So automatisieren Sie die Geräteregistrierung in Active Directory in Intune mithilfe von Gruppenrichtlinien
Die automatische Registrierung von lokalen Active Directory-Geräten in Intune klingt einfach, doch manchmal weigert sich Windows einfach, dies sofort durchzuführen. Dieser Leitfaden führt Sie durch den Prozess – vor allem, um Ihnen die üblichen Probleme zu ersparen, wenn sich Ihre Geräte nicht wie gewünscht automatisch registrieren. Bei korrekter Einrichtung sollten sich Ihre Benutzer einfach mit ihren Microsoft 365-Konten anmelden und ihre Geräte automatisch in Intune registrieren können. So erhalten Sie eine zentrale Kontrolle ohne großen Aufwand. Doch seien wir ehrlich: Geduld ist gefragt, und manchmal müssen Sie die Gruppenrichtlinien oder die ADM-Vorlagen bearbeiten, um fehlende oder falsch konfigurierte Elemente zu korrigieren.
So registrieren Sie Active Directory (AD) Windows-Geräte automatisch bei Intune
Voraussetzung: Ihr lokales Active Directory muss über Microsoft Entra Connect (auch bekannt als Azure AD Connect) mit Microsoft Entra ID synchronisiert sein. Falls dies nicht funktioniert, kann der gesamte Prozess nicht automatisch gestartet werden.
Aktivieren Sie die automatische MDM-Registrierung mithilfe der standardmäßigen Azure-Anmeldeinformationen in der Gruppenrichtlinie.
Warum das hilfreich ist: Windows wird dadurch explizit angewiesen, Geräte mithilfe der mit Ihrem Azure AD-Benutzer verknüpften Anmeldeinformationen automatisch bei Intune zu registrieren. Normalerweise bleiben Geräte ohne diese Richtlinie einfach nicht registriert, oder Benutzer müssen sie manuell registrieren, was insbesondere bei größeren Umgebungen unpraktisch ist. Nach der Einrichtung dieser Richtlinie werden Ihre Geräte – vorausgesetzt, Synchronisierung und Berechtigungen sind korrekt konfiguriert – automatisch registriert, sobald die Richtlinie angewendet wird.
Wann Sie dies ausprobieren sollten: Wenn sich Benutzer mit ihren Microsoft 365-Anmeldeinformationen anmelden, ihre Geräte aber nicht in Intune angezeigt werden, oder wenn Sie feststellen, dass auch nach der Benutzeranmeldung keine automatische Registrierung erfolgt.
- Gehen Sie zum Server-Manager, dann zu Tools und wählen Sie Gruppenrichtlinienverwaltung.
- Erstellen Sie ein neues Gruppenrichtlinienobjekt (GPO) und verknüpfen Sie es mit Ihrer Domäne oder der spezifischen Organisationseinheit (OU) mit Ihren Benutzern/Geräten. Stellen Sie sicher, dass Sie den richtigen Bereich auswählen, da die Gruppenrichtlinie sonst nicht angewendet wird.
- Navigieren Sie zu Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > MDM.
- Suchen Sie nach der Option „Automatische MDM-Registrierung mit Standard-Azure-AD-Anmeldeinformationen aktivieren“. Falls diese Option nicht vorhanden ist, keine Sorge – weiter unten erfahren Sie, wie Sie sie hinzufügen.
- Stellen Sie die Option auf „Aktiviert“ und wählen Sie „Benutzeranmeldeinformationen“ als Anmeldeinformationstyp aus. Klicken Sie anschließend auf „Anwenden“ und „OK“.
- Führen Sie
gpupdate /forceden Befehl in der Eingabeaufforderung (als Administrator) aus, um die Änderungen sofort zu übernehmen. Bei manchen Systemen kann die Anwendung jedoch etwas Zeit in Anspruch nehmen.
Öffnen Sie die Gruppenrichtlinienverwaltung und erstellen Sie ein neues Gruppenrichtlinienobjekt.
Bearbeiten Sie das neue Gruppenrichtlinienobjekt, um die richtige Richtlinie festzulegen.
Die Richtlinie anwenden
Was passiert, wenn die Richtlinie „Automatische MDM-Registrierung mit Standard-Azure-Anmeldeinformationen aktivieren“ nicht vorhanden ist?
Da sich Windows-Updates und ADMX-Vorlagen unterscheiden, fehlt diese Einstellung manchmal. Keine Sorge – so gehen Sie vor:
- Prüfen Sie, welche Windows-Version auf Ihren in die Domäne eingebundenen Computern ausgeführt wird. Laden Sie anschließend die passenden administrativen Vorlagen von Microsoft herunter:
- Windows 11, Version 25H2
- Windows 11, Version 24H2
- Windows 11, Version 23H2
- Windows 11, Version 22H2
- Windows 10, Version 22H2
Methode 1: Die richtigen ADMX-Vorlagen beschaffen
- Laden Sie das richtige Paket herunter und installieren Sie es anschließend auf Ihrem Domänencontroller.
- Suchen Sie nach der Installation den Ordner, in dem sich die ADMX-Dateien befinden, etwa so:
C:\Program Files (x86)\Microsoft Group Policy\Windows 11 October 2023 Update (23H2)\- Kopieren Sie den gesamten
PolicyDefinitionsOrdner von diesem Speicherort auf die SYSVOL-Freigabe: - \\
\SYSVOL\ .local\Policies\ - Warten Sie einige Sekunden, bis die DFSR-Replikation auf allen Domänencontrollern synchronisiert ist.
- Gehen Sie anschließend zurück zur Gruppenrichtlinienverwaltung und erstellen oder bearbeiten Sie Ihr Gruppenrichtlinienobjekt, um diese Einstellung zu aktivieren.
Methode 2: Installieren Sie die ADMX-Vorlagen auf Ihrem Domänencontroller
Nächster Schritt: Automatische Registrierung in Intune aktivieren
Sobald Ihre Richtlinie eingerichtet ist, gehen Sie zum Intune Admin Center.
- Navigieren Sie zu Geräte > Windows > Registrierung > Automatische Registrierung.
- Stellen Sie den MDM-Benutzerbereich auf „Alle“ ein, damit sich alle Geräte registrieren können. Aktivieren Sie außerdem den Windows-Informationsschutz (WIP) für alle Geräte.
- Klicken Sie auf Speichern. Es kann zu einer kurzen Verzögerung kommen, aber sobald sich Benutzer anmelden oder die Richtlinien auf den Geräten aktualisiert werden, sollte die automatische Registrierung erfolgen. Normalerweise ist das der geplante Ablauf.
Prüfen Sie, ob die Geräte ordnungsgemäß registriert werden.
Nach der Konfiguration sollten Sie einige Minuten warten – idealerweise nach der nächsten Azure AD-Synchronisierung. Sobald sich Benutzer mit ihren Arbeitskonten anmelden, werden ihre Windows-Rechner automatisch bei Intune registriert. Sie können dies überprüfen, indem Sie die Intune-Geräte aufrufen und nach neuen Einträgen suchen.
Zusätzliche Tipps zur manuellen Registrierung oder zur Behebung von Problemen mit Geräten
- Um ein Gerät manuell hinzuzufügen, gehen Sie zu Einstellungen > Konten > Zugriff auf Arbeits- oder Schulkonto, klicken Sie dann auf Arbeits- oder Schulkonto hinzufügen und melden Sie sich an.
- Wenn ein Gerät zuvor registriert wurde, aber nicht als hybridverbunden angezeigt wird, versuchen Sie, es
dsregcmd.exe /leavein einer Eingabeaufforderung mit Administratorrechten auszuführen, starten Sie es anschließend neu und melden Sie sich erneut an.
Das deckt die wichtigsten Punkte ab. Ehrlich gesagt, dauert es bei manchen Konfigurationen einfach etwas länger, bis alles reibungslos funktioniert, aber sobald alle Probleme behoben sind, registrieren sich die Geräte in der Regel automatisch. Ich bin mir nicht sicher, warum das manchmal funktioniert, aber mit den richtigen Vorlagen und Richtlinien ist es deutlich weniger riskant.
Zusammenfassung
- Stellen Sie sicher, dass AD über Entra Connect mit Entra ID synchronisiert ist.
- Erstellen und verknüpfen Sie ein Gruppenrichtlinienobjekt (GPO), um die automatische MDM-Registrierung zu aktivieren.
- Laden Sie gegebenenfalls ADMX-Vorlagen herunter und installieren Sie diese, die zu Ihrer Windows-Version passen.
- Stellen Sie die Richtlinie „Automatische MDM-Registrierung aktivieren“ bereit und führen Sie sie aus
gpupdate /force. - Richten Sie die automatische Registrierung in Intune ein und überprüfen Sie den Gerätestatus nach der Synchronisierung.
Zusammenfassung
Hoffentlich hilft das, die Probleme mit der automatischen Registrierung zu lösen. Manchmal reicht es schon, die Richtlinien zu korrigieren, auf die Synchronisierung zu warten oder die Einstellungen manuell festzulegen. Sobald man den Dreh raus hat, läuft die Geräteverwaltung deutlich reibungsloser. Zugegeben, es mag etwas kompliziert erscheinen, aber es ist machbar.