Windows-Geräte registrieren

Es gibt mehrere unterstützte Methoden zur Registrierung von Windows 10/11-Geräten. Auf den Geräten sollten sich Pro-, Enterprise- oder Education-Versionen von MS Windows befinden. Home- und S-Versionen registrieren sich nur eingeschränkt – Es kann z.B. zu Problemen bei der Softwareverteilung kommen. Hier sind die Methoden:

Selbstregistrierung der Benutzer in Intune
- BYOD-Benutzer registrieren sich durch Herunterladen und Installieren der Unternehmensportal-App oder über die die Einstellungen-App auf Windows 10/11.
- Nur MDM-Registrierung (wird hier nicht beschrieben).
- Azure AD Join – AAD-verbundene Systeme melden sich automatisch bei AAD Join an. Dies erfordert Entra-ID P1 Lizenz (ist in der A5 oder E5 Lizenz enthalten).
Administrator-basierte Registrierung in Intune.
- Hybrid Azure AD Join – AD GPO ist so konfiguriert, dass Hybrid AAD verbundene Systeme automatisch angemeldet werden.
- Configuration Manager Co-Management (wird hier nicht beschrieben).
- Bulk Enroll (wird hier nicht beschrieben).
- Windows IoT Core-Geräte (wird hier nicht beschrieben).
Registrierung mit AutoPilot
- Neugeräte können mithilfe von AutoPilot-Hashes (in einer CSV-Liste) registriert werden. Für bereits erworbene Geräte ist die Methode in der Regel nicht mehr (einfach) möglich.
- Registrierung vor Erhalt der Geräte möglich.
- Eine AutoPilot CSV-Tabelle erhältst du vom Händler der Geräte. Er muss sie evtl. bei seinem Distributor anfragen. Nicht alle Gerätehersteller bieten

Automatische Windows-Registrierung

Starte im Intune Admin Center: Alle Dienste > M365 Azure Active Directory (jetzt öffnet sich das Entra Admin Center) > Einstellungen > Mobilität (MDM und MAM) > Microsoft Intune
alternativ:
Starte im Entra Admin Center: Einstellungen > Mobilität (MDM und MAM) > Microsoft Intune
Aktiviere die Optionen für MDM- und ggf. für den MAM-Benutzerbereich und klicke abschließend auf Speichern.
Hinweis: Einige Tennants haben möglicherweise sowohl Microsoft Intune als auch Microsoft Intune
Enrollment (Registrierung) unter Mobilität. Stelle sicher, dass deine Einstellungen für die automatische Registrierung unter Microsoft Intune und nicht unter Microsoft Intune Enrollment konfiguriert sind.

Konfiguriere den MDM-Benutzerbereich. Gib an, welche Geräte deiner Benutzer von Intune verwaltet werden sollen. Diese Windows 10- oder 11-Geräte können sich automatisch für die Verwaltung mit Microsoft Intune anmelden:

Keine = Automatische Registrierung ist deaktiviert.
Einige = Wähle die Gruppe(n) aus, die ihre Windows-Geräte automatisch registrieren können.
Alle = Alle Benutzer können ihre Windows-Geräte automatisch registrieren.

Hinweis: Die Benutzerbereiche müssen auf eine Azure AD- (Sicherheits-) Gruppe festgelegt werden, die Benutzerobjekte enthält.

Bei den Feldern für die URLs kannst du entsprechende Seiten verlinken.

Hinweis: Standardmäßig ist die Multi-Faktor-Authentifizierung für den Dienst nicht aktiviert. Allerdings wird die Multi-Faktor-Authentifizierung empfohlen, wenn ein Gerät registriert wird. Um die Multi-Faktor-Authentifizierung zu aktivieren, konfiguriere diese Funktion im Entra Admin Center. Weitere Informationen findest du hier.

Voraussetzungen für eine Hybrideinbindung

Active Directory-verbundener PC mit Windows 10, Version 1709 oder höher.
Das Unternehmen hat einen Mobile Device Management (MDM)-Dienst konfiguriert.
Das lokale Active Directory muss mit Azure AD (über Azure AD Connect) verknüpft sein.
Das Gerät sollte nicht bereits in Intune registriert sein (bei Geräten, die mit Agenten verwaltet werden, erhältst du sonst die Anmeldung 0x80180026).
Die Mindestanforderung an die Windows Server-Version basiert auf der Hybrid Azure AD-Anbindung-Anforderung. Weitere Informationen findest du hier.

Wenn die Gruppenrichtlinie für die automatische Registrierung aktiviert ist, wird im Hintergrund eine Aufgabe erstellt, die die MDM-Registrierung initiiert. Die Aufgabe verwendet die vorhandene MDM-Dienstkonfiguration aus den Azure Active
Directory-Informationen des Benutzers. Wenn eine Multi-Faktor-Authentifizierung erforderlich ist, erhält der Benutzer eine entsprechende Aufforderung um die Authentifizierung abzuschließen. Sobald die Registrierung konfiguriert ist, kann der Benutzer den Status auf der Seite Einstellungen ansehen.

Um sicherzustellen, dass die Funktion der automatischen Registrierung wie erwartet funktioniert, musst du überprüfen, ob verschiedene Anforderungen und Einstellungen korrekt konfiguriert sind. Die folgenden Schritte veranschaulichen die erforderlichen Einstellungen unter Verwendung des Intune-Dienstes:

Überprüfe, ob die automatische Registrierung für die Benutzer aktiviert ist, die die Geräte im Mobile Device Management (MDM) registrieren. Weitere Informationen findest du hier.
Die automatische Registrierung in Intune über Gruppenrichtlinien ist nur für Geräte gültig, die mit Hybrid Azure AD verbunden sind. Das bedeutet, dass das Gerät mit dem lokalen Active Directory verbunden und in Azure Active Directory registriert sein muss. Überprüfe, ob das Gerät hybrid mit Azure AD verbunden ist und führe den Befehl dsregcmd /status über die Eingabeaufforderung aus. Du kannst davon ausgehen, dass das Gerät ordnungsgemäß hybrid-verbunden ist, wenn sowohl AzureAdJoined und DomainJoined auf YES gesetzt sind.Zusätzlich kannst du überprüfen, ob im SSO-Bereich AzurADPrt auf YES gesetzt ist.Prüfe, ob Geräte im Entra Admin Center > Geräte > Alle Geräte in Spalte Jointype, sollten wie folgt abgebildet sein:
Überprüfe, ob die URL für die MDM-Ermittlung während der automatischen Registrierung wie folgt lautet: https://enrollment.manage.microsoft.com/enrollmentserver/discovery.svc
Stelle sicher, dass das Gerät nicht mit dem alten Intune-Client registriert ist, der auf dem Intune Silverlight Portal verwendet wurde (dies ist das Intune-Portal, das vor dem Azure-Portal verwendet wurde).
Überprüfe, ob Microsoft Intune die Registrierung von Windows-Geräten zulässt.
Starte im Intune Admin Center: Geräte > Registrierungseinschränkungen – Geräteplattform > Windows-Einschränkungen > (Gruppe auswählen) Alle Benutzer > Eigenschaften > Windows (MDM) muss auf Erteilen Sie gesetzt sein.

Automatische Registrierung für eine Gruppe von Geräten konfigurieren

Suche im Internet nach dem aktuellen ADMX Templates for Windows 11 und lade es von der Microsoft-Webseite herunter. Stand 23.08.2023: hier.
Installiere das Paket auf dem Domain Controller.
Navigiere zum Ordner: C:\Program Files (x86)\Microsoft Group Policy\Windows 11 2022 Update (22H2) bzw. zum entsprechenden aktuellen Ordner.
Benenne den extrahierten Ordner Policy Definitions in PolicyDefinitions (ohne Leerzeichen) um.
Kopiere den Ordner PolicyDefinitions nach \SYSVOL\contoso.com\policies\PolicyDefinitions. Wenn dieser Ordner nicht vorhanden ist, solltest du beachten, dass du zu einem zentralen Richtlinienspeicher für deine gesamte Domäne wechselst und dort speicherst.
Warte bis die SYSVOL-DFSR-Replikation abgeschlossen ist, damit die Richtlinie verfügbar ist.

Dieses Verfahren gilt auch für alle zukünftigen Versionen:

Erstelle ein Gruppenrichtlinienobjekt (GPO) und aktiviere die Gruppenrichtlinie Computer.
Konfiguration > Richtlinien > Administrative Vorlagen > Windows Komponenten > MDM > Aktiviere die automatische MDM-Anmeldung mit den standardmäßigen Azure AD-Anmeldeinformationen.
Erstelle eine Sicherheitsgruppe für die Geräte.
Verknüpfe das Gruppenrichtlinienobjekt mit dem entsprechenden Container (Site, Domain oder Organization Unit).
Filtere nach Bedarf mit Hilfe von Sicherheitsgruppen.

Weitere Informationen

Microsoft stellt weitere Informationen unter diesem Link zur Verfügung.

Registrierung mit AutoPilot

Sofern vom Gerätehersteller angeboten, kannst du Autopilot-Hashes anfordern und zu Intune importieren (Registrieren mit einer CSV-Datei). Die Autopilot-Hashes sind eindeutige Gerätezuordnungen. du kannst damit bereits Geräte mit Software konfigurieren, auch wenn die Geräteauslieferung noch nicht erfolgt ist. Somit musst du mit der Konfiguration nicht unbedingt bis zum Erhalt der Geräte warten. Bei der ersten Verbindung der Geräte mit dem Internet, wird die Zuordnung zur Organisation eingerichtet und z.B. bestimmte Software, die du in Intune definiert hast, automatisch installiert. Für mich ist dies die bevorzugte Methode, da sie schnell und sicher ist.

Die folgende Microsoft-Seite beschreibt den Vorgang gut.

Was ist ein AutoPilot-Hash?

Der Autopilot-Hash bezieht sich auf die Hardware-ID eines Windows-Geräts, die von Windows Autopilot während des Registrierungsvorgangs erstellt wird. Diese eindeutige Kennung hilft bei der Identifizierung und Zuweisung von Geräten im Intune Admin Center. Durch den Autopilot-Hash kann Intune die Geräte automatisch konfigurieren und die entsprechenden Profile, Richtlinien und Anwendungen bereitstellen, um die Geräte schnell und effizient in die Umgebung zu integrieren.

Wenn Du keine AutoPilot-Hashs zur Verfügung hast

Hier beschreibt Microsoft, wie du sie aus Bestandsgeräten auslesen kannst: Registrieren Sie Geräte manuell mit Windows Autopilot | Microsoft Learn

Geräte manuell registrieren (ADK/ICD)

Der Windows Imaging and Configuration Designer (ICD) ist ein Tool, das verwendet werden kann, um ein Bereitstellungspaket zu erstellen, das Anpassungseinstellungen enthält, die dazu beitragen, Geräte in die Intune Geräteverwaltung aufzunehmen. Anschließend kann das Bereitstellungspaket auf ein Gerät angewandt werden, auf dem der Windows-Client ausgeführt wird.

Der ICD ist ein leistungsfähiges Tool, das verwendet werden kann, um die Bereitstellung von Windows-Geräten für Intune zu automatisieren und zu vereinfachen. Ich empfehle das Tool über das Windows Assessment and Deployment Kit (Windows ADK) herunterzuladen. Im ADK findest du noch weitere hilfreiche Tools.

Schritt-für-Schritt

AKD herunterladen und ICD installieren

Lade Dir das ADK herunter: Herunterladen des Windows ADK für Windows 11, Version 22H2. Falls du eine andere Windows Version benutzt, kannst du alternativ das ICD im Microsoft Store herunterladen.
Mithilfe des AKD (Assessment and Deployment Kit) wird der ICD (Imaging and Configuration Designer) heruntergeladen und installiert.
Öffne die heruntergeladenen ADK-Datei.
Aktiviere mindestens die folgenden Optionen.
Klicke auf Installieren und folge den Bildschirmanweisungen. Der Imaging and Configuration Designer (ICD) ist nun installiert.

ICD ausführen

Mit dem ICD erstellst du ein Bereitstellungspaket (aus mehreren Dateien bestehend), dass du auf einen USB-Stick kopieren kannst. Mithilfe des USB-Sticks kannst du danach Geräte in Intune aufnehmen.

Starte den Imaging and Configuration Designer (ICD)

Suche nach ICD (über das Startmenü oder das Suchfeld in der MS Windows Taskleiste) und öffne die App.
So sieht die geöffnete App aus:
Klicke auf Provision desktop devices.
Folgendes Fenster öffnet sich:
Vergib einen Namen für das Projekt (Name:) > bestätige oder wähle den Projektordner (Project folder: – hier werden die Dateien für den USB-Stick abgespeichert) > klicke dann auf Finish.
Set up device:
a) Gib an, wie du die mit dieser Methode registrierte Geräte benennen willst, z.B. NB-%SERIAL% (Beispielergebnis; NB-42336652, wobei ich NB für Notebook setze, dann kommt die Seriennummer des Gerätes). Mit -%RAND:5% erhältst du eine Zufallszahl mit einer Länge von 5 Stellen.
b) Ein Produktschlüssel (Enter product key) wird nicht benötigt.
c) Configure devices for shared use solltest du nur aktivieren, wenn du gemeinsam genutzte Geräte aktivieren möchtest. Das ist immer dann sinnvoll, wenn mehrere Personen auf einem Gerät anmelden (z.B. im Computer-Schulungsraum). Du solltest die Option nicht aktivieren, wenn jede Person immer ein eignes Gerät benutzt.
d) Wenn du Remove pre-installed software aktivierst, wird vorinstalliert Software entfernt, nachdem sich das Gerät mit Intune verbunden hat.
e) Klicke auf Next.
Set up network:
a) Aktiviere Connect devices to a Wi-Fi network, wenn du die Geräte später per WLAN verbinden möchtest. Falls dann doch Geräte kabelgebunden genutzt werden, ist diese Einstellung nicht schädlich.
b) Gib die Netzwerkkennung deines WLANs (Network SSID) an.
c) Wähle den Netzwerktyp (Network type). In der Regel ist es WPA2-Personal und gib das Netzwerk Kennwort (Password) ein.
d) Klicke auf Next.
Account Management:
a) Klicke auf Enroll in Azure AD, für die Verbindung zum AAD, bzw. Entra in deinem Tenant.
b) Wähle das Ablaufdatum der Bereitstellungsinformationen (Bulk Token Expiry – ab dann kannst du die erstellte Bereitstellung nicht mehr nutzen) aus. Die max. Dauer von rund 6 Monaten ist voreingestellt.
c) Klicke auf Get Bulk Token und melde dich mit einem Konto an, das über Administratorrechte verfügt und stimme den Vereinbarungen zu. Falls die Anmeldung nicht zugelassen wird, aktiviere Refresh AAD credentials.
d) Wenn du später auf den registrierten Geräten lokale Adminrechte erhalten möchtest, gib einen Benutzernamen (User name) und ein Kennwort (Password) ein. Das kann dazu beitragen, dass du immer die Kontrolle über die Geräte erhältst.
e) Klicke auf Next.
Add applications:
a) Hier musst du keine Eingaben vornehmen, du kannst die gewünschten Apps später besser über Intune verteilen. Klicke auf Next.
Add certificates:
a) Auch hier musst du keine Eingaben vornehmen, außer wenn du Zertifikate installieren möchtest. Klicke auf Next.
Finish:
a) Wenn du magst, kannst du deine Dateien des Bereitstellungspakets (Protect your package) optional mit einem Kennwort schützen. Klicke auf Create.
b) Das Bereitstellungspaket ist erstellt. Der Pfad wird dir am unteren Rand der App angezeigt. Du kannst die App nun schließen.
Kopiere die Dateien aus dem Pfad auf einen USB-Stick.

Ein Gerät mit einem USB-Stick registrieren

Wenn du einen USB-Stick über dem zuvor beschriebenen Weg erstellt hast, stecke ihn in den entsprechenden Anschluss an das Gerät, starte es und verbinde dich mit dem WLAN. Folge dann den Anweisungen und verbinde das Gerät mit Intune.

Ein Windows-Gerät manuell mit der Organisation verbinden

Hier zeige ich Dir mehrere Maßnahmen, mit deren Hilfe du ein Gerät in Intune registrieren kannst. Es kann bei Geräten Probleme geben, wenn eine Windows Home-Version auf dem Gerät installiert ist. du solltest möglichst immer Windows 10 oder 11 Pro, Education oder Enterprise einsetzen. Grundlegend musst du darauf achten, das der Benutzer des Gerätes über eine Intune-Lizenz verfügt. Falls du auch die Microsoft 365 Apps verteilen möchtest, muss auch hierfür eine Lizenz zugewiesen sein.

Bei der Geräteverwaltung registrieren

Klicke in der Windows Taskleiste auf Start > Einstellungen > Konten > Auf Arbeits- oder Schulkonto zugreifen > Nur bei der Geräteverwaltung registrieren > Melde dich mit einem Arbeits- oder Schulkonto an und folge den Bildschirmanweisungen.

Hinweis: Oft ist es sinnvoll, das Geschäfts- oder Schulkonto auch gleich bei Einstellungen > Konten > E-Mail und Konten > Im Bereich Von E-Mail, Kalender und Kontakten verwendete Konten und im Bereich Von anderen Apps verwendete Konten hinzuzufügen.

Das Unternehmensportal aufrufen

Wenn du ein Gerät mit dem Unternehmensportal verbindest, wird es sich dabei in Intune registrieren. Das Unternehmensportal wird in der Regel dafür benutzt, um Apps von deiner Organisation zur Verfügung zu stellen, die nicht zwingend erforderlich sind, also nicht installiert werden müssen. Die Benutzer können selbst entscheiden, ob sie sie installieren möchten oder nicht. Wenn du z.B. 3 unterschiedliche Lern-Apps für die 5., 6, und 7. Klasse zur Installation zur Verfügung stellen möchtest, aber die 3 Apps nicht zwingend für alle Schüler aller Klassen installieren möchtest, ist das Unternehmensportal eine gute Wahl.

Benutzer können Apps aus dem Unternehmensportal auch dann installieren, wenn Sie nicht über lokale Adminrechte auf dem Gerät verfügen. Das Unternehmensportal kannst du über den Microsoft Store kostenfrei beziehen.

Starte mit der Ausführung des folgenden Links auf dem Gerät, auf dem das Unternehmensportal installiert werden soll an.
Melde dich auf dem Gerät mit dem Schul- oder Geschäftskonto des entsprechenden Benutzers an und folge den Bildschirmanweisungen.
Auf dem Home-Bildschirm des Unternehmensportals sollte nun das entsprechende Gerät aufgeführt sein und der Hinweis Kann auf Unternehmensressourcen zugreifen sollte angezeigt werden.
Im Bereich Downloads und Updates findest du die Apps, die Dir von der Organisation zur Verfügung gestellt wurden.

Hinweis: Auch wenn du keine Apps über das Unternehmensportal bereit stellst, wird die Registrierung bei Intune durch die Anmeldung an das Unternehmensportal durchgeführt. du solltest das Gerät des entsprechenden Benutzers in der Übersicht der Geräte im Intune Admin Center finden.