💻 Geräte nach Intune migrieren – die besten Wege für Hybrid-Umgebungen (inkl. PowerShell-Skript)

Wenn du in einer klassischen Windows-Umgebung arbeitest, hast du vermutlich noch viele Geräte im Active Directory (AD)-Join oder sogar als Hybrid Azure AD Join eingebunden. Der Wechsel zu Microsoft Intune und damit zur modernen Verwaltung bringt viele Vorteile – aber wie kommt man am besten dort hin?

In diesem Artikel zeige ich dir drei erprobte Wege, wie du Geräte zu Intune migrierst – inklusive PowerShell-Skript, GPO-Variante und einer Bewertung, welche Methode sich wann eignet.

🔍 Was bedeutet “Gerät in Intune migrieren”?

Konkret geht es darum, ein Gerät bei Intune zu registrieren (Device Enrollment), um es künftig über Intune verwalten zu können. Das geht entweder durch automatische Registrierung (Auto-enrollment) oder durch ein manuelles Enrollment per Skript oder Benutzerinteraktion.

✅ Variante 1: Automatisches Enrollment per GPO (für Hybrid Azure AD Join)

Die einfachste Methode, wenn deine Geräte schon Hybrid Azure AD Join sind und die Benutzer eine passende Lizenz (z. B. Intune/MEM) besitzen, ist die Auto-Registrierung über Gruppenrichtlinien.

Voraussetzungen:

• Azure AD Connect ist eingerichtet

• Geräte sind Hybrid Azure AD Join

• Benutzer haben eine Intune-Lizenz

• MDM-Auto-Enrollment ist in Azure konfiguriert

Schritt-für-Schritt:

1. Azure MDM Enrollment aktivieren:

   • Azure AD → Mobility (MDM and MAM) → Microsoft Intune → Benutzergruppen auswählen → MDM scope: All

2. GPO konfigurieren:

   • Erstelle oder bearbeite eine GPO und setze:Computerkonfiguration → Richtlinien → Administrative Vorlagen → Windows-Komponenten → MDM

     2. • Automatisch bei MDM registrieren: Aktiviert

        • MDM-Nachrichtendienst-URL: https://enrollment.manage.microsoft.com

     3. GPO anwenden und Geräte neu starten

     Sobald sich das Gerät synchronisiert und neu startet, sollte es automatisch in Intune auftauchen.

     ---

     🔧 Variante 2: Manuelles Enrollment per PowerShell

     Gerade bei Testumgebungen oder Geräten, die nicht über GPO verwaltet werden, kann man das Enrollment auch per Skript durchführen.

     Hier ein PowerShell-Skript, das die Intune-Registrierung per Benutzerinteraktion startet:

     Start-Process „ms-settings:workplace“

   • Das öffnet die Seite “Arbeits- oder Schulkonto verbinden”. Von hier aus kann sich der Benutzer manuell mit seinem AAD-Konto verbinden.

     Alternativ: Für Azure AD Join + Intune Enrollment in einem Rutsch (z. B. bei Geräten außerhalb der Domäne) kannst du das Windows Autopilot Setup oder das folgende CLI-Tool verwenden:

     # Für Windows Autopilot Registrierung vorbereiten
     Install-Script -Name Get-WindowsAutoPilotInfo
     Get-WindowsAutoPilotInfo -OutputFile AutoPilot.csv

     Du kannst die Datei dann in Intune unter Geräte → Windows enrollment → Autopilot hochladen.

     ---

     🛠️ Variante 3: PowerShell-Skript für Hybrid zu AAD Join (nur für fortgeschrittene Szenarien)

     Wenn du die Geräte aus der Domäne löst und direkt in Azure AD joinen willst (z. B. bei einem geplanten Cutover), kannst du ein Skript wie dieses verwenden:

     ⚠️ Achtung: Das Skript trennt das Gerät von der AD-Domäne!

     $aadUser = „user@domain.com“
     $aadPassword = ConvertTo-SecureString „P@ssw0rd!“ -AsPlainText -Force
     $aadCred = New-Object System.Management.Automation.PSCredential($aadUser, $aadPassword)

     # Domäne verlassen
     Remove-Computer -UnjoinDomainCredential $aadCred -Force -PassThru -Restart

     # (Nach dem Neustart manuell oder per Autopilot Azure AD Join durchführen)

     Das ist natürlich nur sinnvoll in kontrollierten Migrationsszenarien – zum Beispiel in Kombination mit Autopilot oder einem neuen Deployment.

     ---

     🧠 Fazit: Welche Methode ist die beste?

     Szenario	Methode	Empfehlung
     Geräte im Hybrid Join, zentral verwaltet	GPO mit Auto-Enrollment	✅ Best Practice
     Einzelgeräte oder Testgeräte	PowerShell mit ms-settings:	🧪 Manuell & flexibel
     Cutover zu Azure AD Join	PowerShell mit Remove-Computer + Autopilot	⚠️ Nur mit Planung