9
PCs aus lokalen AD über Connector in Entra und mit Intunes verwalten
Hallo,
wir haben eine lokalen Umgebung mit AD und stellen gerade auf die M365-Welt um. Per Connector haben wir unsere Benutzer, Gruppen und Geräte bereits nach Entra bekommen.
Wie bekomme ich diese PCs aber jetzt in Intune?
Über die App "Unternehmensportal" aus dem Microsoft Store kann ich die Geräte nicht hinzufügen,l. Da wird mir immer angezeigt, dass die Geräte bereits einem Unternehmen zugeordnet sind.
AutoPilot ist nach meinem Wissen eher für neue PCs bei denen noch kein Account hinterlegt ist. Und der Intune Connector ist ja auch nur für die Synchronisation von Entra ins lokale AD.
Ich habe eine Anleitung zur Erstellung einer GPO gefunden mit dem man einen PC im lokalen AD zur Entra bekommt. Das bringt mich aber wahrscheinlich auch nicht weiter weil in Entra hab ich meine PCs ja schon.
wir haben eine lokalen Umgebung mit AD und stellen gerade auf die M365-Welt um. Per Connector haben wir unsere Benutzer, Gruppen und Geräte bereits nach Entra bekommen.
Wie bekomme ich diese PCs aber jetzt in Intune?
Über die App "Unternehmensportal" aus dem Microsoft Store kann ich die Geräte nicht hinzufügen,l. Da wird mir immer angezeigt, dass die Geräte bereits einem Unternehmen zugeordnet sind.
AutoPilot ist nach meinem Wissen eher für neue PCs bei denen noch kein Account hinterlegt ist. Und der Intune Connector ist ja auch nur für die Synchronisation von Entra ins lokale AD.
Ich habe eine Anleitung zur Erstellung einer GPO gefunden mit dem man einen PC im lokalen AD zur Entra bekommt. Das bringt mich aber wahrscheinlich auch nicht weiter weil in Entra hab ich meine PCs ja schon.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7615644203
Url: https://administrator.de/forum/pcs-aus-lokalen-ad-ueber-connector-in-entra-und-mit-intunes-verwalten-7615644203.html
Ausgedruckt am: 27.12.2024 um 07:12 Uhr
9 Kommentare
Neuester Kommentar
Moin,
In deinem entra connect müssen die devices synchronisiert werden von deiner lokalen ad zu deinem Microsoft entra.
Sobald das geschehen ist siehst du die Devices in Microsoft entra unter devices --> hybrid joined Microsoft entra
Das kann ebenfalls auf dem dem Client mit
Dsregcmd /Status
Abgefragt werden.
Sobald die devices hybrid joined sind empfehle ich dir per gpo den AADWorkplaceJoin zu deaktivieren.
Anschließen brauchst du eine GPO, die das enrollment zu intune triggered.
Hier weitere Infos:
https://learn.microsoft.com/en-us/windows/client-management/enroll-a-win ...
Erklärung, was aad-joined, hybrid joined und workplace-joined bedeutet:
https://www.policypak.com/resources/pp-blog/windows-10-join-domain/
TL:DR Erklärung in Deutsch:
https://focus.sva.de/cloud-computing/warum-azuread-hybrid-join/
Sorry, ist alles über das Handy geschrieben. Entschuldigt meine Rechtschreibfehler😥
Vg
Celiko
In deinem entra connect müssen die devices synchronisiert werden von deiner lokalen ad zu deinem Microsoft entra.
Sobald das geschehen ist siehst du die Devices in Microsoft entra unter devices --> hybrid joined Microsoft entra
Das kann ebenfalls auf dem dem Client mit
Dsregcmd /Status
Abgefragt werden.
Sobald die devices hybrid joined sind empfehle ich dir per gpo den AADWorkplaceJoin zu deaktivieren.
Anschließen brauchst du eine GPO, die das enrollment zu intune triggered.
Hier weitere Infos:
https://learn.microsoft.com/en-us/windows/client-management/enroll-a-win ...
Erklärung, was aad-joined, hybrid joined und workplace-joined bedeutet:
https://www.policypak.com/resources/pp-blog/windows-10-join-domain/
TL:DR Erklärung in Deutsch:
https://focus.sva.de/cloud-computing/warum-azuread-hybrid-join/
Sorry, ist alles über das Handy geschrieben. Entschuldigt meine Rechtschreibfehler😥
Vg
Celiko
Danke schon einmal für die schnelle Antwort.
Im Entra sind alle PCs zu finden zu finden. Allerdings überlege ich gerade, ob diese vom Connector stammen oder durch die Benutzeranmeldung an sich.
Ich habe im Entra kein Register mit Hybrid-Joined unter den Geräten. Unter Geräte sind nur die Untergruppen Übersicht, Alle Geräte und Bitlocker-Schlüssel.
Über Dsregcmd /status sehe ich das Folgende:
AzureADJoined: No
EnterpriseJoined: No
DomainJoined: Yes
DomainName: xyz (unsere lokale Domaine)
Kann es also sein, dass die PCs über den Connector noch gar nicht mit Entra synchronisiert werden und die Geräteliste lediglich die PCs auszeigt auf denen sich eingeloggt wurden?
Im Entra sind alle PCs zu finden zu finden. Allerdings überlege ich gerade, ob diese vom Connector stammen oder durch die Benutzeranmeldung an sich.
Ich habe im Entra kein Register mit Hybrid-Joined unter den Geräten. Unter Geräte sind nur die Untergruppen Übersicht, Alle Geräte und Bitlocker-Schlüssel.
Über Dsregcmd /status sehe ich das Folgende:
AzureADJoined: No
EnterpriseJoined: No
DomainJoined: Yes
DomainName: xyz (unsere lokale Domaine)
Kann es also sein, dass die PCs über den Connector noch gar nicht mit Entra synchronisiert werden und die Geräteliste lediglich die PCs auszeigt auf denen sich eingeloggt wurden?
Hallo,
ja, das war es. Ich dachte die Geräte wären bereits über den Connector übertragen aber es war wohl wirklich nur die Geräteregistrierung per Anmeldung.
Danke für den Tip
ja, das war es. Ich dachte die Geräte wären bereits über den Connector übertragen aber es war wohl wirklich nur die Geräteregistrierung per Anmeldung.
Danke für den Tip
Moin,
freut mich, dass es jetzt läuft.
Gerne Post als gelöst markieren.
VG
Celiko
freut mich, dass es jetzt läuft.
Gerne Post als gelöst markieren.
VG
Celiko
Moin,
ich hoffe, ich darf nicht einmal etwas fragen:
Die persönlich zugeordneten PC erscheinen. un langsam in Intune. In Entra waren die PCs relativ schnell.
Wie gehe ich am besten mit PCs um die keinem Benutzer zugeordnet sind? Ich denke hier an PCs in Besprechungsräumen oder PCs auf denen der Schichtplan für Kollegen angezeigt werden. Diese PCs sollen auch per Intune verwaltet werden. Aktuell loggen sich die Kollegen mit einem gemeinsamen Profil ein bzw. die PCs laufen 24/7 ohne das sich jemand einloggen muss. Auf dem PC liegen keine persönlichen Daten
Wir haben von unserem Distributor Lizenzen für Intune und Endpoint je in P1 erhalten
ich hoffe, ich darf nicht einmal etwas fragen:
Die persönlich zugeordneten PC erscheinen. un langsam in Intune. In Entra waren die PCs relativ schnell.
Wie gehe ich am besten mit PCs um die keinem Benutzer zugeordnet sind? Ich denke hier an PCs in Besprechungsräumen oder PCs auf denen der Schichtplan für Kollegen angezeigt werden. Diese PCs sollen auch per Intune verwaltet werden. Aktuell loggen sich die Kollegen mit einem gemeinsamen Profil ein bzw. die PCs laufen 24/7 ohne das sich jemand einloggen muss. Auf dem PC liegen keine persönlichen Daten
Wir haben von unserem Distributor Lizenzen für Intune und Endpoint je in P1 erhalten
Moin,
Klar frag so viel du willst dafür sind wir hier.
Problem was du hast:
User muss eine intune Lizenz haben. Sonst kann das Gerät nicht im intune enrolled werden.
Evtl benötigt das device einen Neustart um die gpo zu verarbeiten.
Das enrollment kann auch manuell per powershell getriggered werden.
Lösung:
https://learn.microsoft.com/en-us/mem/intune/enrollment/device-enrollmen ...
Leider ist das keine optimale Lösung die sich Microsoft da ausgedacht hat...
Wir bspw. Haben ein custom Windows Image der die clients installiert.
An diesem Client wird sich immer mit einem dedizierten ad User angemeldet, der die notwendigen Berechtigungen und Lizenzen hat seine Arbeit zu erledigen.
So auch das enrollment in intune.
Nachdem das Gerät enrolled wurde ändern wir im intune den primären User sobald das Gerät vergeben wurde.
Bei euch würde einfach der DEM Account als primary user bleiben.
Heißt:
Falls ihr nicht Scripten könnt müsst ihr leider den DEM anmelden und das enrollment triggern.
Vg
Celiko
Klar frag so viel du willst dafür sind wir hier.
Problem was du hast:
User muss eine intune Lizenz haben. Sonst kann das Gerät nicht im intune enrolled werden.
Evtl benötigt das device einen Neustart um die gpo zu verarbeiten.
Das enrollment kann auch manuell per powershell getriggered werden.
Lösung:
https://learn.microsoft.com/en-us/mem/intune/enrollment/device-enrollmen ...
Leider ist das keine optimale Lösung die sich Microsoft da ausgedacht hat...
Wir bspw. Haben ein custom Windows Image der die clients installiert.
An diesem Client wird sich immer mit einem dedizierten ad User angemeldet, der die notwendigen Berechtigungen und Lizenzen hat seine Arbeit zu erledigen.
So auch das enrollment in intune.
Nachdem das Gerät enrolled wurde ändern wir im intune den primären User sobald das Gerät vergeben wurde.
Bei euch würde einfach der DEM Account als primary user bleiben.
Heißt:
Falls ihr nicht Scripten könnt müsst ihr leider den DEM anmelden und das enrollment triggern.
Vg
Celiko
Mhm, so ganz werde ich da leider noch nicht schlau drauf.
Zuerst eine Frage zum Enrollement in Intune.
Die PCs der einzelnen Mitarbeiter sind nun fast alle eingebunden. Einige PCS scheinen sich aber irgendwie zu wehren. Über den AD Sync werden die PCs nun alle korrekt in Entra angezeigt "Entra hybrid joined". Die Aufforderung für Intune ist per GPO verteilt, aber auch nach Neustart erscheinen einige wenige PCs noch nicht in Intune. Du hast hier was von Powershell und getriggered geschrieben. Hast du einen Link für den Aufruf?
Gelöst. die Gruppenrichtlinie wurde nicht auf allen PCs übernommen. einfach gpupdate /force (evtl. mehrfach) aufrufen bis ein Hinweis mit MDM kommt.
Und dann zum ursprünglichen Einbinden der nicht mitarbeitergebundenen Geräte:
Aktuell nutzen wir im lokalen AD ein Konto zum Einbinden der PCs in die Domain. Danach wird ein nicht mitarbeiterbezognenes Konto eingerichtet auf dem die jeweilige Software konfiguriert wird. Die Nutzer, die die Software (vor allem zum Auswerten von großen Datenmengen damit die eigenen PCs dadurch nicht geperrt sind) nutzen sollen loggen sich dann mit diesem allbekannten Benutzer ein. Oder aber die PCs sind einfach immer an und zeigen z.B. dem Dienstplan an.
Wenn ich diese PCs nun auch in Entra und Intune einbinden möchte sehe ich zwei Fälle:
Unser Distributor hat uns zu diesem Zwecke einige Lizenzen für Intune und Defender im Plan 1 zukommen lassen.
Zuerst eine Frage zum Enrollement in Intune.
Die PCs der einzelnen Mitarbeiter sind nun fast alle eingebunden. Einige PCS scheinen sich aber irgendwie zu wehren. Über den AD Sync werden die PCs nun alle korrekt in Entra angezeigt "Entra hybrid joined". Die Aufforderung für Intune ist per GPO verteilt, aber auch nach Neustart erscheinen einige wenige PCs noch nicht in Intune. Du hast hier was von Powershell und getriggered geschrieben. Hast du einen Link für den Aufruf?
Gelöst. die Gruppenrichtlinie wurde nicht auf allen PCs übernommen. einfach gpupdate /force (evtl. mehrfach) aufrufen bis ein Hinweis mit MDM kommt.
Und dann zum ursprünglichen Einbinden der nicht mitarbeitergebundenen Geräte:
Aktuell nutzen wir im lokalen AD ein Konto zum Einbinden der PCs in die Domain. Danach wird ein nicht mitarbeiterbezognenes Konto eingerichtet auf dem die jeweilige Software konfiguriert wird. Die Nutzer, die die Software (vor allem zum Auswerten von großen Datenmengen damit die eigenen PCs dadurch nicht geperrt sind) nutzen sollen loggen sich dann mit diesem allbekannten Benutzer ein. Oder aber die PCs sind einfach immer an und zeigen z.B. dem Dienstplan an.
Wenn ich diese PCs nun auch in Entra und Intune einbinden möchte sehe ich zwei Fälle:
- Die (Kiosk)Gerätebasierten-PCs auf denen sich weiterhin alle Mitarbeiter mit einem allgemeines Login einloggen sollen (zum abrufen von Infos oder für die Besprechungsräume)
- und die PCs, bei uns vor allen Tablets für den Außendienst oder Notebooks, auf denen jeder Mitarbeiter sich mit seinem eigenen Login anmelden soll.
Unser Distributor hat uns zu diesem Zwecke einige Lizenzen für Intune und Defender im Plan 1 zukommen lassen.
Ich glaube, das mit dem Enrollment habe ich jetzt so ziemlich. Der primary User wird gelöscht, damit es ein shared device wird. Leider haben wir aber ein paar Geräte mit einem normalen Benutzerkonto hinzugefügt anstatt mit einem DEM-Konto.
Kann man das Feld auch leeren bzw. einem DEM nachträglich zuordnen? Ich habe nur was mit resetten des Gerätes (kommt nicht in Frage) oder rauswerfen aus Intune im Netz gefunden. Notfalls muss sonst eben Letzteres gemacht werden.
In der Microsoft Doku heißt es "Sie können Gerätelizenzen basierend auf Ihrer geschätzten Nutzung erwerben". Diese Lizenzen müssen also in der groben Anzahl
einfach im Tenant vorhanden sein oder? Zugeordnet zu irgendwas müssen die also nicht sein.
Kann man das Feld auch leeren bzw. einem DEM nachträglich zuordnen? Ich habe nur was mit resetten des Gerätes (kommt nicht in Frage) oder rauswerfen aus Intune im Netz gefunden. Notfalls muss sonst eben Letzteres gemacht werden.
In der Microsoft Doku heißt es "Sie können Gerätelizenzen basierend auf Ihrer geschätzten Nutzung erwerben". Diese Lizenzen müssen also in der groben Anzahl
einfach im Tenant vorhanden sein oder? Zugeordnet zu irgendwas müssen die also nicht sein.
Moin,
schaue hier:
https://learn.microsoft.com/en-us/mem/intune/remote-actions/find-primary ...
evtl. ist es das was du suchst?
VG
schaue hier:
https://learn.microsoft.com/en-us/mem/intune/remote-actions/find-primary ...
evtl. ist es das was du suchst?
VG
