Freigeben über


Massenregistrierung für Windows-Geräte

Gilt für

  • Windows 10
  • Windows 11

Neue Windows-Geräte mit Microsoft Entra ID und Intune verbinden. Um Geräte für Ihren Microsoft Entra-Mandanten per Massenregistrierung zu registrieren, erstellen Sie ein Bereitstellungspaket mit der Windows Configuration Designer-App (WCD). Durch das Anwenden des Bereitstellungspakets auf unternehmenseigene Geräte werden die Geräte mit Ihrem Microsoft Entra-Mandanten verknüpft und für die Intune-Verwaltung registriert. Nachdem das Paket angewendet wurde, können sich Ihre Microsoft Entra-Benutzer anmelden.

Microsoft Entra-Benutzer sind Standardbenutzer auf diesen Geräten und erhalten zugewiesene Intune-Richtlinien und erforderliche Apps. Windows-Geräte, die mit der Windows-Massenregistrierung in Intune registriert werden, können die Unternehmensportal-App nutzen, um verfügbare Apps zu installieren.

Rollen und Berechtigungen

Zum Erstellen eines Massenregistrierungstokens müssen Sie über eine unterstützte Microsoft Entra-Rollenzuweisung verfügen und dürfen nicht auf eine Verwaltungseinheit in Microsoft Entra ID beschränkt sein. Die integrierten Microsoft Entra-Rollen mit der Berechtigung zum Erstellen von Massenregistrierungstoken sind:

  • Cloudgeräteadministrator
  • Intune-Administrator
  • Kennwortadministrator

Weitere Informationen zu diesen Rollen finden Sie unter Integrierte Microsoft Entra-Rollen.

Voraussetzungen

Stellen Sie außerdem sicher, dass der Dienstprinzipal für Microsoft.Azure.SyncFabric (AppID 00000014-0000-0000-c000-000000000000) in Ihrem Microsoft Entra-Mandanten vorhanden ist. Verwenden Sie in einer Befehlszeile den Get-AzureADServicePrincipal Befehl, um nach dem Dienstprinzipal zu suchen. Ohne den Dienstprinzipal kann der Windows-Konfigurations-Designer das Massenregistrierungstoken nicht abrufen, was zu einem Fehler führt.

Erstellen eines Bereitstellungspakets

  1. Installieren Sie Windows Configuration Designer (WCD) aus dem Microsoft Store.

  2. Öffnen Sie die Windows Configuration Designer-App, und wählen Sie Desktopgeräte bereitstellen aus. Screenshot: Auswählen von

  3. Das Fenster Neues Projekt wird geöffnet, in dem Sie folgende Informationen angeben:

    • Name: Der Name für das Projekt
    • Projektordner: Speicherort des Projekts
    • Beschreibung : Eine optionale Beschreibung des Projekts Screenshot der Angabe des Namens, des Projektordners und der Beschreibung in der Windows Configuration Designer-App
  4. Geben Sie einen eindeutigen Namen für Ihre Geräte ein. Die Namen können eine Seriennummer (%SERIENNUMMER%) oder eine zufällige Folge von Zeichen umfassen. Optional können Sie auch einen Product Key eingeben, wenn Sie die Windows-Edition aktualisieren, das Gerät für die gemeinsame Nutzung konfigurieren und vorinstallierte Software entfernen.

    Abbildung vom Angeben des Namens und Produktschlüssels in der Windows Configuration Designer-App

  5. Optional können Sie das WLAN konfigurieren, bei dem sich Geräte beim ersten Start anmelden. Wenn die Netzwerkgeräte nicht konfiguriert wurden, ist beim ersten Start des Geräts eine kabelgebundene Netzwerkverbindung erforderlich. Screenshot: Aktivieren von Wi-Fi einschließlich Netzwerk-SSID- und Netzwerktypoptionen in der Windows Configuration Designer-App

  6. Wählen Sie Bei Azure AD registrieren, geben Sie ein Datum für den Ablauf des Massentokens ein, und wählen Sie dann Massentoken abrufen aus. Der Gültigkeitszeitraum des Tokens beträgt 180 Tage.

    Hinweis

    Nachdem ein Bereitstellungspaket erstellt wurde, kann es vor seinem Ablauf widerrufen werden, indem das zugeordnete package_{GUID}-Benutzerkonto aus der Microsoft Entra-ID entfernt wird.

  7. Geben Sie Ihre Microsoft Entra-Anmeldeinformationen an, um ein Massentoken zu erhalten. Screenshot der Anmeldung bei der Windows Configuration Designer-App

    Hinweis

    • Das Konto, das Sie zum Anfordern des Massentokens verwenden, muss im MDM-Benutzerbereich in Microsoft Entra ID enthalten sein. Wenn Sie dieses Konto aus einer Gruppe entfernen, die an den MDM-Benutzerbereich gebunden ist, funktioniert die Massenregistrierung nicht mehr.
    • Der Massenabruf von Token funktioniert nicht für Verbundbenutzerkonten, die für gestaffelte Rollouts aktiviert sind.
  8. Wählen Sie auf der Seite Bei all Ihren Apps angemeldet bleiben die Option Nein, nur bei dieser App anmelden aus. Wenn Sie das Kontrollkästchen aktiviert lassen und auf OK klicken, wird das von Ihnen verwendete Gerät von Ihrer Organisation verwaltet. Wenn Sie nicht beabsichtigen, Ihr Gerät verwalten zu lassen, achten Sie darauf, Nein, nur bei dieser App anmelden auszuwählen.

  9. Klicken Sie auf Weiter, wenn das Massentoken erfolgreich abgerufen wurde.

  10. Optional können Sie Anwendungen hinzufügen und Zertifikate hinzufügen. Diese Anwendungen und Zertifikate werden auf dem Gerät bereitgestellt.

  11. Optional können Sie Ihr Bereitstellungspaket mit einem Kennwort schützen. Klicken Sie auf Erstellen. Screenshot: Paketschutz in der Windows Configuration Designer-App

Bereitstellen von Geräten

  1. Greifen Sie auf das Bereitstellungspaket zu, das sich an dem unter Projektordner in der App angegebenen Speicherort befindet.

  2. Wählen Sie aus, wie Sie das Bereitstellungspaket auf das Gerät anwenden möchten. Ein Bereitstellungspaket kann mit einer der folgenden Methoden auf ein Gerät angewendet werden:

    • Speichern Sie das Paket auf einem USB-Laufwerk, verbinden Sie dieses Laufwerk mit dem Gerät, das Sie per Massenvorgang registrieren möchten, und wenden Sie das Paket während des anfänglichen Setups an.
    • Speichern Sie das Paket in einem Netzwerkordner, und wenden Sie es nach der ersten Einrichtung an

    Eine Schrittanleitung zum Anwenden eines Bereitstellungspakets finden Sie unter Anwenden eines Bereitstellungspakets.

  3. Nachdem das Paket angewendet wurde, wird das Gerät nach ca. 1 Minute automatisch neu gestartet. Screenshot des Projektordners mit Angabe des Namens und der Beschreibung in der Windows Configuration Designer-App

  4. Wenn das Gerät neu gestartet wird, stellt es eine Verbindung mit der Microsoft Entra-ID her und registriert sich bei Microsoft Intune.

Problembehandlung bei der Massenregistrierung unter Windows

Bereitstellungsprobleme

Diese Bereitstellung ist für die Verwendung auf neuen Windows-Geräten gedacht. Bei Bereitstellungsfehlern ist möglicherweise eine Zurücksetzung des Geräts auf die Werkseinstellungen oder eine Wiederherstellung des Geräts von einem Startimage erforderlich. Folgende Beispiele beschreiben einige mögliche Gründe für Fehler bei der Bereitstellung:

  • Ein Bereitstellungspaket, das versucht, einer Active Directory-Domäne oder einem Microsoft Entra-Mandanten beizutreten, der kein lokales Konto erstellt, könnte dazu führen, dass das Gerät nicht erreichbar ist, wenn der Domänenbeitritt aufgrund fehlender Netzwerkkonnektivität fehlschlägt.
  • Skripts, die vom Bereitstellungspaket ausgeführt werden, werden im Systemkontext ausgeführt. Die Skripts können beliebige Änderungen am Gerätedateisystem und an den Konfigurationen vornehmen. Ein schädliches oder fehlerhaftes Skript kann das Gerät in einen Zustand versetzen, aus dem eine Wiederherstellung nur durch erneutes Aufspielen eines Images oder durch Zurücksetzen des Geräts möglich ist.

Sie können überprüfen, ob die Einstellungen in Ihrem Paket im Provisioning-Diagnostics-Provider- Administratorprotokoll in der Ereignisanzeige erfolgreich bzw. fehlgeschlagen sind.

Hinweis

Die Massenregistrierung wird als benutzerlose Registrierungsmethode betrachtet, weshalb während der Registrierung nur die Registrierungsbeschränkung „Standard“ in Intune gelten würde. Stellen Sie sicher, dass die Windows-Plattform in der Standardeinschränkung zulässig ist, andernfalls schlägt die Registrierung fehl. Informationen zu den Funktionen neben anderen Windows-Registrierungsmethoden finden Sie unter Intune-Registrierungsmethodenfunktionen für Windows-Geräte.

Massenregistrierung über WLAN

Wenn Sie kein offenes Netzwerk verwenden, müssen Sie Zertifikate auf Geräteebene verwenden, um Verbindungen zu initiieren. Geräte, die per Massenvorgang registriert wurden, können keine benutzerspezifischen Zertifikate für den Netzwerkzugriff verwenden.

Bedingter Zugriff

Der bedingte Zugriff ist für Geräte verfügbar, die über die Massenregistrierung registriert sind und Windows 11 oder Windows 10, Version 1803 und höher, ausführen.