Windows Management
Konfiguration, Bereitstellung und Verwaltung von Windows-Endgeräten über Microsoft Intune — vom Autopilot-Enrollment über Configuration Profiles bis zum Patch Management.
Architektur-Ăśbersicht
Concat Standard auf einen Blick
| Bereich | Standard | Alternative (nur bei Bedarf) |
|---|---|---|
| Bereitstellung | Windows Autopilot (User-driven) | Pre-provisioned (fĂĽr White-Glove), Self-deploying (fĂĽr Kiosks) |
| Join-Typ | Entra ID Join (Cloud-native) | Hybrid Entra Join (nur bei On-Prem-Abhängigkeiten) |
| VerschlĂĽsselung | BitLocker Silent (XTS-AES 256, TPM) | TPM + PIN (High-Security-Anforderung) |
| Datenmigration | OneDrive Known Folder Move (KFM) | Migration Tool nur bei Fileserver-Ablösung |
| Anmeldung | Windows Hello for Business (PIN + Biometrie) | FIDO2 fĂĽr Shared Devices |
| Admin-Rechte | Windows LAPS (kein lokaler Admin fĂĽr User) | EPM fĂĽr granulare Elevation |
| OS-Deployment | Kein Imaging, kein PXE — nur Autopilot | — |
| Updates | Windows Autopatch (E3/E5) | Manuelle Update-Ringe (WUfB) |
| Treiber | Windows Autopatch Driver Management | Manuell ĂĽber OEM-Tools |
| Netzwerk | Delivery Optimization (P2P) | BranchCache als Ergänzung |
Unterseiten
Geräte-Lifecycle (End-to-End)
Kein manuelles Imaging, kein USB-Stick, kein PXE-Boot. Der Concat Standard sieht vor, dass der Hardware-Hersteller (OEM) den Hardware-Hash direkt in den Kunden-Tenant importiert. Das Gerät wird per Post an den User geschickt. Beim ersten Einschalten konfiguriert sich das Gerät vollautomatisch.
Voraussetzungen
| Voraussetzung | Details |
|---|---|
| Lizenz | Microsoft 365 E3, E5 oder Business Premium (Intune-Berechtigung) |
| Hardware | TPM 2.0, UEFI, Secure Boot (fĂĽr Autopilot + BitLocker Silent) |
| OS | Windows 10 21H2+ oder Windows 11 (empfohlen) |
| Netzwerk | Firewall-Freigaben fĂĽr Intune, Autopilot und Windows Update Endpoints |
| Entra ID | Entra ID Join oder Hybrid Entra Join konfiguriert |
| Autopatch | Aktiviert im Tenant (fĂĽr automatisches Patch Management) |
Abhängigkeiten & Querverweise
| Thema | Verwandte Seite | Zusammenhang |
|---|---|---|
| Autopilot Troubleshooting | Troubleshooting 1.1-1.4 | ESP Timeout, Hash-Probleme, Pre-Provisioning Fehler |
| Geräte-Aktionen (Wipe, Retire) | Runbook 1.2 | Operative Anleitung für Geräte-Reset |
| Gerät registrieren | Runbook 1.1 | Autopilot-Registrierung Schritt für Schritt |
| BitLocker startet nicht | Troubleshooting 4.1 | TPM, GPO-Konflikte, Key Escrow |
| Sync-Probleme | Troubleshooting 2.1 | IME-Service, Netzwerk, Manueller Sync |
| Connector offline | Troubleshooting 6.1-6.2 | AD Connector, Certificate Connector |
| Update-Probleme | Troubleshooting 5.1-5.2 | Pending Restart, Dual Scan |
| Security Baseline Settings | Security Baselines (OIB) | Welche Settings werden deployt und warum |
| Netzwerk-Freigaben | Go-Live Checkliste | Endpoints und Ports fĂĽr Intune & Autopilot |
Connector-Szenarien: Der AD Connector wird nur bei Hybrid Entra Join benötigt. Der Certificate Connector wird hingegen auch bei rein Cloud-nativen Umgebungen eingesetzt, wenn der Kunde 802.1X-Netzwerkauthentifizierung (WLAN/LAN via Zertifikate, RADIUS/NPS) nutzt — das hängt von der Netzwerkinfrastruktur ab, nicht vom Join-Typ.