Geführtes Szenario: Cloudverwalteter moderner Desktop
Der moderne Desktop ist die hochmoderne Produktivitätsplattform für den Information Worker. Microsoft 365 Apps und Windows 10 sind die Kernkomponenten des modernen Desktops sowie die neuesten Sicherheitsbaselines für Windows 10 und Microsoft Defender for Endpoint.
Die Verwaltung des modernen Desktops aus der Cloud bietet den zusätzlichen Vorteil internetweiter Remoteaktionen. Die Cloudverwaltung nutzt die integrierten Windows Mobile Geräteverwaltung-Richtlinien und entfernt Abhängigkeiten von lokalen Active Directory-Gruppenrichtlinien.
Wenn Sie einen in der Cloud verwalteten modernen Desktop in Ihrem eigenen organization auswerten möchten, werden in diesem geführten Szenario alle erforderlichen Konfigurationen für eine einfache Bereitstellung vordefiniert. In diesem geführten Szenario erstellen Sie eine sichere Umgebung, in der Sie Intune Geräteverwaltungsfunktionen ausprobieren können.
Voraussetzungen
- Legen Sie die MDM-Autorität auf Intune fest: Die Autoritätseinstellung für die Verwaltung mobiler Geräte (Mobile Device Management, MDM) bestimmt, wie Sie Ihre Geräte verwalten. Als IT-Administrator müssen Sie eine MDM-Autorität festlegen, bevor Benutzer Geräte für die Verwaltung registrieren können.
- Eine Microsoft Intune-Lizenz (z. B. Microsoft 365 Business Premium, Microsoft 365 E3 oder Microsoft 365 E5). Weitere Lizenzierungsinformationen finden Sie unter Microsoft Intune Lizenzierung.
- Windows 10 1903-Gerät (bei Windows Autopilot registriert, um eine optimale Endbenutzererfahrung zu erzielen)
- Intune Administratorberechtigungen, die für dieses geführte Szenario erforderlich sind:
- Gerätekonfiguration lesen, erstellen, löschen, zuweisen und aktualisieren
- Registrierungsprogramme, Gerät lesen, Profil lesen, Profil erstellen, Profil zuweisen, Profil löschen
- Lesen, Erstellen, Löschen, Zuweisen und Aktualisieren mobiler Apps
- Organisationslese- und Aktualisierungsvorgänge
- Lesen, Erstellen, Löschen, Zuweisen und Aktualisieren von Sicherheitsbaselines
- Lesen, Erstellen, Löschen, Zuweisen und Aktualisieren von Richtliniensätzen
Schritt 1: Einführung
In diesem geführten Szenario richten Sie einen Testbenutzer ein, registrieren ein Gerät bei Intune und stellen das Gerät mit Intune empfohlenen Einstellungen sowie Windows 10 und Microsoft 365 Apps bereit. Ihr Gerät wird auch für Microsoft Defender for Endpoint konfiguriert, wenn Sie diesen Schutz in Intune aktivieren. Der von Ihnen eingerichtete Benutzer und das gerät, das Sie registrieren, werden einer neuen Sicherheitsgruppe hinzugefügt und mit den empfohlenen Einstellungen für Sicherheit und Produktivität konfiguriert.
Was Sie benötigen, um fortzufahren
In diesem geführten Szenario müssen Sie Ihr Testgerät und den Testbenutzer angeben. Stellen Sie sicher, dass Sie die folgenden Aufgaben ausführen:
- Richten Sie ein Testbenutzerkonto in Microsoft Entra ID ein.
- Erstellen Sie ein Testgerät mit Windows 10 Version 1903 oder höher.
- (Optional) Registrieren Sie das Testgerät bei Windows Autopilot.
- (Optional) Aktivieren Sie das Branding auf der Microsoft Entra Anmeldeseite Ihres organization.
Schritt 2: Benutzer
Wählen Sie einen Benutzer aus, der auf dem Gerät eingerichtet werden soll. Diese Person ist der primäre Benutzer des Geräts.
Wenn Sie dieser Konfiguration weitere Benutzer oder Geräte hinzufügen möchten, fügen Sie die Benutzer und Geräte der vom Assistenten generierten Microsoft Entra Sicherheitsgruppen hinzu. Im Gegensatz zu anderen geführten Szenarien müssen Sie den Assistenten nicht mehrmals ausführen, da die Konfiguration nicht angepasst werden kann. Fügen Sie einfach weitere Benutzer und Geräte zu den erstellten Microsoft Entra Gruppen hinzu. Nach Abschluss des Assistenten können Sie die Gruppe anzeigen, die mit den bereitgestellten empfohlenen Richtlinien generiert wurde.
Schritt 3: Gerät
Stellen Sie sicher, dass auf Ihrem Gerät Windows 10, Version 1903 oder höher, ausgeführt wird. Der primäre Benutzer muss das Gerät einrichten, wenn er es erhält. Dem Benutzer stehen zwei Setupoptionen zur Verfügung.
Option A – Windows Autopilot
Windows Autopilot automatisiert die Konfiguration neuer Geräte, sodass Benutzer sie ohne IT-Unterstützung sofort einrichten können. Wenn Ihr Gerät bereits bei Windows Autopilot registriert ist, wählen Sie es anhand seiner Seriennummer aus. Weitere Informationen zur Verwendung von Windows Autopilot finden Sie unter Registrieren eines Geräts mit Windows Auto Pilot (optional).For more information about using Windows Autopilot, see Register device with Windows Auto pilot (Optional).
Option B: Manuelle Geräteregistrierung
Benutzer richten ihre neuen Geräte manuell ein und registrieren sie bei der Verwaltung mobiler Geräte. Nachdem Sie dieses Szenario abgeschlossen haben, setzen Sie das Gerät zurück, und geben Sie dem primären Benutzer die Registrierungsanweisungen für Windows-Geräte. Weitere Informationen finden Sie unter Einbinden eines Windows 10 Geräts mit Microsoft Entra ID während der ersten Ausführung.
Schritt 4: Überprüfen + erstellen
Im letzten Schritt können Sie eine Zusammenfassung der von Ihnen konfigurierten Einstellungen überprüfen. Nachdem Sie Ihre Auswahl überprüft haben, klicken Sie auf Bereitstellen , um das geführte Szenario abzuschließen. Sobald das geführte Szenario abgeschlossen ist, wird eine Ressourcentabelle angezeigt. Sie können diese Ressourcen später bearbeiten, aber sobald Sie die Zusammenfassungsansicht verlassen, wird die Tabelle nicht mehr gespeichert.
Wichtig
Sobald das geführte Szenario abgeschlossen ist, wird eine Zusammenfassung angezeigt. Sie können die in der Zusammenfassung aufgeführten Ressourcen später ändern, die Tabelle, in der diese Ressourcen angezeigt werden, wird jedoch nicht gespeichert.
Verifizierung
- Überprüfen, ob dem ausgewählten MDM-Benutzerbereich zugewiesen ist
- Stellen Sie sicher , dass der MDM-Benutzerbereich wie folgt lautet:
- Legen Sie für die Microsoft Intune-App auf Alle fest, oder
- Legen Sie auf Some (Einige) fest. Fügen Sie außerdem die Benutzergruppe hinzu, die von diesem geführten Szenario erstellt wurde.
- Stellen Sie sicher , dass der MDM-Benutzerbereich wie folgt lautet:
- Vergewissern Sie sich, dass der ausgewählte Benutzer Geräte in Microsoft Entra ID einbinden kann.
- Stellen Sie sicher, dass Microsoft Entra Join wie folgt lautet:
- Legen Sie auf Alle oder fest,
- Legen Sie auf Some (Einige) fest. Fügen Sie außerdem die Benutzergruppe hinzu, die von diesem geführten Szenario erstellt wurde.
- Stellen Sie sicher, dass Microsoft Entra Join wie folgt lautet:
- Führen Sie die entsprechenden Schritte auf dem Gerät aus, um es auf der Grundlage der folgenden Schritte mit Microsoft Entra ID zu verbinden:
- Mit Autopilot. Weitere Informationen finden Sie unter Benutzergesteuerter Windows Autopilot-Modus.
- Ohne Autopilot: Weitere Informationen finden Sie unter Einbinden eines Windows 10 Geräts mit Microsoft Entra ID während der ersten Ausführung.
Was geschieht, wenn ich auf Bereitstellen klicke?
Der Benutzer und das Gerät werden neuen Sicherheitsgruppen hinzugefügt. Sie werden auch mit Intune empfohlenen Einstellungen für Sicherheit und Produktivität am Arbeitsplatz oder in der Schule konfiguriert. Nachdem der Benutzer das Gerät mit Microsoft Entra ID verknüpft hat, werden dem Gerät zusätzliche Apps und Einstellungen hinzugefügt. Weitere Informationen zu diesen zusätzlichen Konfigurationen finden Sie unter Schnellstart: Registrieren Ihres Windows 10 Geräts.
Weitere Informationen
Registrieren eines Geräts mit Windows Autopilot (optional)
Optional können Sie ein registriertes Autopilot-Gerät verwenden. Für Autopilot weist dieses geführte Szenario ein Autopilot-Bereitstellungsprofil und eine Registrierung status Seitenprofil zu. Das Autopilot-Bereitstellungsprofil wird wie folgt konfiguriert:
- Benutzergesteuerter Modus: Das heißt, der Endbenutzer muss während des Windows-Setups Benutzername und Kennwort eingeben.
- Microsoft Entra beitreten.
- Anpassen des Windows-Setups:
- Ausblenden des Bildschirms "Microsoft-Softwarelizenzbedingungen"
- Datenschutzeinstellungen ausblenden
- Erstellen des lokalen Profils des Benutzers ohne lokale Administratorrechte
- Ausblenden der Optionen zum Ändern des Kontos auf der Anmeldeseite des Unternehmens
Die Seite Registrierung status wird so konfiguriert, dass sie nur für Autopilot-Geräte aktiviert wird, und das Warten auf die Installation aller Apps wird nicht blockiert.
Das geführte Szenario weist den Benutzer auch dem ausgewählten Autopilot-Gerät zu, um eine personalisierte Einrichtung zu ermöglichen.
Post-Requisiten
Sobald der Benutzer das Gerät mit Microsoft Entra ID verknüpft hat, werden die folgenden Konfigurationen auf das Gerät angewendet:
- Microsoft 365 Apps werden automatisch auf dem in der Cloud verwalteten PC installiert. Sie umfasst die Anwendungen, mit denen Sie vertraut sind, einschließlich Access, Excel, OneNote, Outlook, PowerPoint, Publisher, Skype for Business und Word. Sie können diese Anwendungen verwenden, um eine Verbindung mit Microsoft 365-Diensten wie SharePoint Online, Exchange Online und Skype for Business Online herzustellen. Microsoft 365 Apps wird im Gegensatz zu Nichtabonnementversionen von Office regelmäßig mit neuen Features aktualisiert. Eine Liste der neuen Features finden Sie unter Neuerungen in Microsoft 365.
- Windows-Sicherheitsbaselines werden auf dem in der Cloud verwalteten PC installiert. Wenn Sie Microsoft Defender for Endpoint eingerichtet haben, werden im geführten Szenario auch Baselineeinstellungen für Defender konfiguriert. Defender für Endpunkt bietet eine neue Schutzebene nach einer Sicherheitsverletzung für den Windows 10 Sicherheitsstapel. Mit einer Kombination aus in Windows 10 integrierten Clienttechnologie und einem robusten Clouddienst hilft es, Bedrohungen zu erkennen, die es über andere Schutzmaßnahmen hinaus geschafft haben.
Nächste Schritte
- Wenn Sie Microsoft Defender Advanced Threat Detection verwenden, erstellen Sie eine Intune Compliance-Richtlinie, um die Defender-Bedrohungsanalyse zu erfordern, um die Compliance zu erfüllen.
- Erstellen Sie eine Richtlinie für den gerätebasierten bedingten Zugriff, um den Zugriff zu blockieren, wenn das Gerät nicht Intune Konformität erfüllt.