Geführtes Szenario: Cloudverwalteter moderner Desktop

Der moderne Desktop ist die hochmoderne Produktivitätsplattform für den Information Worker. Microsoft 365-Apps und Windows 10 sind die Kernkomponenten des modernen Desktops sowie die neuesten Sicherheitsbaselines für Windows 10 und Microsoft Defender für Endpunkt.

Die Verwaltung des modernen Desktops aus der Cloud bietet den zusätzlichen Vorteil internetweiter Remoteaktionen. Die Cloudverwaltung nutzt die integrierten Windows Mobile Device Management-Richtlinien und entfernt Abhängigkeiten von lokalen Active Directory-Gruppenrichtlinien.

Wenn Sie einen in der Cloud verwalteten modernen Desktop in Ihrer eigenen Organisation bewerten möchten, werden in diesem geführten Szenario alle erforderlichen Konfigurationen für eine einfache Bereitstellung vordefiniert. In diesem geführten Szenario erstellen Sie eine sichere Umgebung, in der Sie die Intune-Geräteverwaltungsfunktionen ausprobieren können.

Voraussetzungen

  • Legen Sie die MDM-Autorität auf Intune fest : Die Autoritätseinstellung für die Verwaltung mobiler Geräte (Mobile Device Management, MDM) bestimmt, wie Sie Ihre Geräte verwalten. Als IT-Administrator müssen Sie eine MDM-Autorität festlegen, bevor Benutzer Geräte für die Verwaltung registrieren können.
  • Eine Microsoft Intune-Lizenz (z. B. Microsoft 365 Business Premium, Microsoft 365 E3 oder Microsoft 365 E5). Weitere Lizenzierungsinformationen finden Sie unter Microsoft Intune-Lizenzierung.
  • Windows 10 1903-Gerät (registriert bei Windows Autopilot für optimale Endbenutzererfahrung)
  • Für dieses geführte Szenario sind Intune-Administratorberechtigungen erforderlich:
    • Gerätekonfiguration lesen, erstellen, löschen, zuweisen und aktualisieren
    • Registrierungsprogramme, Gerät lesen, Profil lesen, Profil erstellen, Profil zuweisen, Profil löschen
    • Lesen, Erstellen, Löschen, Zuweisen und Aktualisieren mobiler Apps
    • Organisationslese- und Aktualisierungsvorgänge
    • Lesen, Erstellen, Löschen, Zuweisen und Aktualisieren von Sicherheitsbaselines
    • Lesen, Erstellen, Löschen, Zuweisen und Aktualisieren von Richtliniensätzen

Schritt 1: Einführung

In diesem geführten Szenario richten Sie einen Testbenutzer ein, registrieren ein Gerät bei Intune und stellen das Gerät mit von Intune empfohlenen Einstellungen sowie Windows 10- und Microsoft 365-Apps bereit. Ihr Gerät wird auch für Microsoft Defender für Endpunkt konfiguriert, wenn Sie diesen Schutz in Intune aktivieren. Der von Ihnen eingerichtete Benutzer und das gerät, das Sie registrieren, werden einer neuen Sicherheitsgruppe hinzugefügt und mit den empfohlenen Einstellungen für Sicherheit und Produktivität konfiguriert.

Was Sie benötigen, um fortzufahren

In diesem geführten Szenario müssen Sie Ihr Testgerät und den Testbenutzer angeben. Stellen Sie sicher, dass Sie die folgenden Aufgaben ausführen:

Schritt 2: Benutzer

Wählen Sie einen Benutzer aus, der auf dem Gerät eingerichtet werden soll. Diese Person ist der primäre Benutzer des Geräts.

Wenn Sie dieser Konfiguration weitere Benutzer oder Geräte hinzufügen möchten, fügen Sie die Benutzer und Geräte den vom Assistenten generierten Microsoft Entra-Sicherheitsgruppen hinzu. Im Gegensatz zu anderen geführten Szenarien müssen Sie den Assistenten nicht mehrmals ausführen, da die Konfiguration nicht angepasst werden kann. Fügen Sie den erstellten Microsoft Entra-Gruppen einfach weitere Benutzer und Geräte hinzu. Nach Abschluss des Assistenten können Sie die Gruppe anzeigen, die mit den bereitgestellten empfohlenen Richtlinien generiert wurde.

Schritt 3: Gerät

Stellen Sie sicher, dass auf Ihrem Gerät Windows 10, Version 1903 oder höher, ausgeführt wird. Der primäre Benutzer muss das Gerät einrichten, wenn er es erhält. Dem Benutzer stehen zwei Setupoptionen zur Verfügung.

Option A – Windows Autopilot

Windows Autopilot automatisiert die Konfiguration neuer Geräte, sodass Benutzer sie ohne IT-Unterstützung sofort einrichten können. Wenn Ihr Gerät bereits bei Windows Autopilot registriert ist, wählen Sie es anhand seiner Seriennummer aus. Weitere Informationen zur Verwendung von Windows Autopilot finden Sie unter Registrieren eines Geräts mit Windows Auto Pilot (optional).For more information about using Windows Autopilot, see Register device with Windows Auto pilot (Optional).

Option B: Manuelle Geräteregistrierung

Benutzer richten ihre neuen Geräte manuell ein und registrieren sie bei der Verwaltung mobiler Geräte. Nachdem Sie dieses Szenario abgeschlossen haben, setzen Sie das Gerät zurück, und geben Sie dem primären Benutzer die Registrierungsanweisungen für Windows-Geräte. Weitere Informationen finden Sie unter Einbinden eines Windows 10-Geräts mit Microsoft Entra ID während der ersten Ausführung.

Schritt 4: Überprüfen + erstellen

Im letzten Schritt können Sie eine Zusammenfassung der von Ihnen konfigurierten Einstellungen überprüfen. Nachdem Sie Ihre Auswahl überprüft haben, klicken Sie auf Bereitstellen , um das geführte Szenario abzuschließen. Sobald das geführte Szenario abgeschlossen ist, wird eine Ressourcentabelle angezeigt. Sie können diese Ressourcen später bearbeiten, aber sobald Sie die Zusammenfassungsansicht verlassen, wird die Tabelle nicht mehr gespeichert.

Wichtig

Sobald das geführte Szenario abgeschlossen ist, wird eine Zusammenfassung angezeigt. Sie können die in der Zusammenfassung aufgeführten Ressourcen später ändern, die Tabelle, in der diese Ressourcen angezeigt werden, wird jedoch nicht gespeichert.

Verifizierung

  1. Überprüfen, ob dem ausgewählten MDM-Benutzerbereich zugewiesen ist
    • Stellen Sie sicher , dass der MDM-Benutzerbereich wie folgt lautet:
      • Legen Sie für die Microsoft Intune-App auf Alle fest.
      • Legen Sie auf Some (Einige) fest. Fügen Sie außerdem die Benutzergruppe hinzu, die von diesem geführten Szenario erstellt wurde.
  2. Vergewissern Sie sich, dass der ausgewählte Benutzer Geräte mit der Microsoft Entra-ID verbinden kann.
    • Stellen Sie sicher, dass die Microsoft Entra-Einbindung wie folgt lautet:
      • Legen Sie auf Alle oder fest,
      • Legen Sie auf Some (Einige) fest. Fügen Sie außerdem die Benutzergruppe hinzu, die von diesem geführten Szenario erstellt wurde.
  3. Führen Sie die entsprechenden Schritte auf dem Gerät aus, um es anhand der folgenden Schritte mit der Microsoft Entra-ID zu verbinden:

Was geschieht, wenn ich auf Bereitstellen klicke?

Der Benutzer und das Gerät werden neuen Sicherheitsgruppen hinzugefügt. Sie werden auch mit von Intune empfohlenen Einstellungen für Sicherheit und Produktivität am Arbeitsplatz oder in der Schule konfiguriert. Nachdem der Benutzer das Gerät mit microsoft Entra ID verknüpft hat, werden dem Gerät zusätzliche Apps und Einstellungen hinzugefügt. Weitere Informationen zu diesen zusätzlichen Konfigurationen finden Sie unter Schnellstart: Registrieren Ihres Windows 10-Geräts.

Weitere Informationen

Registrieren eines Geräts mit Windows Autopilot (optional)

Optional können Sie ein registriertes Autopilot-Gerät verwenden. Für Autopilot weist dieses geführte Szenario ein Autopilot-Bereitstellungsprofil und ein Profil der Registrierungsstatusseite zu. Das Autopilot-Bereitstellungsprofil wird wie folgt konfiguriert:

  • Benutzergesteuerter Modus: Das heißt, der Endbenutzer muss während des Windows-Setups Benutzername und Kennwort eingeben.
  • Microsoft Entra join.
  • Anpassen des Windows-Setups:
    • Ausblenden des Bildschirms "Microsoft-Softwarelizenzbedingungen"
    • Datenschutzeinstellungen ausblenden
    • Erstellen des lokalen Profils des Benutzers ohne lokale Administratorrechte
    • Ausblenden der Optionen zum Ändern des Kontos auf der Anmeldeseite des Unternehmens

Die Seite "Registrierungsstatus" wird so konfiguriert, dass sie nur für Autopilot-Geräte aktiviert wird, und das Warten auf die Installation aller Apps wird nicht blockiert.

Das geführte Szenario weist den Benutzer auch dem ausgewählten Autopilot-Gerät zu, um eine personalisierte Einrichtung zu ermöglichen.

Post-Requisiten

Sobald der Benutzer das Gerät mit microsoft Entra ID verknüpft hat, werden die folgenden Konfigurationen auf das Gerät angewendet:

  1. Microsoft 365 Apps wird automatisch auf dem in der Cloud verwalteten PC installiert. Sie umfasst die Anwendungen, mit denen Sie vertraut sind, einschließlich Access, Excel, OneNote, Outlook, PowerPoint, Publisher, Skype for Business und Word. Sie können diese Anwendungen verwenden, um eine Verbindung mit Microsoft 365-Diensten wie SharePoint Online, Exchange Online und Skype for Business Online herzustellen. Microsoft 365 Apps wird im Gegensatz zu Nichtabonnements von Office regelmäßig mit neuen Features aktualisiert. Eine Liste der neuen Features finden Sie unter Neuerungen in Microsoft 365.
  2. Windows-Sicherheitsbaselines werden auf dem in der Cloud verwalteten PC installiert. Wenn Sie Microsoft Defender für Endpunkt eingerichtet haben, werden im geführten Szenario auch Baselineeinstellungen für Defender konfiguriert. Defender für Endpunkt bietet eine neue Schutzebene nach einer Sicherheitsverletzung für den Windows 10-Sicherheitsstapel. Mit einer Kombination aus in Windows 10 integrierten Clienttechnologie und einem robusten Clouddienst hilft es, Bedrohungen zu erkennen, die es über andere Schutzmaßnahmen hinaus geschafft haben.

Nächste Schritte