Anpassen der Einstellungen nach der Registrierung
Nachdem Sie sich bei Microsoft Managed Desktop angemeldet haben, müssen Sie möglicherweise einige Verwaltungseinstellungen anpassen. Führen Sie die folgenden Schritte aus, um den Wert zu überprüfen und gegebenenfalls anzupassen:
- Überprüfen Sie die im nächsten Abschnitt beschriebenen einstellungen Microsoft Intune und Microsoft Entra.
- Wenn einer der Punkte auf Ihre Umgebung zutrifft, nehmen Sie die Anpassungen wie beschrieben vor.
Hinweis
Wenn Ihre Vorgänge in den folgenden Monaten fortgesetzt werden und Sie nach der Registrierung Änderungen an Richtlinien in Microsoft Intune, Microsoft Entra-ID oder Microsoft 365 vornehmen, die sich auf Microsoft Managed Desktop auswirken, ist es möglich, dass Microsoft Managed Desktop nicht mehr ordnungsgemäß funktioniert. Um Probleme mit dem Dienst zu vermeiden, überprüfen Sie die spezifischen Einstellungen, die unterBeheben von Problemen beschrieben sind, die vom Tool zur Bereitschaftsbewertung gefunden wurden, bevor Sie die dort aufgeführten Richtlinien ändern.
Microsoft Intune Einstellungen
| Einstellung | Beschreibung |
|---|---|
| Autopilot-Einsatzprofil | Wenn Sie Autopilot-Richtlinien verwenden, aktualisieren Sie jede, um die Gruppe Modern Workplace Devices -All Microsoft Entra auszuschließen. So aktualisieren Sie die Autopilot-Richtlinien: Wählen Sie unter Zuweisungen in den ausgeschlossenen Gruppen die Gruppe Modern Workplace Devices -All Microsoft Entra aus, die während der Registrierung von Microsoft Managed Desktop erstellt wurde. Microsoft Managed Desktop haben auch ein Autopilot-Profil erstellt, das "Modern Workplace" im Namen (dasAutopilot-Profil für modernen Arbeitsplatz) enthält. Wenn Sie Ihre eigenen Autopilot-Profile aktualisieren, stellen Sie sicher, dass Sie die Gruppe Modern Workplace Devices -All Microsoft Entra nicht aus dem Modern Workplace Autopilot-Profil ausschließen, das von Microsoft Managed Desktop erstellt wurde. |
| Richtlinien für bedingten Zugriff | Wenn Sie nach der Registrierung von Microsoft Managed Desktop neue Richtlinien für bedingten Zugriff im Zusammenhang mit Microsoft Entra-ID, Microsoft Intune oder Microsoft Defender XDR für Endpunkt erstellen, schließen Sie die Gruppe Modern Workplace Service-Konten Microsoft Entra davon aus. Weitere Informationen finden Sie unterBedingter Zugriff: Benutzer und Gruppen. Microsoft Managed Desktop verwaltet separate Zugriffsrichtlinien, um den Zugriff auf diese Konten zu beschränken. So überprüfen Sie die Microsoft Managed Desktop-Zugangsberechtigungsrichtlinie (Modern Workplace – Secure Workstation): Navigieren Sie zum Microsoft Intune Admin Center, und navigieren Sie zu Bedingter Zugriff in Endpoint Security. Ändern Sie keine Microsoft Entra Richtlinien für bedingten Zugriff, die von Microsoft Managed Desktop erstellt wurden und die den Namen "Modern Workplace" enthalten. |
| Mehrstufige Authentifizierung | Wenn Sie neue Anforderungen für die mehrstufige Authentifizierung in Richtlinien für bedingten Zugriff im Zusammenhang mit Microsoft Entra-ID, Intune oder Microsoft Defender XDR für Endpunkt nach der Registrierung von Microsoft Managed Desktop erstellen, schließen Sie die Gruppe Modern Workplace Service-Konten Microsoft Entra davon aus. Weitere Informationen finden Sie unterBedingter Zugriff: Benutzer und Gruppen. Microsoft Managed Desktop verwaltet separate Richtlinien für den bedingten Zugriff, um den Zugriff auf Mitglieder dieser Gruppe zu beschränken. So überprüfen Sie die Microsoft Managed Desktop Richtlinie für bedingten Zugriff (Modern Workplace -): Navigieren Sie zum Microsoft Intune Admin Center, und navigieren Sie zu Bedingter Zugriff in Endpoint Security. |
| Windows 10 Updatering | Schließen Sie für alle Windows 10 von Ihnen erstellten Updateringrichtlinien die Gruppe Modern Workplace Devices -All Microsoft Entra aus jeder Richtlinie aus. Weitere Informationen finden Sie unterErstellen und Zuweisen von Updateringen. Microsoft Managed Desktop haben auch einige Updateringrichtlinien erstellt, die alle "Modern Workplace" im Namen enthalten. Beispiel:
Wenn Sie Ihre eigenen Richtlinien aktualisieren, stellen Sie sicher, dass Sie die Gruppe Modern Workplace Devices -All Microsoft Entra von den von Microsoft Managed Desktop erstellten Geräten nicht ausschließen. |
Microsoft Entra Einstellungen
Zurücksetzen von Kennwörtern per Selbstbedienung: Wenn Sie das Zurücksetzen von Kennwörtern per Selbstbedienung für alle Benutzer verwenden, passen Sie die Zuweisung so an, dass Microsoft Managed Desktop-Dienstkonten ausgeschlossen werden.
Um diese Zuweisung anzupassen:
- Erstellen einer Microsoft Entra dynamischen Gruppe für alle Benutzer mit Ausnahme von Microsoft Managed Desktop-Dienstkonten
- Verwenden Sie diese Gruppe für die Zuweisung anstelle von "alle Benutzer".
Damit Sie die Dienstkonten finden und ausschließen können, finden Sie hier ein Beispiel für eine dynamische Abfrage, die Sie verwenden können:
(user.objectID -ne null) and (user.userPrincipalName -ne "MSADMIN@TENANT.onmicrosoft.com") and (user.userPrincipalName -ne "MSADMININT@TENANT.onmicrosoft.com") and (user.userPrincipalName -ne "MWAAS_SOC_RO@TENANT.onmicrosoft.com") and (user.userPrincipalName -ne "MWAAS_WDGSOC@TENANT.onmicrosoft.com") and (user.userPrincipalName -ne "MSTEST@TENANT.onmicrosoft.com")
In dieser Abfrage ersetzen Sie@TENANTden Namen Ihres Mieters durch den Domänennamen.