Du hast dich also entschieden, in die Welt von Intune einzutauchen und die Kontrolle über die Verwaltung der Geräte und Anwendungen Ihres Unternehmens zu übernehmen. Tolle Entscheidung! 🎉
In diesem Blogbeitrag führe ich dich durch den Prozess der Einrichtung deiner Intune-Umgebung (hauptsächlich für Windows). Also los, lass und mit der Einrichtung von Intune beginnen!

Dieser Post ist der zweite der "Intune Starter Series".
Du findest alle Beiträge zur Serie hier: Intune Starter Series | scloud

Table of Contents

Setup a Tenant with the correct Intune Subscription

Der erste Schritt bei der Einrichtung deiner Intune-Umgebung besteht darin, einen Microsoft 365-Mandanten mit einem Abonnement zu erstellen.

Falls du bereits einen Microsoft 365-Tenant hast, ist das Einzige, worauf du hier achten musst, dass du eine Intune-Lizenz hast.

Wenn du nicht sicher bist, welche Lizenz du benötigst, gibt dir "M365 Maps" die beste Vorstellung. Du benötigst eine, die Microsoft Intune beinhaltet. Falls du deinen Tenant oder Lizenzen nicht verwaltest, kontaktiere deinen MSP, CSP oder die Stelle, von der du deine Lizenz erworben hast.

Sobald du die richtige Lizenzierung hast, solltest du einen neuen Eintrag in deinem Microsoft 365-Admin Center sehen: "Endpoint Manager" oder "Microsoft Intune", abhängig von der Version deines Admin Centers.

Profi-Tipp: Achte darauf, dich mit den verschiedenen Lizenzierungsoptionen für Intune vertraut zu machen, da sie unterschiedliche Funktionen und Fähigkeiten bieten. Die größten Unterschiede gibt es zwischen den Paketen Microsoft 365 Business Premium, Microsoft 365 E3 und Microsoft 365 E5.

Konfiguration von Intune für die erstmalige Verwendung

Jetzt, da deine Intune-Umgebung und dein Abonnement einsatzbereit sind, ist es an der Zeit, Intune für die erstmalige Verwendung einzurichten. Nachstehend einige wichtige Schritte und Punkte, die du überprüfen solltest.

MDM Authority

Diese Einstellung ist in den meisten Fällen nicht erforderlich. Besonders wenn du einen neuen Mandanten hast (ab November 2019 erstellt).

Intune wird automatisch im Anschluss an die Erstellung zum MDM-Berechtigten für alle Mandanten und kann nicht geändert werden.

Wenn dein Mandant eine frühere Version ist, wirst du aufgefordert, Intune als deine MDM-Berechtigung auszuwählen. Falls du die Auswahl von Intune als MDM-Berechtigung ablehnst, werden mehrere Aktionseinstellungen deaktiviert.

Falls das Pop-up nicht angezeigt wird und du die Gerätebeschränkungen oder das ESP-Profil nicht bearbeiten kannst, kannst du dies lösen, indem du die 'MDM-Berechtigung' mithilfe von PowerShell festlegst.

Eine ausführlichere Erklärung und das Skript findest du hier auf Rudys Seite:

Intune MDM Authority greyed out enrollment restrictions (call4cloud.nl)

MDM DNS Einträge

Um deine Domain (z. B. scloud.work oder DeinUnternehmen.com) für die Geräteregistrierung zu verwenden, musst du zwei DNS-Einträge festlegen. Der bequemste Weg hierfür ist über das "Microsoft 365 admin center".
Hier kannst du deine Domain hinzufügen oder Intune zu einer bereits eingerichteten Domain hinzufügen.

Folge diesen Schritten:

  1. Öffne das Menü "Domains" in der Seitenleiste unter "Einstellungen".
  2. Wenn du deine Domain hier nicht siehst, klicke auf "" und folge den Schritten im Formular.
  3. Sobald du das Menü "DNS-Einträge hinzufügen" siehst, achte darauf, dass unter "Erweiterte Optionen" "Intune" ausgewählt ist. Dadurch werden dir zwei Einträge für deine DNS-Anwendung angezeigt.
Microsoft 365, add DNS records for Intune

Automatic Enrollment

Durch die automatische Registrierung können Benutzer ihre Windows-Geräte in Intune registrieren. Benutzer fügen ihre Arbeitskonten ihren persönlichen Geräten hinzu oder schließen firmeneigene Geräte an die Entra ID (ehemals Azure Active Directory) an. Im Hintergrund erfolgt die Registrierung und die Geräte werden zu Entra hinzugefügt. Sobald die Registrierung abgeschlossen ist, verwaltet Intune das Gerät.

Standardmäßig ist jeder dazu berechtigt, dies zu tun, und in den meisten Fällen ist dies der empfohlene Ansatz. Diese Richtlinie basiert auf Benutzerbasis und nicht auf Gerätetypen. Um die Geräteanmeldung zu beschränken (z. B. private Geräte blockieren), nutze die "Einschränkungen für die Plattform der Geräteanmeldung".

Die Einstellungen für die automatische Registrierung findest du hier:

Intune > Devices > Windows > Windows enrollment > Automatic Enrollment

Intune, Automatic enrollment

Falls du dir nicht sicher bist, ob die URLs die Standardwerte sind, klicke einfach auf "Standard-MDM-URLs wiederherstellen" und "Standard-MAM-URLs wiederherstellen". Falls du eine Gruppe zum Benutzerumfang hinzufügst, schlägt die Einrichtung bei allen Intune-Geräten fehl, deren Benutzer nicht zu dieser Gruppe gehören.

Nutzungsbedingungen (für Endbenutzer)

Das Einrichten von "Nutzungsbedingungen" ist kein zwingender Schritt, aber sie werden jedem Benutzer beim Registrieren eines neuen Geräts angezeigt. Daher kann es sehr nützlich sein, dem Benutzer einige Informationen und Regeln für sein neues Gerät zur Verfügung zu stellen.

Um die Nutzungsbedingungen zu erstellen, hast du zwei Möglichkeiten:

  • Intune
    Intune setzt diese Nutzungsbedingungen exklusiv durch.
  • Azure AD / Entra ID
    Mit Azure AD / Entra ID kannst du die Flexibilität nutzen, die Durchsetzung von Bedingungen zu deinen bestehenden Bedingten Zugriffsrichtlinien hinzuzufügen oder neue Bedingungspolicen basierend auf bestimmten Benutzerflüssen zu erstellen.

Nutzungsbedingungen in Intune

Um "Nutzungsbedingungen" nur für Intune zu erstellen, gehe zu:

Intune > Tenant admin > Terms and conditions

Intune, add Terms and conditions
Intune, Terms and conditions

Im Tab "Terms" kannst du deine Bedingungen und eine Zusammenfassung davon festlegen.

Intune, Terms and conditions content

Vergiss abschliessend nicht, die Bedingungen einer Gruppe oder allen Benutzern zuzuweisen, abhängig von deinen Anforderungen:

Intune, Terms and conditions assignment

Nutzungsbedingungen in Azure AD / Entra ID

In Entra ID (ehemals Azure AD) hast du bei deinen Bedingungen mehr Flexibilität und mehr Optionen zur Formatierung entsprechend deiner CI/CD.

Um sie zu erstellen, öffne "Microsoft Entra" und gehe zu:

Protection > Conditional Access > Terms of use > und füge die neuen Bedingungen hinzu.

create Entra Terms of use

Hier hast du einige Optionen, einschließlich des Hochladens deiner Nutzungsbedingungen als PDF.
Wenn du "Custom policy" auswählst, wirst du zur Erstellung einer Richtlinie für deine Bedingungen weitergeleitet.

Entra Terms of use content

Nun haben wir unsere "Terms" in Entra und können sie in unseren Conditional Access Richtlinien verwenden:

Conditional Access, Terms of use

Device Enrollment Manager

Geräteanmelde-Manager sind Benutzer, die mehr als die standardmäßigen 5 Geräte in Intune registrieren können. Du kannst die Standardanzahl von 5 auf bis zu 15 erhöhen.

Ein Geräteanmelde-Manager (DEM) ist ein nicht-administrativer Benutzer mit der Fähigkeit, Geräte in Intune zu registrieren. DEMs sind in Situationen wertvoll, in denen zahlreiche Geräte registriert und für die Verteilung vorbereitet werden müssen. Benutzer mit einem DEM-Konto können bis zu 1.000 Geräte registrieren und überwachen, ein deutlicher Kontrast zu den 5 (je nach Konfiguration bis zu 15) Geräten, die ein gewöhnliches nicht-administratives Konto registrieren kann.

Um ein DEM-Konto einzurichten, sind ein Intune-Benutzer- oder Gerätelizenz sowie ein zugehöriger Azure AD-Benutzer erforderlich.

Etwas, das oft übersehen wird, ist, dass eine Autopilot-Anmeldung nicht gegen diese Grenzen zählt.
Das bedeutet in den meisten Fällen kannst du diesen Schritt überspringen 😉

Wenn du einem Benutzer eine spezielle Rolle zuweisen möchtest, befolge diese Schritte:

  1. Öffne Intune
  2. Navigiere zu:
    Devices > Enroll devices > Device enrollment managers > + Add
  3. Füge den UPN des Benutzers hinzu, den du zum Enrollment-Manager befördern möchtest.
Intune, add Device enrollment manager

Enrollment device limit restrictions

Es gibt verschiedene Szenarien, in denen die "Beschränkungen für die Geräteanzahl bei der Anmeldung" eine Anmeldung blockieren können. Am wichtigsten ist, dass dies nicht der Fall ist, wenn du ein Gerät über Autopilot anmeldest.

Microsoft listet alle Fälle hier auf: Understand Intune and Azure AD device limit restrictions - Microsoft Intune | Microsoft Learn

Um diese Beschränkungen zu erhöhen / zu bearbeiten, die standardmässig auf 5 festgelegt sind und auf bis zu 15 erhöht werden können, navigiere zu:

Intune > Devices > Enrollment device limit restrictions

Hier kannst du die Standardrichtlinie bearbeiten oder eine neue hinzufügen, um eine bestimmte Gruppe anzusprechen.

Intune, edit Enrollment device limit restrictions

Enrollment device platform restrictions

Die Beschränkungen für die Anmeldung sind wahrscheinlich die wichtigsten in diesem Artikel, denn wenn sie ordnungsgemäß eingestellt sind, können sie dir in Zukunft viel Ärger ersparen.

Kurz gesagt definierst du mit den "Beschränkungen für die Geräteplattform bei der Anmeldung", welche Geräte in deine Intune-Umgebung aufgenommen werden können. Jedes Betriebssystem/Typ ist in "Zulassen (ja/nein)" und "Persönlich zulassen (ja/nein)" unterteilt. Normalerweise blockiere ich beim Start mit einem neuen Mandanten alle persönlichen Geräte von der Anmeldung. Damit stellst du sicher, dass du keine Diskussion mit Endbenutzern über das Verwalten ihrer privaten Geräte beginnen musst. Natürlich kannst du bei Bedarf und Kommunikation die Anmeldung bestimmter persönlicher Geräte zulassen.

Um sie zu bearbeiten, navigiere zu:
Intune > Devices > Enrollment device platform restrictions

Hier kannst du auf die verschiedenen Betriebssystemtypen klicken. Die Standardrichtlinie ist bei allen Betriebssystemen dieselbe.

Edit Enrollment device platform restrictions

Und hier ist meine Standardrichtlinie, um alle persönlich besessenen Geräte zu blockieren:

Block Personally owned devices in Intune

Device Categories

Kurz gesagt... verwende sie nicht 😉

Wenn Benutzer ihre Windows-Geräte registrieren, müssen sie im Intune-Portal eine Kategorie zuweisen, was zu Verwirrung führen kann. Wenn du keine Kategorien hinzufügst, ersparst du deinen Benutzern diesen Schritt.

Wenn du dennoch das Bedürfnis hast, sie zu verwenden, kannst du Kategorien erstellen, indem du zu navigierst:

Intune > Devices > Device categories > + Create device category

Intune device category

Hier kannst du einen Namen und eine Beschreibung eingeben, das war's. Beachte auch, dass, wenn du bereits registrierte Geräte hast, alle aufgefordert werden, eine Kategorie auszuwählen, sobald du eine erstellst.

(dynamische) Geräte Gruppen

Später müssen wir Gruppen unseren Richtlinien und Anwendungen zuweisen. In den meisten Einstellungen hast du die Möglichkeit, sie entweder "Allen Benutzern" oder "Allen Geräten" zuzuweisen. Es ist jedoch praktischer, Gruppen zu haben, wo du den Vorteil hast, bestimmte Gruppen von der Ausrichtung auszuschließen.
Was die (Sicherheits-)Gruppentypen betrifft, haben wir drei Untertypen:

  • Assigned - manuell zugewiesene Benutzer, Geräte und Gruppen
  • Dynamic User - Benutzerzuweisung basierend auf Abfragen
  • Dynamic Device - Zuweisung von Geräten basierend auf Abfragen

Hier sind einige Gruppen, die ich in meinen Umgebungen immer verwende:

NameDescriptionQuery / Assignment
AAD-DEV-WIN-AutopilotAlle Autopilot registrierte Geräte(device.devicePhysicalIDs -any (_ -contains "[ZTDID]"))
AAD-DEV-WIN-StandardGruppe für Standart Apps und Richtlinien"AAD-DEV-WIN-Autopilot" ist Mitglied dieser Gruppe
AAD-DEV-WIN-PilotAlle Autopilot registrierten Geräte, die im Gruppentag "-Pilot" haben(device.devicePhysicalIds -any (_ -contains "[OrderID]:-Pilot"))
AAD-U-IntuneAlle Benutzer mit aktiver Intune Lizenzuser.assignedPlans -any (assignedPlan.servicePlanId -eq "c1ec4a95-1f05-45b3-a911-aa3fa01094f5" -and assignedPlan.capabilityStatus -eq "Enabled")

Je nach deiner Namenskonvention können die Namen unterschiedlich sein, aber ich bin sicher, dass die Abfragen hilfreich sein können.

Nächste Schritte

Jetzt verfügst du über alle Voraussetzungen, um deine Geräte in Intune zu registrieren. Natürlich gibt es noch viele weitere Dinge zu tun, um einen erfolgreichen modernen Arbeitsplatz zu schaffen, wie ein Autopilot-Profil, die Konfiguration der ESP (Enrollment Status Page), Konfigurationsprofile und Anwendungen.

Wie du diese in Intune einrichten kannst, zeige ich dir in meinen nächsten Beiträgen.

Herzlichen Glückwunsch! 🎉 Du hast deine Intune-Umgebung erfolgreich eingerichtet und bist bereit, die Kontrolle über die Verwaltung deiner Geräte und Apps mühelos zu übernehmen. Durch das Befolgen dieser Schritte hast du eine solide Grundlage für eine effiziente Geräteverwaltung geschaffen.

Ich hoffe, dieser Leitfaden hat den Einrichtungsprozess für Intune für dich erleichtert. Wenn du Fragen hast oder weitere Unterstützung benötigst, stehe ich gerne zur Verfügung. Viel Erfolg bei der Verwaltung!

Leave a Reply

Your email address will not be published. Required fields are marked *

Florian Salzmann
Senior Workplace Consultant @UMB AG

Stay in the Loop with My Monthly Newsletter!