Bereitstellen Microsoft Entra hybrid eingebundener Geräte mithilfe von Intune und Windows Autopilot
Wichtig
Microsoft empfiehlt die Bereitstellung neuer Geräte als cloudnativ mithilfe Microsoft Entra Joins. Die Bereitstellung neuer Geräte als Microsoft Entra Hybrid Join-Geräten wird nicht empfohlen, auch nicht über Windows Autopilot. Weitere Informationen finden Sie unter Microsoft Entra und Microsoft Entra hybrid eingebundenen cloudnativen Endpunkten: Welche Option eignet sich für Ihre organization?
Intune und Windows Autopilot können verwendet werden, um Microsoft Entra hybrid eingebundenen Geräte einzurichten. Führen Sie dazu die Schritte in diesen Artikel durch. Weitere Informationen zu Microsoft Entra Hybridjoin finden Sie unter Grundlegendes zu Microsoft Entra Hybrid Join und Co-Verwaltung.
Anforderungen
Die Liste der Anforderungen für die Durchführung Microsoft Entra Hybridjoins während Windows Autopilot ist in drei verschiedene Kategorien unterteilt:
- Allgemein : allgemeine Anforderungen.
- Geräteregistrierung : Geräteregistrierungsanforderungen.
- Intune Connector: Anforderungen an Intune Connector für Active Directory.
Wählen Sie die entsprechende Registerkarte aus, um die relevanten Anforderungen anzuzeigen:
Allgemein- Die Microsoft Entra hybrid eingebundenen Geräte erfolgreich konfiguriert. Überprüfen Sie die Geräteregistrierung mithilfe des Cmdlets Get-MgDevice.
- Wenn die domänen- und OU-basierte Filterung als Teil von Microsoft Entra Connect konfiguriert ist, stellen Sie sicher, dass die für die Autopilot-Geräte vorgesehene Standardorganisationseinheit oder der Standardcontainer im Synchronisierungsbereich enthalten ist.
Einrichten der automatischen WINDOWS-MDM-Registrierung
Melden Sie sich beim Azure-Portal an, und wählen Sie Microsoft Entra ID aus.
Wählen Sie im linken Bereich Mobilität verwalten | (MDM und WIP)>Microsoft Intune aus.
Stellen Sie sicher, dass Benutzer, die Microsoft Entra verbundenen Geräte mithilfe von Intune und Windows bereitstellen, Mitglieder einer Gruppe sind, die im MDM-Benutzerbereich enthalten ist.
Verwenden Sie die Standardwerte in den Feldern URL zu den MDM-Nutzungsbedingungen, URL für MDM-Ermittlung und MDM Compliance-URL, und klicken Sie dann auf Speichern.
Installieren des Intune-Connectors für Active Directory
Der Zweck des Intune Connectors für Active Directory, der auch als ODJ-Connector (Offline Domain Join) bezeichnet wird, besteht darin, Computer während des Windows Autopilot-Prozesses in eine lokale Domäne einzubinden. Der Intune Connector für Active Directory erstellt während des Domänenbeitritts Computerobjekte in einer angegebenen Organisationseinheit (OE) in Active Directory.
Wichtig
Ab Intune 2501 verwendet Intune einen aktualisierten Intune Connector für Active Directory, der die Sicherheit erhöht und den Prinzipien der geringsten Rechte folgt, indem ein verwaltetes Dienstkonto (Managed Service Account, MSA) verwendet wird. Wenn der Intune Connector für Active Directory aus Intune heruntergeladen wird, wird der aktualisierte Intune Connector für Active Directory heruntergeladen. Der vorherige Legacy-Intune Connector für Active Directory steht weiterhin unter Intune Connector für Active Directory zum Download zur Verfügung, aber Microsoft empfiehlt, das aktualisierte installationsprogramm für Intune Connector für Active Directory in Zukunft zu verwenden. Der vorherige Legacy-Intune Connector für Active Directory wird im Mai 2025 weiter durcharbeiten. Es muss jedoch auf den aktualisierten Intune Connector für Active Directory aktualisiert werden, um einen Funktionsverlust zu vermeiden. Weitere Informationen finden Sie unter Intune Connector für Active Directory mit einem Konto mit geringen Berechtigungen für Autopilot Hybrid Microsoft Entra Join-Bereitstellungen.
Das Aktualisieren des Intune Connectors für Active Directory auf die aktualisierte Version erfolgt nicht automatisch. Der Legacy-Intune Connector für Active Directory muss manuell deinstalliert werden, gefolgt vom manuell heruntergeladenen und installierten aktualisierten Connector. Anweisungen zum manuellen Deinstallations- und Installationsvorgang des Intune Connectors für Active Directory finden Sie in den folgenden Abschnitten.
Wählen Sie die Registerkarte aus, die der Version des Intune Connectors für Active Directory entspricht, der installiert wird:
Aktualisierter ConnectorStellen Sie vor Beginn der Installation sicher, dass alle Intune Connectorserveranforderungen erfüllt sind.
Tipp
Es ist vorzuziehen, aber nicht erforderlich, dass der Administrator, der den Intune Connector für Active Directory installiert und konfiguriert, über die entsprechenden Domänenrechte verfügt, wie in Intune Connector für Active Directory-Anforderungen dokumentiert ist. Diese Anforderung ermöglicht es dem Intune Connector für Active Directory- und -Konfigurationsprozess, Berechtigungen für den MSA für den Computercontainer oder die Organisationseinheiten, in denen Computerobjekte erstellt werden, ordnungsgemäß festzulegen. Wenn der Administrator nicht über diese Berechtigungen verfügt, muss ein Administrator, der über die entsprechenden Berechtigungen verfügt, den Abschnitt Erhöhen des Grenzwerts für Computerkonten in der Organisationseinheit befolgen.
Deaktivieren der erweiterten Sicherheitskonfiguration für Internet Explorer
Bei Windows Server ist die verstärkte Sicherheitskonfiguration für Internet Explorer standardmäßig aktiviert. Internet Explorer Erweiterte Sicherheitskonfiguration kann Probleme bei der Anmeldung beim Intune Connector für Active Directory verursachen. Da internet Explorer veraltet ist und in den meisten Fällen nicht einmal auf Windows Server installiert ist, empfiehlt Microsoft, internet Explorer erweiterte Sicherheitskonfiguration zu deaktivieren. So deaktivieren Sie internet Explorer erweiterte Sicherheitskonfiguration:
Melden Sie sich auf dem Server, auf dem der Intune Connector für Active Directory installiert wird, mit einem Konto an, das über lokale Administratorrechte verfügt.
Öffnen Sie Server-Manager.
Wählen Sie im linken Bereich von Server-Manager die Option Lokaler Server aus.
Wählen Sie im rechten Bereich EIGENSCHAFTEN von Server-Manager den Link Ein oder Aus neben IE Enhanced Security Configuration aus.
Wählen Sie im Fenster Internet Explorer Erweiterte Sicherheitskonfiguration unter Administratoren die Option Aus aus, und wählen Sie dann OK aus.
Herunterladen des Intune-Connectors für Active Directory
Melden Sie sich auf dem Server, auf dem der Intune Connector für Active Directory installiert wird, beim Microsoft Intune Admin Center an.
Wählen Sie auf dem Startbildschirm im linken Bereich die Option Geräte aus.
In den Geräten | Übersichtsbildschirm wählen Sie unter Nach Plattform die Option Windows aus.
In den Fenstern | Windows-Gerätebildschirm wählen Sie unter Geräte-Onboarding die Option Registrierung aus.
In den Fenstern | Windows-Registrierungsbildschirm wählen Sie unter Windows AutopilotIntune Connector für Active Directory aus.
Wählen Sie auf dem Bildschirm Intune Connector für Active Directory die Option Hinzufügen aus.
Wählen Sie im daraufhin geöffneten Fenster Connector hinzufügen unter Konfigurieren des Intune Connectors für Active Directorydie Option Lokale Intune Connector für Active Directory herunterladen aus. Über den Link wird eine Datei namens heruntergeladen
ODJConnectorBootstrapper.exe.
Installieren des Intune Connectors für Active Directory auf dem Server
Wichtig
Die installation von Intune Connector für Active Directory muss mit einem Konto erfolgen, das über die folgenden Domänenrechte verfügt:
- Erforderlich : Erstellen Sie msDs-ManagedServiceAccount-Objekte im Container "Verwaltete Dienstkonten".
- Optional: Ändern von Berechtigungen in Organisationseinheiten in Active Directory: Wenn der Administrator, der die aktualisierte Intune Connector für Active Directory installiert, nicht über dieses Recht verfügt, sind zusätzliche Konfigurationsschritte für einen Administrator erforderlich, der über diese Rechte verfügt. Weitere Informationen finden Sie im Schritt/Abschnitt Erhöhen des Computerkontolimits in der Organisationseinheit.
Melden Sie sich auf dem Server, auf dem der Intune Connector für Active Directory installiert wird, mit einem Konto an, das über lokale Administratorrechte verfügt.
Wenn der vorherige Legacy-Intune Connector für Active Directory installiert ist, deinstallieren Sie ihn zuerst, bevor Sie den aktualisierten Intune Connector für Active Directory installieren. Weitere Informationen finden Sie unter Deinstallieren des Intune Connectors für Active Directory.
Wichtig
Wenn Sie den vorherigen Legacy-Intune Connector für Active Directory deinstallieren, stellen Sie sicher, dass Sie das Legacyinstallationsprogramm für Intune Connector für Active Directory als Teil des Deinstallationsprozesses ausführen. Wenn das Legacy-Intune Connector für Active Directory-Installationsprogramm bei der Ausführung aufgefordert wird, es zu deinstallieren, wählen Sie aus, um es zu deinstallieren. Mit diesem Schritt wird sichergestellt, dass der vorherige Legacy-Intune Connector für Active Directory vollständig deinstalliert wird. Das Legacyinstallationsprogramm für Intune Connector für Active Directory kann von Intune Connector für Active Directory heruntergeladen werden.
Tipp
In Domänen mit nur einem einzelnen Intune Connector für Active Directory empfiehlt Microsoft, zuerst den aktualisierten Intune Connector für Active Directory auf einem anderen Server zu installieren. Die Installation des aktualisierten Intune Connectors für Active Directory auf einem anderen Server sollte vor der Deinstallation des Legacy-Intune-Connectors für Active Directory auf dem aktuellen Server erfolgen. Durch die Installation des Intune Connectors für Active Directory auf einem anderen Server werden Ausfallzeiten vermieden, während der Intune Connector für Active Directory auf dem aktuellen Server aktualisiert wird.
Öffnen Sie die
ODJConnectorBootstrapper.exedatei, die heruntergeladen wurde, um die Installation des Intune Connectors für Active Directory-Setup zu starten.Führen Sie die Installation des Intune Connectors für das Active Directory-Setup schrittweise durch.
Aktivieren Sie am Ende der Installation das Kontrollkästchen Start Intune Connector für Active Directory.
Hinweis
Wenn Intune Connector für das Active Directory-Setup versehentlich geschlossen wird, ohne das Kontrollkästchen Intune Connector für Active Directory starten zu aktivieren, kann die konfiguration Intune Connector für Active Directory erneut geöffnet werden, indem Sie Intune Connector für Active Directory> auswählen Intune Connector für Active Directory über das Startmenü.
Anmelden beim Intune Connector für Active Directory
Wählen Sie im Fenster Intune Connector für Active Directory auf der Registerkarte Registrierung die Option Anmelden aus.
Melden Sie sich auf der Registerkarte Anmelden mit den Microsoft Entra ID Anmeldeinformationen einer Intune Administratorrolle an. Dem Benutzerkonto muss eine Intune-Lizenz zugewiesen werden. Der Anmeldevorgang kann einige Minuten dauern.
Hinweis
Das Konto, das zum Registrieren des Intune Connectors für Active Directory verwendet wird, ist nur eine vorübergehende Anforderung zum Zeitpunkt der Installation. Das Konto wird nach der Registrierung des Servers nicht mehr verwendet.
Nach Abschluss des Anmeldevorgangs:
- Das Bestätigungsfenster Der Intune Connector für Active Directory wurde erfolgreich registriert angezeigt. Wählen Sie OK aus, um das Fenster zu schließen.
- Das Bestätigungsfenster Ein verwaltetes Dienstkonto mit dem Namen "<MSA_name>" wurde erfolgreich eingerichtet angezeigt. Der Name des MSA hat das Format
msaODJ#####, wobei ##### fünf zufällige Zeichen sind. Notieren Sie sich den Namen des erstellten MSA, und wählen Sie dann OK aus, um das Fenster zu schließen. Der Name des MSA wird später möglicherweise benötigt, um den MSA so zu konfigurieren, dass computerobjekte in Organisationseinheiten erstellt werden können.
Auf der Registerkarte Registrierung wird Intune Connector für Active Directory registriert ist. Die Schaltfläche Anmelden ist abgeblendet, und Verwaltetes Dienstkonto konfigurieren ist aktiviert.
Schließen Sie das Fenster Intune Connector für Active Directory.
Überprüfen, ob der Intune Connector für Active Directory aktiv ist
Nach der Authentifizierung wird die Installation des Intune-Connectors für Active Directory abgeschlossen. Überprüfen Sie nach Abschluss der Installation, ob es in Intune aktiv ist, indem Sie die folgenden Schritte ausführen:
Wechseln Sie zum Microsoft Intune Admin Center, wenn es noch geöffnet ist. Wenn das Fenster Connector hinzufügen weiterhin angezeigt wird, schließen Sie es.
Wenn das Microsoft Intune Admin Center noch nicht geöffnet ist:
Melden Sie sich beim Microsoft Intune Admin Center an.
Wählen Sie auf dem Startbildschirm im linken Bereich die Option Geräte aus.
In den Geräten | Übersichtsbildschirm wählen Sie unter Nach Plattform die Option Windows aus.
In den Fenstern | Windows-Gerätebildschirm wählen Sie unter Geräte-Onboarding die Option Registrierung aus.
In den Fenstern | Windows-Registrierungsbildschirm wählen Sie unter Windows AutopilotIntune Connector für Active Directory aus.
Auf der Seite Intune Connector für Active Directory:
- Vergewissern Sie sich, dass der Server unter Connectorname angezeigt wird und unter Status als Aktiv angezeigt wird.
- Stellen Sie für den aktualisierten Intune Connector für Active Directory sicher, dass die Version größer als 6.2501.2000.5 ist.
Wenn der Server nicht angezeigt wird, wählen Sie Aktualisieren aus, oder navigieren Sie von der Seite weg, und navigieren Sie dann zurück zur Seite Intune Connector für Active Directory.
Hinweis
Es kann einige Minuten dauern, bis der neu registrierte Server auf der Seite Intune Connector für Active Directory im Microsoft Intune Admin Center angezeigt wird. Der registrierte Server wird nur angezeigt, wenn er erfolgreich mit dem Intune-Dienst kommunizieren kann.
Inaktive Intune Connectors für Active Directory werden weiterhin auf der Seite Intune Connector für Active Directory angezeigt und nach 30 Tagen automatisch bereinigt.
Nachdem der Intune Connector für Active Directory installiert wurde, wird die Anmeldung im Ereignisanzeige unter dem Pfad Anwendungs- und Dienstprotokolle>Microsoft>Intune>ODJConnectorService gestartet. Unter diesem Pfad finden Sie Admin- und Betriebsprotokolle.
Konfigurieren des MSA zum Zulassen des Erstellens von Objekten in Organisationseinheiten (optional)
Standardmäßig haben MSAs nur Zugriff zum Erstellen von Computerobjekten im Container Computer . MSAs haben keinen Zugriff zum Erstellen von Computerobjekten in Organisationseinheiten (OUs). Damit der MSA Objekte in Organisationseinheiten erstellen kann, müssen die Organisationseinheiten der ODJConnectorEnrollmentWiazard.exe.config XML-Datei im Verzeichnis hinzugefügt werden, in ODJConnectorEnrollmentWizard dem der Intune Connector für Active Directory installiert wurde, normalerweise C:\Program Files\Microsoft Intune\ODJConnector\.
Führen Sie die folgenden Schritte aus, um das MSA so zu konfigurieren, dass Objekte in Organisationseinheiten erstellt werden können:
Navigieren Sie auf dem Server, auf dem der Intune Connector für Active Directory installiert ist, zum
ODJConnectorEnrollmentWizardVerzeichnis, in dem der Intune Connector für Active Directory installiert wurde, normalerweiseC:\Program Files\Microsoft Intune\ODJConnector\.Öffnen Sie im
ODJConnectorEnrollmentWizardVerzeichnis dieODJConnectorEnrollmentWiazard.exe.configXML-Datei in einem Text-Editor, z. B. Editor.Fügen Sie in der
ODJConnectorEnrollmentWiazard.exe.configXML-Datei alle gewünschten Organisationseinheiten hinzu, in denen der MSA Zugriff haben soll, um Computerobjekte zu erstellen. Der Name der Organisationseinheit sollte der Distinguished Name sein und muss ggf. mit Escapezeichen versehen werden. Das folgende Beispiel ist ein XML-Beispieleintrag mit dem Distinguished Name der Organisationseinheit:<appSettings> <!-- Semicolon separated list of OUs that will be used for Hybrid Autopilot, using LDAP distinguished name format. The ODJ Connector will only have permission to create computer objects in these OUs. The value here should be the same as the value in the Hybrid Autopilot configuration profile in the Azure portal - https://learn.microsoft.com/en-us/mem/intune/configuration/domain-join-configure Usage example (NOTE: PLEASE ENSURE THAT THE DISTINGUISHED NAME IS ESCAPED PROPERLY): Domain contains the following OUs: - OU=HybridDevices,DC=contoso,DC=com - OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com Value: "OU=HybridDevices,DC=contoso,DC=com;OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com" --> <add key="OrganizationalUnitsUsedForOfflineDomainJoin" value="OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com;OU=Mine,DC=contoso,DC=com" /> </appSettings>Nachdem alle gewünschten Organisationseinheiten hinzugefügt wurden, speichern Sie die
ODJConnectorEnrollmentWiazard.exe.configXML-Datei.Als Administrator mit entsprechenden Berechtigungen zum Ändern von Organisationseinheitenberechtigungen öffnen Sie den Intune Connector für Active Directory, indem Sie im Startmenü zu Intune Connector für Active Directory>Intune Connector für Active Directory navigieren.
Wichtig
Wenn der Administrator, der den Intune Connector für Active Directory installiert und konfiguriert, nicht über Berechtigungen zum Ändern von Organisationseinheiten verfügt, muss stattdessen ein Administrator folgen, der über Berechtigungen zum Ändern von Organisationseinheiten verfügt.
Wählen Sie auf der Registerkarte Registrierung im Fenster Intune Connector für Active Directorydie Option Verwaltetes Dienstkonto konfigurieren aus.
Das Bestätigungsfenster Ein verwaltetes Dienstkonto mit dem Namen "<MSA_name>" wurde erfolgreich eingerichtet angezeigt. Wählen Sie OK aus, um das Fenster zu schließen.
Konfigurieren von Webproxyeinstellungen
Wenn in der Netzwerkumgebung ein Webproxy vorhanden ist, stellen Sie sicher, dass der Intune Connector für Active Directory ordnungsgemäß funktioniert, indem Sie auf Arbeiten mit vorhandenen lokalen Proxyservern verweisen.
Erhöhen des Kontolimits für den Computer in der Organisationseinheit
Wichtig
Dieser Schritt ist nur unter einer der folgenden Bedingungen erforderlich:
- Der Administrator, der den Intune Connector für Active Directory installiert und konfiguriert hat, verfügte nicht über die entsprechenden Rechte, wie in Intune Connector für Active Directory-Anforderungen beschrieben.
- Die
ODJConnectorEnrollmentWiazard.exe.configXML-Datei wurde nicht geändert, um Organisationseinheiten hinzuzufügen, für die der MSA berechtigungen haben sollte.
Der Zweck von Intune Connector für Active Directory besteht darin, Computer einer Domäne hinzuzufügen und sie einer Organisationseinheit hinzuzufügen. Aus diesem Grund muss das verwaltete Dienstkonto (Managed Service Account, MSA), das für den Intune Connector für Active Directory verwendet wird, über Berechtigungen zum Erstellen von Computerkonten in der Organisationseinheit verfügen, in der die Computer mit der lokalen Domäne verknüpft sind.
Mit Standardberechtigungen in Active Directory können Domänenbeitritte durch den Intune Connector für Active Directory anfänglich ohne Berechtigungsänderungen an der Organisationseinheit in Active Directory funktionieren. Nachdem MSA jedoch versucht hat, mehr als 10 Computer mit der lokalen Domäne zu verbinden, funktioniert es nicht mehr, da Active Directory standardmäßig nur das Einbinden von bis zu 10 Computern mit der lokalen Domäne zulässt.
Die folgenden Benutzer sind nicht durch die Beschränkung auf 10 Computerdomäneneinbindung eingeschränkt:
- Benutzer in den Gruppen Administratoren oder Domänenadministratoren: Um das Prinzip der geringsten Rechte einzuhalten, empfiehlt Microsoft nicht, den MSA als Administrator oder Domänenadministrator zu machen.
- Benutzer mit delegierten Berechtigungen für Organisationseinheiten (OUs) und Container in Active Directory zum Erstellen von Computerkonten: Diese Methode wird empfohlen, da sie dem Prinzip der geringsten Rechte folgt.
Um diese Einschränkung zu beheben, benötigt der MSA die Berechtigung Computerkonten erstellen in der Organisationseinheit (OE), in der die Computer in der lokalen Domäne verknüpft sind. Der Intune Connector für Active Directory legt die Berechtigungen für die MSAs auf die Organisationseinheiten fest, solange eine der folgenden Bedingungen erfüllt ist:
- Der Administrator, der den Intune Connector für Active Directory installiert, verfügt über die erforderlichen Berechtigungen zum Festlegen von Berechtigungen für die Organisationseinheiten.
- Der Administrator, der den Intune Connector für Active Directory konfiguriert, verfügt über die erforderlichen Berechtigungen zum Festlegen von Berechtigungen für die Organisationseinheiten.
Wenn der Administrator, der den Intune Connector für Active Directory installiert oder konfiguriert, nicht über die erforderlichen Berechtigungen zum Festlegen von Berechtigungen für die Organisationseinheiten verfügt, müssen die folgenden Schritte ausgeführt werden:
Melden Sie sich bei einem Computer mit Zugriff auf die Active Directory-Benutzer und -Computer-Konsole mit einem Konto an, das die erforderlichen Berechtigungen zum Festlegen von Berechtigungen für Organisationseinheiten enthält.
Öffnen Sie die Active Directory-Benutzer und -Computer-Konsole, indem Sie DSA.msc ausführen.
Erweitern Sie die gewünschte Domäne, und navigieren Sie zu der Organisationseinheit (OE), der Computer während Windows Autopilot beitreten.
Hinweis
Die Organisationseinheit, der Computer während der Windows Autopilot-Bereitstellung beitreten, wird später im Schritt Konfigurieren und Zuweisen des Profils für den Domänenbeitritt angegeben.
Klicken Sie mit der rechten Maustaste auf die Organisationseinheit, und wählen Sie Eigenschaften aus.
Hinweis
Wenn Computer dem Standardcontainer Computer anstelle einer Organisationseinheit beitreten, klicken Sie mit der rechten Maustaste auf den Container Computer , und wählen Sie Steuerung delegieren aus.
Wählen Sie in den fenstern Eigenschaften der Organisationseinheit, das geöffnet wird, die Registerkarte Sicherheit aus.
Wählen Sie auf der Registerkarte Sicherheit die Option Erweitert aus.
Wählen Sie im Fenster Erweiterte Sicherheitseinstellungendie Option Hinzufügen aus.
Wählen Sie im Fenster Berechtigungseintrag neben Prinzipal den Link Prinzipal auswählen aus.
Wählen Sie im Fenster Benutzer, Computer, Dienstkonto oder Gruppe auswählen die Schaltfläche Objekttypen... aus.
Aktivieren Sie im Fenster Objekttypen das Kontrollkästchen Dienstkonten , und wählen Sie dann OK aus.
Geben Sie im Fenster Benutzer, Computer, Dienstkonto oder Gruppe auswählen unter Geben Sie den auszuwählenden Objektnamen ein den Namen des MSA ein, der für den Intune Connector für Active Directory verwendet wird.
Tipp
Der MSA wurde während des Schritts/Abschnitts Installieren des Intune Connectors für Active Directory erstellt und hat das Namensformat,
msaODJ#####wobei ##### fünf zufällige Zeichen sind. Wenn der MSA-Name nicht bekannt ist, führen Sie die folgenden Schritte aus, um den MSA-Namen zu finden:- Klicken Sie auf dem Server, auf dem der Intune Connector für Active Directory ausgeführt wird, mit der rechten Maustaste auf das Startmenü, und wählen Sie dann Computerverwaltung aus.
- Erweitern Sie im Fenster Computerverwaltungden Knoten Dienste und Anwendungen , und wählen Sie dann Dienste aus.
- Suchen Sie im Ergebnisbereich den Dienst mit dem Namen Intune ODJConnector for Active Service. Der Name des MSA ist in der Spalte Anmelden als aufgeführt.
Wählen Sie Namen überprüfen aus, um den MSA-Namenseintrag zu überprüfen. Nachdem der Eintrag überprüft wurde, wählen Sie OK aus.
Wählen Sie im Fenster Berechtigungseintrag das Dropdownmenü Gilt für: aus, und wählen Sie dann Nur Dieses Objekt aus.
Heben Sie unter Berechtigungen die Auswahl aller Elemente auf, und aktivieren Sie dann nur das Kontrollkästchen Computerobjekte erstellen .
Wählen Sie OK aus, um das Fenster Berechtigungseintrag zu schließen.
Wählen Sie im Fenster Erweiterte Sicherheitseinstellungen entweder Übernehmen oder OK aus, um die Änderungen zu übernehmen.
Erstellen einer Gerätegruppe
Wählen Sie im Microsoft Intune Admin CenterGruppen>Neue Gruppe aus.
Wählen Sie im Bereich Gruppe die folgenden Optionen aus:
Wählen Sie unter Gruppentyp die Option Sicherheit aus.
Geben Sie einen Gruppennamen und eine Gruppenbeschreibung ein.
Wählen Sie einen Mitgliedschaftstyp aus.
Wenn Dynamische Geräte als Mitgliedschaftstyp ausgewählt ist, wählen Sie im Bereich Gruppe die Option Dynamische Gerätemitglieder aus.
Wählen Sie im Feld RegelsyntaxBearbeiten aus, und geben Sie eine der folgenden Codezeilen ein:
Um eine Gruppe zu erstellen, die alle Windows Autopilot-Geräte enthält, geben Sie Folgendes ein:
(device.devicePhysicalIDs -any _ -startsWith "[ZTDId]")Das Feld "Gruppentag" von Intune wird dem OrderID-Attribut auf Microsoft Entra Geräten zugeordnet. Um eine Gruppe zu erstellen, die alle Windows Autopilot-Geräte mit einem bestimmten Gruppentag (OrderID) enthält, geben Sie Folgendes ein:
(device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881")Um eine Gruppe zu erstellen, die alle Windows Autopilot-Geräte mit einer bestimmten Bestell-ID enthält, geben Sie Folgendes ein:
(device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342")
Wählen Sie Speichern>Erstellen aus.
Registrieren von Windows Autopilot-Geräten
Wählen Sie eine der folgenden Methoden zum Registrieren von Windows Autopilot-Geräten aus.
Registrieren bereits registrierter Windows Autopilot-Geräte
Erstellen Sie ein Windows Autopilot-Bereitstellungsprofil, wobei die Einstellung Alle Zielgeräte in Autopilot konvertieren auf Ja festgelegt ist.
Weisen Sie das Profil einer Gruppe zu, die die Mitglieder enthält, die automatisch bei Windows Autopilot registriert werden müssen.
Weitere Informationen finden Sie unter Erstellen eines Autopilot-Bereitstellungsprofils.
Registrieren von Windows Autopilot-Geräten, die nicht registriert sind
Geräte, die noch nicht bei Windows Autopilot registriert sind, können manuell registriert werden. Weitere Informationen finden Sie unter Manuelle Registrierung.
Registrieren von Geräten eines OEMs
Beim Kauf neuer Geräte können einige OEMs die Geräte im Namen des organization registrieren. Weitere Informationen finden Sie unter OEM-Registrierung.
Anzeigen eines registrierten Windows Autopilot-Geräts
Vor der Registrierung von Geräten in Intune werden registrierte Windows Autopilot-Geräte an drei Stellen angezeigt (wobei die Namen auf ihre Seriennummern festgelegt sind):
- Der Bereich Windows Autopilot-Geräte im Microsoft Intune Admin Center. Auswählen von Geräten>nach Plattform | Onboarding von Windows-Geräten>| Registrierung. Wählen Sie unter Windows Autopilotdie Option Geräte aus.
- Die Geräte | Bereich "Alle Geräte" im Azure-Portal. Klicken Sie auf Geräte>Alle Geräte.
- Der Autopilot-Bereich in Microsoft 365 Admin Center. Wählen Sie Geräte>Autopilot aus.
Nachdem die Windows Autopilot-Geräte registriert wurden, werden die Geräte an vier Stellen angezeigt:
- Die Geräte | Bereich "Alle Geräte" im Microsoft Intune Admin Center. Klicken Sie auf Geräte>Alle Geräte.
- Die Fenster | Bereich "Windows-Geräte" im Microsoft Intune Admin Center. Auswählen von Geräten>nach Plattform | Windows.
- Die Geräte | Bereich "Alle Geräte" im Azure-Portal. Klicken Sie auf Geräte>Alle Geräte.
- Der Bereich Aktive Geräte in Microsoft 365 Admin Center. Wählen Sie Geräte>Aktive Geräte aus.
Hinweis
Nachdem Geräte registriert wurden, werden die Geräte weiterhin im Bereich Windows Autopilot-Geräte im Microsoft Intune Admin Center und im Autopilot-Bereich in Microsoft 365 Admin Center angezeigt, aber diese Objekte sind die für Windows Autopilot registrierten Objekte.
Ein Geräteobjekt wird in Microsoft Entra ID vorab erstellt, sobald ein Gerät in Windows Autopilot registriert wurde. Wenn ein Gerät eine hybride Microsoft Entra Bereitstellung durchläuft, wird standardmäßig ein anderes Geräteobjekt erstellt, was zu doppelten Einträgen führt.
VPNs
Die folgenden VPN-Clients werden getestet und überprüft:
- In-Box-Windows VPN-Client
- Cisco AnyConnect (Win32-Client)
- Pulse Secure (Win32-Client)
- GlobalProtect (Win32-Client)
- Prüfpunkt (Win32-Client)
- Citrix NetScaler (Win32-Client)
- SonicWall (Win32-Client)
- FortiClient-VPN (Win32-Client)
Wenn Sie VPNs verwenden, wählen Sie ja für die Option Ad-Konnektivitätsprüfung überspringen im Windows Autopilot-Bereitstellungsprofil aus. Always-On VPNs sollten diese Option nicht erfordern, da automatisch eine Verbindung hergestellt wird.
Hinweis
Diese Liste der VPN-Clients ist keine umfassende Liste aller VPN-Clients, die mit Windows Autopilot funktionieren. Wenden Sie sich an den jeweiligen VPN-Anbieter bezüglich Kompatibilität und Unterstützung mit Windows Autopilot oder zu Problemen bei der Verwendung einer VPN-Lösung mit Windows Autopilot.
Nicht unterstützte VPN-Clients
Die folgenden VPN-Lösungen funktionieren nicht mit Windows Autopilot und werden daher nicht für die Verwendung mit Windows Autopilot unterstützt:
- UWP-basierte VPN-Plug-Ins
- Alles, was ein Benutzerzertifikat erfordert
- DirectAccess
Hinweis
Das Auslassen eines bestimmten VPN-Clients aus dieser Liste bedeutet nicht automatisch, dass er unterstützt wird oder dass er mit Windows Autopilot funktioniert. In dieser Liste sind nur die VPN-Clients aufgeführt, von denen bekannt ist, dass sie nicht mit Windows Autopilot funktionieren.
Erstellen und Zuweisen eines Windows Autopilot-Bereitstellungsprofils
Windows Autopilot-Bereitstellungsprofile werden zum Konfigurieren der Windows Autopilot-Geräte verwendet.
Melden Sie sich beim Microsoft Intune Admin Center an.
Wählen Sie auf dem Startbildschirm im linken Bereich die Option Geräte aus.
In den Geräten | Übersichtsbildschirm wählen Sie unter Nach Plattform die Option Windows aus.
In den Fenstern | Windows-Gerätebildschirm wählen Sie unter Geräte-Onboarding die Option Registrierung aus.
In den Fenstern | Windows-Registrierungsbildschirm : Wählen Sie unter Windows Autopilotdie Option Bereitstellungsprofile aus.
Wählen Sie auf dem Bildschirm Windows Autopilot-Bereitstellungsprofile das Dropdownmenü Profil erstellen und dann Windows-PC aus.
Geben Sie auf dem Bildschirm Profil erstellen auf der Seite Grundlagen einen Namen und optional eine Beschreibung ein.
Wenn sich alle Geräte in den zugewiesenen Gruppen automatisch bei Windows Autopilot registrieren sollen, legen Sie Alle Zielgeräte in Autopilot konvertieren auf Ja fest. Alle unternehmenseigenen, Nicht-Windows Autopilot-Geräte in zugewiesenen Gruppen werden beim Windows Autopilot-Bereitstellungsdienst registriert. Persönliche Geräte sind nicht bei Windows Autopilot registriert. Die Verarbeitung der Registrierung kann 48 Stunden dauern. Wenn die Registrierung des Geräts aufgehoben und zurückgesetzt wird, wird es von Windows Autopilot erneut registriert. Nachdem ein Gerät auf diese Weise registriert wurde, wird das Gerät nicht aus dem Windows Autopilot-Bereitstellungsdienst entfernt, wenn Sie diese Einstellung deaktivieren oder die Profilzuweisung entfernen. Stattdessen müssen die Geräte direkt gelöscht werden. Weitere Informationen finden Sie unter Löschen von Autopilot-Geräten.
Wählen Sie Weiter aus.
Wählen Sie auf der Seite Windows-Willkommensseite als Bereitstellungsmodus die Option Benutzergesteuert aus.
Wählen Sie im Feld An Microsoft Entra ID teilnehmen alsdie Option Microsoft Entra hybrid eingebunden aus.
Wenn Sie Geräte über das Netzwerk des organization mit VPN-Unterstützung bereitstellen, legen Sie die Option Domänenkonnektivitätsprüfung überspringen auf Ja fest. Weitere Informationen finden Sie unter Benutzergesteuerter Modus für Microsoft Entra Hybrideinbindung mit VPN-Unterstützung.
Konfigurieren Sie die restlichen Optionen auf der Seite Windows-Willkommensseite nach Bedarf.
Wählen Sie Weiter aus.
Wählen Sie auf der Seite Bereichstags die Bereichstags für dieses Profil aus.
Wählen Sie Weiter aus.
Wählen Sie auf der Seite Zuweisungen die Option Gruppen auswählen aus, um die Suche nach einzuschließen>, und wählen Sie die Gerätegruppe > Auswählen aus.
Wählen Sie Weiter>Erstellen aus.
Hinweis
Intune in regelmäßigen Abständen nach neuen Geräten in den zugewiesenen Gruppen suchen und dann mit dem Zuweisen von Profilen zu diesen Geräten beginnen. Aufgrund verschiedener Faktoren, die am Prozess der Windows Autopilot-Profilzuweisung beteiligt sind, kann die geschätzte Zeit für die Zuweisung von Szenario zu Szenario variieren. Zu diesen Faktoren können Microsoft Entra Gruppen, Mitgliedschaftsregeln, Hash eines Geräts, Intune und Windows Autopilot-Dienst sowie eine Internetverbindung gehören. Die Zuweisungszeit variiert abhängig von allen Faktoren und Variablen, die in einem bestimmten Szenario beteiligt sind.
Aktivieren der Registrierungsstatusseite (optional)
Melden Sie sich beim Microsoft Intune Admin Center an.
Wählen Sie auf dem Startbildschirm im linken Bereich die Option Geräte aus.
In den Geräten | Übersichtsbildschirm wählen Sie unter Nach Plattform die Option Windows aus.
In den Fenstern | Windows-Gerätebildschirm wählen Sie unter Geräte-Onboarding die Option Registrierung aus.
In den Fenstern | Windows-Registrierungsbildschirm wählen Sie unter Windows Autopilotdie Option Registrierungsstatusseite aus.
Klicken Sie im Bereich Seite zum Registrierungsstatus auf Standard>Einstellungen.
Legen Sie für Installationsfortschritt für Apps und Profile anzeigenYes (Ja) fest.
Konfigurieren Sie die anderen Optionen je nach Bedarf.
Wählen Sie Speichern.
Erstellen und Zuweisen eines Domänenbeitrittsprofils
Wählen Sie im Microsoft Intune Admin CenterGeräte>verwalten | Konfigurationsrichtlinien>>Erstellen Sie>eine neue Richtlinie.
Geben Sie im daraufhin geöffneten Fenster Profil erstellen die folgenden Eigenschaften ein:
- Name: Geben Sie einen aussagekräftigen Namen für das neue Profil ein.
- Beschreibung: Geben Sie eine Beschreibung für das Profil ein.
- Plattform: Wählen Sie Windows 10 und höher aus.
- Profiltyp: Wählen Sie Vorlagen aus, wählen Sie den Vorlagennamen Domänenbeitritt aus, und wählen Sie Erstellen aus.
Geben Sie denNamen und dieBeschreibung ein, und wählen Sie Weiteraus.
Geben Sie ein Computernamenspräfix und denDomänennamenan.
(Optional) Geben Sie eine Organisationseinheit (OE) im DN-Format an. Zu diesen Optionen gehören Folgende:
- Stellen Sie eine Organisationseinheit bereit, in der die Steuerung an das Windows-Gerät delegiert wird, auf dem der Intune Connector für Active Directory ausgeführt wird.
- Stellen Sie eine Organisationseinheit bereit, in der die Steuerung an die Stammcomputer im lokales Active Directory von organization delegiert wird.
- Wenn dieses Feld leer bleibt, wird das Computerobjekt im Active Directory-Standardcontainer erstellt. Der Standardcontainer ist normalerweise der
CN=ComputersContainer. Weitere Informationen finden Sie unter Umleiten der Container für Benutzer und Computer in Active Directory-Domänen.
Gültige Beispiele:
OU=SubOU,OU=TopLevelOU,DC=contoso,DC=comOU=Mine,DC=contoso,DC=com
Ungültige Beispiele:
-
CN=Computers,DC=contoso,DC=com– Ein Container kann nicht angegeben werden. Lassen Sie stattdessen den Wert leer, um den Standardwert für die Domäne zu verwenden. -
OU=Mine: Die Domäne muss über dieDC=Attribute angegeben werden.
Stellen Sie sicher, dass Sie in der Organisationseinheit keine Anführungszeichen um den Wert herum verwenden.
Klicken Sie auf OK>Erstellen. Das Profil wird erstellt und in der Liste angezeigt.
Weisen Sie ein Geräteprofil derselben Gruppe zu, die im Schritt Gerätegruppe erstellen verwendet wurde. Es können verschiedene Gruppen verwendet werden, wenn Geräte mit verschiedenen Domänen oder Organisationseinheiten verknüpft werden müssen.
Hinweis
Die Benennungsfunktion für Windows Autopilot für Microsoft Entra Hybridjoin unterstützt keine Variablen wie %SERIAL%. Es werden nur Präfixe für den Computernamen unterstützt.
Deinstallieren des Intune Connectors für Active Directory
Der Intune Connector für Active Directory wird lokal auf einem Computer über eine ausführbare Datei installiert. Wenn der Intune Connector für Active Directory von einem Computer deinstalliert werden muss, muss dies auch lokal auf dem Computer erfolgen. Der Intune Connector für Active Directory kann nicht über das Intune-Portal oder einen Graph-API-Aufruf entfernt werden.
Um den Intune Connector für Active Directory vom Server zu deinstallieren, wählen Sie die entsprechende Registerkarte für die Version des Windows Server Betriebssystems aus, und führen Sie dann die folgenden Schritte aus:
Melden Sie sich auf dem Computer an, auf dem der Intune Connector für Active Directory gehostet wird.
Klicken Sie mit der rechten Maustaste auf das Startmenü , und wählen Sie dann Einstellungen>Apps>Installierte Apps aus.
Oder
Wählen Sie die folgende Verknüpfung Installierte Apps > aus:
Suchen Sie im Fenster Installierte Apps >nach Intune Connector für Active Directory.
Wählen Sie neben Intune Connector für Active Directorydie Option ...>Deinstallieren Sie, und wählen Sie dann die Schaltfläche Deinstallieren aus.
Der Intune Connector für Active Directory wird mit der Deinstallation fortgesetzt.
In einigen Fällen wird der Intune Connector für Active Directory möglicherweise erst vollständig deinstalliert, wenn das ursprüngliche Intune Connector für Active Directory-Installationsprogramm
ODJConnectorBootstrapper.exeerneut ausgeführt wird. Um zu überprüfen, ob der Intune Connector für Active Directory vollständig deinstalliert ist, führen Sie dasODJConnectorBootstrapper.exeInstallationsprogramm erneut aus. Wenn sie zur Deinstallation aufgefordert wird, wählen Sie aus, um es zu deinstallieren. Schließen Sie andernfalls dasODJConnectorBootstrapper.exeInstallationsprogramm.Hinweis
Das Legacyinstallationsprogramm für Intune Connector für Active Directory kann aus dem Intune Connector für Active Directory heruntergeladen werden und sollte nur für Deinstallationen verwendet werden. Verwenden Sie für Neuinstallationen den aktualisierten Intune Connector für Active Directory.
Nächste Schritte
Nachdem Windows Autopilot konfiguriert wurde, erfahren Sie, wie Sie diese Geräte verwalten. Weitere Informationen finden Sie unter Was ist die Microsoft Intune-Geräteverwaltung?.
Verwandte Inhalte
- Was ist eine Geräteidentität?.
- Erfahren Sie mehr über cloudnative Endpunkte.
- Microsoft Entra im Vergleich zu Microsoft Entra hybrid eingebundenen cloudnativen Endpunkten.
- Tutorial: Einrichten und Konfigurieren eines cloudnativen Windows-Endpunkts mit Microsoft Intune.
- Vorgehensweise: Planen Der Implementierung von Microsoft Entra Join.
- Ein Framework für die Transformation der Windows-Endpunktverwaltung.
- Grundlegendes zu Azure AD-Hybrid- und Co-Verwaltungsszenarien.
- Erfolg bei remoter Windows Autopilot- und Azure Active Directory-Hybrideinbindung.