Automatisches Registrieren eines Windows-Geräts mithilfe einer Gruppenrichtlinie

Sie können eine Gruppenrichtlinie verwenden, um die automatische Registrierung bei der Verwaltung mobiler Geräte (Mobile Device Management, MDM) für in active Directory (AD) in die Domäne eingebundene Geräte auszulösen.

Die in Ihrem lokalen AD erstellte Gruppenrichtlinie löst die Registrierung bei Intune ohne Benutzerinteraktion aus. Dieser Mechanismus für Ursache und Wirkung bedeutet, dass Sie automatisch eine große Anzahl von in die Domäne eingebundenen Unternehmensgeräten in Microsoft Intune registrieren können. Der Registrierungsprozess beginnt im Hintergrund, nachdem Sie sich mit Ihrem Microsoft Entra-Konto beim Gerät angemeldet haben.

Anforderungen:

Tipp

Weitere Informationen finden Sie in den folgenden Themen:

Die automatische Registrierung basiert auf dem Vorhandensein eines MDM-Diensts und der Microsoft Entra-Registrierung für den PC. Nachdem das Unternehmen sein AD mit der Microsoft Entra-ID registriert hat, wird ein Windows-PC, der einer Domäne beigetreten ist, automatisch bei Microsoft Entra registriert.

Hinweis

In Windows 10, Version 1709, wurde das Registrierungsprotokoll aktualisiert, um zu überprüfen, ob das Gerät in die Domäne eingebunden ist. Weitere Informationen finden Sie unter [MS-MDE2]: Mobile Device Enrollment Protocol Version 2. Beispiele finden Sie in Abschnitt 4.3.1 RequestSecurityToken der Dokumentation zum MS-MDE2-Protokoll.

Wenn die Gruppenrichtlinie für die automatische Registrierung aktiviert ist, wird im Hintergrund eine Aufgabe erstellt, die die MDM-Registrierung initiiert. Der Task verwendet die vorhandene MDM-Dienstkonfiguration aus den Microsoft Entra-Informationen des Benutzers. Wenn die mehrstufige Authentifizierung erforderlich ist, wird der Benutzer aufgefordert, die Authentifizierung abzuschließen. Nachdem die Registrierung konfiguriert wurde, kann der Benutzer den Status auf der Seite Einstellungen überprüfen.

  • Ab Windows 10, Version 1709, hat die Gruppenrichtlinienrichtlinie Vorrang vor MDM, wenn dieselbe Richtlinie in Gruppenrichtlinie und MDM konfiguriert ist.
  • Ab Windows 10, Version 1803, können Sie mit einer neuen Einstellung die Rangfolge in MDM ändern. Weitere Informationen finden Sie unter Windows-Gruppenrichtlinie und Intune-MDM-Richtlinie wer gewinnt?.

Damit diese Richtlinie funktioniert, müssen Sie überprüfen, ob der MDM-Dienstanbieter die durch Gruppenrichtlinien initiierte MDM-Registrierung für in die Domäne eingebundene Geräte zulässt.

Konfigurieren der automatischen Registrierung für eine Gruppe von Geräten

Führen Sie die folgenden Schritte aus, um die automatische Registrierung mithilfe einer Gruppenrichtlinie zu konfigurieren:

  1. Erstellen Sie ein Gruppenrichtlinienobjekt (Group Policy Object, GPO), und aktivieren Sie die Gruppenrichtlinie Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>MDM>Automatische MDM-Registrierung mit Standardmäßigen Microsoft Entra-Anmeldeinformationen aktivieren.
  2. Erstellen Sie eine Sicherheitsgruppe für die PCs.
  3. Verknüpfen Sie das Gruppenrichtlinienobjekt.
  4. Filtern sie mithilfe von Sicherheitsgruppen.

Wenn die Richtlinie nicht angezeigt wird, rufen Sie die neueste ADMX-Version für Ihre Windows-Version ab. Gehen Sie wie folgt vor, um das Problem zu beheben. Die neueste MDM.admx ist abwärtskompatibel.

  1. Laden Sie die administrativen Vorlagen für die gewünschte Version herunter:

  2. Installieren Sie das Paket auf dem Domänencontroller.

  3. Navigieren Sie zu C:\Program Files (x86)\Microsoft Group Policy, und suchen Sie je nach installierter Version nach dem entsprechenden Unterverzeichnis.

  4. Kopieren Sie den Ordner PolicyDefinitions in \\contoso.com\SYSVOL\contoso.com\policies\PolicyDefinitions.

    Wenn dieser Ordner nicht vorhanden ist, kopieren Sie die Dateien in den zentralen Richtlinienspeicher für Ihre Domäne.

  5. Warten Sie, bis die SYSVOL DFSR-Replikation abgeschlossen ist, damit die Richtlinie verfügbar ist.

Konfigurieren der Gruppenrichtlinie für die automatische Registrierung für einen einzelnen PC

Dieses Verfahren dient nur zu Veranschaulichungszwecken, um zu veranschauliche, wie die neue Richtlinie für die automatische Registrierung funktioniert. Dies wird für die Produktionsumgebung im Unternehmen nicht empfohlen.

  1. Führen Sie GPEdit.msc aus. Wählen Sie Start aus, und geben Sie dann in das Textfeld ein gpedit.

  2. Wählen Sie unter Beste Übereinstimmungdie Option Gruppenrichtlinie bearbeiten aus, um sie zu starten.

  3. Wählen Sie unter Richtlinie für lokale Computerdie Option Administrative Vorlagen>Windows-Komponenten>MDM aus.

  4. Doppelklicken Sie auf Automatische MDM-Registrierung mit standardmäßigen Microsoft Entra-Anmeldeinformationen aktivieren. Wählen Sie Aktivieren aus, wählen Sie in der Dropdownliste Zu verwendenden Anmeldeinformationstyp auswählen die Option Benutzeranmeldeinformationen aus, und wählen Sie dann OK aus.

    Richtlinie für die automatische MDM-Registrierung.

    Hinweis

    In Windows 10, Version 1903 und höher, wurde die Datei MDM.admx so aktualisiert, dass sie die Option Geräteanmeldeinformationen enthält, um auszuwählen, welche Anmeldeinformationen zum Registrieren des Geräts verwendet werden. Das Standardverhalten für ältere Releases besteht darin, benutzeranmeldeinformationen wiederhergestellt zu werden.

    Geräteanmeldeinformationen werden nur für die Microsoft Intune-Registrierung in Szenarien mit Co-Verwaltung oder Azure Virtual Desktop-Hostpools mit mehreren Sitzungen unterstützt, da das Intune-Abonnement benutzerorientiert ist. Benutzeranmeldeinformationen werden für persönliche Azure Virtual Desktop-Hostpools unterstützt.

Wenn eine Gruppenrichtlinienaktualisierung auf dem Client erfolgt, wird eine Aufgabe erstellt und für einen Tag alle fünf Minuten geplant. Die Aufgabe wird als Zeitplan bezeichnet, der vom Registrierungsclient für die automatische Registrierung bei MDM über microsoft Entra ID erstellt wird. Um die geplante Aufgabe anzuzeigen, starten Sie die Taskplaner-App.

Wenn die zweistufige Authentifizierung erforderlich ist, werden Sie aufgefordert, den Vorgang abzuschließen. Hier ist ein Beispielscreenshot.

Screenshot der Benachrichtigung zur zweistufigen Authentifizierung.

Tipp

Sie können dieses Verhalten vermeiden, indem Sie Richtlinien für bedingten Zugriff in Microsoft Entra ID verwenden. Weitere Informationen finden Sie unter Was ist bedingter Zugriff?.

Überprüfen der Registrierung

Um die erfolgreiche Registrierung bei MDM zu überprüfen, wechseln Sie zu Starteinstellungen>>Konten>Auf Geschäfts-, Schul- oder Unikonto zugreifen, und wählen Sie dann Ihr Domänenkonto aus. Wählen Sie Info aus, um die MDM-Registrierungsinformationen anzuzeigen.

Screenshot der Einstellungen für die Geschäftsschule.

Hinweis

Wenn die Schaltfläche Info oder die Registrierungsinformationen nicht angezeigt werden, ist bei der Registrierung möglicherweise ein Fehler aufgetreten. Überprüfen Sie den Status in der Taskplaner-App , und lesen Sie Diagnose der MDM-Registrierung.

Aufgabenplanungs-App

Wählen Sie Start aus, und geben Sie dann in das Textfeld ein task scheduler. Wählen Sie unter Beste Übereinstimmungdie Option Aufgabenplanung aus, um ihn zu starten.

Öffnen Sie in der TaskplanerbibliothekMicrosoft > Windows , und wählen Sie dann EnterpriseMgmt aus.

Automatische Registrierung eines geplanten Vorgangs.

Um das Ergebnis der Aufgabe anzuzeigen, verschieben Sie die Bildlaufleiste, um das Ergebnis der letzten Ausführung anzuzeigen. Die Protokolle werden auf der Registerkarte Verlauf angezeigt.

Die Meldung 0x80180026 ist eine Fehlermeldung (MENROLL_E_DEVICE_MANAGEMENT_BLOCKED), die durch aktivieren der Richtlinie Mdm-Registrierung deaktivieren verursacht werden kann.

Hinweis

Die GPEdit-Konsole spiegelt nicht den Status der Richtlinien wider, die von Ihrer Organisation auf Ihrem Gerät festgelegt wurden. Es wird nur vom Benutzer verwendet, um Richtlinien festzulegen.