Benutzergesteuerte Windows Autopilot-Gerätevorbereitung Microsoft Entra: Erstellen einer Gerätegruppe

• Gilt für::

  ✅ Windows 11

Benutzergesteuerte Schritte zur Vorbereitung von Windows Autopilot-Geräten Microsoft Entra:

• Schritt 1: Einrichten der automatischen windows-Intune-Registrierung
• Schritt 2: Zulassen, dass Benutzer Geräte an Microsoft Entra ID

• Schritt 3: Erstellen einer Gerätegruppe

• Schritt 4: Erstellen einer Benutzergruppe
• Schritt 5: Zuweisen von Anwendungen und PowerShell-Skripts zur Gerätegruppe
• Schritt 6: Erstellen einer Windows Autopilot-Gerätevorbereitungsrichtlinie
• Schritt 7: Hinzufügen der Windows-Unternehmens-ID zum Gerät (optional)

Eine Übersicht über die benutzergesteuerte Windows Autopilot-Gerätevorbereitung Microsoft Entra Einbindungsworkflows finden Sie unter Übersicht über die benutzergesteuerte Microsoft Entra Einbindung von Windows Autopilot-Geräten.

Hinweis

Die in diesem Schritt erstellte Gerätegruppe ist spezifisch für die Vorbereitung von Windows Autopilot-Geräten. Microsoft empfiehlt, eine Gerätegruppe speziell für die Windows Autopilot-Gerätevorbereitung zu erstellen, anstatt vorhandene Gerätegruppen wiederzuverwenden, die in anderen Autopilot-Szenarien verwendet werden.

Erstellen einer Gerätegruppe

Gerätegruppen sind eine Sammlung von Geräten, die in einer Microsoft Entra Gruppe organisiert sind. Gerätegruppen können entweder dynamisch oder zugewiesen sein:

• Dynamische Gruppen : Geräte werden der Gruppe automatisch basierend auf Regeln hinzugefügt.
• Zugewiesene Gruppen : Geräte werden der Gruppe manuell hinzugefügt und sind statisch.

Bei der Windows Autopilot-Gerätevorbereitung wird eine Gerätegruppe als Teil der Windows Autopilot-Gerätevorbereitungsrichtlinie verwendet. Die in der Windows Autopilot-Gerätevorbereitungsrichtlinie angegebene Gerätegruppe ist die Gerätegruppe, in der Geräte während der Bereitstellung der Windows Autopilot-Gerätevorbereitung automatisch hinzugefügt werden. Die in der Windows Autopilot-Gerätevorbereitungsrichtlinie angegebene Gerätegruppe muss eine zugewiesene Sicherheitsgruppe sein.

Führen Sie die folgenden Schritte aus, um eine zugewiesene Sicherheitsgerätegruppe für die Windows Autopilot-Gerätevorbereitung zu erstellen:

1. Melden Sie sich beim Microsoft Intune Admin Center an.

2. Wählen Sie auf dem Startbildschirm im linken Bereich Gruppen aus.

3. Im Gruppen | Stellen Sie auf dem Bildschirm Alle Gruppen sicher, dass Alle Gruppen ausgewählt ist, und wählen Sie dann Neue Gruppe aus.

4. Auf dem Bildschirm Neue Gruppe , der geöffnet wird:

   1. Wählen Sie unter Gruppentyp die Option Sicherheit aus.

   2. Geben Sie unter Gruppenname einen Namen für die Gerätegruppe ein, z. B. Windows Autopilot-Gerätevorbereitungsgerätegruppe.

   3. Geben Sie unter Gruppenbeschreibung eine Beschreibung für die Gerätegruppe ein.

   4. Wählen Sie für Microsoft Entra Rollen der Gruppe zugewiesen werden können, Nein aus.

   5. Wählen Sie unter Mitgliedschaftstypdie Option Zugewiesen aus.

   6. Wählen Sie unter Besitzer den Link Keine Besitzer ausgewählt aus .

   7. Auf dem Bildschirm Besitzer hinzufügen , der geöffnet wird:

      1. Scrollen Sie durch die Liste der Objekte, und wählen Sie den Dienstprinzipal Intune Bereitstellungsclient mit der AppId f1346770-5b25-470b-88bd-d5744ab7952c aus. Verwenden Sie alternativ die Suchleiste, um nach Intune Bereitstellungsclient zu suchen und auszuwählen.

         Hinweis

         • In einigen Mandanten hat der Dienstprinzipal möglicherweise den Namen Intune Autopilot ConfidentialClient anstelle von Intune Provisioning Client. Solange die AppID des Dienstprinzipals f1346770-5b25-470b-88bd-d5744ab7952c ist, ist dies der richtige Dienstprinzipal.

         • Wenn der Intune Provisioning Client oder Intune Autopilot ConfidentialClient-Dienstprinzipal mit der AppId f1346770-5b25-470b-88bd-d5744ab7952c weder in der Liste der Objekte noch bei der Suche verfügbar ist, finden Sie weitere Informationen unter Hinzufügen des Dienstprinzipals für den Intune Provisioning Client.

      2. Nachdem Intune Bereitstellungsclient als Besitzer ausgewählt wurde, wählen Sie Auswählen aus.

   8. Wählen Sie Erstellen aus, um die Erstellung der zugewiesenen Gerätegruppe abzuschließen.

   Wichtig

   Geräte werden dieser Gerätegruppe während der Bereitstellung der Windows Autopilot-Gerätevorbereitung automatisch hinzugefügt. Das manuelle Hinzufügen von Geräten als Mitglieder der in diesem Schritt erstellten Gerätegruppe ist nicht erforderlich, hat jedoch keine Auswirkungen auf den Vorbereitungsprozess für Windows Autopilot-Geräte.

Hinzufügen des Intune Provisioning Client-Dienstprinzipals

Wenn der Intune Bereitstellungsclient-Dienstprinzipal mit appId f1346770-5b25-470b-88bd-d5744ab7952c beim Auswählen des Besitzers der Gerätegruppe nicht verfügbar ist, führen Sie die folgenden Schritte aus, um den Dienstprinzipal hinzuzufügen:

1. Öffnen Sie auf einem Gerät, auf dem Microsoft Intune oder Microsoft Entra ID normalerweise verwaltet wird, eine ein Windows PowerShell Eingabeaufforderung mit erhöhten Rechten.

2. Im Windows PowerShell Eingabeaufforderungsfenster:

   1. Installieren Sie das Microsoft.Graph.Authentication-Modul , indem Sie den folgenden Befehl eingeben:

      Install-Module Microsoft.Graph.Authentication
      

      Wenn Sie dazu aufgefordert werden:

      • Stimmen Sie der Installation von NuGet zu, indem Sie Y oder Ja eingeben oder die Schaltfläche Ja auswählen.
      • Stimmen Sie der Installation aus dem nicht vertrauenswürdigen PSGallery-Repository zu, indem Sie Y oder Ja eingeben oder die Schaltfläche Ja auswählen.

      Weitere Informationen finden Sie unter Microsoft.Graph.Authentication und Set-PSRepository -InstallationPolicy.

   2. Installieren Sie das Microsoft.Graph.Applications-Modul , indem Sie den folgenden Befehl eingeben:

      Install-Module Microsoft.Graph.Applications
      

      Wenn Sie dazu aufgefordert werden, stimmen Sie der Installation aus dem nicht vertrauenswürdigen PSGallery-Repository zu, indem Sie Y oder Ja eingeben oder die Schaltfläche Ja auswählen.

      Weitere Informationen finden Sie unter Microsoft.Graph.Applications und Set-PSRepository -InstallationPolicy.

   3. Nachdem die Module Microsoft.Graph.Authentication und Microsoft.Graph.Applications installiert sind, stellen Sie eine Verbindung mit Microsoft Entra ID her, indem Sie den folgenden Befehl eingeben:

      Connect-MgGraph -Scopes "Application.ReadWrite.All"
      

      Weitere Informationen finden Sie unter Connect-MgGraph.

   4. Wenn sie noch nicht bei Microsoft Entra ID authentifiziert sind, wird das Fenster Bei Ihrem Konto anmelden angezeigt. Geben Sie die Anmeldeinformationen eines Microsoft Entra ID Administrators ein, der über Berechtigungen zum Hinzufügen von Dienstprinzipalen verfügt.

   5. Wenn das Fenster Angeforderte Berechtigungen angezeigt wird, aktivieren Sie das Kontrollkästchen Zustimmung im Namen Ihres organization, und wählen Sie dann die Schaltfläche Akzeptieren aus.

   6. Nachdem die Authentifizierung bei Microsoft Entra ID erfolgt ist und die entsprechenden Berechtigungen erteilt wurden, fügen Sie den Intune Bereitstellungsclient-Dienstprinzipal hinzu, indem Sie den folgenden Befehl eingeben:

      New-MgServicePrincipal -AppID f1346770-5b25-470b-88bd-d5744ab7952c
      

      Weitere Informationen finden Sie unter New-MgServicePrincipal -BodyParameter.

      Hinweis

      • Die folgende Fehlermeldung wird angezeigt, wenn der Intune Bereitstellungsclient-Dienstprinzipal bereits im Mandanten vorhanden ist:

        New-MgServicePrincipal : The service principal cannot be created, updated, or restored because the service principal name 
        f1346770-5b25-470b-88bd-d5744ab7952c is already in use.
        Status: 409 (Conflict)
        ErrorCode: Request_MultipleObjectsWithSameKeyValue
        

      • Die folgende Fehlermeldung wird angezeigt, wenn eine der folgenden Bedingungen zutrifft:

        • Das Konto, das für die Anmeldung mit dem Connect-MgGraph Befehl verwendet wird, verfügt nicht über die Berechtigungen zum Hinzufügen eines Dienstprinzipals zum Mandanten.
        • Das -Scopes "Application.ReadWrite.All" Argument wird dem Connect-MgGraph Befehl nicht hinzugefügt.
        • Das Fenster "Angeforderte Berechtigungen" wird nicht akzeptiert.
        • Das Kontrollkästchen Zustimmung im Namen Ihrer organization ist im Fenster Angeforderte Berechtigungen nicht aktiviert.

        New-MgServicePrincipal : Insufficient privileges to complete the operation.
        Status: 403 (Forbidden)
        ErrorCode: Authorization_RequestDenied
        

Nächster Schritt: Erstellen einer Benutzergruppe

Schritt 4: Erstellen einer Benutzergruppe

Verwandte Inhalte

Weitere Informationen zum Erstellen von Gruppen in Intune finden Sie in den folgenden Artikeln:

• Erstellen sie Gerätegruppen.
• Fügen Sie Gruppen hinzu, um Benutzer und Geräte zu organisieren.
• Verwalten von Microsoft Entra Gruppen und Gruppenmitgliedschaften.
• Dynamische Mitgliedschaftsregeln für Gruppen in Microsoft Entra ID.