Kürzliche Suchen

Keine aktuellen Suchvorgänge

    Beliebte Artikel

      Artikel
      Alle ansehen
        Themen
        Alle ansehen
          Tickets
          Alle ansehen
            keine Ergebnisse

            Leider nichts gefunden für

            Windows-Geräte mit Microsoft Entra ID verknüpfen

            Erstellt von Felix Schobeß, Geändert am Mi, 3 Dez um 10:04 VORMITTAGS von Felix Schobeß

            Übersicht

            Diese Anleitung beschreibt, wie Windows-PCs im Büro mit Microsoft Entra ID (ehemals Azure AD) verknüpft und über Microsoft Intune zentral verwaltet werden. Nach der Verknüpfung können Geräte über das Endpoint Manager Admin Center administriert werden.

            Zielgruppe: IT-Administratoren mit Microsoft 365 Business Premium oder vergleichbaren Lizenzen

            Zeitaufwand: Ca. 1-2 Stunden pro Gerät (inkl. Datenmigration)

            Voraussetzungen:

            • Microsoft 365 Lizenzen mit Azure AD Premium P1 und Intune
            • Windows 10 Pro/Enterprise (ab Version 1809) oder Windows 11 Pro/Enterprise
            • Lokale Administratorrechte auf den Geräten
            • Globale Administratorrechte in Microsoft 365
            • Stabile Internetverbindung

            Phase 1: Microsoft Entra ID und Intune vorbereiten

            Schritt 1: Intune aktivieren

            1. Melden Sie sich im Microsoft Endpoint Manager Admin Center an: https://endpoint.microsoft.com
            2. Navigieren Sie zu Mandantenverwaltung → Mandantenstatus
            3. Falls noch nicht aktiviert, wählen Sie Microsoft Intune als MDM-Autorität
            4. Speichern Sie die Einstellungen

            Schritt 2: Automatische MDM-Registrierung konfigurieren

            1. Öffnen Sie das Azure Portal: https://portal.azure.com
            2. Gehen Sie zu Microsoft Entra ID → Mobilität (MDM und MAM) → Microsoft Intune
            3. Setzen Sie den MDM-Benutzerbereich auf Alle (oder wählen Sie spezifische Gruppen)
            4. Stellen Sie sicher, dass die Standard-MDM-URLs korrekt eingetragen sind:
              • MDM-Ermittlungs-URL: https://enrollment.manage.microsoft.com/enrollmentserver/discovery.svc
              • MDM-Nutzungsbedingungen-URL: https://portal.manage.microsoft.com/TermsofUse.aspx
              • MDM-Kompatibilitäts-URL: https://portal.manage.microsoft.com/?portalAction=Compliance
            5. Falls URLs fehlen: Klicken Sie auf "Standardwerte für MDM-URLs wiederherstellen"
            6. Speichern Sie die Konfiguration

            Schritt 3: Geräteeinstellungen in Entra ID prüfen

            1. Im Azure Portal zu Microsoft Entra ID → Geräte → Geräteeinstellungen
            2. Prüfen Sie folgende Einstellungen:
              • "Benutzer dürfen Geräte in Azure AD einbinden": Muss auf Alle stehen
              • "Maximale Anzahl von Geräten pro Benutzer": Mindestens 5-10 empfohlen
            3. Speichern Sie bei Änderungen

            Schritt 4: Lizenzen prüfen

            1. Öffnen Sie das Microsoft 365 Admin Center: https://admin.microsoft.com
            2. Gehen Sie zu Benutzer → Aktive Benutzer
            3. Wählen Sie die Benutzer aus, deren Geräte verknüpft werden sollen
            4. Prüfen Sie unter Lizenzen und Apps, ob Intune-Lizenzen zugewiesen sind
            5. Weisen Sie fehlende Lizenzen zu

            Phase 2: Testgerät vorbereiten

            Wichtig: Beginnen Sie immer mit einem einzelnen Testgerät, bevor Sie alle Geräte migrieren!

            Schritt 5: Datensicherung erstellen

            1. Erstellen Sie ein vollständiges Backup aller wichtigen Daten des Test-PCs
            2. Dokumentieren Sie installierte Programme und wichtige Einstellungen
            3. Notieren Sie lokale Benutzerkonten

            Schritt 6: OneDrive vorbereiten (empfohlen)

            Um die Datenmigration zu vereinfachen:

            1. Installieren Sie OneDrive for Business auf dem PC (falls nicht vorhanden)
            2. Melden Sie sich mit dem Microsoft 365-Konto des Benutzers an
            3. Synchronisieren Sie Desktop, Dokumente und wichtige Ordner mit OneDrive
            4. Warten Sie, bis die Synchronisierung abgeschlossen ist

            Phase 3: Microsoft Entra ID Join durchführen

            Schritt 7: Gerät mit Entra ID verknüpfen

            1. Melden Sie sich auf dem PC als lokaler Administrator an
            2. Öffnen Sie Einstellungen → Konten → Auf Arbeits- oder Schulkonto zugreifen
            3. Klicken Sie auf "Dieses Gerät mit Microsoft Entra ID verknüpfen"
              • Nicht auf "Verbinden" klicken (das wäre nur eine Registrierung)
              • Nicht "Geschäfts-, Schul- oder Unikonto hinzufügen" wählen
            4. Geben Sie die vollständige E-Mail-Adresse des Benutzers ein (z.B. max.mustermann@ihrefirma.de)
            5. Geben Sie das Passwort ein
            6. Bestätigen Sie die angezeigt Organisation
            7. Klicken Sie auf "Beitreten" bzw. "Join"
            8. Warten Sie, bis die Meldung "You're all set!" bzw. "Fertig!" erscheint

            Schritt 8: Neustart und erste Anmeldung

            1. Starten Sie den PC neu
            2. Wählen Sie bei der Anmeldung "Anderer Benutzer" (unten links)
            3. Geben Sie die vollständige E-Mail-Adresse ein (z.B. max.mustermann@ihrefirma.de)
            4. Geben Sie das Passwort ein
            5. Windows erstellt nun ein neues, mit Entra ID verbundenes Benutzerprofil

            Hinweis: Die erste Anmeldung kann einige Minuten dauern.

            Schritt 9: Verknüpfung überprüfen

            Auf dem PC:

            1. Gehen Sie zu Einstellungen → Konten → Auf Arbeits- oder Schulkonto zugreifen
            2. Sie sollten sehen:
              • "Mit [Organisation] von Microsoft Entra ID verbunden"
              • "Verwaltung durch Organisation" (nach ca. 15-30 Minuten)

            Im Azure Portal:

            1. Öffnen Sie https://portal.azure.com
            2. Gehen Sie zu Microsoft Entra ID → Geräte → Alle Geräte
            3. Das Gerät sollte mit Verknüpfungstyp "Microsoft Entra joined" angezeigt werden

            Im Endpoint Manager:

            1. Öffnen Sie https://endpoint.microsoft.com
            2. Gehen Sie zu Geräte → Alle Geräte
            3. Das Gerät sollte nach 15-30 Minuten mit Status "Verwaltet" erscheinen

            Phase 4: Benutzerdaten migrieren

            Schritt 10: Daten ins neue Profil übertragen

            Nach dem Entra ID Join wurde ein neues Benutzerprofil erstellt. Das alte lokale Profil existiert noch auf der Festplatte.

            Option A: Manuelle Migration

            1. Öffnen Sie den Windows Explorer
            2. Navigieren Sie zu C:\Users\
            3. Öffnen Sie den Ordner des alten Benutzerprofils
            4. Kopieren Sie wichtige Ordner ins neue Profil:
              • Desktop
              • Dokumente
              • Downloads
              • Bilder
              • Favoriten (Browser-Lesezeichen)

            Option B: OneDrive-Synchronisierung (empfohlen)

            1. Falls Sie Schritt 6 durchgeführt haben, melden Sie sich im neuen Profil einfach wieder bei OneDrive an
            2. Alle Daten werden automatisch synchronisiert
            3. Desktop und Dokumente werden automatisch wiederhergestellt

            Schritt 11: Programme neu installieren

            1. Prüfen Sie, welche Programme im neuen Profil nicht funktionieren
            2. Installieren Sie diese Programme neu
            3. Besser: Verteilen Sie Programme zentral über Intune (siehe Phase 5)

            Schritt 12: Alte Profile aufräumen (optional)

            Nach erfolgreicher Migration und Testphase:

            1. Gehen Sie zu Systemsteuerung → System → Erweiterte Systemeinstellungen
            2. Klicken Sie unter "Benutzerprofile" auf Einstellungen
            3. Wählen Sie das alte lokale Profil aus
            4. Klicken Sie auf Löschen

            Achtung: Stellen Sie sicher, dass alle Daten gesichert sind, bevor Sie Profile löschen!

            Phase 5: Zentrale Verwaltung einrichten

            Schritt 13: Compliancerichtlinien erstellen

            1. Öffnen Sie das Endpoint Manager Admin Center: https://endpoint.microsoft.com
            2. Gehen Sie zu Geräte → Compliancerichtlinien → Richtlinien
            3. Klicken Sie auf + Richtlinie erstellen
            4. Wählen Sie Windows 10 und höher
            5. Konfigurieren Sie Mindestanforderungen:
              • Gerätezustand (z.B. BitLocker erforderlich)
              • Geräteeigenschaften (z.B. minimale OS-Version)
              • Systemsicherheit (z.B. Firewall aktiv, Antivirus aktiv)
            6. Weisen Sie die Richtlinie der Gruppe Alle Geräte zu

            Schritt 14: Konfigurationsprofile erstellen

            1. Gehen Sie zu Geräte → Konfigurationsprofile → Erstellen
            2. Wählen Sie Windows 10 und höher als Plattform

            Empfohlene Profile für den Start:

            Windows Update-Richtlinie:

            • Profiltyp: Einstellungskatalog
            • Konfigurieren Sie automatische Updates
            • Definieren Sie Wartungsfenster
            • Stellen Sie Qualitätsupdates sicher

            Sicherheitsrichtlinie:

            • Profiltyp: Endpoint Protection
            • Aktivieren Sie Windows Defender
            • Konfigurieren Sie die Firewall
            • Aktivieren Sie BitLocker-Verschlüsselung

            WLAN-Profil:

            • Profiltyp: WLAN
            • Tragen Sie SSID und Sicherheitseinstellungen des Büronetzwerks ein
            • Weisen Sie das Profil allen Geräten zu

            Schritt 15: Anwendungen bereitstellen

            1. Gehen Sie zu Apps → Alle Apps → Hinzufügen
            2. Wählen Sie den App-Typ:
              • Microsoft Store-App für moderne Apps
              • Windows-App (Win32) für klassische Desktop-Programme
              • Microsoft 365 Apps für Office-Suite
            3. Laden Sie die App hoch oder verlinken Sie sie
            4. Weisen Sie die App Benutzern oder Geräten zu
            5. Wählen Sie Erforderlich für automatische Installation

            Schritt 16: Bedingten Zugriff einrichten (optional, aber empfohlen)

            1. Öffnen Sie das Azure Portal: https://portal.azure.com
            2. Gehen Sie zu Microsoft Entra ID → Sicherheit → Bedingter Zugriff
            3. Erstellen Sie eine neue Richtlinie:
              • Name: "Zugriff nur von verwalteten Geräten"
              • Benutzer: Alle Benutzer (oder spezifische Gruppen)
              • Cloud-Apps: Alle Cloud-Apps (oder z.B. nur Microsoft 365)
              • Bedingungen: Windows-Geräte
              • Gewährungssteuerung: Markierung des Geräts als konform erforderlich
            4. Starten Sie im Überwachungsmodus, nicht im Erzwingungsmodus
            5. Nach Testphase: Aktivieren Sie die Richtlinie

            Achtung: Testen Sie bedingte Zugriffsrichtlinien gründlich, bevor Sie sie erzwingen!

            Phase 6: Rollout auf weitere Geräte

            Schritt 17: Schrittweise Migration

            Nach erfolgreicher Testphase (empfohlen: 3-7 Tage):

            1. Migrieren Sie maximal 2-3 Geräte pro Tag
            2. Wiederholen Sie für jedes Gerät die Schritte 7-12
            3. Überprüfen Sie nach jeder Migration die Intune-Registrierung
            4. Dokumentieren Sie Probleme und Besonderheiten

            Schritt 18: Mitarbeiter informieren

            Vor der Migration:

            • Informieren Sie Benutzer über die Änderungen
            • Erklären Sie, dass sie sich mit Microsoft 365-Konten anmelden
            • Bitten Sie sie, wichtige Daten in OneDrive zu speichern
            • Vereinbaren Sie einen Termin für die Migration

            Nach der Migration:

            • Zeigen Sie die neue Anmeldung
            • Erklären Sie OneDrive und die Cloud-Speicherung
            • Weisen Sie auf neue Sicherheitsfeatures hin (z.B. Windows Hello)
            • Stellen Sie sicher, dass alle Programme funktionieren

            Häufige Probleme und Lösungen

            Problem: "Dieses Gerät mit Microsoft Entra ID verknüpfen" wird nicht angezeigt

            Ursache: Windows Home Edition wird verwendet

            Lösung: Azure AD Join funktioniert nur mit Windows Pro, Enterprise oder Education. Upgrade auf Pro erforderlich.

            Problem: Fehler "invalid_client" bei der MDM-Registrierung

            Ursache: MDM-URLs sind nicht korrekt konfiguriert

            Lösung:

            1. Gehen Sie im Azure Portal zu Microsoft Entra ID → Mobilität (MDM und MAM) → Microsoft Intune
            2. Klicken Sie auf "Standardwerte für MDM-URLs wiederherstellen"
            3. Speichern Sie und versuchen Sie erneut

            Problem: Gerät erscheint nicht in Intune

            Ursache: Automatische MDM-Registrierung nicht aktiviert oder Lizenz fehlt

            Lösung:

            1. Prüfen Sie die automatische MDM-Registrierung (Schritt 2)
            2. Prüfen Sie die Intune-Lizenz des Benutzers (Schritt 4)
            3. Auf dem Gerät: Einstellungen → Konten → Auf Arbeits- oder Schulkonto zugreifen → Klicken Sie auf das Konto → InfoSynchronisieren

            Problem: Benutzer hat keine Administratorrechte mehr

            Ursache: Nach dem Join werden standardmäßig nur bestimmte Konten zu lokalen Administratoren

            Lösung:

            1. Im Azure Portal zu Microsoft Entra ID → Geräte → Geräteeinstellungen
            2. Unter "Zusätzliche lokale Administratoren für in Azure AD eingebundene Geräte" können Sie Benutzer oder Gruppen hinzufügen
            3. Alternativ: Verwenden Sie Intune-Richtlinien zur Verwaltung lokaler Administratoren

            Problem: WLAN verbindet nicht automatisch

            Ursache: WLAN-Profile werden nicht automatisch übertragen

            Lösung:

            1. Erstellen Sie ein WLAN-Konfigurationsprofil in Intune (Schritt 14)
            2. Verteilen Sie dieses an alle Geräte
            3. Alternativ: Verbinden Sie sich manuell einmal neu mit dem WLAN

            Problem: Programme funktionieren nicht mehr

            Ursache: Manche Programme sind an das lokale Profil gebunden

            Lösung:

            1. Installieren Sie Programme neu im neuen Profil
            2. Verteilen Sie Programme künftig zentral über Intune
            3. Für Lizenzprobleme: Kontaktieren Sie den Software-Hersteller

            Best Practices

            Sicherheit

            • Aktivieren Sie BitLocker-Verschlüsselung über Intune-Richtlinien
            • Wiederherstellungsschlüssel werden automatisch in Entra ID gespeichert
            • Implementieren Sie Windows Hello for Business für passwortlose Anmeldung
            • Nutzen Sie bedingten Zugriff, um nur verwaltete Geräte zuzulassen

            Verwaltung

            • Erstellen Sie dynamische Gerätegruppen in Entra ID (z.B. nach Abteilung, Standort)
            • Weisen Sie Richtlinien Gruppen zu, nicht einzelnen Geräten
            • Nutzen Sie Wartungsfenster für Windows Updates außerhalb der Arbeitszeit
            • Überwachen Sie regelmäßig den Compliance-Status im Endpoint Manager

            Datensicherung

            • Aktivieren Sie OneDrive Known Folder Move für automatische Sicherung von Desktop/Dokumente
            • Schulen Sie Benutzer, Daten in OneDrive/SharePoint zu speichern
            • Lokale Daten sollten die Ausnahme sein

            Monitoring

            • Prüfen Sie täglich Geräte → Überwachen im Endpoint Manager
            • Achten Sie auf Compliance-Verstöße
            • Überwachen Sie fehlgeschlagene Richtlinien
            • Nutzen Sie die Intune-Berichte für Auswertungen

            Checkliste für die Migration

            Vor der Migration:

            • [ ] Intune aktiviert und MDM-URLs konfiguriert
            • [ ] Automatische MDM-Registrierung aktiviert
            • [ ] Geräteeinstellungen in Entra ID geprüft
            • [ ] Lizenzen zugewiesen
            • [ ] Testgerät ausgewählt und Daten gesichert
            • [ ] OneDrive eingerichtet (optional, aber empfohlen)

            Während der Migration:

            • [ ] Entra ID Join durchgeführt
            • [ ] Neustart und Anmeldung mit Microsoft 365-Konto
            • [ ] Verknüpfung auf Gerät überprüft
            • [ ] Gerät im Azure Portal als "joined" sichtbar
            • [ ] Gerät in Intune als "verwaltet" registriert

            Nach der Migration:

            • [ ] Benutzerdaten ins neue Profil migriert
            • [ ] Programme getestet und ggf. neu installiert
            • [ ] WLAN und Netzwerkzugriffe funktionieren
            • [ ] Drucker eingerichtet
            • [ ] Compliance-Status im Endpoint Manager geprüft
            • [ ] Benutzer geschult

            Zentrale Verwaltung:

            • [ ] Compliancerichtlinien erstellt und zugewiesen
            • [ ] Windows Update-Richtlinien konfiguriert
            • [ ] Sicherheitsrichtlinien (Firewall, Defender, BitLocker) eingerichtet
            • [ ] WLAN-Profile verteilt
            • [ ] Anwendungen zentral bereitgestellt
            • [ ] Bedingter Zugriff konfiguriert (optional)

            Weiterführende Informationen

            Microsoft Dokumentation:

            • Microsoft Intune Dokumentation: https://docs.microsoft.com/de-de/mem/intune/
            • Microsoft Entra ID Dokumentation: https://docs.microsoft.com/de-de/azure/active-directory/
            • Windows Autopilot: https://docs.microsoft.com/de-de/mem/autopilot/

            Support:

            • Microsoft 365 Admin Center: https://admin.microsoft.com
            • Microsoft Endpoint Manager: https://endpoint.microsoft.com
            • Azure Portal: https://portal.azure.com

            Hinweis: Für Neugeräte empfiehlt sich Windows Autopilot, wodurch Geräte bereits bei der ersten Einrichtung automatisch mit Entra ID verknüpft und konfiguriert werden.

            Änderungshistorie

            DatumVersionÄnderung
            2025-12-031.0Erste Version erstellt

            Erstellt für: zwergenlandfreunde.de
            Zielplattform: Microsoft 365 Business Premium / Enterprise mit Intune
            Stand: Dezember 2025

            War dieser Artikel hilfreich?

            Das ist großartig!

            Vielen Dank für das Feedback

            Leider konnten wir nicht helfen

            Vielen Dank für das Feedback

            Wie können wir diesen Artikel verbessern?

            Wählen Sie wenigstens einen der Gründe aus
            CAPTCHA-Verifikation ist erforderlich.

            Feedback gesendet

            Wir wissen Ihre Bemühungen zu schätzen und werden versuchen, den Artikel zu korrigieren

            Vorschau
            0 von 0