Tutorial: Einrichten cloudnativer Windows-Endpunkte mit Microsoft Intune

In diesem Schritt-für-Schritt-Tutorial erfahren Sie, wie Sie einen cloudnativen Windows-Endpunkt mithilfe von Microsoft Intune und Windows Autopilot einrichten. Ein cloudnativer Windows-Endpunkt (manchmal als cloudnatives Windows geschrieben) wird Microsoft Entra eingebunden, in Microsoft Intune registriert und vollständig aus der Cloud verwaltet– kein Active Directory-Domänenbeitritt, keine lokale Infrastruktur erforderlich.

Am Ende dieses Tutorials verfügen Sie über ein vollständig konfiguriertes Windows-Gerät, das folgendes ist:

  • Microsoft Entra beigetreten und in Microsoft Intune registriert
  • Geschützt mit Microsoft Defender Antivirus, BitLocker-Verschlüsselung, Windows LAPS und Sicherheitsbaselines
  • Bereitstellung über Windows Autopilot mit Microsoft 365-Apps, OneDrive-Verschiebung bekannter Ordner und der Unternehmensportal
  • Bereit für die Skalierung auf den Rest Ihrer Windows-Flotte

Hintergrundinformationen finden Sie unter Was sind cloudnative Endpunkte? und Planen Ihrer Microsoft Entra Joinimplementierung.

Tipp

Wenn Sie über cloudnative Endpunkte lesen, werden die folgenden Begriffe angezeigt:

  • Endpunkt: Ein Endpunkt ist ein Gerät, z. B. ein Mobiltelefon, ein Tablet, ein Laptop oder ein Desktopcomputer. „Endpunkte“ und „Geräte“ werden austauschbar verwendet.
  • Verwaltete Endpunkte: Endpunkte, die Richtlinien von der Organisation mithilfe einer MDM-Lösung oder von Gruppenrichtlinienobjekten empfangen. Diese Geräte befinden sich in der Regel im Besitz der Organisation, können aber auch BYOD- oder persönliche Geräte sein.
  • Cloudnative Endpunkte: Endpunkte, die mit Microsoft Entra verknüpft sind. Sie sind nicht mit dem lokalen AD verknüpft.
  • Workload: Alle Programme, Dienste oder Prozesse.

Erste Schritte

Schließen Sie die fünf Phasen nacheinander ab – jede baut auf der vorherigen auf.

Fünf Phasen zum Einrichten cloudnativer Windows-Endpunkte mit Microsoft Intune und Windows Autopilot.

Phase Ziel
Phase 1 : Einrichten Ihrer Umgebung Vorbereiten Ihres Mandanten, Testgeräts und Der Autopilot-Baselinerichtlinien
Phase 2 : Erstellen eines cloudnativen Windows-Endpunkts Bereitstellen Ihres ersten Endpunkts über Autopilot
Phase 3 : Schützen Ihres cloudnativen Windows-Endpunkts Anwenden der Endpunktsicherheit: Defender, BitLocker, LAPS, Baselines, Updates
Phase 4 : Anwenden von Anpassungen und Überprüfen Ihrer lokalen Konfiguration Hinzufügen organization spezifischer Apps und Einstellungen und Migrieren von Gruppenrichtlinie
Phase 5 : Skalieren Ihrer Bereitstellung mit Windows Autopilot Skalieren der Bereitstellung für Ihre Flotte mithilfe von OEM-Registrierung, Personas und Rolloutringen

Nachdem Ihre Endpunkte bereitgestellt wurden, verwenden Sie den Abschnitt Überwachen Ihrer cloudnativen Windows-Endpunkte, um Richtlinien-, App- und Compliance-status aus dem Intune Admin Center als Teil des laufenden Betriebs zu überprüfen.

Phase 1 – Richten Sie Ihre Umgebung ein

Bevor Sie Ihren ersten cloudnativen Windows-Endpunkt erstellen, müssen einige wichtige Anforderungen und Konfigurationen überprüft werden. In dieser Phase erfahren Sie, wie Sie die Anforderungen überprüfen, Windows Autopilot konfigurieren und einige Einstellungen und Anwendungen erstellen.

Schritt 1 – Netzwerkanforderungen

Ihr cloudnativer Windows-Endpunkt benötigt Zugriff auf mehrere Internetdienste. Starten Sie ihre Tests in einem offenen Netzwerk. Oder verwenden Sie Ihr Unternehmensnetzwerk, nachdem Sie Zugriff auf alle Endpunkte gewährt haben, die unter Windows Autopilot-Netzwerkanforderungen aufgeführt sind.

Wenn Ihr drahtloses Netzwerk Zertifikate erfordert, können Sie während des Tests mit einer Ethernet-Verbindung beginnen, während Sie den besten Ansatz für drahtlose Verbindungen für die Gerätebereitstellung bestimmen.

Schritt 2 – Registrierung und Lizenzierung

Bevor Sie Microsoft Entra beitreten und sich bei Intune registrieren können, müssen Sie einige Dinge überprüfen. Sie können eine neue Microsoft Entra Gruppe erstellen, z. B. den Namen Intune MDM-Benutzer. Fügen Sie dann bestimmte Testbenutzerkonten hinzu, und legen Sie jede der folgenden Konfigurationen für diese Gruppe fest, um einzuschränken, wer Geräte registrieren kann, während Sie Ihre Konfiguration einrichten. Um eine Microsoft Entra Gruppe zu erstellen, wechseln Sie zu Verwalten Microsoft Entra Gruppen und Gruppenmitgliedschaft.

  • Registrierungseinschränkungen Mit Registrierungseinschränkungen können Sie steuern, welche Gerätetypen bei der Verwaltung mit Intune registriert werden können. Damit dieser Leitfaden erfolgreich ist, stellen Sie sicher, dass Windows (MDM)-Registrierung zulässig ist, was die Standardkonfiguration ist.

    Für Informationen zum Konfigurieren von Registrierungseinschränkungen wechseln Sie zu Festlegen von Registrierungseinschränkungen in Microsoft Intune.

  • Microsoft Entra Geräte-MDM-Einstellungen Wenn Sie ein Windows-Gerät mit Microsoft Entra verbinden, können Microsoft Entra so konfiguriert werden, dass Sie Ihre Geräte anweisen, sich automatisch bei einem MDM zu registrieren. Diese Konfiguration ist erforderlich, damit Windows Autopilot funktioniert.

    Wenn Sie überprüfen möchten, ob die MDM-Einstellungen ihres Microsoft Entra Geräts ordnungsgemäß aktiviert sind, wechseln Sie zu Schnellstart: Einrichten der automatischen Registrierung in Intune.

  • Microsoft Entra Unternehmensbranding Durch das Hinzufügen Ihres Unternehmenslogos und Ihrer Bilder zu Microsoft Entra wird sichergestellt, dass Benutzer bei der Anmeldung bei Microsoft 365 ein vertrautes und einheitliches Aussehen sehen. Diese Konfiguration ist erforderlich, damit Windows Autopilot funktioniert.

    Informationen zum Konfigurieren des benutzerdefinierten Brandings in Microsoft Entra finden Sie unter Hinzufügen von Branding zur Microsoft Entra Anmeldeseite Ihres organization.

  • Lizenzierung Benutzer, die Windows-Geräte über die Out Of Box Experience (OOBE) in Intune registrieren, benötigen zwei wichtige Funktionen.

    Benutzer benötigen die folgenden Lizenzen:

    • Eine Lizenz für Microsoft Intune oder Microsoft Intune für Bildungseinrichtungen
    • Eine Lizenz wie eine der folgenden Optionen, die die automatische MDM-Registrierung ermöglicht:
      • Microsoft Entra Premium P1
      • Microsoft Intune for Education

    Um Lizenzen zuzuweisen, wechseln Sie zu Zuweisen von Microsoft Intune-Lizenzen.

    Hinweis

    Beide Arten von Lizenzen sind in der Regel in Lizenzierungspaketen enthalten, z. B. Microsoft 365 E3 (oder A3) und höher. Hier finden Sie Vergleiche der Microsoft 365-Lizenzierung.

Schritt 3 – Importieren Sie Ihr Testgerät

Um den cloudnativen Windows-Endpunkt zu testen, müssen wir zunächst einen virtuellen Computer oder ein physisches Gerät für Tests vorbereiten. Mit den folgenden Schritten werden die Gerätedetails abgerufen und in den Windows Autopilot-Dienst hochgeladen, der weiter unten in diesem Artikel verwendet wird.

Hinweis

Während die folgenden Schritte eine Möglichkeit bieten, ein Gerät zum Testen zu importieren, können Partner und OEMs im Rahmen des Kaufs in Ihrem Namen Geräte in Windows Autopilot importieren. In Phase 5 finden Sie weitere Informationen zu Windows Autopilot.

  1. Installieren Sie Windows auf einem virtuellen Computer, oder setzen Sie ein physisches Gerät zurück, damit es auf dem OOBE-Setupbildschirm wartet. Für einen virtuellen Computer können Sie optional einen Prüfpunkt erstellen.

  2. Führen Sie die erforderlichen Schritte aus, um eine Verbindung zum Internet herzustellen.

  3. Öffnen Sie mithilfe der Tastenkombination UMSCHALT+F10 eine Eingabeaufforderung.

  4. Stellen Sie sicher, dass Sie über Internetzugriff verfügen, indem Sie bing.com pingen:

    • ping bing.com

  5. Wechseln Sie zu PowerShell, indem Sie den folgenden Befehl ausführen:

    • powershell.exe

  6. Laden Sie das Skript Get-WindowsAutopilotInfo herunter, indem Sie die folgenden Befehle ausführen:

    • Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process
    • Install-Script Get-WindowsAutopilotInfo

  7. Wenn Sie dazu aufgefordert werden, geben Sie Y ein, um zu akzeptieren.

  8. Geben Sie den folgenden Befehl ein:

    • Get-WindowsAutopilotInfo.ps1 -GroupTag CloudNative -Online

    Hinweis

    Mit Gruppentags können Sie dynamische Microsoft Entra Gruppen basierend auf einer Teilmenge von Geräten erstellen. Gruppentags können beim Importieren von Geräten festgelegt oder später im Microsoft Intune Admin Center geändert werden. Wir verwenden das Gruppentag CloudNative in Schritt 4. Sie können den Tag-Namen für Ihre Tests auf einen anderen Namen festlegen.

  9. Wenn Sie zur Eingabe von Anmeldeinformationen aufgefordert werden, melden Sie sich mit Ihrem Intune-Administratorkonto an.

  10. Lassen Sie den Computer bis Phase 2 in der Out-of-Box-Experience.

Schritt 4: Erstellen Microsoft Entra dynamischen Gruppe für das Gerät

Um die Konfigurationen aus diesem Leitfaden auf die Testgeräte zu beschränken, die Sie in Windows Autopilot importieren, erstellen Sie eine dynamische Microsoft Entra Gruppe. Diese Gruppe sollte automatisch die Geräte einschließen, die in Windows Autopilot importiert werden, und das Gruppentag CloudNative aufweisen. Sie können dann alle Ihre Konfigurationen und Anwendungen auf diese Gruppe ausrichten.

  1. Öffnen Sie das Microsoft Intune Admin Center.

  2. Wählen Sie Gruppen>Neue Gruppe aus. Geben Sie die folgenden Details ein:

    • Gruppentyp: Wählen Sie Sicherheit aus.
    • Gruppenname: Geben Sie Autopilot Cloud-Native Windows-Endpunkte ein.
    • Mitgliedschaftstyp: Wählen Sie Dynamisches Gerät aus.

  3. Wählen Sie Dynamische Abfrage hinzufügen aus.

  4. Wählen Sie im Abschnitt Regelsyntax die Option Bearbeiten aus.

  5. Fügen Sie den folgenden Text ein:

    (device.devicePhysicalIds -any (_ -eq "[OrderID]:CloudNative"))

  6. Wählen Sie OK SaveCreate (Erstellen>speichern>) aus.

Tipp

Es dauert einige Minuten, bis dynamische Gruppen aufgefüllt werden, nachdem Änderungen vorgenommen wurden. In großen Organisationen kann dies länger dauern. Warten Sie nach dem Erstellen einer neuen Gruppe einige Minuten, bevor Sie überprüfen, ob das Gerät jetzt Mitglied der Gruppe ist.

Für weitere Informationen zu dynamischen Gruppen für Geräte wechseln Sie zu Regeln für Geräte.

Schritt 5 – Konfigurieren der Registrierungsstatusseite

Die Registrierungsstatusseite (ESP) ist der Mechanismus, den ein IT-Experte verwendet, um die Endbenutzererfahrung während der Endpunktbereitstellung zu steuern. Siehe Einrichten der Registrierungsstatusseite. Um den Umfang der Registrierungsseite status einzuschränken, können Sie ein neues Profil erstellen und die im vorherigen Schritt erstellte Autopilot-Cloud-Native Windows-Endpunktgruppeerstellen, Microsoft Entra dynamische Gruppe für das Gerät erstellen als Ziel verwenden.

  • Zu Testzwecken empfehlen wir die folgenden Einstellungen, können diese aber nach Bedarf anpassen:

    Einstellung Wert
    Fortschritt der App- und Profilkonfiguration anzeigen Ja
    Seite nur auf Geräten anzeigen, die von der Windows-Willkommensseite bereitgestellt wurden Ja (Standard)

Schritt 6 – Erstellen und Zuweisen des Windows Autopilot-Profils

Jetzt können wir ein Windows Autopilot-Profil erstellen und unserem Testgerät zuweisen. Dieses Profil weist Ihr Gerät an, Microsoft Entra beizutreten und welche Einstellungen während der OOBE angewendet werden sollen.

  1. Öffnen Sie das Microsoft Intune Admin Center.

  2. Wählen Sie Geräte>Geräte onboarding>Registrierung>Windows>Autopilot-Bereitstellungsprofile> aus.

  3. Wählen Sie Profil erstellen>Windows-PC.

  4. Geben Sie den Namen Autopilot Cloud-Native Windows-Endpunkte ein, und wählen Sie dann Weiter aus.

  5. Bestätigen Sie in den Einstellungen der Out-of-Box-Benutzeroberfläche (OOBE) die folgenden Schlüsselwerte, und wählen Sie Weiter aus:

    Einstellung Wert
    Bereitstellungsmodus Benutzergesteuert
    Teilnehmen an Microsoft Entra ID als Microsoft Entra eingebunden
    Benutzerkontotyp Standard
    Gerätenamenvorlage anwenden Optional. Eine Benennungsvorlage wie CloudPC-%SERIAL% erleichtert die Identifizierung von Geräten im Admin Center.

    Wichtig

    Das Festlegen des Benutzerkontotyps auf Standard ist eine bewährte Sicherheitsmethode. Es verhindert, dass Benutzer nicht genehmigte Software installieren, und verringert die Angriffsfläche auf cloudnativen Endpunkten.

  6. Behalten Sie die Bereichstags bei, und wählen Sie Weiteraus.

  7. Weisen Sie das Profil der Microsoft Entra Gruppe zu, die Sie mit dem Namen Autopilot Cloud-Native Windows Endpoints erstellt haben, wählen Sie Weiter und dann Erstellen aus.

Schritt 7 – Synchronisieren der Windows Autopilot-Geräte

Der Windows Autopilot-Dienst wird mehrmals täglich synchronisiert. Sie können auch sofort eine Synchronisierung auslösen, damit Ihr Gerät zum Testen bereit ist. So synchronisieren Sie sofort:

  1. Öffnen Sie das Microsoft Intune Admin Center.

  2. Wählen Sie Geräte>Geräte onboarding>Registrierung>Windows>Autopilot-Geräte> aus.

  3. Wählen Sie Synchronisieren aus.

Die Synchronisierung dauert einige Minuten und wird im Hintergrund fortgesetzt. Wenn die Synchronisierung abgeschlossen ist, zeigt der Profilstatus für das importierte Gerät Zugewiesenan.

Schritt 8 – Konfigurieren Sie die Einstellungen für eine optimale Microsoft 365-Erfahrung

Wir haben einige Zu konfigurierende Einstellungen ausgewählt. Diese Einstellungen veranschaulichen eine optimale Microsoft 365-Endbenutzererfahrung auf Ihrem cloudnativen Windows-Gerät. Diese Einstellungen werden mithilfe eines Katalogprofils für Gerätekonfigurationseinstellungen konfiguriert. Für weitere Informationen wechseln Sie zu Erstellen einer Richtlinie mithilfe des Einstellungenkatalogs in Microsoft Intune.

Nachdem Sie das Profil erstellt und Ihre Einstellungen hinzugefügt haben, weisen Sie das Profil der zuvor erstellten Gruppe Autopilot Cloud-Native Windows-Endpunkte zu.

  • Microsoft Outlook : Um die Erste Ausführungserfahrung für Microsoft Outlook zu verbessern, konfiguriert die folgende Einstellung automatisch ein Profil, wenn Outlook zum ersten Mal geöffnet wird.

    Einstellungskategorie Einstellung Wert
    Microsoft Outlook 2016\Konto Einstellungen\Exchange (Benutzereinstellung) Automatisches Konfigurieren des ersten Profils basierend auf der primären SMTP-Adresse von Active Directory Enabled

  • Microsoft Edge : Um die Erfahrung der ersten Ausführung für Microsoft Edge zu verbessern, konfigurieren die folgenden Einstellungen Microsoft Edge so, dass die Einstellungen des Benutzers synchronisiert und die Erste Ausführung übersprungen wird.

    Einstellungskategorie Einstellung Wert
    Microsoft Edge Ausblenden der Ersten Ausführung und des Begrüßungsbildschirms Enabled
      Erzwingen der Synchronisierung von Browserdaten und Anzeigen der Zustimmungsaufforderung für die Synchronisierung Enabled

  • Microsoft OneDrive : Um die erste Anmeldung zu verbessern, konfigurieren die folgenden Einstellungen Microsoft OneDrive so, dass es sich automatisch anmeldet und Desktop, Bilder und Dokumente an OneDrive umleitet. Dateien bei Bedarf (Files On-Demand, FOD) wird ebenfalls empfohlen. Dies ist standardmäßig aktiviert und nicht in der folgenden Liste enthalten. Für weitere Informationen zur empfohlenen Konfiguration für die OneDrive-Synchronisierungs-App wechseln Sie zu Empfohlene Konfiguration der Synchronisierungs-App für Microsoft OneDrive.

    Einstellungskategorie Einstellung Wert
    OneDrive Benutzer automatisch mit ihren Windows-Anmeldeinformationen bei der OneDrive-Synchronisierungs-App anmelden Enabled
      Bekannte Windows-Ordner automatisch auf OneDrive verschieben Enabled

    Hinweis

    Weitere Informationen finden Sie unter Umleiten bekannter Ordner.

Der folgende Screenshot zeigt ein Beispiel für ein Einstellungskatalogprofil, in dem jede der vorgeschlagenen Einstellungen konfiguriert ist:

Screenshot: Beispiel für ein Einstellungskatalogprofil in Microsoft Intune

Schritt 9: Erstellen und Zuweisen einiger Anwendungen

Ihr cloudnativer Endpunkt benötigt einige Anwendungen. Um loszulegen empfehlen wir die folgenden Anwendungen zu konfigurieren und sie auf die zuvor erstellte Gruppe Autopilot cloudnative Windows-Endpunkte auszurichten.

  • Microsoft 365 Apps (früher Office 365 ProPlus): Microsoft 365 Apps wie Word, Excel und Outlook können mithilfe des integrierten App-Profils von Microsoft 365-Apps für Windows in Intune problemlos auf Geräten bereitgestellt werden.

    • Wählen Sie im Gegensatz zu XML den Konfigurationsdesigner für das Einstellungsformat aus.
    • Wählen Sie Aktueller Kanal für den Aktualisierungskanal aus.

    Um Microsoft 365-Apps bereitzustellen, wechseln Sie zu Hinzufügen von Microsoft 365-Apps zu Windows-Geräten mithilfe von Microsoft Intune.

  • Unternehmensportal-App: Es wird empfohlen, die Intune Unternehmensportal-App auf allen Geräten als erforderliche Anwendung bereitzustellen. Unternehmensportal App ist der Self-Service-Hub für Benutzer, den sie zum Installieren von Anwendungen aus mehreren Quellen wie Intune, Microsoft Store und Konfigurations-Manager verwenden. Benutzer verwenden auch die Unternehmensportal-App, um ihr Gerät mit Intune zu synchronisieren, die Konformität status zu überprüfen usw.

    Informationen zum erforderlichen Bereitstellen Unternehmensportal finden Sie unter Hinzufügen und Zuweisen der Windows Unternehmensportal-App für Intune verwaltete Geräte.

  • Microsoft Store-App (Whiteboard): Während Intune eine Vielzahl von Apps bereitstellen können, stellen wir eine Store-App (Microsoft Whiteboard) bereit, um die Dinge für diesen Leitfaden einfach zu halten. Führen Sie die Schritte unter Hinzufügen von Microsoft Store-Apps zu Microsoft Intune aus, um Microsoft Whiteboard zu installieren.

Weiter: Phase 2: Erstellen eines cloudnativen Windows-Endpunkts

Phase 2: Erstellen eines cloudnativen Windows-Endpunkts

Verwenden Sie zum Erstellen Ihres ersten cloudnativen Windows-Endpunkts denselben virtuellen Computer oder physischen Gerät, den Sie gesammelt haben, und laden Sie dann den Hardwarehash in den Windows Autopilot-Dienst in Phase 1, Schritt 3 – Importieren Ihres Testgeräts hoch. Führen Sie mit diesem Gerät den Windows Autopilot-Prozess durch.

  1. Setzen Sie Ihren Windows-PC auf die Out-of-Box-Experience (OOBE) zurück (oder setzen Sie sie ggf. zurück).

    Hinweis

    Wenn Sie aufgefordert werden, setup for personal oder an organization auszuwählen, wurde der Windows Autopilot-Prozess nicht gestartet. Starten Sie in diesem Fall das Gerät neu, und stellen Sie sicher, dass es über Internetzugriff verfügt. Wenn es immer noch nicht funktioniert, versuchen Sie, den PC zurückzusetzen oder Windows neu zu installieren.

  2. Melden Sie sich mit Microsoft Entra Anmeldeinformationen (UPN oder AzureAD\Benutzername) an.

  3. Auf der Seite registrierungs status wird die status der Gerätekonfiguration angezeigt.

Herzlichen Glückwunsch! Sie haben Ihren ersten cloudnativen Windows-Endpunkt bereitgestellt!

Überprüfen Ihres Endpunkts

Überprüfen Sie die folgenden Aufgaben auf Ihrem neuen Gerät, bevor Sie mit Phase 3 wechseln:

  • OneDrive-Ordner (Desktop, Dokumente, Bilder) werden umgeleitet und synchronisiert.
  • Outlook öffnet Ihr Microsoft 365-Profil und konfiguriert es automatisch.
  • Unternehmensportal installiert ist und Microsoft Whiteboard verfügbar ist.
  • Sie können sich mit Ihren Microsoft Entra Anmeldeinformationen anmelden und auf Cloudressourcen zugreifen.
  • Auf lokale Ressourcen (Dateifreigaben, Intranetwebsites, Drucker) kann bei Bedarf zugegriffen werden.

Wenn Sie aufgefordert werden, ein Kennwort einzugeben, wenn Sie Windows Hello für den Zugriff auf lokale Ressourcen verwenden, ist Windows Hello for Business Hybrid noch nicht konfiguriert. Sie können die Tests fortsetzen, indem Sie auf dem Anmeldebildschirm auf das Schlüsselsymbol klicken und stattdessen Ihren Benutzernamen und Ihr Kennwort verwenden. Weitere Informationen finden Sie unter Windows Hello for Business Hybrid.

Weiter: Phase 3: Schützen Ihres cloudnativen Windows-Endpunkts

Phase 3 – Sichern Sie Ihren cloudnativen Windows-Endpunkt

Diese Phase soll Ihnen dabei helfen, Sicherheitseinstellungen für Ihre Organisation zu erstellen. Dieser Abschnitt lenkt Ihre Aufmerksamkeit auf die verschiedenen Endpunktsicherheitskomponenten in Microsoft Intune einschließlich:

Microsoft Defender Antivirus (MDAV)

Die folgenden Einstellungen werden als Mindestkonfiguration für Microsoft Defender Antivirus, eine integrierte Betriebssystemkomponente von Windows, empfohlen. Diese Einstellungen erfordern keinen bestimmten Lizenzvertrag wie E3 oder E5 und können im Microsoft Intune Admin Center aktiviert werden.

Wechseln Sie im Admin Center zu Endpoint Security>Antivirus>Richtlinie> erstellenWindows und höher>Profiltyp = Microsoft Defender Antivirus.

Defender:

  • Verhaltensüberwachung zulassen: Zulässig. Aktiviert die Verhaltensüberwachung in Echtzeit.
  • Cloudschutz zulassen: Zulässig. Aktiviert cloud protection.
  • Email-Überprüfung zulassen: Zulässig. Aktiviert die E-Mail-Überprüfung.
  • Scannen aller heruntergeladenen Dateien und Anlagen zulassen: Zulässig.
  • Echtzeitüberwachung zulassen: Zulässig. Aktiviert und führt den Echtzeitüberwachungsdienst aus.
  • Scannetzwerk Files zulassen: Zulässig. Überprüft Netzwerkdateien.
  • Skriptüberprüfung zulassen: Zulässig.
  • Erweitertes Cloudtimeout: 50
  • Tage, um bereinigte Schadsoftware aufzubewahren: 30
  • Netzwerkschutz aktivieren: Aktiviert (Überwachungsmodus)
  • PUA-Schutz: PUA-Schutz aktiviert. Erkannte Elemente werden blockiert. Sie werden zusammen mit anderen Bedrohungen in der Geschichte angezeigt.
  • Echtzeit-Scanrichtung: Überwachen Sie alle Dateien (bidirektional).
  • Zustimmung zum Übermitteln von Beispielen: Sichere Beispiele automatisch senden.
  • Bei Zugriffsschutz zulassen: Zulässig.
  • Wartungsaktion für schwerwiegende Bedrohungen: Quarantäne. Verschiebt Dateien in Quarantäne.
  • Korrekturaktion für Bedrohung mit niedrigem Schweregrad: Quarantäne. Verschiebt Dateien in Quarantäne.
  • Korrekturaktion für Bedrohungen mit mittlerem Schweregrad: Quarantäne. Verschiebt Dateien in Quarantäne.
  • Korrekturaktion für Bedrohungen mit hohem Schweregrad: Quarantäne. Verschiebt Dateien in Quarantäne.

Weitere Informationen zur Windows Defender-Konfiguration, einschließlich Microsoft Defender for Endpoint für Kundenlizenzen für E3 und E5, finden Sie unter:

Microsoft Defender Firewall

Verwenden Sie Endpoint Security in Microsoft Intune, um die Firewall- und Firewallregeln zu konfigurieren. Für weitere Informationen wechseln Sie zu Firewallrichtlinie für Endpunktsicherheit in Intune.

Microsoft Defender Firewall kann mithilfe des NetworkListManager-CSP ein vertrauenswürdiges Netzwerk erkennen. Außerdem kann er auf Endpunkten, auf denen Windows ausgeführt wird, zum Domänenfirewallprofil wechseln.

Mithilfe des Domänennetzwerkprofils können Sie Firewallregeln basierend auf einem vertrauenswürdigen Netzwerk, einem privaten Netzwerk und einem öffentlichen Netzwerk trennen. Diese Einstellungen können mithilfe eines benutzerdefinierten Windows-Profils angewendet werden.

Hinweis

Microsoft Entra verknüpften Endpunkten können LDAP nicht verwenden, um eine Domänenverbindung auf die gleiche Weise zu erkennen wie bei in die Domäne eingebundenen Endpunkten. Verwenden Sie stattdessen den NetworkListManager-CSP , um einen TLS-Endpunkt anzugeben, der bei Zugriff auf den Endpunkt zum Domänenfirewallprofil wechselt.

BitLocker-Verschlüsselung

Verwenden Sie Endpoint Security in Microsoft Intune, um die Verschlüsselung mit BitLocker zu konfigurieren.

Diese Einstellungen können im Microsoft Intune Admin Center aktiviert werden. Navigieren Sie im Admin Center zu Endpunktsicherheit>Verwalten>Datenträgerverschlüsselung>Richtlinie> erstellenWindows und höher>Profil = BitLocker.

Wenn Sie die folgenden BitLocker-Einstellungen konfigurieren, aktivieren sie die 128-Bit-Verschlüsselung für Standardbenutzer im Hintergrund. Dies ist ein gängiges Szenario. Ihr organization hat jedoch möglicherweise unterschiedliche Sicherheitsanforderungen. Weitere Einstellungen finden Sie in der BitLocker-Dokumentation.

Einstellungskategorie Einstellung Wert
BitLocker Geräteverschlüsselung anfordern Enabled
  Warnung zulassen für andere Datenträgerverschlüsselung Disabled
  Standard-Benutzerverschlüsselung zulassen Enabled
  Konfigurieren der Wiederherstellungskennwortrotation Aktualisieren für in Azure AD eingebundene Geräte
BitLocker-Laufwerkverschlüsselung Auswählen der Laufwerkverschlüsselungsmethode und Verschlüsselungsstärke Not Configured
  Bereitstellen der eindeutigen Bezeichner für Ihre Organisation Not Configured
Betriebssystemlaufwerke Erzwingen des Laufwerkverschlüsselungstyps auf Betriebssystemlaufwerken Enabled
  Wählen Sie den Verschlüsselungstyp (Gerät) aus. Verschlüsselung nur verwendeter Speicherplatz
  Zusätzliche Authentifizierung beim Start erforderlich Enabled
  BitLocker ohne kompatibles TPM zulassen (erfordert ein Kennwort oder einen Startschlüssel auf einem USB-Speicherstick) False
  Konfigurieren des TPM-Startschlüssels und der PIN Startschlüssel und PIN mit TPM zulassen
  Konfigurieren des TPM-Startschlüssels Startschlüssel mit TPM zulassen
  Konfigurieren der TPM-Start-PIN Zulassen der Start-PIN mit TPM
  Konfigurieren des TPM-Starts TPM erforderlich
  Konfigurieren der mindesten PIN-Länge für den Start Nicht konfiguriert
  Erweiterte PINs für den Start zulassen Nicht konfiguriert
  Verhindern, dass Standardbenutzer die PIN oder das Kennwort ändern Nicht konfiguriert
  Zulassen, dass Geräte, die mit InstantGo oder HSTI kompatibel sind, die PIN vor dem Start deaktivieren Nicht konfiguriert
  Aktivieren der Verwendung der BitLocker-Authentifizierung, die Tastatureingaben vor dem Start auf Wahllisten erfordert Nicht konfiguriert
  Auswählen, wie BitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können Enabled
  Konfigurieren des Benutzerspeichers von BitLocker-Wiederherstellungsinformationen 48-stelliges Wiederherstellungskennwort erforderlich
  Datenwiederherstellungs-Agent zulassen False
  Konfigurieren der Speicherung von BitLocker-Wiederherstellungsinformationen in AD DS Speichern von Wiederherstellungskennwörtern und Schlüsselpaketen
  Aktivieren Sie BitLocker erst, wenn Wiederherstellungsinformationen für Betriebssystemlaufwerke in AD DS gespeichert sind. True
  Auslassen von Wiederherstellungsoptionen im BitLocker-Setup-Assistenten True
  Speichern von BitLocker-Wiederherstellungsinformationen in AD DS für Betriebssystemlaufwerke True
  Konfigurieren der Wiederherstellungsnachricht und der URL vor dem Start Nicht konfiguriert
Festplattenlaufwerke Erzwingen des Laufwerkverschlüsselungstyps auf Festplattenlaufwerken Enabled
  Wählen Sie den Verschlüsselungstyp aus: (Gerät) Auswahl durch Benutzer zulassen (Standard)
  Auswählen, wie BitLocker-geschützte Festplattenlaufwerke wiederhergestellt werden können Enabled
  Konfigurieren des Benutzerspeichers von BitLocker-Wiederherstellungsinformationen 48-stelliges Wiederherstellungskennwort erforderlich
  Datenwiederherstellungs-Agent zulassen False
  Konfigurieren der Speicherung von BitLocker-Wiederherstellungsinformationen in AD DS Sichern von Wiederherstellungskennwörtern und Schlüsselpaketen
  Aktivieren Sie BitLocker erst, wenn Wiederherstellungsinformationen für Festplattenlaufwerke in AD DS gespeichert sind. True
  Auslassen von Wiederherstellungsoptionen im BitLocker-Setup-Assistenten True
  Speichern von BitLocker-Wiederherstellungsinformationen in AD DS für Festplattenlaufwerke True
  Verweigern des Schreibzugriffs auf Festplattenlaufwerke, die nicht durch BitLocker geschützt sind Nicht konfiguriert
Wechseldatenträger Steuern der Verwendung von BitLocker auf Wechseldatenträgern Enabled
  Benutzern das Anwenden des BitLocker-Schutzes auf Wechseldatenträger erlauben (Gerät) False
  Zulassen, dass Benutzer den BitLocker-Schutz auf Wechseldatenträgern (Gerät) anhalten und entschlüsseln können False
  Verweigern des Schreibzugriffs auf Wechseldatenträger, die nicht durch BitLocker geschützt sind Nicht konfiguriert

Windows Local Administrator Password Solution (LAPS)

Standardmäßig ist das integrierte lokale Administratorkonto (bekannte SID S-1-5-500) deaktiviert. Es gibt einige Szenarien, in denen ein lokales Administratorkonto von Vorteil sein kann, z. B. Problembehandlung, Endbenutzerunterstützung und Gerätewiederherstellung. Wenn Sie das integrierte Administratorkonto aktivieren oder ein neues lokales Administratorkonto erstellen möchten, ist es wichtig, das Kennwort für dieses Konto zu schützen.

Die Lokale Administrator-Kennwortlösung (Windows Local Administrator Password Solution, LAPS) ist eines der Features, die Sie verwenden können, um das Kennwort zufällig zu ermitteln und sicher in Microsoft Entra zu speichern. Wenn Sie Intune als MDM-Dienst verwenden, führen Sie die folgenden Schritte aus, um Windows LAPS zu aktivieren.

Wichtig

Windows LAPS geht davon aus, dass das lokale Standardadministratorkonto aktiviert ist, auch wenn es umbenannt wurde oder Sie ein anderes lokales Administratorkonto erstellen. Windows LAPS erstellt oder aktiviert keine lokalen Konten für Sie, es sei denn, Sie konfigurieren den Automatischen Kontoverwaltungsmodus.

Sie müssen lokale Konten getrennt von der Konfiguration von Windows LAPS erstellen oder aktivieren. Sie können ein Skript für diese Aufgabe erstellen oder die Konfigurationsdienstanbieter (Configuration Service Providers, CSPs) verwenden, z. B. den Konten-CSP oder den Richtlinien-CSP.

  1. Stellen Sie sicher, dass auf Ihren Windows-Geräten das Sicherheitsupdate vom April 2023 (oder höher) installiert ist.

    Weitere Informationen findest du unter Microsoft Entra Betriebssystemupdates.

  2. Aktivieren Sie Windows LAPS in Microsoft Entra:

    1. Melden Sie sich bei Microsoft Entra an.
    2. Wählen Sie für die Einstellung Lokale Administratorkennwortlösung aktivieren die Option Ja>Speichern (oben auf der Seite) aus.

    Weitere Informationen findest du unter Aktivieren von Windows LAPS mit Microsoft Entra.

  3. Erstellen Sie in Intune eine Endpunktsicherheitsrichtlinie:

    1. Melden Sie sich beim Microsoft Intune Admin Center an.
    2. Wählen Sie Endpoint Security>Account Protection>Richtlinie> erstellenWindows>Lokale Administratorkennwortlösung (Windows LAPS)>Erstellen aus.

    Weitere Informationen findest du unter Erstellen einer LAPS-Richtlinie in Intune.

Sicherheitsbasislinien

Sie können Sicherheitsbasislinien verwenden, um eine Reihe von Konfigurationen anzuwenden, von denen bekannt ist, dass sie die Sicherheit eines Windows-Endpunkts erhöhen. Für weitere Informationen zu Sicherheitsbasislinien wechseln Sie zu Windows MDM-Sicherheitsbasislinieneinstellungen für Intune.

Basislinien können mit den vorgeschlagenen Einstellungen angewendet und nach Ihren Anforderungen angepasst werden. Einige Einstellungen innerhalb der Basislinien können zu unerwarteten Ergebnissen führen oder mit Apps und Diensten, die auf Ihren Windows Endpunkten ausgeführt werden, nicht kompatibel sein. Daher sollten Baselines isoliert getestet werden. Wenden Sie die Baseline nur auf eine selektive Gruppe von Testendpunkten ohne andere Konfigurationsprofile oder Einstellungen an.

Bekannte Probleme mit Sicherheitsbasislinien

Die folgenden Einstellungen in der Windows Sicherheitsbasislinie können Probleme mit Windows Autopilot oder beim Versuch Apps als Standardbenutzer zu installieren, verursachen:

  • Sicherheitsoptionen für lokale Richtlinien\Verhalten der Administratoreingabeaufforderung für erhöhte Rechte (Standard = Aufforderung zur Zustimmung auf dem sicheren Desktop)
  • Standardverhalten der Eingabeaufforderung für Erhöhte Rechte durch Benutzer (Standard = Anforderungen für erhöhte Rechte automatisch verweigern)

Weitere Informationen finden Sie unter Problembehandlung bei Richtlinienkonflikten mit Windows Autopilot.

Windows Update-Clientrichtlinien

Windows Update Clientrichtlinien ist die Cloudtechnologie zum Steuern, wie und wann Updates auf Geräten installiert werden. In Intune können Windows Update Clientrichtlinien wie folgt konfiguriert werden:

Für weitere Informationen wechseln Sie zu:

Tipp

Für cloudnative Umgebungen sollten Sie Windows Autopatch in Betracht ziehen. AutoPatch automatisiert die Verwaltung und Berichterstellung von Updateringen und entfällt die Notwendigkeit, Zurückstellungszeiträume und Fristen manuell zu optimieren. Es ist in Microsoft Intune enthalten und ist der empfohlene Ansatz für Organisationen, die vollständig automatisierte, richtliniengesteuerte Windows-Updates mit minimalem Administratoraufwand wünschen.

Kompatibilitätsrichtlinie

Eine Konformitätsrichtlinie meldet die Integrität Ihrer cloudnativen Windows-Endpunkte, z. B. ob BitLocker aktiviert ist, der sichere Start aktiviert ist und Microsoft Defender Antivirus ausgeführt wird. Die Richtlinie ist auch die Grundlage für den bedingten Zugriff, sodass Sie nicht kompatible Geräte am Zugriff auf organization Ressourcen hindern können.

So erstellen Sie eine Windows-Konformitätsrichtlinie:

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wählen SieGerätekonformität>>Richtlinie erstellen aus.

  3. Wählen Sie unter Plattformdie Option Windows 10 und später>Erstellen aus.

  4. Geben Sie unter Grundlagen einen Namen für die Richtlinie ein, und wählen Sie Weiter aus.

  5. Konfigurieren Sie unter Kompatibilitätseinstellungen die folgenden empfohlenen Werte, und wählen Sie Weiter aus:

    Einstellungskategorie Einstellung Wert
    Geräteintegrität BitLocker erforderlich Erforderlich
      Aktivieren des sicheren Starts auf dem Gerät erforderlich Erforderlich
      Codeintegrität erforderlich Erforderlich
    Systemsicherheit Firewall Erforderlich
      Antivirus Erforderlich
      Antispyware Erforderlich
      Erfordern eines Kennworts zum Entsperren von Mobilgeräten Erforderlich
      Einfache Kennwörter Blockieren
      Kennworttyp Alphanumerisch
      Minimale Kennwortlänge 14
      Maximaler Zeitraum der Inaktivität (in Minuten) bis zur Anforderung eines Kennworts 1 Minute
      Kennwortablauf (Tage) 365
      Anzahl vorheriger Kennwörter, deren Wiederverwendung verhindert wird 5
    Defender Microsoft Defender-Antischadsoftware Erforderlich
      Sicherheitsinformationen zur Microsoft Defender-Antischadsoftware auf dem neuesten Stand Erforderlich
      Echtzeitschutz Erforderlich

    Tipp

    Microsoft und der aktuelle NIST-Leitfaden empfehlen nicht mehr den regelmäßigen Ablauf von Kennwörtern. Die Windows-Sicherheitsbaseline hat den Kennwortablauf im Jahr 2019 entfernt. Bei cloudnativen Endpunkten besteht der stärkste Status darin, Benutzer zur kennwortlosen Anmeldung mit Windows Hello for Business und Passkeys/FIDO2-Sicherheitsschlüsseln zu verschieben und schwache Kennwörter mit Microsoft Entra Kennwortschutz zu blockieren. Passen Sie die obigen Werte an die Richtlinie Ihrer organization an. Weitere Informationen finden Sie unter Kennwortlose Authentifizierung mit Microsoft Intune.

  6. Legen Sie unter Aktionen für Nichtkonformität den Zeitplan Gerät als nicht konform kennzeichnen auf 1 Tag fest (oder eine andere Toleranzperiode, die zu Ihrer organization passt).

    Tipp

    Wenn Sie den bedingten Zugriff verwenden, konfigurieren Sie eine Toleranzperiode, damit nicht kompatible Geräte nicht sofort den Zugriff auf organization Ressourcen verlieren. Sie können auch eine Aktion für E-Mail-Benutzer mit Schritten hinzufügen, um die Konformität zu erreichen.

  7. Weisen Sie die Richtlinie der Gruppe Autopilot Cloud-Native Windows-Endpunkte aus Schritt 4 – Erstellen Microsoft Entra dynamischen Gruppe für das Gerät zu.

Weitere Informationen zu Windows-Kompatibilitätseinstellungen finden Sie unter Kompatibilitätseinstellungen für Windows-Geräte in Microsoft Intune.

Bedingter Zugriff

Der bedingte Zugriff in Microsoft Entra verwendet ein Konformitätssignal von Intune, um den Zugriff auf organization Ressourcen zuzulassen oder zu blockieren. Das gängigste cloudnative Muster ist , dass ein kompatibles Gerät für Microsoft 365-Apps und andere Clouddienste erforderlich ist. Dieses Muster stellt sicher, dass nur Intune verwaltete, fehlerfreie Geräte auf Ihre Daten zugreifen können.

Eine typische cloudnative Baseline für bedingten Zugriff umfasst Folgendes:

  • Mehrstufige Authentifizierung für alle Benutzer erforderlich.
  • Fordern Sie ein kompatibles Gerät (oder hybrides Microsoft Entra verbundenes Gerät) für Cloud-Apps an.
  • Blockieren von Legacy-Authentifizierungsprotokollen .

Wichtig

Testen Sie zuerst Richtlinien für bedingten Zugriff in einer Pilotgruppe. Eine falsch konfigurierte Richtlinie kann Administratoren aus dem Microsoft Entra Admin Center sperren.

Eine schrittweise Anleitung finden Sie unter:

Nächster Schritt: Phase 4: Anwenden von Anpassungen und Überprüfen Ihrer lokalen Konfiguration

Phase 4 – Anwenden von Anpassungen und Überprüfen Ihrer lokalen Konfiguration

In dieser Phase wenden Sie organization spezifische Einstellungen und Apps an und überprüfen Ihre lokale Konfiguration. In dieser Phase können Sie alle für Ihr Organisation spezifischen Anpassungen vornehmen. Beachten Sie die verschiedenen Komponenten von Windows, wie Sie vorhandene Konfigurationen aus einer lokalen AD-Gruppenrichtlinienumgebung überprüfen und auf cloudnative Endpunkte anwenden können. Es gibt Abschnitte für jeden der folgenden Bereiche:

Microsoft Edge

Microsoft Edge-Bereitstellung

Microsoft Edge ist auf Geräten enthalten, auf denen Folgendes ausgeführt wird:

  • Windows

Nachdem sich Benutzer angemeldet haben, wird Microsoft Edge automatisch aktualisiert. Sie können den folgenden Befehl ausführen, um ein Update für Microsoft Edge während der Bereitstellung auszulösen:

Start-Process -FilePath "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" -argumentlist "/silent /install appguid={56EB18F8-B008-4CBD-B6D2-8C97FE7E9062}&appname=Microsoft%20Edge&needsadmin=True"

Um Microsoft Edge in früheren Versionen von Windows bereitzustellen, wechseln Sie zu Hinzufügen von Microsoft Edge für Windows zu Microsoft Intune.

Microsoft Edge-Konfiguration

Zwei Komponenten der Microsoft Edge, die angewendet werden, wenn sich Benutzer mit ihren Microsoft 365 Anmeldeinformationen anmelden, können über das Microsoft 365 Admin Center konfiguriert werden.

  • Das Logo der Startseite in Microsoft Edge kann durch Konfigurieren des Abschnitts Ihre Organisation innerhalb des Microsoft 365 Admin Center angepasst werden. Für weitere Informationen wechseln Sie zu Anpassung des Microsoft 365-Designs für Ihre Organisation.

  • Die standardmäßige Erfahrung für neue Registerkartenseiten in Microsoft Edge umfasst Office 365-Informationen und personalisierte Nachrichten. Wie diese Seite angezeigt wird, kann über die Microsoft 365 Admin Center unter Einstellungen>Organisationseinstellungen>News>Microsoft Edge neue Registerkartenseite angepasst werden.

Sie können auch andere Einstellungen für Microsoft Edge mithilfe von Einstellungskatalogprofilen festlegen. Sie können z. B. bestimmte Synchronisierungseinstellungen für Ihre Organisation konfigurieren.

  • Microsoft Edge
    • Konfigurieren der Liste der Typen, die von der Synchronisierung ausgeschlossen sind – Kennwörter

Start- und Taskleistenlayout

Sie können ein standardmäßiges Start- und Taskleistenlayout mit Intune anpassen und festlegen.

Einstellungenkatalog

Der Einstellungskatalog ist ein einzelner Speicherort, an dem alle konfigurierbaren Windows-Einstellungen aufgeführt sind. Der Katalog vereinfacht das Erstellen einer Richtlinie und Anzeigen aller verfügbaren Einstellungen. Für weitere Informationen wechseln Sie zu Erstellen einer Richtlinie mithilfe des Einstellungenkatalogs in Microsoft Intune.

Tipp

Viele der Einstellungen, mit denen Sie aus der Gruppenrichtlinie vertraut sind, sind in den Einstellungskatalog integriert. Wenn die Einstellungen im Einstellungskatalog nicht verfügbar sind, überprüfen Sie die Vorlagen für Gerätekonfigurationsprofile.

Im Einstellungskatalog sind einige Einstellungen verfügbar, die möglicherweise für Ihre Organisation relevant sind:

  • Azure bevorzugte Active Directory-Mandantendomäne: Mit dieser Einstellung wird der bevorzugte Mandantendomänenname konfiguriert, der an den Benutzernamen eines Benutzers angefügt wird. Mit einer bevorzugten Mandantendomäne können sich Benutzer bei Microsoft Entra Endpunkten nur mit ihrem Benutzernamen und nicht mit ihrem gesamten UPN anmelden, solange der Domänenname des Benutzers mit der bevorzugten Mandantendomäne übereinstimmt. Benutzer mit unterschiedlichen Domänennamen können ihren gesamten UPN eingeben.

    Einstellungskategorie Einstellung Wert
    Authentifizierung Bevorzugter Domänenname des AAD-Mandanten Geben Sie den Domänennamen ein, z. B contoso.onmicrosoft.com. .

    Hinweis

    Die Einstellungsbezeichnung verwendet die Legacyterminologie. "AAD" bezieht sich auf Microsoft Entra ID.

  • Windows-Blickpunkt : Standardmäßig sind mehrere Consumerfeatures von Windows aktiviert, was dazu führt, dass ausgewählte Store-Apps installiert werden und Vorschläge von Drittanbietern auf dem Sperrbildschirm angezeigt werden. Sie können dies über den Abschnitt „Erfahrung“ des Einstellungskatalogs steuern.

    Einstellungskategorie Einstellung Wert
    Erfahrung > Windows-Blickpunkt zulassen Windows Consumer-Features zulassen Blockieren
      Vorschläge von Drittanbietern in Windows Spotlight zulassen (Benutzer) Blockieren

  • Microsoft Store : Organisationen möchten in der Regel die Anwendungen einschränken, die auf Endpunkten installiert werden können. Verwenden Sie diese Einstellung, wenn Ihre Organisation steuern möchte, welche Anwendungen über die Microsoft Store installiert werden können. Diese Einstellung verhindert, dass Benutzer Anwendungen installieren, es sei denn, sie werden genehmigt.

    Einstellungskategorie Einstellung Wert
    Microsoft App Store Nur privaten Speicher anfordern Nur privater Speicher ist aktiviert.

    Hinweis

    Diese Einstellung gilt für Windows 10. Auf Windows 11 blockiert diese Einstellung den Zugriff auf den öffentlichen Microsoft Store. Weitere Informationen finden Sie unter:

  • Spiele blockieren : Organisationen bevorzugen möglicherweise, dass Unternehmensendpunkte nicht zum Spielen von Spielen verwendet werden können. Die Seite „Spiele“ in der App „Einstellungen“ kann mithilfe der folgenden Einstellung vollständig ausgeblendet werden. Weitere Informationen zur Sichtbarkeit der Seite „Einstellungen“ finden Sie in der CSP-Dokumentation und in den MS-Einstellungen URI-Schemareferenz.

    Einstellungskategorie Einstellung Wert
    Einstellungen Seitensichtbarkeitsliste hide:gaming-gamebar; gaming-gamedvr; Gaming-Broadcasting; Gaming-Gamemode; gaming-trueplay; Gaming-Xbox-Netzwerk; quietmomentsgame

  • Steuern der Mandanten, bei denen sich der Teams-Desktopclient anmelden kann: Wenn diese Richtlinie auf einem Gerät konfiguriert ist, können sich Benutzer nur mit Konten anmelden, die in einem Microsoft Entra Mandanten verwaltet werden, der in der in dieser Richtlinie definierten "Mandanten zulassen liste" enthalten ist. Die "Mandanten-Zulassungsliste" ist eine durch Trennzeichen getrennte Liste von Microsoft Entra Mandanten-IDs. Indem Sie diese Richtlinie angeben und einen Microsoft Entra Mandanten definieren, blockieren Sie auch die Anmeldung bei Teams für den persönlichen Gebrauch. Für weitere Informationen wechseln Sie zu Einschränken der Anmeldung auf Desktopgeräten.

    Einstellungskategorie Einstellung Wert
    Microsoft Teams Einschränken der Anmeldung bei Teams auf Konten in bestimmten Mandanten (Benutzer) Enabled

Geräteeinschränkungen

Windows Geräteeinschränkungsvorlagen enthalten viele der Einstellungen, die zum Sichern und Verwalten eines Windows Endpunkts mit Windows Configuration Service Providers (CSPs) erforderlich sind. Im Laufe der Zeit werden weitere dieser Einstellungen im Einstellungskatalog zur Verfügung gestellt. Für weitere Informationen wechseln Sie zu Geräteeinschränkungen.

Um ein Profil zu erstellen, das die Vorlage Geräteeinschränkungen verwendet, wechseln Sie im Microsoft Intune Admin Center zu Geräte>verwalten Geräte>verwalten Konfiguration>Neue Richtlinie>erstellen> Wählen Sie Windows 10 und höher für Plattformvorlagen>Geräteeinschränkungen als Profiltyp aus.

  • Desktophintergrundbild-URL (nur Desktop): Verwenden Sie diese Einstellung, um ein Hintergrundbild für Windows Enterprise- oder Windows Education-SKUs festzulegen. Sie hosten die Datei online oder verweisen auf eine Lokal kopierte Datei. Erweitern Sie zum Konfigurieren dieser Einstellung auf der Registerkarte Konfigurationseinstellungen im Profil Geräteeinschränkungen die Option Personalisierung, und konfigurieren Sie die DESKTOP-Hintergrundbild-URL (nur Desktop).

  • Benutzer müssen während der Geräteeinrichtung eine Verbindung mit einem Netzwerk herstellen : Diese Einstellung verringert das Risiko, dass ein Gerät Windows Autopilot überspringen kann, wenn der Computer zurückgesetzt wird. Diese Einstellung erfordert, dass Geräte während der Out-of-Box-Experience-Phase über eine Netzwerkverbindung verfügen. Erweitern Sie zum Konfigurieren dieser Einstellung im Profil Geräteeinschränkungen auf der Registerkarte Konfigurationseinstellungen die Option Allgemein, und konfigurieren Sie Benutzer müssen während der Geräteeinrichtung eine Verbindung mit dem Netzwerk herstellen.

    Hinweis

    Die Einstellung wird beim nächsten Zurücksetzen des Geräts wirksam.

Übermittlungsoptimierung

Die Übermittlungsoptimierung wird verwendet, um den Bandbreitenverbrauch zu reduzieren, indem die Arbeit des Herunterladens unterstützter Pakete zwischen mehreren Endpunkten gemeinsam genutzt wird. Übermittlungsoptimierung ist ein selbstorganisierender verteilter Cache, mit dem Clients diese Pakete aus alternativen Quellen wie Peers im Netzwerk herunterladen können. Diese Peerquellen ergänzen die herkömmlichen internetbasierten Server. Sie können sich über alle für die Übermittlungsoptimierung verfügbaren Einstellungen informieren und erfahren, welche Arten von Downloads bei der Übermittlungsoptimierung für Windows Updates unterstützt werden.

Um Übermittlungsoptimierung Einstellungen anzuwenden, erstellen Sie ein Intune Übermittlungsoptimierung-Profil oder ein Einstellungskatalogprofil.

Einige Einstellungen, die häufig von Organisationen verwendet werden, sind:

  • Peerauswahl einschränken – Subnetz : Diese Einstellung schränkt die Peerzwischenspeicherung auf Computer im selben Subnetz ein.
  • Gruppen-ID : Übermittlungsoptimierungsclients können so konfiguriert werden, dass inhalte nur für Geräte in derselben Gruppe freigegeben werden. Gruppen-IDs können direkt konfiguriert werden, indem eine GUID über eine Richtlinie gesendet oder DHCP-Optionen in DHCP-Bereichen verwendet werden.

Kunden, die Microsoft Configuration Manager verwenden, können verbundene Cacheserver bereitstellen, die zum Hosten von Inhalten zur Übermittlungsoptimierung verwendet werden können. Für weitere Informationen wechseln Sie zu Microsoft Connected Cache im Konfigurations-Manager.

Lokale Administratoren

Wenn nur eine Benutzergruppe lokalen Administratorzugriff auf alle Microsoft Entra eingebundenen Windows-Geräte benötigt, können Sie diese dem Microsoft Entra Lokalen Geräteadministrator hinzufügen.

Möglicherweise ist es erforderlich, dass der IT-Helpdesk oder andere Supportmitarbeiter über lokale Administratorrechte für eine ausgewählte Gruppe von Geräten verfügen. Sie können diese Anforderung erfüllen, indem Sie die folgenden Konfigurationsdienstanbieter (Configuration Service Providers, CSPs) verwenden.

Weitere Informationen finden Sie unter Verwalten der lokalen Administratorgruppe auf Microsoft Entra verbundenen Geräten.

Migration von Gruppenrichtlinie zu MDM-Einstellungen

Es gibt mehrere Optionen zum Erstellen Ihrer Gerätekonfiguration, wenn Sie eine Migration von Gruppenrichtlinie zur cloudnativen Geräteverwaltung in Betracht ziehen:

  • Starten Sie neu, und wenden Sie nach Bedarf benutzerdefinierte Einstellungen an.
  • Überprüfen Sie vorhandene Gruppenrichtlinien, und wenden Sie die erforderlichen Einstellungen an. Sie können Tools als Hilfe verwenden, z. B. Gruppenrichtlinie Analysen.
  • Verwenden Sie Gruppenrichtlinie Analysen, um Gerätekonfigurationsprofile direkt für unterstützte Einstellungen zu erstellen.

Der Übergang zu einem cloudnativen Windows-Endpunkt stellt eine Chance dar, Ihre Computing-Anforderungen für Endbenutzer zu überprüfen und eine neue Konfiguration für die Zukunft einzurichten. Beginnen Sie nach Möglichkeit mit einem minimalen Satz von Richtlinien neu. Vermeiden Sie die künftige Weiterverwendung unnötiger oder älterer Einstellungen aus einer in die Domäne eingebundenen Umgebung oder älteren Betriebssystemen wie Windows 7 oder Windows XP.

Um neu zu beginnen, überprüfen Sie Ihre aktuellen Anforderungen, und implementieren Sie eine minimale Sammlung von Einstellungen, um diese Anforderungen zu erfüllen. Die Anforderungen können gesetzliche oder obligatorische Sicherheitseinstellungen und -einstellungen umfassen, um die Endbenutzererfahrung zu verbessern. Das Unternehmen erstellt eine Liste mit Anforderungen, nicht die IT. Jede Einstellung sollte dokumentiert und verstanden werden und einem Zweck dienen.

Das Migrieren von Einstellungen von vorhandenen Gruppenrichtlinien zu MDM (Microsoft Intune) ist nicht der bevorzugte Ansatz. Wenn Sie auf cloudnatives Windows umstellen, sollte die Absicht nicht darin bestehen, vorhandene Gruppenrichtlinieneinstellungen zu heben und zu verschieben. Berücksichtigen Sie stattdessen die Zielgruppe und die erforderlichen Einstellungen. Es ist zeitaufwändig und wahrscheinlich unpraktisch, jede Gruppenrichtlinieneinstellung in Ihrer Umgebung zu überprüfen, um deren Relevanz und Kompatibilität mit einem modernen verwalteten Gerät zu ermitteln. Vermeiden Sie es, jede Gruppenrichtlinie und einzelne Einstellung zu bewerten. Konzentrieren Sie sich stattdessen auf die Bewertung der allgemeinen Richtlinien, die die meisten Geräte und Szenarien abdecken.

Identifizieren Sie stattdessen die Gruppenrichtlinieneinstellungen, die obligatorisch sind, und überprüfen Sie diese Einstellungen anhand der verfügbaren MDM-Einstellungen. Lücken würden Hindernisse darstellen, die verhindern können, dass Sie mit einem cloudnativen Gerät fortfahren, wenn sie nicht behoben werden. Tools wie Gruppenrichtlinie Analysen können verwendet werden, um Gruppenrichtlinieneinstellungen zu analysieren und zu bestimmen, ob sie zu MDM-Richtlinien migriert werden können oder nicht.

Skripts

Sie können PowerShell-Skripts für alle Einstellungen oder Anpassungen verwenden, die Sie außerhalb der integrierten Konfigurationsprofile konfigurieren müssen. Für weitere Informationen wechseln Sie zu Hinzufügen von PowerShell-Skripts zu Windows-Geräten in Microsoft Intune.

Zuordnen von Netzwerklaufwerken und Druckern

Cloudnative Szenarien verfügen nicht über eine integrierte Lösung für zugeordnete Netzwerklaufwerke. Stattdessen wird empfohlen, dass Benutzer zu Teams, SharePoint und OneDrive migrieren. Wenn die Migration nicht möglich ist, sollten Sie bei Bedarf die Verwendung von Skripts in Betracht ziehen.

Für den persönlichen Speicher haben wir in Schritt 8 – Konfigurieren von Einstellungen für eine optimale Microsoft 365 Benutzererfahrungdie Verschiebung bekannter OneDrive-Ordner konfiguriert. Weitere Informationen finden Sie unter Umleiten bekannter Ordner.

Für die Dokumentspeicherung können Benutzer auch von der SharePoint-Integration mit dem Datei-Explorer und der Möglichkeit profitieren, Bibliotheken lokal zu synchronisieren, wie hier erwähnt: Synchronisieren von SharePoint- und Teams-Dateien mit Ihrem Computer.

Wenn Sie Office-Dokumentvorlagen im Unternehmen verwenden, die sich in der Regel auf internen Servern befinden, sollten Sie das neuere cloudbasierte Äquivalent in Betracht ziehen, mit dem Benutzer von überall aus auf die Vorlagen zugreifen können.

Für Drucklösungen sollten Sie Universelles Drucken in Betracht ziehen. Für weitere Informationen wechseln Sie zu:

Anwendungen

Intune unterstützt die Bereitstellung vieler verschiedener Windows-Anwendungstypen.

Wenn Sie über Anwendungen verfügen, die MSI-, EXE- oder Skriptinstallationsprogramme verwenden, können Sie alle diese Anwendungen mithilfe der Win32-App-Verwaltung in Microsoft Intunebereitstellen. Das Umschließen dieser Installationsprogramme im Win32-Format bietet mehr Flexibilität und Vorteile, einschließlich Benachrichtigungen, Übermittlungsoptimierung, Abhängigkeiten, Erkennungsregeln und Unterstützung für die Registrierungsstatusseite in Windows Autopilot.

Hinweis

Um Konflikte während der Installation zu vermeiden, empfiehlt es sich, ausschließlich die Branchen-Apps von Windows oder win32-Apps zu verwenden. Wenn Sie über Anwendungen verfügen, die als .msi oder .exegepackt sind, können sie mithilfe des auf GitHub verfügbaren Microsoft Win32 Content Prep Tools in Win32-Apps (.intunewin) konvertiert werden.

Weiter: Phase 5: Skalieren Ihrer Bereitstellung mit Windows Autopilot

Phase 5: Skalieren Ihrer Bereitstellung mit Windows Autopilot

Sie haben bewiesen, dass cloudnativ auf einem Gerät funktioniert. In dieser Phase wird erläutert, wie Sie von einem Testgerät zu Ihrer Produktionsflotte wechseln – wie Geräte registriert werden, wie Sie sie nach Persona gruppieren, wie Sie den Rollout durchführen und wie Sie mit den vorhandenen PCs umgehen, die Sie bereits verwalten.

Registrieren von Geräten im großen Stil

In Phase 1 haben Sie einen Hardwarehash manuell hochgeladen. Das ist für ein Lab in Ordnung, lässt sich aber nicht skalieren. Die für die Produktion geeigneten Optionen sind:

Registrierungsquelle So funktioniert es Am besten geeignet für
OEM oder Hardwarepartner Geräte werden von dem Anbieter geliefert, der bereits an Ihren Mandanten registriert ist (Dell, HP, Lenovo, Microsoft, Surface usw.). Neue Hardwarebeschaffung – der empfohlene Zielzustand.
Handelspartner oder CSP Ein Microsoft-Partner registriert Geräte in Ihrem Namen. Indirekte oder gemischte Lieferketten.
Manueller Hashupload (CSV) Derselbe Get-WindowsAutopilotInfo Flow aus Phase 1, Schritt 3, massenuploaded als CSV. Pilotprojekte, Laborgeräte, kleine Batches, vorhandene Geräte, die integriert werden.
Intune Connector/direkte Registrierung Neuere Registrierungspfade wurden im Admin Center angezeigt. Spezifische Registrierungsszenarien – siehe Übersicht über die Autopilot-Registrierung.

Ausführliche Informationen finden Sie unter Registrieren von Autopilot-Geräten.

Tipp

Wenn Sie neue Windows-Hardware kaufen, bitten Sie Ihren Händler oder OEM, Geräte zum Zeitpunkt des Kaufs bei Ihrer Microsoft Entra Mandanten-ID zu registrieren. Dieser Ansatz ist das langfristige Muster mit der geringsten Reibung und entfällt die Notwendigkeit, einen Hash manuell zu sammeln.

Verwenden von Gruppentags für Personas

Sie haben das CloudNative Gruppentag bereits in Phase 1 verwendet, um eine dynamische Gruppe zu steuern. Dasselbe Muster wird auf mehrere Gerätepersonas skaliert. Definieren Sie ein Gruppentag pro Persona, eine dynamische Microsoft Entra Gruppe pro Tag und ein Autopilot-Bereitstellungsprofil plus Registrierungsstatusseite pro Gruppe.

Persona Vorgeschlagenes Gruppentag Autopilot-Profil Benutzerkontotyp
Wissensarbeiter KnowledgeWorker Benutzergesteuert Standard Benutzer
Entwickler/Power-User Developer Benutzergesteuert Administrator
Kiosk oder freigegebenes Gerät Kiosk Selbstbereitstellung Nicht zutreffend
Vorab bereitgestellt (weißer Handschuh) PreProvisioned Vorabbereitstellung Standard Benutzer

Dieses Muster sorgt dafür, dass Konfigurationen, Apps und Sicherheitsrichtlinien pro Persona isoliert sind, und es werden einmalige Ausnahmen vermieden, die über Ihren Mandanten verteilt werden.

Rollout in Ringen

Stellen Sie nicht die gesamte Flotte auf einmal bereit. Verwenden Sie das gleiche Ringkonzept, das Sie für Windows Updates verwenden:

Ring Zielgruppe Zweck
Pilot IT-Team und eine kleine Gruppe von Freiwilligen Überprüfen Sie die End-to-End-Bereitstellung und -Richtlinie.
Early Adopter ~5% der Benutzer, abteilungsübergreifend verteilt Erfassen Sie persona- und app-spezifische Probleme.
Allgemein Die verbleibende Flotte, nach Region oder Abteilung bereitgestellt Produktionsrollout.

Verwenden Sie Zuweisungsfilter , um Ringe als Ziel zu verwenden, anstatt für jede Richtlinie doppelte Gruppen zu erstellen. Überwachen Sie jeden Ring mithilfe des Abschnitts Überwachen Ihrer cloudnativen Windows-Endpunkte , bevor Sie zum nächsten herstufen.

Behandeln vorhandener Geräte

Für Windows-PCs, die Sie bereits verwalten, empfiehlt Microsoft, bei der nächsten Hardwareaktualisierung auf Autopilot umzusteigen, anstatt Ihre gesamte Flotte heute neu bereitzustellen. Cloudnatives Windows profitiert in vollem Umfang von einem sauber OOBE-Start, und Aktualisierungszyklen ermöglichen Ihnen einen natürlichen Übergang mit minimalen Benutzerunterbrechungen.

Wenn Sie nicht auf die Aktualisierung warten können, stehen zwei Pfade zur Verfügung:

  • Registrieren und zurücksetzen. Sammeln Sie den Hash für ein vorhandenes Gerät, registrieren Sie ihn bei Autopilot, und setzen Sie dann den PC zurück. Das Gerät kommt über die OOBE als cloudnativer Endpunkt zurück. Weitere Informationen finden Sie unter Hinzufügen vorhandener Geräte zu Windows Autopilot.
  • Führen Sie bei der Aktualisierung ein Reimaging durch. Nur neue oder aktualisierte Hardware wird als cloudnativ registriert. Vorhandene Geräte bleiben auf der aktuellen Verwaltung, bis sie das Ende der Lebensdauer erreichen.

Achtung

Registrieren Sie keine Geräte, die aktiv von Microsoft Configuration Manager ohne einen Co-Management-Plan verwaltet werden. Entscheiden Sie, ob das Gerät in der Cloud verwaltet oder gemeinsam verwaltet wird, oder bleiben Sie auf Konfigurations-Manager, bevor Sie es bei Autopilot registrieren. Weitere Informationen finden Sie unter Co-Verwaltung für Windows-Geräte.

Weitere Informationen

Wenn Windows Autopilot nicht für Ihr Szenario geeignet ist, finden Sie unter Intune Registrierungsmethoden für Windows-Geräte Alternativen.

Weiter: Überwachen Ihrer cloudnativen Windows-Endpunkte

Überwachen Ihrer cloudnativen Windows-Endpunkte

Nachdem Ihre cloudnativen Windows-Endpunkte bereitgestellt und konfiguriert wurden, verwenden Sie die Überwachungsansichten im Microsoft Intune Admin Center, um die erfolgreiche Bereitstellung von Richtlinien, Skripts und Apps zu bestätigen und Probleme frühzeitig zu erkennen. Die Überwachung ist eine laufende operative Aufgabe, kein einmaliger Einrichtungsschritt.

Was überwacht werden soll Im Admin Center Zu überprüfende Informationen Weitere Informationen
Skripterstellung status Geräte>Nach Plattform>Fenster>Verwalten von Geräten>Skripts und Korrekturen>Plattformskripts Auswählen eines Skripts >Device status
status für die App-Installation Apps>Fenster>Windows-Apps Wählen Sie eine App >geräteinstallation status oder Benutzerinstallations-status Problembehandlung bei App-Installationen
Sicherheitsbasispläne Überwachen von Sicherheitsbaselines in Intune
Datenträgerverschlüsselung (BitLocker) Endpunktsicherheit>Datenträgerverschlüsselung Wählen Sie die BitLocker-Richtlinie >Geräteinstallation status aus. Wiederherstellungsschlüssel: Geräte>Windows> wählt ein Gerät >Auswiederherstellungsschlüssel aus
Windows Update Ringe Geräte>Verwalten von Updates>Windows 10 und spätereUpdateringe> Auswählen eines Ringgeräts> status Berichte für Updateringe
Compliance Geräte>Beachtung Wählen Sie die Richtlinie aus, um Zuweisungsergebnisse, nicht kompatible Geräte und Einstellungsfehler anzuzeigen. Überwachen von Konformitätsrichtlinien
Endpunktanalyse Berichte>Endpunktanalyse Startleistung, App-Zuverlässigkeit und proaktive Korrekturen in Ihrer Gesamten Flotte Übersicht über Endpunktanalysen · Intune Berichte

Befolgen Sie die Anleitung für Cloud-native Endpunkte

  1. Überblick: Was sind cloudnative Endpunkte?
  2. 🡺 Tutorial: Einrichten cloudnativer Windows-Endpunkte mit Microsoft Intune (Sie sind hier)
  3. Konzept: Microsoft Entra im Vergleich zu hybriden Microsoft Entra
  4. Konzept: Cloud-native Endpunkte und ortsgebundene Ressourcen
  5. Planungsleitfaden auf hohem Niveau
  6. Bekannte Probleme und wichtige Informationen

Häufig gestellte Fragen

Was ist ein cloudnativer Windows-Endpunkt?

Ein cloudnativer Windows-Endpunkt ist ein Windows-Gerät, das Microsoft Entra eingebunden und in Microsoft Intune registriert ist – ohne Abhängigkeit von lokales Active Directory, Gruppenrichtlinie oder Domänencontrollern. Die gesamte Konfiguration, Sicherheit und App-Bereitstellung wird über die Cloud mithilfe von Microsoft Intune und Windows Autopilot verwaltet.

Worin liegt der Unterschied zwischen cloudnativen und hybriden Microsoft Entra?

Ein hybrides Microsoft Entra gerät wird sowohl mit lokales Active Directory als auch mit Microsoft Entra verknüpft. Es ist weiterhin von Domänencontrollern für die Authentifizierung und Gruppenrichtlinie für die Konfiguration abhängig. Ein cloudnatives (nur Microsoft Entra eingebundenes) Gerät verfügt über keine lokale Abhängigkeit – Identität, Richtlinie und Apps stammen alle aus der Cloud. Einen ausführlichen Vergleich finden Sie unter Microsoft Entra verknüpften und hybriden Microsoft Entra.

Benötige ich Windows 11 für cloudnative Endpunkte?

Nein Cloudnatives Windows funktioniert mit Windows 10 22H2 oder höher. Microsoft empfiehlt Windows 11 für die beste Erfahrung mit Windows Autopilot, Windows Hello for Business und modernen Sicherheitsfeatures.

Kann ich vorhandene in die Domäne eingebundene Geräte auf cloudnative Geräte verschieben?

Ja, aber Microsoft empfiehlt, dies bei der nächsten Hardwareaktualisierung durchzuführen, anstatt Ihre gesamte Flotte neu zu bereitstellen. Cloudnatives Windows profitiert von einem sauber OOBE-Start in vollem Umfang. Informationen zu Geräten, die Sie mit der Aktualisierung nicht warten können, finden Sie unter Behandeln vorhandener Geräte in Phase 5.

Funktioniert cloudnatives Windows mit lokalen Ressourcen wie Dateifreigaben und Druckern?

Ja, mit etwas Planung. Cloudnative Geräte können über VPN oder über Microsoft Entra Anwendungsproxy auf lokale Ressourcen zugreifen. Für den Dateispeicher empfiehlt Microsoft die Migration zu OneDrive und SharePoint. Für das Drucken sollten Sie universelles Drucken in Betracht ziehen. Ausführliche Anleitungen finden Sie unter Cloudnative Endpunkte und lokale Ressourcen .

Hilfreiche Onlineressourcen

  • Last updated on