April 28

0 comments

Einrichten vom AutoPilot Hybrid Join

Autor: Aaron Siller

April 28, 2021

AutoPilot

Mittels Einrichtung vom AutoPilot Hybrid Join haben wir die Möglichkeit unsere Windows 10 Clients automatisiert mit Applikationen und Richtlinien beim Deployment zu betanken.

Dabei können wir auf die reine Administration in der Cloud durch Intune setzen oder aber wir möchten ein Hybrides Modell anwenden, um auch weiterhin die Nutzung von lokalen Gruppenrichtlinien zu ermöglichen.

In diesem Beitrag zeige ich Dir, wie Du Deine Infrastruktur für den AutoPilot Hybrid Join vorbereiten und einrichten kannst.


Microsoft-Intune-Logo

Einrichtung vom AutoPilot Hybrid Join: Welche Voraussetzungen habe ich?

Die offiziellen Voraussetzung sind in den Microsoft Docs nachzulesen (Link dazu hier).

Für uns sind folgende Aspekte dabei wichtig:

  • Der Hybrid Join muss im Azure AD Connect eingerichtet sein
  • Die MDM-URLs sind freigeschaltet
  • Erforderliche Adressen zum Hybrid Join können vom Client aus angesprochen werden
  • Windows 10 Clients in der Version 1809 und höher
  • Es besteht während des Deployments eine Verbindung zum lokalen Active Directory
  • Wir haben einen Windows Server 2016 zur Installation des Hybrid Connectors

Sollten Dir nicht bekannt sein, wo Du die jeweiligen Punkte einrichtest ist dies kein Problem - auch darauf gehen wir entsprechend in diesem Beitrag ein! 🙂


Aktivierung der MDM-URLs

Im Intune müssen wir unter dem Punkt des Windows Enrollments nachschauen, ob die MDM-URLs für das automatische Deployment aktiviert sind:

Automatic-Enrollment-Intune

Dort sollte dann die MDM-URL entweder auf Alle stehen oder aber zumindest einer Gruppe zugeordnet sein, in der unsere Nutzer hinterlegt sind.

Dies berechtigt Sie dazu, beim späteren Starten des Windows Clients am AutoPilot Enrollment teilzunehmen.

MDM-URL-Intune

Einrichtung vom AutoPilot Hybrid Join: Einrichtung Azure AD Connect Hybrid Join

Nachdem die URLs aktiv sind, muss der Azure AD Connect installiert und die Option zum Geräte-Schreiben aktiviert werden.

Wenn bereits der Azure AD Connect installiert ist, öffnen wir diesen nochmal und wählen die Option Geräteoptionen konfigurieren aus.

Einrichtung vom AutoPilot Hybrid Join Geräteoptionen-Intune

Das nächste Fenster bestätigen wir mit einem Klick auf Weiter und geben im nächsten Fenster die Zugangsdaten eines globalen Administrator ein

Übersicht-Geräteoptionen

Als nächstes wählen wir die Option Hybrid-Azure AD-Einbindung konfigurieren aus und bestätigen den Punkt für "in die Domäne eingebundene Geräte mit Windows 10 und höher".

Hybrid-Azure-AD Einbindung
Hybrid-Windows-10

Im letzten Punkt setzen wir noch den Service Connection Point (kurz: SCP), damit unsere Geräte beim Deployment die entsprechenden Mandanteninformationen erhalten:

Einrichtung vom AutoPilot Hybrid Join SCP-Konfiguration-Intune

Als letztes Bestätigen wir noch die Einstellungen durch einen Klick auf Konfigurieren. Danach müssen wir noch weitere Konfigurationen durchführen, jedoch sind diese an anderen Stellen festzulegen.


Einrichtung vom AutoPilot Hybrid Join: Einrichtung des Intune Hybrid Connectors

Als nächstes installieren wir den Intune Hybrid Connector.

Dieser muss - wie in den Voraussetzung geschrieben - auf einem Windows Server 2016 installiert sein, eine Verbindung zum Internet haben und in der Lage sein mit dem lokalen Domain Controller zu sprechen.

Den Intune Connector laden wir uns aus dem Intune Portal herunter. Zu finden ist dieser unter Devices > Device Enrollment > Windows Enrollment > Intune Connector for Active Directory

Einrichtung vom AutoPilot Hybrid Join Intune-Connector

Wenn wir den Menüpunkt ausgewählt haben, können wir über einen Klick auf das "+"-Symbol den Connector herunterladen.

Intune-Connector-Download

Der Connector wird dann auf dem Windows Server 2016 von uns installiert und nachdem wir die Installation durchgeführt haben, müssen wir uns mit einem (Service-)Account anmelden, der entweder globaler Administrator oder Intune Service-Administrator ist und über eine aktive Intune Lizenz verfügt.

1. Installation Intune Connector for Active Directory

Intune-Connector-Installation

2. Konfiguration Intune Connector

Einrichtung vom AutoPilot Hybrid Join

3. Login zum Intune Connector

Sign-In-Intune-Connector

4. Bestätigung über erfolgreiche Registrierung

Registrierung-Intune-Connector

Nach einer gewissen Synchronisierungsdauer wird uns der Connector mit seiner aktiven Verbindung im Intune Portal angezeigt

Connector-Übersicht

Schreibzugriff im lokalen Active Directory anlegen

Einrichtung vom AutoPilot Hybrid Join Objektverwaltung-Intune

Als nächstes müssen wir eine separate Organisationseinheit (kurz: OU) im lokalen Active Directory einrichten. 

Dort werden unsere Geräte nach dem Ausführen des AutoPilot Hybrid Joins hinterlegt. 

Wir müssen auch eine Objektverwaltung eintragen. Dort hinterlegen wir den Server, auf dem wir unseren Intune Connector installiert haben.

Wenn wir den Server hinzugefügt haben, bestätigen wir dies mit einem Klick auf "Weiter"

Einrichtung vom AutoPilot Hybrid Join Objektverwaltung-Optionen

Im nächsten Menüpunkt wählen wir die Option "Benutzerdefinierte Aufgabe zum Zuweisen erstellen" aus aktivieren die Computer-Objekte.

Zusätzlich kommen noch folgende Berechtigungen hinzu:

  • Gewählte Objekte in diesem Ordner erstellen
  • Gewählte Objekte in diesem Ordner löschen
Einrichtung vom AutoPilot Hybrid Join Objektverwaltung-Berechtigungen

Danach setzen wir noch die Berechtigungen und wählen den Vollzugriff aus. 

Einrichtung vom AutoPilot Hybrid Join Berechtigungen-Intune-Connector

Danach Bestätigen wir die Konfiguration abschließend und sind auch an dieser Stelle zunächst fertig.


Anlegen einer Domain Join Einstellung und des AutoPilot Profils

Als nächstes müssen wir im Intune Portal eine Konfigurationsrichtlinie für den Domain Join anlegen.

Die Richtlinie finden wir unter Geräte > Konfigurationsprofile > +-Symbol > Templates > Domain Join.

Einrichtung vom AutoPilot Hybrid Join Domain-Join-Profil-Intune

Dort geben wir dann den Computer-Präfix, den Domänen-Namen und optional unsere OU an, wo die Windows Clients dauerhaft liegen sollen.

Wenn wir keine spezifische OU für die Clients angeben, landen diese in der Default Computer OU.

Domain-Join-Profil-Einstellungen

Danach weißen wir die Richtlinie entweder allen Geräten oder einzelnen Gruppen zu.

Domain-Join-Zuweisung

Anlage des AutoPilot Profils

Bei der Anlage des AutoPilot Profils vergeben wir zunächst einen Namen und wählen aus, ob alle Geräte, die dieses Profil erhalten innerhalb der nächsten 48 Stunden in AutoPilot Geräte konvertiert werden sollen.

Dadurch können wir bereits im Umlauf befindliche Geräte bei Bedarf zurück setzen und nochmal neu über das AutoPilot ausrollen.

AutoPilot-Hybrid-Profil

Folgende Einstellungen werden wir dann bei den Einstellungen für das Profil anwenden:

  • Deployment mode: User-Driven
  • Joint to Azure AD as: Hybrid Azure AD joined
  • Skip Ad connectivity check: Yes (dadurch ermöglichen wir auch den Join über eine VPN Verbindung, wenn der User nicht mit dem Gerät im Unternehmen ist)

Die restlichen Einstellungen können wir auf "Hide" setzen und auf Wunsch aktivieren wir noch den White-Glove-Modus.

Bei den Account-Einstellungen würden wir standardmäßig als Account-Typen nicht den Administrator nehmen - es sei denn es ist explizit so vorgesehen.

Hybrid-Profil-Einstellung

Danach muss das Profil nur noch unseren Gruppen zugeordnet werden.


Testen der Bereitstellung

Nach der Zuweisung können wir den Rollout des Gerätes als nächstes Testen. Dazu melden wir uns mit einem unserer User, der über eine Intune Lizenz verfügt, an einem Windows 10 Client an.

Hybrid-Join-Login

Nach erfolgreichen Enrollment erhält der Client ein Computer-Konto im lokalen AD und entsprechend einen Eintrag im Intune Portal.

AutoPilot-Hybrid-Gerät
Hybrid-Gerät-Intune

Fazit und Blog

Ich hoffe Dir damit gezeigt zu haben, wie Du ein AutoPilot Hybrid Deployment mit Microsoft Intune bereitstellst.

Schau dir doch auch die anderen Tutorials und Tipps an, die wir bereits auf unserem Blog geteilt haben. Wir sind stets bemüht, die aktuellsten Themen und Fragestellungen zu beantworten, um dich bei der Arbeit mit Microsoft Intune und anderen Microsoft 365 Produkten zu unterstützen!

Aaron Siller

Über den Autor

Aaron Siller hat seit 2014 umfangreiche Erfahrung in der Migration zu Microsoft Office 365, Exchange Online, Intune und Azure aufgebaut. Gerne stellt er Ihrem Unternehmen sein Können und das seines qualifizierten Teams zur Verfügung. Seit der Einführung dieses leistungsfähigen Tools gehören Microsoft Teams Schulungen als wichtiger Bestandteil aller Digitalisierungsmaßnahmen mit zum Programm.

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}
>