Share via

MDM-Registrierung von Windows-Geräten

In der heutigen Cloud-First-Welt möchten IT-Abteilungen von Unternehmen den Mitarbeitern zunehmend erlauben, ihre eigenen Geräte zu verwenden oder sogar unternehmenseigene Geräte auszuwählen und zu kaufen. Wenn Sie Ihre Geräte mit der Arbeit verbinden, können Sie ganz einfach auf die Ressourcen Ihrer organization zugreifen, z. B. auf Apps, das Unternehmensnetzwerk und E-Mails.

Hinweis

Wenn Sie Ihr Gerät mithilfe der Mdm-Registrierung (Mobile Device Management, Verwaltung mobiler Geräte) verbinden, erzwingen Ihre organization möglicherweise bestimmte Richtlinien auf Ihrem Gerät.

Verbinden unternehmenseigener Windows-Geräte

Sie können unternehmenseigene Geräte verbinden, um zu funktionieren, indem Sie das Gerät entweder einer Active Directory-Domäne oder einer Microsoft Entra Domäne hinzufügen. Windows erfordert kein persönliches Microsoft-Konto auf Geräten, die mit Microsoft Entra ID oder einer lokales Active Directory Domäne verknüpft sind.

Active Directory Microsoft Entra Anmeldung.

Hinweis

Informationen zu Geräten, die mit lokales Active Directory verknüpft sind, finden Sie unter Gruppenrichtlinienregistrierung.

Verbinden Ihres Geräts mit einer Microsoft Entra Domäne (Microsoft Entra ID beitreten)

Alle Windows-Geräte können mit einer Microsoft Entra Domäne verbunden werden. Diese Geräte können während der Windows-Willkommensseite verbunden werden. Darüber hinaus können Desktopgeräte mithilfe der Einstellungs-App mit einer Microsoft Entra Domäne verbunden werden.

Out-of-Box-Erfahrung

So treten Sie einer Domäne bei:

  1. Wählen Sie Meine Arbeit oder Schule besitzt sie aus, und wählen Sie dann Weiter aus.

    oobe – Lokale Kontoerstellung

  2. Wählen Sie Microsoft Entra ID beitreten und dann Weiter aus.

    Wählen Sie die Domäne oder Microsoft Entra ID

  3. Geben Sie Ihren Microsoft Entra Benutzernamen ein. Dieser Benutzername ist die E-Mail-Adresse, die Sie zum Anmelden bei Microsoft Office 365 und ähnlichen Diensten verwenden.

    Wenn es sich bei dem Mandanten um einen Rein cloudbasierten Mandanten, eine Kennworthashsynchronisierung oder einen Passthrough-Authentifizierungsmandanten handelt, wird auf dieser Seite das benutzerdefinierte Branding des organization angezeigt, und Sie können Ihr Kennwort direkt auf dieser Seite eingeben. Wenn der Mandant Teil einer Verbunddomäne ist, werden Sie zur Authentifizierung an den lokalen Verbundserver des organization umgeleitet, z. B. Active Directory-Verbunddienste (AD FS) (AD FS).

    Basierend auf der IT-Richtlinie werden Sie möglicherweise auch aufgefordert, an diesem Punkt einen zweiten Authentifizierungsfaktor anzugeben.

    Wenn für Ihren Microsoft Entra Mandanten die automatische Registrierung konfiguriert ist, wird Ihr Gerät während dieses Flows auch bei MDM registriert. Weitere Informationen finden Sie in diesen Schritten. Wenn Ihr Mandant nicht für die automatische Registrierung konfiguriert ist, müssen Sie den Registrierungsflow ein zweites Mal durchlaufen, um Ihr Gerät mit MDM zu verbinden. Nachdem Sie den Flow abgeschlossen haben, wird Ihr Gerät mit der Microsoft Entra Domäne Ihres organization verbunden.

    Microsoft Entra Anmeldung während der OOBE.

Verwenden der Einstellungs-App

So erstellen Sie ein lokales Konto und verbinden das Gerät:

  1. Starten Sie die App "Einstellungen".

    Bildschirm mit Windows-Einstellungen

  2. Navigieren Sie als Nächstes zu Konten.

    Auswählen von Windows-Einstellungskonten

  3. Navigieren Sie zu Zugriff auf Geschäfts-, Schul- oder Unikonto.

    Auswählen der Option für den Zugriff auf Arbeit oder Schule

  4. Wählen Sie Verbinden aus.

    Möglichkeit zum Herstellen einer Verbindung mit dem Arbeitsplatz oder der Schule

  5. Wählen Sie unter Alternative Aktionen die Option Dieses Gerät mit Microsoft Entra ID verbinden aus.

    Option zum Beitreten eines Geschäfts-, Schul- oder Unikontos zu Microsoft Entra ID

  6. Geben Sie Ihren Microsoft Entra Benutzernamen ein. Dieser Benutzername ist die E-Mail-Adresse, die Sie zum Anmelden bei Office 365 und ähnlichen Diensten verwenden.

    Microsoft Entra Anmeldung mithilfe der Einstellungs-App.

    Wenn es sich bei dem Mandanten um einen Mandanten mit reiner Cloud, Kennworthashsynchronisierung oder Passthrough-Authentifizierung handelt, wird auf dieser Seite das benutzerdefinierte Branding des organization angezeigt, und Sie können Ihr Kennwort direkt auf dieser Seite eingeben. Wenn der Mandant Teil einer Verbunddomäne ist, werden Sie zur Authentifizierung an den lokalen Verbundserver des organization umgeleitet, z. B. AD FS.

    Basierend auf der IT-Richtlinie werden Sie möglicherweise auch aufgefordert, an diesem Punkt einen zweiten Authentifizierungsfaktor anzugeben.

    Wenn für Ihren Microsoft Entra Mandanten die automatische Registrierung konfiguriert ist, wird Ihr Gerät während dieses Flows auch bei MDM registriert. Weitere Informationen finden Sie in diesem Blogbeitrag. Wenn Ihr Mandant nicht für die automatische Registrierung konfiguriert ist, müssen Sie den Registrierungsflow ein zweites Mal durchlaufen, um Ihr Gerät mit MDM zu verbinden.

    Nachdem Sie das Ende des Flows erreicht haben, sollte Ihr Gerät mit der Microsoft Entra Domäne Ihres organization verbunden sein. Sie können sich jetzt von Ihrem aktuellen Konto abmelden und sich mit Ihrem Microsoft Entra Benutzernamen anmelden.

    Anmeldebildschirm des Unternehmens

Hilfe beim Herstellen einer Verbindung mit einer Microsoft Entra Domäne

Es gibt einige Instanzen, in denen Ihr Gerät nicht mit einer Microsoft Entra Domäne verbunden werden kann.

Verbindungsproblem Beschreibung
Ihr Gerät ist mit einer Microsoft Entra Domäne verbunden. Ihr Gerät kann jeweils nur mit einer einzelnen Microsoft Entra Domäne verbunden werden.
Ihr Gerät ist bereits mit einer Active Directory-Domäne verbunden. Ihr Gerät kann entweder mit einer Microsoft Entra-Domäne oder einer Active Directory-Domäne verbunden sein. Sie können nicht gleichzeitig eine Verbindung mit beiden herstellen.
Auf Ihrem Gerät ist bereits ein Benutzer mit einem Geschäftskonto verbunden. Sie können entweder eine Verbindung mit einer Microsoft Entra Domäne oder eine Verbindung mit einem Geschäfts-, Schul- oder Unikonto herstellen. Sie können nicht gleichzeitig eine Verbindung mit beiden herstellen.
Sie sind als Standardbenutzer angemeldet. Ihr Gerät kann nur dann mit einer Microsoft Entra Domäne verbunden werden, wenn Sie als Administrator angemeldet sind. Sie müssen zu einem Administratorkonto wechseln, um den Vorgang fortzusetzen.
Ihr Gerät wird bereits von MDM verwaltet. Der Flow connect to Microsoft Entra ID versucht, Ihr Gerät bei MDM zu registrieren, wenn Ihr Microsoft Entra Mandant über einen vorkonfigurierten MDM-Endpunkt verfügt. Die Registrierung Ihres Geräts bei MDM muss aufgehoben werden, um in diesem Fall eine Verbindung mit Microsoft Entra ID herstellen zu können.
Auf Ihrem Gerät wird die Home Edition ausgeführt. Dieses Feature ist in der Windows Home Edition nicht verfügbar, sodass Sie keine Verbindung mit einer Microsoft Entra Domäne herstellen können. Sie müssen ein Upgrade auf die Pro-, Enterprise- oder Education-Edition durchführen, um den Vorgang fortzusetzen.

Verbinden von persönlichen Geräten

Persönliche Geräte, auch als Bring Your Own Device (BYOD) bezeichnet, können mit einem Geschäfts-, Schul- oder Unikonto oder mit MDM verbunden werden. Windows-Geräte erfordern kein persönliches Microsoft-Konto auf Geräten, um eine Verbindung mit dem Geschäfts-, Schul- oder Unikonto herzustellen.

Alle Windows-Geräte können mit einem Geschäfts-, Schul- oder Unikonto verbunden werden. Sie können eine Verbindung mit einem Geschäfts-, Schul- oder Unikonto entweder über die Einstellungen-App oder über eine der zahlreichen Universelle Windows-Plattform -Apps (UWP) herstellen, z. B. die universellen Office-Apps.

Registrieren des Geräts in Microsoft Entra ID und Registrieren bei MDM

So erstellen Sie ein lokales Konto und verbinden das Gerät:

  1. Starten Sie die App Einstellungen, und wählen Sie dann Konten>Start>Einstellungen>Konten aus.

    Bildschirm der Windows-Einstellungen

  2. Navigieren Sie zu Zugriff auf Geschäfts-, Schul- oder Unikonto.

    Benutzeroption für den Zugriff auf Geschäfts-, Schul- oder Unikonto

  3. Wählen Sie Verbinden aus.

    Schaltfläche

  4. Geben Sie Ihren Microsoft Entra Benutzernamen ein. Dieser Benutzername ist die E-Mail-Adresse, die Sie zum Anmelden bei Office 365 und ähnlichen Diensten verwenden.

    Synchronisieren eines Geschäfts-, Schul- oder Unikontos mit Azure AD.

  5. Wenn es sich bei dem Mandanten um einen Mandanten mit reiner Cloud, Kennworthashsynchronisierung oder Passthrough-Authentifizierung handelt, wird auf dieser Seite das benutzerdefinierte Branding des organization angezeigt, und Ihr Kennwort kann direkt auf der Seite eingegeben werden. Wenn der Mandant Teil einer Verbunddomäne ist, werden Sie zur Authentifizierung an den lokalen Verbundserver des organization umgeleitet, z. B. AD FS.

    Basierend auf der IT-Richtlinie werden Sie möglicherweise auch aufgefordert, an diesem Punkt einen zweiten Authentifizierungsfaktor anzugeben.

    Wenn für Ihren Microsoft Entra Mandanten die automatische Registrierung konfiguriert ist, wird Ihr Gerät während dieses Flows auch bei MDM registriert. Weitere Informationen finden Sie in diesem Blogbeitrag. Wenn Ihr Mandant nicht für die automatische Registrierung konfiguriert ist, müssen Sie den Registrierungsflow ein zweites Mal durchlaufen, um Ihr Gerät mit MDM zu verbinden.

    Sie können die Seite status sehen, auf der der Fortschritt der Einrichtung Ihres Geräts angezeigt wird.

    Unternehmensanmeldung – Bildschirm und Option

  6. Nachdem Sie den Flow abgeschlossen haben, wird Ihr Microsoft-Konto mit Ihrem Geschäfts-, Schul- oder Unikonto verbunden.

    Das Konto wurde erfolgreich hinzugefügt.

Hilfe beim Verbinden von persönlichen Geräten

Es gibt einige Fälle, in denen Ihr Gerät möglicherweise nicht in der Lage ist, eine Verbindung herzustellen, um zu funktionieren.

Fehlermeldung Beschreibung
Ihr Gerät ist bereits mit der Cloud Ihres organization verbunden. Ihr Gerät ist bereits mit Microsoft Entra ID, einem Geschäfts-, Schul- oder Unikonto oder einer AD-Domäne verbunden.
Ihre Identität konnte in der Cloud Ihres organization nicht gefunden werden. Der eingegebene Benutzername wurde auf Ihrem Microsoft Entra Mandanten nicht gefunden.
Ihr Gerät wird bereits von einem organization verwaltet. Ihr Gerät wird entweder bereits von MDM oder Microsoft Configuration Manager verwaltet.
Sie verfügen nicht über die richtigen Berechtigungen zum Ausführen dieses Vorgangs. Sprechen Sie mit Ihrem Administrator. Sie können Ihr Gerät nicht als Standardbenutzer bei MDM registrieren. Sie müssen über ein Administratorkonto verfügen.
Ein Verwaltungsendpunkt, der mit dem eingegebenen Benutzernamen übereinstimmt, konnte nicht automatisch gefunden werden. Überprüfen Sie Ihren Benutzernamen, und versuchen Sie es erneut. Wenn Sie die URL zu Ihrem Verwaltungsendpunkt kennen, geben Sie sie ein. Sie müssen die Server-URL für Ihre MDM angeben oder die Schreibweise des eingegebenen Benutzernamens überprüfen.

Nur für die Geräteverwaltung registrieren

Alle Windows-Geräte können mit MDM verbunden werden. Sie können über die App Einstellungen eine Verbindung mit einer MDM-Instanz herstellen. So erstellen Sie ein lokales Konto und verbinden das Gerät:

  1. Starten Sie die App "Einstellungen".

    Bildschirm, der Windows-Einstellungen anzeigt

  2. Navigieren Sie als Nächstes zu Konten.

    Seite

  3. Navigieren Sie zu Zugriff auf Geschäfts-, Schul- oder Unikonto.

    Zugriff auf Arbeit oder Schule.

  4. Wählen Sie den Link Nur bei der Geräteverwaltung registrieren aus.

    Bildschirm

  5. Geben Sie Ihre geschäftliche E-Mail-Adresse ein.

    Bildschirm zum Einrichten eines Geschäfts-, Schul- oder Unikontos

  6. Wenn das Gerät einen Endpunkt findet, der nur die lokale Authentifizierung unterstützt, ändert sich diese Seite und fragt Sie nach Ihrem Kennwort. Wenn das Gerät einen MDM-Endpunkt findet, der die Verbundauthentifizierung unterstützt, wird ein neues Fenster angezeigt, in dem Sie nach weiteren Authentifizierungsinformationen gefragt werden.

    Basierend auf der IT-Richtlinie werden Sie möglicherweise auch aufgefordert, an diesem Punkt einen zweiten Authentifizierungsfaktor anzugeben. Sie können den Registrierungsstatus auf dem Bildschirm sehen.

    Bildschirm zum Einrichten Ihres Geräts

    Nachdem Sie den Flow abgeschlossen haben, ist Ihr Gerät mit dem MDM Ihres organization verbunden.

Windows-Geräte können über einen Deep-Link mit der Arbeit verbunden werden. Benutzer können einen Link in einem bestimmten Format von überall in Windows auswählen oder öffnen und zur neuen Registrierungsoberfläche weitergeleitet werden.

Der Deep-Link, der zum Verbinden Ihres Geräts für die Arbeit verwendet wird, verwendet das folgende Format.

ms-device-enrollment:?mode={mode_name}:

Parameter Beschreibung Unterstützter Wert für Windows
mode Beschreibt, welcher Modus in der Registrierungs-App ausgeführt wird. Mobile Geräteverwaltung (MDM), Hinzufügen eines Arbeitskontos (AWA) und Microsoft Entra eingebunden.
Benutzername Gibt die E-Mail-Adresse oder den UPN des Benutzers an, der bei MDM registriert werden soll. string
Servername Gibt die MDM-Server-URL an, die zum Registrieren des Geräts verwendet wird. string
accesstoken Benutzerdefinierter Parameter für MDM-Server, die nach Bedarf verwendet werden sollen. In der Regel kann der Wert dieses Parameters als Token verwendet werden, um die Registrierungsanforderung zu überprüfen. string
deviceidentifier Benutzerdefinierter Parameter für MDM-Server, die nach Bedarf verwendet werden sollen. In der Regel kann der Wert dieses Parameters verwendet werden, um einen eindeutigen Gerätebezeichner zu übergeben. GUID
tenantidentifier Benutzerdefinierter Parameter für MDM-Server, die nach Bedarf verwendet werden sollen. In der Regel kann der Wert dieses Parameters verwendet werden, um zu identifizieren, zu welchem Mandanten das Gerät oder der Benutzer gehört. GUID oder Zeichenfolge
Eigentum Benutzerdefinierter Parameter für MDM-Server, die nach Bedarf verwendet werden sollen. In der Regel kann der Wert dieses Parameters verwendet werden, um zu bestimmen, ob das Gerät BYOD oder Corp owned ist. 1, 2 oder 3. Wenn "1" bedeutet, dass der Besitz unbekannt ist, bedeutet "2", dass sich das Gerät in persönlichem Besitz befindet, und "3" bedeutet, dass das Gerät im Besitz des Unternehmens ist.

Hinweis

Deep-Links funktionieren nur mit Internet Explorer- oder Microsoft Edge-Browsern. Beispiele für URIs, die verwendet werden können, um über einen Deep Link eine Verbindung mit MDM herzustellen:

  • ms-device-enrollment:?mode=mdm
  • ms-device-enrollment:?mode=mdm&username=someone@example.com&servername=https://example.server.com

So verbinden Sie Ihre Geräte über DeepLinks mit MDM:

  1. Erstellen Sie einen Link zum Starten der integrierten Registrierungs-App mithilfe des URI ms-device-enrollment:?mode=mdm und eines benutzerfreundlichen Anzeigetexts, z. B . Klicken Sie hier, um Windows mit der Arbeit zu verbinden:

    Dieser Link startet den Flow, der der Option Bei der Geräteverwaltung registrieren entspricht.

    • IT-Administratoren können diesen Link einer Willkommens-E-Mail hinzufügen, die Benutzer auswählen können, um sich bei MDM zu registrieren.

      Verwenden des Registrierungs-Deeplinks in E-Mails.

      Hinweis

      Stellen Sie sicher, dass Ihre E-Mail-Filter deep links nicht blockieren.

    • IT-Administratoren können diesen Link auch zu einer internen Webseite hinzufügen, die Benutzer auf Registrierungsanweisungen verweisen.

  2. Nachdem Sie den Link ausgewählt oder ausgeführt haben, startet Windows die Registrierungs-App in einem speziellen Modus, der nur MDM-Registrierungen zulässt (ähnlich der Option Bei der Geräteverwaltung registrieren).

    Geben Sie Ihre geschäftliche E-Mail-Adresse ein.

    Bildschirm zum Einrichten eines Geschäfts-, Schul- oder Unikontos

  3. Wenn das Gerät einen Endpunkt findet, der nur die lokale Authentifizierung unterstützt, ändert sich diese Seite und fragt Sie nach Ihrem Kennwort. Wenn das Gerät einen MDM-Endpunkt findet, der die Verbundauthentifizierung unterstützt, wird ein neues Fenster angezeigt, in dem Sie nach weiteren Authentifizierungsinformationen gefragt werden. Basierend auf der IT-Richtlinie werden Sie möglicherweise auch aufgefordert, an diesem Punkt einen zweiten Authentifizierungsfaktor anzugeben.

    Nachdem Sie den Flow abgeschlossen haben, wird Ihr Gerät mit dem MDM Ihres organization verbunden.

    Anmeldebildschirm des Unternehmens

Verwalten von Verbindungen

Um Ihre Geschäfts-, Schul- oder Univerbindungen zu verwalten, wählen Sie Einstellungen>Konten>Zugriff auf Geschäfts-, Schul- oder Unikonto aus. Ihre Verbindungen werden auf dieser Seite angezeigt, und wenn Sie eine auswählen, werden die Optionen für diese Verbindung erweitert.

Verwalten eines Geschäfts-, Schul- oder Unikontos.

Info

Die Schaltfläche "Info " finden Sie auf Geschäfts-, Schul- oder Univerbindungen, die MDM betreffen. Diese Schaltfläche ist in den folgenden Szenarien enthalten:

  • Verbinden Ihres Geräts mit einer Microsoft Entra Domäne, für die die automatische Registrierung bei MDM konfiguriert ist.
  • Verbinden Ihres Geräts mit einem Geschäfts-, Schul- oder Unikonto, für das die automatische Registrierung bei MDM konfiguriert ist.
  • Verbinden Ihres Geräts mit MDM.

Wenn Sie die Schaltfläche Info auswählen, wird eine neue Seite in der App "Einstellungen" geöffnet, die Details zu Ihrer MDM-Verbindung enthält. Sie können die Supportinformationen Ihres organization (sofern konfiguriert) auf dieser Seite anzeigen. Sie können auch eine Synchronisierungssitzung starten, die Ihr Gerät zwingt, mit dem MDM-Server zu kommunizieren und bei Bedarf Updates für Richtlinien abzurufen.

Wenn Sie die Schaltfläche Info auswählen, wird eine Liste der Richtlinien und branchenspezifischen Apps angezeigt, die von Ihrem organization installiert wurden. Hier ist ein Beispielscreenshot.

Geschäfts-, Schul- oder Uniinformationen.

Trennen

Die Schaltfläche Trennen befindet sich auf allen Arbeitsverbindungen. Wenn Sie die Schaltfläche Trennen auswählen, wird die Verbindung vom Gerät entfernt. Es gibt einige Ausnahmen für diese Funktionalität:

  • Geräte, die die AllowManualMDMUnenrollment-Richtlinie erzwingen, erlauben Benutzern nicht, MDM-Registrierungen zu entfernen. Diese Verbindungen müssen durch einen vom Server initiierten Unenroll-Befehl entfernt werden.
  • Auf mobilen Geräten können Sie die Verbindung mit Microsoft Entra ID nicht trennen. Diese Verbindungen können nur durch Zurücksetzen des Geräts entfernt werden.

Warnung

Das Trennen der Verbindung kann zum Verlust von Daten auf dem Gerät führen.

Sammeln von Diagnoseprotokollen

Sie können Diagnoseprotokolle für Ihre Geschäftlichen Verbindungen sammeln, indem Sie zu Einstellungen>Konten>Auf Geschäfts-, Schul- oder Unikonto zugreifen wechseln und dann unter Verwandte Einstellungen den Link Verwaltungsprotokolle exportieren auswählen. Wählen Sie als Nächstes Exportieren aus, und folgen Sie dem angezeigten Pfad, um Ihre Verwaltungsprotokolldateien abzurufen.

Sie können den erweiterten Diagnosebericht abrufen, indem Sie zu Einstellungen>Konten>Zugriff auf Geschäfts-, Schul- oder Unikonto wechseln und die Schaltfläche Info auswählen. Unten auf der Seite Einstellungen wird die Schaltfläche zum Erstellen eines Berichts angezeigt.

Weitere Informationen finden Sie unter Sammeln von MDM-Protokollen.