Massenregistrierung für Windows-Geräte
Gilt für
- Windows 10
- Windows 11
Verbinden Sie neue Windows-Geräte mit Microsoft Entra ID und Intune. Um Geräte für Ihren Microsoft Entra Mandanten per Massenregistrierung zu registrieren, erstellen Sie ein Bereitstellungspaket mit der Windows Configuration Designer (WCD)-App. Durch das Anwenden des Bereitstellungspakets auf unternehmenseigene Geräte werden die Geräte mit Ihrem Microsoft Entra Mandanten verknüpft und für die Intune-Verwaltung registriert. Sobald das Paket angewendet wurde, ist es für Ihre Microsoft Entra Benutzer bereit, sich anzumelden.
Microsoft Entra Benutzer sind Standardbenutzer auf diesen Geräten und erhalten zugewiesene Intune Richtlinien und erforderliche Apps. Windows-Geräte, die mit der Windows-Massenregistrierung in Intune registriert werden, können die Unternehmensportal-App nutzen, um verfügbare Apps zu installieren.
Rollen und Berechtigungen
Um ein Massenregistrierungstoken zu erstellen, benötigen Sie eine unterstützte Microsoft Entra Rollenzuweisung und dürfen nicht auf eine Verwaltungseinheit in Microsoft Entra ID. Die Microsoft Entra integrierten Rollen mit der Berechtigung zum Erstellen von Massenregistrierungstoken sind:
- Cloudgeräteadministrator
- Intune Administrator
- Kennwortadministrator
Weitere Informationen zu diesen Rollen finden Sie unter Microsoft Entra integrierten Rollen.
Voraussetzungen
- Auf Geräten muss Windows 11 oder Windows 10 Creator-Update (Build 1709) oder höher ausgeführt werden.
- Aktivieren Sie die automatische Windows-Registrierung.
Stellen Sie außerdem sicher, dass der Dienstprinzipal für Microsoft.Azure.SyncFabric (AppID 00000014-0000-0000-c000-0000000000000) in Ihrem Microsoft Entra Mandanten vorhanden ist. Verwenden Sie in einer Befehlszeile den Get-AzureADServicePrincipal
Befehl, um nach dem Dienstprinzipal zu suchen. Ohne den Dienstprinzipal kann Windows Configuration Designer das Massenregistrierungstoken nicht abrufen, was zu einem Fehler führt.
Erstellen eines Bereitstellungspakets
Installieren Sie Windows Configuration Designer (WCD) aus dem Microsoft Store.
Öffnen Sie die Windows Configuration Designer-App, und wählen Sie Desktopgeräte bereitstellen aus.
Das Fenster Neues Projekt wird geöffnet, in dem Sie folgende Informationen angeben:
- Name: Der Name für das Projekt
- Projektordner: Speicherort des Projekts
- Beschreibung – Eine optionale Beschreibung des Projekts
Geben Sie einen eindeutigen Namen für Ihre Geräte ein. Die Namen können eine Seriennummer (%SERIENNUMMER%) oder eine zufällige Folge von Zeichen umfassen. Optional können Sie auch einen Product Key eingeben, wenn Sie die Windows-Edition aktualisieren, das Gerät für die gemeinsame Nutzung konfigurieren und vorinstallierte Software entfernen.
Optional können Sie das WLAN konfigurieren, bei dem sich Geräte beim ersten Start anmelden. Wenn die Netzwerkgeräte nicht konfiguriert wurden, ist beim ersten Start des Geräts eine kabelgebundene Netzwerkverbindung erforderlich.
Wählen Sie Bei Azure AD registrieren, geben Sie ein Datum für den Ablauf des Massentokens ein, und wählen Sie dann Massentoken abrufen aus. Der Gültigkeitszeitraum des Tokens beträgt 180 Tage.
Hinweis
Nachdem ein Bereitstellungspaket erstellt wurde, kann es vor seinem Ablauf widerrufen werden, indem das zugeordnete package_{GUID}-Benutzerkonto aus Microsoft Entra ID entfernt wird.
Geben Sie Ihre Microsoft Entra Anmeldeinformationen an, um ein Massentoken abzurufen.
Hinweis
- Das Konto, das Sie zum Anfordern des Massentokens verwenden, muss im MDM-Benutzerbereich in Microsoft Entra ID enthalten sein. Wenn Sie dieses Konto aus einer Gruppe entfernen, die an den MDM-Benutzerbereich gebunden ist, funktioniert die Massenregistrierung nicht mehr.
- Der Massenabruf von Token funktioniert nicht für Verbundbenutzerkonten, die für gestaffelte Rollouts aktiviert sind.
Wählen Sie auf der Seite Bei all Ihren Apps angemeldet bleiben die Option Nein, nur bei dieser App anmelden aus. Wenn Sie das Kontrollkästchen aktiviert lassen und auf OK klicken, wird das von Ihnen verwendete Gerät von Ihrer Organisation verwaltet. Wenn Sie nicht beabsichtigen, Ihr Gerät verwalten zu lassen, achten Sie darauf, Nein, nur bei dieser App anmelden auszuwählen.
Klicken Sie auf Weiter, wenn das Massentoken erfolgreich abgerufen wurde.
Optional können Sie Anwendungen hinzufügen und Zertifikate hinzufügen. Diese Anwendungen und Zertifikate werden auf dem Gerät bereitgestellt.
Optional können Sie Ihr Bereitstellungspaket mit einem Kennwort schützen. Klicken Sie auf Erstellen.
Bereitstellen von Geräten
Greifen Sie auf das Bereitstellungspaket zu, das sich an dem unter Projektordner in der App angegebenen Speicherort befindet.
Wählen Sie aus, wie Sie das Bereitstellungspaket auf das Gerät anwenden möchten. Ein Bereitstellungspaket kann mit einer der folgenden Methoden auf ein Gerät angewendet werden:
- Speichern Sie das Paket auf einem USB-Laufwerk, verbinden Sie dieses Laufwerk mit dem Gerät, das Sie per Massenvorgang registrieren möchten, und wenden Sie das Paket während des anfänglichen Setups an.
- Speichern Sie das Paket in einem Netzwerkordner, und wenden Sie es nach der ersten Einrichtung an
Eine Schrittanleitung zum Anwenden eines Bereitstellungspakets finden Sie unter Anwenden eines Bereitstellungspakets.
Nachdem das Paket angewendet wurde, wird das Gerät nach ca. 1 Minute automatisch neu gestartet.
Wenn das Gerät neu gestartet wird, stellt es eine Verbindung mit dem Microsoft Entra ID her und registriert sich bei Microsoft Intune.
Problembehandlung bei der Massenregistrierung unter Windows
Bereitstellungsprobleme
Diese Bereitstellung ist für die Verwendung auf neuen Windows-Geräten gedacht. Bei Bereitstellungsfehlern ist möglicherweise eine Zurücksetzung des Geräts auf die Werkseinstellungen oder eine Wiederherstellung des Geräts von einem Startimage erforderlich. Folgende Beispiele beschreiben einige mögliche Gründe für Fehler bei der Bereitstellung:
- Ein Bereitstellungspaket, das versucht, einer Active Directory-Domäne oder Microsoft Entra Mandanten beizutreten, der kein lokales Konto erstellt, könnte dazu führen, dass das Gerät nicht erreichbar ist, wenn der Domänenbeitritt aufgrund fehlender Netzwerkkonnektivität fehlschlägt.
- Skripts, die vom Bereitstellungspaket ausgeführt werden, werden im Systemkontext ausgeführt. Die Skripts können beliebige Änderungen am Gerätedateisystem und an den Konfigurationen vornehmen. Ein schädliches oder fehlerhaftes Skript kann das Gerät in einen Zustand versetzen, aus dem eine Wiederherstellung nur durch erneutes Aufspielen eines Images oder durch Zurücksetzen des Geräts möglich ist.
Sie können überprüfen, ob die Einstellungen in Ihrem Paket im Provisioning-Diagnostics-Provider- Administratorprotokoll in der Ereignisanzeige erfolgreich bzw. fehlgeschlagen sind.
Hinweis
Die Massenregistrierung wird als benutzerlose Registrierungsmethode betrachtet, weshalb während der Registrierung nur die Registrierungsbeschränkung „Standard“ in Intune gelten würde. Stellen Sie sicher, dass die Windows-Plattform in der Standardeinschränkung zulässig ist, andernfalls schlägt die Registrierung fehl. Informationen zu den Funktionen neben anderen Windows-Registrierungsmethoden finden Sie unter Intune-Registrierungsmethodenfunktionen für Windows-Geräte.
Massenregistrierung über WLAN
Wenn Sie kein offenes Netzwerk verwenden, müssen Sie Zertifikate auf Geräteebene verwenden, um Verbindungen zu initiieren. Geräte, die per Massenvorgang registriert wurden, können keine benutzerspezifischen Zertifikate für den Netzwerkzugriff verwenden.
Bedingter Zugriff
Der bedingte Zugriff ist für Geräte verfügbar, die über die Massenregistrierung registriert wurden, die Windows 11 oder Windows 10 Version 1803 und höher ausgeführt werden.