OEM oder Partner kann Geräte direkt an Ihre Benutzer senden.
Die Geräte gehören der Organisation oder der Schule. ✔️
Sie verfügen über neue oder vorhandene Geräte. ✔️

Sie können vorhandene Desktops, auf denen ältere Windows-Versionen ausgeführt werden (z. B. Windows 7), auf Windows 10 aktualisieren. Diese Option verwendet auch Microsoft Endpoint Configuration Manager.
Sie müssen wenige oder eine große Anzahl von Geräten registrieren (Massenregistrierung). ✔️
Sie verfügen über Azure AD Premium. ✔️

Windows Autopilot verwendet die automatische Registrierung. Für die automatische Registrierung ist Azure AD Premium erforderlich.
Die Geräte sind einem einzelnen Benutzer zugeordnet. ✔️
Bei den Geräten handelt es sich um Geräte ohne Benutzer (z. B. Kiosk-Geräte, dedizierte Geräte oder gemeinsam genutzte Geräte). ✔️

Diese Geräte sind organisationseigene Geräte. Bei dieser Registrierungsmethode müssen sich die Benutzer mit ihrem Organisationskonto anmelden. Organisationsadministratoren können sich anmelden und werden automatisch registriert. Wenn das Gerät registriert ist, erstellen Sie ein Kioskprofil, und weisen Sie dieses Profil diesem Gerät zu. Sie können auch ein Profil für Geräte erstellen, die von vielen Benutzern gemeinsam genutzt werden.
Es handelt sich um persönliche Geräte oder BYOD-Geräte.

Windows Autopilot ist nur für organisationseigene Geräte vorgesehen. Verwenden Sie für BYOD- oder persönliche Geräte die automatische Windows-Registrierung (in diesem Artikel) oder eine Option zur Benutzerregistrierung (in diesem Artikel).
Die Geräte werden von einem anderen MDM-Anbieter verwaltet.

Für die vollständige Verwaltung durch Intune müssen Benutzer die Registrierung beim aktuellen MDM-Anbieter aufheben und die Geräte dann bei Intune registrieren.
Sie verwenden das DEM-Konto (Geräteregistrierungs-Manager).

Windows Autopilot kann nicht für DEM-Konten verwendet werden. Wenn der Administrator die Geräte registriert und vorbereitet, bevor er sie an die Benutzer weitergibt, kann ein DEM-Konto verwendet werden.

Aufgaben für Administratoren bei Windows Autopilot

Wenn das Profil zugewiesen wurde, werden die Geräte im Endpoint Manager Admin Center angezeigt (Geräte > Windows).

Aufgaben für Endbenutzer bei Windows Autopilot

Die Benutzeroberfläche für Endbenutzer hängt von der von Ihnen ausgewählten Windows Autopilot-Bereitstellungsoption ab, z. B. benutzergesteuerter Modus oder Vorabbereitstellung.

  • Self-Deploying-Modus: Keine Aktionen. Bei dieser Option wird dem Gerät kein Benutzer zugeordnet. Die Benutzer schalten das Gerät einfach ein, und die Registrierung startet automatisch.

    Genauere Informationen finden Sie unter Self-Deployment-Modus in Windows Autopilot.

  • Vorabbereitstellung: Benutzer aktivieren das Gerät und melden sich mit ihrem Organisations-, Schul oder Unikonto an. Die Registrierung startet automatisch. Da das Gerät von Administratoren vorab bereitgestellt wurde, ist die Registrierung schneller als beim benutzergesteuerten Modus.

    Genauere Informationen finden Sie unter Windows Autopilot für Vorabbereitstellung.

  • Vorhandene Geräte: Ihre Benutzer müssen die folgenden Schritte ausführen:

    1. Sie öffnen die Softwarecenter-App und klicken auf Betriebssysteme.

    2. Sie klicken auf Autopilot for existing devices > Install (Autopilot für vorhandene Geräte > Installieren). Der Inhalt wird heruntergeladen, die Laufwerke werden formatiert, und das Windows-Clientbetriebssystem wird installiert.

      Dieser Schritt kann einige Zeit in Anspruch nehmen, und die Benutzer müssen warten.

    3. Autopilot wird ausgeführt, und die Benutzer melden sich mit ihrem Organisations-, Schul- oder Unikonto an. Die Registrierung kann automatisch starten. Genauere Informationen finden Sie unter Windows Autopilot-Bereitstellung für vorhandene Geräte.

  • Benutzergesteuert: Die Benutzer schalten das Gerät ein und melden sich mit ihrem Organisations-, Schul- oder Unikonto an. Die Registrierung startet automatisch. Genauere Informationen finden Sie unter Benutzergesteuerter Modus in Windows Autopilot.

Benutzer möchten sich in der Regel nicht selbst registrieren und sind möglicherweise nicht mit der Unternehmensportal-App vertraut. Stellen Sie sicher, dass Sie Leitfäden bereitstellen, die auch die einzugebenden Informationen enthalten. Eine Anleitung zur Kommunikation mit Ihren Benutzern finden Sie unter Planungshandbuch: Aufgabe 5: Erstellen eines Rolloutplans.

BYOD-Geräte: Benutzerregistrierung

Wird für persönliche bzw. BYOD-Geräte (Bring Your Own Device, Privatgeräte von Benutzern) und organisationseigene Geräte verwendet, auf denen Windows 10/11 installiert ist.

Bei der Benutzerregistrierung wird die Einstellungen-App > Konten > Auf Arbeits-, Schul- oder Uni-Konto zugreifen auf den Geräten verwendet. Es gibt einige Überschneidungen mit der Benutzerregistrierung und der automatischen Registrierung.

Bei der Benutzerregistrierung können Sie die Geräte bei Azure AD "registrieren" oder sie in Azure AD "einbinden":

  • Registrieren: Wenn Sie Geräte in Azure AD registrieren, werden diese im Endpoint Manager Admin Center als persönliche Geräte angezeigt. Benutzer erhalten Zugriff auf Organisationsressourcen wie z. B. E-Mails. Diese Option wird häufig für BYOD- bzw. persönliche Geräte verwendet.
  • Einbinden: Wenn Sie Geräte in Azure AD einbinden, werden sie vollständig über Intune verwaltet und unterliegen allen von Ihnen erstellten Richtlinien. Diese Option ist für organisationseigene Geräte üblich. Wenn Benutzer möchten, dass ihre persönlichen Geräte vollständig über Intune (und von der IT-Abteilung ihrer Organisation) verwaltet werden, können sie diese einbinden.

Warnung

In der Einstellungen-App > Konten > Auf Arbeits-, Schul- oder Uni-Konto zugreifen wird möglicherweise die Option Nur bei Geräteverwaltung registrieren angezeigt. Mit dieser Option wird das Gerät nicht bei Azure AD registriert. Aus Intune-Sicht empfehlen wir diese reine MDM-Option nicht für BYOD- oder persönliche Geräte. Daher enthält dieser Leitfaden keine zusätzlichen Informationen oder Anleitungen.


Feature Anwendungsfall für diese Registrierungsoption
Die Geräte sind in Azure AD eingebundene Hybridgeräte. ✔️

In Azure AD eingebundene Hybridgeräte sind in Ihre lokale Active Directory-Instanz eingebunden und bei Ihrer Azure AD-Instanz registriert. Geräte in Azure AD sind für Intune verfügbar. Geräte, die nicht bei Azure AD registriert sind, sind für Intune nicht verfügbar.

Eine Lösung mit vollständiger Einbindung in Azure AD ist für Ihre Organisation möglicherweise besser geeignet. Weitere Informationen finden Sie im Blogbeitrag Success with remote Windows Autopilot and hybrid Azure Active Directory join.
Sie verfügen über Azure AD Premium. ❌Azure AD Premium ist nicht erforderlich.

✔️ Wenn die Geräte in Azure AD eingebunden werden, können sie Azure AD Premium-Features nutzen wie z. B. bedingten Zugriff.
Sie verfügen über Mitarbeiter, die remote arbeiten. ✔️

Die Benutzer sollten wissen, dass ihre persönlichen Geräte u. U. von der IT-Abteilung der Organisation verwaltet werden.
Es handelt sich um persönliche Geräte oder BYOD-Geräte. ✔️
Die Geräte gehören der Organisation oder der Schule. ✔️

Sie können die Benutzerregistrierung verwenden, es wird jedoch empfohlen, Windows Autopilot (in diesem Artikel) oder die automatische Windows-Registrierung (in diesem Artikel) zu verwenden. Sie erfordern weniger Schritte für Ihre Benutzer.
Sie verfügen über neue oder vorhandene Geräte. ✔️
Sie müssen wenige oder eine große Anzahl von Geräten registrieren (Massenregistrierung). ✔️
Die Geräte sind einem einzelnen Benutzer zugeordnet. ✔️
Bei den Geräten handelt es sich um Geräte ohne Benutzer (z. B. Kiosk-Geräte, dedizierte Geräte oder gemeinsam genutzte Geräte).

Die Optionen zur Benutzerregistrierung erfordern, dass sich ein Benutzer mit einem Organisationskonto anmeldet und die Einstellungen-App verwendet, die auf gemeinsam genutzten Geräten nicht häufig verwendet wird.
Sie verwenden das DEM-Konto (Geräteregistrierungs-Manager).

Die Benutzerregistrierung kann nicht für DEM-Konten verwendet werden.
Die Geräte werden von einem anderen MDM-Anbieter verwaltet. ✔️ Ein Gerät, das von einem anderen MDM-Anbieter verwaltet wird, kann in Azure AD registriert werden.

❌Für die vollständige Verwaltung durch Intune müssen Benutzer die Registrierung beim aktuellen MDM-Anbieter aufheben und die Geräte dann bei Intune registrieren.

Administratoraufgaben für die Benutzerregistrierung

Abgesehen von der Einrichtung in Intune gibt es bei dieser Registrierungsmethode nur geringfügige Administratoraufgaben.

  • Stellen Sie sicher, dass auf Ihren Geräten Windows 10 oder höher ausgeführt wird. Eine vollständige Liste finden Sie unter In Intune unterstützte Betriebssysteme und Browser.

  • Optional. Statt Benutzer den Intune-Servernamen eingeben zu lassen können Sie einen CNAME-Eintrag erstellen, der leichter eingegeben werden kann, z. B. EnterpriseEnrollment.contoso.com. Diese Einträge ordnen einen Domänennamen einem bestimmten Server zu. Testen Sie den CNAME-Eintrag im Endpoint Manager Admin Center, um sicherzustellen, dass er richtig konfiguriert ist. Weitere Informationen finden Sie unter Erstellen von CNAME-Einträgen.

  • Entscheiden Sie, ob Benutzer persönliche Geräte für Organisationstätigkeiten verwenden können. Auf persönlichen Geräten sind Benutzer in der Regel Administratoren und verwenden ein persönliches E-Mail-Konto (user@outlook.com), um das Gerät zu konfigurieren. Verwenden Sie die Einstellungen-App, um diese Geräte bei Azure AD zu registrieren. Wenn Sie der Administrator sind, teilen Sie den Benutzern mit, welche Optionen sie wählen sollten. Machen Sie präzise Angaben.

    Wenn auch eine Richtlinie für die automatische Intune-Registrierung bereitgestellt wird, informieren Sie die Benutzer über die Auswirkungen (MDM-Benutzerbereich im Vergleich zum MAM-Benutzerbereich (in diesem Artikel)).

  • Wenn Sie über organisationseigene Geräte verfügen und diese zum ersten Mal bei Intune registrieren, empfehlen wir die automatische Registrierung (in diesem Artikel).

    Benutzer können die Einstellungen-App > Konten verwenden, um ihr Gerät in Azure Active Directory einzubinden. Wenn dies der Fall ist, stellen Sie eine Richtlinie für die automatische Registrierung (in diesem Artikel) bereit, um das Gerät in Intune zu registrieren.

  • Bei neuen organisationseigenen Geräten empfehlen wir, Windows Autopilot (in diesem Artikel) oder die automatische Registrierung (in diesem Artikel) zu verwenden. Auf der Windows-Willkommensseite (Out-of-Box Experience, OOBE) geben Benutzer ihr Organisationskonto (user@contoso.com) an. In diesem Schritt werden die Geräte bei Azure AD registriert. Stellen Sie eine Richtlinie für die automatische Registrierung (in diesem Artikel) bereit, um das Gerät bei Intune zu registrieren.

    Wenn Benutzer auf der Windows-Willkommensseite ihr persönliches E-Mail-Konto verwenden, wird das Gerät nicht bei Azure AD registriert und die Richtlinie für die automatische Registrierung wird nicht angewandt. In diesem Szenario verwenden die Benutzer die Einstellungen-App, um das Gerät in Azure Active Directory einzubinden. Wenn das Gerät in Azure AD eingebunden wird, wird das Gerät über die Richtlinie für die automatische Registrierung bei Intune registriert.

Aufgaben für Endbenutzer bei der Benutzerregistrierung

Kommunizieren Sie deutlich, welche Optionen die Benutzer auf persönlichen und organisationseigenen Geräten auswählen sollen. Weitere Informationen zum Endbenutzererfahrung finden Sie unter Registrierung von Windows-Clientgeräten.

  • BYOD- oder persönliche Geräte: Diese Geräte sind wahrscheinlich vorhandene Geräte, die bereits mit einem persönlichen E-Mail-Konto (user@outlook.com) konfiguriert sind. Die Benutzer müssen das Gerät mithilfe der Einstellungen-App registrieren:

    1. Sie verbinden das Gerät mit dem Internet.

    2. Sie öffnen die App Einstellungen und navigieren dort zu Konten > Auf Arbeits- oder Schulkonto zugreifen > Verbinden.

    3. Unter Verbinden geben die Benutzer dann entweder eine E-Mail-Adresse ein oder sie klicken auf Dieses Gerät in Azure Active Directory einbinden:

      • E-Mail-Adresse: Die Benutzer geben ihre Organisations-E-Mail-Adresse und ihr Kennwort ein. Sie werden dazu aufgefordert, weitere Informationen anzugeben, z. B. den Intune-Servernamen oder den CNAME-Eintrag. Stellen Sie sicher, dass Sie ihnen alle Informationen zur Verfügung stellen, die sie eingeben müssen.

        Mit dieser Option wird das Gerät bei Azure AD registriert. Es wird als persönliches Gerät angezeigt und ist im Endpoint Manager Admin Center als bei Azure AD registriert aufgeführt. Intune verwaltet den Organisationsbenutzer, nicht das Gerät.

        Wenn Sie oder Ihre Benutzer nicht möchten, dass BYOD- oder persönliche Geräte von der IT-Abteilung der Organisation verwaltetet werden, muss E-Mail-Adresse ausgewählt werden.

      • Dieses Gerät in Azure Active Directory einbinden: Die Benutzer geben die angeforderten Informationen ein, einschließlich ihrer Organisations-E-Mail-Adresse und ihres Kennworts.

        Mit dieser Option wird das Gerät in Azure AD eingebunden. Es wird als organisationseigenes Gerät angezeigt und ist im Endpoint Manager Admin Center als in Azure AD eingebunden aufgeführt. Die Geräte werden von Intune verwaltet, unabhängig davon, wer angemeldet ist.

        Wenn Sie BYOD-Geräte oder persönliche Geräte verwalten möchten, stellen Sie sicher, dass die Benutzer auf Dieses Gerät in Azure Active Directory einbinden klicken. Die Benutzer sollten außerdem wissen, dass ihre persönlichen Geräte von ihrer IT-Abteilung verwaltet werden.

  • Organisationseigene Geräte: Hierbei kann es sich um vorhandene Geräte oder neue Geräte handeln. Die Benutzer aktivieren das Gerät, durchlaufen die Willkommens-Seite (Out-of-Box-Umgebung, OOBE) und melden sich mit ihrem Organisationskonto an (user@contoso.com). Nach diesem Schritt ist das Gerät in Azure AD eingebunden und wird als organisationseigenes Gerät angesehen. Es wird vollständig verwaltet, unabhängig davon, wer angemeldet ist. Die Benutzer können die App Einstellungen öffnen und dort zu Konten > Auf Arbeits- oder Schulkonto zugreifen navigieren. Dort wird angezeigt, dass sie verbunden sind.

    Bei vorhandenen Geräten oder wenn sich Benutzer auf der Windows-Willkommensseite mit einem persönlichen Konto anmelden, können sie die Geräte mit den folgenden Schritten in Azure AD einbinden:

    1. Sie öffnen die App Einstellungen und navigieren dort zu Konten > Auf Arbeits- oder Schulkonto zugreifen > Verbinden.
    2. Sie klicken unter Alternative Aktionen auf Dieses Gerät in Azure Active Directory einbinden und geben die verlangten Informationen ein.

    Nach dem Einbinden werden die Geräte als organisationseigene Geräte angezeigt und sind im Endpoint Manager Admin Center als in Azure AD eingebunden aufgeführt. Die Geräte werden von Intune verwaltet, unabhängig davon, wer angemeldet ist.

Gruppenrichtlinie

Diese Registrierungsoption ist für in die Domäne eingebundene Geräte verfügbar, die Sie mit Intune verwalten möchten. Vor der Registrierung müssen die Geräte als Hybridgeräte in Azure AD eingebunden werden. Dies bedeutet, dass die Geräte bei einer lokalen Active Directory-Instanz (AD) und bei Azure AD registriert sind. Nach der Registrierung bei Azure AD sind sie für die Registrierung bei Intune verfügbar und erhalten die von Ihnen konfigurierten Einstellungen und Gerätefeatures.

Tipp

Im Endpoint Manager Admin Center können Sie Analysen von Gruppenrichtlinien verwenden, um Ihre lokalen Gruppenrichtlinieneinstellungen anzuzeigen, die von Cloud MDM-Anbietern unterstützt werden, einschließlich Microsoft Intune.

Wenn Sie eine cloudnative Lösung zum Verwalten von Geräten wünschen, ist Windows Autopilot (in diesem Artikel) möglicherweise die beste Option für Ihre Organisation.

Sie erstellen eine Gruppenrichtlinie in Ihrer lokalen AD-Instanz. Wenn eine Gruppenrichtlinienaktualisierung auf dem Gerät durchgeführt wird, werden die Benutzer benachrichtigt, um die Konfiguration abzuschließen. Die Konfiguration verwendet das Azure AD-Konto des Benutzers, um das Gerät automatisch bei Intune zu registrieren.

Genauere Informationen finden Sie unter Registrierung eines Windows-Clientgeräts automatisch mithilfe der Gruppenrichtlinie.


Feature Anwendungsfall für diese Registrierungsoption
Die Geräte sind in Azure AD eingebundene Hybridgeräte. ✔️

In Azure AD eingebundene Hybridgeräte sind in Ihre lokale Active Directory-Instanz eingebunden und bei Ihrer Azure AD-Instanz registriert. Geräte in Azure AD sind für Intune verfügbar. Geräte, die nicht bei Azure AD registriert sind, sind für Intune nicht verfügbar.
Sie verfügen über Azure AD Premium. ✔️

Für die Registrierung mithilfe einer Gruppenrichtlinie ist Azure AD Premium erforderlich.
Sie verfügen über Mitarbeiter, die remote arbeiten. ✔️
Die Geräte gehören der Organisation oder der Schule. ✔️
Sie verfügen über neue oder vorhandene Geräte. ✔️
Sie müssen wenige oder eine große Anzahl von Geräten registrieren (Massenregistrierung). ✔️
Die Geräte sind einem einzelnen Benutzer zugeordnet. ✔️
Bei den Geräten handelt es sich um Geräte ohne Benutzer (z. B. Kiosk-Geräte, dedizierte Geräte oder gemeinsam genutzte Geräte). ✔️

Diese Geräte sind organisationseigene Geräte. Bei dieser Registrierungsmethode müssen sich die Benutzer mit ihrem Organisationskonto anmelden. Organisationsadministratoren können sich anmelden und werden automatisch registriert. Wenn das Gerät registriert ist, erstellen Sie ein Kioskprofil, und weisen Sie dieses Profil diesem Gerät zu. Sie können auch ein Profil für Geräte erstellen, die von vielen Benutzern gemeinsam genutzt werden.
Es handelt sich um persönliche Geräte oder BYOD-Geräte.

Verwenden Sie für BYOD- oder persönliche Geräte die automatische Windows-Registrierung (in diesem Artikel) oder eine Option zur Benutzerregistrierung (in diesem Artikel).
Die Geräte werden von einem anderen MDM-Anbieter verwaltet.

Für die vollständige Verwaltung durch Intune müssen Benutzer die Registrierung beim aktuellen MDM-Anbieter aufheben und die Geräte dann bei Intune registrieren. Sie sollten nicht mithilfe der klassischen Intune-Agents registriert werden.
Sie verwenden das DEM-Konto (Geräteregistrierungs-Manager).

Gruppenrichtlinien können nicht für DEM-Konten verwendet werden.

Aufgaben für Administratoren bei einer Gruppenrichtlinie

Genauere Informationen zu dieser Registrierungsmethode finden Sie unter Automatische Registrierung eines Windows-Clientgeräts mithilfe der Gruppenrichtlinie.

  • Stellen Sie sicher, dass Ihre Windows-Clientgeräte in Intune unterstützt und für die Gruppenrichtlinienregistrierung unterstützt sind.
  • Registrieren Sie Ihre AD-Instanz bei Azure AD. Genauere Informationen finden Sie unter Azure Active Directory-Integration mit MDM.
  • Stellen Sie sicher, dass Ihre Geräte in Azure AD eingebundene Hybridgeräte sind. Die Geräte müssen bei der lokalen AD-Instanz und bei Azure AD registriert sein.
  • Erstellen Sie in der lokalen AD-Instanz die Gruppenrichtlinie Enable automatic MDM enrollment using default Azure AD credentials (Automatische MDM-Registrierung mit Standardanmeldeinformationen für Azure AD aktivieren). Wenn die Gruppenrichtlinie aktualisiert wird, wird sie mithilfe von Push an die Geräte übertragen, und die Benutzer schließen die Konfiguration mit ihrem Domänenkonto (user@contoso.com) ab.

Benutzer möchten sich in der Regel nicht selbst registrieren und sind möglicherweise nicht mit der Unternehmensportal-App vertraut. Stellen Sie sicher, dass Sie Leitfäden bereitstellen, die auch die einzugebenden Informationen enthalten. Eine Anleitung zur Kommunikation mit Ihren Benutzern finden Sie unter Planungshandbuch: Aufgabe 5: Erstellen eines Rolloutplans.

Aufgaben für Endbenutzer bei einer Gruppenrichtlinie

  • Die Benutzer werden darüber benachrichtigt, dass Änderungen an der Konfiguration vorgenommen wurden. Für die Richtlinienaktualisierung ist möglicherweise erforderlich, dass die Benutzer sich mit ihrem Organisations-, Schul- oder Unikonto (user@contoso.com) anmelden. Die Registrierung startet automatisch.

Registrierung mit Co-Verwaltung

Wenn Sie Configuration Manager verwenden und auch weiterhin verwenden möchten, ist die Registrierung mit Co-Verwaltung die richtige Wahl für Sie. Die Co-Verwaltung verwaltet Windows 10/11-Geräte gemeinsam mithilfe von Configuration Manager und Microsoft Intune. Sie führen eine Cloudanfügung Ihrer vorhandenen Configuration Manager-Umgebung an den Endpoint Manager durch. Bei dieser Registrierungsoption werden einige Workloads in Configuration Manager ausgeführt und die anderen im Endpoint Manager.

Genauere Informationen zur Co-Verwaltung finden Sie unter Was ist Co-Verwaltung?.

Hinweis

Eine Mandantenanfügung ist ebenfalls eine Option, wenn Sie Configuration Manager verwenden. Sie registrieren keine Geräte, können aber Ihre Configuration Manager-Geräte in das Endpoint Manager Admin Center hochladen. Verwenden Sie das Admin Center, um einige Remoteaktionen auszuführen, Ihre lokalen Server anzuzeigen und Betriebssysteminformationen zu erhalten. Weitere Informationen finden Sie unter Mandantenanfügung im Microsoft Endpoint Manager: Gerätesynchronisierung und Geräteaktionen.


Feature Anwendungsfall für diese Registrierungsoption
Sie verwenden Configuration Manager. ✔️

Configuration Manager kann Windows Server verwalten.
Die Geräte sind in Azure AD eingebundene Hybridgeräte. ✔️

In Azure AD eingebundene Hybridgeräte sind in Ihre lokale Active Directory-Instanz eingebunden und bei Ihrer Azure AD-Instanz registriert. Geräte in Azure AD sind für Intune verfügbar. Geräte, die nicht bei Azure AD registriert sind, sind für Intune nicht verfügbar.
Geräte sind bei Intune registriert. ✔️

Sie verfügen über Geräte, die Sie mit Co-Verwaltung verwalten möchten. Diese Geräte wurden möglicherweise mit Windows Autopilot registriert oder direkt von Ihrem Hardware-OEM.
Sie verfügen über Azure AD Premium. ✔️

Abhängig von Ihrer Konfiguration für die Co-Verwaltung ist möglicherweise Azure AD Premium erforderlich. Genauere Informationen finden Sie unter Pfade zur Co-Verwaltung.
Sie verfügen über Mitarbeiter, die remote arbeiten. ✔️
Die Geräte gehören der Organisation oder der Schule. ✔️
Es handelt sich um persönliche Geräte oder BYOD-Geräte. ✔️
Sie verfügen über neue oder vorhandene Geräte. ✔️

Für Geräte, auf denen Windows 10/11 nicht ausgeführt wird, z. B. Windows 7-Geräte, müssen Sie ein Upgrade durchführen. Genauere Informationen finden Sie unter Upgrade auf Windows 10 für Co-Verwaltung.
Sie müssen wenige oder eine große Anzahl von Geräten registrieren (Massenregistrierung). ✔️
Die Geräte sind einem einzelnen Benutzer zugeordnet. ✔️
Bei den Geräten handelt es sich um Geräte ohne Benutzer (z. B. Kiosk-Geräte, dedizierte Geräte oder gemeinsam genutzte Geräte). ✔️

Diese Geräte sind organisationseigene Geräte. Bei dieser Registrierungsmethode müssen sich die Benutzer mit ihrem Organisationskonto anmelden. Organisationsadministratoren können sich anmelden und werden automatisch registriert. Wenn das Gerät registriert ist, erstellen Sie ein Kioskprofil, und weisen Sie dieses Profil diesem Gerät zu. Sie können auch ein Profil für Geräte erstellen, die von vielen Benutzern gemeinsam genutzt werden.
Die Geräte werden von einem anderen MDM-Anbieter verwaltet.

Um gemeinsam verwaltet zu werden, müssen sich die Benutzer beim aktuellen MDM-Anbieter abmelden. Sie sollten nicht mit den klassischen Intune-Agenten registriert werden.
Sie verwenden das DEM-Konto (Geräteregistrierungs-Manager).

Die Co-Verwaltung kann nicht für DEM-Konten verwendet werden.

Aufgaben für Administratoren bei der Co-Verwaltung

Die Aufgaben und Anforderungen für Administratoren hängen von der von Ihnen gewählten Co-Verwaltungsoption ab. Genauere Informationen finden Sie unter Pfade zur Co-Verwaltung.

Wenn Sie die Co-Verwaltung einrichten, haben Sie die folgenden Optionen:

Aufgaben für Endbenutzer bei der Co-Verwaltung

Bei beiden Optionen wird die automatische Registrierung verwendet. Bei der automatischen Registrierung melden sich die Benutzer mit ihrem Organisationskonto (user@contoso.com) an und werden dann automatisch registriert. Sie können auch die App Einstellungen öffnen, dort zu Konten > Auf Arbeits- oder Schulkonto zugreifen > Verbinden navigieren und sich mit ihrer Organisations-E-Mail-Adresse und dem zugehörigen Kennwort anmelden.

Configuration Manager kann die Registrierung randomisieren, sodass sie möglicherweise nicht sofort erfolgt. Wenn die Registrierung abgeschlossen ist, kann das Gerät die von Ihnen erstellten Richtlinien und Profile erhalten.

Nächste Schritte