Bereitstellungsleitfaden: Einrichten oder Wechseln zu Microsoft Intune

  • Artikel
  • 15 Minuten Lesedauer

Dieser Bereitstellungsleitfaden enthält Informationen zum Wechsel zu Intune sowie zur Einführung von Intune als Lösung für MDM (Mobile Geräteverwaltung) und MAM (mobile Anwendungsverwaltung).

In diesem Leitfaden erfahren Sie unter anderem, wie Sie sich bei Intune registrieren, Ihren Domänennamen hinzufügen und Intune als MDM-Autorität konfigurieren. Wählen Sie den Migrationsansatz, der für die Anforderungen Ihrer Organisation am besten geeignet ist. Sie können Implementierungstaktiken basierend auf den Anforderungen Ihrer Organisation anpassen.

Tipp

Dieser Leitfaden ist lebendig. Achten Sie also darauf, vorhandene Tipps und Anleitungen hinzuzufügen oder zu aktualisieren, die Sie als hilfreich eingestuft haben.

Voraussetzungen

Derzeit keine Verwendung eines Anbieters

Wenn Sie derzeit keinen MDM- oder MAM-Anbieter verwenden, stehen Ihnen einige Optionen zur Verfügung:

Der Artikel Wählen einer Geräteverwaltungslösung kann Ihnen bei Ihrer Entscheidung helfen.

Derzeit Verwendung eines MDM-Anbieters eines Drittanbieters

Geräte dürfen über nur einen MDM-Anbieter verfügen. Wenn Sie einen anderen MDM-Anbieter verwenden, z. B. Workspace ONE (ehemals AirWatch), MobileIron oder MaaS360, können Sie zu Intune wechseln. Die größte Herausforderung besteht darin, dass Benutzer die Registrierung Ihrer Geräte beim aktuellen MDM-Anbieter aufheben und sie dann bei Intune registrieren müssen.

Wichtig

Konfigurieren Sie nicht Intune und Ihre vorhandene Drittanbieter-MDM-Lösung so, dass sie Zugriffssteuerungen auf Ressourcen anwenden, einschließlich Exchange und SharePoint Online.

Empfehlungen:

  • Wenn Sie von einem MDM-/MAM-Partneranbieter zu Intune wechseln, notieren Sie sich die Tasks, die Sie ausführen, und die Features, die Sie verwenden. Diese Informationen vermitteln einen Eindruck davon, was zu tun ist oder womit Sie in Intune beginnen können.

  • Wenn die Registrierung von Geräten aufgehoben wurde, erhalten diese Ihre Richtlinien nicht mehr, einschließlich der Richtlinien, die Schutz bieten. Sie sind gefährdet, bis sie sich bei Intune registrieren. Es wird empfohlen, bei der Aufhebung der Registrierung von Geräten die Geräte durch bedingten Zugriff zu blockieren, bis sie sich bei Intune registrieren.

    Stellen Sie sicher, dass Sie über bestimmte Schritte zum Aufheben der Registrierung und zum Registrieren verfügen. Stellen Sie eine Anleitung für das Aufheben der Registrierung von Geräten bei Ihrem bisherigen MDM-Anbieter bereit. Durch eine klare und hilfreiche Kommunikation können Downtime und Unzufriedenheit bei Endbenutzern minimiert werden.

  • Verwenden Sie einen schrittweisen Ansatz. Sie mit einer kleinen Gruppe von Pilotbenutzern, und fügen Sie immer mehr Gruppen hinzu, bis alles bereitgestellt ist.

  • Überwachen Sie die Auslastung des Helpdesks und den Registrierungserfolg der jeweiligen Phasen. Planen Sie Zeit ein, um die Erfolgskriterien für jede Gruppe auszuwerten, bevor Sie die nächste Gruppe migrieren. Ihre Pilotbereitstellung sollte Folgendes überprüfen:

    • Die Registrierungserfolgs- und -fehlerraten bewegen sich im erwarteten Rahmen.

    • Benutzerproduktivität:

      • Die Unternehmensressourcen funktionieren, einschließlich VPN, WLAN, E-Mail und Zertifikaten.
      • Auf bereitgestellte Apps kann zugegriffen werden.

    • Datensicherheit:

      • Überprüfen Sie die Konformitätsberichte, und suchen Sie nach häufig auftretenden Problemen und Trends. Besprechen Sie mit Ihrem Helpdesk Probleme, Lösungen und Trends.
      • Schutzmaßnahmen für mobile Apps werden angewendet.

  • Wenn Sie mit der ersten Migrationsphase zufrieden sind, wiederholen Sie den Migrationszyklus für die nächste Phase.

    • Wiederholen Sie den Zyklus in Phasen, bis alle Benutzer zu Intune migriert wurden.
    • Stellen Sie sicher, dass der Helpdesk während der gesamten Migration für den Support für Endbenutzer zur Verfügung steht. Führen Sie eine freiwillige Migration durch, bis Sie die Arbeitsauslastung für Supportanrufe einschätzen können.
    • Legen Sie keine Frist für die Registrierung fest, bis sich Ihr Helpdesk um alle verbleibenden Benutzer kümmern kann.

Einen Leitfaden zur Registrierung finden Sie unter Bereitstellungsleitfaden: Registrieren von Geräten bei Microsoft Intune.

Führen Sie als Nächstes die Schritte zum Bereitstellen von Intune aus (in diesem Artikel).

Derzeit Verwendung von Configuration Manager

Configuration Manager unterstützt Windows- und macOS-Geräte sowie Windows Server-Instanzen. Wenn Sie andere Plattformen verwenden, müssen Sie möglicherweise die Geräte zurücksetzen und dann bei Intune registrieren. Nach der Registrierung erhalten die Geräte die von Ihnen erstellten Richtlinien und Profile. Weitere Informationen finden Sie im Intune-Bereitstellungsleitfaden und dem Blogbeitrag zur Cloudanfügung.

Wenn Sie derzeit Configuration Manager verwenden und Intune verwenden möchten, stehen Ihnen die folgenden Optionen zur Verfügung.

Option 1: Hinzufügen von Mandantenanfügung

Mit einer Mandantenanfügung können Sie Ihre Configuration Manager-Geräte in Ihre Organisation in Intune hochladen, die auch als „Mandant“ bezeichnet wird. Wenn Sie Ihre Geräte angefügt haben, verwenden Sie das Microsoft Endpoint Manager Admin Center, um Remoteaktionen auszuführen, z. B. das Synchronisieren von Computer- und Benutzerrichtlinien. Sie können auch Ihre lokalen Server sehen und Betriebssysteminformationen abrufen.

Der Mandantenaschluss ist ohne zusätzliche Kosten in Ihrer Konfigurations-Manager-Co-Verwaltungslizenz enthalten. Dies ist die einfachste Möglichkeit, die Cloud (Intune) mit Ihrem lokalen Configuration Manager-Setup zu integrieren.

Weitere Informationen finden Sie unter Mandantenanfügung aktivieren.

Option 2: Einrichten der Co-Verwaltung

Bei dieser Option wird für einige Workloads Configuration Manager verwendet und für die anderen Intune.

  1. Richten Sie in Configuration Manager die Co-Verwaltung ein.
  2. Stellen Sie Intune bereit (wie in diesem Artikel beschrieben), einschließlich der Festlegung von Intune als MDM-Autorität.

Anschließend können die Geräte registriert werden, die dann Ihre Richtlinien erhalten können.

Hilfreiche Informationen:

Option 3: Wechseln von Konfigurations-Manager zu Intune

Dieses Szenario kommt selten vor. Die meisten bestehenden Configuration Manager-Kunden möchten Configuration Manager weiterhin verwenden. Microsoft möchte ebenfalls, dass Sie Configuration Manager weiterhin verwenden. Configuration Manager umfasst Dienste, die für lokale Geräte vorteilhaft sind, z. B. Desktop Analytics.

Diese Schritte stellen lediglich eine Übersicht dar und wurden nur für die Benutzer aufgenommen, die sich eine Lösung wünschen, die sich vollständig in der Cloud befindet. Mit dieser Option können Sie:

  • Registrieren Sie vorhandene lokale Active Directory Windows-Clientgeräte als Geräte in Azure Active Directory (AD).
  • Sie verschieben Ihre vorhandenen lokalen Configuration Manager-Workloads in Intune.

Diese Option bedeutet mehr Arbeit für Administratoren, kann aber eine nahtlosere Benutzererfahrung für vorhandene Windows-Clientgeräte schaffen. Für neue Windows-Clientgeräte wird empfohlen, von Grund auf mit Microsoft 365 und Intune zu beginnen (in diesem Artikel).

  1. Richten Sie Azure AD Hybrid und Azure AD für Ihre Geräte ein. In Azure AD eingebundene Hybridgeräte sind in Ihre lokale Active Directory-Instanz eingebunden und bei Ihrer Azure AD-Instanz registriert. Geräte in Azure AD können die von Ihnen in Intune erstellten Richtlinien und Profile erhalten.

    Azure AD Hybrid unterstützen Windows-Geräte. Weitere Voraussetzungen, einschließlich Anmeldeanforderungen, finden Sie unter Planen ihrer hybriden Azure AD-Einbindung.

  2. Richten Sie in Configuration Manager die Co-Verwaltung ein.

  3. Stellen Sie Intune bereit (wie in diesem Artikel beschrieben), einschließlich der Festlegung von Intune als MDM-Autorität.

  4. Verschieben Sie in Configuration Manager alle Workloads von Configuration Manager in Intune.

  5. Deinstallieren Sie auf den Geräten den Configuration Manager-Client. Weitere Informationen finden Sie unter Deinstallieren des Clients.

    Sobald Intune eingerichtet ist, können Sie eine Intune-App-Konfigurationsrichtlinie erstellen, die den Configuration Manager-Client deinstalliert. Beispielsweise könnten Sie die Schritte in Installieren des Configuration Manager-Clients mit Intune rückgängig machen.

Anschließend können die Geräte registriert werden, die dann Ihre Richtlinien erhalten können.

Wichtig

Azure AD Hybrid unterstützt nur Windows-Geräte. Configuration Manager unterstützt Windows- und macOS-Geräte. Bei macOS-Geräten, die in Configuration Manager verwaltet werden, können Sie wie folgt vorgehen:

  1. Deinstallieren Sie den Configuration Manager-Client. Bei einer Deinstallation erhalten die Geräte Ihre Richtlinien nicht mehr, einschließlich der Richtlinien, die Schutz bieten. Sie sind gefährdet, bis sie sich bei Intune registrieren.
  2. Registrieren Sie die Geräte in Intune, damit sie Richtlinien erhalten.

Migrieren Sie macOS-Geräte, wenn Intune eingerichtet ist und Ihre Registrierungsrichtlinien bereit für die Bereitstellung sind, um Sicherheitsrisiken zu minimieren.

Option 4: Mit Microsoft 365 und Intune von Grund auf neu beginnen

Diese Option gilt für Windows-Clientgeräte. Verwenden Sie diese Option nicht, wenn Sie Windows Server-Betriebssysteme verwenden, z. B. Windows Server 2016. Verwenden Sie Configuration Manager.

  1. Stellen Sie Microsoft 365 bereit, einschließlich der Erstellung von Benutzern und Gruppen.

    Nützliche Links:

  2. Stellen Sie Intune bereit (wie in diesem Artikel beschrieben), einschließlich der Festlegung von Intune als MDM-Autorität.

  3. Deinstallieren Sie auf vorhandenen Geräten den Configuration Manager-Client. Weitere Informationen finden Sie unter Deinstallieren des Clients.

Anschließend können die Geräte registriert werden, die dann Ihre Richtlinien erhalten können.

Derzeit Verwendung einer lokalen Gruppenrichtlinie

In der Cloud verwalten MDM-Anbieter wie Intune Einstellungen und Features auf Geräten. Gruppenrichtlinienobjekte (Group Policy Object, GPO) werden nicht verwendet. Beim Verwalten von Geräten ersetzen Intune-Gerätekonfigurationsprofile die lokalen GPOs. Diese Profile verwenden von Apple, Google und Microsoft bereitgestellte Einstellungen. Insbesondere gilt:

Verwenden Sie beim Migrieren von Geräten aus einer Gruppenrichtlinie die Analyse von Gruppenrichtlinien. Im Endpoint Manager importieren Sie Ihre GPOs und sehen, welche Richtlinien in Intune verfügbar sind (und welche nicht).

Führen Sie als Nächstes die Schritte zum Bereitstellen von Intune aus (in diesem Artikel).

Migration zwischen Mandanten

Ein Mandant ist Ihre Organisation in Azure Active Directory (AD), z. B. Contoso. Er umfasst eine dedizierte Azure AD-Instanz, die Contoso bei Erhalt eines Microsoft-Clouddiensts wie Microsoft Intune oder Microsoft 365 zugewiesen wird. Azure AD wird von Intune und Microsoft 365 beispielsweise verwendet, um Benutzer und Geräte zu identifizieren oder den Zugriff auf die von Ihnen erstellten Richtlinien zu steuern.

In Intune können Sie einige Ihrer Richtlinien mithilfe von Microsoft Graph und Windows PowerShell exportieren und importieren.

Erstellen Sie beispielsweise ein Microsoft Intune-Testabonnement. Im Mandanten dieses Testabonnements verfügen Sie zum Beispiel über Richtlinien zur Konfiguration von Apps und Features oder zum Überprüfen der Konformität. Sie möchten diese Richtlinien in einen anderen Mandanten verschieben.

Wichtig

  • In diesen Schritten werden die Graph-Beispiele der Intune-Betaversion auf GitHub verwendet. Die Beispielskripts nehmen Änderungen an Ihrem Mandanten vor. Sie werden in der vorgelegten Form zur Verfügung gestellt und sollten anhand eines Nichtproduktions- oder Test-Mandantenkontos überprüft werden. Stellen Sie sicher, dass die Skripts die Sicherheitsrichtlinien Ihrer Organisation erfüllen.
  • Die Skripts exportieren und importieren nicht jede Richtlinie, z. B. Zertifikatprofile. Es können mehr Aufgaben ausgeführt werden, als in diesen Skripts verfügbar sind. Sie müssen einige Richtlinien neu erstellen.
  • Um das Gerät eines Benutzers zu migrieren, muss der Benutzer die Registrierung des Geräts beim alten Mandanten aufheben und sich dann beim neuen Mandanten erneut registrieren.

Einschränkungen

Es gibt einige Richtlinientypen, die nicht exportiert werden können. Es gibt einige Richtlinientypen, die exportiert, aber nicht in einen anderen Mandanten importiert werden können. Orientieren Sie sich an der folgenden Liste. Hinweis: Es gibt noch weitere Richtlinientypen, die nicht aufgeführt sind.

Richtlinien- oder Profiltyp Informationen
Anwendungen  
Branchenspezifische Android-Apps ❌ Export
❌-import

Um Ihre branchenspezifische App einem neuen Mandanten hinzuzufügen, benötigen Sie auch die ursprünglichen .apk-Anwendungsquelldateien.
Apple Volume Purchase Program (VPP) ❌ Export
❌-import

Diese Apps werden mit dem Apple VPP synchronisiert. Im neuen Mandanten fügen Sie Ihr VPP-Token hinzu, das Ihre verfügbaren Apps zeigt.
Branchenspezifische iOS-/iPadOS-Apps ❌ Export
❌-import

Um Ihre branchenspezifische App einem neuen Mandanten hinzuzufügen, benötigen Sie auch die ursprünglichen .ipa-Anwendungsquelldateien.
Managed Google Play ❌ Export
❌-import

Diese Apps und Weblinks werden mit Managed Google Play synchronisiert. Im neuen Mandanten fügen Sie Ihr Managed Google Play-Konto hinzu, in dem Ihre verfügbaren Apps angezeigt werden.
Microsoft Store für Unternehmen ❌ Export
❌-import

Diese Apps werden mit dem Microsoft Store für Unternehmen synchronisiert. Im neuen Mandanten fügen Sie Ihr Microsoft Store für Unternehmen-Konto hinzu, in dem Ihre verfügbaren Apps angezeigt werden.
Windows-App (Win32) ❌ Export
❌-import

Um Ihre branchenspezifische App einem neuen Mandanten hinzuzufügen, benötigen Sie auch die ursprünglichen .intunewin-Anwendungsquelldateien.
Compliancerichtlinien  
Aktionen bei Nichtkonformität ❌ Export
❌-import

Möglicherweise wird ein Link zu einer E-Mail-Vorlage angezeigt. Wenn Sie eine Richtlinie importieren, die Nichtkonformitätsaktionen enthält, werden stattdessen die Standardaktionen für Nichtkonformität hinzugefügt.
Aufgaben ✔️ Export
❌-import

Zuweisungen sind auf eine Gruppen-ID ausgerichtet. In einem neuen Mandanten lautet die Gruppen-ID anders.
Konfigurationsprofile  
E-Mails ✔️ Export

✔️ Wenn ein E-Mail-Profil keine Zertifikate verwendet, sollte der Import funktionieren.
❌ Wenn ein E-Mail-Profil ein Stammzertifikat verwendet, kann das Profil nicht in einen neuen Mandanten importiert werden. Die Stammzertifikat-ID lautet in einem neuen Mandanten anders.
SCEP-Zertifikat ✔️ Export

❌-import

SCEP-Zertifikatprofile verwenden ein Stammzertifikat. Die Stammzertifikat-ID lautet in einem neuen Mandanten anders.
VPN ✔️ Export

✔️ Wenn ein VPN-Profil keine Zertifikate verwendet, sollte der Import funktionieren.
❌ Wenn ein VPN-Profil ein Stammzertifikat verwendet, kann das Profil nicht in einen neuen Mandanten importiert werden. Die Stammzertifikat-ID lautet in einem neuen Mandanten anders.
WLAN ✔️ Export

✔️ Wenn ein WLAN-Profil keine Zertifikate verwendet, sollte der Import funktionieren.
❌ Wenn ein WLAN-Profil ein Stammzertifikat verwendet, kann das Profil nicht in einen neuen Mandanten importiert werden. Die Stammzertifikat-ID lautet in einem neuen Mandanten anders.
Aufgaben ✔️ Export
❌-import

Zuweisungen sind auf eine Gruppen-ID ausgerichtet. In einem neuen Mandanten lautet die Gruppen-ID anders.
Endpunktsicherheit  
Endpunkterkennung und -reaktion ❌ Export
❌-import

Diese Richtlinie ist mit Microsoft Defender für Endpunkt verknüpft. Im neuen Mandanten konfigurieren Sie Microsoft Defender für Endpunkt, worin automatisch die Richtlinie Endpunkterkennung und -reaktion enthalten ist.

Herunterladen der Beispiele und Ausführen des Skripts

Dieser Abschnitt enthält eine Übersicht über die Schritte. Diese Schritten dienen als Orientierungshilfe, Ihre speziellen Schritte weichen möglicherweise ab.

  1. Laden Sie die Beispiele herunter, und verwenden Sie Windows PowerShell, um Ihre Richtlinien zu exportieren:

    1. Wechseln Sie zu microsoftgraph/powershell-intune-samples, und wählen Sie Code > Download ZIP (ZIP herunterladen) aus. Extrahieren Sie den Inhalt der .zip-Datei.

    2. Öffnen Sie die Windows PowerShell-App als Administrator und ändern Sie das Verzeichnis in Ihren Ordner. Geben Sie beispielsweise den folgenden Befehl ein:

      cd C:\psscripts\powershell-intune-samples-master

    3. Installieren Sie das Azure AD PowerShell-Modul:

      Install-Module AzureAD

      Drücken Sie Y, um das Modul aus einem nicht vertrauenswürdigen Repository zu installieren. Die Installation kann einige Minuten dauern.

    4. Ändern Sie das Verzeichnis in den Ordner mit dem Skript, das Sie ausführen möchten. Ändern Sie beispielsweise das Verzeichnis in den Ordner CompliancePolicy:

      cd C:\psscripts\powershell-intune-samples-master\powershell-intune-samples-master\CompliancePolicy

    5. Führen Sie das Exportskript aus. Geben Sie z. B. den folgenden Befehl ein:

      .\CompliancePolicy_Export.ps1

      Melden Sie sich mit Ihrem Konto an. Wenn Sie dazu aufgefordert werden, geben Sie den Pfad zur Ablage der Richtlinien ein. Geben Sie z. B. Folgendes ein:

      C:\psscripts\ExportedIntunePolicies\CompliancePolicies

    Die Richtlinien werden in Ihren Ordner exportiert.

  2. Importieren Sie Ihre Richtlinien in Ihren neuen Mandanten:

    1. Ändern Sie das Verzeichnis in den PowerShell-Ordner mit dem Skript, das Sie ausführen möchten. Ändern Sie beispielsweise das Verzeichnis in den Ordner CompliancePolicy:

      cd C:\psscripts\powershell-intune-samples-master\powershell-intune-samples-master\CompliancePolicy

    2. Führen Sie das Importskript aus. Geben Sie z. B. den folgenden Befehl ein:

      .\CompliancePolicy_Import_FromJSON.ps1

      Melden Sie sich mit Ihrem Konto an. Wenn Sie dazu aufgefordert werden, geben Sie den Pfad zur .json-Richtliniendatei ein, die Sie importieren möchten. Geben Sie z. B. Folgendes ein:

      C:\psscripts\ExportedIntunePolicies\CompliancePolicies\PolicyName.json

  3. Melden Sie sich beim Microsoft Endpoint Manager Admin Center an. Die importierten Richtlinien werden angezeigt.

Bereitstellen von Intune

  1. Melden Sie sich beim Endpoint Manager Admin Center an, und registrieren Sie sich bei Intune. Wenn Sie bereits über ein Abonnement verfügen, können Sie sich auch bei diesem anmelden.

    Weitere Informationen finden Sie unter Registrieren oder Anmelden bei Microsoft Intune.

  2. Legen Sie Intune Standalone (Eigenständige Intune-Instanz) als MDM-Autorität fest. Weitere Informationen finden Sie unter Festlegen der Autorität für die mobile Geräteverwaltung.

  3. Fügen Sie Ihr Domänenkonto hinzu, z. B. contoso.com. Andernfalls wird automatisch your-domain.onmicrosoft.com als Domäne verwendet. Wenn Sie Ihr Domänenkonto nicht hinzufügen, wird z. B. contoso.onmicrosoft.com verwendet.

    Wenn Sie von einem Office 365-Abonnement zu Microsoft 365 wechseln, befindet sich Ihre Domäne möglicherweise bereits in Azure AD. Intune verwendet dieselbe Azure AD-Instanz und kann Ihre bereits vorhandene Domäne verwenden.

    Weitere Informationen finden Sie unter Hinzufügen eines benutzerdefinierten Domänennamens.

  4. Benutzer und Gruppen hinzufügen. Diese Benutzer und Gruppen erhalten die Richtlinien, die Sie im Endpoint Manager erstellen.

    Benutzer und Gruppen werden in Azure AD gespeichert. Dieser Dienst ist in Microsoft 365 enthalten. Auch wenn das Azure AD-Branding möglicherweise nicht zu sehen ist, verwenden Sie dennoch den Dienst. Azure AD ist das Back-End-System, in dem Benutzer, Gruppen und Geräte gespeichert werden. Außerdem steuert Azure AD den Zugriff auf Ressourcen und authentifiziert Benutzer und Geräte. Stellen Sie sicher, dass Ihre AD-Administratoren Zugriff auf Ihr Azure AD-Abonnement haben und für die Erledigung allgemeiner AD-Aufgaben geschult sind.

    Wenn Sie von einem Office 365-Abonnement zu Microsoft 365 wechseln, befinden sich Ihre Benutzer und Gruppen bereits in Azure AD. Intune verwendet dieselbe Azure AD-Instanz und kann die bereits vorhandenen Benutzer und Gruppen verwenden.

    Wenn Sie vorhandene Benutzer von einer lokalen Active Directory-Instanz in Azure AD verschieben möchten, können Sie eine Hybrididentität einrichten. Hybrididentitäten sind in beiden Diensten vorhanden, in der lokalen AD-Instanz und in Azure AD. Sie können Active Directory-Benutzer auch über die Benutzeroberfläche oder mithilfe eines Skripts exportieren. Informieren Sie sich im Internet über Ihre diesbezüglichen Möglichkeiten.

    Sie können Gerätegruppen erstellen, wenn Sie Verwaltungstasks basierend auf der Geräteidentität ausführen müssen und nicht basierend auf der Benutzeridentität. Sie sind nützlich für die Verwaltung von Geräten ohne dedizierte Benutzer (z. B Kioskgeräte), von Geräten, die von Schichtarbeitern gemeinsam genutzt werden, oder von solchen, die einem bestimmtem Standort zugewiesen sind. Erstellen Sie z. B. Charlotte, NC distribution center - Android Enterprise inventory scanning devices oder All Windows 10 Surface devices.

    Wenn Sie Gerätegruppen bereits vor der Geräteregistrierung konfigurieren, können Sie Gerätekategorien verwenden, um Geräte bei der Registrierung automatisch zu Gruppen hinzuzufügen. Dann erhalten die Geräte automatisch die Geräterichtlinien ihrer Gruppe. Weitere Informationen finden Sie unter Bereitstellungsleitfaden: Registrieren von Geräten bei Microsoft Intune.

  5. Weisen Sie Ihren Benutzern Intune-Lizenzen zu. Wenn die Lizenzen zugewiesen wurden, können sich die Geräte von Benutzern bei Intune registrieren.

    Weitere Informationen finden Sie unter Zuweisen von Lizenzen.

  6. Standardmäßig wird das Registrieren bei Intune für alle Geräteplattformen unterstützt. Wenn Sie bestimmte Plattformen ausschließen möchten, erstellen Sie eine Einschränkung.

    Weitere Informationen finden Sie unter Plattformbeschränkung für Geräte erstellen.

  7. Passen Sie die Unternehmensportal-App so an, dass Sie Ihre Organisationsdetails enthält. Benutzer verwenden diese App, um ihre Geräte zu registrieren, Apps zu installieren und Support vom IT-Helpdesk zu erhalten.

    Weitere Informationen finden Sie unter Konfigurieren der Unternehmensportal-App.

  8. Erstellen Sie Ihr Administratorenteam. Intune verwendet rollenbasierte Zugriffssteuerung, um zu steuern, was Benutzer sehen und ändern können. Als globaler Administrator können Sie Benutzern Rollen zuweisen, z. B. Help Desk operator (Helpdeskoperator), Application Manager (Anwendungs-Manager) und Intune Role Administrator (Intune-Rollenadministrator).

    Weitere Informationen finden Sie unter Rollenbasierte Zugriffssteuerung (RBAC) mit Microsoft Intune.

Nächste Schritte

Weitere Informationen finden Sie im Bereitstellungsleitfaden für die Registrierung sowie in den Artikeln Konfigurieren der Richtlinien für die Gerätekompatibilität und die App-Verwaltung während einer Migration zu Microsoft Intune und Konfigurieren von App-Schutzrichtlinien (optional).