Wenn du in einer klassischen Windows-Umgebung arbeitest, hast du vermutlich noch viele Geräte im Active Directory (AD)-Join oder sogar als Hybrid Azure AD Join eingebunden. Der Wechsel zu Microsoft Intune und damit zur modernen Verwaltung bringt viele Vorteile – aber wie kommt man am besten dort hin?
In diesem Artikel zeige ich dir drei erprobte Wege, wie du Geräte zu Intune migrierst – inklusive PowerShell-Skript, GPO-Variante und einer Bewertung, welche Methode sich wann eignet.
🔍 Was bedeutet “Gerät in Intune migrieren”?
Konkret geht es darum, ein Gerät bei Intune zu registrieren (Device Enrollment), um es künftig über Intune verwalten zu können. Das geht entweder durch automatische Registrierung (Auto-enrollment) oder durch ein manuelles Enrollment per Skript oder Benutzerinteraktion.
âś… Variante 1: Automatisches Enrollment per GPO (fĂĽr Hybrid Azure AD Join)
Die einfachste Methode, wenn deine Geräte schon Hybrid Azure AD Join sind und die Benutzer eine passende Lizenz (z. B. Intune/MEM) besitzen, ist die Auto-Registrierung über Gruppenrichtlinien.
Voraussetzungen:
-
Azure AD Connect ist eingerichtet
-
Geräte sind Hybrid Azure AD Join
-
Benutzer haben eine Intune-Lizenz
-
MDM-Auto-Enrollment ist in Azure konfiguriert
Schritt-fĂĽr-Schritt:
-
Azure MDM Enrollment aktivieren:
-
Azure AD → Mobility (MDM and MAM) → Microsoft Intune → Benutzergruppen auswählen → MDM scope: All
-
-
GPO konfigurieren:
-
Erstelle oder bearbeite eine GPO und setze:Computerkonfiguration → Richtlinien → Administrative Vorlagen → Windows-Komponenten → MDM
-
-
Automatisch bei MDM registrieren: Aktiviert
-
MDM-Nachrichtendienst-URL: https://enrollment.manage.microsoft.com
-
-
GPO anwenden und Geräte neu starten
Sobald sich das Gerät synchronisiert und neu startet, sollte es automatisch in Intune auftauchen.
🔧 Variante 2: Manuelles Enrollment per PowerShell
Gerade bei Testumgebungen oder Geräten, die nicht über GPO verwaltet werden, kann man das Enrollment auch per Skript durchführen.
Hier ein PowerShell-Skript, das die Intune-Registrierung per Benutzerinteraktion startet:
Start-Process „ms-settings:workplace“
-
-
Das öffnet die Seite “Arbeits- oder Schulkonto verbinden”. Von hier aus kann sich der Benutzer manuell mit seinem AAD-Konto verbinden.
Alternativ: Für Azure AD Join + Intune Enrollment in einem Rutsch (z. B. bei Geräten außerhalb der Domäne) kannst du das Windows Autopilot Setup oder das folgende CLI-Tool verwenden:
# FĂĽr Windows Autopilot Registrierung vorbereiten
Install-Script -Name Get-WindowsAutoPilotInfo
Get-WindowsAutoPilotInfo -OutputFile AutoPilot.csvDu kannst die Datei dann in Intune unter Geräte → Windows enrollment → Autopilot hochladen.
🛠️ Variante 3: PowerShell-Skript für Hybrid zu AAD Join (nur für fortgeschrittene Szenarien)
Wenn du die Geräte aus der Domäne löst und direkt in Azure AD joinen willst (z. B. bei einem geplanten Cutover), kannst du ein Skript wie dieses verwenden:
⚠️ Achtung: Das Skript trennt das Gerät von der AD-Domäne!
$aadUser = „user@domain.com“
$aadPassword = ConvertTo-SecureString „P@ssw0rd!“ -AsPlainText -Force
$aadCred = New-Object System.Management.Automation.PSCredential($aadUser, $aadPassword)# Domäne verlassen
Remove-Computer -UnjoinDomainCredential $aadCred -Force -PassThru -Restart# (Nach dem Neustart manuell oder per Autopilot Azure AD Join durchfĂĽhren)
Das ist natürlich nur sinnvoll in kontrollierten Migrationsszenarien – zum Beispiel in Kombination mit Autopilot oder einem neuen Deployment.
🧠Fazit: Welche Methode ist die beste?
Szenario
Methode
Empfehlung
Geräte im Hybrid Join, zentral verwaltet
GPO mit Auto-Enrollment
âś… Best Practice
Einzelgeräte oder Testgeräte
PowerShell mit ms-settings:
🧪 Manuell & flexibel
Cutover zu Azure AD Join
PowerShell mit Remove-Computer + Autopilot
⚠️ Nur mit Planung
-
Pingback: đź”— Netzlaufwerke auf Azure AD-Geräten per PowerShell mappen – kaffeeundcode